Ce guide décrit les limites connues du proxy Web sécurisé.
Limites de Cloud NAT
Chaque instance de proxy Web sécurisé nécessite une passerelle Cloud NAT activée uniquement pour les points de terminaison du proxy Web sécurisé de cette région. Le premier Proxy Web sécurisé provisionné dans une région du réseau cloud privé virtuel (VPC) provisionne également une passerelle Cloud NAT. Passerelle Cloud NAT active le trafic de sortie pour toutes les instances du proxy Web sécurisé dans ce réseau virtuel dans la même région.
Limites réseau appliquées aux identités
Les informations sur l'identité des clients ne sont accessibles dans aucun VPC ni projet des limites.
Seul IPv4 est accepté
Le proxy Web sécurisé n'est compatible qu'avec IPv4. IPv6 n'est pas accepté.
Les adresses IP internes sont régionales
Le proxy Web sécurisé alloue des adresses IP virtuelles au sein d'une région. Le cloud computing Les adresses IP ne sont accessibles que dans la région à laquelle elles sont attribuées. Par ailleurs, Les instances de proxy Web sécurisé sont provisionnées dans une région au sein d'un sur le réseau VPC du client. Par conséquent, les adresses IPv4 doivent être allouées dans un sous-réseau de la région où se situe l'instance du proxy Web sécurisé po.
Voici comment le proxy Web sécurisé attribue des adresses IP:
- Si une adresse IP non réservée est spécifiée lors du provisionnement, cette adresse IP est utilisée.
- Si aucune adresse IP n'est spécifiée, mais qu'un sous-réseau et un réseau sont spécifiés, une adresse IP est automatiquement allouée dans la plage sous-réseau.
- Si aucune adresse IP, ni sous-réseau, ni réseau ne sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau par défaut réseau par défaut.
Le provisionnement des adresses IP échoue si aucune des conditions précédentes n'est remplie.
Les adresses IP allouées par le proxy Web sécurisé sont des adresses IP virtuelles attribués à un groupe de proxies répartis sur plusieurs cellules au sein d'une dans la même région. Le proxy Web sécurisé agit comme un serveur proxy explicite, ce qui nécessite les clients doivent disposer d'une connectivité à l'adresse IP virtuelle pour transmettre le trafic du trafic. Les clients connectés à l'adresse IP virtuelle peuvent accéder via l'une des méthodes suivantes:
- Appairage de réseaux VPC
- VPC partagé
- Sur site à l'aide de Cloud VPN ou de Cloud Interconnect
Trafic chiffré TLS et HTTPS
Les règles de sécurité limitent l'accès aux attributs de requête pour le trafic chiffré avec TLS entre le client et la destination. Ce chiffrement est distinct du protocole TLS facultatif entre le client et le proxy Web sécurisé.
Les informations sur la source et l'hôte de destination sont disponibles. Toutefois, le chemin d'accès HTTP
, et les en-têtes ne le sont pas. Par conséquent, l'utilisation des attributs request dans un
GatewaySecurityPolicyRule
ApplicationMatcher implicitement
implique la correspondance sur le trafic HTTP,
mais pas sur le trafic HTTPS.
Versions HTTP compatibles
Les versions HTTP 0.9, 1.0, 1.1 et 2.0 sont compatibles. HTTP 3 n'est pas compatible.
Proxy Web sécurisé dans un VPC partagé
Vous ne pouvez déployer le proxy Web sécurisé que dans un projet hôte. Vous ne pouvez pas déployer Proxy Web sécurisé dans un projet de service.