本頁說明如何為 Cloud Interconnect 啟用 MACsec。
產生預先共用金鑰並設定內部部署路由器以便使用這些金鑰後,您需要為 Cloud Interconnect 啟用 MACsec。啟用 Cloud Interconnect 適用的 MACsec 後,請確認 Cloud Interconnect 設定正確無誤,且使用 MACsec 來保護資料。
事前準備
如果您尚未完成設定,請先設定 MACsec,再為 Cloud Interconnect 啟用 MACsec。
啟用 Cloud Interconnect 適用的 MACsec
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要修改的連線。
在「MACsec」分頁中,按一下「啟用」。
系統會顯示確認視窗。閱讀訊息,然後按一下「確認」確認要啟用 MACsec,或按一下「取消」取消。
gcloud
如要啟用 Cloud Interconnect 的 MACsec 並使用預設設定,請執行下列指令:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
將 INTERCONNECT_CONNECTION_NAME 替換為 Cloud Interconnect 連線的名稱。
驗證 MACsec 設定
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的連線。
「Link circuit info」部分會顯示以下資訊:
Google 電路 ID:連結電路的名稱。
連結狀態:LACP 成員連結的實際狀態會顯示 「檢查」和「有效」,表示 LACP 成員連結已啟用。
MACsec 金鑰名稱:顯示 檢查和 MACsec 金鑰名稱,表示連結上已啟用 MACsec。
接收光功率:「Check」圖示表示連線正常。實體介面從遠端發射器偵測到的光學光線強度,會以 dBm 顯示。
傳輸光功率:「Check」代表連線正常,且物理介面傳輸至遠端接收器的光訊號強度以 dBm 為單位顯示。
Google 責任分界點 ID:Google 為連結電路指定的不重複 ID。
按一下「MACsec」MACsec分頁標籤。「MACsec 設定」會針對 MACsec 設定顯示下列任一項目:
已啟用 (無法開啟):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,連結就會在未加密的情況下運作。
已啟用 (無法關閉):連結已啟用 MACsec 加密功能。如果兩端未建立 MACsec 加密,連結就會失敗。
gcloud
執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
輸出內容會與下列 10 GB Cloud Interconnect 範例相似,請找出設定為 IF_MACSEC 的 availableFeatures 和 macsec 部分:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
下列項目會指定 Cloud Interconnect 連線的 MACsec 設定:
availableFeatures:Cloud Interconnect 連線的 MACsec 功能。由於所有 100 GB Cloud Interconnect 連線預設為支援 MACsec,因此這個參數只會顯示 10 GB Cloud Interconnect 連線。macsec.failOpen:如果 Cloud Interconnect 無法與路由器建立 MKA 工作階段,連線的行為。值可以是下列任一項目:false:如果無法建立 MKA 工作階段,Cloud Interconnect 會捨棄所有流量。true:如果無法建立 MKA 工作階段,Cloud Interconnect 就會傳送未加密的流量。
macsec.preSharedKeys.name:此連結中為 Cloud Interconnect 設定的所有預先共用金鑰清單。macsec.preSharedKeys.startTime:目前預先共用金鑰的開始時間。所有金鑰的有效期限均為無限。macsecEnabled:這個連結的 Cloud Interconnect 適用 MACsec 狀態。值可以是下列任一項目:false:Cloud Interconnect 適用的 MACsec 已關閉。true:Cloud Interconnect 適用的 MACsec 已開啟。
這個指令不會顯示 MACsec 運作狀態。
在內部部署路由器上啟用 MACsec
請參閱路由器供應商的說明文件,在內部路由器上啟用 MACsec。
停止耗用 Cloud Interconnect 連線
如果您先前已耗盡 Cloud Interconnect 連線,請啟用 VLAN 連結。