このガイドでは、Secure Web Proxy の既知の制限について説明します。
Cloud NAT の制限
各Secure Web Proxy インスタンスには、そのリージョン内の Secure Web Proxy エンドポイントでのみ有効になる Cloud NAT ゲートウェイが必要です。Virtual Private Cloud(VPC)ネットワーク リージョンでプロビジョニングされた最初の Secure Web Proxy も Cloud NAT ゲートウェイをプロビジョニングします。Cloud NAT ゲートウェイにより、その仮想ネットワークとリージョン内のすべての Secure Web Proxy インスタンスに対して下り(外向き)が有効になります。
ID に関するネットワークの制限
クライアント ID の情報は、VPC やプロジェクトの境界を介してアクセスできません。
IPv4 のみサポートされています
Secure Web Proxy は IPv4 のみをサポートします。IPv6 はサポートされていません。
内部 IP アドレスはリージョン単位
Secure Web Proxy は、リージョン内で仮想 IP アドレスを割り当てます。仮想 IP アドレスは、割り当てられたリージョンでのみ到達可能です。また、Secure Web Proxy インスタンスは、VPC ネットワーク内のリージョンにプロビジョニングされます。そのため、IPv4 アドレスは、Secure Web Proxy インスタンスが配置されているリージョンのサブネット内から割り当てる必要があります。
以下では、Secure Web Proxy が IP アドレスを割り振る方法を説明します。
- プロビジョニング時に予約されていない IP アドレスが指定されている場合、その IP アドレスが使用されます。
- IP アドレスが指定されず、サブネットとネットワークが指定されている場合、IP アドレスは自動的にサブネットに割り当てられます。
- IP アドレス、サブネット、ネットワークが指定されていない場合、IP アドレスはデフォルト ネットワークのデフォルトのサブネット内に自動的に割り振られます。
前述のいずれの項目も満たされない場合、IP プロビジョニングは失敗します。
Secure Web Proxy によって割り当てられた IP アドレスは仮想 IP であり、リージョン内の複数のセルに分散されたプロキシのグループに割り当てられます。Secure Web Proxy は明示的なプロキシ サーバーとして機能します。クライアントは、下り(外向き)HTTP(S) トラフィックを渡すために、仮想 IP アドレスに接続する必要があります。仮想 IP アドレスに接続しているクライアントは、次の方法で Secure Web Proxy にアクセスできます。
- VPC ネットワーク ピアリング
- 共有 VPC
- Cloud VPN または Cloud Interconnect を使用したオンプレミス
TLS 暗号化トラフィックと HTTPS
クライアントと宛先の間で TLS で暗号化されたトラフィックのリクエスト属性へのアクセスがセキュリティ ポリシーによって削減されました。この暗号化は、クライアントと Secure Web Proxy のオプションの TLS とは異なります。
ソース情報と宛先ホストが使用可能です。ただし、パス、HTTP メソッド、ヘッダーは使用できません。その結果、GatewaySecurityPolicyRule ApplicationMatcher で request 属性を使用すると、HTTP トラフィックでは暗黙的に一致しますが、HTTPS トラフィックでは一致しません。
サポートされている HTTP バージョン
HTTP バージョン 0.9、1.0、1.1、2.0 がサポートされています。HTTP 3 はサポートされていません。
共有 VPC の Secure Web Proxy
Secure Web Proxy は、ホスト プロジェクトにのみデプロイできます。サービス プロジェクトに Secure Web Proxy をデプロイすることはできません。