- Приложение
- Имя, alias slug, статус active/disabled, внутренний upstream.
- Коннектор
- Один primary connector из того же workspace на приложение в V1.
- Роль
- В V1 доступ задаётся по роли workspace (member, admin, billing). Это не group policy.
- TTL сессии
- По умолчанию 60 минут, настраивается 1–480 минут на приложение. Запрошенный TTL запуска ограничивается политикой приложения.
- Rewrites
- Опциональное переписывание redirect и cookie domain.
- TLS diagnostics
- Настройка проверки upstream TLS показывается для diagnostics. Для live traffic используйте внутренние сертификаты, которым доверяет хост коннектора.
Private App Access Бета
Откройте одно внутреннее веб-приложение внешним пользователям без device VPN
Опубликуйте понятный HTTPS alias для внутреннего веб-приложения. Коннектор внутри вашей сети сам дозванивается до BusinessProxy, приватно резолвит реальный upstream и передаёт запросы приложению. Внешний пользователь видит alias, а не внутренний hostname или приватный IP.
Private App Access находится в Бета. Это ранний доступ с поддержкой продаж, пока мы завершаем production hardening и evidence на реальных upstream-приложениях. Мы не включаем пилот, пока connector, alias, diagnostics и revoke-проверки не пройдут для вашего целевого приложения.
Как это работает
Alias → коннектор → внутренний upstream
Alias остаётся единственной публичной поверхностью приложения. Коннектор — единственный компонент, которому нужен доступ во внутреннюю сеть. Шлюз выпускает сессии, проверяет readiness, при настройке переписывает ответные заголовки под alias и не раскрывает внутреннюю топологию в пользовательских ответах.
Администратор публикует app alias в workspace и назначает один connector, принадлежащий этому workspace.
Коннектор запускается внутри сети клиента, аутентифицируется workspace-scoped runtime-токеном и держит исходящий TLS-туннель.
Участник workspace запускает приложение из кабинета. Бэкенд выпускает одноразовый launch token, затем alias session token.
Alias-шлюз ставит HttpOnly cookie сессии и удаляет token из URL.
Каждый alias-запрос передаётся через коннектор к внутреннему upstream. Location и cookie domain переписываются, если это включено в настройках приложения.
Два маршрута — два уровня видимости
У BusinessProxy два маршрута доступа, и они видят разное. Мы говорим об этом прямо.
| Браузерный прокси-маршрут (Слой 1) | Alias / reverse-proxy маршрут (Слой 2) |
|---|---|
| Не расшифровывает содержимое HTTPS-страниц. | Терминирует и ретранслирует HTTP для alias-маршрута приложения. |
| Видит доменные/сетевые метаданные, нужные для маршрутизации и политики. | Передаёт HTTP-метод, путь, заголовки и тела запроса/ответа в транзите. |
| Фильтрация только по доменам/категориям; без инспекции DOM или форм. | Обрабатывает L7-метаданные для маршрутизации, политик и аудита. |
| Контент страниц не логируется и не хранится, потому что не расшифровывается на этом маршруте. | Тела запроса/ответа проходят транзитом и не должны логироваться или храниться. |
Если вы пускаете внутреннее приложение через alias-маршрут, вы должны знать, что он работает на уровне L7. Это намеренное раскрытие, а не сноска.
Что вы контролируете
Контроль задаётся на уровне workspace и приложения
Короткий launch, alias-сессия в cookie, немедленный revoke
Launch token — одноразовый мост из кабинета к alias. После его использования alias-шлюз создаёт серверную сессию и ставит bp_private_app_session как HttpOnly cookie. Token удаляется из URL через redirect. Сессии истекают по TTL приложения и могут быть отозваны из кабинета. Revoke удаляет серверное состояние token, поэтому старая cookie больше не открывает приложение.
Fail-closed без раскрытия upstream
Если приложение disabled, connector отсутствует, draining, offline или stale, запуск и alias-запросы останавливаются. Если туннель недоступен, WebSocket и HTTP Upgrade-запросы останавливаются. Обычный HTTP может использовать bounded relay fallback только при соответствующей настройке и всё равно fail-closed при timeout или превышении лимитов размера. Ошибки санитизированы и не должны включать internal upstream, приватные IP, connector token, token hash или custom CA material.
Ограничения
Ограничения, о которых мы говорим прямо
- Бета: только sales-assisted пилоты, пока не завершены staging и production evidence на реальных upstream.
- V1: один primary connector на приложение. Автоматический multi-connector HA/failover — будущая работа.
- V1: доступ по роли workspace. Group-based app policies — будущая работа.
- Alias-маршрут работает на L7 и передаёт body транзитом. Он не body-blind.
- Отказ коннектора блокирует доступ. Не открывайте internal upstream напрямую как workaround.
Private App Access входит в Business Plus
Напишите нам, чтобы обсудить Beta-пилот для вашего целевого внутреннего приложения.