Моя цель — создать интрасеть, скажем,https://intra.sample.com безбрандмауэр, где пользователи проходят аутентификацию черезИАПк https-балансировщику нагрузки, и пользователи в любом месте в Интернете (например, дома) могут получить доступ к нескольким приложениям на основе сопоставления путей, например, intra.sample.com/hr и intra.sample.com/timesheet. Эти приложения находятся в отдельных сервисных проектах, но являются частью общего VPC. Масштабируемость не важна, поскольку это просто внутренние сервисы для сотрудников.
Преимущества такого подхода заключаются в том, что (1) не требуется клиентское программное обеспечение VPN и (2) доступ к одному внешнему IP-адресу возможен только через аутентификацию, которую пользователи уже используют для доступа к GSuite.
Моя проблема в том, чтоОбщие документы VPCговорят, что все пути должны соответствовать одному проекту. («Все компоненты балансировки нагрузки должны существовать в одном проекте, либо все в хост-проекте, либо все в сервисном проекте. Создание некоторых компонентов балансировки нагрузки в хост-проекте, а других — в прикрепленном сервисном проектенетподдерживается.")
Так в чем же решение? Должен ли мой хост-проект запустить самоуправляемый экземпляр обратного прокси? И этот обратный прокси будет сопоставлять пути с адресами для внутренних балансировщиков нагрузки в каждом проекте (или напрямую с хостами-одиночками, предоставляющими услуги)?
Если да, то смогут ли приложения проекта получить OpenID и профиль аутентифицированного пользователя с помощью API OAuth 2.0 или эта информация теряется при двойном скачке?