בדף הזה מוסבר איך להגדיר MACsec ל-Cloud Interconnect.
לפני שמפעילים את MACsec ומשתמשים בו ב-Cloud Interconnect, צריך ליצור מפתח אחד או יותר ששותפו מראש ולהגדיר את הנתב המקומי לשימוש בהם. הנתב שלכם ונתב הקצה של Google משתמשים במפתחות המשותפים מראש כדי להצפין את התעבורה שעוברת בין הנתבים.
לפני שמתחילים
כדי לקבל את ההרשאות שנדרשות לאחזור מפתחות MACsec, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של רשת Compute (roles/compute.networkAdmin) בפרויקט.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
אם אתם בוחרים להשתמש בתפקידים בהתאמה אישית, ודאו שהתפקיד בהתאמה אישית לניהול MACsec ל-Cloud Interconnect כולל את הרשאת ה-IAM compute.interconnects.getMacsecConfig.
בדיקה אם Cloud Interconnect תומך ב-MACsec
כדי לבדוק אם חיבור Cloud Interconnect קיים תומך ב-MACsec, אפשר להשתמש באחת מהאפשרויות הבאות. אם כן, מדלגים אל יצירת מפתחות ששותפו מראש.
כל החיבורים של Cross-Site Interconnect תומכים ב-MACsec.
המסוף
במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.
לוחצים על שם החיבור שרוצים לבדוק.
לוחצים על הכרטיסייה MACsec.
מוצג מידע על MACsec. אם חיבור Cloud Interconnect תומך ב-MACsec אבל הוא לא מוגדר, הגדרת MACsec מציגה מושבת. אם החיבור לא תומך ב-MACsec, אי אפשר ללחוץ על הלחצן Enable, ובהעברת העכבר מעל הלחצן מוצגת ההודעה "Your Interconnect does not support MACsec. צריך יציאה עם תמיכה ב-MACsec".
gcloud
מריצים את הפקודה הבאה:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
מחליפים את INTERCONNECT_CONNECTION_NAME בשם של חיבור Cloud Interconnect.
הפלט אמור להיראות כך: בחיבורים עם תמיכה ב-MACsec מוצגים הפרטים הבאים:
- לקישורים של 10GB:
linkType: LINK_TYPE_ETHERNET_10G_LRו-availableFeatures: IF_MACSEC - לקישורי 100GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; כל קישורי 100GB תומכים ב-MACsec - לקישורי 400GB:
linkType: LINK_TYPE_ETHERNET_400G_LR; כל קישורי 400GB תומכים ב-MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
בפריטים הבאים מפורטת ההגדרה של MACsec בחיבור Cloud Interconnect:
availableFeatures: יכולת MACsec בחיבור Cloud Interconnect. הפרמטר הזה מוצג רק עבור חיבורי Cloud Interconnect של 10GB, כי חיבורי Cloud Interconnect של 100GB ו-400GB תומכים ב-MACsec כברירת מחדל.
macsecEnabled: סטטוס MACsec עבור Cloud Interconnect בקישור הזה. הערך יהיה false עד שתפעילו את MACsec בחיבור הבין-אזורי.
בקשה לחיבור Cloud Interconnect עם תמיכה ב-MACsec
חיבור Cloud Interconnect של 100GB או 400GB תומך ב-MACsec כברירת מחדל. עם זאת, חיבור של 10GB לא תומך ב-MACsec כברירת מחדל, אלא אם מדובר בחיבור Cross-Site Interconnect. אם החיבור הקיים לא תומך ב-MACsec, צריך לבקש חיבור חדש לפני שממשיכים.
בוחרים באחת מהאפשרויות הבאות:
המסוף
במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.
לוחצים על הגדרת חיבור פיזי.
בוחרים באפשרות Dedicated Interconnect (קישור ייעודי) ולוחצים על המשך.
בוחרים באפשרות הזמנת חיבור Dedicated Interconnect חדש ולוחצים על המשך.
