Apigee Adapter for Envoy sürüm notları

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

v2.1.1

7 Haziran 2023'te Apigee Adapter for Envoy'un 2.1.1 sürümünü yayınladık.

Düzeltilen sorunlar

  • Kotaların işlemler arasında uygun olmayan şekilde yinelenmesine neden olan bir sorun düzeltildi. elde edebiliyorlar.

v2.1.0

5 Haziran 2023'te Apigee Adapter for Envoy'un 2.1.0 sürümünü yayınladık.

Düzeltilen sorunlar

  • application_id hak talebi, /verifyApiKey yanıtına eklendi.

v2.0.7

9 Mart 2023'te Apigee Adapter for Envoy'un 2.0.7 sürümünü yayınladık.

Özellikler ve iyileştirmeler

  • JWT'ler artık değeri iletecek customattributes adlı bir talep ekleyebilir üzerinde x-apigee-customattributes adlı bir üstbilgide (eğer append_metadata_headers, true olarak yapılandırıldı).

Düzeltilen sorunlar

  • Geçersiz bir API anahtarının sahte günlük girişleri ve analizler oluşturabileceği bir sorun düzeltildi. kayıtları.
  • Kullanımdan kaldırılmış bir sürüm kontrolü, Apigee.

v2.0.6

18 Ekim 2022'de Apigee Adapter for Envoy'un 2.0.6 sürümünü yayınladık.

Düzeltilen sorunlar

  • Bağımlılık kitaplığındaki Hizmet Reddi (DoS) güvenlik açığını gideren güvenlik sürümü. CVE-2022-28948 sayfasına göz atın.

v2.0.5

3 Mart 2022'de Apigee Adapter for Envoy'un 2.0.5 sürümünü yayınladık.

Düzeltilen sorunlar

  • prometheus kitaplığındaki Hizmet Reddi (DoS) riskini gidermek için güvenlik sürümü. CVE-2022-21698 sayfasına göz atın.

v2.0.4

3 Aralık 2021'de Apigee Adapter for Envoy'un 2.0.4 sürümünü yayınladık.

Özellikler ve iyileştirmeler

  • CLI samples komutu için desteklenen Envoy ve Istio sürümlerinin listesi güncellendi. Şu sürümler artık örnekler için desteklenmektedir:
    • Envoy 1.18 - 1.20 sürümleri
    • Istio 1.10 ila 1.12 sürümleri

Düzeltilen sorunlar

  • Panik yaşanmaması amacıyla PEM blok özel anahtarı yükleme için bir boş kontrol eklendi. (Sorun No. 360)
  • Uzak hizmet yetkilendirme hataları artık Hata Ayıklama düzeyinde günlüğe kaydedilmektedir. Bu sınıflandırma için bir istisna API anahtarları için jeton getirme hataları için tasarlanmıştır. Bu durumda, hatalar Hata bölümüne kaydedilir apigee-remote-service-envoy için Hata Ayıklama günlük düzeyi devre dışı bırakılmış olsa bile görünür olacak şekilde ayarlayın. Ayrıca, Uzak hizmet günlüğü düzeylerini ayarlama başlıklı makaleye de göz atın. (Sorun No. 104)

v2.0.3

21 Eylül 2021'de Apigee Adapter for Envoy'un 2.0.3 sürümünü yayınladık.

Düzeltilen sorunlar

  • Doğrudan yanıtlarla ilgili bir analiz günlük kaydı sorunu düzeltildi. Sorun yalnızca koşullar. Örnek:
    • Kimlik doğrulama/z kontrolü gerektirmeyen istekler için authContext oluşturulmadı ve dinamik meta veri boş olduğundan erişim günlüğü girişi yoksayıldı.
    • Reddedilen yanıt, HTTP kodu yerine RPC kodu kullandığı için kayıtların başarıyla gösterilir.

v2.0.2

7 Haziran 2021'de Apigee Adapter for Envoy'un 2.0.2 sürümünü yayınladık.

Düzeltilen sorunlar

  • JWT iddia kapsamlarının çok yüksek olduğunu iddia ettiğinde 403 hatalarına ve paniğe neden olabilecek bir yarış durumu düzeltildi. nil.

v2.0.0

6 Nisan 2021 Salı günü, Apigee Adapter for Envoy'un 2.0.0 sürümünü yayınladık.

Özellikler ve iyileştirmeler

Özellik Açıklama
Çok kiracılı ortam desteği

Artık bağdaştırıcıyı birden fazla yöntemle hizmet verecek şekilde etkinleştirebilirsiniz ortamları için de geçerlidir. Bu özellik sayesinde tek bir Apigee Birden fazla ortama hizmet vermek için tek bir Apigee kuruluşuyla ilişkilendirilmiş Envoy Adaptörü. Şu tarihten önce: Bu değişiklik sonucunda bir bağdaştırıcı her zaman bir Apigee ortamına bağlıydı. Okuyucu Gelirleri Yöneticisi'ni bkz. Çok kiracılı ortam desteği.
Envoy v3 API desteği
Envoy meta veri desteği

Envoy 1.16+, Üstbilgileri kullanmak zorunda kalmadan ext_authz meta verilerini gönderme. Şunu kullanarak: Artık reddedilenler için daha iyi HTTP yanıt kodları sağlıyoruz. ve artık Envoy'da RBAC filtresi yüklememize gerek yoktur. İnceleyin:

Bu özellik yalnızca Envoy 1.16+ ve Istio 1.9+ için desteklenir.

Bu değişiklikle birlikte, aşağıdaki yapılandırma artık Envoy'a eklenmez yapılandırma dosyası (envoy-config.yaml): 

additional_request_headers_to_log:
    - x-apigee-accesstoken
    - x-apigee-api
    - x-apigee-apiproducts
    - x-apigee-application
    - x-apigee-clientid
    - x-apigee-developeremail
    - x-apigee-environment

Özel bir destek kaydı isteklerine üstbilgi eklemek istiyorsanız özelliği ayarlamanız yeterlidir. Bağdaştırıcının config.yaml dosyasında append_metadata_headers:true.
remote-token proxy'sini remote-service proxy'sinden ayırın

remote-service proxy'si iki ayrı proxy'ye dönüştürüldü. 2.0.x sürümü, temel hazırlık iki API proxy'si yükleyecektir: remote-service ve remote-token. /token ve /certs uç nokta, remote-service proxy'sinden remote-token'a taşındı.

Bu değişiklik, fonksiyonların birbirinden faydalı şekilde ayrılmasını sağlar. Uzaktan hizmet, proxy yalnızca dahili Bağdaştırıcı iletişimleri için kullanılır, remote-token proxy, özelleştirebileceğiniz örnek bir OAuth iş akışı sağlar. Biz hiçbir zaman provision --force-proxy-install komutu kullanılsa bile özel remote-token proxy'nizin üzerine yazılır.

Veri yakalama desteği

Yalnızca Apigee X ve Apigee hybrid'de kullanılabilir.

Bağdaştırıcı artık Envoy meta verilerinin Apigee'nin veri yakalama özelliğine aktarılmasını destekliyor. , belirttiğiniz değişkenlerde yakalanmış verileri, özel raporlarda kullanılmak üzere Apigee Analytics'e gönderir.
RBAC zorunlu değil

Daha önce Envoy meta veri desteği altında belirttiğimiz gibi, Ayrı bir RBAC filtresi gerekmeden yetkisiz istekleri reddetmelidir. Çünkü RBAC kullanılmaz, istemciler artık bu HTTP durum kodlarını Bağdaştırıcı:

  • 401 Yetkilendirilmedi
  • 403 Yasak
  • 429 Çok Fazla İstek Var
  • 500 Dahili Sunucu Hatası

Yetkisiz isteklerin devam etmesine izin vermek istiyorsanız auth:allow_unauthorized:true. bağdaştırıcının config.yaml dosyasında sağlayın.

x-apigee-* üstbilgi artık varsayılan olarak eklenmiyor

Daha önce Envoy meta veri desteği bölümünde belirtildiği gibi, x-apigee-* üstbilgileri artık varsayılan olarak eklenmiyor. Bunları eklemek isterseniz config.yaml dosyasında append_metadata_headers:true değerini belirleyin. Bu yapılandırma tamamen isteğe bağlıdır ve yalnızca yönlendirmenin istendiğinde kullanılması üstbilgilerini yukarı akış hedef hizmetine yönlendirmenize olanak tanır.

Bir isteği uzak hizmet hedefiyle özel olarak eşleştirme

api_header yapılandırma özelliğinin anlamı aynı kalır önceki target_header mülküyle aynıdır (varsayılan değer hâlâ hedef ana makine adı) sağlar, belirtilen üstbilginin içeriği BirapiSource API Ürün işlemi (yalnızca Apigee hybrid ve Apigee X).

Envoy meta verilerini kullanarak bu başlık değerini geçersiz kılmak için apigee_api tanımlamak için Envoy'dan bağdaştırıcıya doğrudan meta veri öğesini API Ürünü'nün Uzaktan Hizmet Hedefi veya API Ürün İşlemi'nin API Kaynağı. Yapılandırmak için Envoy yapılandırma dosyasına aşağıdakine benzer bir kod ekleyin. (Bağdaştırıcının KSA'sını kullanarak oluşturabilirsiniz): 

typed_per_filter_config:
  envoy.filters.http.ext_authz:
    "@type": type.googleapis.com/envoy.extensions.filters.http.ext_authz.v3.ExtAuthzPerRoute
    check_settings:
      context_extensions:
        apigee_api: httpbin.org
Reddedilen isteklerle ilgili analizler hemen günlüğe kaydedilir

Envoy Adapter, reddedilen istekleri hemen Analytics'e gerekir. Bu daha fazla verimlidir ve isteğe herhangi bir meta veri eklenmesini gerektirmez.
UDCA desteği kaldırıldı

Apigee hybrid ve Apigee X'te Apigee'nin Evrensel Veri Toplama Aracısı (UDCA) üzerinden veri akışı şu anda yerini doğrudan yükleme aldı. Bu değişiklik yalnızca eski desteği kaldırır bu seçeneği belirleyin.

Temel hazırlık/bağlama CLI komutlarında Edge için mTLS desteği eklendi

Private Cloud kullanıcıları için Apigee Edge, ‑‑tls‑cert üzerinden istemci taraflı TLS sertifikaları ve kök sertifika sağlayabilir. Ürün bağlamalarını hazırlarken veya listelerken sırasıyla ‑‑tls‑key ve ‑‑tls‑ca KSA.

Bağdaştırıcı ve Apigee çalışma zamanı arasında mTLS desteği

İstemci tarafı TLS sertifikalarınıtenant bağdaştırıcının config.yaml dosyasını kullanarak bağdaştırıcı ile Apigee çalışma zamanı arasında mTLS'yi kullanın. Bu Değişiklik, desteklenen tüm Apigee platformları için geçerlidir. Ayrıca analizler için mTLS'yi de etkinleştirir. özel bulut platformu için Apigee Edge'e yönelik bir dizi proje kullanıma sunuldu. Daha fazla bilgi için bkz. Bağdaştırıcı ve Apigee çalışma zamanı arasında mTLS'yi yapılandırma.

Düzeltilen sorunlar

  • Aynı API kaynağına sahip birden fazla işlem yapılandırmasının paylaşıldığı sorun düzeltildi kota paketi tanımlayıcılarının aynı olmasına yol açmış ve kota hesaplamasında çakışmalara yol açmıştır. (Sorun 34)
  • Belirtilen fiil içermeyen işlemlerin, isteğin gerçekleşmesine neden olduğu bir sorun düzeltildi. reddedildi (hiçbiri belirtilmemişse beklenen davranış tüm fiillere izin verilmesidir). (Sorun 39)

v1.4.0

16 Aralık 2020 Çarşamba günü, Apigee Adapter for Envoy'un 1.4.0 sürümünü yayınladık.

Desteklenen platformlar

MacOS, Linux ve Windows için ikili programlar yayınlıyoruz.

Boring Crypto ile Google'ın dağıtımsız, Ubuntu ve Ubuntu sürümlerinden Docker görüntüleri yayınlıyoruz.

Bu sürümde aşağıdaki platformlar desteklenmektedir:

  • Apigee hybrid sürüm 1.3.x, 1.4.x (yayın tarihi beklemede), Herkese Açık Bulut için Apigee Edge, Private Cloud için Apigee Edge ve Google Cloud'da Apigee
  • Istio sürümleri 1.5, 1.6, 1.7, 1.8
  • Envoy sürümleri 1.14, 1.15, 1.16

Özellikler ve iyileştirmeler

Özellik Açıklama
remote-service proxy'si artık Uzak Hizmet Hedefleri kullanan bir API ürünü.

