Modificare il comportamento di fail-open

Questa pagina descrive come modificare il comportamento di fail-open di MACsec per Cloud Interconnect.

Puoi scegliere di attivare MACsec per Cloud Interconnect con comportamento di fail-open. Con fail-open si intende che se i router di confine di Google non riescono a stabilire una sessione di accordo sulle chiavi MACsec (MKA) con il tuo router, la connessione Cloud Interconnect rimane operativa con il traffico non criptato. L'impostazione predefinita consente di eliminare tutto il traffico se non è possibile stabilire una sessione MKA con il router.

Puoi modificare il comportamento del failover MACsec solo utilizzando Google Cloud CLI.

Attiva il comportamento fail-open

Verifica che non sia presente traffico sulla connessione Cloud Interconnect prima di attivare MACsec per Cloud Interconnect con comportamento fail-open.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Disattivare il comportamento Fail Open

Se hai attivato il comportamento di fail-open per MACsec per Cloud Interconnect, puoi scegliere di disattivarlo in un secondo momento. Dopo aver disattivato il comportamento di fail-open, se i router di confine di Google non riescono a stabilire una sessione di accordo sulle chiavi MACsec (MKA) con il tuo router, la connessione perde tutto il traffico.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Passaggi successivi

• Risolvere i problemi di MACsec