本頁面說明如何為 Cloud Interconnect 設定 MACsec。
如要為 Cloud Interconnect 啟用及使用 MACsec,您必須先建立一或多組預先共用金鑰,並設定內部部署路由器以便使用這些金鑰。你的路由器和 Google 的邊緣路由器會使用預先共用金鑰,加密在路由器之間傳輸的流量。
事前準備
如要取得擷取 MACsec 金鑰所需的權限,請要求管理員為您授予專案的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您選擇使用自訂角色,請確認用於管理 Cloud Interconnect 的 MACsec 的自訂角色包含 compute.interconnects.getMacsecConfig IAM 權限。
確認 Cloud Interconnect 是否支援 MACsec
請使用下列任一選項,確認現有的 Cloud Interconnect 連線是否支援 MACsec。如果是,請跳至「建立預先共用金鑰」一節。
所有跨網站互連網路連線都支援 MACsec。
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
按一下要檢查的連線名稱。
按一下「MACsec」MACsec分頁標籤。
系統會顯示 MACsec 資訊。如果 Cloud Interconnect 連線支援 MACsec,但未設定,MACsec 設定會顯示「已停用」。如果連線不支援 MACsec,則「啟用」按鈕無法執行,並在滑鼠游標懸停在按鈕上時顯示「您的互連網路不支援 MACsec,您需要支援 MACsec 的通訊埠。」
gcloud
執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
將 INTERCONNECT_CONNECTION_NAME 替換為 Cloud Interconnect 連線的名稱。
輸出結果會與下列範例相似。支援 MACsec 的連線會顯示下列資訊:
- 10 GB 連結:
linkType: LINK_TYPE_ETHERNET_10G_LR和availableFeatures: IF_MACSEC - 100 GB 連結:
linkType: LINK_TYPE_ETHERNET_100G_LR;所有 100 GB 連結皆支援 MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
下列項目會指定 Cloud Interconnect 連線的 MACsec 設定:
availableFeatures:Cloud Interconnect 連線的 MACsec 功能。這個參數只會顯示 10 GB Cloud Interconnect 連線,因為 100 GB Cloud Interconnect 連線預設為支援 MACsec。macsecEnabled:這個連結的 Cloud Interconnect 適用 MACsec 狀態。在互連網路啟用 MACsec 之前,這個值會是 false。
要求支援 MACsec 的 Cloud Interconnect 連線
根據預設,100 GB Cloud Interconnect 連線可支援 MACsec。不過,除非是跨網站互連網路連線,否則 10 GB 連線預設不支援 MACsec。如果現有連線不支援 MACsec,您必須先要求新的連線,再繼續操作。
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
按一下「設定實體連線」。
選取「專屬互連網路」,然後按一下「繼續」。
選取「訂購新的專屬互連網路」,然後按一下「繼續」。
指定連線詳細資料:
名稱:連線的名稱。這個名稱會顯示在 Google Cloud 主控台中,並由 Google Cloud CLI 用於參照連線,例如
my-interconnect。Google Cloud 位置:建立連線的實際位置。您的內部部署網路必須與Google Cloud在這個位置的網路銜接。您可以在「地理位置」下拉式選單中,依地理區域限制可用的地點清單。
「目前專案的 MACsec 支援功能」欄會顯示 Cloud Interconnect 適用的 MACsec 可用的電路大小。
容量:連線總容量,由您訂購的連線數量和大小決定。
選取畫面上顯示的其中一個選項。
訂購支援 MACsec 的通訊埠:如果您要訂購 10 Gbps 實體連線,請在訂購支援 MACsec 的 Cloud Interconnect 連線時選取這個選項。如果您訂購的是 100 Gbps 實體連結,系統會自動為您選取支援 MACsec 的連接埠,且無法取消選取。
您可以在「Description」欄位中提供連線的說明 (選填)。這段說明供您參考。
點按「Next」。
