最近,我的 Google App Engine (GAE) 平台开始向所有传入请求返回 403 Forbidden 错误,即使允许 IP 访问也是如此。经过调查,我发现我有 1002 条活动防火墙规则。有趣的是,当我手动删除一些规则并且计数降至1000条以下时,平台恢复正常运行,403错误消失了。
这个问题引起了两个主要担忧:
为什么在防火墙规则计数超过 1000 后,GAE 对所有传入请求(甚至来自未被防火墙阻止的 IP)给出全面 403 错误?
为什么 API 允许规则计数超过 1000,而在过去,它始终拒绝任何超出此限制的尝试,并显示以下错误消息:
{'error': {'code': 400, 'message': '无法添加规则。规则总数不得超过 1000 条规则', 'status': 'INVALID_ARGUMENT'}}
其他详细信息:
平台:Google App Engine 标准环境
防火墙规则:IP 块的混合,包括特定 IP 和 CIDR 范围(子网)
GAE 中是否存在内部限制或行为,如果防火墙规则数量超过 1000,会导致平台范围的 403 错误?
这似乎是一个边缘情况或潜在的错误,但非常令人担忧,因为我的所有最终用户都无法使用该平台,这降低了他们对应用程序的信任。任何有关此行为的见解或文档将不胜感激。
来自文档,
在 App Engine 中,您可以创建具有最多 1000 优先单独规则
的防火墙
这意味着您可以拥有的最大规则数为 1000。有 2 种可能的方法来实现此
a)当您尝试超过此限制时,您会收到错误(这将是我的首选)
b) 您不会收到错误,但 gcloud 只会忽略超出此限制的规则。
如果您的默认规则是“允许”,则这将是最后一条规则。这意味着如果 gcloud 选择选项 b,那么它永远不会看到该规则,因此会拒绝其他所有内容