הפעלת MACsec

בדף הזה מוסבר איך להפעיל את MACsec ל-Cloud Interconnect.

אחרי שיוצרים מפתחות ששותפו מראש ומגדירים את הנתב המקומי לשימוש בהם, צריך להפעיל את MACsec ל-Cloud Interconnect. אחרי שמפעילים את MACsec ל-Cloud Interconnect, צריך לוודא שההגדרה של Cloud Interconnect מוגדרת בצורה נכונה ושהיא משתמשת ב-MACsec כדי להגן על הנתונים.

לפני שמתחילים

אם עדיין לא השלמתם את ההגדרה, צריך להגדיר את MACsec לפני שמפעילים את MACsec ל-Cloud Interconnect.

הפעלת MACsec ל-Cloud Interconnect

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את החיבור שרוצים לשנות.

  3. בכרטיסייה MACsec, לוחצים על הפעלה.

    יוצג חלון אישור. קוראים את ההודעה ולוחצים על אישור כדי לאשר את ההפעלה של MACsec, או על ביטול כדי לבטל.

gcloud

כדי להפעיל את MACsec ל-Cloud Interconnect עם הגדרות ברירת מחדל, מריצים את הפקודה הבאה:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

מחליפים את INTERCONNECT_CONNECTION_NAME בשם של חיבור Cloud Interconnect.

אימות ההגדרות של MACsec

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את החיבור שרוצים לראות.

  3. בקטע Link circuit info מוצגים הפרטים הבאים:

    • Google circuit ID: השם של מעגל הקישור.

    • מצב הקישור: המצב הפיזי של הקישור החבר ב-LACP מופיע עם סימן וי ופעיל כדי לציין שהקישור החבר ב-LACP פועל.

    • שם מפתח MACsec: מוצג סימן וי ושם מפתח MACsec כדי לציין ש-MACsec פעיל בקישור.

    • עוצמת האור שמתקבלת: בדיקה מציינת חיבור תקין. רמת האור האופטי שמזוהה בממשק הפיזי מהמשדר המרוחק מוצגת ב-dBm.

    • הספק אופטי של שידור: סימן וי מציין חיבור תקין, ורמת האור האופטי שממשק פיזי משדר למקלט מרוחק מוצגת ב-dBm.

    • מזהה תיחום של Google: המזהה הייחודי שהוקצה על ידי Google למעגל הקישור.

  4. לוחצים על הכרטיסייה MACsec. ההגדרה של MACsec מציגה אחת מהאפשרויות הבאות לגבי הגדרת MACsec:

    • מופעלת, נכשלת בפתיחה: ההצפנה של MACsec מופעלת בקישור. אם הצפנת MACsec לא מוגדרת בשני הצדדים, הקישור פועל ללא הצפנה.

    • מופעלת, נכשלת ונסגרת: ההצפנה של MACsec מופעלת בקישור. אם לא נוצרת הצפנת MACsec בין שני הקצוות, הקישור נכשל.

gcloud

מריצים את הפקודה הבאה:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

הפלט אמור להיות דומה לדוגמה הבאה של Cloud Interconnect בנפח 10 GB. מחפשים את availableFeatures שמוגדר ל-IF_MACSEC ואת הקטע macsec:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

בפריטים הבאים מפורטת הגדרת MACsec של חיבור Cloud Interconnect:

  • availableFeatures: יכולת MACsec בחיבור Cloud Interconnect. הפרמטר הזה מוצג רק עבור חיבורי Cloud Interconnect של 10GB, כי כל חיבורי Cloud Interconnect של 100GB ו-400GB תומכים ב-MACsec כברירת מחדל.

  • macsec.failOpen: אופן הפעולה של החיבור אם Cloud Interconnect לא מצליח ליצור סשן MKA עם הנתב שלכם. הערך הוא אחד מהבאים:

    • false: אם אי אפשר ליצור סשן MKA, ‏ Cloud Interconnect מפסיק את כל התנועה.

    • true: אם אי אפשר ליצור סשן MKA, ‏ Cloud Interconnect מעביר תנועה לא מוצפנת.

  • macsec.preSharedKeys.name: רשימת כל המפתחות המשותפים מראש שהוגדרו ל-Cloud Interconnect בקישור הזה.

  • macsec.preSharedKeys.startTime: שעת ההתחלה שבה המפתח הנוכחי שמשותף מראש נחשב לתקף. תוקף כל המפתחות הוא בלתי מוגבל.

  • macsecEnabled: סטטוס MACsec עבור Cloud Interconnect בקישור הזה. הערך הוא אחד מהבאים:

    • false:‏ MACsec ל-Cloud Interconnect מושבת.
    • true:‏ MACsec for Cloud Interconnect מופעל.

הפקודה הזו לא מציגה את הסטטוס התפעולי של MACsec.

הפעלת MACsec בנתב המקומי

כדי להפעיל את MACsec בנתב המקומי, צריך לעיין במסמכי התיעוד של ספק הנתב.

ביטול הניקוז של חיבור Cloud Interconnect

אם ניתקתם בעבר את חיבור Cloud Interconnect, צריך להפעיל את חיבורי ה-VLAN.

מה השלב הבא?