Cloud Interconnect 適用的 MACsec 可協助您保護 Cloud Interconnect 連線的流量,特別是內部部署路由器和 Google 邊緣路由器之間的連線。Cloud Interconnect 適用的 MACsec 使用 IEEE 標準 802.1AE 媒體存取控制安全性 (MACsec),可為內部部署路由器和 Google 邊緣路由器之間的流量進行加密。
Cloud Interconnect 適用的 MACsec 不會在 Google 內提供傳輸中資料加密機制。為確保更強的安全性,建議您將 MACsec 與其他網路安全性通訊協定 (例如 IP 安全性 (IPsec) 和傳輸層安全標準 (TLS)) 搭配使用。如要進一步瞭解如何使用 IPsec 保護網路流量至 Google Cloud,請參閱採用 Cloud Interconnect 的高可用性 VPN 總覽。如要進一步瞭解跨地點互連網路中的加密功能,請參閱「加密選項」。
Cloud Interconnect 適用的 MACsec 適用於 10 Gbps 和 100 Gbps 迴路。不過,如要為 10 Gbps 電路訂購 Cloud Interconnect 的 MACsec,您必須與客戶經理聯絡。
Cloud Interconnect 適用的 MACsec 支援所有 VLAN 連結功能,包括 IPv4、IPv6 和 IPsec。
下圖顯示 MACsec 加密流量的方式:
- 圖 1 顯示 MACsec 在專屬互連網路上加密流量。這張圖表中顯示的加密方式也適用於跨網站互連網路。
- 圖 2 顯示 MACsec 在合作夥伴互連網路上加密流量。
如要在合作夥伴互連網路上使用 MACsec,請與服務供應商合作,確保您的網路流量會透過供應商的網路進行加密。
使用 Cloud Interconnect 的 MACsec 功能不會產生額外費用。
Cloud Interconnect 適用的 MACsec 運作方式
Cloud Interconnect 適用的 MACsec 可協助保護內部部署路由器與 Google 對等邊緣路由器之間的流量。您可以使用 Google Cloud CLI (gcloud CLI) 或 Google Cloud 控制台產生 GCM-AES-256 連線關聯金鑰 (CAK) 和連線關聯金鑰名稱 (CKN) 值。您可以將路由器設為使用 CAK 和 CKN 值來設定 MACsec。在路由器和 Cloud Interconnect 中啟用 MACsec 後,MACsec 會在內部部署路由器和 Google 對等邊緣路由器之間加密流量。
建議您採用多層次的安全加密方式。在第 2 層,MACsec 會對相鄰路由器之間的流量進行加密。在第 3 層,IPsec 會保護客戶內部部署網路和虛擬私有雲網路之間的流量。您可以透過應用程式層級的安全性通訊協定,進一步強化防護措施。
支援的地端部署路由器
您可以使用內部部署路由器搭配支援下表中 MACsec 規格的 Cloud Interconnect 適用的 MACsec。
| 設定 | 值 |
|---|---|
| MACsec 加密套件 |
|
| CAK 加密演算法 | AES_256_CMAC |
| 金鑰伺服器優先順序 | 15 |
| 安全關聯金鑰 (SAK) 重設金鑰間隔 | 28800 秒 |
| MACsec 機密性偏移 | 0 |
| 視窗大小 | 64 |
| 完整性檢查值 (ICV) 指標 | 是 |
| 安全管道 ID (SCI) | 已啟用 |
Cloud Interconnect 適用的 MACsec 支援最多五個鍵的無衝突金鑰輪替。
思科 (Cisco)、Juniper 和 Arista 製造的多款路由器都符合規格。我們無法推薦特定路由器。建議你諮詢路由器供應商,瞭解哪款型號最符合需求。
使用 Cloud Interconnect 適用的 MACsec 前
請確認您符合下列規定:
Cloud Interconnect 適用的 MACsec 設定步驟
確認主機代管服務供應商可使用 Cloud Interconnect 適用的 MACsec 後,請檢查是否已建立支援 MACsec 的 Cloud Interconnect 連線。如果沒有,請訂購支援 MACsec 的 Cloud Interconnect 連線。如果您使用跨網站互連網路,則連線預設為支援 MACsec。
完成 Cloud Interconnect 連線測試並準備好使用後,您可以建立 MACsec 預先共用金鑰並設定內部部署路由器,以設定 MACsec。接著,您可以啟用 MACsec,並確認已為連結啟用 MACsec 且可正常運作。最後,您可以監控 MACsec 連線,確保連線運作正常。
MACsec 供應情形
無論位置為何,所有 Cloud Interconnect 100‑Gbps 連線都支援 Cloud Interconnect 的 MACsec。
並非所有主機代管機房都支援 Cloud Interconnect 的 MACsec 10 Gbps 迴路。如要進一步瞭解代管設施提供的功能,請根據連線類型參閱以下說明:
如要瞭解哪些主機代管機房提供 10 Gbps 電路,並支援 Cloud Interconnect 適用的 MACsec,請按照下列步驟操作。只有已加入許可清單的專案,才會顯示 10 Gbps 電路的 MACsec 可用性。如要為 10 Gbps 專線訂購 Cloud Interconnect 的 MACsec,請與客戶經理聯絡。
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
按一下「設定實體連線」。
選取「專屬互連網路」,然後按一下「繼續」。
選取「訂購新的專屬互連網路」,然後按一下「繼續」。
在「Google Cloud 位置」欄位中,按一下「選擇」。
在「選擇主機代管機房」窗格中,找出您要建立 Cloud Interconnect 連線的城市。在「地理區域」欄位中,選取地理區域。「目前專案的 MACsec 支援功能」欄會顯示 Cloud Interconnect 適用的 MACsec 支援的電路大小。
gcloud
透過 Google Cloud CLI 進行驗證:
gcloud auth login如要瞭解主機代管機房是否支援 Cloud Interconnect 適用的 MACsec,請執行下列任一操作:
確認特定主機代管機房支援 Cloud Interconnect 的 MACsec:
gcloud compute interconnects locations describe COLOCATION_FACILITY將
COLOCATION_FACILITY替換為位置表格中列出的同址設施名稱。輸出結果會與下列範例相似。請注意
availableFeatures部分。支援 MACsec 的連線會顯示以下內容:- 10 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_10G_LR和availableFeatures: IF_MACSEC - 100 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_100G_LR;所有 100 Gbps 連結皆可支援 MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- 10 Gbps 連結:
列出所有支援 10 Gbps 連線的 Cloud Interconnect 適用 MACsec 的主機代管機房:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>列出所有具備 100 Gbps 連結的主機代管機房,這些機房預設會提供 MACsec:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
現有 Cloud Interconnect 連線的 MACsec 支援功能
現有的 100 Gbps Cloud Interconnect 連線支援 Cloud Interconnect 適用的 MACsec。
如果您使用 10 Gbps 連線,請檢查主機代管機房是否支援 MACsec。如果主機代管服務供應商支援 MACsec,請確認 Cloud Interconnect 支援 MACsec。
如果現有的 Cloud Interconnect 連線不支援 MACsec,我可以啟用 MACsec 嗎?
如果共置設施不支援 MACsec,您可以採取下列任一做法:
申請新的 Cloud Interconnect 連線,並要求使用 MACsec 做為必要功能。
請與 Google Cloud 客戶經理聯絡,安排將現有的 Cloud Interconnect 連線遷移至支援 MACsec 的通訊埠。
由於排程限制,實體遷移連線可能需要數週的時間才能完成。遷移作業需要維護時段,在此期間,Cloud Interconnect 連線必須不含任何實際流量。