已知限制

本指南介绍了安全 Web 代理的已知限制。

Cloud NAT 限制

每个安全 Web 代理实例都需要一个 Cloud NAT 网关，该网关仅针对该区域中的安全 Web 代理端点启用。在 Virtual Private Cloud (VPC) 网络区域中预配的第一个安全 Web 代理也会预配一个 Cloud NAT 网关。Cloud NAT 网关可为该虚拟网络和区域中的所有安全 Web 代理实例启用出站流量。

仅支持 IPv4

安全 Web 代理仅支持 IPv4。不支持 IPv6。

内部 IP 地址是区域性的

安全 Web 代理会在某个区域内分配虚拟 IP 地址。虚拟 IP 地址只能在分配给它们的区域内访问。此外，安全 Web 代理实例会在 VPC 网络内的某个区域中预配。因此，IPv4 地址必须从安全 Web 代理实例所在区域的子网中分配。

以下介绍了安全 Web 代理如何分配 IP 地址：

• 如果在预配期间指定了未预留的 IP 地址，则系统会使用该 IP 地址。
• 如果未指定 IP 地址，但指定了子网和网络，则系统会在指定的子网中自动分配 IP 地址。
• 如果未指定 IP 地址、子网和网络，则系统会在默认网络的默认子网中自动分配 IP 地址。

如果不满足上述任何条件，IP 预配将会失败。

安全 Web 代理分配的 IP 地址是虚拟 IP 地址，会分配给分布在某个区域内多个单元格的一组代理。安全 Web 代理充当显式代理服务器，需要客户端与虚拟 IP 地址建立连接才能传递出站 HTTP(S) 流量。与虚拟 IP 地址连接的客户端可以通过以下方法访问安全 Web 代理：

• VPC 网络对等互连
• 共享 VPC
• 本地（使用 Cloud VPN 或 Cloud Interconnect）

支持的 HTTP 版本

支持 HTTP 0.9、1.0、1.1 和 2.0 版本。不支持 HTTP 3。

共享 VPC 中的安全 Web 代理

您只能在宿主项目中部署安全 Web 代理。您无法在服务项目中部署安全 Web 代理。

安全规则创建竞态条件

使用 Terraform 并行创建大量安全 Web 代理安全规则时，您可能会遇到竞态条件。如需解决此问题，请将 terraform apply 命令与 --parallelism=1 搭配使用。

Private Service Connect 中的安全 Web 代理

安全 Web 代理不支持将 RoutingMode 设置为 NEXT_HOP_ROUTING_MODE 且具有 Private Service Connect 服务附件。

支持的前端端口数量

安全 Web 代理最多支持 5 个前端端口。创建网关后，您将无法更改所选的端口。