このガイドでは、Secure Web Proxy の既知の制限について説明します。
Cloud NAT の制限事項
各Secure Web Proxy インスタンスには、そのリージョン内の Secure Web Proxy エンドポイントでのみ有効になる Cloud NAT ゲートウェイが必要です。Virtual Private Cloud(VPC)ネットワーク リージョンでプロビジョニングされた最初の Secure Web Proxy も Cloud NAT ゲートウェイをプロビジョニングします。Cloud NAT ゲートウェイにより、その仮想ネットワークとリージョン内のすべての Secure Web Proxy インスタンスに対して下り(外向き)が有効になります。
IPv4 のみサポートされています
Secure Web Proxy は IPv4 のみをサポートします。IPv6 はサポートされていません。
内部 IP アドレスはリージョンです
Secure Web Proxy は、リージョン内で仮想 IP アドレスを割り当てます。仮想 IP アドレスには、割り当てられているリージョンからのみアクセスできます。また、Secure Web Proxy インスタンスは、VPC ネットワーク内のリージョンにプロビジョニングされます。そのため、IPv4 アドレスは、Secure Web Proxy インスタンスが配置されているリージョンのサブネット内から割り当てる必要があります。
以下では、Secure Web Proxy が IP アドレスを割り振る方法を説明します。
- プロビジョニング中に予約されていない IP アドレスが指定されている場合は、その IP アドレスが使用されます。
- IP アドレスは指定せずにサブネットとネットワークを指定した場合、IP アドレスは指定されたサブネット内で自動的に割り振られます。
- IP アドレス、サブネット、ネットワークが指定されていない場合、IP アドレスはデフォルト ネットワークのデフォルト サブネット内に自動的に割り振られます。
上記の項目のいずれも満たされていない場合、IP のプロビジョニングは失敗します。
Secure Web Proxy によって割り当てられた IP アドレスは仮想 IP であり、リージョン内の複数のセルに分散されたプロキシのグループに割り当てられます。Secure Web Proxy は明示的なプロキシ サーバーとして機能します。クライアントは、下り(外向き)HTTP(S) トラフィックを渡すために、仮想 IP アドレスに接続する必要があります。仮想 IP アドレスに接続しているクライアントは、次の方法で Secure Web Proxy にアクセスできます。
- VPC ネットワーク ピアリング
- 共有 VPC
- オンプレミス(Cloud VPN または Cloud Interconnect を使用)
TLS 暗号化トラフィックと HTTPS
セキュリティ ポリシーにより、クライアントと宛先間で TLS で暗号化されたトラフィックのリクエスト属性へのアクセスが制限されています。この暗号化は、クライアントと Secure Web Proxy のオプションの TLS とは異なります。
送信元情報と宛先ホストが使用できます。ただし、パス、HTTP メソッド、ヘッダーは変更できません。その結果、GatewaySecurityPolicyRule ApplicationMatcher で request 属性を使用すると、HTTP トラフィックでは暗黙的に一致しますが、HTTPS トラフィックでは一致しません。
サポートされている HTTP バージョン
HTTP バージョン 0.9、1.0、1.1、2.0 がサポートされています。HTTP 3 はサポートされていません。
共有 VPC の Secure Web Proxy
Secure Web Proxy はホスト プロジェクトにのみデプロイできます。サービス プロジェクトに Secure Web Proxy をデプロイすることはできません。