目的:使一些内部网站(托管在我们的 GCP VM 上)无需 VPN 即可访问互联网。必须能够使用 Azure 作为身份提供者,逐个用户或组手动添加此访问权限。
情况: 我们有几个内部网站(例如密码重置页面等),我们希望远程用户能够访问这些网站而无需使用 VPN。我在实验室里尝试了一下,并能够使用 IAP 和 HTTPS 负载平衡器来实现这一点。它实际上比我预期的要好,我们能够将其与 Microsoft Azure 集成以提供身份验证并通过添加主体和分配角色通过 GCP GUI 分配人员的访问权限。
问题是,必须使用 HTTPS 资源意味着我们需要跟踪、更新等另一个证书。我们已经在内部使用证书保护这些站点,并使用 nginx 进行 SSL 终止,所以我不想在这个列表中添加另一个证书。
目标:我希望仅使用 IAP 中的 TCP 资源将端口 443 转发到 nginx,然后根据需要让路径在内部继续。
目前在我的测试实验室中,这只起作用了一半。要么“全有或全无”。要么转发所有 443 个请求,允许任何从外部访问该页面的人通过,要么关闭并且不转发任何人。我需要能够“添加主体”并分配 Azure 用户的访问权限,就像我在 HTTP 资源上可以做的那样。
是我遗漏了什么吗,或者这只是 HTTPS 资源选项?