Problemi noti di Apigee

Esiste un problema noto nella versione 1.16.0 in cui i cluster ibridi potrebbero non segnalare lo stato di deployment dei proxy. Ciò è dovuto a un'autorizzazione mancante nel ruolo apigee-manager-role.

Soluzione alternativa:aggiungi l'autorizzazione al modello di grafico Helm apigee-operator:

1. Modifica il apigee-operator file modello del grafico Helm apigee-operator/templates/apigee-operators.yaml.
2. Aggiungi il verbo - watch alla risorsa deployments, dopo il verbo - update alla riga 584.
3. Aggiorna la release Helm di apigee-operator.

La pagina delle note di rilascio di hybrid non mostra le informazioni sull'aggiornamento 1.16.0-hotfix.1. Per i dettagli dell'aggiornamento, consulta le note di rilascio di Apigee hybrid v1.16.0-hotfix.1.

Apigee Hybrid 1.16 non è interessato da questo problema.

Soluzione alternativa: se devi utilizzare l'API Gateway di Kubernetes con Apigee Hybrid versioni 1.14 o 1.15, installa la versione v1.3.x dell'API Gateway. Ad esempio:

kubectl apply -f https://github.com/kubernetes-sigs/gateway-api/releases/download/v1.3.0/standard-install.yaml

Vedi anche:

• API Gateway di Kubernetes v1.3
• API Gateway v1.3.0: miglioramenti nel mirroring delle richieste, in CORS, nell'unione dei gateway e nei budget per i tentativi

Nella versione 1-17-0-apigee-1 di Apigee, un upgrade di Netty alla versione 4.1.129.Final ha introdotto una regressione. Ciò può causare errori nelle chiamate proxy API con un codice di stato 400 e il messaggio di errore The URI contain illegal characters. Questo problema è monitorato esternamente in netty/netty#16020.

Le versioni più recenti di cert-manager (v1.18+) ora ruotano automaticamente le chiavi private. Quando questa chiave viene ruotata per il certificato apigee-ca, si verifica un'interruzione.

Soluzione alternativa:per evitare questo problema, puoi scegliere una delle seguenti opzioni:

• Non eseguire l'upgrade di cert-manager a una versione superiore alla 1.17.x.
• Modifica il certificato apigee-ca nello spazio dei nomi cert-manager e imposta spec.privateKey.rotationPolicy su Never. Utilizza la seguente procedura per modificare il certificato apigee-ca e aggiornare cert-manager:
  1. Controlla i contenuti del certificato apigee-ca per vedere se rotationPolicy è impostato:

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     Cerca i valori in spec.privateKey nell'output:

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         # Note: rotationPolicy would appear here if it is set.
         size: 256
       secretName: apigee-ca
     ...

  2. Se rotationPolicy non è impostato o se è impostato su Always, modifica il certificato apigee-ca per impostare il valore di rotationPolicy su Never:
     1. Esegui prima un dry run:

        kubectl patch Certificate \
          --dry-run=server \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

     2. Applica la patch al certificato:

        kubectl patch Certificate \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

  3. Verifica che il valore di rotationPolicy sia ora impostato su Never:

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     L'output dovrebbe essere simile al seguente:

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         rotationPolicy: Never
         size: 256
       secretName: apigee-ca
     ...

  4. Esegui l'upgrade di cert-manager. Il seguente comando scaricherà e installerà cert-manager v0.14.2:

     kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v0.14.2/cert-manager.yaml

Vedi:

• Piattaforme e versioni supportate: cert-manager
• Upgrade di Apigee hybrid alla versione 1.16: esegui l'upgrade di cert-manager
• cert-manager versione 1.18: il valore predefinito di Certificate.Spec.PrivateKey.rotationPolicy è ora Always

Quando in una richiesta sono presenti più intestazioni di autorizzazione, il gateway in entrata Apigee non le concatena in un'unica intestazione. Di conseguenza, il processore di messaggi restituisce un errore 500 con un messaggio "Duplicate Header "authorization"".

Soluzione alternativa:se nella richiesta sono presenti più intestazioni di autorizzazione, concatenale in un'unica intestazione. Ad esempio:

curl -s https://my-hostname.net/mocktarget/echo \
          -H 'authorization: a, b'

Al momento, la UI di Apigee non offre l'opzione per il provisioning delle organizzazioni Apigee con un Google-owned and Google-managed encryption key.

L'interfaccia utente Apigee non offre la possibilità di selezionare un Google-owned and Google-managed encryption key durante il provisioning delle organizzazioni di abbonamento.

Soluzione alternativa: utilizza le API Apigee per creare organizzazioni basate su abbonamento con un Google-owned and Google-managed encryption key.

Come indicato nella documentazione dell'API Apigee, durante la creazione dell'organizzazione Apigee, puoi creare l'organizzazione utilizzando un Google-owned and Google-managed encryption key senza fornire valori per i campi runtimeDatabaseEncryptionKeyName, apiConsumerDataEncryptionKeyName e controlPlaneEncryptionKeyName.

