本頁說明如何為 Cloud Interconnect 設定 MACsec。
啟用及使用 Cloud Interconnect 的 MACsec 之前,您需要建立一或多組預先共用金鑰,並設定內部部署路由器來使用這些金鑰。路由器和 Google 的邊緣路由器會使用預先共用的金鑰,加密路由器之間傳輸的流量。
事前準備
如要取得擷取 MACsec 金鑰所需的權限,請要求管理員授予您專案的Compute Network Admin (roles/compute.networkAdmin) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您選擇使用自訂角色,請確保管理 Cloud Interconnect MACsec 的自訂角色包含 compute.interconnects.getMacsecConfig IAM 權限。
確認 Cloud Interconnect 支援 MACsec
請使用下列任一選項,確認現有的 Cloud Interconnect 連線是否支援 MACsec。如果是,請跳至「建立預先共用金鑰」。
所有跨地點互連網路連線都支援 MACsec。
主控台
前往 Trusted Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
按一下要檢查的連線名稱。
按一下「MACsec」MACsec分頁標籤。
系統會顯示 MACsec 資訊。如果 Cloud Interconnect 連線支援 MACsec,但未設定 MACsec,則「MACsec 設定」會顯示「已停用」。如果連線不支援 MACsec,則「啟用」按鈕無法點選,且將滑鼠游標懸停在按鈕上時,會顯示「您的互連網路不支援 MACsec。您需要支援 MACsec 的通訊埠。」
gcloud
執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
將 INTERCONNECT_CONNECTION_NAME 改成 Cloud Interconnect 連線的名稱。
輸出結果類似如下範例。支援 MACsec 的連線會顯示下列資訊:
- 10 GB 連結:
linkType: LINK_TYPE_ETHERNET_10G_LR和availableFeatures: IF_MACSEC - 每秒 100 GB 的連結:
linkType: LINK_TYPE_ETHERNET_100G_LR;所有每秒 100 GB 的連結都支援 MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
下列項目會指定 Cloud Interconnect 連線的 MACsec 設定:
availableFeatures:Cloud Interconnect 連線的 MACsec 功能。這個參數只會顯示在 10 GB Cloud Interconnect 連線上,因為 100 GB Cloud Interconnect 連線預設支援 MACsec。macsecEnabled: 這個連結會顯示 Cloud Interconnect 的 MACsec 狀態。在互連網路上啟用 MACsec 之前,這個值會是 false。
要求支援 MACsec 的 Cloud Interconnect 連線
100 GB 的 Cloud Interconnect 連線預設支援 MACsec。不過,除非是跨網站互連網路連線,否則 10 GB 連線預設不支援 MACsec。如果現有連線不支援 MACsec,請先申請新連線再繼續操作。
選取下列選項之一:
主控台
前往 Trusted Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
按一下「設定實體連線」。
選取「專屬互連網路」,然後按一下「繼續」。
選取「Order new Dedicated Interconnect」(訂購新的專屬互連網路),然後按一下「Continue」(繼續)。
指定連線詳細資料:
名稱:連線的名稱。這個名稱會顯示在 Trusted Cloud 控制台中,並由 Google Cloud CLI 用於參照連線,例如
my-interconnect。Google Cloud 位置:建立連線的實際位置。您的內部部署網路必須與Trusted Cloud by S3NS在這個位置的網路銜接。您可以在「地理位置」下拉式選單中,依地理區域限制可用位置清單。
「目前專案的 MACsec 支援功能」欄會顯示 Cloud Interconnect 適用的 MACsec 可用的電路大小。
容量:連線總容量,由您訂購的電路數量和大小決定。
選取顯示的其中一個選項。
訂購支援 MACsec 的通訊埠:如要訂購 10 Gbps 實體連結,請在訂購支援 MACsec 的 Cloud Interconnect 連線時選取這個選項。如果您訂購的是 100 Gbps 實體連結,系統會自動為您選取支援 MACsec 的連接埠,且無法取消選取。
