Questa guida descrive le limitazioni note di Secure Web Proxy.
Limitazioni di Cloud NAT
Ogni istanza di Secure Web Proxy richiede un gateway Cloud NAT abilitato solo per gli endpoint di Secure Web Proxy nella regione in questione. Il primo proxy web sicuro di cui viene eseguito il provisioning in una regione di rete Virtual Private Cloud (VPC) esegue anche il provisioning di un gateway Cloud NAT. Il gateway Cloud NAT consente il traffico in uscita per tutte le istanze Secure Web Proxy nella rete virtuale e nella regione.
È supportato solo IPv4
Secure Web Proxy supporta solo IPv4. IPv6 non è supportato.
Gli indirizzi IP interni sono regionali
Secure Web Proxy alloca indirizzi IP virtuali all'interno di una regione. Gli indirizzi IP virtuali sono raggiungibili solo nella regione a cui sono assegnati. Inoltre, le istanze di Secure Web Proxy vengono provisionate in una regione all'interno di una rete VPC. Di conseguenza, gli indirizzi IPv4 devono essere allocati da una subnet della regione in cui si trova l'istanza di Secure Web Proxy.
Di seguito viene descritto come Secure Web Proxy assegna gli indirizzi IP:
- Se durante il provisioning viene specificato un indirizzo IP non riservato, verrà utilizzato questo indirizzo IP.
- Se non viene specificato un indirizzo IP, ma sono specificate una subnet e una rete, viene allocato automaticamente un indirizzo IP all'interno della subnet specificata.
- Se non vengono specificati un indirizzo IP, una subnet e una rete, un indirizzo IP viene allocato automaticamente nella subnet predefinita della rete predefinita.
Il provisioning IP non va a buon fine se non viene soddisfatto nessuno degli elementi precedenti.
Gli indirizzi IP allocati da Secure Web Proxy sono IP virtuali e vengono assegnati a un gruppo di proxy distribuiti su più celle all'interno di una regione. Il proxy web sicuro agisce come un server proxy esplicito, che richiede ai client di avere connettività con l'indirizzo IP virtuale per far passare il traffico HTTP(S) in uscita. I client con connettività all'indirizzo IP virtuale possono accedere al proxy web sicuro tramite i seguenti metodi:
- Peering di rete VPC
- VPC condiviso
- On-premise utilizzando Cloud VPN o Cloud Interconnect
Traffico con crittografia TLS e HTTPS
I criteri di sicurezza hanno ridotto l'accesso agli attributi delle richieste per il traffico criptato con TLS tra il client e la destinazione. Questa crittografia è distinta dal protocollo TLS facoltativo tra il client e Secure Web Proxy.
Le informazioni sull'origine e sull'host di destinazione sono disponibili. Tuttavia, il percorso, il metodo HTTP e le intestazioni non lo sono. Di conseguenza, l'utilizzo degli attributi request
in un
GatewaySecurityPolicyRule
ApplicationMatcher
implica implicitamente la corrispondenza sul traffico HTTP, ma non sul traffico HTTPS.
Versioni HTTP supportate
Sono supportate le versioni HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 non è supportato.
Secure Web Proxy in VPC condiviso
Puoi eseguire il deployment di Secure Web Proxy solo in un progetto host. Non puoi eseguire il deployment di Secure Web Proxy in un progetto di servizio.