Limitaciones conocidas

En esta guía, se describen las limitaciones conocidas del proxy web seguro.

Limitaciones de Cloud NAT

Cada instancia de proxy web seguro requiere una puerta de enlace de Cloud NAT que esté habilitada solo para los extremos del proxy web seguro en esa región. El primer proxy web seguro aprovisionado en una región de red de nube privada virtual (VPC) también aprovisiona una puerta de enlace de Cloud NAT. La puerta de enlace de Cloud NAT habilita la salida para todas las instancias de proxy web seguro en esa red virtual y región.

Limitaciones de red en las identidades

No se puede acceder a la información de identidad del cliente en ningún límite de VPC o proyecto.

Solo se admite IPv4

El proxy web seguro solo admite IPv4. IPv6 no es compatible.

Las direcciones IP internas son regionales

El proxy web seguro asigna direcciones IP virtuales dentro de una región. Las direcciones IP virtuales son accesibles solo en la región que están asignadas. Además, las instancias de proxy web seguro se aprovisionan en una región dentro de una red de VPC. Como resultado, las direcciones IPv4 deben asignarse desde una subred de la región en la que se encuentra la instancia de proxy web seguro.

A continuación, se describe cómo el proxy web seguro asigna direcciones IP:

  • Si se especifica una dirección IP no reservada durante el aprovisionamiento, se usa esa dirección IP.
  • Si no se especifica una dirección IP, pero se especifican una subred y una red, se asigna una dirección IP de forma automática dentro de la subred especificada.
  • Si no se especifican una dirección IP, una subred ni una red, se asigna una dirección IP de forma automática dentro de la subred predeterminada de esa red.

El aprovisionamiento de IP falla si no se cumple ninguno de los elementos anteriores.

Las direcciones IP que asigna el proxy web seguro son IP virtuales y se asignan a un grupo de proxies distribuidos en varias celdas dentro de una región. El proxy web seguro actúa como un servidor proxy explícito, que requiere que los clientes tengan conectividad a la dirección IP virtual para pasar tráfico HTTP(S) de salida. Los clientes que tienen conectividad a la dirección IP virtual pueden acceder al proxy web seguro a través de los siguientes métodos:

  • Intercambio de tráfico entre redes de VPC
  • VPC compartida
  • Local con Cloud VPN o Cloud Interconnect

Tráfico TLS encriptado y HTTPS

Las políticas de seguridad han reducido el acceso a los atributos de solicitud para el tráfico encriptado con TLS entre el cliente y el destino. Esta encriptación es distinta de la TLS opcional entre el cliente y el proxy web seguro.

La información de origen y el host de destino están disponibles. Sin embargo, la ruta, el método HTTP y los encabezados no lo son. Como resultado, usar los atributos request en una GatewaySecurityPolicyRule ApplicationMatcher implica de manera implícita la coincidencia en el tráfico HTTP, pero no en el HTTPS.

Versiones de HTTP compatibles

Se admiten las versiones de HTTP 0.9, 1.0, 1.1 y 2.0. No se admite HTTP 3.