本指南介绍安全 Web 代理的已知限制。
Cloud NAT 限制
每个安全 Web 代理实例都需要一个仅为该区域中的安全 Web 代理端点启用的 Cloud NAT 网关。在虚拟私有云 (VPC) 网络区域中预配的第一个安全 Web 代理也预配了一个 Cloud NAT 网关。Cloud NAT 网关为该虚拟网络和区域中的所有安全 Web 代理实例启用出站流量。
身份的网络限制
无法跨任何 VPC 或项目边界访问客户端身份信息。
仅支持 IPv4
安全 Web 代理仅支持 IPv4。不支持 IPv6。
内部 IP 地址是区域级的
安全 Web 代理可在区域内分配虚拟 IP 地址。虚拟 IP 地址只能在分配的区域内访问。此外,安全 Web 代理实例是在 VPC 网络的区域内预配。因此,必须在安全 Web 代理实例所在区域的子网中分配 IPv4 地址。
下文介绍了安全 Web 代理如何分配 IP 地址:
- 如果在预配期间指定了未预留的 IP 地址,则使用该 IP 地址。
- 如果未指定 IP 地址,但指定了子网和网络,则系统会在指定的子网中自动分配一个 IP 地址。
- 如果未指定 IP 地址、子网和网络,则系统会在默认网络的默认子网中自动分配 IP 地址。
如果以上各项均不满足,IP 预配就会失败。
安全 Web 代理分配的 IP 地址是虚拟 IP 地址,系统会为其分配分布在一个区域内多个单元中的一组代理。安全 Web 代理充当显式代理服务器,它要求客户端连接到虚拟 IP 地址以传递出站 HTTP(S) 流量。连接到虚拟 IP 地址的客户端可以通过以下方法访问安全 Web 代理:
- VPC 网络对等互连
- 共享 VPC
- 使用 Cloud VPN 或 Cloud Interconnect 在本地
TLS 加密流量和 HTTPS
安全政策减少了对在客户端和目标之间使用 TLS 加密的流量的请求特性的访问权限。这种加密不同于客户端和安全 Web 代理之间的可选 TLS。
来源信息和目标主机可用。但路径、HTTP 方法和标头不可以。因此,在 GatewaySecurityPolicyRule
ApplicationMatcher 中使用 request 属性就隐式地意味着匹配 HTTP 流量,而非 HTTPS 流量。
支持的 HTTP 版本
支持 HTTP 0.9、1.0、1.1 和 2.0 版。不支持 HTTP 3。
共享 VPC 中的安全 Web 代理
您只能在宿主项目中部署安全 Web 代理。您无法在服务项目中部署安全 Web 代理。