Ce guide décrit les limites connues du proxy Web sécurisé.
Limites de Cloud NAT
Chaque instance de proxy Web sécurisé nécessite une passerelle Cloud NAT activée uniquement pour les points de terminaison de proxy Web sécurisé de cette région. Le premier proxy Web sécurisé provisionné dans une région de réseau cloud privé virtuel (VPC) provisionne également une passerelle Cloud NAT. La passerelle Cloud NAT permet la sortie pour toutes les instances de proxy Web sécurisé de ce réseau virtuel et de cette région.
Seul l'IPv4 est accepté
Le proxy Web sécurisé n'est compatible qu'avec IPv4. Le protocole IPv6 n'est pas compatible.
Les adresses IP internes sont régionales
Le proxy Web sécurisé alloue des adresses IP virtuelles dans une région. Les adresses IP virtuelles ne sont accessibles que dans la région à laquelle elles sont attribuées. De plus, les instances de proxy Web sécurisé sont provisionnées dans une région au sein d'un réseau VPC. Par conséquent, les adresses IPv4 doivent être allouées à partir d'un sous-réseau de la région dans laquelle se trouve l'instance du proxy Web sécurisé.
La section suivante décrit comment le proxy Web sécurisé alloue des adresses IP:
- Si une adresse IP non réservée est spécifiée lors du provisionnement, cette adresse IP est utilisée.
- Si aucune adresse IP n'est spécifiée, mais qu'un sous-réseau et un réseau le sont, une adresse IP est automatiquement allouée dans le sous-réseau spécifié.
- Si aucune adresse IP, sous-réseau et réseau ne sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau par défaut du réseau par défaut.
Le provisionnement d'adresses IP échoue si aucun des éléments précédents n'est rempli.
Les adresses IP attribuées par le proxy Web sécurisé sont des adresses IP virtuelles et sont attribuées à un groupe de proxys répartis sur plusieurs cellules d'une même région. Le proxy Web sécurisé agit en tant que serveur proxy explicite, ce qui nécessite que les clients disposent d'une connectivité à l'adresse IP virtuelle pour transmettre le trafic HTTP(S) sortant. Les clients disposant d'une connectivité à l'adresse IP virtuelle peuvent accéder au proxy Web sécurisé via les méthodes suivantes:
- Appairage de réseaux VPC
- VPC partagé
- Sur site à l'aide de Cloud VPN ou Cloud Interconnect
Trafic chiffré TLS et HTTPS
Les règles de sécurité ont réduit l'accès aux attributs de requête pour le trafic chiffré avec TLS entre le client et la destination. Ce chiffrement est distinct du chiffrement TLS facultatif entre le client et le proxy Web sécurisé.
Les informations sur la source et l'hôte de destination sont disponibles. En revanche, le chemin, la méthode HTTP et les en-têtes ne le sont pas. Par conséquent, l'utilisation des attributs request dans un GatewaySecurityPolicyRule
ApplicationMatcher implique implicitement une mise en correspondance sur le trafic HTTP, mais pas sur le trafic HTTPS.
Versions HTTP compatibles
Les versions HTTP 0.9, 1.0, 1.1 et 2.0 sont compatibles. Le protocole HTTP 3 n'est pas compatible.
Proxy Web sécurisé dans un VPC partagé
Vous ne pouvez déployer un proxy Web sécurisé que dans un projet hôte. Vous ne pouvez pas déployer le proxy Web sécurisé dans un projet de service.