Problemas conhecidos da Apigee

Há um problema conhecido na versão 1.16.0 em que os clusters híbridos podem não informar o status de implantação dos proxies. Isso ocorre devido a uma permissão ausente na função apigee-manager-role.

Solução alternativa:adicione a permissão ao modelo de gráfico do Helm apigee-operator:

1. Edite o arquivo de modelo do gráfico do Helm apigee-operator apigee-operator/templates/apigee-operators.yaml.
2. Adicione o verbo - watch ao recurso deployments depois do verbo - update na linha 584.
3. Atualize a versão do Helm apigee-operator.

A página de notas da versão híbrida não mostra as informações de atualização do 1.16.0-hotfix.1. Consulte as notas da versão da Apigee híbrida v1.16.0-hotfix.1 para mais detalhes sobre a atualização.

A Apigee híbrida 1.16 não é afetada por esse problema.

Solução alternativa:se você precisar usar a API Kubernetes Gateway com as versões 1.14 ou 1.15 da Apigee híbrida, instale a versão v1.3.x da API Gateway. Exemplo:

kubectl apply -f https://github.com/kubernetes-sigs/gateway-api/releases/download/v1.3.0/standard-install.yaml

Consulte também:

• API Kubernetes Gateway v1.3
• API Gateway v1.3.0: avanços no espelhamento de solicitações, CORS, fusão de gateway e orçamentos de repetição

Na versão 1-17-0-apigee-1 da Apigee, um upgrade do Netty para 4.1.129.Final introduziu uma regressão. Isso pode fazer com que as chamadas de proxy de API falhem com um código de status 400 e a mensagem de erro The URI contain illegal characters. Esse problema é acompanhado externamente em netty/netty#16020.

As versões mais recentes do cert-manager (v1.18 ou mais recente) agora fazem a rotação automática das chaves privadas. Quando essa chave for rotacionada para o certificado apigee-ca, isso vai causar uma interrupção.

Solução alternativa:para evitar esse problema, escolha uma das seguintes opções:

• Não faça upgrade do cert-manager para uma versão superior à 1.17.x.
• Edite o certificado apigee-ca no namespace cert-manager e defina spec.privateKey.rotationPolicy como Never. Siga este procedimento para editar o certificado apigee-ca e fazer upgrade do cert-manager:
  1. Verifique o conteúdo do certificado apigee-ca para conferir se rotationPolicy está definido:

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     Procure os valores em spec.privateKey na saída:

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         # Note: rotationPolicy would appear here if it is set.
         size: 256
       secretName: apigee-ca
     ...

  2. Se rotationPolicy não estiver definido ou se estiver definido como Always, edite o certificado apigee-ca para definir o valor de rotationPolicy como Never:
     1. Faça primeiro uma simulação:

        kubectl patch Certificate \
          --dry-run=server \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

     2. Adicione um patch ao certificado:

        kubectl patch Certificate \
          -n cert-manager \
          --type=json \
          -p='[{"op": "replace", "path": "/spec/privateKey/rotationPolicy", "value": "Never"}]' \
          -o=yaml \
          apigee-ca
        

  3. Verifique se o valor de rotationPolicy agora está definido como Never:

     kubectl get certificate apigee-ca -n cert-manager -o yaml
     

     A saída será parecida com esta:

     ...
     spec:
       commonName: apigee-hybrid
       duration: 87600h
       isCA: true
       issuerRef:
         group: cert-manager.io
         kind: ClusterIssuer
         name: apigee-root-certificate-issuer
       privateKey:
         algorithm: ECDSA
         rotationPolicy: Never
         size: 256
       secretName: apigee-ca
     ...

  4. Faça upgrade do cert-manager. O comando a seguir vai fazer o download e instalar o cert-manager v0.14.2:

     kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v0.14.2/cert-manager.yaml

Veja estes tópicos:

• Plataformas e versões compatíveis: cert-manager
• Como fazer upgrade da Apigee híbrida para a versão 1.16: upgrade do cert-manager
• cert-manager versão 1.18: o valor padrão de Certificate.Spec.PrivateKey.rotationPolicy agora é Always

Quando vários cabeçalhos de autorização estão presentes em uma solicitação, o gateway de entrada da Apigee não os concatena em um único cabeçalho. Isso faz com que o processador de mensagens retorne um erro 500 com uma mensagem "Duplicate Header "authorization"".

Solução alternativa:se houver vários cabeçalhos de autorização na solicitação, concatene-os em um único cabeçalho. Exemplo:

curl -s https://my-hostname.net/mocktarget/echo \
          -H 'authorization: a, b'

No momento, a IU da Apigee não oferece a opção de provisionar organizações da Apigee com um Google-owned and Google-managed encryption key.

A interface da Apigee não oferece a opção de selecionar um Google-owned and Google-managed encryption key ao provisionar organizações de assinatura.

Solução alternativa: use as APIs Apigee para criar organizações baseadas em assinatura com um Google-owned and Google-managed encryption key.

