安全 Web 代理政策基于以下两个参数:
- 流量来源:为了识别流量来源,安全 Web 代理会使用服务账号、标记和 IP 地址等属性。
- 允许的目的地:为确定允许的目的地,安全 Web 代理使用网域、完整网址路径(如果启用了 TLS 检查)、网址列表或目的地端口。
默认情况下,安全 Web 代理会设置为拒绝通过代理的所有出站流量,除非您在政策中添加了特定规则。
使用以下属性可让安全 Web 代理识别流量来源:
支持的功能
基于来源身份的安全政策(服务账号和安全标记)用于保护不同 Google Cloud 服务的网络流量。下表介绍了使用基于源身份的安全政策时对源资源和不同虚拟私有云 (VPC) 架构的支持。
| 来源 | 服务账号支持 | 安全标记支持 |
|---|---|---|
| 虚拟机 | ||
| GKE 节点 | ||
| GKE 容器 | * | * |
| 适用于 Cloud Run 的直接 VPC | * | |
| 无服务器 VPC 访问通道连接器 | † | † |
| Cloud VPN | * | * |
| 本地 Cloud Interconnect | * | * |
| 应用负载平衡器 | ||
| 网络负载平衡器 |
* Google Cloud不支持。
† 来源 IP 地址是唯一的,可以用作替代。
† 来源 IP 地址是唯一的,可以用作替代。
| VPC | VPC 架构 | 支持 |
|---|---|---|
| 在 VPC 中 | 跨项目(共享 VPC) | |
| 在 VPC 中 | 跨区域 | |
| 跨 VPC | 跨对等互连链接(对等 VPC) | |
| 跨 VPC | 跨 Private Service Connect | |
| 跨 VPC | 跨 Network Connectivity Center spoke |