이 가이드에서는 보안 웹 프록시의 알려진 제한사항을 설명합니다.
Cloud NAT 제한사항
각 보안 웹 프록시 인스턴스에는 해당 리전의 보안 웹 프록시 엔드포인트에만 사용 설정된 Cloud NAT 게이트웨이가 필요합니다. Virtual Private Cloud(VPC) 네트워크 리전에 프로비저닝된 첫 번째 보안 웹 프록시도 Cloud NAT 게이트웨이를 프로비저닝합니다. Cloud NAT 게이트웨이는 가상 네트워크 및 리전에 있는 모든 보안 웹 프록시 인스턴스에 대해 이그레스를 사용 설정합니다.
ID의 네트워크 제한사항
VPC 또는 프로젝트 경계를 넘어 클라이언트 ID 정보에 액세스할 수 없습니다.
IPv4만 지원됨
보안 웹 프록시에서는 IPv4만 지원합니다. IPv6는 지원되지 않습니다.
내부 IP 주소는 리전입니다.
보안 웹 프록시는 리전 내에 가상 IP 주소를 할당합니다. 가상 IP 주소는 할당된 리전에서만 연결할 수 있습니다. 또한 보안 웹 프록시 인스턴스는 VPC 네트워크 내의 리전에 프로비저닝됩니다. 따라서 IPv4 주소는 보안 웹 프록시 인스턴스가 있는 리전의 서브넷 내에서 할당되어야 합니다.
다음은 보안 웹 프록시에서 IP 주소를 할당하는 방법을 설명합니다.
- 예약되지 않은 IP 주소가 프로비저닝 중에 지정된 경우 해당 IP 주소가 사용됩니다.
- IP 주소는 지정되지 않지만 서브넷과 네트워크가 지정되면 IP 주소가 지정된 서브넷 내에서 자동으로 할당됩니다.
- IP 주소, 서브넷, 네트워크가 지정되지 않은 경우 기본 네트워크의 기본 서브넷 내에 IP 주소가 자동으로 할당됩니다.
앞의 항목이 충족되지 않으면 IP 프로비저닝이 실패합니다.
보안 웹 프록시에서 할당하는 IP 주소는 가상 IP이고 리전 내 여러 셀에 분산된 프록시 그룹에 할당됩니다. 보안 웹 프록시는 명시적 프록시 서버로 작동합니다. 따라서 이그레스 HTTP(S) 트래픽을 전달하려면 클라이언트가 가상 IP 주소에 연결해야 합니다. 가상 IP 주소에 연결된 클라이언트는 다음 방법을 통해 보안 웹 프록시에 액세스할 수 있습니다.
- VPC 네트워크 피어링
- 공유 VPC
- Cloud VPN 또는 Cloud Interconnect를 사용한 온프레미스
TLS 암호화 트래픽 및 HTTPS
보안 정책에 따라 클라이언트와 대상 간의 TLS로 암호화된 트래픽의 요청 속성에 대한 액세스 권한이 감소했습니다. 이 암호화는 클라이언트와 보안 웹 프록시 간의 선택적 TLS와 다릅니다.
소스 정보 및 대상 호스트를 사용할 수 있습니다. 하지만 경로, HTTP 메서드, 헤더는 그렇지 않습니다. 따라서 GatewaySecurityPolicyRule
ApplicationMatcher에서 request 속성을 사용하면 HTTP 트래픽에서는 일치하지만 HTTPS 트래픽에서는 일치하지 않는다는 것을 암시합니다.
지원되는 HTTP 버전
HTTP 버전 0.9, 1.0, 1.1, 2.0이 지원됩니다. HTTP 3은 지원되지 않습니다.
공유 VPC의 보안 웹 프록시
호스트 프로젝트에만 보안 웹 프록시를 배포할 수 있습니다. 보안 웹 프록시는 서비스 프로젝트에 배포할 수 없습니다.