Ce guide décrit les limites connues du proxy Web sécurisé.
Limites de Cloud NAT
Chaque instance de proxy Web sécurisé nécessite une passerelle Cloud NAT activée uniquement pour les points de terminaison du proxy Web sécurisé dans cette région. Le premier proxy Web sécurisé provisionné dans une région de réseau cloud privé virtuel (VPC) provisionne également une passerelle Cloud NAT. La passerelle Cloud NAT active la sortie de toutes les instances du proxy Web sécurisé dans ce réseau virtuel et cette région.
Limites du réseau au niveau des identités
Les informations d'identité du client ne sont pas accessibles au-delà des limites du VPC ou du projet.
Seul le protocole IPv4 est accepté.
Le proxy Web sécurisé n'est compatible qu'avec le protocole IPv4. Le protocole IPv6 n'est pas compatible.
Les adresses IP internes sont régionales
Le proxy Web sécurisé alloue des adresses IP virtuelles dans une région. Les adresses IP virtuelles ne sont accessibles que dans la région qui leur a été attribuée. De plus, les instances de proxy Web sécurisé sont provisionnées dans une région au sein d'un réseau VPC. Par conséquent, les adresses IPv4 doivent être allouées à partir d'un sous-réseau de la région dans laquelle se trouve l'instance de proxy Web sécurisé.
La section suivante décrit comment le proxy Web sécurisé attribue les adresses IP:
- Si une adresse IP non réservée est spécifiée lors du provisionnement, cette adresse IP est utilisée.
- Si aucune adresse IP n'est spécifiée, mais qu'un sous-réseau et un réseau sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau spécifié.
- Si aucune adresse IP, aucun sous-réseau ni réseau ne sont spécifiés, une adresse IP est automatiquement allouée dans le sous-réseau par défaut du réseau par défaut.
Le provisionnement d'adresses IP échoue si aucun des éléments ci-dessus n'est rempli.
Les adresses IP allouées par le proxy Web sécurisé sont des adresses IP virtuelles et sont attribuées à un groupe de proxys répartis sur plusieurs cellules d'une région. Le proxy Web sécurisé agit en tant que serveur proxy explicite, qui exige que les clients disposent d'une connectivité à l'adresse IP virtuelle pour transmettre le trafic HTTP(S) de sortie. Les clients connectés à l'adresse IP virtuelle peuvent accéder au proxy Web sécurisé à l'aide des méthodes suivantes:
- Appairage de réseaux VPC
- VPC partagé
- Sur site à l'aide de Cloud VPN ou de Cloud Interconnect
Trafic chiffré par TLS et HTTPS
Les règles de sécurité limitent l'accès aux attributs de requête pour le trafic chiffré via TLS entre le client et la destination. Ce chiffrement est distinct du protocole TLS facultatif entre le client et le proxy Web sécurisé.
Des informations sur la source et l'hôte de destination sont disponibles. En revanche, ce n'est pas le cas du chemin d'accès,
de la méthode HTTP et des en-têtes. Par conséquent, l'utilisation des attributs request dans un ApplicationMatcher GatewaySecurityPolicyRule implique implicitement une mise en correspondance sur le trafic HTTP, mais pas sur le trafic HTTPS.
Versions HTTP compatibles
Les versions HTTP 0.9, 1.0, 1.1 et 2.0 sont compatibles. Le protocole HTTP 3 n'est pas compatible.
Proxy Web sécurisé dans un VPC partagé
Vous ne pouvez déployer un proxy Web sécurisé que dans un projet hôte. Vous ne pouvez pas déployer le proxy Web sécurisé dans un projet de service.