En esta guía, se describen las limitaciones conocidas del Proxy web seguro.
Limitaciones de Cloud NAT
Cada instancia del Proxy web seguro requiere una puerta de enlace de Cloud NAT que esté habilitada solo para los extremos del Proxy web seguro en esa región. La primera Proxy web seguro aprovisionado en una región de red de nube privada virtual (VPC) también aprovisiona una puerta de enlace de Cloud NAT. La puerta de enlace de Cloud NAT permite la salida para todas las instancias del Proxy web seguro en esa red virtual y región.
Limitaciones de red en las identidades
No se puede acceder a la información de identidad del cliente en ninguna VPC ni proyecto límites.
Solo se admite IPv4
El Proxy web seguro solo es compatible con IPv4. IPv6 no es compatible.
Las direcciones IP internas son regionales
El Proxy web seguro asigna direcciones IP virtuales dentro de una región. La nube virtual Solo se puede acceder a las direcciones IP en la región que tienen asignadas. Además, Las instancias del Proxy web seguro se aprovisionan en una región dentro de de VPC de Google Cloud. En consecuencia, las direcciones IPv4 deben asignarse dentro de una subred de la región en la que se encuentra la instancia del Proxy web seguro en el que te etiquetaron.
A continuación, se describe cómo el Proxy web seguro asigna direcciones IP:
- Si se especifica una dirección IP no reservada durante el aprovisionamiento, esa IP una nueva dirección de correo electrónico.
- Si no se especifica una dirección IP, pero sí se especifican una subred y una red se asigna una dirección IP automáticamente dentro del rango subred.
- Si no se especifican una dirección IP, una subred ni una red, entonces se asigna automáticamente dentro de la subred predeterminada de la red predeterminada.
El aprovisionamiento de IP falla si no se cumple ninguno de los elementos anteriores.
Las direcciones IP asignadas por el Proxy web seguro son IP virtuales y se se asignan a un grupo de proxies distribuidos en múltiples celdas dentro de región. El Proxy web seguro actúa como un servidor proxy explícito, que requiere clientes tengan conectividad a la dirección IP virtual para pasar el HTTP(S) de salida tráfico. Los clientes que tengan conectividad con la dirección IP virtual pueden acceder Proxy web seguro a través de los siguientes métodos:
- Intercambio de tráfico entre redes de VPC
- VPC compartida
- De forma local mediante Cloud VPN o Cloud Interconnect
Tráfico TLS encriptado y HTTPS
Las políticas de seguridad redujeron el acceso a los atributos de solicitud de tráfico encriptados con TLS entre el cliente y el destino. Esta encriptación es distinta de la TLS opcional entre el cliente y el Proxy web seguro.
La información de origen y el host de destino están disponibles. Sin embargo, la ruta, los HTTP
y los encabezados no lo son. Por lo tanto, si usas los atributos request en una
GatewaySecurityPolicyRule
ApplicationMatcher implícitamente
implica coincidencia en el tráfico HTTP, pero no en el tráfico HTTPS.
Versiones de HTTP compatibles
Se admiten las versiones de HTTP 0.9, 1.0, 1.1 y 2.0. HTTP 3 no es compatible.
Proxy web seguro en VPC compartida
Solo puedes implementar el Proxy web seguro en un proyecto host. No puedes realizar la implementación Proxy web seguro en un proyecto de servicio