Modificare il comportamento di fail-open

Questa pagina descrive come modificare il comportamento di fail-open di MACsec per Cloud Interconnect.

Puoi scegliere di abilitare MACsec per Cloud Interconnect con fail-open comportamento degli utenti. Fail-open significa che se i router perimetrali di Google non sono in grado di stabilire un MACsec chiave (MKA) con il router, poi Cloud Interconnect la connessione continua a funzionare anche con il traffico non criptato. L'impostazione predefinita consente di eliminare tutto il traffico se non è possibile stabilire una sessione MKA con il router.

Puoi modificare il comportamento di failover di MACsec solo utilizzando Google Cloud CLI.

Attiva il comportamento fail-open

Verifica che non sia presente traffico sulla connessione Cloud Interconnect prima di attivare MACsec per Cloud Interconnect con comportamento fail-open.

gcloud

Esegui questi comandi:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Disabilita il comportamento di fail-open

Se hai abilitato il comportamento di fail-open per MACsec per Cloud Interconnect, puoi scegliere di disabilitare il comportamento di fail-open in un secondo momento. Dopo il comportamento di fail-open, è disabilitata, se i router perimetrali di Google non sono in grado di stabilire un contratto chiave MACsec (MKA) sessione con il router, la connessione interrompe tutto il traffico.

gcloud

Esegui questi comandi:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Passaggi successivi