安全 Web 代理政策基于以下两个参数:
- 流量来源:为了识别流量来源,安全 Web 代理会使用服务账号、标记和 IP 地址等属性。
- 允许的目的地:为了确定允许的目的地,安全 Web 代理使用网域、完整网址路径(如果启用了 TLS 检查)、网址列表或目的地端口。
默认情况下,安全 Web 代理会设置为拒绝通过代理的所有出站流量,除非您在政策中添加了特定规则。
使用以下属性可让安全 Web 代理识别流量来源:
支持的功能
基于来源身份的安全政策(服务账号和安全代码)用于保护不同 Google Cloud 服务的 Web 流量。下表介绍了 创建来源时,您可以将来源资源与不同的虚拟私有云 (VPC) 架构 使用基于身份的安全政策。
| 来源 | 服务账号支持 | 安全代码支持 |
|---|---|---|
| 虚拟机 | ||
| GKE 节点 | ||
| GKE 容器 | * | * |
| 用于 Cloud Run 的直接 VPC | * | |
| 无服务器 VPC 访问通道连接器 | † | † |
| Cloud VPN | * | * |
| 本地 Cloud Interconnect | * | * |
| 应用负载均衡器 | ||
| 网络负载均衡器 |
* 不受 Google Cloud 支持。
† 来源 IP 地址是唯一的,可以改为使用其他 IP 地址。
† 来源 IP 地址是唯一的,可以改为使用其他 IP 地址。
| VPC | VPC 架构 | 支持 |
|---|---|---|
| 在 VPC 中 | 跨项目(共享 VPC) | |
| 在 VPC 中 | 跨区域 | |
| 跨 VPC | 跨对等互连链接(对等 VPC) | |
| 跨 VPC | Cross Private Service Connect | |
| 跨 VPC | Cross Network Connectivity Center spoke |