本程序涵蓋從 Apigee Hybrid 1.14.x 版升級至 Apigee Hybrid 1.15.1 版,以及從先前的 Hybrid 1.15.x 版升級至 1.15.1 版。
次要版本升級 (例如從 1.14 版升級至 1.15 版) 和修補程式版本升級 (例如從 1.15.0 版升級至 1.15.1 版) 均使用相同程序。
如果您要從 Apigee Hybrid 1.13 版或更舊版本升級,請先升級至 Hybrid 1.14 版,再升級至 1.15.1 版。請參閱將 Apigee Hybrid 升級至 1.14 版的操作說明。
與 Apigee Hybrid 1.14 版的差異
請注意下列異動:
- Apigee Hybrid 營利:從 1.15.1 版開始,Apigee Hybrid 支援營利的週期性、加值和設定費用。詳情請參閱「為 Apigee Hybrid 啟用營利功能」。
- Proxy 基礎路徑中的萬用字元 (*):自 1.15.1 版起,Apigee Proxy 基礎路徑支援使用萬用字元。如要實作這項變更,請按照已知問題 378686709 中的程序操作。
-
支援大型郵件酬載:從 1.15 版和 1.14.2 修補程式版本開始,Apigee 現在支援最大 30 MB 的郵件酬載。詳情請參閱:
- 在 Apigee Hybrid 中設定大型訊息酬載支援
- 「設定屬性參考資料」一節中的
runtime.resources.limits.memory。 - 請參閱「設定屬性參考資料」一文中的
runtime.resources.requests.memory。
- 更嚴格的類別例項化檢查:Apigee Hybrid 的 JavaCallout 政策現在會在 Java 類別例項化期間,提供額外的安全性。這項強化安全措施可防止部署直接或間接嘗試執行不允許動作的政策,這些動作需要不允許的權限。
在大多數情況下,現有政策仍會正常運作,不受任何影響。不過,如果政策依賴第三方程式庫,或是自訂程式碼間接觸發需要提升權限的操作,就可能會受到影響。
如要進一步瞭解 Hybrid 1.14 版的功能,請參閱 Apigee Hybrid 1.14.0 版版本資訊。
必要條件
升級至混合式 1.15 版前,請確認您的安裝項目符合下列需求:
- 如果混合式安裝作業執行的版本舊於 v1.14,您必須先升級至 1.14 版,才能升級至 1.15 版。請參閱「將 Apigee Hybrid 升級至 1.14 版」。
- Helm 版本 v3.14.2 以上。
kubectl:適用於 Kubernetes 平台版本的kubectl支援版本。請參閱「支援的平台和版本:kubectl」。- cert-manager:支援的 cert-manager 版本。請參閱「支援的平台和版本:cert-manager」。如有需要,請按照下方的「準備升級至 1.15 版」一節,升級 cert-manager。
升級至 1.15.1 前的限制和重要注意事項
Apigee Hybrid 1.15.1 推出全新的環境專屬 Proxy 限制,讓您在單一環境中部署更多 Proxy 和共用流程。請參閱「限制:API Proxy」,瞭解每個環境可部署的 Proxy 和共用流程數量限制。這項功能僅適用於新建立的混合式機構,無法套用至升級的機構。如要使用這項功能,請重新安裝 Hybrid 1.15.1,並建立新機構。
這項功能僅適用於 2024 年訂閱方案,且須符合該方案的授權資格。如要進一步瞭解這項功能,請參閱「提升每個環境的 Proxy 限制」。
升級至 Apigee Hybrid 1.15 版時,可能需要停機。
將 Apigee 控制器升級至 1.15.1 版時,所有 Apigee 部署作業都會進行滾動式重新啟動。如要在輪流重新啟動期間,盡量減少實際工作環境混合式環境的停機時間,請確保您至少執行兩個叢集 (位於相同或不同區域/資料中心)。將所有正式版流量導向單一叢集,並將即將升級的叢集離線,然後繼續進行升級程序。針對每個叢集重複執行上述程序。
Apigee 建議您開始升級後,應盡快升級所有叢集,以減少對正式環境造成影響的機率。第一個叢集升級後,其餘叢集沒有升級時間限制。不過,在所有剩餘叢集升級前,Cassandra 備份和還原功能無法與混合版本搭配運作。舉例來說,您無法使用 Hybrid 1.14 的備份檔還原 Hybrid 1.15 執行個體。
升級期間不需要完全暫停管理平面變更。 如需暫時停止管理平面變更,請參閱下方的升級說明。
升級至 1.15.1 版總覽
升級 Apigee Hybrid 的程序分為下列幾節:
準備升級至 1.15 版
備份混合式安裝作業
- 這些操作說明會使用環境變數 APIGEE_HELM_CHARTS_HOME,代表您在檔案系統中安裝 Helm 圖表的目錄。視需要將目錄變更為這個目錄,然後使用下列指令定義變數:
Linux
export APIGEE_HELM_CHARTS_HOME=$PWD
echo $APIGEE_HELM_CHARTS_HOMEMac OS
export APIGEE_HELM_CHARTS_HOME=$PWD
echo $APIGEE_HELM_CHARTS_HOMEWindows
set APIGEE_HELM_CHARTS_HOME=%CD%
echo %APIGEE_HELM_CHARTS_HOME% - 備份 1.14 版
$APIGEE_HELM_CHARTS_HOME/目錄。你可以使用任何備份程序。舉例來說,您可以使用下列指令,建立整個目錄的tar檔案:tar -czvf $APIGEE_HELM_CHARTS_HOME/../apigee-helm-charts-v1.14-backup.tar.gz $APIGEE_HELM_CHARTS_HOME - 按照「Cassandra 備份與復原」一文中的說明,備份 Cassandra 資料庫。
- 如果您在覆寫中使用服務憑證檔案 (
.json) 驗證服務帳戶,請確認服務帳戶憑證檔案位於正確的 Helm 圖表目錄中。Helm 圖表無法讀取各圖表目錄以外的檔案。如果您使用 Kubernetes 密鑰或 GKE 的 Workload Identity Federation 驗證服務帳戶,則不需要執行這個步驟。
下表列出各項服務帳戶檔案的目標位置,視安裝類型而定:
正式環境
服務帳戶 預設檔案名稱 Helm 資訊套件目錄 apigee-cassandraPROJECT_ID-apigee-cassandra.json$APIGEE_HELM_CHARTS_HOME/apigee-datastore/apigee-loggerPROJECT_ID-apigee-logger.json$APIGEE_HELM_CHARTS_HOME/apigee-telemetry/apigee-martPROJECT_ID-apigee-mart.json$APIGEE_HELM_CHARTS_HOME/apigee-org/apigee-metricsPROJECT_ID-apigee-metrics.json$APIGEE_HELM_CHARTS_HOME/apigee-telemetry/apigee-runtimePROJECT_ID-apigee-runtime.json$APIGEE_HELM_CHARTS_HOME/apigee-envapigee-synchronizerPROJECT_ID-apigee-synchronizer.json$APIGEE_HELM_CHARTS_HOME/apigee-env/apigee-udcaPROJECT_ID-apigee-udca.json$APIGEE_HELM_CHARTS_HOME/apigee-org/apigee-watcherPROJECT_ID-apigee-watcher.json$APIGEE_HELM_CHARTS_HOME/apigee-org/非正式環境