Conforme mencionado na documentação da API Apigee, ao criar a organização da Apigee, é possível criar a organização usando um Google-owned and Google-managed encryption key sem fornecer valores para os campos runtimeDatabaseEncryptionKeyName, apiConsumerDataEncryptionKeyName e controlPlaneEncryptionKeyName.

No momento, as políticas do Apigee Model Armor, incluindo SanitizeUserPrompt e SanitizeModelResponse, não funcionam como esperado quando usadas em proxies de API que processam conexões WebSocket. Consulte WebSockets com a Apigee para mais informações sobre a configuração do WebSocket.

Após o upgrade para 1-16-0-apigee-3, algumas organizações da Apigee podem encontrar erros de HTTP 500 decorrentes de um java.lang.NoClassDefFoundError em uma política de Java Callout. O erro aparece semelhante a isto:

{"fault":{"faultstring":"Failed to execute JavaCallout. org/apache/commons/lang/StringUtils","detail":{"errorcode":"steps.javacallout.ExecutionError"}}}

Esse erro ocorre quando uma política de chamada Java depende incorretamente de bibliotecas destinadas ao uso interno da Apigee em vez de fornecer as próprias dependências.

Ação necessária:para evitar esse problema, os desenvolvedores precisam garantir que todas as chamadas Java sejam independentes e usem as próprias bibliotecas dedicadas, evitando qualquer dependência do caminho de classe interno do Apigee.

No proxy de API que usa a biblioteca JAR do Apache Commons, importe o arquivo JAR do Apache Commons para incluir como um recurso do proxy. Para mais informações, consulte as diretrizes de recursos do Java.

O upgrade do gráfico apigee-org pode falhar se a propriedade mintTaskScheduler.serviceAccountPath não estiver definida, mesmo que a monetização não esteja ativada:

Error: UPGRADE FAILED: execution error at (apigee-org/templates/mint-task-scheduler-gsa-secret.yaml:12:63): mintTaskScheduler.serviceAccountPath is required!

Solução alternativa:remova os arquivos apigee-org/templates/mint-task-scheduler-gsa-secret.yaml e apitee-org/templates/mint-task-scheduler-sa.yaml.

Se quiser, mova os arquivos para um local separado fora do diretório do gráfico do Helm. Se preferir, faça o download novamente se quiser ativar a monetização no futuro, seguindo as instruções em Etapa 2: fazer o download dos gráficos do Apigee Helm.

Por exemplo, no diretório helm-charts/:

1. ls apigee-org/templates/

   Saída:

   apigee-org-guardrails.yaml              mart-sa.yaml
   apigee-proxy-chaining-certificate.yaml  mint-task-scheduler-gsa-secret.yaml
   apigee-proxy-chaining-route.yaml        mint-task-scheduler-sa.yaml
   ax-hash-salt-secret.yaml                NOTES.txt
   connect-agent-gsa-secret.yaml           organization.yaml
   connect-agent-sa.yaml                   udca-gsa-secret.yaml
   data-encryption-secret.yaml             udca-sa.yaml
   encryption-keys-secret.yaml             watcher-gsa-secret.yaml
   _helpers.tpl                            watcher-sa.yaml
   mart-gsa-secret.yaml
   

2. (Opcional:)

   cp apigee-org/templates/mint-task-scheduler-gsa-secret.yaml /tmp/
   cp apigee-org/templates/mint-task-scheduler-sa.yaml /tmp/

3. rm apigee-org/templates/mint-task-scheduler-gsa-secret.yaml

4. rm apigee-org/templates/mint-task-scheduler-sa.yaml

5. ls apigee-org/templates/

   Saída:

   apigee-org-guardrails.yaml              mart-gsa-secret.yaml
   apigee-proxy-chaining-certificate.yaml  mart-sa.yaml
   apigee-proxy-chaining-route.yaml        NOTES.txt
   ax-hash-salt-secret.yaml                organization.yaml
   connect-agent-gsa-secret.yaml           udca-gsa-secret.yaml
   connect-agent-sa.yaml                   udca-sa.yaml
   data-encryption-secret.yaml             watcher-gsa-secret.yaml
   encryption-keys-secret.yaml             watcher-sa.yaml
   _helpers.tpl
   

O script apigee-pull-push.sh pode retornar uma mensagem de erro No such image, por exemplo:

Error response from daemon: No such image: gcr.io/apigee-release/hybrid/apigee-stackdriver-logging-agent:latest

Solução alternativa:edite o script HELM_CHARTS_DIR/apigee-operator/etc/tools/apigee-pull-push.sh para mudar a linha 114 na função docker_tag() de:

  docker tag "${source}/$i" "${dest}/$i:${TAG}"

Para:

  docker tag "${source}/$i:${TAG}" "${dest}/$i:${TAG}"

Quando metrics.serviceAccountRef ou metrics.serviceAccountSecretProviderClass é especificado no arquivo overrides.yaml, a função de telemetria tem como destino a conta de serviço errada.

Solução alternativa:adicione um patch em _helper.tpl no gráfico apigee-operator/ e reaplique-o.

