כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של
Apigee X. מידע
v2.1.1
ב-7 ביוני 2023 השקנו את גרסה 2.1.1 של Apigee Adapter ל-Envoy.
הבעיות שתוקנו
- תוקנה בעיה שבה המכסות שוכפלו באופן שגוי בין פעולות במקום שהמכסות שותפו ברמת המוצר.
v2.1.0
ב-5 ביוני 2023 השקנו את גרסה 2.1.0 של Apigee Adapter ל-Envoy.
הבעיות שתוקנו
- התלונה
application_id
נוספה לתשובה של/verifyApiKey
.
v2.0.7
ב-9 במרץ 2023 השקנו את גרסה 2.0.7 של Apigee Adapter ל-Envoy.
תכונות ושיפורים
- אסימוני JWT יכולים עכשיו להוסיף הצהרה בשם
customattributes
שתעביר את הערך ליעד בכותרת שנקראתx-apigee-customattributes
(אםappend_metadata_headers
מוגדר לערךtrue
).
הבעיות שתוקנו
- תוקנה בעיה שבה מפתח API לא חוקי גרם ליצירת רשומות יומן מזויפות ורשומות ניתוח נתונים.
- בדיקת גרסאות שהוצאה משימוש הוסרה בשרת proxy שגרמה לבעיות בגרסאות חדשות יותר של Apigee.
v2.0.6
השקנו את גרסה 2.0.6 של Apigee Adapter ל-Envoy ב-18 באוקטובר 2022.
הבעיות שתוקנו
- גרסת אבטחה לטיפול בנקודת חולשה של התקפת מניעת שירות (DoS) בספריית תלות. עיינו ב-CVE-2022-28948.
v2.0.5
השקנו את גרסה 2.0.5 של Apigee Adapter ל-Envoy ב-3 במרץ 2022.
הבעיות שתוקנו
- גרסת אבטחה לטיפול בסיכון של התקפת מניעת שירות (DoS) בספריית פרומתאוס. למידע נוסף: CVE-2022-21698.
v2.0.4
ב-3 בדצמבר 2021 השקנו את גרסה 2.0.4 של Apigee Adapter ל-Envoy.
תכונות ושיפורים
- עודכנה רשימת הגרסאות הנתמכות של Envoy ו-Istio לפקודה
samples
של ה-CLI. הגרסאות האלה נתמכות עכשיו על דוגמאות:- Envoy גרסאות 1.18 עד 1.20
- Istio גרסאות 1.10 עד 1.12
הבעיות שתוקנו
- נוספה בדיקה אפסית כדי לטעון את המפתח הפרטי החסום PEM כדי להימנע מפאניקה. (גיליון מס' 360)
- שגיאות הרשאה לשירות מרוחק מתועדות כעת ברמת ניפוי הבאגים. חריגה מהסיווג הזה
כוללת שגיאות באחזור אסימונים למפתחות API. במקרה כזה, השגיאות נרשמות ברמת השגיאה,
כך שהן גלויות גם אם רמת יומן ניפוי הבאגים עבור
apigee-remote-service-envoy
מושבתת. למידע נוסף, אפשר לקרוא את המאמר הגדרת רמות של יומן שירות מרחוק. (גיליון מס' 104)
v2.0.3
ב-21 בספטמבר 2021 השקנו את גרסה 2.0.3 של Apigee Adapter ל-Envoy.
הבעיות שתוקנו
- תוקנה בעיה ברישום ביומן של Analytics ביחס לתגובות ישירות. הבעיה התרחשה רק בנסיבות מסוימות. למשל:
- לבקשות שלא מחייבות בדיקת authn/z, לא נוצרו
authContext
והמטא-נתונים הדינמיים היו אפסיים, ולכן המערכת התעלמה מרשומת יומן הגישה. - בתגובה שנדחתה נעשה שימוש בקוד RPC במקום בקוד HTTP, וכתוצאה מכך הרשומות הוצגו בממשק המשתמש של Apigee.
- לבקשות שלא מחייבות בדיקת authn/z, לא נוצרו
v2.0.2
ב-7 ביוני 2021 השקנו את גרסה 2.0.2 של Apigee Adapter ל-Envoy.
הבעיות שתוקנו
- תיקנו תנאי מרוץ שהיה יכול לגרום לשגיאות 403 ולהבהיל כשהיקף הטענות של JWT היה אפס.
v2.0.0
השקנו את גרסה 2.0.0 של Apigee Adapter ל-Envoy ביום שלישי, 6 באפריל 2021.
תכונות ושיפורים
התכונה | תיאור |
---|---|
תמיכה בסביבה מרובת דיירים (multi-tenant) |
עכשיו אפשר להפעיל את המתאם כדי לתת שירות לסביבות מרובות בארגון Apigee. התכונה הזו מאפשרת להשתמש במתאם Apigee אחד ל-Envoy שמשויך לארגון Apigee אחד, כדי לספק שירות בסביבות מרובות. לפני השינוי הזה, מתאם אחד תמיד היה מקושר לסביבת Apigee אחת. למידע נוסף על התכונה הזו, קראו את המאמר תמיכה בסביבה מרובת דיירים (multi-tenant). |
תמיכה ב-Envoy v3 API | |
תמיכה במטא-נתונים של Envoy |
Envoy 1.16 ואילך מאפשר
לשלוח מטא-נתונים של התכונה הזו נתמכת רק ב-Envoy 1.16 ואילך וב-Istio 1.9 ואילך.
לאחר השינוי, התצורה הבאה לא תתווסף יותר לקובץ התצורה של Envoy ( additional_request_headers_to_log: - x-apigee-accesstoken - x-apigee-api - x-apigee-apiproducts - x-apigee-application - x-apigee-clientid - x-apigee-developeremail - x-apigee-environment אם תרצו לצרף כותרות לבקשות למקרה מיוחד, הגדירו את המאפיין
|
פיצול שרת ה-proxy remote-token משרת ה-proxy remote-service |
שרת ה-proxy של השירות המרוחק פוענח מחדש לשני שרתי proxy נפרדים. בהקצאת ההרשאות לגרסה v2.0.x, יותקנו שני שרתי proxy של API: שירות מרוחק ואסימון מרחוק. נקודות הקצה
השינוי הזה יוצר הפרדה מועילה בין פונקציות. מעכשיו, שרת ה-proxy של השירות המרוחק
משמש רק לתקשורת במתאם פנימי, ושרת ה-Proxy עם האסימון מרחוק
מספק תהליך עבודה של OAuth לדוגמה שאפשר להתאים אישית. אף פעם לא נחליף את
שרת ה-Proxy המותאם אישית האסימון מרוחק שלך, גם אם נעשה שימוש בפקודה |
תמיכה בקליטת נתונים |
האפשרות הזו זמינה רק לאפליקציות היברידיות Apigee X ו-Apigee. המתאם תומך עכשיו בהעברת מטא-נתונים מ-Envoy לתכונה 'לכידת נתונים' של Apigee. תכונה זו שולחת נתונים שתועדו במשתנים שציינת אל ניתוח הנתונים של Apigee לשימוש בדוחות מותאמים אישית. |
לא נדרש RBAC | כפי שצוין קודם לכן בקטע תמיכה במטא-נתונים של Envoy, אנחנו דוחים עכשיו בקשות לא מורשות באופן מיידי, בלי צורך במסנן RBAC נפרד. מאחר שלא נעשה שימוש ב-RBAC, הלקוחות יקבלו מעכשיו את קודי המצב של HTTP האלה בהתאם לצורך מהמתאם:
כדי לאפשר המשך של בקשות לא מורשות, אפשר להגדיר
|
כברירת מחדל, x-apigee-* כותרות לא מתווספות יותר |
כפי שצוין קודם בקטע תמיכה במטא-נתונים של Envoy, כברירת מחדל, כותרות |
התאמה אישית של בקשה ליעד שירות מרוחק |
הסמנטיקה של מאפיין התצורה
כדי לשנות את ערך הכותרת באמצעות מטא-נתונים של Envoy, אפשר להעביר את רכיב המטא-נתונים typed_per_filter_config: envoy.filters.http.ext_authz: "@type": type.googleapis.com/envoy.extensions.filters.http.ext_authz.v3.ExtAuthzPerRoute check_settings: context_extensions: apigee_api: httpbin.org |
נתוני Analytics לבקשות שנדחו מתועדים באופן מיידי | מעכשיו, Envoy Adapter ירשום מיד בקשות שנדחו ל-Analytics ביומן בהתאם לצורך, במקום להמתין עד שהבקשה תחזור ביומן הגישה. השיטה הזו יעילה יותר ואין צורך לצרף מטא-נתונים לבקשה. |
התמיכה ב-UDCA הוסרה | כבר אין צורך בסטרימינג לסוכן איסוף הנתונים האוניברסלי (UDCA) של Apigee ב-Apigee וב-Apigee X כדי לבצע ניתוח נתונים, מאחר והוחלפה בהעלאה ישירה. השינוי הזה רק מבטל את התמיכה הקודמת באפשרות הזו. |
נוספה תמיכה ב-mTLS ב-Edge for Private Cloud בפקודות של ה-CLI להקצאה/לקישור |
Apigee Edge למשתמשי ענן פרטי יכולים לספק אישורי TLS (אבטחת שכבת התעבורה) בצד הלקוח ואישור בסיס דרך |
תמיכה ב-mTLS בין המתאם לבין זמן הריצה של Apigee |
כדי להשתמש ב-mTLS בין המתאם לבין זמן הריצה של Apigee, אפשר לספק אישורי TLS בצד הלקוח בקטע |
הבעיות שתוקנו
- תוקנה בעיה שבה מספר הגדרות של פעולות עם אותו מקור API שיתפו את אותם מזהים של קטגוריית מכסה, וגרמה להתנגשויות בחישוב המכסה. (גיליון #34)
- תוקנה בעיה שבה פעולות ללא פעלים לא צוינו גרמו לבקשה להידחות (התנהגות צפויה היא לאפשר את כל הפעלים אם לא צוין אף אחד מהם). (גיליון #39)
v1.4.0
ביום רביעי, 16 בדצמבר 2020, השקנו את גרסה 1.4.0 של Apigee Adapter ל-Envoy.
פלטפורמות נתמכות
אנחנו מפרסמים קבצים בינאריים ל-MacOS, ל-Linux ול-Windows.
אנחנו מפרסמים תמונות אביזר עגינה מה-Ubuntu, ה-Ubuntu ו-Ubuntu של Google עם Boring Crypto.
בגרסה הזו אנחנו תומכים בפלטפורמות הבאות:
- Apigee Edge בגרסה 1.3.x, 1.4.x (בהמתנה לתאריך הפרסום), Apigee Edge לענן ציבורי, Apigee Edge לענן פרטי ו-Apigee ב-Google Cloud
- Istio גרסאות 1.5, 1.6, 1.7, 1.8
- Envoy גרסאות 1.14, 1.15, 1.16
תכונות ושיפורים
התכונה | תיאור |
---|---|
שרת ה-proxy remote-service כבר לא דורש שיוך למוצר API שמשתמש ביעדים של שירות מרוחק. |
מאחר שהשיוך הזה לא נדרש יותר, כדאי לשים לב לשינויים הבאים:
|
התפקיד 'אדמין ארגוני' ב-Apigee לא נדרש יותר לצורך ניהול התצורה. |
במקום לדרוש הרשאת אדמין בארגון להקצאת ההרשאות, מעכשיו אפשר להשתמש
במקום זאת ב-API 'Creator API' ו'פריסה' ב-IAM. כדי להקצות את ההרשאות צריך להקצות את שני התפקידים
האלה.
|
בעיות ותיקונים אחרים
- תוקנה בעיה שבה ניהול ההקצאות מחדש ב-Apigee ללא האפשרות
--rotate
יצא משגיאה. - ה-CLI להקצאת משתמשים קורא עכשיו את פרטי הכניסה לחשבון השירות של Analytics
ושימוש חוזר בהם מקובץ
config.yaml
נתון (בעיה מס' 133).
v1.3.0
ביום שני, 23 בנובמבר, פרסמנו את גרסה 1.3.0 של Apigee Adapter ל-Envoy.
פלטפורמות נתמכות
אנחנו מפרסמים קבצים בינאריים ל-MacOS, ל-Linux ול-Windows.
אנחנו מפרסמים תמונות אביזר עגינה מה-Ubuntu, ה-Ubuntu ו-Ubuntu של Google עם Boring Crypto.
בגרסה הזו אנחנו תומכים בפלטפורמות הבאות:
- Apigee Edge בגרסה 1.3.x, 1.4.x (בהמתנה לתאריך הפרסום), Apigee Edge לענן ציבורי, Apigee Edge לענן פרטי ו-Apigee ב-Google Cloud
- Istio גרסאות 1.5, 1.6, 1.7, 1.8
- Envoy גרסאות 1.14, 1.15, 1.16
תכונות ושיפורים
התכונה | תיאור |
---|---|
תמיכה ב-ActionGroups של מוצרי API. | השירות ActionGroups מאפשר לקשר את המשאבים ואת אכיפת המכסה המשויכת לשרת proxy או לשירות מרוחק באמצעות שיטות HTTP.
(רלוונטי ל-Apigee בלבד ב-Google Cloud וב-Apigee היברידי) |
הסרת התמיכה בשרת Proxy דינמי להעברה מיצירת דגימות. | בעקבות השינוי הזה, לקוחות חייבים לכלול את הכותרת HOST אם שם המארח שונה ממארח היעד של השירות המרוחק שמוגדר במוצר ה-API. לדוגמה:
curl -i http://localhost:8080/httpbin/headers -H "HOST:httpbin.org" מידע נוסף זמין בקטע יצירה של מוצר API. |
לתמיכה בחשבונות שירות וב-Workload Identity. | כדי לאפשר את ההעלאה של נתוני ניתוח אל Apigee כשמריצים את המתאם מחוץ לאשכול Apigee היברידי, צריך להשתמש בפרמטר analytics-sa עם הפקודה apigee-remote-service-cli provision . בנוסף, המתאם תומך עכשיו ב-Workload Identity ב-Google Kubernetes Engine (GKE). מידע נוסף זמין בפקודה על ניהול תצורה.
(רלוונטי ל-Apigee בלבד ב-Google Cloud וב-Apigee היברידי) |
מאפיין הגדרה חדש של jwt_provider_key . |
המפתח הזה יתווסף לקובץ התצורה.
הוא מייצג את מפתח payload_in_metadata של ספק ה-JWT ב-Envoy config או את מנפיק ה-JWT של RequestAuthentication ב-Istio config. |
ברירת המחדל של מאפיין ההגדרה KeepAliveMaxConnectionAge
היא עכשיו דקה אחת. |
ברירת המחדל הקודמת הייתה 10 דקות. השינוי הזה מאפשר התאמה לעומס (scaling) בצורה חלקה יותר. הערך הזה משמש גם לכל משך החיים של הסטרימינג ביומן הגישה. ראו קובץ תצורה. |
פקודות ה-CLI הוסרו. | פקודות ה-CLI הבאות הוצאו משימוש. במקום זאת, מומלץ להשתמש
ב-Edge APIs
כדי לעדכן את יעדי השירות המרוחקים למוצרי API:
|
נוספה פקודת CLI חדשה. | הפקודה:
apigee-remote-service-cli samples templates רשימת האפשרויות הזמינות שאפשר להשתמש בהן עם הדגל |
שיניתם פקודת CLI קיימת. | בוצע שינוי בפקודה apigee-remote-service-cli samples create . סימונים ספציפיים לתבניות Envoy או Istio נבדקים בקפידה, ושגיאות מוחזרות בדגלים שנעשה בהם שימוש שגוי. אפשרות התבנית native
הוצאה משימוש. כדי לקבל רשימה של תבניות זמינות, משתמשים בפקודה apigee-remote-service-cli samples templates .
כדאי לעיין גם בחומר העזר בנושא CLI.
|
התגובה של נקודת הקצה /token בהתאם למפרט OAuth2. |
הפרמטר access_token נוסף לתשובה, והפרמטר token הוצא משימוש. |
v1.2.0
ביום רביעי, 30 בספטמבר, השקנו את גרסה 1.2.0 של Apigee Adapter ל-Envoy.
פלטפורמות נתמכות
אנחנו מפרסמים קבצים בינאריים ל-MacOS, ל-Linux ול-Windows.
אנחנו מפרסמים תמונות אביזר עגינה מה-Ubuntu, ה-Ubuntu ו-Ubuntu של Google עם Boring Crypto.
בגרסה הזו אנחנו תומכים בפלטפורמות הבאות:
- Apigee היברידי גרסה 1.3.x
- Istio גרסאות 1.5, 1.6, 1.7
- Envoy גרסאות 1.14, 1.15
תכונות ושיפורים
התכונה | תיאור |
---|---|
תמיכה ב-Apigee ב-Google Cloud | עכשיו אפשר להשתמש ב-Apigee Adapter ל-Envoy עם Apigee ב-Google Cloud. אפשר להריץ את המתאם באשכול משלו או על ידי הרצת השירות המרוחק ל-Envoy כקובץ בינארי מקורי או בקונטיינר. מקצים את המתאם ל-Apigee באמצעות פקודת ההקצאות. |
העלאה ישירה לצורך ניתוח נתונים | עכשיו אפשר להגדיר את Apigee Adapter כדי להעלות נתוני ניתוח ישירות ל-Apigee. בשימוש ב-Apigee היברידי, התכונה החדשה הזו מאפשרת לפרוס את המתאם באשכול Kubernetes משלו, מחוץ לאשכול שבו מותקן Apigee hybrid. כדי להפעיל העלאה ישירה, משתמשים בדגל --analytics-sa החדש באמצעות הפקודה provision .
כדאי לעיין בפקודה לניהול הקצאות.
|
בדיקת התקינות מחזירה את הסטטוס 'מוכן' אחרי שנתוני המוצר של ה-API נטענים מ-Apigee | בדיקת התקינות של Kubernetes לא תחזיר את הכיתוב Ready (מוכן) עד שנתוני המוצר של ה-API ייטענו מ-Apigee. השינוי הזה עוזר להתאמה ולשדרוג, כי לא תישלח תעבורת נתונים למתאם החדש שנוצר עד שהוא יהיה מוכן. |
בעיות ותיקונים אחרים
- תוקנה בעיה שגרמה לתקלה בחסימת סנכרון פוטנציאלית של מכסה (גיליון #17).
- הערות Prometheus הועברו למפרט ה-pod (גיליון מס' 69).
- תוקנה בעיה שגרמה לשגיאות אימות שנפלטו באופן שגוי (בעיה מס' 62).
v1.1.0
ביום רביעי, 26 באוגוסט, פרסמנו את גרסה 1.1.0 של Apigee Adapter ל-Envoy.
פלטפורמות נתמכות
אנחנו מפרסמים קבצים בינאריים ל-MacOS, ל-Linux ול-Windows.
אנחנו מפרסמים תמונות אביזר עגינה מה-Ubuntu, ה-Ubuntu ו-Ubuntu של Google עם Boring Crypto.
בגרסה 1.1.0, אנחנו תומכים בפלטפורמות הבאות:
- גרסה 1.3 של Apigee היברידי
- Istio גרסאות 1.5, 1.6, 1.7
- Envoy גרסאות 1.14, 1.15
תכונות ושיפורים
התכונה | תיאור |
---|---|
אימות קישורים | פקודה חדשה apigee-remote-service-cli bindings verify נוספה ל-CLI. הפקודה הזו מאמתת שלמוצר ה-API המאוגד שצוין ולאפליקציות הפיתוח שמשויכות אליו משויך גם מוצר שירות מרחוק. למידע נוסף, ראו אימות הקישור. |
יצירת דוגמאות | פקודה חדשה apigee-remote-service-cli samples create נוספה ל-CLI. הפקודה הזו יוצרת קובצי תצורה לדוגמה עבור פריסות מקוריות של Envoy או Istio. קובצי התצורה שנוצרים באמצעות הפקודה הזו מחליפים את הקבצים לדוגמה שהותקנו באמצעות המתאם ל-Envoy בגרסאות קודמות. למידע נוסף, ראו הפקודה 'טעימות'. |
אימות OAuth2 | המתאם משתמש עכשיו באימות OAuth2 כאשר אימות רב-גורמי (MFA) מופעל עבור Apigee Edge. מומלץ להשתמש בדגל --mfa בכל פעם שמשתמשים בדגל --legacy . |
מאגר ללא הפרעות | המתאם משתמש עכשיו בתמונה חסרת המרחק (gcr.io/distroless/base ) של Google במקום
ב-scratch לבסיס תמונת Docker המוגדר כברירת מחדל. |
בעיות ותיקונים אחרים
- תוקנה בעיה ב-CLI של פקודות קישורים ב-OPDK. (#29)
- המכסה עלולה להיתקע כשהחיבור מתנתק (apigee/apigee-remote-service-envoy. (#31)
- תמונות Docker מבוססות עכשיו על גרסה לא בסיסית (999).
- בדוגמאות של Kubernetes אוכף המשתמש לא יכול להיות בסיס.
- לא צריך יותר את
--http1.1
לפקודות curl על נקודות קצה של שרת proxy. הדגל הוסר מהדוגמאות.
v1.0.0
ביום שישי, 31 ביולי, השקנו את גרסת GA של Apigee Adapter ל-Envoy.
פלטפורמות נתמכות
אנחנו מפרסמים קבצים בינאריים ל-MacOS, ל-Linux ול-Windows.
אנחנו מפרסמים תמונות Docker מאפס, או Ubuntu ו-Ubuntu עם Boring Crypto.
בגרסה 1.0.0, אנחנו תומכים בפלטפורמות הבאות:
- גרסה 1.3 של Apigee היברידי
- Istio גרסאות 1.5, 1.6
- Envoy גרסאות 1.14, 1.15
הוספות ושינויים
בין מהדורת v1.0-beta4 לבין GA, בוצעו התוספות הבאות במתאם:
גרסאות build של Go Boring
יש גרסת build חדשה שמשתמשת בספריות Go BoringSSL שתואמות ל-FIPS.
- שינויים בדגל ברמת היומן
הסימונים של רמות הרישום ביומן עבור שירות apigee-remote-service-envoy השתנו כדי לשמור על עקביות:
דגל ישן סימון חדש log_level
log-level
json_log
json-log
- סימונים חדשים ל-CLI
נוספו סימונים חדשים לפקודות
token
של ה-CLI:דגל תיאור --legacy
יש להגדיר את הדגל הזה אם משתמשים ב-Apigee Edge Cloud. --opdk
יש להגדיר את הסימון הזה אם משתמשים ב-Apigee Edge לענן פרטי.