Apigee에서 알려진 문제

1.16.0에는 하이브리드 클러스터가 프록시의 배포 상태를 보고하지 못할 수 있는 알려진 문제가 있습니다. 이는 apigee-manager-role 역할에 권한이 누락되었기 때문입니다.

해결 방법: apigee-operator Helm 차트 템플릿에 권한을 추가합니다.

1. apigee-operator Helm 차트 템플릿 파일 apigee-operator/templates/apigee-operators.yaml을 수정합니다.
2. 584번째 줄의 - update 동사 뒤에 deployments 리소스에 - watch 동사를 추가합니다.
3. apigee-operator Helm 출시를 업데이트합니다.

Hybrid 출시 노트 페이지에 1.16.0-hotfix.1 업데이트 정보가 표시되지 않습니다. 업데이트에 관한 자세한 내용은 Apigee Hybrid v1.16.0-hotfix.1 출시 노트를 참고하세요.

Apigee Hybrid 1.16은 이 문제의 영향을 받지 않습니다.

해결 방법: Apigee Hybrid 버전 1.14 또는 1.15에서 Kubernetes Gateway API를 사용해야 하는 경우 Gateway API 버전 v1.3.x를 설치하세요. 예를 들면 다음과 같습니다.

kubectl apply -f https://github.com/kubernetes-sigs/gateway-api/releases/download/v1.3.0/standard-install.yaml

관련 주제에 대한 추가 정보

• Kubernetes Gateway API v1.3
• Gateway API v1.3.0: 요청 미러링, CORS, 게이트웨이 병합, 재시도 예산의 발전

Apigee 버전 1-17-0-apigee-1에서 Netty가 4.1.129.Final로 업그레이드되어 회귀가 도입되었습니다. 이로 인해 API 프록시 호출이 400 상태 코드와 The URI contain illegal characters 오류 메시지와 함께 실패할 수 있습니다. 이 문제는 netty/netty#16020에서 외부적으로 추적됩니다.

이제 최신 버전의 cert-manager (v1.18 이상)에서 비공개 키를 자동으로 순환합니다. 이 키가 apigee-ca 인증서에 대해 순환되면 서비스 중단이 발생합니다.

해결 방법: 이 문제를 방지하려면 다음 옵션 중 하나를 선택하세요.

• cert-manager를 1.17.x보다 높은 버전으로 업그레이드하지 마세요.
• cert-manager 네임스페이스에서 apigee-ca 인증서를 수정하고 spec.privateKey.rotationPolicy를 Never로 설정합니다. 다음 절차에 따라 apigee-ca 인증서를 수정하고 cert-manager를 업그레이드합니다.
  1. apigee-ca 인증서의 콘텐츠를 확인하여 rotationPolicy이 설정되어 있는지 확인합니다.

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     출력에서 spec.privateKey 아래의 값을 찾습니다.

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         # Note: rotationPolicy would appear here if it is set.
         size: 256
       secretName: apigee-ca
     ...

  2. rotationPolicy이 설정되지 않았거나 Always로 설정된 경우 apigee-ca 인증서를 수정하여 rotationPolicy 값을 Never로 설정합니다.
     1. 먼저 테스트 실행을 수행합니다.

        kubectl patch Certificate \
          --dry-run=server \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

     2. 인증서를 패치합니다.

        kubectl patch Certificate \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

  3. rotationPolicy 값이 이제 Never로 설정되었는지 확인합니다.

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     출력은 다음과 비슷하게 표시됩니다.

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         rotationPolicy: Never
         size: 256
       secretName: apigee-ca
     ...

  4. cert-manager를 업그레이드합니다. 다음 명령어를 사용하면 cert-manager v0.14.2가 다운로드되고 설치됩니다.

     kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v0.14.2/cert-manager.yaml

다음과 같이 표시됩니다.

• 지원되는 플랫폼 및 버전: cert-manager
• Apigee Hybrid를 버전 1.16으로 업그레이드: cert-manager 업그레이드
• cert-manager 버전 1.18: 이제 Certificate.Spec.PrivateKey.rotationPolicy의 기본값이 Always입니다

요청에 여러 인증 헤더가 있는 경우 Apigee 인그레스 게이트웨이는 이를 단일 헤더로 연결하지 않습니다. 이로 인해 메시지 프로세서가 "Duplicate Header "authorization"" 메시지와 함께 500 오류를 반환합니다.

해결 방법: 요청에 여러 인증 헤더가 있는 경우 단일 헤더로 연결합니다. 예를 들면 다음과 같습니다.

curl -s https://my-hostname.net/mocktarget/echo \
          -H 'authorization: a, b'

현재 Apigee UI에서는 Google-owned and Google-managed encryption key를 사용하여 Apigee 조직을 프로비저닝하는 옵션을 제공하지 않습니다.

Apigee UI에서는 구독 조직을 프로비저닝할 때 Google-owned and Google-managed encryption key 를 선택하는 옵션을 제공하지 않습니다.

해결 방법: Apigee API를 사용하여 Google-owned and Google-managed encryption key가 있는 구독 기반 조직을 만듭니다.

Apigee API 문서에 설명된 대로 Apigee 조직을 만드는 동안 runtimeDatabaseEncryptionKeyName, apiConsumerDataEncryptionKeyName, controlPlaneEncryptionKeyName 필드의 값을 제공하지 않고 Google-owned and Google-managed encryption key 를 사용하여 조직을 만들 수 있습니다.

SanitizeUserPrompt 및 SanitizeModelResponse를 포함한 Apigee Model Armor 정책은 현재 WebSocket 연결을 처리하는 API 프록시에서 사용될 때 예상대로 작동하지 않습니다. WebSocket 구성에 관한 자세한 내용은 Apigee의 WebSocket을 참고하세요.

1-16-0-apigee-3으로 업그레이드한 후 일부 Apigee 조직에서 Java 콜아웃 정책 내의 java.lang.NoClassDefFoundError로 인해 HTTP 500 오류가 발생할 수 있습니다. 오류는 다음과 같이 표시됩니다.

{"fault":{"faultstring":"Failed to execute JavaCallout. org/apache/commons/lang/StringUtils","detail":{"errorcode":"steps.javacallout.ExecutionError"}}}

이 오류는 Java Callout 정책이 자체 종속 항목을 제공하는 대신 Apigee의 내부용으로 설계된 라이브러리에 잘못 의존하는 경우에 발생합니다.

조치 필요: 이 문제를 방지하려면 개발자가 모든 Java 콜아웃이 자체 포함되어 있고 Apigee의 내부 클래스 경로를 사용하지 않고 자체 전용 라이브러리를 사용해야 합니다.

Apache Commons JAR 라이브러리를 사용하는 API 프록시에서 Apache Commons JAR 파일을 가져와 프록시의 리소스로 포함합니다. 자세한 내용은 Java 리소스 가이드라인을 참고하세요.

수익 창출이 사용 설정되지 않은 경우에도 mintTaskScheduler.serviceAccountPath 속성이 설정되지 않으면 apigee-org 차트 업그레이드가 실패할 수 있습니다.

Error: UPGRADE FAILED: execution error at (apigee-org/templates/mint-task-scheduler-gsa-secret.yaml:12:63): mintTaskScheduler.serviceAccountPath is required!

해결 방법: apigee-org/templates/mint-task-scheduler-gsa-secret.yaml 및 apitee-org/templates/mint-task-scheduler-sa.yaml 파일을 삭제합니다.

원하는 경우 파일을 Helm 차트 디렉터리 외부의 별도 위치로 이동할 수 있습니다. 또는 나중에 수익 창출을 사용 설정하려면 2단계: Apigee Helm 차트 다운로드의 안내에 따라 다시 다운로드하면 됩니다.

예를 들어 helm-charts/ 디렉터리에서 다음을 실행합니다.

1. ls apigee-org/templates/

   출력:

   apigee-org-guardrails.yaml              mart-sa.yaml
   apigee-proxy-chaining-certificate.yaml  mint-task-scheduler-gsa-secret.yaml
   apigee-proxy-chaining-route.yaml        mint-task-scheduler-sa.yaml
   ax-hash-salt-secret.yaml                NOTES.txt
   connect-agent-gsa-secret.yaml           organization.yaml
   connect-agent-sa.yaml                   udca-gsa-secret.yaml
   data-encryption-secret.yaml             udca-sa.yaml
   encryption-keys-secret.yaml             watcher-gsa-secret.yaml
   _helpers.tpl                            watcher-sa.yaml
   mart-gsa-secret.yaml
   

2. (선택사항:)

   cp apigee-org/templates/mint-task-scheduler-gsa-secret.yaml /tmp/
   cp apigee-org/templates/mint-task-scheduler-sa.yaml /tmp/

3. rm apigee-org/templates/mint-task-scheduler-gsa-secret.yaml

4. rm apigee-org/templates/mint-task-scheduler-sa.yaml

5. ls apigee-org/templates/

   출력:

   apigee-org-guardrails.yaml              mart-gsa-secret.yaml
   apigee-proxy-chaining-certificate.yaml  mart-sa.yaml
   apigee-proxy-chaining-route.yaml        NOTES.txt
   ax-hash-salt-secret.yaml                organization.yaml
   connect-agent-gsa-secret.yaml           udca-gsa-secret.yaml
   connect-agent-sa.yaml                   udca-sa.yaml
   data-encryption-secret.yaml             watcher-gsa-secret.yaml
   encryption-keys-secret.yaml             watcher-sa.yaml
   _helpers.tpl
   

apigee-pull-push.sh 스크립트는 다음과 같은 No such image 오류 메시지를 반환할 수 있습니다.

Error response from daemon: No such image: gcr.io/apigee-release/hybrid/apigee-stackdriver-logging-agent:latest

해결 방법: HELM_CHARTS_DIR/apigee-operator/etc/tools/apigee-pull-push.sh 스크립트를 수정하여 docker_tag() 함수의 114행을 다음과 같이 변경합니다.

  docker tag "${source}/$i" "${dest}/$i:${TAG}"

수신:

  docker tag "${source}/$i:${TAG}" "${dest}/$i:${TAG}"

overrides.yaml 파일에 metrics.serviceAccountRef 또는 metrics.serviceAccountSecretProviderClass이 지정되면 원격 분석 역할이 잘못된 서비스 계정을 타겟팅합니다.

해결 방법: apigee-operator/ 차트에서 _helper.tpl에 패치를 적용하고 다시 적용합니다.

1. apigee-operator/templates/_helpers.tpl를 수정하고 다음 굵게 표시된 줄을 삭제합니다.

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.serviceAccountSecretProviderClass -}}  <-- DELETE
     {{- .Values.serviceAccountSecretProviderClass -}}          <-- DELETE
     {{- else if .Values.metrics.serviceAccountRef -}}          <-- DELETE
     {{- .Values.metrics.serviceAccountRef -}}                  <-- DELETE
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

   결과 섹션은 다음과 같이 표시됩니다.

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

2. apigee-operator 차트를 다시 적용합니다.

   helm upgrade operator apigee-operator/ \
       --namespace APIGEE_NAMESPACE \
       --atomic \
       -f overrides.yaml

해결 방법은 알려진 문제 416634326의 단계를 따르세요.

Apigee 프록시의 기본 경로에 와일드 카드 (*)를 사용하면 다른 명시적 기본 경로와 충돌하여 404 오류가 발생할 수 있습니다. 예를 들어 동일한 환경에 배포된 두 프록시에 다음 기본 경로를 사용하면 Proxy-2 호출 시 404 오류가 발생할 수 있습니다.

Proxy-1: /a/v1/b
Proxy-2: /a/*/c

이 경우 명시적 기본 경로에 대한 호출은 성공적으로 처리되지만 와일드 카드 경로가 /a/v1/c로 평가되면 Proxy-2에 대한 호출이 404을 반환할 수 있습니다.

해결됨: 이 문제는 Apigee 및 Hybrid 1.14.3 이상에서 해결되었습니다. 하지만 이 수정사항은 기본적으로 사용 설정되지 않습니다. 기본 경로에서 와일드 카드 사용을 사용 설정하려면 다음 단계를 따르세요.

• Apigee 조직이 있는 고객은 필요한 경우 Apigee 지원팀에 문의하여 수정사항을 사용 설정해야 합니다.
• Apigee Hybrid 조직이 있는 고객은 필요한 경우 다음 절차에 따라 수정사항을 사용 설정해야 합니다.

절차: Apigee Hybrid에서 Apigee 프록시 기본 경로에 와일드 카드 (*)를 사용 설정하려면 다음 단계를 따르세요.

1. Hybrid 1.14.3 이상으로 업그레이드하기 전에 overrides.yaml 파일에 다음 스탠자를 추가합니다.

   runtime:
     cwcAppend:
       conf_message-processor-communication_classificationV2.enabled: "true"
   

2. apigee-env 차트에 변경사항을 적용합니다. 설치된 각 환경에 대해 변경사항을 반복합니다.

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --set env=ENV_NAME \
     -f OVERRIDES_FILE
   

   • ENV_RELEASE_NAME은 apigee-env 차트 설치 및 업그레이드를 추적하는 데 사용되는 이름입니다. 이 이름은 설치 내 다른 Helm 출시 이름과 다르게 고유해야 합니다. 일반적으로 ENV_NAME과 동일합니다. 그러나 환경 이름이 환경 그룹 이름과 같으면 환경과 환경 그룹에 서로 다른 출시 이름(예: dev-env-release 및 dev-envgroup-release)을 사용해야 합니다. Helm의 출시에 대한 자세한 내용은 Helm 문서의 세 가지 주요 개념을 참고하세요.
   • ENV_NAME은 업그레이드하는 환경의 이름입니다.
   • OVERRIDES_FILE은 재정의 파일입니다.
3. Hybrid 1.14.3 이상으로 업그레이드합니다.

SecurityPolicy의 LogTimer 사용으로 인해 메모리 누수가 발생할 수 있습니다.

경우에 따라 Apigee Hybrid의 Logger 스레드가 사용 가능한 모든 메모리를 사용할 수 있습니다. 예를 들어 Javacallout과 관련된 권한 오류를 문서화하는 로그 항목이 자주 발생하면 OOM이 발생할 수 있습니다.

Apigee 확장 프로그램 프로세서는 요청 및 응답 본문 이벤트의 일부로 100kb를 초과하는 데이터 처리를 지원하지 않습니다.

새 키 저장소 또는 트러스트 저장소를 만들지 않고 키 저장소 또는 트러스트 저장소를 업데이트하면 런타임 업데이트가 실패하고 다음과 같은 간헐적 오류가 발생할 수 있습니다.

  {"fault":{"faultstring":"SSL Handshake failed sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

키 저장소 또는 신뢰 저장소 업데이트가 한 런타임 포드에서는 실패하지만 다른 포드에서는 성공할 수 있으므로 오류가 간헐적으로 발생합니다. 이 문제를 방지하려면 새 키 저장소 또는 트러스트 저장소를 만들어 키 저장소 또는 트러스트 저장소를 업데이트하세요. 인증서가 만료되는 경우에 설명된 대로 새 키 저장소 또는 트러스트 저장소를 참조하도록 포인터를 변경합니다.

Apigee Hybrid 버전 1.14.0부터 Zipkin trace 헤더(x-b3-*)의 자동 추가가 삭제되었습니다.

해당 사항 없음

httpProxy만 지정하는 경우 Apigee 런타임 포드가 이러한 서비스에 연결할 수 있도록 *.googleapis.com도 허용 목록에 추가해야 합니다.

API 프록시용 전달 프록시 구성을 참고하세요.

Apigee Hybrid 클러스터에 istio.io 커스텀 리소스 정의(CRD)가 있으면 apigee-ingressgateway-manager 포드가 실패할 수 있습니다.

이전 버전에서 1.14.2 이상으로 Apigee Hybrid를 업그레이드하는 동안 기존 istio.io CRD가 있으면 apigee-ingressgateway-manager 포드의 discovery 컨테이너에서 준비 프로브가 실패할 수 있습니다.

해결 방법: Apigee Hybrid v1.14.2 이상에는 istio.io CRD가 필요하지 않습니다. 이 문제를 해결하는 방법은 다음 두 가지입니다.

• 클러스터에서 Apigee 이외의 목적으로 Istio를 사용하지 않는 경우 istio.io CRD를 삭제합니다.
• apigee-ingressgateway-manager clusterrole을 업데이트하여 istio.io의 권한을 추가합니다.

