创建 App Engine 防火墙规则

运行以下 gcloud app firewall-rules 命令以创建防火墙规则：

1. 运行以下命令可创建防火墙规则：

   gcloud app firewall-rules create PRIORITY --action ALLOW_OR_DENY --source-range IP_RANGE --description DESCRIPTION

   其中：
   • PRIORITY 是 1 到 2147483646 之间的整数，用于定义规则的重要性及其评估顺序。优先级为 1 的规则最先评估。优先级为 2147483647 的规则最后评估，此优先级保留给“default”规则使用。
   • ALLOW_OR_DENY 指定是允许还是拒绝与该规则匹配的请求进行访问。有效值为 allow 或 deny。如果规则设置为 allow，则将请求转发给应用。如果规则设置为 deny，则返回 403 Forbidden 错误来响应请求。
   • IP_RANGE 定义适用于该规则的 IP 地址范围。IP 地址范围必须以 CIDR 表示法定义，可以包含子网掩码并支持 IPv4 和 IPv6。
   • DESCRIPTION 是可选的规则说明，不能超过 100 个字符。
2. 运行以下命令，以测试规则并确保相应优先级和操作的行为符合预期：

   gcloud app firewall-rules test-ip IP_ADDRESS

   其中，IP_ADDRESS 是您要针对防火墙规则测试的 IP 地址。
3. 运行以下命令可查看现有规则的列表：

   gcloud app firewall-rules list

4. 运行以下命令可删除现有规则：

   gcloud app firewall-rules delete PRIORITY

   其中，PRIORITY 是您要删除的规则的优先级值。

示例：

您可以参考以下示例创建防火墙：

• 添加允许 IPv6 地址和子网掩码的规则，然后对其进行测试，以确保先于其他规则评估该规则：

  gcloud app firewall-rules create 123 --source-range fe80::3636:3bff:fecc:8778/128 --action allow
  gcloud app firewall-rules test-ip fe80::3636:3bff:fecc:8778

• 添加拒绝 IPv4 地址和子网掩码的规则，然后对其进行测试，以确保适当评估该规则：

  gcloud app firewall-rules create 123456 --source-range "74.125.0.0/16" --action deny
  gcloud app firewall-rules test-ip 74.125.0.8

• 更新默认规则，然后对其进行测试，以确保该规则限制与任何其他规则不匹配的所有 IP 地址：

  gcloud app firewall-rules update default --action deny
  gcloud app firewall-rules test-ip 123.456.7.89

如需以编程方式为 App Engine 应用创建防火墙规则，您可以使用 Admin API 中的 apps.firewall.ingressRules 方法。

如需测试防火墙规则并确保优先级和操作的行为符合预期，您可以使用 apps.firewall.ingressRules.list 方法，并在 matchingAddress 参数中指定要测试的 IP 地址。