Nesta página, descrevemos como modificar o MACsec para o comportamento de abertura/falha do Cloud Interconnect.
É possível ativar o MACsec para o Cloud Interconnect com o comportamento fail open. Fail Open significa que, se os roteadores de borda do Google não conseguirem estabelecer uma sessão de acordo de chave MACsec (MKA, na sigla em inglês) com o roteador, a conexão do Cloud Interconnect permanecerá operacional com tráfego não criptografado. A configuração padrão eliminará todo o tráfego se uma sessão MKA não puder ser estabelecida com seu roteador.
Só é possível alterar o comportamento de failover do MACsec usando a CLI do Google Cloud.
Ativar comportamento de fail open
Verifique se não há tráfego na sua conexão do Cloud Interconnect antes de ativar o MACsec para o Cloud Interconnect com comportamento de fail open.
gcloud
Execute os comandos a seguir:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Desativar comportamento de fail open
Se o comportamento de falha de abertura estiver ativado para MACsec para o Cloud Interconnect, você poderá desativá-lo depois. Depois que o comportamento de falha de abertura for desativado, se os roteadores de borda do Google não conseguirem estabelecer uma sessão de acordo de chave MACsec (MKA) com o roteador, a conexão descartará todo o tráfego.
gcloud
Execute os comandos a seguir:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--no-enabled \
--no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled