Este guia descreve as limitações conhecidas do Secure Web Proxy.
Limitações do Cloud NAT
Cada instância do Secure Web Proxy requer um gateway do Cloud NAT ativado apenas para os endpoints do Secure Web Proxy naquela região. A primeira Proxy seguro da Web provisionado em uma região de rede de nuvem privada virtual (VPC) também provisiona um gateway do Cloud NAT. O gateway do Cloud NAT ativa a saída de todas as instâncias do Secure Web Proxy nessa rede virtual. região.
Limitações de rede nas identidades
As informações de identidade do cliente não podem ser acessadas em nenhuma VPC ou projeto limites.
Somente IPv4 é compatível
O Secure Web Proxy só oferece suporte a IPv4. IPv6 não é compatível.
Endereços IP internos são regionais
O Secure Web Proxy aloca endereços IP virtuais em uma região. O ambiente Os endereços IP são acessíveis apenas na região em que são atribuídos. Além disso, As instâncias do Secure Web Proxy são provisionadas em uma região dentro de um rede VPC do produtor de serviços. Como resultado, os endereços IPv4 precisam ser alocados em uma sub-rede da região em que a instância do Secure Web Proxy está localizada.
Veja a seguir como o Secure Web Proxy aloca endereços IP:
- Se um endereço IP não reservado for especificado durante o provisionamento, esse IP é usado.
- Se um endereço IP não for especificado, mas uma sub-rede e uma rede forem especificadas, um endereço IP é automaticamente alocado dentro do sub-rede.
- Se um endereço IP, uma sub-rede e uma rede não forem especificados, um endereço IP é alocado automaticamente dentro da sub-rede padrão do rede padrão.
O provisionamento de IP vai falhar se nenhum dos itens anteriores for atendido.
Os endereços IP alocados pelo Secure Web Proxy são IPs virtuais e são atribuído a um grupo de proxies distribuídos por várias células em um região. O Secure Web Proxy atua como um servidor proxy explícito, que exige tenham conectividade com o endereço IP virtual para passar o HTTP(S) de saída do tráfego de entrada. Os clientes que têm conectividade com o endereço IP virtual podem acessar Secure Web Proxy por meio dos seguintes métodos:
- Peering de rede VPC
- VPC compartilhada
- No local, usando o Cloud VPN ou o Cloud Interconnect
Tráfego criptografado por TLS e HTTPS
As políticas de segurança reduziram o acesso a atributos de solicitação para tráfego. criptografados com TLS entre o cliente e o destino. Essa criptografia é diferente do TLS opcional entre o cliente e o Secure Web Proxy.
Informações de origem e host de destino estão disponíveis. No entanto, os parâmetros path,
e os cabeçalhos não. Como resultado, o uso dos atributos request em uma
GatewaySecurityPolicyRule
ApplicationMatcher implicitamente
implica a correspondência no tráfego HTTP, mas não no tráfego HTTPS.
Versões HTTP compatíveis
Há suporte para as versões HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 não é compatível.
Proxy seguro da Web na VPC compartilhada
Só é possível implantar o Secure Web Proxy em um projeto host. Não é possível implantar Secure Web Proxy em um projeto de serviço.