Ce guide décrit les limites connues du proxy Web sécurisé.
Limites de Cloud NAT
Chaque instance de proxy Web sécurisé nécessite une passerelle Cloud NAT activée uniquement pour les points de terminaison du proxy Web sécurisé de cette région. Le premier Proxy Web sécurisé provisionné dans une région du réseau cloud privé virtuel (VPC) provisionne également une passerelle Cloud NAT. Passerelle Cloud NAT active le trafic de sortie pour toutes les instances du proxy Web sécurisé dans ce réseau virtuel dans la même région.
Limites réseau sur les identités
Les informations d'identité du client ne sont pas accessibles au-delà des limites de tout VPC ou projet.
Seul l'IPv4 est accepté
Le proxy Web sécurisé n'est compatible qu'avec IPv4. IPv6 n'est pas accepté.
Les adresses IP internes sont régionales
Le proxy Web sécurisé alloue des adresses IP virtuelles dans une région. Le réseau virtuel Les adresses IP ne sont accessibles que dans la région à laquelle elles sont attribuées. De plus, les instances de proxy Web sécurisé sont provisionnées dans une région au sein d'un réseau VPC. Par conséquent, les adresses IPv4 doivent être allouées à partir d'un sous-réseau de la région dans laquelle se trouve l'instance du proxy Web sécurisé.
Voici comment le proxy Web sécurisé attribue des adresses IP:
- Si une adresse IP non réservée est spécifiée lors du provisionnement, cette adresse IP est utilisée.
- Si aucune adresse IP n'est spécifiée, mais qu'un sous-réseau et un réseau le sont, une adresse IP est automatiquement allouée dans le sous-réseau spécifié.
- Si aucune adresse IP, ni sous-réseau, ni réseau ne sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau par défaut réseau par défaut.
Le provisionnement d'adresses IP échoue si aucun des éléments précédents n'est rempli.
Les adresses IP allouées par le proxy Web sécurisé sont des adresses IP virtuelles attribués à un groupe de proxies répartis sur plusieurs cellules au sein d'une dans la même région. Le proxy Web sécurisé agit en tant que serveur proxy explicite, ce qui nécessite que les clients disposent d'une connectivité à l'adresse IP virtuelle pour transmettre le trafic HTTP(S) sortant. Les clients disposant d'une connectivité à l'adresse IP virtuelle peuvent accéder au proxy Web sécurisé via les méthodes suivantes :
- Appairage de réseaux VPC
- VPC partagé
- Sur site à l'aide de Cloud VPN ou Cloud Interconnect
Trafic chiffré TLS et HTTPS
Les règles de sécurité ont réduit l'accès aux attributs de requête pour le trafic chiffré avec TLS entre le client et la destination. Ce chiffrement est distinct du chiffrement TLS facultatif entre le client et le proxy Web sécurisé.
Les informations sur la source et l'hôte de destination sont disponibles. Toutefois, le chemin d'accès HTTP
, et les en-têtes ne le sont pas. Par conséquent, l'utilisation des attributs request dans un
GatewaySecurityPolicyRule
ApplicationMatcher implicitement
implique la correspondance sur le trafic HTTP,
mais pas sur le trafic HTTPS.
Versions HTTP compatibles
Les versions HTTP 0.9, 1.0, 1.1 et 2.0 sont compatibles. HTTP 3 n'est pas compatible.
Proxy Web sécurisé dans un VPC partagé
Vous ne pouvez déployer le proxy Web sécurisé que dans un projet hôte. Vous ne pouvez pas déployer le proxy Web sécurisé dans un projet de service.