Le policy Apigee Model Armor, tra cui SanitizeUserPrompt e SanitizeModelResponse, al momento non funzionano come previsto se utilizzate nei proxy API che gestiscono le connessioni WebSocket. Per maggiori informazioni sulla configurazione di WebSocket, consulta WebSockets con Apigee.

Dopo l'upgrade alla versione 1-16-0-apigee-3, alcune organizzazioni Apigee potrebbero riscontrare errori HTTP 500 derivanti da un java.lang.NoClassDefFoundError all'interno di un criterio Java Callout. L'errore è simile al seguente:

{"fault":{"faultstring":"Failed to execute JavaCallout. org/apache/commons/lang/StringUtils","detail":{"errorcode":"steps.javacallout.ExecutionError"}}}

Questo errore si verifica quando un criterio Java Callout dipende in modo errato da librerie destinate all'uso interno di Apigee anziché fornire le proprie dipendenze.

Azione richiesta:per evitare questo problema, gli sviluppatori devono assicurarsi che tutti i callout Java siano autonomi e utilizzino le proprie librerie dedicate, evitando qualsiasi dipendenza dal classpath interno di Apigee.

Nel proxy API che utilizza la libreria JAR Apache Commons, importa il file JAR Apache Commons da includere come risorsa per il proxy. Per saperne di più, consulta le linee guida per le risorse Java.

L'upgrade del grafico apigee-org può non riuscire se la proprietà mintTaskScheduler.serviceAccountPath non è impostata, anche se la monetizzazione non è attivata:

Error: UPGRADE FAILED: execution error at (apigee-org/templates/mint-task-scheduler-gsa-secret.yaml:12:63): mintTaskScheduler.serviceAccountPath is required!

Soluzione: rimuovi i file apigee-org/templates/mint-task-scheduler-gsa-secret.yaml e apitee-org/templates/mint-task-scheduler-sa.yaml.

Se vuoi, puoi spostare i file in una posizione separata al di fuori della directory del grafico Helm. In alternativa, puoi scaricarli di nuovo se vuoi abilitare la monetizzazione in futuro, seguendo le istruzioni riportate nel passaggio 2: scarica i grafici Helm di Apigee.

Ad esempio, dalla directory helm-charts/:

1. ls apigee-org/templates/

   Output:

   apigee-org-guardrails.yaml              mart-sa.yaml
   apigee-proxy-chaining-certificate.yaml  mint-task-scheduler-gsa-secret.yaml
   apigee-proxy-chaining-route.yaml        mint-task-scheduler-sa.yaml
   ax-hash-salt-secret.yaml                NOTES.txt
   connect-agent-gsa-secret.yaml           organization.yaml
   connect-agent-sa.yaml                   udca-gsa-secret.yaml
   data-encryption-secret.yaml             udca-sa.yaml
   encryption-keys-secret.yaml             watcher-gsa-secret.yaml
   _helpers.tpl                            watcher-sa.yaml
   mart-gsa-secret.yaml
   

2. (Facoltativo:)

   cp apigee-org/templates/mint-task-scheduler-gsa-secret.yaml /tmp/
   cp apigee-org/templates/mint-task-scheduler-sa.yaml /tmp/

3. rm apigee-org/templates/mint-task-scheduler-gsa-secret.yaml

4. rm apigee-org/templates/mint-task-scheduler-sa.yaml

5. ls apigee-org/templates/

   Output:

   apigee-org-guardrails.yaml              mart-gsa-secret.yaml
   apigee-proxy-chaining-certificate.yaml  mart-sa.yaml
   apigee-proxy-chaining-route.yaml        NOTES.txt
   ax-hash-salt-secret.yaml                organization.yaml
   connect-agent-gsa-secret.yaml           udca-gsa-secret.yaml
   connect-agent-sa.yaml                   udca-sa.yaml
   data-encryption-secret.yaml             watcher-gsa-secret.yaml
   encryption-keys-secret.yaml             watcher-sa.yaml
   _helpers.tpl
   

Lo script apigee-pull-push.sh può restituire un messaggio di errore No such image, ad esempio:

Error response from daemon: No such image: gcr.io/apigee-release/hybrid/apigee-stackdriver-logging-agent:latest

Soluzione alternativa: modifica lo script HELM_CHARTS_DIR/apigee-operator/etc/tools/apigee-pull-push.sh per cambiare la riga 114 della funzione docker_tag() da:

  docker tag "${source}/$i" "${dest}/$i:${TAG}"

A:

  docker tag "${source}/$i:${TAG}" "${dest}/$i:${TAG}"

Quando metrics.serviceAccountRef o metrics.serviceAccountSecretProviderClass viene specificato nel file overrides.yaml, il ruolo di telemetria avrà come target ilaccount di serviziot errato.

Soluzione: applica la patch _helper.tpl nel grafico apigee-operator/.

1. Modifica apigee-operator/templates/_helpers.tpl e rimuovi le seguenti righe in grassetto:

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.serviceAccountSecretProviderClass -}}  <-- DELETE
     {{- .Values.serviceAccountSecretProviderClass -}}          <-- DELETE
     {{- else if .Values.metrics.serviceAccountRef -}}          <-- DELETE
     {{- .Values.metrics.serviceAccountRef -}}                  <-- DELETE
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

   La sezione risultante dovrebbe avere l'aspetto seguente:

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

2. Applica di nuovo il grafico apigee-operator.

   helm upgrade operator apigee-operator/ \
       --namespace APIGEE_NAMESPACE \
       --atomic \
       -f overrides.yaml

Per una soluzione alternativa, segui i passaggi descritti in Problema noto 416634326.