如果您需要備援功能,請指定備援連線的詳細資料,然後按一下「Next」(下一步)。
指定聯絡資訊:
檢查您的訂單內容。請確認專屬互連服務連線詳細資料和聯絡資訊正確無誤。如果一切都正確無誤,請按一下「Place order」。如果沒有,請返回並編輯連線詳細資料。
在訂單確認頁面上查看後續步驟,然後按一下「完成」。
gcloud
以下指令示範如何在 10 GB 連結上要求支援 MACsec 的 Cloud Interconnect 連線。系統支援 10 GB 連線的 MACsec,但您必須與Google Cloud 帳戶團隊聯絡,才能讓 Google Cloud 專案在 10 GB 連結上建立支援 MACsec 的連線。
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=MACSEC
更改下列內容:
INTERCONNECT_CONNECTION_NAME:Cloud Interconnect 連線的名稱CUSTOMER_NAME:我們為此連線發出的授權書 (LOA) 中客戶的名稱INTERCONNECT_CONNECTION_LOCATION:位置表格中列出的 Cloud Interconnect 連線位置LINK_COUNT:您想要的 Cloud Interconnect 連線數量
您要求支援 MACsec 的 Cloud Interconnect 連線後,系統就會為您佈建 Cloud Interconnect 連線。
如要進一步瞭解佈建功能,請參閱下列資源:
建立預先共用金鑰
佈建支援 MACsec 的 Cloud Interconnect 連線後,請建立 MACsec 用來加密 Google 邊緣路由器和您路由器之間傳輸流量的預先共用金鑰。建立金鑰不會啟用 MACsec。如要啟用 MACsec,您必須設定內部部署路由器,然後啟用 MACsec。
使用 Cloud Interconnect 的 MACsec 時,您至少需要一組金鑰,且該金鑰的開始時間必須為現在或之前。您為 Cloud Interconnect 適用的 MACsec 建立的金鑰有效期限無限。每個連線最多可有五個鍵。
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要修改的連線。
在「MACsec」分頁中,前往「預先共用金鑰」部分,然後按一下「受管理的預先共用金鑰」。
指定預先共用金鑰的詳細資料:
Key Name 1:金鑰名稱。這個名稱會顯示在 Google Cloud 主控台中,並由 gcloud CLI 用於參照金鑰,例如
psk-1。開始時間 1:開始使用此金鑰的時間。
如要新增更多預先共用金鑰,請按一下「Add key」。連續的預先共用金鑰,其開始時間必須至少間隔六小時。
按一下「提交」。
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
更改下列內容:
KEY_NAME:鍵的名稱START_TIME:此金鑰的有效時間,以 ISO 8601 格式表示,例如2023-07-01T21:00:01.000Z
取得預先共用金鑰
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的連線。
在「MACsec」分頁中,前往「預先共用金鑰」部分,找出預先共用金鑰的名稱,然後按一下「查看」。視窗會顯示連線關聯鍵 (CAK) 和連線關聯鍵名稱 (CKN)。按一下任一值旁的「複製」,即可將值複製到電腦的剪貼簿。
按一下 [關閉]。
gcloud
執行下列指令:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
輸出結果會與下列內容相似:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
請記下路由器設定的連線關聯鍵 (CAK) 和連線關聯鍵名稱 (CKN)。
如果您收到權限遭拒的錯誤訊息,請確認您具備正確的權限。詳情請參閱「事前準備」一節。
設定內部部署路由器
請參閱路由器供應商的說明文件,在路由器上設定下列值,以便與 Google 路由器相容。
目前 Google 尚未啟用 MACsec。為避免流量中斷,請勿在設定這些值時啟用路由器的 MACsec。
| 設定 | 值 |
|---|---|
| MACsec 加密套件 |
|
| CAK 加密演算法 | AES_256_CMAC |
| 金鑰伺服器優先順序 | 15 |
| 安全關聯金鑰 (SAK) 重設金鑰間隔 | 28800 秒 |
| MACsec 機密性偏移 | 0 |
| 視窗大小 | 64 |
| 完整性檢查值 (ICV) 指標 | 是 |
| CAK | 您先前取得預先共用金鑰時記下的值。 |
| CKN | 您先前取得預先共用金鑰時記下的值。 |
| 安全管道 ID (SCI) | 已啟用 |