在下列每個目錄中,複製
apigee-non-prod服務帳戶檔案:服務帳戶 預設檔案名稱 Helm 資訊套件目錄 apigee-non-prodPROJECT_ID-apigee-non-prod.json$APIGEE_HELM_CHARTS_HOME/apigee-datastore/
$APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
$APIGEE_HELM_CHARTS_HOME/apigee-org/
$APIGEE_HELM_CHARTS_HOME/apigee-env/ -
請確認 TLS 憑證和金鑰檔案 (
.crt、.key和/或.pem) 位於$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/目錄中。
升級 Kubernetes 版本
檢查 Kubernetes 平台版本,並視需要將 Kubernetes 平台升級至混合式 1.14 和混合式 1.15 皆支援的版本。如需協助,請參閱相關平台的說明文件。
按一下即可展開支援的平台清單
支援的版本
| 1.13 | 1.14 | 1.15 | |||
|---|---|---|---|---|---|
| GKE on Google Cloud | 1.27.x
1.28.x 1.29.x 1.30.x |
1.28.x
1.29.x 1.30.x 1.31.x |
1.29.x
1.30.x 1.31.x 1.32.x 1.33.x |
||
| GKE on AWS |
1.27.x
1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x |
1.28.x
1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x |
1.29.x(≥ 1.12.1)(8)
1.30.x 1.31.x 1.32.x |
||
| GKE on Azure | 1.27.x
1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x |
1.28.x
1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x |
1.29.x(≥ 1.12.1)(8)
1.30.x 1.31.x 1.32.x |
||
| VMware 上的 Google Distributed Cloud (僅限軟體) (5) | 1.16.x (K8s v1.27.x)
1.28.x(4) 1.29.x 1.30.x |
1.28.x(4)
1.29.x 1.30.x 1.31.x |
1.29.x
1.30.x 1.31.x 1.32.x 1.33.x |
||
| 裸機上的 Google Distributed Cloud (僅限軟體) | 1.16.x (K8s v1.27.x)
1.28.x(4) 1.29.x 1.30.x |
1.28.x(4)
1.29.x 1.30.x 1.31.x |
1.29.x
1.30.x 1.31.x 1.32.x 1.33.x |
||
| EKS | 1.27.x
1.28.x 1.29.x 1.30.x |
1.28.x
1.29.x 1.30.x 1.31.x 1.32.x |
1.29.x
1.30.x 1.31.x 1.32.x 1.33.x |
||
| AKS | 1.27.x
1.28.x 1.29.x 1.30.x |
1.28.x
1.29.x 1.30.x 1.31.x |
1.29.x
1.30.x 1.31.x 1.32.x 1.33.x |
||
| OpenShift(9) | 4.12
4.13 4.14 4.15 4.16 |
4.13
4.14 4.15 4.16 4.17 |
4.16
4.17 4.18 |
||
| Rancher Kubernetes Engine (RKE) | v1.26.2+rke2r1 v1.27.x 1.28.x 1.29.x 1.30.x |
1.27.x
1.28.x 1.29.x 1.30.x 1.31.x |
v1.28.x
1.29.x 1.30.x 1.31.x 1.32.x 1.33.x |
||
| VMware Tanzu | v1.26.x | v1.26.x | v1.26.x | ||
元件 |
1.13 | 1.14 | 1.15 | ||
| Cloud Service Mesh | 1.19.x(3) | 1.22.x(3) | 1.22.x(3) | ||
| JDK | JDK 11 | JDK 11 | JDK 11 | ||
| 憑證管理員 |
1.15.x(10) 1.16.x(10) 1.17.x(10) |
1.15.x(10) 1.16.x(10) 1.17.x(10) |
1.16.x(10) 1.17.x(10) |
||
| Cassandra | 4.0 | 4.0 | 4.0 | ||
| Kubernetes | 1.27.x 1.28.x 1.29.x 1.30.x |
1.28.x 1.29.x 1.30.x 1.31.x 1.32.x |
1.29.x 1.30.x 1.31.x 1.32.x 1.33.x |
||
| kubectl | 1.27.x 1.28.x 1.29.x 1.30.x |
1.28.x 1.29.x 1.30.x 1.31.x 1.32.x |
1.29.x 1.30.x 1.31.x 1.32.x 1.33.x |
||
| Helm | 3.14.2+ | 3.14.2+ | 3.14.2+ | ||
| Secret Store CSI 驅動程式 | 1.4.6+ | 1.4.6+ | 1.4.6+ | ||
| 保管箱 | 1.15.2 | 1.17.2 | 1.17.2 | ||
|
(1) 在 Anthos On-Prem (Google Distributed Cloud) 1.13 版中,請按照這些操作說明,避免與 (2) Apigee Hybrid 1.12 以上版本已於官方公告的日期終止支援。我們已停止提供每月定期修補程式。除了獲得明確官方例外情況的客戶外,我們不再正式支援這些版本。其他客戶必須升級。 (3) 系統會自動安裝 Cloud Service Mesh,並搭配 Apigee Hybrid 1.9 以上版本。 (4) AWS 中的 GKE 版本號碼現在會反映 Kubernetes 版本。如需版本詳細資料和建議的修補程式,請參閱「GKE Enterprise 版本和升級支援」。 (5) Vault 未通過 Google Distributed Cloud for VMware 認證。 (6) 支援 Apigee Hybrid 1.10.5 以上版本。 (7) 支援 Apigee Hybrid 1.11.2 以上版本。 (8) 支援 Apigee Hybrid 1.12.1 以上版本。 (9) Apigee Hybrid 會使用與各個特定 OCP 版本搭配的 Kubernetes 版本,在 OpenShift 上進行測試和認證。 (10) 某些版本的 cert-manager 有一個問題,Webhook TLS 伺服器可能無法自動更新 CA 憑證。為避免發生這種情況,Apigee 建議使用:
|
|||||
不支援的版本
1.6
(2)
|
1.7
(2)
|
1.8
(2)
|
1.9
(2)
|
1.10
(2) |
1.11
(2) |
1.12
(2) |
|
|---|---|---|---|---|---|---|---|
| GKE on Google Cloud | 1.19.x 1.20.x 1.21.x |
1.20.x
1.21.x 1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2) |
1.21.x (≤ 1.8.3)
1.22.x (≤ 1.8.3) 1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4) |
1.23.x
1.24.x 1.25.x 1.26.x (≥ 1.9.2) |
1.24.x
1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.25.x
1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.26.x
1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| GKE on AWS | 1.7.x 1.8.x 1.9.3 以上版本 1.10.x |
1.9.x
1.10.x 1.12.x (≥ 1.7.2) |
1.10.x
1.11.x 1.12.x (K8s v1.23.x) 1.13.x (K8s v1.24.x) 1.14.x (K8s v1.25.x) |
1.12.x
1.13.x (K8s v1.24.x) 1.14.x (K8s v1.25.x) |
1.13.x (K8s v1.24.x)
1.14.x (K8s v1.25.x) 1.26.x(4) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.14.x (K8s v1.25.x)
1.26.x(4) 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.26.x(4)
1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| GKE on Azure | 1.8.x | 1.9.x
1.10.x 1.12.x (≥ 1.7.2) |
1.10.x
1.11.x 1.12.x 1.13.x 1.14.x |
1.12.x
1.13.x 1.14.x |
1.13.x
1.14.x 1.26.x(4) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.14.x
1.26.x(4) 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.26.x(4)
1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| VMware 上的 Google Distributed Cloud (僅限軟體) (5) | 1.7.x 1.8.x 1.9.3 以上版本 1.10.x |
1.9.x
1.10.x
1.11.x (4) (≥ 1.7.2)
1.12.x (≥ 1.7.2)
|
1.10.x
1.11.x
1.12.x
1.13.x 1.14.x 1.15.x (K8s v1.26.x) |
1.12.x
1.13.x 1.14.x 1.15.x (K8s v1.26.x) |
1.13.x (1)
1.14.x 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.14.x
1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.15.x (K8s v1.26.x)
1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x(≥ 1.12.1)(8) |
| 裸機上的 Google Distributed Cloud (僅限軟體) | 1.7.x 1.8.2 以上版本 1.9.3 以上版本 1.10.x |
1.9.x
1.10.x
1.11.x (≥ 1.7.2)
1.12.x (≥ 1.7.2)
|
1.10.x
1.11.x
1.12.x
1.13.x 1.14.x 1.15.x |
1.12.x
1.13.x 1.14.x 1.15.x |
1.13.x (1)
1.14.x (K8s v1.25.x) 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.27.x(4)(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.14.x
1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(4)(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.15.x (K8s v1.26.x)
1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x(≥ 1.12.1)(8) |
| EKS | 1.19.x 1.20.x 1.21.x |
1.21.x
1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2) |
1.22.x (≤ 1.8.3)
1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4) |
1.23.x
1.24.x 1.25.x 1.26.x |
1.24.x
1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.25.x
1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.26.x
1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| AKS | 1.19.x 1.20.x 1.21.x |
1.21.x
1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2) |
1.22.x (≤ 1.8.3)
1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4) |