L'utilizzo di caratteri jolly (*) nei percorsi di base del proxy Apigee potrebbe entrare in conflitto con altri percorsi di base espliciti, causando un errore 404. Ad esempio, l'utilizzo dei seguenti percorsi di base per due proxy di cui è stato eseguito il deployment nello stesso ambiente potrebbe generare un errore 404 durante la chiamata a Proxy-2:

Proxy-1: /a/v1/b
Proxy-2: /a/*/c

In questo caso, le chiamate al percorso di base esplicito verranno risolte correttamente, ma le chiamate a Proxy-2 potrebbero restituire 404 se il percorso con caratteri jolly viene valutato come /a/v1/c.

Corretto:questo problema è stato risolto in Apigee e in hybrid 1.14.3 e versioni successive. Tuttavia, la correzione non è abilitata per impostazione predefinita. Se vuoi attivare l'utilizzo di caratteri jolly nei percorsi di base:

• I clienti con organizzazioni Apigee devono contattare l'assistenza Apigee per attivare la correzione, se necessario.
• I clienti con organizzazioni ibride Apigee devono utilizzare la seguente procedura per abilitare la correzione, se necessario.

Procedura:per attivare l'utilizzo di caratteri jolly (*) nei percorsi di base dei proxy Apigee in Apigee hybrid:

1. Aggiungi la seguente strofa al file overrides.yaml prima di eseguire l'upgrade a ibrido 1.14.3 o versioni successive:

   runtime:
     cwcAppend:
       conf_message-processor-communication_classificationV2.enabled: "true"
   

2. Applica le modifiche al grafico apigee-env. Ripeti la modifica per ogni ambiente dell'installazione.

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --set env=ENV_NAME \
     -f OVERRIDES_FILE
   

   • ENV_RELEASE_NAME è un nome utilizzato per tenere traccia dell'installazione e degli upgrade del grafico apigee-env. Questo nome deve essere univoco rispetto agli altri nomi delle release Helm nell'installazione. Di solito è uguale a ENV_NAME. Tuttavia, se il tuo ambiente ha lo stesso nome del tuo gruppo di ambienti, devi utilizzare nomi di release diversi per l'ambiente e il gruppo di ambienti, ad esempio dev-env-release e dev-envgroup-release. Per saperne di più sulle release in Helm, consulta la sezione Tre concetti importanti nella documentazione di Helm.
   • ENV_NAME è il nome dell'ambiente che stai eseguendo l'upgrade.
   • OVERRIDES_FILE è il file di override.
3. Esegui l'upgrade a hybrid 1.14.3 o versioni successive.

L'utilizzo di LogTimer in SecurityPolicy può causare una perdita di memoria.

In alcune circostanze, i thread del logger di Apigee Hybrid potrebbero consumare tutta la memoria disponibile. Ad esempio, voci di log frequenti che documentano errori di autorizzazione associati a Javacallout potrebbero causare un errore di memoria insufficiente.

Il processore di estensioni Apigee non supporta l'elaborazione di più di 100 KB di dati nell'ambito degli eventi del corpo della richiesta e della risposta.

Quando aggiorni un keystore o un truststore senza crearne uno nuovo, gli aggiornamenti del runtime potrebbero non riuscire e causare il seguente errore intermittente:

  {"fault":{"faultstring":"SSL Handshake failed sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

L'errore è intermittente perché l'aggiornamento del keystore o del truststore potrebbe non riuscire su un pod di runtime, ma riuscire su altri pod. Per evitare questo problema, aggiorna il keystore o il truststore creando un nuovo keystore o truststore. Riassegna il riferimento al nuovo keystore o truststore, come descritto in Quando un certificato scade.

A partire dalla versione 1.14.0 di Apigee Hybrid, è stata rimossa l'aggiunta automatica delle intestazioni di traccia Zipkin (x-b3-*).

N/D

Se specifichi solo httpProxy, devi anche assicurarti che *.googleapis.com sia incluso nella lista consentita per i pod Apigee Runtime per abilitare la connettività a questi servizi.

Consulta Configurare il proxy di inoltro per i proxy API.

La presenza di definizioni di risorse personalizzate (CRD) istio.io in un cluster ibrido Apigee può causare errori nei pod apigee-ingressgateway-manager.

Durante l'upgrade di Apigee Hybrid dalle versioni precedenti alla 1.14.2 o successive, la presenza di CRD istio.io esistenti potrebbe causare probe di idoneità non riusciti nei container discovery dei pod apigee-ingressgateway-manager.

Soluzione alternativa: i CRD istio.io non sono richiesti da Apigee Hybrid v1.14.2 o versioni successive. Esistono due modi per risolvere il problema:

• Elimina le CRD istio.io se non utilizzi Istio per scopi diversi da Apigee nel tuo cluster.
• Aggiorna apigee-ingressgateway-manager clusterrole per aggiungere le autorizzazioni per istio.io.

Dopo ogni opzione precedente, dovrai riavviare i pod apigee-ingressgateway-manager.

Dopo aver completato le opzioni precedenti, dovrai riavviare i pod apigee-ingressgateway-manager.

1. Elenca i pod ingress-manager da reinstallare o ricreare:

   kubectl get deployments -n APIGEE_NAMESPACE

   Output di esempio:

   NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-controller-manager       1/1     1            1           32d
   apigee-ingressgateway-manager   2/2     2            2           32d
   

2. Riavvia i pod ingress-manager:

   kubectl rollout restart deployment -n APIGEE_NAMESPACE apigee-ingressgateway-manager

3. Dopo qualche minuto, monitora i pod apigee-ingressgateway-manager:

   watch -n 10 kubectl -n APIGEE_NAMESPACE get pods -l app=apigee-ingressgateway-manager

   Output di esempio:

   NAME                                             READY   STATUS    RESTARTS   AGE
   apigee-ingressgateway-manager-12345abcde-678wx   3/3     Running   0          10m
   apigee-ingressgateway-manager-12345abcde-901yz   3/3     Running   0          10m
   

ApigeeTelemetry può bloccarsi nello stato creating.

Questo problema è stato riscontrato nelle installazioni di OpenShift.

Soluzione alternativa:modifica il modello di grafico apigee-operator per creare l'accesso clusterrole corretto.

1. Modifica il file modello helm-charts/apigee-operator/templates/apigee-operators.yaml e individua la definizione di clusterrole -apigee-manager-role-. Ecco quali sono:

   kind: ClusterRole
   metadata:
     name: apigee-manager-role-{{ include 'namespace' }}
   rules:
     ...
                 

2. Individua il blocco - apiGroups: apiregistration.k8s.io e aggiungi la risorsa apiservices/finalizers all'elenco delle risorse:

   - apiGroups:
     - apiregistration.k8s.io
     resources:
     - apiservices
     - apiservices/finalizers
     verbs:
     - create
     - delete
     - get
     - patch
     - update
     

3. Trova il blocco - apiGroups: authorization.k8s.io e aggiungi il blocco - apiGroups: apigee.cloud.google.com dopo la fine del blocco con il seguente testo:

   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

   Ad esempio:

   - apiGroups:
     - authorization.k8s.io
     resources:
     - subjectaccessreviews
     verbs:
     - create
     - get
     - list
   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

4. Applica le modifiche al grafico apigee-operator:

   Prova:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   esegui l'upgrade del grafico:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
   

I prodotti API sono limitati a 50 percorsi. Se aggiungi altri percorsi, viene visualizzato un messaggio di errore: Operation group limit of 51 exceeded in Operation Config

Soluzione alternativa:utilizza i pattern jolly per combinare i percorsi delle risorse e le operazioni come descritto in Configurazione dei percorsi delle risorse.

Soluzione alternativa:crea più prodotti API. Questa soluzione alternativa è stata verificata ed è fattibile per chi aggiunge molti proxy API a un prodotto API. L'app associata ai tuoi prodotti API dovrà essere aggiornata per includere quella nuova, ma è stato dimostrato che le credenziali e i dettagli della richiesta lato client non devono essere modificati.

Errore durante l'utilizzo delle API Custom Reports e Stats durante la selezione per tipo di tariffa per le installazioni che utilizzano la monetizzazione.

Soluzione alternativa:recupera tutti i tipi di commissione sul lato client prima di filtrare.

Lo scaling dei pod di ingresso Istio può causare un errore 503.

Lo scaling dei pod di ingresso Istio può occasionalmente causare un errore 503. Se si verifica un errore 503, i log del bilanciatore del carico mostrano il seguente messaggio: statusDetails: backend_connection_closed_before_data_sent_to_client.

Soluzione alternativa: scala manualmente i pod di ingresso Istio.

ESS e non-ESS La rotazione delle credenziali Cassandra non funziona nelle organizzazioni con limiti proxy avanzati.

Il traffico di runtime non è interessato.

I backup eseguiti dalla configurazione multiregionale utilizzando i provider di servizi cloud GCP e HYBRID contengono informazioni su tutte le regioni ibride esistenti al momento dell'acquisizione dello snapshot. Poiché queste regioni non esistono più, il job di ripristino entrerà in conflitto con lo stato attuale di Cassandra e non riuscirà a essere eseguito, restituendo il seguente errore: Unrecognized strategy option passed to NetworkTopologyStrategy.

La libreria Nimbus JOSE + JWT potrebbe causare un java.lang.ClassCircularityError quando utilizzi un criterio JavaCallout .

Se hai un'organizzazione abilitata per Apigee Hybrid con un criterio JavaCallout che utilizza la libreria Nimbus JOSE + JWT, non eseguire l'upgrade a hybrid 1.12.4, hybrid 1.13.3, hybrid 1.14.1.

ESS e non ESS La rotazione delle credenziali Cassandra multiregionale non andrà a buon fine in tutte le regioni, tranne la prima.

Il traffico di runtime non è interessato.

Segui la soluzione alternativa fornita per risolvere il problema.

I pod Cassandra verranno riavviati dopo l'applicazione delle modifiche agli override di Cassandra, ad esempio quando viene riattivato il backup, il che attiverà questo problema. I log di un pod Cassandra nello stato CrashLoopBackoff mostreranno il seguente errore: Cannot change the number of tokens from 512 to 256.

Segui la soluzione alternativa fornita per risolvere il problema.

In alcuni rari casi, il job di backup di Apigee non pulisce gli snapshot intermedi di Cassandra che crea durante l'esecuzione dei backup utilizzando i provider di servizi cloud HYBRID o GCP. Ciò si verifica solo se un problema sottostante impedisce al processo di backup di connettersi correttamente al server remoto o a Cloud Storage. Se il problema di connessione persiste, gli snapshot Cassandra rimanenti possono accumularsi nel tempo, utilizzando lo spazio di archiviazione sui dischi di Cassandra. Se il problema ti riguarda, correggi il problema di connessione sottostante e poi segui i passaggi forniti nella guida alla risoluzione dei problemi di Cassandra per cancellare manualmente gli snapshot di Cassandra.

Quando viene utilizzata una norma KeyValueMapOperations con ambito apiproxy e l'operazione <Put> della norma viene chiamata in un flusso condiviso tramite un hook di flusso, la voce KVM viene creata con il nome del flusso condiviso. Dovrebbe essere creato con il nome del proxy API.

384937220

Quando sono presenti più host virtuali, la creazione della release Helm potrebbe non riuscire a causa di nomi ApigeeRoute in conflitto. La soluzione alternativa consiste nell'eseguire i seguenti comandi per ogni host virtuale durante la creazione:

kubectl annotate ar apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite
kubectl annotate cert apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite

dove:

• PROJECT_ID_SUFFIX è un suffisso univoco per il concatenamento interno per il tuo progetto in Kubernetes. Puoi trovare questo suffisso con il seguente comando:

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining

  L'output sarà simile al seguente:

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining
  apigee-ingressgateway-internal-chaining-my-project--1234567    ClusterIP  34.118.226.140  <none>    15021/TCP,443/TCP    5d6h

  Nell'output di esempio, my-project--1234567 è PROJECT_ID_SUFFIX.

• APIGEE_NAMESPACE è il tuo spazio dei nomi Apigee.
• NEW_ENV_GROUP_NAME è il nome del gruppo di ambienti aggiuntivo. Aggiorna questo valore per ogni host virtuale.

N/D

Se un utente fornisce un account di servizio non valido all'API UpdateControlPlaneAccess, l'operazione entra in un ciclo di tentativi che blocca effettivamente l'organizzazione dall'invocazione dell'API fino al timeout dell'operazione.

Quando utilizzi il fornitore di servizi cloud GCP, il job di backup di Apigee non è in grado di caricare nei bucket Cloud Storage con criteri di conservazione. I file di backup potrebbero essere lasciati nel bucket Cloud Storage con una dimensione del file di 0 byte.

Soluzione alternativa: disattiva i criteri di conservazione nel bucket Cloud Storage.

341099433

apigee-logger utilizza i service account Google IAM per inviare i log a Cloud Logging. Ciò è dovuto alla mancanza di supporto di FluentBit per la federazione delle identità del workload, che impedisce a apigee-logger di utilizzare questa funzionalità.

N/D

N/D

270574696

268104619

364872027

Per Apigee e Apigee Hybrid versioni 1.13 e successive, eventuali deviazioni nel formato PEM richiesto delle chiavi utilizzate nei criteri JWS o JWT di Apigee potrebbero causare un errore di analisi. Ad esempio, inserire un carattere diverso da un carattere di nuova riga (/n) immediatamente prima della riga "-----END" (limite post-incapsulamento) non è consentito e genererà un errore.

Per evitare questo errore, assicurati che nessun carattere diverso da un carattere di nuova riga, ad esempio spazi o barre finali, preceda immediatamente il limite post-incapsulamento.

Per saperne di più sulla codifica utilizzata per le chiavi pubbliche o private, consulta IETF RFC 7468.

310191899

I seguenti endpoint potrebbero subire timeout se utilizzati con un volume elevato di query al secondo (QPS):

• organizations.environments.apis.revisions.
  deployments.deploy
• organizations.environments.apis.revisions.
  deployments.undeploy
• organizations.environments.sharedflows.revisions.
  deployments.deploy
• organizations.environments.sharedflows.revisions.
  deployments.undeploy

Per ridurre la probabilità di timeout, ti consigliamo di impostare un target di 1 QPS quando utilizzi questi endpoint o di controllare lo stato di un deployment prima di tentare un altro deployment.

329304975

Apigee sta applicando un limite temporaneo di 1000 basepath per ambiente per evitare potenziali errori durante il deployment delle revisioni del proxy API.

Durante questo limite, puoi eseguire il deployment di un massimo di 1000 revisioni del proxy API (ognuna contenente un singolo percorso di base) per ambiente. Se i proxy API o le revisioni contengono più di un percorso di base, il numero totale di percorsi di base per ambiente non deve superare 1000.