1. Edite apigee-operator/templates/_helpers.tpl e remova as seguintes linhas em negrito:

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.serviceAccountSecretProviderClass -}}  <-- DELETE
     {{- .Values.serviceAccountSecretProviderClass -}}          <-- DELETE
     {{- else if .Values.metrics.serviceAccountRef -}}          <-- DELETE
     {{- .Values.metrics.serviceAccountRef -}}                  <-- DELETE
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

   A seção resultante vai ficar assim:

   {{- define "metricsSA" -}}
     {{- $metricsName := "apigee-metrics" }}
     {{- $telemetryName := "apigee-telemetry" -}}
     {{- $generatedName := include "orgScopeEncodedName" (dict "name" .Values.org) -}}
     {{- if .Values.gcp.workloadIdentity.enabled -}}
     {{- printf "%s-sa" $metricsName -}}
     {{- else if .Values.multiOrgCluster -}}
     {{- printf "%s-%s" $metricsName $generatedName -}}
     {{- else -}}
     {{- printf "%s-%s" $metricsName $telemetryName -}}
     {{- end -}}
   {{- end -}}

2. Aplique novamente o gráfico apigee-operator.

   helm upgrade operator apigee-operator/ \
       --namespace APIGEE_NAMESPACE \
       --atomic \
       -f overrides.yaml

Para uma solução alternativa, siga as etapas em Problema conhecido 416634326.

O uso de caracteres curinga (*) em caminhos base de proxy do Apigee pode entrar em conflito com outros caminhos base explícitos, resultando em um erro 404. Por exemplo, o uso dos seguintes caminhos de base para dois proxies implantados no mesmo ambiente pode resultar em um erro 404 ao chamar Proxy-2:

Proxy-1: /a/v1/b
Proxy-2: /a/*/c

Nesse caso, as chamadas para o caminho base explícito serão resolvidas, mas as chamadas para Proxy-2 poderão retornar um 404 se o caminho curinga for avaliado como /a/v1/c.

Corrigido:esse problema foi corrigido na Apigee e na híbrida 1.14.3 e versões mais recentes. No entanto, a correção não é ativada por padrão. Se quiser ativar o uso de caracteres curinga em caminhos de base:

• Os clientes com organizações da Apigee precisam entrar em contato com o suporte da Apigee para ativar a correção, se necessário.
• Os clientes com organizações da Apigee híbrida precisam usar o procedimento a seguir para ativar a correção, se necessário.

Procedimento:para ativar o uso de caracteres curinga (*) em caminhos base de proxy da Apigee na Apigee híbrida:

1. Adicione a seguinte estrofe ao arquivo overrides.yaml antes de fazer upgrade para a versão híbrida 1.14.3 ou mais recente:

   runtime:
     cwcAppend:
       conf_message-processor-communication_classificationV2.enabled: "true"
   

2. Aplique as mudanças ao gráfico apigee-env. Repita a mudança para cada ambiente na instalação.

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --set env=ENV_NAME \
     -f OVERRIDES_FILE
   

   • ENV_RELEASE_NAME é um nome usado para acompanhar a instalação e upgrades do gráfico apigee-env. Ele precisa ser diferente dos outros nomes de versão do Helm na sua instalação. Normalmente, é o mesmo que ENV_NAME. No entanto, se o ambiente tiver o mesmo nome do grupo de ambientes, use nomes de lançamento diferentes para o ambiente e o grupo de ambientes, por exemplo, dev-env-release e dev-envgroup-release. Para mais informações sobre versões no Helm, consulte Três grandes conceitos na documentação do Helm.
   • ENV_NAME é o nome do ambiente que você está fazendo upgrade.
   • OVERRIDES_FILE é o arquivo de substituições.
3. Faça upgrade para a versão híbrida 1.14.3 ou mais recente.

O uso de LogTimer em SecurityPolicy pode causar um vazamento de memória.

Em algumas circunstâncias, as linhas de execução do registrador do Apigee híbrida podem consumir toda a memória disponível. Por exemplo, entradas de registro frequentes que documentam erros de permissões associados ao Javacallout podem causar OOM.

O processador de extensão do Apigee não aceita mais de 100 KB de processamento de dados como parte de eventos de corpo de solicitação e resposta.

Ao atualizar um keystore ou truststore sem criar um novo, as atualizações de tempo de execução podem falhar e causar o seguinte erro intermitente:

  {"fault":{"faultstring":"SSL Handshake failed sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

O erro é intermitente porque a atualização do keystore ou do truststore pode falhar em um pod de execução, mas ser concluída em outros pods. Para evitar esse problema, atualize o keystore ou truststore criando um novo. Redirecione a referência para o novo keystore ou truststore, conforme descrito em Quando um certificado expira.

A partir da versão 1.14.0 da Apigee híbrida, a adição automática de cabeçalhos de rastreamento do Zipkin (x-b3-*) foi removida.

N/A

Se você especificar apenas httpProxy, também precisará garantir que *.googleapis.com esteja na lista de permissões dos seus pods do Apigee Runtime para ativar a conectividade com esses serviços.