1.23.x
1.24.x 1.25.x 1.26.x(≥ 1.9.2) |
1.24.x
1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
1.25.x
1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
1.26.x
1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| OpenShift(9) | 4.6 4.7 4.8 |
4.7
4.8 |
4.8
4.9 4.10 |
4.10
4.11 |
4.11
4.12 4.14(≥ 1.10.5)(6) 4.15(≥ 1.10.5)(6) |
4.12
4.13 4.14 4.15(≥ 1.11.2)(7) 4.16(≥ 1.11.2)(7) |
4.12
4.13 4.14 4.15 4.16(≥ 1.12.1)(8) |
| Rancher Kubernetes Engine (RKE) | 不適用 | 不適用 | 不適用 | 1.3.8 |
v1.26.2+rke2r1
1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6) |
v1.26.2+rke2r1
v1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7) |
v1.26.2+rke2r1 v1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) |
| VMware Tanzu | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | v1.26.x |
元件 |
1.6
(2)
| 1.7
(2)
|
1.8
(2)
|
1.9
(2)
|
1.10
(2) |
1.11
(2) |
1.12
(2) |
| Cloud Service Mesh |
1.9.x 1.10.x 1.12.x 1.13.x
|
1.10.x 1.11.x 1.12.x 1.13.x (≥ 1.7.2)1.14.x 1.15.x (≥ 1.7.6) |
1.11.x 1.12.x 1.13.x 1.14.x 1.15.x |
1.17.x(3) | 1.17.x(3) |
1.17.x(v1.11.0 - v1.11.1)(3)
1.18.x(≥ 1.11.2)(7)(3) |
1.18.x(3) |
| JDK | JDK 11 | JDK 11 | JDK 11 | JDK 11 | JDK 11 | JDK 11 | JDK 11 |
| 憑證管理員 | 1.5.4 | 1.7.x |
1.7.x 1.8.x 1.9.x 1.10.x 1.11.x |
1.10.x 1.11.x |
1.10.x 1.11.x 1.12.x |
1.11.x 1.12.x 1.13.x |
1.11.x 1.12.x 1.13.x |
| Cassandra | 3.11 | 3.11 | 3.11 | 3.11 | 3.11 | 3.11 | 4.0 |
| Kubernetes | 1.23.x 1.24.x 1.25.x |
1.24.x 1.25.x 1.26.x |
1.25.x 1.26.x 1.27.x |
1.26.x 1.27.x 1.28.x 1.29.x |
|||
| kubectl | 1.24.x 1.25.x 1.26.x |
1.25.x 1.26.x 1.27.x |
1.26.x 1.27.x 1.28.x 1.29.x |
||||
| Helm | 3.10 以上版本 | 3.10 以上版本 | 3.14.2+ | ||||
| Secret Store CSI 驅動程式 | 1.3.4+ | 1.4.1+ | |||||
| 保管箱 | 1.13.x | 1.15.2 | |||||
|
(1) 在 Anthos On-Prem (Google Distributed Cloud) 1.13 版中,請按照這些操作說明,避免與 (2) Apigee Hybrid 1.12 以上版本已於官方公告的日期終止支援。我們已停止提供每月定期修補程式。除了獲得明確官方例外情況的客戶外,我們不再正式支援這些版本。其他客戶必須升級。 (3) 系統會自動安裝 Cloud Service Mesh,並搭配 Apigee Hybrid 1.9 以上版本。 (4) AWS 中的 GKE 版本號碼現在會反映 Kubernetes 版本。如需版本詳細資料和建議的修補程式,請參閱「GKE Enterprise 版本和升級支援」。 (5) Vault 未通過 Google Distributed Cloud for VMware 認證。 (6) 支援 Apigee Hybrid 1.10.5 以上版本。 (7) 支援 Apigee Hybrid 1.11.2 以上版本。 (8) 支援 Apigee Hybrid 1.12.1 以上版本。 (9) Apigee Hybrid 會使用與各個特定 OCP 版本搭配的 Kubernetes 版本,在 OpenShift 上進行測試和認證。 (10) 某些版本的 cert-manager 有一個問題,Webhook TLS 伺服器可能無法自動更新 CA 憑證。為避免發生這種情況,Apigee 建議使用:
|
|||||||
移除/升級 Istio CRD
從 Apigee Hybrid 1.14.1 版或更舊版本升級時,Apigee Hybrid 叢集中存在 istio.io 自訂資源定義 (CRD),可能會導致 apigee-ingressgateway-manager Pod 的 discovery 容器中完備性探測失敗。
如果叢集中已安裝 gateway.networking.k8s.io/v1,apigee-ingressgateway-manager 可能無法升級。舉例來說,在執行 Google Distributed Cloud (僅限軟體) 的叢集上,如果使用 Bare Metal 1.32 以上版本,通常會安裝 gateway.networking.k8s.io/v1。
修正這些問題的方法有兩種:
- 如果叢集中的 Istio 除了 Apigee 以外,沒有其他用途,請刪除
istio.ioCRD。 - 更新
apigee-ingressgateway-manager clusterrole,為istio.io新增權限。
完成上述任一選項後,請重新啟動 apigee-ingressgateway-manager Pod。
如要進一步瞭解 Apigee Hybrid 中的 istio.io CRD 和 gateway.networking.k8s.io/v1,請參閱已知問題 416634326 和已知問題 419856132。
-
使用下列指令,判斷叢集中是否有
istio.ioCRD:kubectl get crd -o custom-columns=NAME:metadata.name | grep istio.io
如果叢集有
