如何在VM实例中使用gcloud命令允许HTTP流量？（不是创建防火墙规则！）

问题已解决。我并不完全理解背后发生了什么，但是解决此问题需要使用“标签”，这些标签将网络防火墙规则与VM实例关联起来。就我目前所看到的情况而言，这仅适用于http和https。在网络和VM上打开的其他端口似乎可以在没有此附加部分的情况下工作。

如果您查看防火墙规则，您可能会发现端口80和443规则分别具有标记“http-server”和“https-server”。如果没有，您需要添加这些标记（或其他您选择的标记）。结果发现实例也需要添加这些标记。

要向现有的VM实例添加标记，请使用此gcloud命令：

gcloud compute instances add-tags [YOUR_INSTANCE_NAME] --tags http-server,https-server

在创建实例时添加标签，请在声明中包含该标志：

gcloud compute instances create [YOUR_INSTANCE_NAME] --tags http-server,https-server

如果您查看GCE GUI，您会发现在执行该操作后，“允许HTTP流量”和“允许HTTPS流量”复选框已被选中。然后请求和响应按预期通过80端口和443端口流动。

Google Cloud 控制台提供的一个非常有用的功能是，在大多数资源创建页面的底部都会提供 REST API 和命令行创建相同资源的链接。我正在挑战自己，尝试从 SDK 命令行中完成控制台上能够完成的所有操作，因此当我像您一样遇到问题时，我经常使用此功能。
与以上相同的问题，我在控制台中创建了一个虚拟机并选择了“允许 HTTP 流量”。查看此命令行内容，您将看到两条命令。第一条是具有上述标记（http-server）的创建命令：

gcloud beta compute --project=XXXX instances create cgapperi-vm1 \
--zone=XXXXX --machine-type=f1-micro --subnet=default \
--tags=http-server --image=debian-10-buster-v20200413 \
--image-project=debian-cloud --boot-disk-size=10GB \
--boot-disk-type=pd-standard --boot-disk-device-name=cgapperi-vm1 \
--no-shielded-secure-boot --shielded-vtpm --shielded-integrity-monitoring \
--reservation-affinity=any

第二个命令实际上为您创建防火墙规则(default-allow-http)，并将请求的目标设置为 http-server 标签(--target-tags=http-server)，从所有来源(--source-ranges=0.0.0.0/0) 的传入请求(--direction=INGRESS) 在 tcp 端口 80(--rules=tcp:80)。

gcloud compute --project=XXXX firewall-rules create default-allow-http \
--direction=INGRESS --priority=1000 --network=default --action=ALLOW \
--rules=tcp:80 --source-ranges=0.0.0.0/0 --target-tags=http-server

我希望这对其他人有所帮助。

注意：为了减少混乱，我将gcloud compute instance create的输出减少到相关部分。

根据此链接中的详细信息： https://cloud.google.com/vpc/docs/special-configurations “选择这些复选框会自动创建适用于具有 http-server 或 https-server 标记的所有实例的 default-http 或 default-https 规则。您的新实例还将标记为相应的标记，具体取决于您的复选框选择。”
因此，勾选这些框会为您创建必要的防火墙规则，并对带有该标记的所有服务器应用它。从 gcloud 的角度来看，我想您需要确保已创建并应用了标记，并且还创建了规则，以便像控制台选项一样为您完成此操作。