위 옵션을 각각 적용한 후에는 apigee-ingressgateway-manager 포드를 다시 시작해야 합니다.

위 옵션을 완료한 후 apigee-ingressgateway-manager 포드를 다시 시작해야 합니다.

1. ingress-manager 포드를 나열하여 재설치하거나 다시 만듭니다.

   kubectl get deployments -n APIGEE_NAMESPACE

   출력 예시:

   NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-controller-manager       1/1     1            1           32d
   apigee-ingressgateway-manager   2/2     2            2           32d
   

2. ingress-manager 포드를 재시작합니다.

   kubectl rollout restart deployment -n APIGEE_NAMESPACE apigee-ingressgateway-manager

3. 몇 분 후 apigee-ingressgateway-manager 포드를 모니터링합니다.

   watch -n 10 kubectl -n APIGEE_NAMESPACE get pods -l app=apigee-ingressgateway-manager

   출력 예시:

   NAME                                             READY   STATUS    RESTARTS   AGE
   apigee-ingressgateway-manager-12345abcde-678wx   3/3     Running   0          10m
   apigee-ingressgateway-manager-12345abcde-901yz   3/3     Running   0          10m
   

ApigeeTelemetry가 creating 상태로 멈출 수 있습니다.

이 문제는 OpenShift 설치에서 발생합니다.

해결 방법: apigee-operator 차트 템플릿을 수정하여 올바른 clusterrole 액세스를 만듭니다.

1. helm-charts/apigee-operator/templates/apigee-operators.yaml 템플릿 파일을 수정하고 -apigee-manager-role- clusterrole의 정의를 찾습니다. 다음으로 시작합니다.

   kind: ClusterRole
   metadata:
     name: apigee-manager-role-{{ include 'namespace' }}
   rules:
     ...
                 

2. - apiGroups: apiregistration.k8s.io 블록을 찾아 리소스 목록에 apiservices/finalizers 리소스를 추가합니다.

   - apiGroups:
     - apiregistration.k8s.io
     resources:
     - apiservices
     - apiservices/finalizers
     verbs:
     - create
     - delete
     - get
     - patch
     - update
     

3. - apiGroups: authorization.k8s.io 블록을 찾아 블록 끝에 다음 텍스트와 함께 - apiGroups: apigee.cloud.google.com 블록을 추가합니다.

   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

   예를 들면 다음과 같습니다.

   - apiGroups:
     - authorization.k8s.io
     resources:
     - subjectaccessreviews
     verbs:
     - create
     - get
     - list
   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

4. 변경사항을 apigee-operator 차트에 적용합니다.

   테스트 실행을 수행합니다.

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   차트를 업그레이드합니다.

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
   

API 제품은 경로 50개로 제한됩니다. 경로를 추가하면 다음과 같은 오류 메시지가 표시됩니다. Operation group limit of 51 exceeded in Operation Config

해결 방법: 리소스 경로 구성에 설명된 대로 와일드 카드 패턴을 사용하여 리소스 경로와 작업을 결합합니다.

해결 방법: API 제품을 여러 개 만듭니다. 이 해결 방법은 확인되었으며 API 제품에 많은 API 프록시를 추가하는 사용자에게 적합합니다. API 제품과 연결된 앱을 업데이트하여 새 앱을 포함해야 하지만, 사용자 인증 정보와 클라이언트 측 요청 세부정보는 변경하지 않아도 됩니다.

수익 창출을 사용하는 설치의 경우 수수료 유형별로 선택할 때 맞춤 보고서 및 통계 API 사용 시 오류가 발생합니다.

해결 방법: 필터링하기 전에 클라이언트 측에서 모든 수수료 유형을 가져옵니다.

Istio 인그레스 포드의 확장으로 인해 503 오류가 발생할 수 있습니다.

Istio 인그레스 포드를 확장하면 가끔 503 오류가 발생할 수 있습니다. 503 오류가 발생하면 부하 분산기 로그에 statusDetails: backend_connection_closed_before_data_sent_to_client 메시지가 표시됩니다.

해결 방법: Istio 인그레스 포드를 수동으로 확장합니다.

ESS 및 비ESS Cassandra 사용자 인증 정보 순환이 향상된 프록시 한도가 있는 조직에서 작동하지 않습니다.

런타임 트래픽은 영향을 받지 않습니다.

GCP 및 HYBRID 클라우드 제공업체를 사용하여 멀티 리전 설정에서 가져온 백업에는 스냅샷을 가져올 때 존재했던 모든 Hybrid 리전에 관한 정보가 포함됩니다. 이러한 리전은 더 이상 존재하지 않으므로 복원 작업이 Cassandra의 현재 상태와 충돌하여 Unrecognized strategy option passed to NetworkTopologyStrategy 오류와 함께 실패합니다.

JavaCallout 정책을 사용하는 경우 Nimbus JOSE + JWT 라이브러리로 인해 java.lang.ClassCircularityError가 발생할 수 있습니다.

Nimbus JOSE + JWT 라이브러리를 사용하는 JavaCallout 정책이 있는 Apigee Hybrid 지원 조직이 있는 경우 Hybrid 1.12.4, Hybrid 1.13.3, Hybrid 1.14.1로 업그레이드하지 마세요.

ESS 및 비ESS 멀티 리전 Cassandra 사용자 인증 정보 순환이 첫 번째 리전을 제외한 모든 리전에서 실패합니다.

런타임 트래픽은 영향을 받지 않습니다.

제공된 해결 방법에 따라 이 문제를 해결하세요.

백업을 다시 사용 설정할 때와 같이 Cassandra 재정의 변경사항을 적용하면 Cassandra 포드가 다시 시작되어 이 문제가 발생합니다. CrashLoopBackoff 상태의 Cassandra 포드 로그에는 Cannot change the number of tokens from 512 to 256 오류가 표시됩니다.

제공된 해결 방법에 따라 이 문제를 해결하세요.

드물지만 Apigee 백업 작업이 HYBRID 또는 GCP 클라우드 제공업체를 사용하여 백업을 수행하는 동안 생성된 Cassandra 중간 스냅샷을 정리하지 않는 경우가 있습니다. 이는 기본 문제로 인해 백업 프로세스가 원격 서버 또는 Cloud Storage에 연결하지 못하는 경우에만 발생합니다. 연결 문제가 지속되면 남은 Cassandra 스냅샷이 시간이 지남에 따라 누적되어 Cassandra 디스크의 스토리지를 사용하게 될 수 있습니다. 영향을 받는 경우 기본 연결 문제를 해결한 후 Cassandra 문제 해결 가이드에 제공된 단계에 따라 Cassandra 스냅샷을 수동으로 삭제하세요.

KeyValueMapOperations 정책이 apiproxy 범위와 함께 사용되고 정책의 <Put> 작업이 흐름 후크를 통해 공유 흐름에서 호출되면 KVM 항목이 공유 흐름 이름 아래에 생성됩니다. API 프록시 이름으로 생성될 것으로 예상됩니다.

384937220

가상 호스트가 여러 개인 경우 ApigeeRoute 이름이 충돌하여 Helm 출시 생성에 실패할 수 있습니다. 해결 방법은 만들 때 모든 가상 호스트에 다음 명령어를 실행하는 것입니다.

kubectl annotate ar apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite
kubectl annotate cert apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite

각 항목의 의미는 다음과 같습니다.

• PROJECT_ID_SUFFIX는 Kubernetes에서 프로젝트의 내부 체이닝을 위한 고유한 서픽스입니다. 다음 명령어를 사용하여 이 서픽스를 찾을 수 있습니다.

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining

  출력은 다음과 같이 표시할 수 있습니다.

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining
  apigee-ingressgateway-internal-chaining-my-project--1234567    ClusterIP  34.118.226.140  <none>    15021/TCP,443/TCP    5d6h

  예시 출력에서 my-project--1234567은 PROJECT_ID_SUFFIX입니다.

• APIGEE_NAMESPACE: Apigee 네임스페이스
• NEW_ENV_GROUP_NAME은 추가 환경 그룹의 이름입니다. 각 가상 호스트에 대해 이 값을 업데이트합니다.

해당 사항 없음

사용자가 잘못된 서비스 계정을 UpdateControlPlaneAccess API에 제공하면 작업이 재시도 루프로 전환되어 작업이 타임아웃될 때까지 조직이 API를 호출하지 못하도록 효과적으로 잠깁니다.

GCP 클라우드 제공업체를 사용하는 경우 Apigee 백업 작업을 통해 보관 정책이 있는 Cloud Storage 버킷에 업로드할 수 없습니다. 백업 파일이 파일 크기가 0바이트인 Cloud Storage 버킷에 남아 있을 수 있습니다.

해결 방법: Cloud Storage 버킷에서 보관 정책을 사용 중지합니다.

341099433

apigee-logger는 Cloud Logging으로 로그를 전송하기 위해 Google IAM 서비스 계정을 활용합니다. 이는 FluentBit에서 워크로드 아이덴티티 제휴를 지원하지 않아 apigee-logger에서 이 기능을 활용할 수 없기 때문입니다.

해당 사항 없음

해당 사항 없음

270574696

268104619

364872027

Apigee 및 Apigee Hybrid 버전 1.13 이상에서 Apigee JWS 또는 JWT 정책에 사용되는 키가 필수 PEM 형식이 아니면 파싱 오류가 발생할 수 있습니다. 예를 들어 "-----END" 줄(캡슐화 후 경계) 바로 앞에 줄바꿈(/n)이 아닌 문자를 배치할 수 없으며 배치하면 오류가 발생합니다.

이 오류를 방지하려면 줄바꿈 이외의 문자(예: 후행 공백 또는 슬래시)가 캡슐화 후 경계 바로 앞에 있지 않도록 해야 합니다.

공개 키 또는 비공개 키에 사용되는 인코딩에 관한 자세한 내용은 IETF RFC 7468을 참조하세요.

310191899

초당 쿼리 수(QPS)가 많은 경우 다음 엔드포인트에서 시간 초과가 발생할 수 있습니다.

• organizations.environments.apis.revisions.
  deployments.deploy
• organizations.environments.apis.revisions.
  deployments.undeploy
• organizations.environments.sharedflows.revisions.
  deployments.deploy
• organizations.environments.sharedflows.revisions.
  deployments.undeploy

시간 초과 가능성을 줄이려면 이러한 엔드포인트를 사용할 때 타겟 QPS를 1로 설정하거나 다른 배포를 시도하기 전에 배포 상태를 확인하는 것이 좋습니다.

329304975

Apigee는 API 프록시 버전을 배포할 때 발생할 수 있는 실패를 방지하기 위해 환경당 기본 경로를 1,000개로 일시적으로 제한하고 있습니다.

이 제한이 적용되는 동안 환경당 최대 1,000개의 API 프록시 버전(각각 단일 기본 경로 포함)을 배포할 수 있습니다. API 프록시 또는 버전에 기본 경로가 두 개 이상 포함된 경우 환경당 총 기본 경로 수가 1,000개를 초과할 수 없습니다.

