Questa pagina descrive come modificare il comportamento di fail-open di MACsec per Cloud Interconnect.
Puoi scegliere di abilitare MACsec per Cloud Interconnect con fail-open comportamento degli utenti. Fail-open significa che se i router perimetrali di Google non sono in grado di stabilire un MACsec chiave (MKA) con il router, poi Cloud Interconnect la connessione continua a funzionare anche con il traffico non criptato. L'impostazione predefinita consente di eliminare tutto il traffico se non è possibile stabilire una sessione MKA con il router.
Puoi modificare il comportamento di failover di MACsec solo utilizzando Google Cloud CLI.
Attiva il comportamento fail-open
Verifica che non sia presente traffico sulla connessione Cloud Interconnect prima di attivare MACsec per Cloud Interconnect con comportamento fail-open.
gcloud
Esegui questi comandi:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Disabilita il comportamento di fail-open
Se hai abilitato il comportamento di fail-open per MACsec per Cloud Interconnect, puoi scegliere di disabilitare il comportamento di fail-open in un secondo momento. Dopo il comportamento di fail-open, è disabilitata, se i router perimetrali di Google non sono in grado di stabilire un contratto chiave MACsec (MKA) sessione con il router, la connessione interrompe tutto il traffico.
gcloud
Esegui questi comandi:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled