Limitations connues

Ce guide décrit les limites connues du proxy Web sécurisé.

Limites de Cloud NAT

Chaque instance de proxy Web sécurisé nécessite une passerelle Cloud NAT activée uniquement pour les points de terminaison du proxy Web sécurisé de cette région. Le premier proxy Web sécurisé provisionné dans une région de réseau cloud privé virtuel (VPC) provisionne également une passerelle Cloud NAT. La passerelle Cloud NAT active la sortie pour toutes les instances de proxy Web sécurisé dans ce réseau virtuel et cette région.

Limites du réseau concernant les identités

Les informations sur l'identité du client ne sont pas accessibles au-delà des limites du VPC ou du projet.

Seul le protocole IPv4 est accepté.

Le proxy Web sécurisé n'est compatible qu'avec IPv4. Le protocole IPv6 n'est pas compatible.

Les adresses IP internes sont régionales

Le proxy Web sécurisé alloue des adresses IP virtuelles dans une région. Les adresses IP virtuelles ne sont accessibles que dans la région qui leur est attribuée. En outre, les instances de proxy Web sécurisé sont provisionnées dans une région au sein d'un réseau VPC. Par conséquent, les adresses IPv4 doivent être allouées à partir d'un sous-réseau de la région dans laquelle se trouve l'instance proxy Web sécurisé.

Voici comment le proxy Web sécurisé attribue les adresses IP:

  • Si une adresse IP non réservée est spécifiée lors du provisionnement, cette adresse IP est utilisée.
  • Si aucune adresse IP n'est spécifiée, mais qu'un sous-réseau et un réseau sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau spécifié.
  • Si aucune adresse IP, aucun sous-réseau ni réseau ne sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau par défaut du réseau par défaut.

Le provisionnement d'adresse IP échoue si aucun des éléments précédents n'est rempli.

Les adresses IP allouées par le proxy Web sécurisé sont des adresses IP virtuelles et sont attribuées à un groupe de proxys répartis sur plusieurs cellules d'une région. Le proxy Web sécurisé agit comme un serveur proxy explicite, qui exige que les clients disposent d'une connectivité à l'adresse IP virtuelle pour transmettre le trafic HTTP(S) de sortie. Les clients qui se connectent à l'adresse IP virtuelle peuvent accéder au proxy Web sécurisé via les méthodes suivantes:

  • Appairage de réseaux VPC
  • VPC partagé
  • Sur site à l'aide de Cloud VPN ou de Cloud Interconnect

Trafic chiffré par TLS et HTTPS

Les règles de sécurité réduisent l'accès aux attributs de requête pour le trafic chiffré via TLS entre le client et la destination. Ce chiffrement est distinct du protocole TLS facultatif établi entre le client et le proxy Web sécurisé.

Les informations sur la source et l'hôte de destination sont disponibles. Ce n'est pas le cas du chemin d'accès, de la méthode HTTP et des en-têtes. Par conséquent, l'utilisation des attributs request dans un ApplicationMatcher GatewaySecurityPolicyRule implique implicitement une mise en correspondance sur le trafic HTTP, mais pas sur le trafic HTTPS.

Versions HTTP compatibles

Les versions HTTP 0.9, 1.0, 1.1 et 2.0 sont compatibles. Le protocole HTTP 3 n'est pas compatible.