333791378

Per i passaggi necessari per installare una patch per la soluzione alternativa, consulta Risoluzione dei problemi.

310384001

289583112

Se il criterio OASValidation specifica un <OASResource> con requisiti di sicurezza impostati a livello globale, i requisiti di sicurezza non vengono applicati.

Soluzione alternativa: per garantire l'applicazione, tutti i requisiti di sicurezza devono essere impostati a livello di operazione nella specifica OpenAPI passata nell'elemento <OASResource> del criterio OASValidation.

205666368

Consulta Informazioni sull'impostazione delle opzioni TLS in un endpoint di destinazione o in un server di destinazione.

295929616

L'installazione o l'upgrade ad Apigee hybrid 1.10.0-1.10.2 potrebbe non riuscire su OSE a causa di problemi di esaurimento della memoria. Corretto nella versione 1.10.3 di Apigee hybrid.

292118812

Se il firewall forza tutto il traffico attraverso un proxy di inoltro, apigee-udca potrebbe entrare in uno stato di backoff del ciclo di arresto anomalo.

292558790

• Il criterio OASValidation non riesce quando i contenuti JSON non corrispondono al pattern previsto. Ad esempio, se un'intestazione prevede un valore nel formato <text>@<text> e viene compilata con un testo a cui manca il simbolo @, il criterio non verrà rispettato e verrà visualizzato un errore Unable to parse JSON.
• Se il criterio OASValidation specifica un <OASResource> contenente un parametro path che utilizza uno schema $ref, il criterio non verrà applicato e verrà visualizzato un errore Unable to parse JSON - Unrecognized token.

  Soluzione: non utilizzare $ref nei parametri path della specifica OpenAPI specificata nell'elemento <OASResource>.

297012500

• Il deployment di Apigee non riuscirà per il criterio di convalida OAS quando si utilizzano riferimenti circolari per la specifica OpenAPI 3.0.0, poiché entra in un ciclo infinito.

Soluzione alternativa: utilizza un file YAML di specifica OpenAPI senza riferimenti circolari.

289254725

I deployment proxy che includono il criterio OASValidation potrebbero non riuscire se:

• La specifica OpenAPI utilizzata per la convalida nel criterio OASValidation è in formato YAML e
• La specifica OpenAPI in formato YAML contiene un numero mobile. Ad esempio:

  schema:
  type: number
  example: 2.345

284500460

Per evitare di aumentare la latenza nelle risposte al client, la norma di registrazione dei messaggi deve essere allegata a PostClientFlow. Per saperne di più sull'utilizzo dei criteri in PostClientFlows, consulta Controllo dei proxy API con i flussi.

282997216

Utilizza solo caratteri alfanumerici per la password di Cassandra Jolokia. L'utilizzo di caratteri speciali (inclusi, a titolo esemplificativo, "!", "@", "#", "$", "%", "^", "&" e "*") può causare l'avvio di Cassandra non riuscito.

270371160

Apigee Ingress gateway supporta solo TLS1.2+ e non le versioni precedenti di TLS.

269139342

La convalida dell'organizzazione Apigee non segue le regole del proxy di inoltro HTTP impostate in overrides.yaml. Imposta validateOrg: false per saltare questa convalida.

266452840

In determinate circostanze, i websocket non funzionano per Apigee X e Apigee Hybrid quando si utilizza Anthos Service Mesh 1.15.3-asm.6.

287922301

A causa del design attuale, potrebbero essere valutate tariffe di monetizzazione imprecise per le transazioni che si verificano in prossimità di una soglia di banda di volume. Ciò si manifesta con un numero eccessivo di transazioni valutate alla tariffa precedente alla soglia ed è più probabile che si verifichi quando molte transazioni per una determinata combinazione di sviluppatore e piano tariffario si verificano in un intervallo di 30 secondi. Ciò significa che i report sulla monetizzazione sovrastimeranno gli addebiti con tassi a bande decrescenti e sottostimeranno gli addebiti con tassi a bande crescenti. Questo problema si verifica in Apigee X e Apigee Hybrid e non è nota alcuna soluzione alternativa. La risoluzione è iniziata e sarà disponibile in una release futura.

242213234

Questo errore potrebbe essere restituito quando si tenta di caricare i prodotti API: "I prodotti non sono stati caricati correttamente. Errore: nessuna connessione disponibile dagli agenti Apigee Connect."

Il problema si verifica dopo aver attivato il controllo di servizio VPC nel progetto Google Cloud e aver aggiunto iamcredentials.googleapis.com come uno dei servizi limitati nel perimetro di servizio.

Soluzione: crea manualmente una regola in uscita, ad esempio la seguente:

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

In determinate circostanze, con una velocità effettiva molto elevata, una condizione di competizione con la ricerca della chiave di crittografia può causare errori di ricerca KVM.

258699204

Se riscontri problemi con i pod apigee-telemetry-app o apigee-telemetry-proxy che non sono in esecuzione, modifica le proprietà metrics resources requests e resources limits in modo che corrispondano ai seguenti valori predefiniti in Riferimento alle proprietà di configurazione: metriche.

