Закрыть гитлаб за корпоративный туннель

нужно спрятать гитлаб за туннель. необходимо учесть доступы, работу ipsec туннелей с нубес и механизм автообновления сертификатов провайдер Yandex Cloud Есть работающая вирутальная машина с внешним и внутренним ip адресом На этой виртуальной машине развернут gitlab как service На данный момент на страницу Gitlab можно попасть извне, без использования корпоративного туннеля подробно и наглядно смогу показать в переписке