En esta guía, se describen las limitaciones conocidas del Proxy web seguro.
Limitaciones de Cloud NAT
Cada instancia del Proxy web seguro requiere una puerta de enlace de Cloud NAT que esté habilitada solo para los extremos del Proxy web seguro en esa región. El primer proxy web seguro aprovisionado en una región de red de nube privada virtual (VPC) también aprovisiona una puerta de enlace de Cloud NAT. La puerta de enlace de Cloud NAT habilita la salida para todas las instancias del Proxy web seguro en esa red virtual y región.
Limitaciones de red en las identidades
No se puede acceder a la información de identidad del cliente a través de ningún límite de VPC o proyecto.
Solo se admite IPv4
El Proxy web seguro solo es compatible con IPv4. IPv6 no es compatible.
Las direcciones IP internas son regionales
El Proxy web seguro asigna direcciones IP virtuales dentro de una región. Solo se puede acceder a las direcciones IP virtuales en la región que se asignaron. Además, las instancias del Proxy web seguro se aprovisionan en una región dentro de una red de VPC. Como resultado, las direcciones IPv4 deben asignarse desde una subred de la región en la que se encuentra la instancia del Proxy web seguro.
A continuación, se describe cómo el Proxy web seguro asigna direcciones IP:
- Si se especifica una dirección IP no reservada durante el aprovisionamiento, se usa esa dirección IP.
- Si no se especifica una dirección IP, pero sí se especifican una subred y una red, se asigna una dirección IP de forma automática dentro de la subred especificada.
- Si no se especifican una dirección IP, una subred ni una red, se asigna una dirección IP de forma automática dentro de la subred predeterminada de la red predeterminada.
El aprovisionamiento de IP falla si no se cumple ninguno de los elementos anteriores.
Las direcciones IP asignadas por el Proxy web seguro son IP virtuales y se asignan a un grupo de proxies distribuidos en varias celdas dentro de una región. El Proxy web seguro actúa como un servidor proxy explícito, que requiere que los clientes tengan conectividad con la dirección IP virtual para pasar el tráfico HTTP(S) de salida. Los clientes que tengan conectividad con la dirección IP virtual pueden acceder al Proxy web seguro a través de los siguientes métodos:
- Intercambio de tráfico entre redes de VPC
- VPC compartida
- De forma local mediante Cloud VPN o Cloud Interconnect
Tráfico TLS encriptado y HTTPS
Las políticas de seguridad redujeron el acceso a los atributos de solicitud para el tráfico encriptado con TLS entre el cliente y el destino. Esta encriptación es distinta de la TLS opcional entre el cliente y el Proxy web seguro.
La información de origen y el host de destino están disponibles. Sin embargo, la ruta, el método HTTP
y los encabezados no lo son. Como resultado, el uso de los atributos request en un ApplicationMatcher de GatewaySecurityPolicyRule implica de forma implícita la coincidencia con el tráfico HTTP, pero no con el HTTPS.
Versiones de HTTP compatibles
Se admiten las versiones de HTTP 0.9, 1.0, 1.1 y 2.0. HTTP 3 no es compatible.
Proxy web seguro en VPC compartida
Solo puedes implementar el Proxy web seguro en un proyecto host. No puedes implementar el Proxy web seguro en un proyecto de servicio.