Bekannte Probleme von Apigee

333791378

Die erforderlichen Schritte zum Installieren eines Patch für die Problemumgehung finden Sie unter Fehlerbehebung.

310384001

289583112

Wenn die OASValidation-Richtlinie eine <OASResource> mit Sicherheitsanforderungen auf globaler Ebene angibt, werden die Sicherheitsanforderungen nicht erzwungen.

Problemumgehung: Um die Erzwingung zu gewährleisten, müssen alle Sicherheitsanforderungen auf der Vorgangsebene Vorgang in der OpenAPI-Spezifikation festgelegt werden, die im Element <OASResource> der OASValidation-Richtlinie übergeben wird.

205666368

Weitere Informationen finden Sie unter TLS-Optionen in einem Zielendpunkt oder Zielserver festlegen.

295929616

Die Installation oder Upgrade auf Apigee Hybrid 1.10.0 bis 1.10.2 kann bei OSE aufgrund von Speichermangel fehlschlagen. In Apigee Hybrid-Version 1.10.3 behoben.

292268968

Wenn die Firewall den gesamten Traffic über einen Forward-Proxy erzwingt, wechselt apigee-udca möglicherweise in einen Absturzschleifen-Backoff-Zustand.

269573358

• Die OASValidation-Richtlinie schlägt fehl, wenn der JSON-Inhalt nicht mit dem erwarteten Muster übereinstimmt. Beispiel: Wenn ein Header einen Wert im Format <text>@<text> erwartet und mit Text gefüllt wird, in dem das Symbol@ fehlt, schlägt die Richtlinie mit einem Unable to parse JSON-Fehler fehl.
• Wenn die OASValidation-Richtlinie einen <OASResource> angibt, der einen path-Parameter enthält, der ein $ref-Schema verwendet, schlägt die Richtlinie mit einem Unable to parse JSON - Unrecognized token-Fehler fehl.

  Problemumgehung: Verwenden Sie $ref nicht in den Parametern path der OpenAPI-Spezifikation, die im Element <OASResource> angegeben ist.

299953958

• Apigee-Bereitstellungen mit OASValidation-Richtlinie schlagen bei Verwendung von Zirkelverweisen für die OpenAPI 3.0.0-Spezifikation fehl, da sie in eine Endlosschleife gelangen.

Problemumgehung: Verwenden Sie eine OpenAPI-Spezifikations-YAML ohne Zirkelverweise.

289254725

Proxy-Bereitstellungen, die die OASValidation-Richtlinie enthalten, können in folgenden Fällen fehlschlagen:

• Die in der OASValidation-Richtlinie verwendete OpenAPI-Spezifikation hat das YAML-Format.
• Die OpenAPI-formatierte OpenAPI-Spezifikation enthält eine Gleitkommazahl. Beispiel:

  
  schema:
  type: number
  example: 2.345

284500460

Damit die Latenz beim Antworten an den Client nicht erhöht wird, sollte die Message Logging-Richtlinie an den PostClientFlow angehängt werden. Weitere Informationen zur Verwendung von Richtlinien in PostClientFlows finden Sie unter API-Proxys mit Abläufen steuern.

282997216

Verwenden Sie für das Passwort von Cassandra Jolokia nur alphanumerische Zeichen. Die Verwendung von Sonderzeichen (einschließlich, aber nicht beschränkt auf "!", "@", "#", "$", "%", "^", "&" und "*") kann den Cassandra-Start fehlschlagen lassen.

271415351

Gleichzeitige Bereitstellungsanfragen für einen SharedFlow oder API-Proxy können zu einem inkonsistenten Zustand im Verwaltungsserver führen, wenn mehrere Revisionen als bereitgestellt angezeigt werden. Dies kann beispielsweise der Fall sein, wenn eine CI/CD-Bereitstellungspipeline gleichzeitig mit verschiedenen Überarbeitungen ausgeführt wird. Um dieses Problem zu vermeiden, sollten Sie keine API-Proxys oder SharedFlows bereitstellen, bevor die aktuelle Bereitstellung abgeschlossen ist.

271689008

Bei der Verwendung von cert-manager v1.10.1 in OpenShift-Version 4.7 bis 4.10 werden die cert-manager-Pods nicht wie erwartet gestartet. Ändern Sie zur Behebung des Problems die Sicherheitskonfigurationsbeschränkung, wie in den cert-manager 1.10-Versionshinweisen beschrieben.

270371160

Das Apigee Ingress-Gateway unterstützt nur TLS1.2 und höher und keine früheren Versionen von TLS.

269139342

Die Validierung der Apigee-Organisation folgt nicht den in overrides.yaml festgelegten HTTP-Weiterleitungs-Proxyregeln. Legen Sie validateOrg: false fest, um diese Validierung zu überspringen.

266452840

Unter bestimmten Umständen funktionieren Web-Sockets nicht für Apigee X und Apigee Hybrid, wenn Anthos Service Mesh 1.15.3-asm.6 verwendet wird.

242213234

Dieser Fehler kann auftreten, wenn das Laden von API-Produkten versucht wird: Produkte wurden nicht geladen. Fehler: Keine Verbindungen von den Apigee Connect-Agenten.

Das Problem tritt auf, nachdem die VPC Service Controls im GCP-Projekt aktiviert und iamcredentials.googleapis.com als einer der eingeschränkten Dienste im Dienstperimeter hinzugefügt wurde.

Problemumgehung: Erstellen Sie manuell eine Regel für ausgehenden Traffic, z. B.:

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

Unter bestimmten Umständen kann bei einem sehr hohen Durchsatz eine Race-Bedingung mit Verschlüsselungsschlüssel-Suche zu Fehlern bei der KVM-Suche führen.

258699204

Wenn Probleme mit den Pods „apigee-telemetry-app“ oder „Apigee-telemetry-proxy“ auftreten, ändern Sie die metrics-Ressourcenanforderungen und -Ressourcenlimits, damit Sie den folgenden Standardwerten unter Referenz zu Konfigurationsattribut: Messwerte entsprechen.

Übernehmen Sie die Änderungen mit apigeectl apply mit dem Flag ‑‑telemetry:

apigeectl apply --telemetry -f overrides.yaml

260324159

API-Proxys und freigegebene Abläufe können unter bestimmten Umständen etwa 20 bis 30 Minuten dauern, um auf der Laufzeitebene aufgrund eines „Socket geschlossen“-Fehlers im Synchronizer bereitzustellen.

254505866

Die Bereitstellung des API Hub unter Verwendung der Benutzeroberfläche schlägt fehl, wenn Sie eine andere Region als die folgende auswählen:

• asia-east1
• asia-southeast1
• europe-west1
• europe-west4
• us-central1
• us-east1
• us-west1
• us-west4

251897633

Die Apigee Hybrid-Versionsauswahl funktioniert nur, wenn Sie den Text direkt auswählen oder direkt darauf klicken.

250875730

Dies wird voraussichtlich jede Minute durchgeführt und hat keine Auswirkungen auf Ihre Abrechnungskosten.

260772383

Wenn Sie Hybrid auf AKS installieren, wird möglicherweise dieser Fehler angezeigt:

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

Problemumgehung: Fügen Sie die folgende svcAnnotations-Stanza zur Überschreibungsdatei hinzu:

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

Siehe Hybridlaufzeit konfigurieren. Siehe auch Internen Load-Balancer mit AKS verwenden.

241786534

Bei Verwendung der organisationsbezogenen UDCA kann MART manchmal keine Verbindung zu FluentD herstellen. Die UDCA auf Organisationsebene ist die Standardeinstellung in Apigee Hybrid Version 1.8. Siehe orgScopedUDCA in der Referenz zu Konfigurationsattributen.

Nach der Migration von apigee-logger von fluend zu fluent-bit in der Apigee Hybrid-Version 1.6.6 funktioniert der Logger nicht mehr auf Anthos BareMetal mit CentOS oder RHEL.

231758700
231976420

Nutzern wird beim Abrufen von Images für Apigee Hybrid aus Docker Hub der folgende Fehler angezeigt: ERRO[0001] Metadata for targets expired. Dies gilt für die folgenden Hybridkomponenten:

• google/apigee-authn-authz
• google/apigee-mart-server
• google/apigee-runtime
• google/apigee-synchronizer

Problemumgehung

Wenn dieser Fehler auftritt, können Sie eine der beiden folgenden Problemumgehungen verwenden:

• Wechseln Sie zu gcr.io/apigee-release, um Hybrid-Images abzurufen.
• Deaktivieren Sie die Vertrauensstellung für Docker-Inhalte, indem Sie die Umgebungsvariable DOCKER_CONTENT_TRUST auf 0 setzen.

Aktuelle apigee-logger-Konfigurationen, einschließlich Aktivitätsprüfungen, sind mit der Kubernetes-Laufzeit nicht kompatibel, sodass Logs nicht wie erwartet an Cloud Logging gesendet werden. Dieses Problem führt auch dazu, dass die apigee-logger-Pods regelmäßig abstürzen. Dieses Problem betrifft Apigee Hybridinstallationen auf AKS, Anthos Bare Metal und anderen Plattformen. Beachten Sie, dass dieses Problem in einigen Fällen zu einem übermäßigen Logvolumen führt.

Proxys, die keine Vorgänge oder Vorgänge ohne HTTP-Übereinstimmungen enthalten, geben den Fehlercode 404 zurück, wenn der Anfragepfad nicht genau ein Segment zusätzlich zum Basispfad enthält. Anfragen an /basepath schlagen beispielsweise fehl, aber Anfragen an /basepath/user können erfolgreich sein. Fügen Sie Ihrem konfigurierbaren API-Proxy einen Operations-Abschnitt mit mindestens einem http_match hinzu, um Fehler zu vermeiden.

Das Verwenden eines Platzhalters (*) im Proxy-Basispfad eines konfigurierbaren API-Proxys führt dazu, dass falsche Anfragepfade an das Backend-Ziel weitergeleitet werden.

Um eine falsche Weiterleitung des Anfragepfads zu vermeiden, verwenden Sie im konfigurierbaren API-Proxy-Basispfad keinen Platzhalter (*), bis das Problem behoben ist.

Folgendes ist in der Apigee-Benutzeroberfläche nicht möglich: Bereitstellungsstatus anzeigen und bestätigen, Archivbereitstellungen verwalten, wie unter API-Proxy bereitstellen beschrieben, und Fehlerbehebungs-UI verwenden, wie unterDebugging verwenden beschrieben. Als Problemumgehung können Sie gcloud oder die API zum Auflisten aller Archivbereitstellungen in einer Umgebung und die Debug API verwenden.

Das Rollback einer Archivbereitstellung wird derzeit nicht unterstützt. Wenn Sie eine Version einer Archivbereitstellung entfernen möchten, müssen Sie entweder eine frühere Version eines Archivs neu bereitstellen oder die Umgebung löschen.

Die Google-Authentifizierung in ServiceCallout- und ExternalCallout-Richtlinien, wie unter Google-Authentifizierung verwenden beschrieben, wird in Apigee in VS Code nicht unterstützt.

Fehler „Ungültiger HTTP-Header“: Beim Istio-Ingress werden alle eingehenden Zielantworten auf das HTTP2-Protokoll umgestellt. Da der Hybrid Message Processor nur HTTP1 unterstützt, wird beim Aufruf eines API-Proxys möglicherweise der folgende Fehler angezeigt:

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

Wenn dieser Fehler angezeigt wird, können Sie das Problem mit einer der folgenden Maßnahmen beheben:

• Ändern Sie den Zieldienst so, dass der Host-Header in der Antwort weggelassen wird.
• Entfernen Sie den Host-Header gegebenenfalls mit der AssignMessage-Richtlinie in Ihrem API-Proxy.

• Apigee unterstützt OpenAPI-Spezifikation 3.0, wenn Sie Ihre APIs mit SmartDocs auf Ihrem Portal veröffentlichen. Eine Teilmenge der Funktionen wird jedoch noch nicht unterstützt. Beispiel: allOf-Attribute zum Kombinieren und Erweitern von Schemas.

  Wenn in Ihrer OpenAPI-Spezifikation auf eine nicht unterstützte Funktion verwiesen wird, ignorieren die Tools die Funktion in einigen Fällen, rendern aber trotzdem die API-Referenzdokumentation. In anderen Fällen führt eine nicht unterstützte Funktion zu Fehlern, die das erfolgreiche Rendern der API-Referenzdokumentation verhindern. In beiden Fällen müssen Sie Ihre OpenAPI-Spezifikation ändern, um die Verwendung der nicht unterstützten Funktion zu verhindern, bis sie in einer zukünftigen Version unterstützt wird.

• Wenn Sie diese API im Portal testen, wird der Accept-Header auf application/json gesetzt, unabhängig von dem für consumes in der OpenAPI-Spezifikation festgelegten Werts.

• Gleichzeitige Aktualisierung von Portalen (z. B. Seite, Design, CSS oder Skriptänderungen) wird von mehreren Nutzern derzeit nicht unterstützt.
• Wenn Sie eine API-Referenzdokumentationsseite aus dem Portal löschen, gibt es keine Möglichkeit, sie neu zu erstellen; Sie müssen das API-Produkt löschen und neu hinzufügen und die API-Referenzdokumentation neu generieren.
• Bei der Anpassung des Portaldesign kann es bis zu 5 Minuten dauern, bis die Änderungen vollständig übernommen werden.

Die Suche wird in einer zukünftigen Version in das integrierte Portal eingebunden.

Die einmalige Abmeldung (SLO) mit dem SAML-Identitätsanbieter wird für benutzerdefinierte Domains nicht unterstützt. Wenn Sie eine benutzerdefinierte Domain mit einem SAML-Identitätsanbieter aktivieren möchten, lassen Sie das Feld „Abmelde-URL“ leer, wenn Sie die SAML-Einstellungen konfigurieren.

• Die Anzahl der API-Proxy-Anfragen und -Antworten (für Proxy und Ziele) hat ungewöhnliche Spitzen

  Hier ein Beispiel für eine solche Spitze:

  (größeres Bild anzeigen)

  
• Aufgrund eines Programmfehlers registriert das System die Anzahl für einen kurzen Zeitraum falsch; die Anzahl wird anschließend korrigiert. Dies ist der Fall, wenn der API-Traffic reduziert wird, was dazu führt, dass API-Gateways herunterskaliert werden.
• Informationen dazu, wie Sie tatsächliche Anfragespitzen von diesem Problem unterscheiden können, finden Sie auf der Seite "API Analytics" (insbesondere die Seiten Proxy-Leistung und Zielleistung).

Betroffene Messwerte:

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

Problemumgehung: Deaktivieren Sie den Logging-Agent in Hybrid.

Problemumgehung: So behalten Sie das Risiko bei und vergessen Sie Ihr Verhalten:

1. Fügen Sie <Response>calloutResponse</Response> zu ServiceCallout hinzu.
2. Setzen Sie continueOnError auf true.

Problemumgehung: Verwenden Sie nur eine SpikeArrest-Richtlinie im Proxy.

Für einen bestimmten Schlüssel kann es bei kontinuierlichem Traffic vorkommen, dass der Schlüssel nicht mit der aktualisierten Rate begrenzt wird. Wenn es fünf Minuten lang keinen Traffic für einen bestimmten Schlüssel gibt, wird die Rate angezeigt.

Problemumgehung: Stellen Sie den Proxy mit einer neuen Referenzvariablen noch einmal bereit, wenn die Rate sofort wirksam werden soll. Oder verwenden Sie zwei bedingte Spike Arrests mit verschiedenen Ablaufvariablen, um die Rate anzupassen.

API Monitoring von konfigurierbaren API-Proxys kann den Fehlercode „(nicht festgelegt)“ für Antworten mit einem Nicht-2xx-Status vom Ziel anzeigen.

Wenn ein Proxy zwei oder mehr io.timeout.millis-Werte in zwei oder mehr Abläufen mit demselben Zielhost festlegt, wird nur ein io.timeout.millis-Wert berücksichtigt.

Während des Upgrades auf Apigee hybrid 1.8.x und nach der Ausführung von apigeectl init und der Bestätigung, dass check-ready erfolgreich war, stellen Sie möglicherweise fest, dass sich der Job zur Cassandra-Schemavalidierung in einem Fehlerzustand befindet, wenn Sie die Pods aufrufen. Dies ist eine unbedenkliche Bedingung und Sie können sicher mit dem nächsten Schritt im Upgradeverfahren fortfahren.

Die Bereitstellung von Proxys mit demselben Pfad in mehreren Umgebungen, die derselben Instanz und Umgebungsgruppe zugeordnet sind, ist nicht zulässig. Sie sollte eine Warnmeldung zu einem Basispfadkonflikt zurückgeben. Stattdessen wird kein Fehler angezeigt und die Bereitstellungen sind erfolgreich.

Problemumgehung: Prüfen Sie während und nach der Bereitstellung, ob es Basispfadkonflikte mit bereitgestellten Proxys gibt, und korrigieren Sie sie nach Bedarf.

Wenn Sie versuchen, einen zuvor bereitgestellten Proxy zu speichern, schlägt die Bereitstellung möglicherweise mit der Fehlermeldung fehl, die dass die Überarbeitung unveränderlich ist.

Problemumgehung: Klicken Sie auf den Drop-down-Pfeil neben der Schaltfläche Speichern und wählen Sie Als neue Überarbeitung speichern aus. Wiederholen Sie dann die Bereitstellung.

Aktualisierungen des Standardsatzes von Chiffren, die von Apigee-Servern unterstützt werden, um die Sicherheit zu verbessern, können bei einigen TLS-Versionen zu Unsupported protocol-Fehlern führen. Kunden, bei denen diese Fehler auftreten, sollten die vollständige Liste der Chiffren prüfen, die vom FIPS-Build von Envoy unterstützt werden.

Wenn ein Aufruf an einen gRPC-Zielserver gesendet wird, wird nur der Trailer "grpc-status" zurückgegeben. Alle anderen Trailer werden aus der Antwort entfernt.