Cette page explique comment modifier le comportement de configuration ouverte de MACsec pour Cloud Interconnect.
Vous pouvez choisir d'activer MACSec pour Cloud Interconnect avec un comportement de type "fail-open" (configuration ouverte). Cela signifie que si les routeurs périphériques de Google ne peuvent pas établir de session de clé-contrat MACsec (MKA, MACsec key agreement) avec votre routeur, la connexion Cloud Interconnect reste opérationnelle avec du trafic non chiffré. Le paramètre par défaut supprime tout le trafic si une session MKA ne peut pas être établie avec votre routeur.
Vous ne pouvez modifier le comportement de basculement MACsec qu'à l'aide de Google Cloud CLI.
Activer le comportement de configuration ouverte
Vérifiez qu'il n'y a pas de trafic sur votre connexion Cloud Interconnect avant d'activer MACsec pour Cloud Interconnect avec un comportement de configuration ouverte.
gcloud
Exécutez les commandes suivantes :
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Désactiver le comportement de configuration ouverte
Si le comportement de configuration ouverte est activé pour MACsec pour Cloud Interconnect, vous pouvez choisir de le désactiver par la suite. Une fois le comportement de configuration ouverte désactivé, si les routeurs périphériques de Google ne peuvent pas établir de session MKA avec votre routeur, la connexion abandonne tout le trafic.
gcloud
Exécutez les commandes suivantes :
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled