Problemas conhecidos da Apigee

N/A

Se um usuário fornecer uma conta de serviço inválida para a API UpdateControlPlaneAccess, a operação vai entrar em um ciclo de repetições de novas tentativas, impedindo que a organização invoque a API até que a operação expire.

N/A

O apigee-logger usa contas de serviço do IAM do Google para enviar registros ao Cloud Logging. Isso ocorre devido à falta de suporte do FluentBit à federação de identidade da carga de trabalho, o que impede que o apigee-logger use esse recurso.

N/A

N/A

354716994

364872027

Nas versões 1.13 e mais recentes da Apigee e da Apigee híbrida, qualquer desvio no formato PEM necessário das chaves usadas nas políticas da Apigee JWS ou JWT pode resultar em um erro de análise. Por exemplo, colocar qualquer caractere diferente de uma nova linha (/n) imediatamente antes da linha "-----END" (limite pós-encapsulamento) não é permitido e resultará em um erro.

Para evitar esse erro, verifique se nenhum caractere, exceto uma nova linha, como espaços finais ou barras, precede imediatamente o limite pós-encapsulamento.

Para mais informações sobre a codificação usada para chaves públicas ou privadas, consulte IETF RFC 7468.

310191899

Os endpoints a seguir podem ter tempos limite quando usados com um alto volume de consultas por segundo (QPS):

• organizations.environments.apis.revisions.
  deployments.deploy
• organizations.environments.apis.revisions.
  deployments.undeploy
• organizations.environments.sharedflows.revisions.
  deployments.deploy
• organizations.environments.sharedflows.revisions.
  deployments.undeploy

Para reduzir a probabilidade de timeouts, recomendamos uma meta de três QPS ao usar esses endpoints.

329304975

A Apigee está aplicando um limite temporário de 1.000 caminhos base por ambiente para evitar possíveis falhas ao implantar revisões do proxy de API.

Enquanto esse limite estiver em vigor, você poderá implantar até 1.000 revisões de proxy de API (cada uma contendo um único caminho de base) por ambiente. Se os proxies ou as revisões da API tiverem mais de um caminho base, o número total de caminhos base por ambiente não poderá exceder 1.000.

333791378

Para consultar as etapas necessárias para instalar um patch como solução alternativa, consulte Solução de problemas.

310384001

289583112

Se a política OASValidation especificar um <OASResource> com requisitos de segurança definidos em nível global, os requisitos de segurança não serão aplicados.

Solução alternativa: para garantir a aplicação, todos os requisitos de segurança precisam ser definidos no nível da operação na especificação OpenAPI transmitida no elemento <OASResource> da política OASValidation.

205666368

Consulte Como configurar opções de TLS em um endpoint ou servidor de destino.

295929616

A instalação ou o upgrade para a Apigee híbrida 1.10.0 a 1.10.2 pode falhar no OSE devido a problemas de falta de memória. Corrigido na Apigee híbrida versão 1.10.3.

292268968

Se o firewall forçar todo o tráfego por meio de um proxy de encaminhamento, apigee-udca poderá entrar em um estado de espera do loop de falha.

269573358

• A política OASValidation falha quando o conteúdo do JSON não corresponde ao padrão previsto. Por exemplo, se um cabeçalho estiver esperando um valor no formato <text>@<text> e estiver preenchido com texto sem o símbolo @, a política falhará com um erro Unable to parse JSON.
• Se a política OASValidation especificar um <OASResource> contendo um parâmetro path que utiliza um esquema $ref, a política falhará com um erro Unable to parse JSON - Unrecognized token.

  Solução alternativa: não use $ref nos parâmetros path da especificação OpenAPI especificada no elemento <OASResource>.

299953958

• A implantação da Apigee falhará para a política de validação do OAS ao usar referências circulares para a especificação OpenAPI 3.0.0 quando ela entrar em um loop infinito.

Solução alternativa: use um yaml de especificação OpenAPI sem referências circulares.

289254725

As implantações de proxy que incluem a política de OASValidation podem falhar se:

• A especificação OpenAPI usada na validação OASValidation estiver no formato YAML.
• A especificação OpenAPI formatada em YAML contém um número flutuante. Exemplo:

  schema:
  type: number
  example: 2.345

284500460

Para evitar o aumento da latência nas respostas ao cliente, anexe a política do registro de mensagens ao PostClientFlow. Para mais informações sobre como usar políticas em PostClientFlows, consulte Como controlar proxies de API com fluxos.

282997216

Use apenas caracteres alfanuméricos para a senha do Cassandra Jolokia. O uso de caracteres especiais (incluindo, entre outros, "!", "@", "#", "$", "%", "^", "&", e "*") pode causar falha na inicialização do Cassandra.

271415351

Solicitações de implantação simultânea para um proxy de API ou SharedFlow podem resultar em um estado inconsistente no servidor de gerenciamento, em que várias revisões são mostradas como implantadas. Isso pode acontecer, por exemplo, quando execuções simultâneas de um pipeline de implantação de CI/CD ocorrem usando revisões diferentes. Para evitar esse problema, evite implantar proxies de API ou SharedFlows antes da conclusão da implantação atual.

271689008

Com o cert-manager v1.10.1 no OpenShift, versões 4.7 a 4.10, os pods do cert-manager não são iniciados conforme o esperado. Para resolver o problema, modifique a restrição da configuração de segurança conforme descrito nas notas da versão do cert-manager 1.10.

270371160

O gateway de entrada da Apigee só é compatível com TLS 1.2+, e não com versões anteriores do TLS.

269139342

A validação da organização da Apigee não segue as regras de proxy de encaminhamento de HTTP definidas em overrides.yaml. Configure validateOrg: false para pular essa validação.

266452840

Em determinados casos, os soquetes da Web não funcionam com a Apigee X e a Apigee híbrida ao usar o Anthos Service Mesh 1.15.3-asm.6.

242213234

Este erro pode ser retornado ao tentar carregar produtos de API: "Os produtos não foram carregados. Erro: não há conexões disponíveis dos agentes de conexão da Apigee".

O problema ocorre depois de ativar o VPC Service Controls no projeto do Google Cloud e adicionar iamcredentials.googleapis.com como um dos serviços restritos no perímetro de serviço.

Solução alternativa: crie manualmente uma regra de saída, como a mostrada a seguir.

-egressTo:
    operations:
    -serviceName: "iamcredentials.googleapis.com"
        methodSelectors:
        -method:
    resources:
    -projects/608305225983
  egressFrom:
    identityType: ANY_IDENTITY

247540503

Em determinadas circunstâncias em que há uma capacidade de processamento muito alta, uma disputa com pesquisa de chave de criptografia pode causar falhas de pesquisa do KVM.

258699204

Se houver problemas e o pod apigee-telemetry-app ou apigee-telemetry-proxy não for executado, altere as propriedades de solicitações e limites de recursos de metrics para que elas correspondam aos seguintes padrões em Referência da propriedade de configuração: métricas.

Aplique as alterações com apigeectl apply usando a flag ‑‑telemetry:

apigeectl apply --telemetry -f overrides.yaml

260324159

Os proxies de API e os fluxos compartilhados podem levar de 20 a 30 minutos para serem implantados no plano de ambiente de execução em determinadas circunstâncias devido a um erro de "soquete fechado" no sincronizador.

254505866

O hub do API Provisioning que usa a interface apresentará falhas se você selecionar uma região diferente da seguinte:

• asia-east1
• asia-southeast1
• europe-west1
• europe-west4
• us-central1
• us-east1
• us-west1
• us-west4

251897633

O seletor de versões da Apigee híbrida só funciona quando você seleciona ou clica diretamente no texto.

250875730

Isso deve ocorrer a cada minuto e não afeta o custo faturado.

260772383

Se você instalar a versão híbrida no AKS, poderá ver este erro:

envoy config listener '0.0.0.0_443' failed to bind or apply socket options: cannot bind '0.0.0.0:443': Permission denied

Solução alternativa: adicione a seguinte estrofe de svcAnnotations ao arquivo de substituições:

ingressGateways:
- name: INGRESS_NAME
  ...
  svcAnnotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"

Consulte Configurar o ambiente de execução híbrido. Consulte também Usar um balanceador de carga interno com o AKS.

241786534

Às vezes, ao usar UDCA com escopo de organização, o MART não consegue se conectar ao FluentD. O UDCA com escopo de organização é o padrão na Apigee híbrida versão 1.8. Consulte orgScopedUDCA na referência da propriedade de configuração.

Após a migração de apigee-logger de fluend para fluent-bit na Apigee híbrida versão 1.6.6, o logger parou de funcionar no Anthos BareMetal com o CentOS ou o RHEL.

231758700
231976420

Os usuários estão vendo o seguinte erro ao extrair imagens do Docker Hub para a Apigee híbrida: ERRO[0001] Metadata for targets expired. Isso se aplica aos seguintes componentes híbridos:

• google/apigee-authn-authz
• google/apigee-mart-server
• google/apigee-runtime
• google/apigee-synchronizer

Alternativa

Se você encontrar esse erro, adote uma das duas seguintes soluções alternativas:

• Mude para o uso de gcr.io/apigee-release a fim de extrair imagens híbridas.
• Desative o Docker Content Trust definindo a variável de ambiente DOCKER_CONTENT_TRUST como 0

As configurações apigee-logger atuais, incluindo as sondagens de atividade, são incompatíveis com o ambiente de execução do Kubernetes, o que resulta no não envio dos registros para o Cloud Logging, que era o esperado. Esse problema também faz com que os pods apigee-logger falhem regularmente. Esse problema afeta as instalações da Apigee híbrida no AKS, no Anthos Bare Metal e em outras plataformas. Em alguns casos, esse problema resulta em um volume excessivo de registros.

Os proxies que não contiverem operações ou que contiverem operações sem correspondências de HTTP retornarão um código de erro 404 se o caminho da solicitação não contiver exatamente um segmento além do caminho base. Por exemplo, as solicitações para /basepath falharão, mas as solicitações para /basepath/user poderão ser bem-sucedidas. Para evitar falhas, adicione uma seção Operations com pelo menos um http_match ao proxy de API configurável.

O uso de um caractere curinga (*) no caminho base do proxy de um proxy de API configurável resulta no encaminhamento de caminhos de solicitação incorretos para o destino de back-end.

Para evitar o encaminhamento do caminho de solicitação incorreto, evite usar * no caminho base do proxy de API configurável até que o problema seja corrigido.

Na interface da Apigee, não é possível ver, confirmar o status da implantação ou gerenciar implantações de arquivo, conforme descrito em Como implantar um proxy de API, ou usar a interface de depuração, conforme descrito em Como usar a depuração. Como solução alternativa, você pode usar o gcloud ou a API para listar todas as implantações de arquivo em um ambiente e usar a API Debug.

Não é possível reverter uma implantação de arquivo no momento. Para remover uma versão de uma implantação de arquivo, é necessário reimplantar uma versão anterior de um arquivo ou excluir o ambiente.

O Google Authentication nas políticas ServiceCallout e ExternalCallout, conforme descrito em Como usar o Google Authentication, não é compatível com a Apigee no VS Code.

Erro de cabeçalho HTTP inválido: a entrada do Istio alterna todas as respostas de destino recebidas para o protocolo HTTP2. Como o processador de mensagens híbrido é compatível apenas com HTTP1, você poderá ver o seguinte erro quando um proxy de API for chamado:

http2 error: Invalid HTTP header field was received: frame type: 1, stream: 1,

name: [:authority], value: [domain_name]

Se isso ocorrer, execute uma das seguintes ações para corrigir o problema:

• Modifique o serviço de destino para omitir o cabeçalho Host na resposta.
• Remova o cabeçalho Host usando a política AssignMessage no proxy de API, se necessário.

• A Apigee é compatível com a especificação OpenAPI 3.0 quando você publica suas APIs usando o SmartDocs no portal, embora um subconjunto de recursos ainda não seja compatível. Por exemplo, as propriedades allOf para combinar e estender esquemas.

  Se um recurso incompatível for referenciado na especificação OpenAPI, em alguns casos, as ferramentas ignorarão o recurso, mas ainda renderizarão a documentação de referência da API. Em outros casos, um recurso incompatível causará erros que impedem a renderização bem-sucedida da documentação de referência da API. Em ambos os casos, você precisará modificar a especificação OpenAPI para evitar o uso do recurso não compatível até que ele seja compatível em uma versão futura.

• Ao usar "Testar esta API no portal", o cabeçalho Accept é definido como application/json, independentemente do valor definido para consumes na especificação OpenAPI.

• No momento, não há suporte para atualizações de portal simultâneas (como edições de página, tema, CSS ou script) feitas por vários usuários.
• Se você excluir uma página da documentação de referência da API do portal, não será possível recriá-la. Será necessário excluir e adicionar novamente o produto da API e gerar a documentação de referência da API novamente.
• Ao personalizar o tema do portal, pode levar até cinco minutos para que as alterações sejam aplicadas.

A pesquisa será integrada ao portal integrado em uma versão futura.

Não é possível fazer logout único (SLO) com o provedor de identidade SAML em domínios personalizados. Para ativar um domínio personalizado com um provedor de identidade SAML, deixe o campo "URL de saída" em branco ao definir as configurações de SAML.

• As contagens de solicitações e respostas do proxy de API (para proxy e destinos) mostram picos anormais

  Veja um exemplo que mostra um pico assim:

  (ampliar imagem)

  
• Devido a um bug, o sistema registra a contagem incorretamente por um breve período, mas ela é logo corrigida. Isso acontece quando há uma redução no tráfego da API, o que resulta em uma redução de escala dos gateways da API.
• Para distinguir os picos reais de solicitações e esse problema, consulte a página de Análise de APIs (especificamente as páginas Desempenho do proxy e Desempenho desejado)

Métricas afetadas:

• apigee.googleapis.com/proxyv2/request_count
• apigee.googleapis.com/proxyv2/response_count
• apigee.googleapis.com/targetv2/request_count
• apigee.googleapis.com/targetv2/response_count

Novas métricas

É possível usar as novas métricas para evitar esse problema.

Para a Apigee híbrida, consulte: Informações gerais da coleta de métricas e Mostrar métricas.

Solução alternativa: desative o agente do Logging na versão híbrida.

Solução alternativa: para manter o comportamento de incêndio e esquecimento:

1. Adição de <Response>calloutResponse</Response> ao ServiceCallout.
2. Defina continueOnError como true.

Solução alternativa: evite usar mais de uma política SpikeArrest no proxy para evitar o problema.

Se houver tráfego contínuo para uma chave específica, ela poderá não ter uma limitação baseada na taxa atualizada. Se não houver nenhum tráfego durante cinco minutos para uma chave específica, a taxa será refletida.

Solução alternativa:implante novamente o proxy com uma nova variável de referência para que a taxa entre em vigor imediatamente. Também é possível usar duas detenções de pico condicionais com variáveis de fluxo diferentes para ajustar a taxa.

O API Monitoring de proxies de API configuráveis pode exibir um código de falha "(não definido)" para respostas do destino com um status diferente de 2xx.

Se um proxy definir dois ou mais valores io.timeout.millis em dois ou mais fluxos usando o mesmo host de destino, apenas um valor io.timeout.millis será mantido.

Durante o upgrade para a Apigee híbrida versão 1.8.x, depois de executar apigeectl init e confirmar que check-ready foi concluído, ao visualizar os pods, é possível notar que o job de validação do esquema do Cassandra está em um estado de erro. Essa é uma condição inofensiva e é possível passar para a próxima etapa sem maiores problemas no procedimento de upgrade.

Não é permitido implantar proxies com o mesmo caminho em vários ambientes anexados à mesma instância e ao mesmo grupo de ambientes e você deve retornar uma mensagem de aviso sobre um conflito de caminho base. Em vez disso, nenhum erro é exibido, e as implantações parecem ser bem-sucedidas.

Alternativa: ao implantar e após a implantação, verifique se não há conflitos de caminho base com os proxies implantados e faça as correções necessárias.

Ao tentar salvar um proxy implantado anteriormente, a implantação pode falhar com um erro informando que a revisão é imutável.

Alternativa: clique na seta suspensa ao lado do botão Salvar e selecione Salvar como novo revisão. Em seguida, tente fazer a implantação novamente.

As atualizações do conjunto padrão de criptografias compatíveis com os servidores da Apigee para melhorar a segurança podem resultar em erros Unsupported protocol em algumas versões do TLS. Os clientes que encontram esses erros precisam revisar a lista completa de criptografias compatíveis com o build FIPS do Envoy.

Quando uma chamada é feita para um servidor de destino gRPC, o único trailer retornado é o "gRPC-status". Todos os outros trailers são removidos da resposta.