Applica le modifiche con apigeectl apply con il flag ‑‑telemetry:

apigeectl apply --telemetry -f overrides.yaml

260324159

In determinate circostanze, il deployment di proxy API e flussi condivisi nel piano di runtime potrebbe richiedere circa 20-30 minuti a causa di un errore "socket chiuso" nel sincronizzatore.

214447386

Questo comportamento è previsto ogni minuto e non influisce sul costo di fatturazione.

260772383

Se installi hybrid su AKS, potresti visualizzare questo errore:

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

Soluzione:aggiungi la seguente stanza svcAnnotations al file di override:

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

Vedi Configurare il runtime di hybrid. Vedi anche Utilizza un bilanciatore del carico interno con AKS.

241786534

Quando si utilizza UDCA con ambito organizzativo, a volte MART non riesce a connettersi a FluentD. UDCA con ambito organizzazione è l'impostazione predefinita in Apigee hybrid versione 1.8. Consulta orgScopedUDCA nel riferimento alle proprietà di configurazione.

Dopo la migrazione di apigee-logger da fluend a fluent-bit in Apigee Hybrid versione 1.6.6, il logger ha smesso di funzionare su Anthos Bare Metal con CentOS o RHEL.

Le attuali configurazioni di apigee-logger, inclusi i probe di attività, non sono compatibili con il runtime Kubernetes, pertanto i log non vengono inviati a Cloud Logging come previsto. Questo problema causa anche l'arresto anomalo regolare dei pod apigee-logger. Questo problema riguarda le installazioni ibride di Apigee su AKS, Anthos Bare Metal e altre piattaforme. Tieni presente che in alcuni casi questo problema comporta un volume eccessivo di log.

Nell'interfaccia utente di Apigee, non puoi visualizzare, confermare lo stato del deployment o gestire i deployment degli archivi, come descritto in Deployment di un proxy API, né utilizzare l'interfaccia utente di debug come descritto in Utilizzo di Debug. Come soluzione alternativa, puoi utilizzare gcloud o l'API per elencare tutti i deployment di archiviazione in un ambiente e utilizzare l' API Debug.

Il rollback di un deployment di archivio non è attualmente supportato. Per rimuovere una versione di un deployment di un archivio, devi eseguire nuovamente il deployment di una versione precedente di un archivio oppure eliminare l'ambiente.

421402073

L'autenticazione Google nelle policy ServiceCallout ed ExternalCallout, come descritto in Utilizzo dell'autenticazione Google, non è supportata in Apigee in VS Code.

Intestazioni x-b3 non disponibili quando DistributedTrace è disabilitato

Nelle release Apigee 1-15-0-apigee-5 e hybrid 1.15.0, Apigee ha interrotto l'invio di intestazioni x-b3 agli endpoint di destinazione quando Distributed Trace è disattivato. Tuttavia, alcune installazioni di Apigee si basavano sull'invio di intestazioni x-b3 indipendentemente dal fatto che Distributed Trace fosse attivato o disattivato. Pertanto, questa modifica è stata ripristinata a partire da Apigee 1-15-0-apigee-7.

Errore di intestazione HTTP non valida: l'ingresso Istio passa tutte le risposte di destinazione in entrata al protocollo HTTP2. Poiché il processore di messaggi ibrido supporta solo HTTP1, potresti visualizzare il seguente errore quando viene chiamato un proxy API:

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

Se visualizzi questo errore, puoi eseguire una delle seguenti azioni per risolvere il problema:

• Modifica il servizio di destinazione per omettere l'intestazione Host nella risposta.
• Se necessario, rimuovi l'intestazione Host utilizzando i criteri AssignMessage nel proxy API.

420985360

• Apigee supporta la specifica OpenAPI 3.0 quando pubblichi le tue API utilizzando SmartDocs sul tuo portale, anche se un sottoinsieme di funzionalità non è ancora supportato. Ad esempio, proprietà allOf per combinare ed estendere gli schemi.

  Se nella specifica OpenAPI viene fatto riferimento a una funzionalità non supportata, in alcuni casi gli strumenti ignorano la funzionalità, ma eseguono comunque il rendering della documentazione di riferimento dell'API. In altri casi, una funzionalità non supportata causerà errori che impediranno il rendering corretto della documentazione di riferimento dell'API. In entrambi i casi, dovrai modificare la specifica OpenAPI per evitare l'utilizzo della funzionalità non supportata finché non verrà supportata in una release futura.

• Prova questa API presenta le seguenti limitazioni:
  • L'intestazione Accept è impostata su application/json indipendentemente dal valore impostato per consumes nella specifica OpenAPI.
  • Le intestazioni delle richieste di tipo diverso da stringa non sono supportate.

• Al momento non sono supportati aggiornamenti simultanei del portale (ad esempio modifiche a pagine, temi, CSS o script) da parte di più utenti.
• Se elimini una pagina di documentazione di riferimento dell'API dal portale, non è possibile ricrearla. Dovrai eliminare e aggiungere di nuovo il prodotto API e rigenerare la documentazione di riferimento dell'API.
• Quando personalizzi il tema del portale, l'applicazione completa delle modifiche potrebbe richiedere fino a 5 minuti.