333791378

문제 해결을 위해 패치를 설치하는 데 필요한 단계는 문제 해결을 참조하세요.

310384001

289583112

OASValidation 정책이 전역 수준에서 설정된 보안 요구사항으로 <OASResource>를 지정하면 보안 요구사항이 시행되지 않습니다.

해결 방법: 시행하려면 모든 보안 요구사항이 OASValidation 정책의 <OASResource> 요소에 전달된 OpenAPI 사양의 작업 수준에서 설정되어야 합니다.

205666368

대상 엔드포인트 또는 대상 서버의 TLS 옵션 설정 정보를 참조하세요.

295929616

메모리 부족 문제로 인해 OSE에서 Apigee Hybrid 1.10.0~1.10.2를 설치하거나 업그레이드할 수 없습니다. Apigee Hybrid 버전 1.10.3에서 해결되었습니다.

292118812

방화벽이 전달 프록시를 통해 모든 트래픽을 강제 적용하면 apigee-udca가 비정상 종료 루프 백오프 상태가 될 수 있습니다.

292558790

• JSON 콘텐츠가 예상 패턴과 일치하지 않으면 OASValidation 정책이 실패합니다. 예를 들어 헤더에 <text>@<text> 형식의 값이 필요하며 @ 기호가 없는 텍스트로 채워지면 정책이 Unable to parse JSON 오류와 함께 실패합니다.
• OASValidation 정책에서 $ref 스키마를 활용하는 path 매개변수를 포함하는 <OASResource>를 지정하면 정책이 Unable to parse JSON - Unrecognized token 오류와 함께 실패합니다.

  해결 방법: <OASResource> 요소에 지정된 OpenAPI 사양의 path 매개변수에 $ref를 사용하지 마세요.

297012500

• OpenAPI 3.0.0 사양에 대한 순환 참조를 사용하면 무한 루프에 도달하기 때문에 OAS 유효성 검사 정책에 대해 Apigee 배포가 실패합니다.

해결 방법: 순환 참조가 없는 OpenAPI 사양 YAML을 사용합니다.

289254725

OASValidation 정책이 포함된 프록시 배포가 실패할 수 있습니다.

• OASValidation 정책에서 유효성 검사에 사용되는 OpenAPI 사양은 YAML 형식이며,
• YAML 형식의 OpenAPI 사양에 부동 소수점 수가 포함되어 있습니다. 예를 들면 다음과 같습니다.

  schema:
  type: number
  example: 2.345

284500460

클라이언트에 대한 응답에서 지연 시간이 늘어나지 않도록 Message Logging 정책은 PostClientFlow에 연결되어야 합니다. PostClientFlow에서 정책을 사용하는 방법에 대한 자세한 내용은 흐름을 통한 API 프록시 제어를 참조하세요.

282997216

Cassandra Jolokia 비밀번호에는 영숫자 문자만 사용하세요. 특수 문자(예: '!', '@', '#', '$', '%', '^', '&', '*')를 사용하면 Cassandra 시작이 실패합니다.

270371160

Apigee 인그레스 게이트웨이는 TLS1.2 이상만 지원하며 이전 버전의 TLS는 지원하지 않습니다.

269139342

Apigee 조직 유효성 검사가 overrides.yaml에 설정된 HTTP 전달 프록시 규칙을 따르지 않습니다. 이 유효성 검사를 건너뛰려면 validateOrg: false로 설정하세요.

266452840

특정 상황에서는 Anthos Service Mesh 1.15.3-asm.6을 사용할 때 Apigee X 및 Apigee Hybrid에 웹 소켓이 작동하지 않습니다.

287922301

현재 설계로 인해 볼륨 대역 기준점 근처에서 발생하는 거래에 대해 부정확한 수익 창출 비율이 평가될 수 있습니다. 이로 인해 기준점 미만 요율로 평가되는 거래가 너무 많아지며, 특정 개발자와 요금제 조합에 대한 거래가 30초 이내에 많이 발생할 때 발생할 가능성이 높습니다. 즉, 수익 창출 보고서에서 구간별 요율이 감소하면 요금이 과다 보고되고 구간별 요율이 증가하면 요금이 과소 보고됩니다. 이 문제는 Apigee X 및 Apigee Hybrid에서 발생하며 알려진 해결 방법이 없습니다. 해결이 시작되었으며 향후 출시에서 제공될 예정입니다.

242213234

API 제품을 로드하려고 하면 '제품이 로드되지 않았습니다. 오류: Apigee Connect 에이전트에서 사용할 수 있는 연결이 없습니다.'라는 오류가 반환될 수 있습니다.

이 문제는 Google Cloud 프로젝트에서 VPC 서비스 제어를 사용 설정하고 iamcredentials.googleapis.com을 서비스 경계에서 제한된 서비스 중 하나로 추가한 후 발생합니다.

해결 방법: 다음과 같은 이그레스 규칙을 수동으로 만듭니다.

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

처리량이 매우 높은 특정 상황에서는 암호화 키 조회와의 경합 조건으로 인해 KVM 조회가 실패할 수 있습니다.

258699204

apigee-telemetry-app 또는 apigee-telemetry-proxy 포드가 실행되지 않는 문제가 발생한 경우 구성 속성 참조: 측정항목의 다음 기본값과 일치하도록 metrics 리소스 요청 및 리소스 제한을 변경하세요.

