In diesem Leitfaden werden die bekannten Einschränkungen von Secure Web Proxy beschrieben.
Cloud NAT-Einschränkungen
Jede Secure Web Proxy-Instanz erfordert ein Cloud NAT-Gateway, das nur für die Secure Web Proxy-Endpunkte in dieser Region aktiviert ist. Der erste Secure Web Proxy, der in einer VPC-Netzwerkregion (Virtual Private Cloud) bereitgestellt wird, stellt auch ein Cloud NAT-Gateway bereit. Das Cloud NAT-Gateway aktiviert ausgehenden Traffic für alle Secure Web Proxy-Instanzen im virtuellen Netzwerk und in der Region.
Netzwerkbeschränkungen für Identitäten
Informationen zur Clientidentität sind über VPC- oder Projektgrenzen hinweg nicht zugänglich.
Nur IPv4 wird unterstützt
Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
Interne IP-Adressen sind regional
Secure Web Proxy weist virtuelle IP-Adressen innerhalb einer Region zu. Die virtuellen IP-Adressen sind nur in der Region erreichbar, der sie zugewiesen sind. Außerdem werden Secure Web Proxy-Instanzen in einer Region innerhalb eines VPC-Netzwerk bereitgestellt. Daher müssen IPv4-Adressen in einem Subnetz der Region zugewiesen werden, in der sich die Secure Web Proxy-Instanz befindet.
Im Folgenden wird beschrieben, wie der Secure Web Proxy IP-Adressen zuweist:
- Wenn während der Bereitstellung eine nicht reservierte IP-Adresse angegeben wird, wird diese IP-Adresse verwendet.
- Wenn keine IP-Adresse angegeben ist, aber ein Subnetz und ein Netzwerk angegeben sind, wird innerhalb des angegebenen Subnetzes automatisch eine IP-Adresse zugewiesen.
- Wenn keine IP-Adresse, ein Subnetz und kein Netzwerk angegeben sind, wird automatisch eine IP-Adresse im Standardsubnetz des Standardnetzwerks zugewiesen.
Die IP-Bereitstellung schlägt fehl, wenn keines der vorherigen Elemente erfüllt ist.
Die von Secure Web Proxy zugewiesenen IP-Adressen sind virtuelle IP-Adressen und werden einer Gruppe von Proxys zugewiesen, die auf mehrere Zellen innerhalb einer Region verteilt sind. Secure Web Proxy fungiert als expliziter Proxyserver. Dafür benötigen die Clients eine Verbindung zur virtuellen IP-Adresse, um ausgehenden HTTP(S)-Traffic weiterleiten zu können. Clients, die eine Verbindung zur virtuellen IP-Adresse haben, können mit den folgenden Methoden auf Secure Web Proxy zugreifen:
- VPC-Netzwerk-Peering
- Freigegebene VPC
- Lokal über Cloud VPN oder Cloud Interconnect
TLS-verschlüsselter Traffic und HTTPS
Sicherheitsrichtlinien haben den Zugriff auf Anfrageattribute für Traffic eingeschränkt, der mit TLS zwischen dem Client und dem Ziel verschlüsselt ist. Diese Verschlüsselung unterscheidet sich von der optionalen TLS zwischen dem Client und Secure Web Proxy.
Quellinformationen und Zielhost sind verfügbar. Pfad, HTTP-Methode und Header hingegen nicht. Daher impliziert die Verwendung der request-Attribute in einem GatewaySecurityPolicyRule-ApplicationMatcher implizit einen Abgleich für HTTP-Traffic, aber nicht für HTTPS-Traffic.
Unterstützte HTTP-Versionen
Die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0 werden unterstützt. HTTP 3 wird nicht unterstützt.
Sicherer Web-Proxy in freigegebene VPC
Sie können Secure Web Proxy nur in einem Hostprojekt bereitstellen. Sie können Secure Web Proxy nicht in einem Dienstprojekt bereitstellen.