Что вы контролируете
Опубликуйте один app alias, привяжите его к одному workspace connector, задайте allowed workspace role и ограничьте session TTL.
Сценарий: подрядчик → внутреннее приложениеБета
Дайте подрядчику одно внутреннее приложение, а не вашу сеть
Подрядчику нужна внутренняя CRM, admin panel или partner portal на ограниченный проект. Device VPN слишком широк, bastion слишком тяжёлый, а прямое открытие приложения раскрывает топологию.
Что остаётся снаружи
Подрядчик открывает alias в Chrome. Он не получает network route в ваш VPC и не видит internal upstream hostname или private IP. Alias-маршрут — это reverse-proxy уровня L7 — посмотрите, что он видит.
Alias-маршрут работает на уровне L7 — см. раскрытие видимости на странице Private App Access.
Доказательства
Подтверждено реализацией
- Один alias на внутреннее web app, ограниченный workspace
- Launch/session token короткоживущий, app-scoped и отзываемый
- Коннектор резолвит upstream внутри вашей сети
- Disabled apps и unhealthy connectors fail-closed
- L7-видимость alias раскрыта: method, path, query, headers и bodies проходят транзитом
Когда использовать
- Внешним подрядчикам или партнёрам нужно одно web app.
- Приложение работает за HTTP/HTTPS и переносит reverse-proxy headers.
- Вы можете запустить connector рядом с приложением.
- Вам нужны session TTL и revoke вместо широкого network access.
Когда не использовать
- Нужны full device networking, SSH/RDP, database tunnels или non-HTTP apps.
- Нужен automatic multi-connector HA уже сейчас.
- Нужна group-based app policy уже сейчас вместо workspace role policy.
- Ваше приложение не работает за reverse proxy или требует unsupported custom TLS behavior.
Private App Access находится в стадии Бета. Мы предлагаем его как ранний доступ с поддержкой продаж, пока завершаем подготовку к продакшену — обсудите с нами пилот.
Связанные сценарии