Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
v2.1.1
7 czerwca 2023 r. opublikowaliśmy wersję 2.1.1 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Rozwiązaliśmy problem polegający na tym, że limity nie były dzielone na poziomie usługi, ale były niewłaściwie duplikowane między operacjami.
v2.1.0
5 czerwca 2023 r. opublikowaliśmy wersję 2.1.0 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Roszczenie
application_id
zostało dodane do odpowiedzi/verifyApiKey
.
v2.0.7
9 marca 2023 r. opublikowaliśmy wersję 2.0.7 adaptera Apigee dla Envoy.
Funkcje i ulepszenia
- Tokeny JWT mogą teraz dodać deklaracja o nazwie
customattributes
, która przekaże wartość do celu w nagłówkux-apigee-customattributes
(jeśliappend_metadata_headers
jest skonfigurowane jakotrue
).
Rozwiązane problemy
- Rozwiązaliśmy problem, który powodował, że nieprawidłowy klucz interfejsu API mógł tworzyć fałszywe wpisy logu i rekordy analityczne.
- Wycofana weryfikacja wersji została usunięta z serwera proxy, który powodował problemy w nowszych wersjach Apigee.
v2.0.6
18 października 2022 roku opublikowaliśmy wersję 2.0.6 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Wersja zabezpieczeń rozwiązująca lukę w zabezpieczeniach (DoS, Denial of Service) w bibliotece zależności. Zobacz CVE-2022-28948.
v2.0.5
3 marca 2022 roku opublikowaliśmy wersję 2.0.5 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Wersja zabezpieczeń eliminująca ryzyko DoS (DoS) w bibliotece Prometheus. Patrz: CVE-2022-21698.
v2.0.4
3 grudnia 2021 roku opublikowaliśmy wersję 2.0.4 adaptera Apigee dla Envoy.
Funkcje i ulepszenia
- Lista obsługiwanych wersji Envoy i Istio dla polecenia
samples
interfejsu wiersza poleceń została zaktualizowana. Te wersje są teraz obsługiwane w przypadku przykładów:- Envoy w wersjach od 1.18 do 1.20
- Istio w wersji od 1.10 do 1.12
Rozwiązane problemy
- Aby uniknąć paniki, dodano kontrolę nil dla wczytywania klucza prywatnego blokowania PEM. (Zadanie 360)
- Błędy autoryzacji usługi zdalnej są teraz rejestrowane na poziomie debugowania. Wyjątkiem od tej kategoryzacji są błędy pobierania tokenów dla kluczy interfejsu API. W takim przypadku błędy są rejestrowane na poziomie Błąd, aby były widoczne nawet wtedy, gdy poziom logowania debugowania
apigee-remote-service-envoy
jest wyłączony. Zobacz też Ustawianie poziomów rejestrowania usług zdalnych. (Problem nr 104)
v2.0.3
21 września 2021 roku opublikowaliśmy wersję 2.0.3 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Rozwiązaliśmy problem z logowaniem statystyk dotyczących odpowiedzi bezpośrednich. Problem wystąpił tylko w pewnych okolicznościach. Na przykład:
- W przypadku żądań, które nie wymagają kontroli uwierzytelniania/z, nie wygenerowano żadnego elementu
authContext
, a dynamiczne metadane były zerowe, przez co wpis logu dostępu był ignorowany. - W odpowiedzi na odmowę użyto kodu RPC zamiast kodu HTTP, przez co rekordy w interfejsie Apigee były wyświetlane jako udane.
- W przypadku żądań, które nie wymagają kontroli uwierzytelniania/z, nie wygenerowano żadnego elementu
v2.0.2
7 czerwca 2021 roku opublikowaliśmy wersję 2.0.2 adaptera Apigee dla Envoy.
Rozwiązane problemy
- Naprawiono warunek wyścigu, który mógł powodować błędy 403 i paniki, gdy zakresy deklaracji JWT były zerowe.
v2.0.0
We wtorek 6 kwietnia 2021 roku opublikowaliśmy wersję 2.0.0 adaptera Apigee dla Envoy.