Consulte Configurar o encaminhamento de proxy para proxies de API.

A presença de definições de recursos personalizados (CRDs, na sigla em inglês) istio.io em um cluster híbrido do Apigee pode causar falha nos pods apigee-ingressgateway-manager.

Durante o upgrade da Apigee híbrida de versões mais antigas para a 1.14.2 ou mais recente, a presença de CRDs istio.io atuais pode causar falhas nas sondagens de prontidão nos contêineres discovery dos pods apigee-ingressgateway-manager.

Solução alternativa:as CRDs istio.io não são necessárias para a Apigee híbrida v1.14.2 ou mais recente. Há duas opções para corrigir esse problema:

• Exclua os CRDs istio.io se você não estiver usando o Istio para qualquer finalidade que não seja a Apigee no cluster.
• Atualize o apigee-ingressgateway-manager clusterrole para adicionar permissões ao istio.io.

Depois de cada uma das opções acima, reinicie os pods do apigee-ingressgateway-manager.

Depois de concluir as opções acima, reinicie os pods apigee-ingressgateway-manager.

1. Liste os pods ingress-manager para reinstalar ou recriar:

   kubectl get deployments -n APIGEE_NAMESPACE

   Exemplo de saída:

   NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-controller-manager       1/1     1            1           32d
   apigee-ingressgateway-manager   2/2     2            2           32d
   

2. Reinicie os pods ingress-manager:

   kubectl rollout restart deployment -n APIGEE_NAMESPACE apigee-ingressgateway-manager

3. Após alguns minutos, monitore os pods apigee-ingressgateway-manager:

   watch -n 10 kubectl -n APIGEE_NAMESPACE get pods -l app=apigee-ingressgateway-manager

   Exemplo de saída:

   NAME                                             READY   STATUS    RESTARTS   AGE
   apigee-ingressgateway-manager-12345abcde-678wx   3/3     Running   0          10m
   apigee-ingressgateway-manager-12345abcde-901yz   3/3     Running   0          10m
   

ApigeeTelemetry pode ficar travado no estado creating.

Esse problema foi observado em instalações do OpenShift.

Solução alternativa:modifique o modelo de gráfico apigee-operator para criar o acesso correto ao clusterrole.

1. Edite o arquivo de modelo helm-charts/apigee-operator/templates/apigee-operators.yaml e localize a definição do clusterrole -apigee-manager-role-. Ele começa com:

   kind: ClusterRole
   metadata:
     name: apigee-manager-role-{{ include 'namespace' }}
   rules:
     ...
                 

2. Encontre o bloco - apiGroups: apiregistration.k8s.io e adicione o recurso apiservices/finalizers à lista de recursos:

   - apiGroups:
     - apiregistration.k8s.io
     resources:
     - apiservices
     - apiservices/finalizers
     verbs:
     - create
     - delete
     - get
     - patch
     - update
     

3. Encontre o bloco - apiGroups: authorization.k8s.io e adicione o bloco - apiGroups: apigee.cloud.google.com após o final do bloco com o seguinte texto:

   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

   Exemplo:

   - apiGroups:
     - authorization.k8s.io
     resources:
     - subjectaccessreviews
     verbs:
     - create
     - get
     - list
   - apiGroups:
     - apigee.cloud.google.com
     resources:
     - apigeetelemetries/finalizers
     verbs:
     - get
     - patch
     - update
   

4. Aplique as mudanças ao gráfico apigee-operator:

   Simulação:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Faça upgrade do gráfico:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --atomic \
     -f OVERRIDES_FILE \
   

Os produtos de API são limitados a 50 caminhos. Se você adicionar outros caminhos, uma mensagem de erro será exibida: Operation group limit of 51 exceeded in Operation Config

Solução alternativa:use padrões curinga para combinar caminhos de recursos e operações conforme descrito em Como configurar caminhos de recursos.

Solução alternativa:crie vários produtos de API. Essa solução alternativa foi verificada e é viável para quem adiciona muitos proxies de API a um produto de API. O app associado aos seus produtos de API precisa ser atualizado para incluir o novo, mas as credenciais e os detalhes da solicitação do lado do cliente não precisam ser alterados.

Erro ao usar as APIs Custom Reports e Stats ao selecionar por tipo de taxa para instalações que usam a monetização.

Solução alternativa:busque todos os tipos de taxa no lado do cliente antes de filtrar.

O escalonamento de pods de entrada do Istio pode causar um erro 503.

O escalonamento dos pods de entrada do Istio pode causar um erro 503 ocasionalmente. Se ocorrer um erro de 503, os registros do balanceador de carga vão mostrar a seguinte mensagem: statusDetails: backend_connection_closed_before_data_sent_to_client.

Solução alternativa: faça o escalonamento manual dos pods de entrada do Istio.

A rotação de credenciais do Cassandra ESS e não ESS não funciona em organizações com limites de proxy avançados.

O tráfego do ambiente de execução não é afetado.

Os backups feitos da configuração multirregional usando os provedores de nuvem GCP e HYBRID contêm informações sobre todas as regiões híbridas que existiam quando o snapshot foi criado. Como essas regiões não existem mais, o job de restauração vai entrar em conflito com o estado atual do Cassandra e falhar com o seguinte erro: Unrecognized strategy option passed to NetworkTopologyStrategy.

A biblioteca Nimbus JOSE + JWT pode causar um java.lang.ClassCircularityError ao usar uma política JavaCallout .

Se você tiver uma organização habilitada para Apigee híbrida com uma política JavaCallout que usa a biblioteca Nimbus JOSE + JWT, não faça upgrade para a versão híbrida 1.12.4, 1.13.3 ou 1.14.1.

A rotação de credenciais do Cassandra multirregional ESS e não ESS vai falhar em todas as regiões, exceto na primeira.

O tráfego do ambiente de execução não é afetado.

Siga a solução alternativa fornecida para resolver esse problema.

Os pods do Cassandra serão reiniciados depois de aplicar mudanças de substituições do Cassandra, como ao reativar o backup, o que vai acionar esse problema. Os registros de um pod do Cassandra no estado CrashLoopBackoff mostram o seguinte erro: Cannot change the number of tokens from 512 to 256.

Siga a solução alternativa fornecida para resolver esse problema.

Em alguns casos raros, o job de backup do Apigee não limpa os snapshots intermediários do Cassandra criados durante a realização de backups usando os provedores de nuvem HYBRID ou GCP. Isso só acontece se um problema impedir que o processo de backup se conecte ao servidor remoto ou ao Cloud Storage. Se o problema de conexão persistir, esses snapshots restantes do Cassandra poderão se acumular com o tempo, usando o armazenamento nos discos do Cassandra. Se você foi afetado, corrija o problema de conexão subjacente e siga as etapas fornecidas no guia de solução de problemas do Cassandra para limpar snapshots do Cassandra manualmente.

Quando uma política KeyValueMapOperations é usada com o escopo apiproxy e a operação <Put> da política é chamada em um fluxo compartilhado por um hook de fluxo, a entrada KVM é criada com o nome do fluxo compartilhado. Ele deve ser criado com o nome do proxy de API.

384937220

Quando há vários hosts virtuais, a criação da versão do Helm pode falhar devido a nomes ApigeeRoute conflitantes. A solução alternativa é executar os seguintes comandos para cada host virtual ao criar:

kubectl annotate ar apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite
kubectl annotate cert apigee-ingressgateway-internal-chaining-PROJECT_ID_SUFFIX -n APIGEE_NAMESPACE meta.helm.sh/release-name=NEW_ENV_GROUP_NAME --overwrite

em que:

• PROJECT_ID_SUFFIX é um sufixo exclusivo para encadeamento interno do seu projeto no Kubernetes. Para encontrar esse sufixo, use o seguinte comando:

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining

  O resultado será semelhante a este:

  kubectl get svc -n apigee -l app=apigee-ingressgateway | grep internal-chaining
  apigee-ingressgateway-internal-chaining-my-project--1234567    ClusterIP  34.118.226.140  <none>    15021/TCP,443/TCP    5d6h

  No exemplo de saída, my-project--1234567 é o PROJECT_ID_SUFFIX.

• APIGEE_NAMESPACE é seu namespace da Apigee.
• NEW_ENV_GROUP_NAME é o nome do grupo de ambiente adicional. Atualize esse valor para cada host virtual.

N/A

Se um usuário fornecer uma conta de serviço inválida para a API UpdateControlPlaneAccess, a operação vai entrar em um ciclo de repetições de novas tentativas, impedindo que a organização invoque a API até que a operação expire.

Ao usar o provedor de nuvem GCP, o job de backup do Apigee não consegue fazer upload para buckets do Cloud Storage com políticas de retenção. Os arquivos de backup podem ser deixados no bucket do Cloud Storage com tamanho de arquivo de 0 byte.

Solução alternativa:desative as políticas de retenção no bucket do Cloud Storage.

341099433

O apigee-logger usa contas de serviço do IAM do Google para enviar registros ao Cloud Logging. Isso ocorre devido à falta de suporte do FluentBit à federação de identidade da carga de trabalho, o que impede que o apigee-logger use esse recurso.

N/A

N/A

270574696

268104619

364872027

Nas versões 1.13 e mais recentes da Apigee e da Apigee híbrida, qualquer desvio no formato PEM necessário das chaves usadas nas políticas da Apigee JWS ou JWT pode resultar em um erro de análise. Por exemplo, colocar qualquer caractere diferente de uma nova linha (/n) imediatamente antes da linha "-----END" (limite pós-encapsulamento) não é permitido e resultará em um erro.

Para evitar esse erro, verifique se nenhum caractere, exceto uma nova linha, como espaços finais ou barras, precede imediatamente o limite pós-encapsulamento.

Para mais informações sobre a codificação usada para chaves públicas ou privadas, consulte IETF RFC 7468.

