Este guia descreve as limitações conhecidas do Secure Web Proxy.
Limitações do Cloud NAT
Cada instância do Secure Web Proxy requer um gateway do Cloud NAT ativado apenas para os endpoints do Secure Web Proxy nessa região. O primeiro proxy seguro da Web provisionado em uma região de rede de nuvem privada virtual (VPC) também provisiona um gateway do Cloud NAT. O gateway do Cloud NAT permite a saída de todas as instâncias do Secure Web Proxy nessa rede e região virtual.
Limitações de rede nas identidades
As informações de identidade do cliente não podem ser acessadas em nenhum limite de VPC ou do projeto.
Somente IPv4 é compatível
O Secure Web Proxy só oferece suporte a IPv4. IPv6 não é compatível.
Endereços IP internos são regionais
O Secure Web Proxy aloca endereços IP virtuais em uma região. Os endereços IP virtuais só podem ser acessados na região a que são atribuídos. Além disso, as instâncias do Proxy seguro da Web são provisionadas em uma região dentro de uma rede VPC. Dessa forma, os endereços IPv4 precisam ser alocados dentro de uma sub-rede da região em que a instância do Secure Web Proxy está localizada.
Veja a seguir como o Secure Web Proxy aloca endereços IP:
- Se um endereço IP não reservado for especificado durante o provisionamento, ele será usado.
- Se não for especificado um endereço IP, mas uma sub-rede e uma rede forem especificados, um endereço IP será alocado automaticamente dentro da sub-rede especificada.
- Se um endereço IP, uma sub-rede e uma rede não forem especificados, um endereço IP será alocado automaticamente dentro da sub-rede padrão da rede padrão.
O provisionamento de IP falhará se nenhum dos itens anteriores for atendido.
Os endereços IP alocados pelo Secure Web Proxy são IPs virtuais e são atribuídos a um grupo de proxies distribuídos em várias células em uma região. O Secure Web Proxy atua como um servidor proxy explícito, o que exige que os clientes tenham conectividade com o endereço IP virtual para passar o tráfego HTTP(S) de saída. Os clientes que têm conectividade com o endereço IP virtual podem acessar o Proxy seguro da Web por meio dos seguintes métodos:
- Peering de rede VPC
- VPC compartilhada
- No local, usando o Cloud VPN ou o Cloud Interconnect
Tráfego criptografado por TLS e HTTPS
As políticas de segurança reduziram o acesso aos atributos de solicitação do tráfego criptografado com TLS entre o cliente e o destino. Essa criptografia é diferente do TLS opcional entre o cliente e o Secure Web Proxy.
As informações de origem e o host de destino estão disponíveis. No entanto, o caminho, o método HTTP
e os cabeçalhos não estão. Consequentemente, o uso dos atributos request em um
GatewaySecurityPolicyRule
ApplicationMatcher implica implicitamente
a correspondência no tráfego HTTP, mas não no tráfego HTTPS.
Versões HTTP compatíveis
As versões HTTP 0.9, 1.0, 1.1 e 2.0 são compatíveis. HTTP 3 não é compatível.
Secure Web Proxy em VPC compartilhada
Só é possível implantar o Secure Web Proxy em um projeto host. Não é possível implantar o Secure Web Proxy em um projeto de serviço.