Funkcje i ulepszenia
Funkcja | Opis |
---|---|
Obsługa środowiska wielu najemców |
Możesz teraz włączyć adapter, aby umożliwić obsługę wielu środowisk w organizacji Apigee. Ta funkcja pozwala na obsługę wielu środowisk za pomocą jednego adaptera Apigee dla Envoy powiązanego z jedną organizacją Apigee. Przed tą zmianą 1 adapter był zawsze powiązany z jednym środowiskiem Apigee. Więcej informacji na temat tej funkcji znajdziesz w artykule na temat obsługi środowiska wielu najemców. |
Obsługa interfejsu API Envoy w wersji 3 | |
Obsługa metadanych Envoy |
Envoy w wersji 1.16+ pozwala na wysyłanie metadanych Ta funkcja jest obsługiwana tylko w przypadku Envoy w wersji 1.16 lub nowszej oraz Istio 1.9 lub nowszej.
Po tej zmianie do pliku konfiguracji Envoy ( additional_request_headers_to_log: - x-apigee-accesstoken - x-apigee-api - x-apigee-apiproducts - x-apigee-application - x-apigee-clientid - x-apigee-developeremail - x-apigee-environment Jeśli chcesz dołączać nagłówki do żądań w szczególnym przypadku, ustaw właściwość |
Podziel serwer proxy remote-token z serwera proxy remote-service |
Serwer proxy usługi zdalnej został przekształcony w 2 osobne serwery proxy. Obsługa administracyjna w wersji 2.0.x spowoduje zainstalowanie 2 serwerów proxy interfejsu API: usługa-zdalna i token-zdalny. Punkty końcowe
Ta zmiana pozwala rozdzielić funkcje. Serwer proxy usługi zdalnej jest używany tylko do wewnętrznej komunikacji adaptera, a serwer proxy tokena zdalnego udostępnia przykładowy przepływ pracy OAuth, który możesz dostosować. Nigdy nie zastąpimy Twojego niestandardowego serwera proxy zdalnym tokenem, nawet jeśli używane jest polecenie |
Obsługa przechwytywania danych |
Dostępne tylko w przypadku Apigee X i Apigee hybrydowej. Adapter obsługuje teraz przekazywanie metadanych Envoy do funkcji przechwytywania danych Apigee, która wysyła do analizy Apigee dane przechwycone przez określone przez Ciebie zmienne do wykorzystania w raportach niestandardowych. |
RBAC nie jest wymagane | Jak wspomnieliśmy wcześniej w sekcji Obsługa metadanych Envoy, teraz natychmiast odrzucamy nieautoryzowane żądania bez konieczności stosowania osobnego filtra RBAC. Ponieważ RBAC nie jest używany, klienci będą teraz otrzymywać od adaptera te kody stanu HTTP:
Jeśli chcesz zezwolić na kontynuowanie nieautoryzowanych żądań, możesz ustawić |
Nagłówki x-apigee-* nie są już domyślnie dołączane |
Jak już wspomnieliśmy w sekcji Obsługa metadanych Envoy, nagłówki |
Niestandardowe dopasowywanie żądania do celu usługi zdalnej |
Semantyka właściwości konfiguracji
Aby zastąpić tę wartość nagłówka za pomocą metadanych Envoy, możesz przekazać element metadanych typed_per_filter_config: envoy.filters.http.ext_authz: "@type": type.googleapis.com/envoy.extensions.filters.http.ext_authz.v3.ExtAuthzPerRoute check_settings: context_extensions: apigee_api: httpbin.org |
Statystyki odrzuconych żądań są rejestrowane natychmiast | Adapter Envoy będzie teraz natychmiast rejestrować odrzucone żądania w Analytics w razie potrzeby, zamiast czekać na ich zwrócenie w logu dostępu. Jest to bardziej efektywne i nie wymaga dołączania do żądania żadnych metadanych. |
Obsługa UDCA została wycofana | Strumieniowe przesyłanie danych do agenta Universal Data Collection Agent (UDCA) Apigee w wersji hybrydowej Apigee nie jest już potrzebne do prowadzenia analiz, ponieważ zastąpiło tę usługę przesyłaniem bezpośrednim. Ta zmiana spowoduje usunięcie starszej wersji obsługi tej opcji. |
Dodano obsługę mTLS dla Edge for Private Cloud w poleceniach interfejsu wiersza poleceń Provisioning/bindings |
Użytkownicy Apigee Edge for Private Cloud mogą dostarczać certyfikaty TLS po stronie klienta i certyfikat główny za pomocą odpowiednio |
Obsługa mTLS między adapterem a środowiskem wykonawczym Apigee |
Certyfikaty TLS po stronie klienta możesz podać w sekcji |
Rozwiązane problemy
- Rozwiązaliśmy problem, który polegał na tym, że wiele konfiguracji operacji z tym samym źródłem interfejsu API korzystało z tych samych identyfikatorów zasobników limitów i powodowało konflikty przy obliczaniu limitów. (Wydanie #34)
- Rozwiązaliśmy problem, który powodował, że operacje bez określonych czasowników powodowały odrzucenie żądania (oczekiwane działanie to zezwolenie na wszystkie czasowniki, jeśli nie określono żadnych czasowników). (Wydanie #39)
v1.4.0
W środę 16 grudnia 2020 roku opublikowaliśmy wersję 1.4.0 adaptera Apigee dla Envoy.
Obsługiwane platformy
Publikujemy pliki binarne dla systemów macOS, Linux i Windows.
Publikujemy obrazy Dockera z rozwiązań dystrybucyjnych Google, Ubuntu i Ubuntu za pomocą Boring Crypto.
Ta wersja obsługuje następujące platformy:
- Apigee hybrydowa wersja 1.3.x, 1.4.x (oczekująca data wydania), Apigee Edge dla chmury publicznej, Apigee Edge dla Private Cloud i Apigee w Google Cloud
- Istio w wersjach 1.5, 1.6, 1.7, 1.8
- Envoy w wersjach 1.14, 1.15, 1.16
Funkcje i ulepszenia
Funkcja | Opis |
---|---|
Serwer proxy remote-service nie wymaga już powiązania z usługą API, która używa zdalnych celów usług. |
Ponieważ to powiązanie nie jest już wymagane, zwróć uwagę na te zmiany:
|
Rola administratora organizacji Apigee nie jest już wymagana do obsługi administracyjnej. |
Zamiast wymagać uprawnień administratora organizacji do obsługi administracyjnej, możesz teraz używać ról uprawnień Twórca i Wdrażający interfejs API. Aby zapewnić obsługę administracyjną, musisz przypisać obie te role.
|
Inne problemy i poprawki
- Rozwiązaliśmy problem, który powodował, że ponowne udostępnianie Apigee bez opcji
--rotate
zakończyło się błędem. - Interfejs wiersza poleceń odczytuje teraz i wykorzystuje dane logowania do konta usługi Analytics z danego pliku
config.yaml
(problem 133).
v1.3.0
W poniedziałek 23 listopada opublikowaliśmy wersję 1.3.0 adaptera Apigee dla Envoy.
Obsługiwane platformy
Publikujemy pliki binarne dla systemów macOS, Linux i Windows.
Publikujemy obrazy Dockera z rozwiązań dystrybucyjnych Google, Ubuntu i Ubuntu za pomocą Boring Crypto.
Ta wersja obsługuje następujące platformy:
- Apigee hybrydowa wersja 1.3.x, 1.4.x (oczekująca data wydania), Apigee Edge dla chmury publicznej, Apigee Edge dla Private Cloud i Apigee w Google Cloud
- Istio w wersjach 1.5, 1.6, 1.7, 1.8
- Envoy w wersjach 1.14, 1.15, 1.16
Funkcje i ulepszenia
Funkcja | Opis |
---|---|
Obsługa grup operacji związanych z usługami API. | OperationGroups łączą zasoby i powiązane egzekwowanie limitów na serwerze proxy lub w usłudze zdalnej za pomocą metod HTTP.
(Dotyczy tylko Apigee w Google Cloud i Apigee w wersji hybrydowej) |
Usuń obsługę dynamicznego serwera proxy przekierowania z generowania przykładów. | Ze względu na tę zmianę klienci muszą zawierać nagłówek HOST , jeśli nazwa hosta różni się od hosta celu usługi zdalnej określonego w interfejsie API. Na przykład: curl -i http://localhost:8080/httpbin/headers -H "HOST:httpbin.org" Zobacz Tworzenie usługi API. |
Obsługa kont usługi i Workload Identity. | Aby umożliwić przesyłanie danych analitycznych do Apigee podczas uruchamiania adaptera poza klastrem hybrydowym Apigee, musisz użyć parametru analytics-sa w poleceniu apigee-remote-service-cli provision . Dodatkowo adapter obsługuje teraz Workload Identity w Google Kubernetes Engine (GKE). Zobacz Polecenie obsługi administracyjnej.
(Dotyczy tylko Apigee w Google Cloud i Apigee w wersji hybrydowej) |
Nowy atrybut konfiguracji jwt_provider_key . |
Ten klucz jest dodawany do pliku konfiguracyjnego.
Reprezentuje klucz payload_in_metadata dostawcy JWT w konfiguracji Envoy lub wydawcę tokena JWT RequestAuth w konfiguracji Istio. |
Atrybut konfiguracji KeepAliveMaxConnectionAge przyjmuje teraz domyślnie 1 minutę. |
Poprzednia wartość domyślna to 10 minut. Ta zmiana umożliwia płynniejsze skalowanie. Ta wartość jest też używana przez czas trwania strumienia logów dostępu. Zobacz plik konfiguracyjny. |
Usunięto polecenia interfejsu wiersza poleceń. | Poniższe polecenia interfejsu wiersza poleceń zostały wycofane. Zamiast tego zalecamy używanie interfejsów API Edge do aktualizowania zdalnych celów usług dla usług API:
|
Dodano nowe polecenie interfejsu wiersza poleceń. | Polecenie: apigee-remote-service-cli samples templates zawiera listę dostępnych opcji, których możesz używać z flagą |
Zmieniono dotychczasowe polecenie interfejsu wiersza poleceń. | Wprowadzono zmianę w poleceniu apigee-remote-service-cli samples create . Flagi specyficzne dla szablonów Envoy lub Istio są ściśle sprawdzane, a w przypadku nieprawidłowo użytych flag zwracane są błędy. Opcja native szablonu została wycofana. Aby wyświetlić listę dostępnych szablonów, użyj polecenia apigee-remote-service-cli samples templates .
Zobacz też dokumentację interfejsu wiersza poleceń.
|
Odpowiedź punktu końcowego /token jest teraz zgodna ze specyfikacją OAuth2. |
Do odpowiedzi dodano parametr access_token , a parametr token został wycofany. |
v1.2.0
W środę 30 września opublikowaliśmy wersję 1.2.0 adaptera Apigee dla Envoy.
Obsługiwane platformy
Publikujemy pliki binarne dla systemów macOS, Linux i Windows.
Publikujemy obrazy Dockera z rozwiązań dystrybucyjnych Google, Ubuntu i Ubuntu za pomocą Boring Crypto.
Ta wersja obsługuje następujące platformy:
- Hybrydowa wersja Apigee 1.3.x
- Istio w wersjach 1.5, 1.6, 1.7
- Envoy w wersjach 1.14, 1.15
Funkcje i ulepszenia
Funkcja | Opis |
---|---|
Obsługa Apigee w Google Cloud | Teraz możesz używać adaptera Apigee dla Envoy z Apigee w Google Cloud. Możesz uruchomić adapter we własnym klastrze lub przez uruchomienie usługi zdalnej dla Envoy jako natywnego pliku binarnego lub kontenera. Udostępnij adapter w Apigee za pomocą polecenia obsługi. |
Bezpośrednie przesyłanie danych analitycznych | Możesz teraz skonfigurować adapter Apigee tak, aby przesyłał dane analityczne bezpośrednio do Apigee. Jeśli korzystasz z Apigee hybrydowej, ta nowa funkcja umożliwia wdrożenie adaptera we własnym klastrze Kubernetes poza klastrem, w którym zainstalowano Apigee hybrydowy. Aby włączyć przesyłanie bezpośrednie, użyj nowej flagi --analytics-sa w poleceniu provision .
Zobacz polecenie obsługi administracyjnej.
|
Kontrola stanu zwraca stan „Gotowe” po wczytaniu danych produktów do interfejsu API z Apigee | Kontrola stanu Kubernetes nie zwróci stanu „Gotowe”, dopóki nie zostaną wczytane dane usług interfejsu API z Apigee. Ta zmiana ułatwia skalowanie i uaktualnianie, ponieważ do nowo utworzonego adaptera nie będzie kierowany ruch, dopóki nie będzie on gotowy. |
Inne problemy i poprawki
- Rozwiązaliśmy problem, który powodował potencjalne zakleszczenie synchronizacji limitów (problem nr 17).
- Adnotacje Prometheus zostały przeniesione do specyfikacji poda (Problem nr 69).
- Rozwiązaliśmy problem, aby usunąć nieprawidłowo wyświetlone błędy weryfikacji (problem nr 62).
v1.1.0
W środę 26 sierpnia opublikowaliśmy wersję 1.1.0 adaptera Apigee dla Envoy.
Obsługiwane platformy
Publikujemy pliki binarne dla systemów macOS, Linux i Windows.
Publikujemy obrazy Dockera z rozwiązań dystrybucyjnych Google, Ubuntu i Ubuntu za pomocą Boring Crypto.
Wersja 1.1.0 obsługuje następujące platformy:
- Apigee hybrydowa wersja 1.3
- Istio w wersjach 1.5, 1.6, 1.7
- Envoy w wersjach 1.14, 1.15
Funkcje i ulepszenia
Funkcja | Opis |
---|---|
Zweryfikuj powiązania | Do interfejsu wiersza poleceń dodano nowe polecenie apigee-remote-service-cli bindings verify . To polecenie pozwala sprawdzić, czy określona powiązana usługa API i powiązane z nią aplikacje dewelopera są też powiązane z usługą zdalną. Zapoznaj się z informacjami o weryfikowaniu wiązania. |
Wygeneruj próbki | Do interfejsu wiersza poleceń dodano nowe polecenie apigee-remote-service-cli samples create . To polecenie tworzy przykładowe pliki konfiguracji dla natywnych wdrożeń Envoy lub Istio. Pliki konfiguracji wygenerowane za pomocą tego polecenia zastępują przykładowe pliki, które zostały zainstalowane przy użyciu adaptera dla Envoy w poprzednich wersjach. Zapoznaj się z poleceniem Samples. |
Uwierzytelnianie OAuth2 | Adapter korzysta teraz z uwierzytelniania OAuth2, gdy dla Apigee Edge włączone jest uwierzytelnianie wielopoziomowe (MFA). Używaj flagi --mfa za każdym razem, gdy używasz flagi --legacy . |
Kontener bezdystansowy | Jako domyślną bazę obrazu Dockera adapter używa teraz obrazu niepełnego Google (gcr.io/distroless/base ) zamiast scratch . |
Inne problemy i poprawki
- Rozwiązaliśmy problem interfejsu wiersza poleceń w interfejsie OPDK z poleceniami powiązań. (#29)
- Limit może zawiesić się w przypadku utraty połączenia (apigee/apigee-remote-service-envoy. (#31)
- Obrazy Dockera są teraz tworzone z użytkownikiem innym niż root (999).
- Przykłady Kubernetes wymuszają na użytkownikach korzystanie z poziomu konta root.
- Element
--http1.1
nie jest już potrzebny w przypadku poleceń curl w punktach końcowych serwera proxy. Flaga została usunięta z przykładów.
v1.0.0
W piątek 31 lipca opublikowaliśmy wersję GA adaptera Apigee dla Envoy.
Obsługiwane platformy
Publikujemy pliki binarne dla systemów macOS, Linux i Windows.
Publikujemy obrazy Dockera od zera oraz Ubuntu i Ubuntu za pomocą Boring Crypto.
Wersja 1.0.0 obsługuje następujące platformy:
- Apigee hybrydowa wersja 1.3
- Istio w wersjach 1.5, 1.6
- Envoy w wersjach 1.14, 1.15
Dodatki i zmiany
Między wersją 1.0 i beta4 a dostępem do GA wprowadziliśmy następujące zmiany w adapterze:
nudne kompilacje
Dostępna jest nowa kompilacja, która korzysta z bibliotek Go BoringSSL zgodnych z FIPS.
- Zmiany flag na poziomie logu
Flagi poziomu logowania usługi apigee-remote-service-envoy zostały zmienione, aby zapewnić spójność:
Stara flaga Nowa flaga log_level
log-level
json_log
json-log
- Nowe flagi interfejsu wiersza poleceń
Do poleceń
token
interfejsu wiersza poleceń dodano nowe flagi:Flaga Opis --legacy
Ustaw tę flagę, jeśli korzystasz z Apigee Edge Cloud. --opdk
Ustaw tę flagę, jeśli używasz Apigee Edge dla chmury prywatnej.