Minha visão é criar uma intranet em, digamos,https://intra.sample.com semum firewall onde os usuários se autenticam viaIAPpara um balanceador de carga https e os usuários em qualquer lugar da Internet (ou seja, em casa) podem acessar vários aplicativos com base no mapeamento de caminho, por exemplo, intra.sample.com/hr e intra.sample.com/timesheet. Esses aplicativos estão em projetos de serviço separados, mas fazem parte de uma VPC compartilhada. A escalabilidade não é importante, pois são apenas serviços internos para os funcionários.
Os benefícios dessa abordagem são que (1) o software VPN cliente não é necessário e (2) um único IP externo é acessível apenas por meio de autenticação, que os usuários já usam para acessar o GSuite.
Meu problema é que oDocumentos de VPC compartilhadosdigamos que todos os caminhos devem ser mapeados para um único projeto. ("Todos os componentes do balanceador de carga devem existir no mesmo projeto, seja todos em um projeto host ou todos em um projeto de serviço. A criação de alguns componentes do balanceador de carga em um projeto host e outros em um projeto de serviço anexado énãosuportado.")
Então qual é a solução? Meu projeto host deve executar uma instância de proxy reverso autogerenciada? E esse proxy reverso mapearia caminhos para endereços de balanceadores de carga internos em cada projeto (ou diretamente para hosts singleton que fornecem serviço)?
Em caso afirmativo, os aplicativos do projeto serão capazes de recuperar o openid e o perfil do usuário autenticado usando a API OAuth 2.0 ou essas informações serão perdidas no salto duplo?