我可以使用 IAP 在 GCP 上创建安全的多应用内联网吗?

我可以使用 IAP 在 GCP 上创建安全的多应用内联网吗?

我的愿景是创建一个内部网,比如说,https://intra.sample.com 没有用户通过防火墙进行身份验证内皮素到 https 负载均衡器,互联网上任何地方(例如,在家里)的用户都可以根据路径映射访问多个应用程序,例如 intra.sample.com/hr 和 intra.sample.com/timesheet。这些应用程序位于单独的服务项目中,但属于共享 VPC。可扩展性并不重要,因为这些只是员工的内部服务。

这种方法的好处是:(1)不需要客户端 VPN 软件;(2)只能通过身份验证才能访问单个外部 IP,用户已经使用该 IP 访问 GSuite。

我的问题是共享 VPC 文档假设所有路径都必须映射到单个项目。(“所有负载平衡组件都必须存在于同一个项目中,要么全部位于宿主项目中,要么全部位于服务项目中。在宿主项目中创建一些负载平衡器组件,在附加服务项目中创建其他负载平衡器组件,这不是支持的。”)

那么解决方案是什么?我的主机项目是否应该运行自我管理的反向代理实例?并且该反向代理会将路径映射到每个项目中的内部负载平衡器的地址(或直接映射到提供服务的单例主机)?

如果是这样,项目应用程序是否能够使用 OAuth 2.0 API 检索经过身份验证的用户的 openid 和配置文件,或者该信息是否会在双跳中丢失?

相关内容