310191899

Os endpoints a seguir podem ter tempos limite quando usados com um alto volume de consultas por segundo (QPS):

• organizations.environments.apis.revisions.
  deployments.deploy
• organizations.environments.apis.revisions.
  deployments.undeploy
• organizations.environments.sharedflows.revisions.
  deployments.deploy
• organizations.environments.sharedflows.revisions.
  deployments.undeploy

Para reduzir a probabilidade de timeouts, recomendamos definir uma meta de 1 QPS ao usar esses endpoints ou verificar o status de uma implantação antes de tentar outra.

329304975

A Apigee está aplicando um limite temporário de 1.000 caminhos base por ambiente para evitar possíveis falhas ao implantar revisões do proxy de API.

Enquanto esse limite estiver em vigor, você poderá implantar até 1.000 revisões de proxy de API (cada uma contendo um único caminho de base) por ambiente. Se os proxies ou as revisões da API tiverem mais de um caminho base, o número total de caminhos base por ambiente não poderá exceder 1.000.

333791378

Para consultar as etapas necessárias para instalar um patch como solução alternativa, consulte Solução de problemas.

310384001

289583112

Se a política OASValidation especificar um <OASResource> com requisitos de segurança definidos em nível global, os requisitos de segurança não serão aplicados.

Solução alternativa: para garantir a aplicação, todos os requisitos de segurança precisam ser definidos no nível da operação na especificação OpenAPI transmitida no elemento <OASResource> da política OASValidation.

205666368

Consulte Como configurar opções de TLS em um endpoint ou servidor de destino.

295929616

A instalação ou o upgrade para a Apigee híbrida 1.10.0 a 1.10.2 pode falhar no OSE devido a problemas de falta de memória. Corrigido na Apigee híbrida versão 1.10.3.

292118812

Se o firewall forçar todo o tráfego por meio de um proxy de encaminhamento, apigee-udca poderá entrar em um estado de espera do loop de falha.

292558790

• A política OASValidation falha quando o conteúdo do JSON não corresponde ao padrão previsto. Por exemplo, se um cabeçalho estiver esperando um valor no formato <text>@<text> e estiver preenchido com texto sem o símbolo @, a política falhará com um erro Unable to parse JSON.
• Se a política OASValidation especificar um <OASResource> contendo um parâmetro path que utiliza um esquema $ref, a política falhará com um erro Unable to parse JSON - Unrecognized token.

  Solução alternativa: não use $ref nos parâmetros path da especificação OpenAPI especificada no elemento <OASResource>.

297012500

• A implantação da Apigee falhará para a política de validação do OAS ao usar referências circulares para a especificação OpenAPI 3.0.0 quando ela entrar em um loop infinito.

Solução alternativa: use um yaml de especificação OpenAPI sem referências circulares.

289254725

As implantações de proxy que incluem a política de OASValidation podem falhar se:

• A especificação OpenAPI usada na validação OASValidation estiver no formato YAML.
• A especificação OpenAPI formatada em YAML contém um número flutuante. Exemplo:

  schema:
  type: number
  example: 2.345

284500460

Para evitar o aumento da latência nas respostas ao cliente, anexe a política do registro de mensagens ao PostClientFlow. Para mais informações sobre como usar políticas em PostClientFlows, consulte Como controlar proxies de API com fluxos.

282997216

Use apenas caracteres alfanuméricos para a senha do Cassandra Jolokia. O uso de caracteres especiais (incluindo, entre outros, "!", "@", "#", "$", "%", "^", "&", e "*") pode causar falha na inicialização do Cassandra.

270371160

O gateway de entrada da Apigee só é compatível com TLS 1.2+, e não com versões anteriores do TLS.

269139342

A validação da organização da Apigee não segue as regras de proxy de encaminhamento de HTTP definidas em overrides.yaml. Configure validateOrg: false para pular essa validação.

266452840

Em determinados casos, os soquetes da Web não funcionam com a Apigee X e a Apigee híbrida ao usar o Anthos Service Mesh 1.15.3-asm.6.

287922301

Devido ao design atual, taxas de monetização imprecisas podem ser avaliadas para transações que ocorrem perto de um limite de faixa de volume. Isso se manifesta como um número excessivo de transações sendo avaliadas na taxa pré-limiar e é mais provável que ocorra quando muitas transações de um determinado desenvolvedor e plano de tarifas acontecem em uma janela de 30 segundos. Isso significa que os relatórios de monetização vão informar um valor maior de cobranças com taxas agrupadas decrescentes e um valor menor com taxas agrupadas crescentes. Esse problema ocorre na Apigee X e na Apigee híbrida e não tem solução alternativa conhecida. A resolução começou e estará disponível em uma versão futura.

242213234

Este erro pode ser retornado ao tentar carregar produtos de API: "Os produtos não foram carregados. Erro: não há conexões disponíveis dos agentes de conexão da Apigee".

O problema ocorre depois de ativar o VPC Service Controls no projeto do Google Cloud e adicionar iamcredentials.googleapis.com como um dos serviços restritos no perímetro de serviço.

Solução alternativa: crie manualmente uma regra de saída, como a mostrada a seguir.