istio.ioCRD,輸出內容應如下所示:kubectl get crd -o custom-columns=NAME:metadata.name | grep istio.ioauthorizationpolicies.security.istio.io destinationrules.networking.istio.io envoyfilters.networking.istio.io gateways.networking.istio.io peerauthentications.security.istio.io proxyconfigs.networking.istio.io requestauthentications.security.istio.io serviceentries.networking.istio.io sidecars.networking.istio.io telemetries.telemetry.istio.io virtualservices.networking.istio.io wasmplugins.extensions.istio.io workloadentries.networking.istio.io workloadgroups.networking.istio.io - 選用:將 CRD 儲存在本機,以防需要重新建立:
kubectl get crd $(cat istio-crd.csv) -o yaml > istio-crd.yaml
刪除 CRD
-
將叢集中的
istio.ioCRD 列入 CSV 檔案:kubectl get crd -o custom-columns=NAME:metadata.name | grep istio.io > istio-crd.csv
- 選用:將 CRD 儲存在本機,以防需要重新建立:
kubectl get crd $(cat istio-crd.csv) -o yaml > istio-crd.yaml
-
刪除
istio.ioCRD:模擬測試:
kubectl delete crd $(cat istio-crd.csv) --dry-run=client
執行:
kubectl delete crd $(cat istio-crd.csv)
更新 clusterrole
-
取得目前的 apigee-ingressgateway-manager clusterrole:
kubectl get clusterrole apigee-ingressgateway-manager-apigee -o yaml > apigee-ingressgateway-manager-apigee-clusterrole.yaml
-
將 clusterrole 複製到新位置:
cp apigee-ingressgateway-manager-apigee-clusterrole.yaml apigee-ingressgateway-manager-apigee-clusterrole-added-istio-permissions.yaml
-
在檔案結尾處加入下列額外權限:
- apiGroups: - gateway.networking.k8s.io resources: - gatewayclasses - gateways - grpcroutes - httproutes - referencegrants verbs: - get - list - watch - apiGroups: - networking.istio.io resources: - sidecars - destinationrules - gateways - virtualservices - envoyfilters - workloadentries - serviceentries - workloadgroups - proxyconfigs verbs: - get - list - watch - apiGroups: - security.istio.io resources: - peerauthentications - authorizationpolicies - requestauthentications verbs: - get - list - watch - apiGroups: - telemetry.istio.io resources: - telemetries verbs: - get - list - watch - apiGroups: - extensions.istio.io resources: - wasmplugins verbs: - get - list - watch
-
套用角色:
kubectl -n APIGEE_NAMESPACE apply -f apigee-ingressgateway-manager-apigee-clusterrole-added-istio-permissions.yaml
完成上述選項後,請重新啟動 apigee-ingressgateway-manager pod。
-
列出要重新安裝或重新建立的
ingress-managerPod:kubectl get deployments -n APIGEE_NAMESPACE
輸出內容範例:
NAME READY UP-TO-DATE AVAILABLE AGE apigee-controller-manager 1/1 1 1 32d apigee-ingressgateway-manager 2/2 2 2 32d
-
重新啟動
ingress-managerPod:kubectl rollout restart deployment -n APIGEE_NAMESPACE apigee-ingressgateway-manager
-
幾分鐘後,請監控
apigee-ingressgateway-managerPod:watch -n 10 kubectl -n APIGEE_NAMESPACE get pods -l app=apigee-ingressgateway-manager
輸出內容範例:
NAME READY STATUS RESTARTS AGE apigee-ingressgateway-manager-12345abcde-678wx 3/3 Running 0 10m apigee-ingressgateway-manager-12345abcde-901yz 3/3 Running 0 10m
安裝 Hybrid 1.15.1 執行階段
設定資料收集管道。
從混合式 1.14 版開始,所有 Apigee 混合式機構都會預設啟用新的分析和偵錯資料管道。您必須按照啟用 Analytics 發布者存取權中的步驟,設定授權流程。
準備升級 Helm 資訊套件
- 提取 Apigee Helm 資訊套件。
Apigee Hybrid 圖表託管於 Google Artifact Registry:
oci://us-docker.pkg.dev/apigee-release/apigee-hybrid-helm-charts使用
pull指令,將所有 Apigee Hybrid Helm 圖表複製到本機儲存空間,指令如下:export CHART_REPO=oci://us-docker.pkg.dev/apigee-release/apigee-hybrid-helm-charts