您可以在「Description」(說明) 欄位中,選擇性提供連線說明。這段說明僅供您使用。
點選「下一步」。
如果您需要備援功能,請指定備援連線的詳細資料,然後按一下「下一步」。
指定聯絡資訊:
檢查您的訂單內容。確認專屬互連連線詳細資料和聯絡資訊正確無誤。如果一切都正確,請按一下「下單」。如果沒有,請返回並編輯連線詳細資料。
在訂單確認頁面上,查看後續步驟,然後按一下「完成」。
gcloud
以下指令示範如何在 10 GB 連結上要求支援 MACsec 的 Cloud Interconnect 連線。系統支援 10 GB 連線的 MACsec,但您必須與Trusted Cloud by S3NS 帳戶團隊聯絡 Trusted Cloud ,才能為專案啟用這項功能,在 10 GB 連結上建立支援 MACsec 的連線。
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=MACSEC
更改下列內容:
INTERCONNECT_CONNECTION_NAME:Cloud Interconnect 連線的名稱CUSTOMER_NAME:我們為這個連線核發授權書 (LOA) 時所用的客戶名稱INTERCONNECT_CONNECTION_LOCATION:位置資料表中列出的 Cloud Interconnect 連線位置。LINK_COUNT:您想要的 Cloud Interconnect 連線數量
要求啟用 MACsec 的 Cloud Interconnect 連線後,系統就會為您佈建 Cloud Interconnect 連線。
如要進一步瞭解佈建功能,請參閱下列文章:
建立預先共用金鑰
佈建支援 MACsec 的 Cloud Interconnect 連線後,請建立預先共用金鑰,供 MACsec 用於加密 Google 邊緣路由器與路由器之間傳輸的流量。建立金鑰不會啟用 MACsec。如要開啟 MACsec,請先設定內部部署路由器,然後啟用 MACsec。
如要使用 Cloud Interconnect 適用的 MACsec,您至少需要一個開始時間為現在或之前的金鑰。為 Cloud Interconnect 適用的 MACsec 建立的金鑰沒有效期限制。每個連線最多可有五個金鑰。
主控台
前往 Trusted Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要修改的連線。
在「MACsec」分頁中,前往「預先共用金鑰」部分,然後按一下「管理預先共用金鑰」。
指定預先共用金鑰的詳細資料:
金鑰名稱 1:金鑰的名稱。這個名稱會顯示在 Trusted Cloud 控制台中,並由 gcloud CLI 用於參照金鑰,例如
psk-1。開始時間 1:金鑰的有效時間。
如要新增更多預先共用金鑰,請按一下「新增金鑰」。連續預先共用金鑰的開始時間必須至少間隔六小時。
按一下「提交」。
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
更改下列內容:
KEY_NAME:金鑰名稱START_TIME:這個金鑰的有效時間 (ISO 8601 格式),例如2023-07-01T21:00:01.000Z
取得預先共用金鑰
主控台
前往 Trusted Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的連線。
在「MACsec」分頁中,前往「Pre-shared keys」(預先共用金鑰) 部分,找出預先共用金鑰的名稱,然後按一下「View」。視窗會顯示連線關聯金鑰 (CAK) 和連線關聯金鑰名稱 (CKN)。按一下任一值旁邊的「複製」,即可將該值複製到電腦的剪貼簿。
按一下 [關閉]。
gcloud
執行下列指令:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
輸出結果會與下列內容相似:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
記下路由器設定的連線關聯鍵 (CAK) 和連線關聯鍵名稱 (CKN)。
如果收到權限遭拒錯誤訊息,請確認您具備正確的權限。詳情請參閱「事前準備」一文。
設定內部部署路由器
請參閱路由器供應商的說明文件,在路由器上設定下列值,確保與 Google 路由器相容。
此時,Google 端尚未啟用 MACsec。為避免流量中斷,請勿在設定這些值時啟用路由器的 MACsec。
| 設定 | 值 |
|---|---|
| MACsec 加密套件 |
|
| CAK 加密演算法 | AES_256_CMAC |
| 主要伺服器優先順序 | 15 |
| 安全關聯金鑰 (SAK) 重新產生金鑰間隔 | 28800 秒 |
| MACsec 機密性偏移 | 0 |
| 時間範圍 | 64 |
| 完整性檢查值 (ICV) 指標 | 是 |
| CAK | 您先前取得預先共用金鑰時記下的值。 |
| CKN | 您先前取得預先共用金鑰時記下的值。 |
| 安全管道 ID (SCI) | 已啟用 |