Esta página foi traduzida pela API Cloud Translation.

Limitações conhecidas

Este guia descreve as limitações conhecidas do Secure Web Proxy.

Limitações do Cloud NAT

Cada instância do Secure Web Proxy requer um gateway do Cloud NAT ativado apenas para os endpoints do Secure Web Proxy nessa região. O primeiro proxy seguro da Web provisionado em uma região de rede de nuvem privada virtual (VPC) também provisiona um gateway do Cloud NAT. O gateway do Cloud NAT permite a saída de todas as instâncias do Secure Web Proxy nessa rede virtual e região.

Limitações de rede nas identidades

As informações de identidade do cliente não podem ser acessadas em nenhum limite de VPC ou projeto.

Somente IPv4 é compatível

O Secure Web Proxy só oferece suporte a IPv4. IPv6 não é compatível.

Endereços IP internos são regionais

O Secure Web Proxy aloca endereços IP virtuais em uma região. Os endereços IP virtuais são acessíveis apenas na região em que são atribuídos. Além disso, instâncias do Secure Web Proxy são provisionadas em uma região dentro de uma rede VPC. Como resultado, os endereços IPv4 precisam ser alocados de dentro de uma sub-rede da região em que a instância do Secure Web Proxy está localizada.

Veja a seguir como o Secure Web Proxy aloca endereços IP:

Se um endereço IP não reservado for especificado durante o provisionamento, esse endereço IP será usado.
Se um endereço IP não for especificado, mas uma sub-rede e uma rede forem especificadas, um endereço IP será alocado automaticamente dentro da sub-rede especificada.
Se um endereço IP, uma sub-rede e uma rede não forem especificados, um endereço IP será alocado automaticamente dentro da sub-rede padrão da rede padrão.

O provisionamento de IP vai falhar se nenhum dos itens anteriores for atendido.

Os endereços IP alocados pelo Secure Web Proxy são IPs virtuais e são atribuídos a um grupo de proxies distribuídos em várias células dentro de uma região. O Secure Web Proxy atua como um servidor proxy explícito, que exige que os clientes tenham conectividade com o endereço IP virtual para transmitir o tráfego HTTP(S) de saída. Os clientes que têm conectividade com o endereço IP virtual podem acessar o Secure Web Proxy pelos seguintes métodos:

Peering de rede VPC
VPC compartilhada
No local, usando o Cloud VPN ou o Cloud Interconnect

Tráfego criptografado por TLS e HTTPS

As políticas de segurança reduziram o acesso a atributos de solicitação para tráfego criptografado com TLS entre o cliente e o destino. Essa criptografia é diferente do TLS opcional entre o cliente e o Secure Web Proxy.

Informações de origem e host de destino estão disponíveis. No entanto, o caminho, o método HTTP e os cabeçalhos não são. Como resultado, o uso dos atributos request em um GatewaySecurityPolicyRule ApplicationMatcher implica implicitamente a correspondência no tráfego HTTP, mas não no tráfego HTTPS.

Versões HTTP compatíveis

Há suporte para as versões HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 não é compatível.

Proxy seguro da Web na VPC compartilhada

Só é possível implantar o Secure Web Proxy em um projeto host. Não é possível implantar o Proxy seguro da Web em um projeto de serviço.