La ricerca verrà integrata nel portale integrato in una release futura.

L'uscita singola (SLO) con il provider di identità SAML non è supportata per i domini personalizzati. Per attivare un dominio personalizzato con un provider di identità SAML, lascia vuoto il campo URL di disconnessione quando configuri le impostazioni SAML.

• I conteggi delle richieste e delle risposte del proxy API (per proxy e target) mostrano picchi anomali

  Ecco un esempio che mostra un picco di questo tipo:

  (visualizza immagine più grande)

  
• A causa di un bug, il sistema registra il conteggio in modo errato per un breve periodo e il conteggio viene corretto. Ciò si verifica quando si verifica una riduzione del traffico API (che comporta una fare lo scale downne delle dimensioni dei gateway API).
• Per distinguere i picchi effettivi di richieste da questo problema, consulta la pagina API Analytics (in particolare le pagine Rendimento proxy e Rendimento target)

Metriche interessate:

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

Nuove metriche

Puoi utilizzare le nuove metriche per evitare questo problema.

Per Apigee hybrid, consulta Panoramica della raccolta di metriche e Visualizzare le metriche.

Soluzione alternativa:disattiva l'agente Logging su ibrido.

Soluzione alternativa:per mantenere il comportamento "fire and forget":

1. Aggiungi <Response>calloutResponse</Response> a ServiceCallout.
2. Imposta continueOnError su true.

Soluzione alternativa:evita di utilizzare più di un criterio Spike Arrest nel proxy per evitare il problema.

Per una determinata chiave, se il traffico è continuo, la chiave potrebbe non essere limitata in base alla frequenza aggiornata. Se non viene rilevato traffico per cinque minuti per una determinata chiave, la frequenza verrà aggiornata.

Soluzione alternativa: esegui nuovamente il deployment del proxy con una nuova variabile di riferimento se la tariffa deve essere applicata immediatamente. In alternativa, utilizza due arresti di picco condizionali con variabili di flusso diverse per regolare la velocità.

API Monitoring dei proxy API configurabili potrebbe mostrare un codice di errore "(not set)" per le risposte con uno stato non 2xx dal target.

Se un proxy imposta due o più valori io.timeout.millis in due o più flussi utilizzando lo stesso host di destinazione, viene rispettato un solo valore io.timeout.millis.

Durante l'upgrade ad Apigee hybrid 1.8.x, dopo aver eseguito apigeectl init e aver confermato che check-ready è andato a buon fine, potresti notare, se visualizzi i pod, che il job di convalida dello schema Cassandra è in stato di errore. Si tratta di una condizione innocua e puoi passare tranquillamente al passaggio successivo della procedura di upgrade.

Il deployment di proxy con lo stesso percorso in più ambienti collegati allo stesso gruppo di istanze e ambienti non è consentito e deve restituire un messaggio di avviso relativo a un conflitto del percorso di base. Al contrario, non viene visualizzato alcun errore e i deployment sembrano riuscire.

Soluzione alternativa: durante e dopo il deployment, verifica che non vi siano conflitti del percorso di base con i proxy di cui è stato eseguito il deployment e correggi in base alle necessità.

Quando tenti di salvare un proxy di cui è stato eseguito il deployment in precedenza, il deployment potrebbe non riuscire con un errore che indica che la revisione è immutabile.

Soluzione alternativa: fai clic sulla freccia del menu a discesa accanto al pulsante Salva e seleziona Salva come nuova revisione. Quindi, riprova a eseguire il deployment.

Quando viene effettuata una chiamata a un server di destinazione gRPC, l'unico trailer restituito è il trailer "grpc-status". Tutti gli altri trailer vengono rimossi dalla risposta.

Si verifica una ricorsione infinita all'interno della policy OASValidation quando una risposta di backend contiene un tipo di discriminatore uguale allo schema principale. Questo problema può portare a un StackOverflowError.

Utilizza definizioni di endpoint di destinazione separate per le destinazioni SSE (server sent-event). La combinazione di endpoint di destinazione SSE e non SSE potrebbe comportare un comportamento incoerente, ad esempio variabili di flusso response.content vuote.

Problemi di configurazione DNS precedentemente non rilevati ora potrebbero causare errori DNS. Apigee ha rimosso la funzionalità di fallback DNS automatico presente in 1-16-0-apigee-2. Questa rimozione elimina la resilienza della piattaforma alle configurazioni DNS errate e ora potrebbe causare errori DNS.

Trova gli errori correlati controllando i log di runtime per gli errori di risoluzione DNS.

Tutti i deployment del proxy non riescono a livello locale con messaggi di errore che includono Error parsing deployment report as JSON:

06/13/2025 6:45 PM EMULATOR INFO Deploying environment testenv, to Container apigee-1.14.2 (1.14.2)
06/13/2025 6:45 PM EMULATOR ERROR Error parsing deployment report as JSON
06/13/2025 6:45 PM EMULATOR ERROR null
06/13/2025 6:45 PM EMULATOR ERROR Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500
06/13/2025 6:45 PM EMULATOR ERROR Deploy to Container apigee-1.14.2 (1.14.2), failed with Error: Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500