Modificar o comportamento fail open ativado

Nesta página, descrevemos como modificar o MACsec para o comportamento de abertura/falha do Cloud Interconnect.

É possível ativar o MACsec para o Cloud Interconnect com o comportamento fail open. Fail Open significa que, se os roteadores de borda do Google não conseguirem estabelecer uma sessão de acordo de chave MACsec (MKA, na sigla em inglês) com o roteador, a conexão do Cloud Interconnect permanecerá operacional com tráfego não criptografado. A configuração padrão eliminará todo o tráfego se uma sessão MKA não puder ser estabelecida com seu roteador.

Só é possível alterar o comportamento de failover do MACsec usando a CLI do Google Cloud.

Ativar comportamento de fail open

Verifique se não há tráfego na sua conexão do Cloud Interconnect antes de ativar o MACsec para o Cloud Interconnect com comportamento de fail open.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Desativar comportamento de fail open

Se o comportamento de falha de abertura estiver ativado para MACsec para o Cloud Interconnect, você poderá desativá-lo depois. Depois que o comportamento de falha de abertura for desativado, se os roteadores de borda do Google não conseguirem estabelecer uma sessão de acordo de chave MACsec (MKA) com o roteador, a conexão descartará todo o tráfego.

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled \
    --no-fail-open
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

A seguir

• Resolver problemas do MACsec