מציינים את פרטי החיבור:
שם: שם לחיבור. השם הזה מוצג במסוף Cloud de Confiance ומשמש את Google Cloud CLI להפניה לחיבור, כמו
my-interconnect.המיקום ב-Google Cloud: המיקום הפיזי שבו נוצר החיבור. הרשת המקומית שלכם צריכה לעמוד בדרישות של הרשת שלCloud de Confiance by S3NSבמיקום הזה. אתם יכולים להגביל את רשימת המיקומים הזמינים לפי אזור גיאוגרפי בתפריט הנפתח מיקום גיאוגרפי.
בעמודה MACsec support for current project מוצגים הגדלים של המעגלים שזמינים ל-MACsec ב-Cloud Interconnect.
קיבולת: הקיבולת הכוללת של החיבור, שנקבעת לפי מספר המעגלים והגודל שלהם שהזמנתם.
בוחרים אחת מהאפשרויות שמוצגות.
הזמנת יציאה עם תמיכה ב-MACsec: אם מזמינים קישור פיזי של 10 Gbps, צריך לבחור באפשרות הזו כשמזמינים את חיבור Cloud Interconnect לחיבורים עם תמיכה ב-MACsec. אם אתם מזמינים קישור פיזי של 100 Gbps או 400 Gbps, יציאה עם תמיכה ב-MACsec נבחרת עבורכם באופן אוטומטי ואי אפשר לבטל את הבחירה בה.
אפשר להוסיף תיאור של החיבור בשדה Description. התיאור הזה מיועד לשימוש שלכם.
לוחצים על הבא.
אם נדרשת יתירות, מציינים את הפרטים של החיבור המשוכפל ולוחצים על הבא.
מציינים את הפרטים ליצירת קשר:
שם החברה: שם הארגון שצריך להזין ב-LOA כצד שמורשה לבקש חיבור.
איש קשר טכני: כתובת אימייל שאליה נשלחות התראות לגבי החיבור הזה. אתם לא צריכים להזין את הכתובת שלכם, כי אתם נכללים בכל ההתראות. אפשר לציין רק כתובת אחת.
אם אתם יוצרים חיבור דרך איחוד שירותי אימות הזהות של כוח עבודה, אתם צריכים לציין איש קשר טכני. איחוד שירותי אימות הזהות של כוח העבודה נמצא בתצוגה מקדימה.
בודקים את ההזמנה. בודקים שפרטי החיבור של Dedicated Interconnect והפרטים ליצירת קשר נכונים. אם הכל נראה בסדר, לוחצים על ביצוע ההזמנה. אם לא, חוזרים אחורה ועורכים את פרטי החיבור.
בדף אישור ההזמנה, בודקים את השלבים הבאים ולוחצים על סיום.
gcloud
הפקודה הבאה מדגימה איך לבקש חיבור Cloud Interconnect עם תמיכה ב-MACsec בקישור של 10GB. יש תמיכה ב-MACsec בחיבורים של 10GB, אבל צריך לפנות אלCloud de Confiance by S3NS צוות התמיכה בחשבון Cloud de Confiance כדי להפעיל את הפרויקטים וליצור חיבור עם יכולת MACsec בקישורים של 10GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=MACSEC
מחליפים את מה שכתוב בשדות הבאים:
INTERCONNECT_CONNECTION_NAME: שם לחיבור Cloud Interconnect
CUSTOMER_NAME: שם הלקוח בייפוי הכוח (LOA) שאנחנו מנפיקים לחיבור הזה
INTERCONNECT_CONNECTION_LOCATION: מיקום של חיבור Cloud Interconnect שמופיע בטבלת המיקומים
LINK_COUNT: מספר החיבורים של Cloud Interconnect שרוצים
אחרי שתבקשו חיבור Cloud Interconnect עם תמיכה ב-MACsec, יוקצה לכם חיבור Cloud Interconnect.
מידע נוסף על הקצאת הרשאות זמין במאמרים הבאים:
- סקירה כללית על הקצאת Dedicated Interconnect
- סקירה כללית על הקצאת משאבים ב-Partner Interconnect
- סקירה כללית בנושא הקצאת משאבים של Cross-Site Interconnect
יצירת מפתחות ששותפו מראש
אחרי שמקצים את חיבור Cloud Interconnect עם תמיכה ב-MACsec, צריך ליצור את המפתחות המשותפים מראש ש-MACsec משתמש בהם כדי להצפין את התעבורה שעוברת בין נתבי הקצה של Google לבין הנתב שלכם. יצירת מפתחות לא מפעילה את MACsec. כדי להפעיל את MACsec, צריך להגדיר את הנתב המקומי ואז להפעיל את MACsec.
כדי להשתמש ב-MACsec ל-Cloud Interconnect, צריך לפחות מפתח אחד עם שעת התחלה שהיא עכשיו או לפני כן. למפתחות שיוצרים עבור MACsec ל-Cloud Interconnect יש תוקף אינסופי. אתם יכולים להגדיר עד חמישה מפתחות לכל חיבור.
המסוף
במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.
בוחרים את החיבור שרוצים לשנות.
בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש ולוחצים על מפתחות משותפים מראש בניהול.
מציינים את הפרטים של המפתח ששותף מראש:
שם מפתח 1: שם המפתח. השם הזה מוצג במסוף Cloud de Confiance ומשמש את ה-CLI של gcloud כדי להפנות למפתח, כמו
psk-1.שעת התחלה 1: השעה שבה המפתח תקף.
כדי להוסיף עוד מפתחות ששותפו מראש, לוחצים על הוספת מפתח. שעות ההתחלה של מפתחות משותפים רצופים צריכות להיות בהפרש של שש שעות לפחות.
לוחצים על שליחה.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
מחליפים את מה שכתוב בשדות הבאים:
-
KEY_NAME: שם המפתח -
START_TIME: השעה שבה המפתח הזה תקף, בפורמט ISO 8601 – לדוגמה,2023-07-01T21:00:01.000Z
קבלת מפתחות ששותפו מראש
המסוף
במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.
בוחרים את החיבור שרוצים לראות.
בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש, מוצאים את השם של המפתח המשותף מראש ולוחצים על הצגה. בחלון מוצגים מפתח שיוך הקישוריות (CAK) ושם מפתח שיוך הקישוריות (CKN). לוחצים על העתקה ליד אחד מהערכים כדי להעתיק את הערך ללוח של המחשב.
לוחצים על Close.
gcloud
מריצים את הפקודה הבאה:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
הפלט אמור להיראות כך:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
חשוב לרשום לפניכם את מפתח שיוך הקישוריות (CAK) ואת שם מפתח שיוך הקישוריות (CKN) של הגדרות הנתב.
אם מופיעה השגיאה 'ההרשאות נדחו', צריך לוודא שיש לכם את ההרשאות הנכונות. מידע נוסף מופיע במאמר לפני שמתחילים.
הגדרת הנתב המקומי
כדי להגדיר את הערכים הבאים בנתב שלכם כך שיהיה תואם לנתבים של Google, תוכלו לעיין במסמכי התיעוד של ספק הנתב.
בשלב הזה, MACsec לא מופעל בצד של Google. כדי למנוע שיבוש בתנועה, אל תפעילו MACsec בנתב בזמן הגדרת הערכים האלה.
| הגדרה | ערך |
|---|---|
| סט אלגוריתמים להצפנה (cipher suite) של MACsec |
|
| אלגוריתם קריפטוגרפי של CAK | AES_256_CMAC |
| סדר העדיפות של שרת המפתחות | 15 |
| מרווח הזמן בין החלפות של מפתח שיוך מאובטח (SAK) | 28,800 שניות |
| היסט סודיות של MACsec | 0 |
| גודל החלון | 64 |
| אינדיקטור של ערך בדיקת תקינות (ICV) | כן |
| CAK | הערך שרשמתם קודם כשקיבלתם מפתחות ששותפו מראש. |
| CKN | הערך שרשמתם קודם כשקיבלתם מפתחות ששותפו מראש. |
| מזהה ערוץ מאובטח (SCI) | מופעל |