‑‑telemetry 플래그를 사용하여 apigeectl apply에 변경사항을 적용합니다.

apigeectl apply --telemetry -f overrides.yaml

260324159

API 프록시 및 공유 흐름은 동기화 담당자의 '소켓 닫힘' 오류로 인해 특정 상황에서 런타임 영역에 배포하는 데 20~30분 정도 걸릴 수 있습니다.

214447386

1분 간격으로 표시될 것이며 청구 비용에는 영향을 미치지 않습니다.

260772383

AKS에 하이브리드를 설치할 때 다음 오류가 표시될 수 있습니다.

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

해결 방법: 오버라이드 파일에 다음 svcAnnotations 스탠자를 추가합니다.

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

하이브리드 런타임 구성을 참조하세요. 또한 AKS에 내부 부하 분산기 사용을 참조하세요.

241786534

조직 범위 UDCA를 사용할 때 MART에서 FluentD에 연결할 수 없는 경우가 있습니다. 조직 범위 UDCA는 Apigee Hybrid 버전 1.8의 기본값입니다. 구성 속성 참조는 orgScopedUDCA를 참조하세요.

Apigee Hybrid 버전 1.6.6에서 apigee-logger를 fluend에서 fluent-bit로 마이그레이션한 후 로거가 CentOS 또는 RHEL이 포함된 Anthos BareMetal에서 작동하지 않습니다.

활성 프로브를 포함하여 현재 apigee-logger 구성이 Kubernetes 런타임과 호환되지 않아서 로그가 Cloud Logging에 예상한 대로 전달되지 않습니다. 이 문제는 또한 정기적인 apigee-logger 포드 충돌을 일으킬 수 있습니다. 이 문제는 AKS, Anthos 베어메탈, 기타 플랫폼의 Apigee Hybrid 설치에 영향을 줍니다. 일부 경우에는 이 문제로 인해 과도한 로그 볼륨이 발생할 수 있습니다.

Apigee UI에서는 API 프록시 배포에 설명된 대로 배포 상태를 보거나, 확인하거나, 보관 파일 배포를 관리할 수 없거나, 디버그 사용에 설명된 대로 디버그 UI를 사용할 수 있습니다. 이 문제를 해결하려면 gcloud 또는 API를 사용하여 환경의 모든 보관 파일 배포 나열 및 디버그 API를 사용하면 됩니다.

보관 파일 배포 롤백이 현재 지원되지 않습니다. 보관 파일 배포 버전을 삭제하려면 보관 파일의 이전 버전을 다시 배포하거나 환경을 삭제해야 합니다.

421402073

Google 인증 사용의 설명과 같이, ServiceCallout 및 ExternalCallout 정책의 Google 인증은 VS Code의 Apigee에서 지원되지 않습니다.

DistributedTrace가 사용 중지된 경우 x-b3 헤더를 사용할 수 없음

Apigee 1-15-0-apigee-5 및 Hybrid 1.15.0 출시에서 분산 추적이 사용 중지된 경우 Apigee가 대상 엔드포인트로 x-b3 헤더를 전송하지 않습니다. 하지만 일부 Apigee 설치에서는 분산 추적 사용 설정 여부와 관계없이 x-b3 헤더가 전송되는 것을 사용했습니다. 따라서 이 변경사항은 Apigee 1-15-0-apigee-7부터 되돌려졌습니다.

잘못된 HTTP 헤더 오류: Istio 인그레스가 모든 수신 대상 응답을 HTTP2 프로토콜로 전환합니다. Hybrid 메시지 프로세서는 HTTP1만 지원하므로 API 프록시가 호출되면 다음 오류가 표시될 수 있습니다.

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

이 오류가 표시되면 다음 작업 중 하나를 수행하여 문제를 해결할 수 있습니다.

• 응답에서 호스트 헤더를 생략하도록 대상 서비스를 수정합니다.
• 필요한 경우 API 프록시에서 AssignMessage 정책을 사용하여 호스트 헤더를 삭제합니다.

420985360

• 포털에서 SmartDocs를 사용하여 API를 게시하는 경우 Apigee는 OpenAPI 사양 3.0을 지원하지만 일부 기능은 아직 지원되지 않습니다. 예를 들어 스키마를 결합하고 확장하는 allOf 속성입니다.

  OpenAPI 사양에서 지원되지 않는 기능을 참조하는 경우 경우에 따라 도구에서 기능을 무시하지만 API 참고 문서를 계속 렌더링합니다. 다른 경우에는 지원되지 않는 기능으로 인해 API 참고 문서가 성공적으로 렌더링되지 못하는 오류가 발생합니다. 두 경우 모두 지원되지 않는 기능이 향후 출시 버전에서 지원될 때까지 사용되지 않도록 OpenAPI 사양을 수정해야 합니다.

• API 사용해 보기에는 다음과 같은 제한사항이 있습니다.
  • Accept 헤더는 OpenAPI 사양에서 consumes에 설정된 값과 관계없이 application/json으로 설정됩니다.
  • 문자열이 아닌 유형의 요청 헤더는 지원되지 않습니다.

• 현재 여러 사용자의 동시 포털 업데이트(예: 페이지, 테마, CSS, 스크립트 수정)는 지원되지 않습니다.
• 포털에서 API 참조 문서 페이지를 삭제하면 다시 생성할 수 없습니다. API 제품을 삭제 및 다시 추가하고 API 참조 문서를 다시 생성해야 합니다.
• 포털 테마를 맞춤설정할 때 변경사항이 완전히 적용되는 데 최대 5분이 걸릴 수 있습니다.

향후 출시 버전에서는 통합 포털에 검색이 통합될 예정입니다.

