Meine Vision ist die Schaffung eines Intranets, beispielsweise beihttps://intra.sample.com ohneeine Firewall, bei der sich Benutzer authentifizieren überIn-App-Käufezu einem HTTPS-Load Balancer und Benutzer überall im Internet (z. B. zu Hause) können auf mehrere Apps basierend auf Pfadzuordnung zugreifen, z. B. intra.sample.com/hr und intra.sample.com/timesheet. Diese Apps befinden sich in separaten Serviceprojekten, sind jedoch Teil eines gemeinsamen VPC. Skalierbarkeit ist nicht wichtig, da dies nur interne Dienste für Mitarbeiter sind.
Die Vorteile dieses Ansatzes bestehen darin, dass (1) keine Client-VPN-Software erforderlich ist und (2) eine einzelne externe IP-Adresse, die Benutzer bereits für den Zugriff auf GSuite verwenden, nur durch Authentifizierung zugänglich ist.
Mein Problem ist, dass dieGemeinsam genutzte VPC-Dokumentesagen, dass alle Pfade einem einzigen Projekt zugeordnet werden müssen. („Alle Lastausgleichskomponenten müssen im selben Projekt vorhanden sein, entweder alle in einem Hostprojekt oder alle in einem Serviceprojekt. Das Erstellen einiger Lastausgleichskomponenten in einem Hostprojekt und anderer in einem angehängten Serviceprojekt istnichtunterstützt.")
Was ist also die Lösung? Soll mein Hostprojekt eine selbstverwaltete Reverse-Proxy-Instanz ausführen? Und dieser Reverse-Proxy würde Pfade auf Adressen für interne Lastenausgleiche in jedem Projekt abbilden (oder direkt auf Singleton-Hosts, die den Dienst bereitstellen)?
Wenn ja, können die Projekt-Apps die OpenID und das Profil für den authentifizierten Benutzer mithilfe der OAuth 2.0-API abrufen oder gehen diese Informationen beim Double-Hop verloren?