Modifier le comportement de configuration ouverte

Cette page explique comment modifier le comportement de configuration ouverte de MACsec pour Cloud Interconnect.

Vous pouvez choisir d'activer MACSec pour Cloud Interconnect avec un comportement de type "fail-open" (configuration ouverte). Cela signifie que si les routeurs périphériques de Google ne peuvent pas établir de session de clé-contrat MACsec (MKA, MACsec key agreement) avec votre routeur, la connexion Cloud Interconnect reste opérationnelle avec du trafic non chiffré. Le paramètre par défaut supprime tout le trafic si une session MKA ne peut pas être établie avec votre routeur.

Vous ne pouvez modifier le comportement de basculement MACsec qu'à l'aide de Google Cloud CLI.

Activer le comportement de configuration ouverte

Vérifiez qu'il n'y a pas de trafic sur votre connexion Cloud Interconnect avant d'activer MACsec pour Cloud Interconnect avec un comportement de configuration ouverte.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Désactiver le comportement de configuration ouverte

Si le comportement de configuration ouverte est activé pour MACsec pour Cloud Interconnect, vous pouvez choisir de le désactiver par la suite. Une fois le comportement de configuration ouverte désactivé, si les routeurs périphériques de Google ne peuvent pas établir de session MKA avec votre routeur, la connexion abandonne tout le trafic.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Étape suivante

• Résolvez les problèmes liés à MACsec.