In diesem Leitfaden werden die bekannten Einschränkungen von Secure Web Proxy beschrieben.
Cloud NAT-Einschränkungen
Jede Secure Web Proxy-Instanz erfordert ein Cloud NAT-Gateway, das nur für die Secure Web Proxy-Endpunkte in dieser Region aktiviert ist. Der erste Secure Web Proxy, der in einer VPC-Netzwerkregion (Virtual Private Cloud) bereitgestellt wird, stellt auch ein Cloud NAT-Gateway bereit. Das Cloud NAT-Gateway ermöglicht ausgehenden Traffic für alle Secure Web Proxy-Instanzen in diesem virtuellen Netzwerk und dieser Region.
Netzwerkeinschränkungen für Identitäten
Informationen zur Clientidentität sind über VPC- oder Projektgrenzen hinweg nicht zugänglich.
Nur IPv4 wird unterstützt
Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
Interne IP-Adressen sind regional
Secure Web Proxy weist virtuelle IP-Adressen innerhalb einer Region zu. Die virtuellen IP-Adressen sind nur in der Region erreichbar, die ihnen zugewiesen ist. Außerdem werden Secure Web Proxy-Instanzen in einer Region innerhalb eines VPC-Netzwerk bereitgestellt. Daher müssen IPv4-Adressen aus einem Subnetz der Region zugewiesen werden, in der sich die Secure Web Proxy-Instanz befindet.
Im Folgenden wird beschrieben, wie Secure Web Proxy IP-Adressen zuweist:
- Wenn bei der Bereitstellung eine nicht reservierte IP-Adresse angegeben wird, wird diese IP-Adresse verwendet.
- Wenn keine IP-Adresse angegeben ist, aber ein Subnetz und ein Netzwerk angegeben sind, wird innerhalb des angegebenen Subnetzes automatisch eine IP-Adresse zugewiesen.
- Wenn keine IP-Adresse, ein Subnetz und kein Netzwerk angegeben sind, wird innerhalb des Standardsubnetzes des Standardnetzwerks automatisch eine IP-Adresse zugewiesen.
Die IP-Bereitstellung schlägt fehl, wenn keines der oben genannten Punkte erfüllt ist.
Die von Secure Web Proxy zugewiesenen IP-Adressen sind virtuelle IP-Adressen und werden einer Gruppe von Proxys zugewiesen, die auf mehrere Zellen innerhalb einer Region verteilt sind. Secure Web Proxy fungiert als expliziter Proxyserver. Daher müssen Clients eine Verbindung zur virtuellen IP-Adresse haben, um ausgehenden HTTP(S)-Traffic weiterleiten zu können. Clients, die eine Verbindung zur virtuellen IP-Adresse haben, können über die folgenden Methoden auf Secure Web Proxy zugreifen:
- VPC-Netzwerk-Peering
- Freigegebene VPC
- Lokal über Cloud VPN oder Cloud Interconnect
TLS-verschlüsselter Traffic und HTTPS
Sicherheitsrichtlinien haben eingeschränkten Zugriff auf Anfrageattribute für Traffic, der mit TLS zwischen dem Client und dem Ziel verschlüsselt ist. Diese Verschlüsselung unterscheidet sich vom optionalen TLS zwischen dem Client und Secure Web Proxy.
Es sind Quellinformationen und Zielhost verfügbar. Pfad, HTTP-Methode und Header jedoch nicht. Die Verwendung der request-Attribute in einem GatewaySecurityPolicyRule-ApplicationMatcher impliziert implizit einen Abgleich bei HTTP-Traffic, aber nicht bei HTTPS-Traffic.
Unterstützte HTTP-Versionen
Es werden die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0 unterstützt. HTTP 3 wird nicht unterstützt.
Sicherer Web-Proxy in freigegebene VPC
Sie können Secure Web Proxy nur in einem Hostprojekt bereitstellen. Sie können Secure Web Proxy nicht in einem Dienstprojekt bereitstellen.