In diesem Leitfaden werden die bekannten Einschränkungen von Secure Web Proxy beschrieben.
Einschränkungen von Cloud NAT
Jede Secure Web Proxy-Instanz erfordert ein aktiviertes Cloud NAT-Gateway nur für die Secure Web Proxy-Endpunkte in dieser Region. Das erste Secure Web Proxy wird in einer VPC-Netzwerkregion (Virtual Private Cloud) bereitgestellt stellt außerdem ein Cloud NAT-Gateway bereit. Das Cloud NAT-Gateway ermöglicht den ausgehenden Traffic für alle Secure Web Proxy-Instanzen in diesem virtuellen Netzwerk und dieser Region.
Netzwerkeinschränkungen für Identitäten
Auf Informationen zur Identität von Kunden kann nicht über VPC- oder Projektgrenzen hinweg zugegriffen werden.
Nur IPv4 wird unterstützt
Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
Interne IP-Adressen sind regional
Secure Web Proxy weist virtuelle IP-Adressen innerhalb einer Region zu. Das virtuelle IP-Adressen sind nur in der Region erreichbar, die ihnen zugewiesen ist. Außerdem werden Secure Web Proxy-Instanzen in einer Region innerhalb eines VPC-Netzwerks bereitgestellt. Daher müssen IPv4-Adressen von innerhalb eines Subnetzes der Region, in der sich die Secure Web Proxy-Instanz befindet .
Im Folgenden wird beschrieben, wie Secure Web Proxy IP-Adressen zuweist:
- Wenn während der Bereitstellung eine nicht reservierte IP-Adresse angegeben wird, wird diese IP-Adresse verwendet.
- Wenn keine IP-Adresse angegeben ist, aber ein Subnetz und ein Netzwerk, wird automatisch eine IP-Adresse innerhalb der angegebenen Subnetz verwendet.
- Wenn keine IP-Adresse, kein Subnetz und kein Netzwerk angegeben sind, wird automatisch eine IP-Adresse im Standardsubnetz des Standardnetzwerks zugewiesen.
Die IP-Bereitstellung schlägt fehl, wenn keine der oben genannten Voraussetzungen erfüllt ist.
Die vom Secure Web Proxy zugewiesenen IP-Adressen sind virtuelle IP-Adressen und werden einer Gruppe von Proxys zugewiesen, die auf mehrere Zellen innerhalb einer Region verteilt sind. Secure Web Proxy agiert als expliziter Proxyserver, für den Folgendes erforderlich ist: Clients müssen eine Verbindung zur virtuellen IP-Adresse herstellen, um ausgehenden HTTP(S)-Traffic weiterzuleiten. Zugriffe. Clients, die eine Verbindung zur virtuellen IP-Adresse haben, können auf Schützen Sie den Web-Proxy mithilfe der folgenden Methoden:
- VPC-Netzwerk-Peering
- Freigegebene VPC
- Lokal mit Cloud VPN oder Cloud Interconnect
TLS-verschlüsselter Traffic und HTTPS
Sicherheitsrichtlinien haben eingeschränkten Zugriff auf Anfrageattribute für Traffic zwischen dem Client und dem Ziel mit TLS verschlüsselt. Diese Verschlüsselung unterscheidet sich von der optionalen TLS-Verschlüsselung zwischen dem Client und Secure Web Proxy.
Quellinformationen und Zielhost sind verfügbar. Pfad, HTTP
und Header nicht. Wenn Sie die request-Attribute in einer GatewaySecurityPolicyRule-ApplicationMatcher verwenden, wird also implizit eine Übereinstimmung mit HTTP-Traffic, aber nicht mit HTTPS-Traffic vorausgesetzt.
Unterstützte HTTP-Versionen
Es werden die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0 unterstützt. HTTP 3 wird nicht unterstützt.
Sicherer Web-Proxy in freigegebene VPC
Sie können Secure Web Proxy nur in einem Hostprojekt bereitstellen. Sie können Secure Web Proxy nicht in einem Dienstprojekt bereitstellen.