本文說明如何診斷及解決將 Secure Web Proxy 部署為下一個躍點時,可能發生的常見問題。
未定義預設路徑
使用靜態路徑或政策型路徑設定 Secure Web Proxy 執行個體的路徑時,您必須設定預設路徑 (0.0.0.0/0)。
如果未設定預設路徑,Proxy 就無法將流量轉送至外部目的地,且可能發生下列錯誤:
- 連線逾時 -
504 Gateway Timeout - 無法連線至主機 -
502 Bad Gateway
預設靜態路徑沒有網路標記
為 Secure Web Proxy 執行個體使用預設靜態路徑時,您必須為該路徑指派網路標記。否則可能會發生驗證錯誤。
您也必須將標記附加至用戶端虛擬機器 (VM) 執行個體,確保流量會轉送至 Proxy。
系統會封鎖非 HTTP 和非 HTTPS 流量
Secure Web Proxy 專為網路流量而設計,如果傳輸控制通訊協定 (TCP) 流量轉送至 Secure Web Proxy,且未設定任何 TCP Proxy 規則來處理,系統就會封鎖該流量。這類不符通常會導致安全殼層 (SSH) 和檔案傳輸通訊協定 (FTP) 等通訊協定發生 Connection Refused 或 400 Bad Request 錯誤。
如要解決這類錯誤,請建立特定的 TCP Proxy 規則來管理流量,或更新以政策為準的路由,只轉送 80 或 443 等通訊埠。只要按照其中一個程序操作,即可確保 TCP 流量繞過 Secure Web Proxy 執行個體,並遵循標準虛擬私有雲 (VPC) 路由。
無法部署以 Secure Web Proxy 做為下一個躍點閘道的服務
如要修正這個問題,請按照下列步驟操作:
確認現有的 Secure Web Proxy 執行個體是否部署為同一區域中的下一個躍點。在區域的虛擬私有雲網路中,您只能部署一個 Secure Web Proxy 執行個體做為下一個躍點。
檢查貴機構的稽核記錄,找出可能禁止建立 Cloud NAT 閘道的政策。
確認網路中沒有任何孤立的自動產生資源 (例如
swg-autogen-router或swp-autogen-nat);如有,請刪除自動產生的路由器,然後重新部署 Secure Web Proxy。