export CHART_VERSION=1.15.1helm pull $CHART_REPO/apigee-operator --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-datastore --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-env --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-ingress-manager --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-org --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-redis --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-telemetry --version $CHART_VERSION --untarhelm pull $CHART_REPO/apigee-virtualhost --version $CHART_VERSION --untar - 視需要升級 cert-manager。
如要升級 cert-manager 版本,請使用下列指令安裝新版本:
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.17.4/cert-manager.yaml
如需支援的版本清單,請參閱「支援的平台和版本:cert-manager」。
- 如果 Apigee 命名空間不是
apigee,請編輯apigee-operator/etc/crds/default/kustomization.yaml檔案,並將namespace值替換為您的 Apigee 命名空間。apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization namespace: APIGEE_NAMESPACE
如果您使用
apigee做為命名空間,則不需要編輯檔案。 - 安裝更新的 Apigee CRD:
-
執行下列指令,使用
kubectl模擬執行功能:kubectl apply -k apigee-operator/etc/crds/default/ --server-side --force-conflicts --validate=false --dry-run=server
-
使用模擬執行指令驗證後,請執行下列指令:
kubectl apply -k apigee-operator/etc/crds/default/ \ --server-side \ --force-conflicts \ --validate=false
- 使用
kubectl get crds指令驗證安裝:kubectl get crds | grep apigee
輸出內容應如下所示:
apigeedatastores.apigee.cloud.google.com 2024-08-21T14:48:30Z apigeedeployments.apigee.cloud.google.com 2024-08-21T14:48:30Z apigeeenvironments.apigee.cloud.google.com 2024-08-21T14:48:31Z apigeeissues.apigee.cloud.google.com 2024-08-21T14:48:31Z apigeeorganizations.apigee.cloud.google.com 2024-08-21T14:48:32Z apigeeredis.apigee.cloud.google.com 2024-08-21T14:48:33Z apigeerouteconfigs.apigee.cloud.google.com 2024-08-21T14:48:33Z apigeeroutes.apigee.cloud.google.com 2024-08-21T14:48:33Z apigeetelemetries.apigee.cloud.google.com 2024-08-21T14:48:34Z cassandradatareplications.apigee.cloud.google.com 2024-08-21T14:48:35Z
-
-
檢查叢集節點上的標籤。 根據預設,Apigee 會在標籤為
cloud.google.com/gke-nodepool=apigee-data的節點上排定資料 Pod,並在標籤為cloud.google.com/gke-nodepool=apigee-runtime的節點上排定執行階段 Pod。您可以在overrides.yaml檔案中自訂節點集區標籤。詳情請參閱「設定專屬節點集區」。
安裝 Apigee Hybrid Helm 資訊套件
- 如果沒有,請前往
APIGEE_HELM_CHARTS_HOME目錄。從該目錄執行下列指令。 - 升級 Apigee Operator/Controller:
模擬測試:
helm upgrade operator apigee-operator/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade operator apigee-operator/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
確認 Apigee Operator 安裝狀態:
helm ls -n APIGEE_NAMESPACE
NAME NAMESPACE REVISION UPDATED STATUS CHART APP VERSION operator apigee 3 2024-08-21 00:42:44.492009 -0800 PST deployed apigee-operator-1.15.1 1.15.1
檢查可用性,確認該服務是否正常運作:
kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager
NAME READY UP-TO-DATE AVAILABLE AGE apigee-controller-manager 1/1 1 1 7d20h
- 升級 Apigee 資料儲存庫:
模擬測試:
helm upgrade datastore apigee-datastore/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade datastore apigee-datastore/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
檢查
apigeedatastore的狀態,確認是否已啟動並執行:kubectl -n APIGEE_NAMESPACE get apigeedatastore default
NAME STATE AGE default running 2d
- 升級 Apigee 遙測功能:
模擬測試:
helm upgrade telemetry apigee-telemetry/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade telemetry apigee-telemetry/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
檢查狀態,確認是否已啟動並執行:
kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry
NAME STATE AGE apigee-telemetry running 2d
- 升級 Apigee Redis:
模擬測試:
helm upgrade redis apigee-redis/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade redis apigee-redis/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
檢查狀態,確認是否已啟動並執行:
kubectl -n APIGEE_NAMESPACE get apigeeredis default
NAME STATE AGE default running 2d
- 升級 Apigee Ingress 管理工具:
模擬測試:
helm upgrade ingress-manager apigee-ingress-manager/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade ingress-manager apigee-ingress-manager/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
檢查可用性,確認該服務是否正常運作:
kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager
NAME READY UP-TO-DATE AVAILABLE AGE apigee-ingressgateway-manager 2/2 2 2 2d
- 升級 Apigee 機構:
模擬測試:
helm upgrade ORG_NAME apigee-org/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE \ --dry-run=server
升級圖表:
helm upgrade ORG_NAME apigee-org/ \ --install \ --namespace APIGEE_NAMESPACE \ -f OVERRIDES_FILE
檢查對應機構的狀態,確認是否已啟動並正常運作:
kubectl -n APIGEE_NAMESPACE get apigeeorg
NAME STATE AGE apigee-org1-xxxxx running 2d
- 升級環境。
一次只能安裝一個環境。使用
--set env=ENV_NAME 指定環境。模擬測試:
helm upgrade ENV_RELEASE_NAME apigee-env/ \ --install \ --namespace APIGEE_NAMESPACE \ --set env=ENV_NAME \ -f OVERRIDES_FILE \ --dry-run=server
- ENV_RELEASE_NAME 是用於追蹤
apigee-env圖表安裝和升級作業的名稱。這個名稱不得與安裝中的其他 Helm 版本名稱重複。 通常與ENV_NAME相同。不過,如果環境與環境群組的名稱相同,您必須為環境和環境群組使用不同的發布名稱,例如dev-env-release和dev-envgroup-release。如要進一步瞭解 Helm 中的版本,請參閱 Helm 說明文件中的「三個重要概念」。 - ENV_NAME 是您要升級的環境名稱。
- OVERRIDES_FILE 是 1.15.1 版的新覆寫檔案
升級圖表:
helm upgrade ENV_RELEASE_NAME apigee-env/ \ --install \ --namespace APIGEE_NAMESPACE \ --set env=ENV_NAME \ -f OVERRIDES_FILE
請檢查相應環境的狀態,確認該環境已啟動並執行:
kubectl -n APIGEE_NAMESPACE get apigeeenv
NAME STATE AGE GATEWAYTYPE apigee-org1-dev-xxx running 2d
- ENV_RELEASE_NAME 是用於追蹤
-
升級環境群組 (
virtualhosts)。- 您一次只能升級一個環境群組 (虛擬主機)。使用
--set envgroup=ENV_GROUP_NAME 指定環境群組。針對 overrides.yaml 檔案中提及的每個環境群組,重複執行下列指令:模擬測試:
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \ --install \ --namespace APIGEE_NAMESPACE \ --set envgroup=ENV_GROUP_NAME \ -f OVERRIDES_FILE \ --dry-run=server
ENV_GROUP_RELEASE_NAME 是您先前安裝
apigee-virtualhost圖表時使用的名稱。通常是 ENV_GROUP_NAME。升級圖表:
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \ --install \ --namespace APIGEE_NAMESPACE \ --set envgroup=ENV_GROUP_NAME \ -f OVERRIDES_FILE
- 檢查 ApigeeRoute (AR) 的狀態。
安裝
virtualhosts會建立 ApigeeRouteConfig (ARC),Apigee 監控程式從控制層提取環境群組相關詳細資料後,ARC 會在內部建立 ApigeeRoute (AR)。因此,請檢查對應 AR 的狀態是否為執行中:kubectl -n APIGEE_NAMESPACE get arc
NAME STATE AGE apigee-org1-dev-egroup 2d
kubectl -n APIGEE_NAMESPACE get ar
NAME STATE AGE apigee-org1-dev-egroup-xxxxxx running 2d
- 您一次只能升級一個環境群組 (虛擬主機)。使用
- 確認所有安裝項目都已順利升級後,請從
apigee-system命名空間刪除舊版apigee-operator。- 解除安裝舊版
operator:helm delete operator -n apigee-system
- 刪除
apigee-system命名空間:kubectl delete namespace apigee-system
- 解除安裝舊版
- 在 Apigee 命名空間中再次升級
