이 가이드에서는 보안 웹 프록시의 알려진 제한사항을 설명합니다.
Cloud NAT 제한사항
각 보안 웹 프록시 인스턴스에는 해당 리전의 보안 웹 프록시 엔드포인트에만 사용 설정된 Cloud NAT 게이트웨이가 필요합니다. Virtual Private Cloud(VPC) 네트워크 리전에 프로비저닝된 첫 번째 보안 웹 프록시도 Cloud NAT 게이트웨이를 프로비저닝합니다. Cloud NAT 게이트웨이를 사용하면 해당 가상 네트워크 및 리전의 모든 보안 웹 프록시 인스턴스에 대한 이그레스를 사용 설정할 수 있습니다.
IPv4만 지원됨
보안 웹 프록시는 IPv4만 지원합니다. IPv6는 지원되지 않습니다.
내부 IP 주소는 리전별
보안 웹 프록시는 리전 내에서 가상 IP 주소를 할당합니다. 가상 IP 주소는 할당된 리전에서만 연결할 수 있습니다. 또한 보안 웹 프록시 인스턴스는 VPC 네트워크 내의 리전에 프로비저닝됩니다. 따라서 보안 웹 프록시 인스턴스가 있는 리전의 서브넷 내에서 IPv4 주소를 할당해야 합니다.
다음은 보안 웹 프록시에서 IP 주소를 할당하는 방법을 설명합니다.
- 프로비저닝 중에 예약되지 않은 IP 주소가 지정되면 해당 IP 주소가 사용됩니다.
- IP 주소는 지정하지 않았지만 서브넷과 네트워크는 지정한 경우 지정된 서브넷 내에 IP 주소가 자동으로 할당됩니다.
- IP 주소, 서브넷, 네트워크가 지정되지 않은 경우 IP 주소는 기본 네트워크의 기본 서브넷 내에 자동으로 할당됩니다.
위 항목 중 어느 것도 충족되지 않으면 IP 프로비저닝이 실패합니다.
보안 웹 프록시에서 할당하는 IP 주소는 가상 IP이며 리전 내 여러 셀에 분산된 프록시 그룹에 할당됩니다. 보안 웹 프록시는 명시적 프록시 서버 역할을 하므로 클라이언트가 이그레스 HTTP(S) 트래픽을 전달하려면 가상 IP 주소에 연결되어 있어야 합니다. 가상 IP 주소에 연결된 클라이언트는 다음 방법을 통해 보안 웹 프록시에 액세스할 수 있습니다.
- VPC 네트워크 피어링
- 공유 VPC
- Cloud VPN 또는 Cloud Interconnect를 사용한 온프레미스
TLS 암호화 트래픽 및 HTTPS
보안 정책으로 인해 클라이언트와 대상 간에 TLS로 암호화된 트래픽의 요청 속성에 대한 액세스가 줄었습니다. 이 암호화는 클라이언트와 보안 웹 프록시 간의 선택적 TLS와 다릅니다.
소스 정보와 대상 호스트를 사용할 수 있습니다. 하지만 경로, HTTP 메서드, 헤더는 그렇지 않습니다. 따라서 GatewaySecurityPolicyRule
ApplicationMatcher
에서 request
속성을 사용하면 HTTP 트래픽에서는 일치하지만 HTTPS 트래픽에서는 일치하지 않는다는 것을 암시합니다.
지원되는 HTTP 버전
HTTP 버전 0.9, 1.0, 1.1, 2.0이 지원됩니다. HTTP 3은 지원되지 않습니다.
공유 VPC의 보안 웹 프록시
보안 웹 프록시는 호스트 프로젝트에만 배포할 수 있습니다. 서비스 프로젝트에는 보안 웹 프록시를 배포할 수 없습니다.