Questa pagina descrive come modificare il comportamento fail-open di MACsec per Cloud Interconnect.
Puoi scegliere di attivare MACsec per Cloud Interconnect con comportamento fail-open. Con fail-open si intende che se i router di confine di Google non riescono a stabilire una sessione di accordo sulle chiavi MACsec (MKA) con il tuo router, la connessione Cloud Interconnect rimane operativa con il traffico non criptato. L'impostazione predefinita consente di eliminare tutto il traffico se non è possibile stabilire una sessione MKA con il router.
Puoi modificare il comportamento del failover MACsec solo utilizzando Google Cloud CLI.
Attiva il comportamento fail-open
Verifica che non sia presente traffico sulla connessione Cloud Interconnect prima di attivare MACsec per Cloud Interconnect con comportamento fail-open.
gcloud
Esegui questi comandi:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Disattivare il comportamento Fail Open
Se hai attivato il comportamento di fail-open per MACsec per Cloud Interconnect, puoi scegliere di disattivarlo in un secondo momento. Dopo aver disattivato il comportamento di fail-open, se i router di confine di Google non riescono a stabilire una sessione di accordo sulle chiavi MACsec (MKA) con il tuo router, la connessione interrompe tutto il traffico.
gcloud
Esegui questi comandi:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled