Problèmes connus liés à Apigee

333791378

Pour connaître la procédure à suivre pour installer un correctif afin de contourner le problème, consultez la page Dépannage.

310384001

289583112

Si la règle OASValidation spécifie une ressource <OASResource> avec des exigences de sécurité définies au niveau global, les exigences de sécurité ne sont pas appliquées.

Solution : Pour garantir qu'elles soient appliquées, toutes les exigences de sécurité doivent être définies au niveau de l'opération dans la spécification OpenAPI transmise dans l'élément <OASResource> de la règle OASValidation.

205666368

Consultez la section À propos de la définition des options TLS dans un point de terminaison cible ou un serveur cible.

295929616

L'installation ou la mise à niveau vers les versions 1.10.0 à 1.10.2 d'Apigee hybrid peut échouer sur OSE en raison de problèmes de mémoire saturée. Corrigé dans la version 1.10.3 Apigee hybrid.

292268968

Si le pare-feu force tout le trafic via un proxy de transfert, apigee-udca peut passer à l'état de boucle de plantage en cas d'interruption.

269573358

• La stratégie OASValidation échoue lorsque le contenu JSON ne correspond pas au format attendu. Par exemple, si un en-tête attend une valeur au format <text>@<text> et contient du texte sans le symbole @, la règle échoue avec l'erreur Unable to parse JSON.
• Si la stratégie OASValidation spécifie une ressource <OASResource> contenant un paramètre path qui utilise un schéma $ref, la règle échoue avec une erreur Unable to parse JSON - Unrecognized token.

  Solution : n'utilisez pas $ref dans les paramètres path de la spécification OpenAPI spécifiée dans l'élément <OASResource>.

299953958

• Le déploiement Apigee échouera pour la règle de validation OAS lors de l'utilisation de références circulaires pour la spécification OpenAPI 3.0.0 car elle entre dans une boucle infinie.

Solution : utilisez un fichier YAML de spécification OpenAPI sans références circulaires.

289254725

Les déploiements de proxy qui incluent la règle OASValidation peuvent échouer si les deux conditions suivantes sont remplies :

• La spécification OpenAPI utilisée pour la validation dans la règle OASValidation est au format YAML.
• La spécification OpenAPI au format YAML contient un nombre flottant. Par exemple :

  schema:
  type: number
  example: 2.345

284500460

Pour éviter d'augmenter la latence des réponses au client, la règle de journalisation des messages doit être associée au PostClientFlow. Pour en savoir plus sur l'utilisation des règles dans les PostClientFlows, consultez la section Contrôler des proxys d'API avec des flux.

282997216

N'utilisez que des caractères alphanumériques pour le mot de passe Cassandra Jolokia. L'utilisation de caractères spéciaux (y compris, mais sans s'y limiter, "!", "@", "#", "$", "%", "^", "&" et "*") peut faire échouer le démarrage de Cassandra.

271415351

Les requêtes de déploiements simultanés pour un flux SharedFlow ou un proxy d'API peuvent entraîner un état incohérent sur le serveur de gestion, où plusieurs révisions sont affichées comme étant déployées. Cela peut se produire, par exemple, en cas d'exécutions simultanées d'un pipeline de déploiement CI/CD qui exploitent des révisions différentes. Pour éviter ce problème, évitez de déployer des proxys d'API ou des flux SharedFlow avant la fin du déploiement actuel.

271689008

Avec cert-manager v1.10.1 sur les versions 4.7 à 4.10 d'OpenShift, les pods cert-manager ne démarrent pas comme prévu. Pour résoudre le problème, modifiez la contrainte de configuration de sécurité comme décrit dans les notes de version de cert-manager 1.10.

270371160

La passerelle d'entrée Apigee n'accepte que TLS1.2+. Elle n'est pas compatible avec les versions antérieures de TLS.

269139342

La validation de l'organisation Apigee ne respecte pas les règles de proxy de transfert HTTP définies dans overrides.yaml. Définissez validateOrg: false pour ignorer cette validation.

266452840

Dans certaines circonstances, les sockets Web ne fonctionnent pas pour Apigee X et Apigee Hybrid lorsque vous utilisez Anthos Service Mesh 1.15.3-asm.6.

242213234

Ce message d'erreur peut s'afficher lors de la tentative de chargement des produits d'API : "Les produits n'ont pas pu être chargés. Erreur : Aucune connexion disponible à partir des agents de connexion Apigee.

Le problème se produit après l'activation de VPC Service Controls dans le projet Google Cloud et l'ajout de iamcredentials.googleapis.com au périmètre de service en tant que service restreint.

Solution : Créez manuellement une règle de sortie, par exemple :

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

Dans certains cas, à un débit très élevé, une condition de concurrence avec recherche de clés de chiffrement peut entraîner des échecs de recherche de KVM.

258699204

Si vous constatez que les pods apigee-telemetry-app ou apigee-telemetry-proxy ne s'exécutent pas, modifiez les propriétés de demandes de ressources et de limites de ressources metrics pour qu'elles correspondent aux valeurs par défaut suivantes dans la Documentation de référence sur les propriétés de configuration : métriques.

Appliquez les modifications avec apigeectl apply avec l'option ‑‑telemetry :

apigeectl apply --telemetry -f overrides.yaml

260324159

Dans certaines circonstances, le déploiement des proxys d'API et des flux partagés dans le plan d'exécution pouvait prendre aux alentours de 20 à 30 minutes en raison d'une erreur de "socket fermé" dans le synchronisateur.

254505866

Le provisionnement du hub d'API à l'aide de l'interface utilisateur échoue si vous sélectionnez une région autre que les suivantes :

• asia-east1
• asia-southeast1
• europe-west1
• europe-west4
• us-central1
• us-east1
• us-west1
• us-west4

251897633

Le sélecteur de version Apigee hybrid ne fonctionne que si vous sélectionnez ou cliquez directement sur le texte.

250875730

Ce message est censé s'afficher toutes les minutes et n'a pas d'incidence sur vos coûts de facturation.

260772383

Si vous installez Apigee hybrid sur AKS, l'erreur suivante peut s'afficher :

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

Solution : ajoutez le stanza svcAnnotations suivant au fichier des remplacements :

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

Consultez la section Configurer l'environnement d'exécution hybride. Consultez également la section Utiliser un équilibreur de charge interne avec AKS.

241786534

Lorsque vous utilisez l'UDCA au niveau de l'organisation, MART ne peut pas toujours se connecter à FluentD. L'UDCA au niveau de l'organisation est la valeur par défaut dans Apigee hybrid version 1.8. Consultez la section orgScopedUDCA dans la documentation de référence sur les propriétés de configuration.

Après la migration de apigee-logger de fluend vers fluent-bit dans la version 1.6.6 d'Apigee hybrid, le logger a cessé de fonctionner sur Anthos BareMetal avec CentOS ou RHEL.

231758700
231976420

Les utilisateurs rencontrent l'erreur suivante lorsqu'ils extraient des images pour Apigee hybrid de Docker Hub : ERRO[0001] Metadata for targets expired. Ceci s'applique aux composants hybrides suivants :

• google/apigee-authn-authz
• google/apigee-mart-server
• google/apigee-runtime
• google/apigee-synchronizer

Solution

Si vous rencontrez cette erreur, vous pouvez utiliser l'une des deux solutions de contournement suivantes :

• Passez à l'utilisation de gcr.io/apigee-release pour extraire des images hybrides.
• Désactivez l'approbation de contenu Docker en définissant la variable d'environnement DOCKER_CONTENT_TRUST sur 0.

Les configurations apigee-logger actuelles, y compris les vérifications d'activité, sont incompatibles avec l'environnement d'exécution Kubernetes. Par conséquent, les journaux ne seront pas envoyés à Cloud Logging comme prévu. Ce problème entraîne également le plantage régulier des pods apigee-logger. Ce problème affecte les installations Apigee hybrid sur AKS, Anthos Bare Metal et d'autres plates-formes. Notez que dans certains cas, ce problème entraîne un volume de journaux excessif.

Les proxys qui ne contiennent pas d'opérations ou qui contiennent des opérations sans correspondance HTTP renvoient un code d'erreur 404 si le chemin de la requête ne contient pas exactement un segment en plus du chemin de base. Par exemple, les requêtes adressées à /basepath échouent, mais les requêtes adressées à /basepath/user peuvent aboutir. Pour éviter cet échec, ajoutez une section Operations avec au moins un http_match à votre proxy d'API configurable.

L'utilisation d'un caractère générique (*) dans le chemin de base d'un proxy d'API configurable entraîne le transfert de chemins de requête incorrects à la cible de backend.

Pour éviter un transfert de chemin de requête incorrect, évitez d'utiliser * dans le chemin de base du proxy d'API configurable jusqu'à ce que le problème soit résolu.

Dans l'UI Apigee, vous ne pouvez pas afficher, confirmer l'état du déploiement ou gérer vos déploiements d'archive, comme décrit dans Déployer un proxy d'API, ni utiliser l'UI de débogage comme décrit dans Utiliser l'outil Debug. Pour contourner ce problème, vous pouvez utiliser gcloud ou l'API pour lister tous les déploiements d'archives dans un environnement et utiliser l'API Debug.

Le rollback d'un déploiement d'archive n'est actuellement pas disponible. Pour supprimer une version d'un déploiement d'archive, vous devez redéployer une version précédente d'une archive ou supprimer l'environnement.

L'authentification Google dans les règles ServiceCallout et ExternalCallout, comme décrit dans la page Utiliser l'authentification Google, n'est pas compatible avec Apigee dans VS Code.

Erreur d'en-tête HTTP non valide : l'entrée Istio transfère toutes les réponses cibles entrantes au protocole HTTP2. Comme le processeur de messages hybride n'accepte que le protocole HTTP1, vous pouvez rencontrer l'erreur suivante lorsqu'un proxy d'API est appelé :

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

Si cette erreur s'affiche, vous pouvez effectuer l'une des actions suivantes pour corriger le problème :

• Modifiez le service cible pour omettre l'en-tête "Host" dans la réponse.
• Si nécessaire, supprimez l'en-tête "Host" à l'aide de la règle AssignMessage dans votre proxy d'API.

• Apigee est compatible avec la spécification OpenAPI 3.0 lorsque vous publiez vos API à l'aide de SmartDocs sur votre portail, mais un sous-ensemble de fonctionnalités n'est pas encore compatible. Par exemple, les propriétés allOf pour la combinaison et l'extension des schémas.

  Si une fonctionnalité incompatible est référencée dans votre Spécification OpenAPI, il arrive que les outils ignorent la fonctionnalité, mais affichent toujours la documentation de référence de l'API. Dans d'autres cas, une fonctionnalité incompatible peut entraîner des erreurs empêchant l'affichage de la documentation de référence de l'API. Dans les deux cas, vous devez modifier votre Spécification OpenAPI afin d'éviter d'utiliser la fonctionnalité non compatible jusqu'à ce qu'elle soit prise en charge dans une version ultérieure.

• Lorsque vous utilisez cette API dans le portail, l'en-tête Accept est défini sur application/json, quelle que soit la valeur définie pour consumes dans la spécification OpenAPI.

• Pour le moment, les mises à jour simultanées du portail (telles que les modifications de pages, de thèmes, de CSS ou de scripts) par plusieurs utilisateurs ne sont pas acceptées.
• Si vous supprimez une page de documentation de référence de l'API à partir du portail, vous ne pouvez pas la recréer. Vous devrez supprimer et rajouter le produit d'API, puis générer à nouveau la documentation de référence de l'API.
• Lorsque vous personnalisez le thème de votre portail, un délai de cinq minutes peut être nécessaire pour que les modifications soient appliquées.

La recherche sera ajoutée au portail intégré dans une prochaine version.

La déconnexion unique (SLO) avec le fournisseur d'identité SAML n'est pas disponible pour les domaines personnalisés. Pour activer un domaine personnalisé avec un fournisseur d'identité SAML, laissez le champ "Sign-out URL" (URL de déconnexion) vide lorsque vous configurez les paramètres SAML.

• Les nombres de requêtes et de réponses de proxy d'API (pour les proxys et les cibles) montrent des pics anormaux.

  Voici un exemple illustrant un tel pic :

  (Agrandir l'image)

  
• En raison d'un bug, le système enregistre le nombre de manière incorrecte pour une courte période, et le nombre est corrigé. Cela se produit en cas de réduction du trafic des API (ce qui entraîne une réduction du nombre de passerelles API).
• Pour distinguer les pics réels des requêtes de ce problème, veuillez consulter la page "Analyse des API" (en particulier les pages Performances des proxys et Performances des cibles).

Métriques concernées :

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

Solution : désactivez l'agent Logging sur l'environnement hybride.

Solution : pour conserver le comportement de type "fire and forget" :

1. Ajoutez <Response>calloutResponse</Response> à l'appel de service.
2. Définissez continueOnError sur true.

Solution : évitez d'utiliser plusieurs règles SpikeArrest dans le proxy pour éviter le problème.

Dans le cas d'une clé spécifique, en cas de trafic continu, il est possible que le débit ne soit pas limité à celui mis à jour. Si aucun trafic n'est enregistré pendant cinq minutes pour une clé spécifique, le débit est pris en compte.

Solution : redéployez le proxy avec une nouvelle variable de référence si le débit doit prendre effet immédiatement. Vous pouvez également utiliser deux arrêts de pics conditionnels avec des variables de flux différentes pour ajuster le débit.

L'API Monitoring des proxys d'API configurables peut afficher le code d'erreur "(not set)" pour les réponses dont l'état n'est pas 2xx à partir de la cible.

Si un proxy définit deux valeurs io.timeout.millis ou plus dans deux flux ou plus utilisant le même hôte cible, une seule valeur io.timeout.millis est honorée.

Lors de la mise à niveau vers Apigee hybrid 1.8.x, après avoir exécuté apigeectl init et vérifié que check-ready a réussi, vous pouvez remarquer que, si vous affichez les pods, le job de validation du schéma Cassandra est en état d'erreur. Cette condition est sans conséquence ; vous pouvez passer sereinement à l'étape suivante de la procédure de mise à niveau.

Le déploiement de proxys avec le même chemin d'accès vers plusieurs environnements associés à la même instance et au même groupe d'environnements n'est pas autorisé. Un tel déploiement doit renvoyer un message d'avertissement en cas de conflit de chemin d'accès de base. Au lieu de cela, aucune erreur n'est affichée et les déploiements semblent réussir.

Solution : Lors du déploiement et après le déploiement, vérifiez qu'il n'y a pas de conflits de chemin d'accès de base avec les proxys déployés et corrigez-les si nécessaire.

Lorsque vous tentez d'enregistrer un proxy précédemment déployé, le déploiement peut échouer et renvoyer une erreur indiquant que la révision est immuable.

Solution : Cliquez sur la flèche du menu déroulant à côté du bouton Enregistrer, puis sélectionnez Enregistrer en tant que nouvelle révision. Relancez ensuite le déploiement.

Les mises à jour de l'ensemble d'algorithmes de chiffrement par défaut pris en charge par les serveurs Apigee afin d'améliorer la sécurité peuvent entraîner des erreurs Unsupported protocol pour certaines versions de TLS. Les clients qui rencontrent ces erreurs doivent examiner la liste complète des algorithmes de chiffrement compatibles avec la compilation FIPS d'Envoy.

Lorsqu'un appel est effectué vers un serveur cible gRPC, le seul trailer renvoyé est le trailer "grpc-status". Tous les autres trailers sont supprimés de la réponse.