Mi visión es crear una intranet en, digamos,https://intra.sample.com sinun firewall donde los usuarios se autentican a través dePAIa un balanceador de carga https y los usuarios en cualquier lugar de Internet (es decir, en casa) pueden acceder a múltiples aplicaciones basadas en el mapeo de rutas, por ejemplo, intra.sample.com/hr e intra.sample.com/timesheet. Estas aplicaciones se encuentran en proyectos de servicio independientes, pero forman parte de una VPC compartida. La escalabilidad no es importante ya que se trata sólo de servicios internos para los empleados.
Los beneficios de este enfoque son que (1) no se requiere software VPN de cliente y (2) solo se puede acceder a una única IP externa mediante autenticación, que los usuarios ya utilizan para acceder a GSuite.
Mi problema es que elDocumentos de VPC compartidosdecir que todos los caminos deben asignarse a un solo proyecto. ("Todos los componentes de equilibrio de carga deben existir en el mismo proyecto, ya sea todos en un proyecto host o todos en un proyecto de servicio. Crear algunos componentes de equilibrio de carga en un proyecto host y otros en un proyecto de servicio adjunto esnosoportado.")
¿Entonces, cuál es la solución? ¿Mi proyecto host debería ejecutar una instancia de proxy inverso autoadministrada? ¿Y ese proxy inverso asignaría rutas a direcciones para balanceadores de carga internos en cada proyecto (o directamente a hosts únicos que brindan servicios)?
Si es así, ¿las aplicaciones del proyecto podrán recuperar el openid y el perfil del usuario autenticado utilizando la API de OAuth 2.0 o esa información se perderá en el doble salto?