operator,重新安裝已刪除的叢集範圍資源:helm upgrade operator apigee-operator/ \ --install \ --namespace APIGEE_NAMESPACE \ --atomic \ -f overrides.yaml
從 1.14.0 以下版本升級後驗證政策
從 1.14.0 升級後,請使用這個程序驗證 JavaCallout 政策的行為。
- 檢查 Java JAR 檔案是否要求不必要的權限。
部署政策後,請檢查執行階段記錄,確認是否出現下列記錄訊息:
"Failed to load and initialize class ...". 如果看到這則訊息,表示已部署的 JAR 要求了不必要的權限。如要解決這個問題,請調查 Java 程式碼並更新 JAR 檔案。 - 調查並更新 Java 程式碼。
請檢查所有 Java 程式碼 (包括依附元件),找出可能導致不允許作業的原因。找到後,請視需要修改原始碼。
- 啟用安全檢查功能,測試政策。
在非正式版環境中,啟用安全性檢查標記,並使用更新的 JAR 重新部署政策。如要設定標記,請按照下列步驟操作:
- 在
apigee-env/values.yaml檔案中,將runtime:cwcAppend:下方的conf_security-secure.constructor.only設為true。例如:# Apigee Runtime runtime: cwcAppend: conf_security-secure.constructor.only: true
- 更新環境的
apigee-env圖表,套用變更。例如:helm upgrade ENV_RELEASE_NAME apigee-env/ \ --install \ --namespace APIGEE_NAMESPACE \ --set env=ENV_NAME \ -f OVERRIDES_FILE
ENV_RELEASE_NAME 是用於追蹤
apigee-env圖表安裝和升級作業的名稱。這個名稱不得與安裝中的其他 Helm 版本名稱重複。 通常與ENV_NAME相同。不過,如果環境與環境群組的名稱相同,您必須為環境和環境群組使用不同的發布名稱,例如dev-env-release和dev-envgroup-release。如要進一步瞭解 Helm 中的版本,請參閱 Helm 說明文件中的「Three big concepts」(三大概念)。
如果記錄訊息
"Failed to load and initialize class ..."仍存在,請繼續修改及測試 JAR,直到記錄訊息不再顯示為止。 - 在
- 在正式環境中啟用安全檢查。
在非正式環境中徹底測試及驗證 JAR 檔案後,請將
conf_security-secure.constructor.only旗標設為true,並更新正式環境的apigee-env圖表,以啟用正式環境中的安全性檢查。
還原至先前版本
如要復原至先前的版本,請使用舊版圖表,以相反順序復原升級程序。請先從 apigee-virtualhost 開始,然後逐步返回 apigee-operator,再還原 CRD。
- 將所有圖表從
apigee-virtualhost還原至apigee-datastore。下列指令假設您使用的是舊版 (v1.14.x) 的圖表。針對每個環境群組執行下列指令:
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \ --install \ --namespace apigee \ --atomic \ --set envgroup=ENV_GROUP_NAME \ -f 1.14_OVERRIDES_FILE
針對每個環境執行下列指令:
helm upgrade ENV_RELEASE_NAME apigee-env/ \ --install \ --namespace apigee \ --atomic \ --set env=ENV_NAME \ -f 1.14_OVERRIDES_FILE
還原
apigee-operator以外的其餘圖表。helm upgrade ORG_NAME apigee-org/ \ --install \ --namespace apigee \ --atomic \ -f 1.14_OVERRIDES_FILE
helm upgrade ingress-manager apigee-ingress-manager/ \ --install \ --namespace apigee \ --atomic \ -f 1.14_OVERRIDES_FILE
helm upgrade redis apigee-redis/ \ --install \ --namespace apigee \ --atomic \ -f 1.14_OVERRIDES_FILE
helm upgrade telemetry apigee-telemetry/ \ --install \ --namespace apigee \ --atomic \ -f 1.14_OVERRIDES_FILE
helm upgrade datastore apigee-datastore/ \ --install \ --namespace apigee \ --atomic \ -f 1.14_OVERRIDES_FILE
- 建立
apigee-system命名空間。kubectl create namespace apigee-system
- 將資源註解修補回
apigee-system命名空間。kubectl annotate --overwrite clusterIssuer apigee-ca-issuer meta.helm.sh/release-namespace='apigee-system'
- 如果也變更了發行名稱,請使用
operator發行名稱更新註解。kubectl annotate --overwrite clusterIssuer apigee-ca-issuer meta.helm.sh/release-name='operator'
- 將
apigee-operator安裝回apigee-system命名空間。helm upgrade operator apigee-operator/ \ --install \ --namespace apigee-system \ --atomic \ -f 1.14_OVERRIDES_FILE
- 重新安裝舊版 CRD,還原 CRD。
kubectl apply -k apigee-operator/etc/crds/default/ \ --server-side \ --force-conflicts \ --validate=false
- 從 APIGEE_NAMESPACE 命名空間清除
apigee-operator版本,完成回溯程序。helm uninstall operator -n APIGEE_NAMESPACE
- 部分叢集範圍資源 (例如
clusterIssuer) 會在解除安裝operator時刪除。使用下列指令重新安裝:helm upgrade operator apigee-operator/ \ --install \ --namespace apigee-system \ --atomic \ -f 1.14_OVERRIDES_FILE