Este guia descreve as limitações conhecidas do Secure Web Proxy.
Limitações do Cloud NAT
Cada instância do Secure Web Proxy exige um gateway do Cloud NAT ativado apenas para os endpoints do Secure Web Proxy nessa região. O primeiro proxy da Web seguro provisionado em uma região de rede de nuvem privada virtual (VPC) também provisiona um gateway do Cloud NAT. O gateway do Cloud NAT permite a saída de todas as instâncias do Secure Web Proxy nessa rede virtual e região.
Somente IPv4 é aceito
O Secure Web Proxy oferece suporte apenas para IPv4. Não há suporte para IPv6.
Os endereços IP internos são regionais
O proxy seguro da Web aloca endereços IP virtuais em uma região. Os endereços IP virtuais só podem ser acessados na região em que são atribuídos. Além disso, as instâncias do Secure Web Proxy são provisionadas em uma região em uma rede VPC. Como resultado, os endereços IPv4 precisam ser alocados em uma sub-rede da região em que a instância do Secure Web Proxy está localizada.
Confira a seguir como o Secure Web Proxy aloca endereços IP:
- Se um endereço IP não reservado for especificado durante o provisionamento, esse endereço IP será usado.
- Se um endereço IP não for especificado, mas uma sub-rede e uma rede forem especificadas, um endereço IP será alocado automaticamente na sub-rede especificada.
- Se um endereço IP, uma sub-rede e uma rede não forem especificados, um endereço IP será alocado automaticamente na sub-rede padrão da rede padrão.
O provisionamento de IP falhará se nenhum dos itens anteriores for atendido.
Os endereços IP alocados pelo Proxy seguro da Web são IPs virtuais e são atribuídos a um grupo de proxies distribuídos em várias células de uma região. O Secure Web Proxy funciona como um servidor proxy explícito, que exige que os clientes tenham conectividade com o endereço IP virtual para transmitir o tráfego HTTP(S) de saída. Os clientes que têm conectividade com o endereço IP virtual podem acessar o Secure Web Proxy pelos seguintes métodos:
- Peering de rede VPC
- VPC compartilhada
- Local usando o Cloud VPN ou o Cloud Interconnect
Tráfego criptografado por TLS e HTTPS
As políticas de segurança reduziram o acesso aos atributos de solicitação para o tráfego criptografado com TLS entre o cliente e o destino. Essa criptografia é diferente do TLS opcional entre o cliente e o Secure Web Proxy.
As informações de origem e o host de destino estão disponíveis. No entanto, o caminho, o método HTTP e os cabeçalhos não são. Como resultado, o uso dos atributos request em um
GatewaySecurityPolicyRule
ApplicationMatcher implica implicitamente
uma correspondência no tráfego HTTP, mas não no tráfego HTTPS.
Versões HTTP com suporte
As versões HTTP 0.9, 1.0, 1.1 e 2.0 são compatíveis. O HTTP 3 não é compatível.
Proxy seguro da Web na VPC compartilhada
Só é possível implantar o Secure Web Proxy em um projeto host. Não é possível implantar o Proxy seguro da Web em um projeto de serviço.