SAML ID 공급업체를 사용한 단일 로그아웃 (SLO)은 커스텀 도메인에 대해 지원되지 않습니다. SAML ID 공급업체를 사용하여 커스텀 도메인을 사용 설정하려면 SAML 설정을 구성할 때 로그아웃 URL 필드를 비워둡니다.

• API 프록시 요청 및 응답 수(프록시 및 대상)에 이상 급증 표시

  다음은 이러한 급증을 보여주는 예시입니다.

  (큰 이미지 보기)

  
• 버그로 인해 시스템에서 짧은 기간 동안 개수가 잘못 등록되고, 개수가 수정됩니다. 이 문제는 API 트래픽 감소가 있을 때 발생합니다(API 게이트웨이의 축소 발생).
• 요청 실제 급증과 이 문제를 구분하기 위해서는 API 분석 페이지(특히 프록시 성능 및 대상 성능 페이지)를 참조하세요.

영향을 받는 측정항목:

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

새 측정항목

새 측정항목을 사용하면 이 문제를 방지할 수 있습니다.

Apigee Hybrid의 경우 측정항목 수집 개요 및 측정항목 보기를 참조하세요.

해결 방법: Hybrid에서 Logging 에이전트를 사용 중지합니다.

해결 방법: 파이어 앤 포겟(fire and forget) 방식의 동작을 유지하려면 다음 안내를 따르세요.

1. ServiceCallout에 <Response>calloutResponse</Response>를 추가합니다.
2. continueOnError를 true로 설정합니다.

해결 방법: 문제를 방지하려면 프록시에 SpikeArrest 정책을 두 개 이상 사용하지 마세요.

특정 키의 경우 지속적인 트래픽이 있으면 키가 업데이트된 속도로 비율 제한되지 않을 수 있습니다. 특정 키에 대한 트래픽이 5분 동안 발생하지 않으면 비율이 반영됩니다.

해결 방법: 속도를 즉시 적용해야 하는 경우 새 참조 변수로 프록시를 재배포합니다. 또는 흐름 변수가 서로 다른 두 개의 조건부 급증 저지를 사용하여 속도를 조정합니다.

구성 가능한 API 프록시의 API 모니터링은 대상의 2xx가 아닌 응답에 대해 '(설정되지 않음)' 오류 코드를 표시할 수 있습니다.

프록시가 같은 대상 호스트를 사용하여 흐름 두 개 이상에서 io.timeout.millis 값을 두 개 이상 설정하면 io.timeout.millis 값 하나만 적용됩니다.

Apigee Hybrid 1.8.x로 업그레이드하는 동안 apigeectl init 실행 및 check-ready 성공 확인 후 포드를 보면 Cassandra 스키마 검증 작업이 오류 상태인 것을 확인할 수 있습니다. 이것은 무해한 상태이며, 업그레이드 절차의 다음 단계로 이동해도 안전합니다.

동일한 인스턴스 및 환경 그룹에 연결된 여러 환경에 동일한 경로의 프록시를 배포할 수 없으며 기본 경로 충돌에 대한 경고 메시지가 반환되어야 합니다. 대신 오류가 표시되지 않고 배포가 성공한 것으로 표시됩니다.

해결 방법: 배포 중, 그리고 배포 후에 배포된 프록시와 기본 경로 충돌이 없는지 확인하고 필요에 따라 수정합니다.

이전에 배포된 프록시를 저장하려고 하면 버전을 변경할 수 없다는 오류와 함께 배포가 실패할 수 있습니다.

해결 방법: 저장 버튼 옆에 있는 드롭다운 화살표를 클릭하고 새 버전으로 저장을 선택합니다. 그런 다음 배포를 다시 시도합니다.

gRPC 대상 서버를 호출할 때 반환되는 유일한 트레일러는 'grpc-status' 트레일러입니다. 다른 모든 트레일러는 응답에서 삭제됩니다.

백엔드 응답에 상위 스키마와 동일한 판별자 유형이 포함된 경우 OASValidation 정책 내에서 무한 재귀가 발생합니다. 이 문제로 인해 StackOverflowError이 발생할 수 있습니다.

SSE (서버 전송 이벤트) 대상에는 별도의 대상 엔드포인트 정의를 사용하세요. SSE 및 비SSE 대상 엔드포인트를 함께 사용하면 빈 response.content 흐름 변수와 같은 일관성 없는 동작이 발생할 수 있습니다.

이전에는 감지되지 않았던 DNS 구성 문제가 이제 DNS 오류를 일으킬 수 있습니다. Apigee에서 1-16-0-apigee-2에 있던 자동 DNS 대체 기능을 삭제했습니다. 이 삭제로 인해 DNS 잘못된 구성에 대한 플랫폼의 복원력이 제거되어 이제 DNS 오류가 발생할 수 있습니다.

DNS 변환 오류의 런타임 로그를 확인하여 관련 오류를 찾습니다.

모든 프록시 배포가 로컬에서 실패하고 Error parsing deployment report as JSON를 포함한 오류 메시지가 표시됩니다.

06/13/2025 6:45 PM EMULATOR INFO Deploying environment testenv, to Container apigee-1.14.2 (1.14.2)
06/13/2025 6:45 PM EMULATOR ERROR Error parsing deployment report as JSON
06/13/2025 6:45 PM EMULATOR ERROR null
06/13/2025 6:45 PM EMULATOR ERROR Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500
06/13/2025 6:45 PM EMULATOR ERROR Deploy to Container apigee-1.14.2 (1.14.2), failed with Error: Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500