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

Em determinadas circunstâncias em que há uma capacidade de processamento muito alta, uma disputa com pesquisa de chave de criptografia pode causar falhas de pesquisa do KVM.

258699204

Se houver problemas e o pod apigee-telemetry-app ou apigee-telemetry-proxy não for executado, altere as propriedades de solicitações e limites de recursos de metrics para que elas correspondam aos seguintes padrões em Referência da propriedade de configuração: métricas.

Aplique as alterações com apigeectl apply usando a flag ‑‑telemetry:

apigeectl apply --telemetry -f overrides.yaml

260324159

Os proxies de API e os fluxos compartilhados podem levar de 20 a 30 minutos para serem implantados no plano de ambiente de execução em determinadas circunstâncias devido a um erro de "soquete fechado" no sincronizador.

214447386

Isso deve ocorrer a cada minuto e não afeta o custo faturado.

260772383

Se você instalar a versão híbrida no AKS, poderá ver este erro:

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

Solução alternativa: adicione a seguinte estrofe de svcAnnotations ao arquivo de substituições:

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

Consulte Configurar o ambiente de execução híbrido. Consulte também Usar um balanceador de carga interno com o AKS.

241786534

Às vezes, ao usar UDCA com escopo de organização, o MART não consegue se conectar ao FluentD. O UDCA com escopo de organização é o padrão na Apigee híbrida versão 1.8. Consulte orgScopedUDCA na referência da propriedade de configuração.

Após a migração de apigee-logger de fluend para fluent-bit na Apigee híbrida versão 1.6.6, o logger parou de funcionar no Anthos BareMetal com o CentOS ou o RHEL.

As configurações apigee-logger atuais, incluindo as sondagens de atividade, são incompatíveis com o ambiente de execução do Kubernetes, o que resulta no não envio dos registros para o Cloud Logging, que era o esperado. Esse problema também faz com que os pods apigee-logger falhem regularmente. Esse problema afeta as instalações da Apigee híbrida no AKS, no Anthos Bare Metal e em outras plataformas. Em alguns casos, esse problema resulta em um volume excessivo de registros.

Na interface da Apigee, não é possível ver, confirmar o status da implantação ou gerenciar implantações de arquivo, conforme descrito em Como implantar um proxy de API, ou usar a interface de depuração, conforme descrito em Como usar a depuração. Como solução alternativa, você pode usar o gcloud ou a API para listar todas as implantações de arquivo em um ambiente e usar a API Debug.

Não é possível reverter uma implantação de arquivo no momento. Para remover uma versão de uma implantação de arquivo, é necessário reimplantar uma versão anterior de um arquivo ou excluir o ambiente.

421402073

O Google Authentication nas políticas ServiceCallout e ExternalCallout, conforme descrito em Como usar o Google Authentication, não é compatível com a Apigee no VS Code.

Cabeçalhos x-b3 não disponíveis quando DistributedTrace está desativado

Nas versões 1-15-0-apigee-5 e híbrida 1.15.0 da Apigee, a Apigee parou de enviar cabeçalhos x-b3 para endpoints de destino quando o rastreamento distribuído está desativado. No entanto, algumas instalações do Apigee dependiam do envio de cabeçalhos x-b3, independentemente de o rastreamento distribuído estar ativado ou desativado. Por isso, essa mudança foi revertida a partir da versão 1-15-0-apigee-7 do Apigee.

Erro de cabeçalho HTTP inválido: a entrada do Istio alterna todas as respostas de destino recebidas para o protocolo HTTP2. Como o processador de mensagens híbrido é compatível apenas com HTTP1, você poderá ver o seguinte erro quando um proxy de API for chamado:

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

Se isso ocorrer, execute uma das seguintes ações para corrigir o problema:

• Modifique o serviço de destino para omitir o cabeçalho Host na resposta.
• Remova o cabeçalho Host usando a política AssignMessage no proxy de API, se necessário.

420985360

• A Apigee é compatível com a especificação OpenAPI 3.0 quando você publica suas APIs usando o SmartDocs no portal, embora um subconjunto de recursos ainda não seja compatível. Por exemplo, as propriedades allOf para combinar e estender esquemas.

  Se um recurso incompatível for referenciado na especificação OpenAPI, em alguns casos, as ferramentas ignorarão o recurso, mas ainda renderizarão a documentação de referência da API. Em outros casos, um recurso incompatível causará erros que impedem a renderização bem-sucedida da documentação de referência da API. Em ambos os casos, você precisará modificar a especificação OpenAPI para evitar o uso do recurso não compatível até que ele seja compatível em uma versão futura.

• A opção "Testar esta API" tem as seguintes limitações:
  • O cabeçalho Accept é definido como application/json, independentemente do valor definido para consumes na especificação OpenAPI.
  • Cabeçalhos de solicitação de tipo diferente de string não são compatíveis.

• No momento, não há suporte para atualizações de portal simultâneas (como edições de página, tema, CSS ou script) feitas por vários usuários.
• Se você excluir uma página da documentação de referência da API do portal, não será possível recriá-la. Será necessário excluir e adicionar novamente o produto da API e gerar a documentação de referência da API novamente.
• Ao personalizar o tema do portal, pode levar até cinco minutos para que as alterações sejam aplicadas.

