このページでは、Secure Web Proxy をネクストホップとしてデプロイする際に発生する可能性のある一般的な問題の診断と解決方法について説明します。
デフォルト ルートが定義されていません
静的ルートまたはポリシーベース ルートを使用して Secure Web Proxy インスタンスのルーティングを構成する場合は、デフォルト ルート(0.0.0.0/0)を設定する必要があります。
デフォルト ルートを設定しない場合、プロキシは外部宛先にトラフィックを転送できません。次のエラーが発生する可能性があります。
- 接続タイムアウト -
504 Gateway Timeout - ホストへのルートなし -
502 Bad Gateway
デフォルトの静的ルートにネットワーク タグがない
Secure Web Proxy インスタンスにデフォルトの静的ルートを使用する場合は、そのルートにネットワーク タグを割り当てる必要があります。そうしないと、検証エラーが発生する可能性があります。
トラフィックがプロキシにルーティングされるように、タグをクライアント仮想マシン(VM)インスタンスにもアタッチする必要があります。
HTTP と HTTPS 以外のトラフィックはブロックされる
Secure Web Proxy はウェブベースのトラフィック用に最適化されています。Transmission Control Protocol(TCP)トラフィックが Secure Web Proxy に転送され、そのトラフィックを処理するように構成された TCP プロキシルールがない場合、そのトラフィックはブロックされます。通常、この不一致により、セキュア シェル(SSH)やファイル転送プロトコル(FTP)などのプロトコルで Connection Refused エラーまたは 400 Bad Request エラーが発生します。
このようなエラーを解決するには、トラフィックを管理する特定の TCP プロキシルールを作成するか、80 や 443 などのポートのみを転送するようにポリシーベースのルートを更新します。これらのプロセスのいずれかに従うことで、TCP トラフィックが Secure Web Proxy インスタンスをバイパスし、標準の Virtual Private Cloud(VPC)ルーティングに従うようにすることができます。
ネクストホップ ゲートウェイとしての Secure Web Proxy のデプロイが失敗する
この問題を解決するには、次の手順を行います。
既存の Secure Web Proxy インスタンスが同じリージョンでネクストホップとしてデプロイされているかどうかを確認します。リージョンの Virtual Private Cloud ネットワークでは、ネクストホップとしてデプロイできる Secure Web Proxy インスタンスは 1 つだけです。
Cloud NAT ゲートウェイの作成を妨げている可能性があるポリシーについて、組織の監査ログを確認します。
ネットワークに孤立した自動生成リソース(
swg-autogen-routerやswp-autogen-natなど)が存在しないことを確認します。存在する場合は、自動生成されたルーターを削除してから、セキュア ウェブ プロキシを再デプロイします。