本指南介绍了安全 Web 代理的已知限制。
Cloud NAT 限制
每个安全 Web 代理实例都需要一个已启用的 Cloud NAT 网关 安全 Web 代理端点。第一个 在 Virtual Private Cloud (VPC) 网络区域中预配安全 Web 代理 还会预配一个 Cloud NAT 网关Cloud NAT 网关 为虚拟网络中的所有安全 Web 代理实例启用出站流量,并且 区域。
针对身份的网络限制
无法在任何 VPC 或项目中访问客户端身份信息 边界。
仅支持 IPv4
安全 Web 代理仅支持 IPv4。不支持 IPv6。
内部 IP 地址是区域级的
安全 Web 代理在区域内分配虚拟 IP 地址。虚拟 IP 地址只能在其所分配的区域内访问。此外, 安全 Web 代理实例在 VPC 网络。因此,IPv4 地址必须从 安全 Web 代理实例所在区域内的子网内 位置
下面介绍了安全 Web 代理分配 IP 地址的方式:
- 如果在预配期间指定了未预留的 IP 地址,则该 IP 地址 地址。
- 如果未指定 IP 地址,但指定了子网和网络, 系统就会自动为指定的 IP 地址分配 子网
- 如果未指定 IP 地址、子网和网络, 自动分配地址 默认网络。
如果不满足上述任一条件,IP 配置就会失败。
安全 Web 代理分配的 IP 地址是虚拟 IP 地址, 分配给一组代理,而这些代理分布在多个单元中 区域。安全 Web 代理可充当显式代理服务器, 客户端连接到虚拟 IP 地址以传递出站 HTTP(S) 流量。连接到虚拟 IP 地址的客户端可以访问 通过以下方法保障 Web 代理的安全:
- VPC 网络对等互连
- 共享 VPC
- 在本地使用 Cloud VPN 或 Cloud Interconnect
TLS 加密流量和 HTTPS
安全政策减少了对流量请求属性的访问权限 并在客户端和目的地之间通过 TLS 加密。这种加密方式 这与客户端和安全 Web 代理之间的可选 TLS 不同。
来源信息和目标主机均可用。然而,HTTP 协议的
方法,标头则不是必需的。因此,在request
GatewaySecurityPolicyRule
ApplicationMatcher 隐式
这意味着匹配 HTTP 流量,而不是 HTTPS 流量。
支持的 HTTP 版本
支持 HTTP 0.9、1.0、1.1 和 2.0 版本。不支持 HTTP 3。
共享 VPC 中的安全 Web 代理
您只能在宿主项目中部署安全 Web 代理。您无法部署 服务项目中的安全 Web 代理。