A pesquisa será integrada ao portal integrado em uma versão futura.

Não é possível fazer logout único (SLO) com o provedor de identidade SAML em domínios personalizados. Para ativar um domínio personalizado com um provedor de identidade SAML, deixe o campo "URL de saída" em branco ao definir as configurações de SAML.

• As contagens de solicitações e respostas do proxy de API (para proxy e destinos) mostram picos anormais

  Veja um exemplo que mostra um pico assim:

  (ampliar imagem)

  
• Devido a um bug, o sistema registra a contagem incorretamente por um breve período, mas ela é logo corrigida. Isso acontece quando há uma redução no tráfego da API, o que resulta em uma redução de escala dos gateways da API.
• Para distinguir os picos reais de solicitações e esse problema, consulte a página de Análise de APIs (especificamente as páginas Desempenho do proxy e Desempenho desejado)

Métricas afetadas:

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

Novas métricas

É possível usar as novas métricas para evitar esse problema.

Para a Apigee híbrida, consulte: Informações gerais da coleta de métricas e Mostrar métricas.

Solução alternativa: desative o agente do Logging na versão híbrida.

Solução alternativa: para manter o comportamento de incêndio e esquecimento:

1. Adição de <Response>calloutResponse</Response> ao ServiceCallout.
2. Defina continueOnError como true.

Solução alternativa: evite usar mais de uma política SpikeArrest no proxy para evitar o problema.

Se houver tráfego contínuo para uma chave específica, ela poderá não ter uma limitação baseada na taxa atualizada. Se não houver nenhum tráfego durante cinco minutos para uma chave específica, a taxa será refletida.

Solução alternativa:implante novamente o proxy com uma nova variável de referência para que a taxa entre em vigor imediatamente. Também é possível usar duas detenções de pico condicionais com variáveis de fluxo diferentes para ajustar a taxa.

O API Monitoring de proxies de API configuráveis pode exibir um código de falha "(não definido)" para respostas do destino com um status diferente de 2xx.

Se um proxy definir dois ou mais valores io.timeout.millis em dois ou mais fluxos usando o mesmo host de destino, apenas um valor io.timeout.millis será mantido.

Durante o upgrade para a Apigee híbrida versão 1.8.x, depois de executar apigeectl init e confirmar que check-ready foi concluído, ao visualizar os pods, é possível notar que o job de validação do esquema do Cassandra está em um estado de erro. Essa é uma condição inofensiva e é possível passar para a próxima etapa sem maiores problemas no procedimento de upgrade.

Não é permitido implantar proxies com o mesmo caminho em vários ambientes anexados à mesma instância e ao mesmo grupo de ambientes e você deve retornar uma mensagem de aviso sobre um conflito de caminho base. Em vez disso, nenhum erro é exibido, e as implantações parecem ser bem-sucedidas.

Alternativa: ao implantar e após a implantação, verifique se não há conflitos de caminho base com os proxies implantados e faça as correções necessárias.

Ao tentar salvar um proxy implantado anteriormente, a implantação pode falhar com um erro informando que a revisão é imutável.

Alternativa: clique na seta suspensa ao lado do botão Salvar e selecione Salvar como novo revisão. Em seguida, tente fazer a implantação novamente.

Quando uma chamada é feita para um servidor de destino gRPC, o único trailer retornado é o "gRPC-status". Todos os outros trailers são removidos da resposta.

Uma recursão infinita ocorre na política OASValidation quando uma resposta de back-end contém um tipo discriminador igual ao esquema principal. Esse problema pode levar a um StackOverflowError.

Use definições de endpoint de destino separadas para destinos de SSE (eventos enviados pelo servidor). Misturar endpoints de destino SSE e não SSE pode resultar em um comportamento inconsistente, como variáveis de fluxo response.content vazias.

Problemas de configuração de DNS que não eram detectados antes agora podem causar erros de DNS. A Apigee removeu a funcionalidade de substituição automática de DNS que estava na versão 1-16-0-apigee-2. Essa remoção elimina a capacidade de recuperação da plataforma contra erros de configuração de DNS e agora pode resultar em erros de DNS.

Para encontrar erros relacionados, verifique os registros de tempo de execução em busca de erros de resolução de DNS.

Todas as implantações de proxy falham localmente com mensagens de erro, incluindo Error parsing deployment report as JSON:

06/13/2025 6:45 PM EMULATOR INFO Deploying environment testenv, to Container apigee-1.14.2 (1.14.2)
06/13/2025 6:45 PM EMULATOR ERROR Error parsing deployment report as JSON
06/13/2025 6:45 PM EMULATOR ERROR null
06/13/2025 6:45 PM EMULATOR ERROR Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500
06/13/2025 6:45 PM EMULATOR ERROR Deploy to Container apigee-1.14.2 (1.14.2), failed with Error: Environment testenv deployment, to Container apigee-1.14.2 (1.14.2) failed with Error: 500