Bu ilişkilendirme artık gerekli olmadığı için aşağıdaki değişikliklere dikkat edin:

  • Temel hazırlık sırasında artık bir remote-service API ürünü oluşturulmaz.
  • bindings verify CLI komutu artık alakalı olmadığından desteği sonlandırıldı.
Temel hazırlık için artık Apigee Kuruluş Yöneticisi rolü gerekli değildir.

Temel hazırlık için kuruluş yöneticisi iznini zorunlu kılmak yerine, IAM rolleri API Oluşturucu ve Dağıtıcısı olarak ayarlayın. Bu rollerin her ikisini de vermelisiniz sağlayabilirsiniz.
(Yalnızca Google Cloud'daki Apigee ve Apigee hybrid için geçerlidir)

Diğer sorunlar ve düzeltmeler

  • Apigee'nin --rotate seçeneği olmadan yeniden temel hazırlığı yapılırsa bir sorun düzeltildi. bir hata ile çıkıldı.
  • Temel hazırlık CLI, artık analiz hizmet hesabı kimlik bilgilerini okur ve yeniden kullanır belirli bir config.yaml dosyasından (Sorun #133) emin olun.

v1.3.0

23 Kasım Pazartesi günü, Apigee Adapter for Envoy'un 1.3.0 sürümünü yayınladık.

Desteklenen platformlar

MacOS, Linux ve Windows için ikili programlar yayınlıyoruz.

Boring Crypto ile Google'ın dağıtımsız, Ubuntu ve Ubuntu sürümlerinden Docker görüntüleri yayınlıyoruz.

Bu sürümde aşağıdaki platformlar desteklenmektedir:

  • Apigee hybrid sürüm 1.3.x, 1.4.x (yayın tarihi beklemede), Herkese Açık Bulut için Apigee Edge, Private Cloud için Apigee Edge ve Google Cloud'da Apigee
  • Istio sürümleri 1.5, 1.6, 1.7, 1.8
  • Envoy sürümleri 1.14, 1.15, 1.16

Özellikler ve iyileştirmeler

Özellik Açıklama
API ürün OperationGroups için destek. OperationGroups, kaynakları ve ilişkili kota yaptırımını bir proxy veya HTTP yöntemleriyle uzak hizmetlerden kaçırmamalısınız.
(Yalnızca Google Cloud'daki Apigee ve Apigee hybrid için geçerlidir)
Örnek oluşturma sırasında dinamik yönlendirme proxy'si desteğini kaldır. Bu değişiklik nedeniyle, ana makine adı aşağıdaki gibiyse istemcilerin HOST üstbilgisini eklemesi gerekir: API ürününde ayarlanan uzak hizmet hedefi ana makinesinden farklı. Örneğin, örnek: 
curl -i http://localhost:8080/httpbin/headers -H "HOST:httpbin.org"
.

API ürünü oluşturma başlıklı makaleyi inceleyin.

Hizmet hesaplarını ve Workload Identity'yi destekleme. Şu durumlarda analiz verilerinin Apigee'ye yüklenmesine izin vermek için: bağdaştırıcıyı bir Apigee karma kümesi dışında çalıştırıyorsanız apigee-remote-service-cli provision içeren analytics-sa parametresi komutuna ekleyin. Ayrıca bağdaştırıcı artık Google Kubernetes'te Workload Identity'yi destekliyor. Engine (GKE) aracını kullanın. Temel hazırlık komutu bölümünü inceleyin.
(Yalnızca Google Cloud'daki Apigee ve Apigee hybrid için geçerlidir)
Yeni jwt_provider_key yapılandırma özelliği. Bu anahtar, yapılandırma dosyasına eklenir. JWT sağlayıcısının payload_in_metadata anahtarını temsil eder. Envoy yapılandırması veya Istio config'deki RequestAuthentication JWT yayıncısıdır.
KeepAliveMaxConnectionAge yapılandırma özelliği şimdi varsayılan olarak 1 dakikadır. Önceki varsayılan süre 10 dakikaydı. Bu değişiklik daha yumuşak ölçeklendirmeye olanak tanır. Bu değeri, erişim günlüğü akışı ömrü için de kullanılır. Yapılandırma dosyasına göz atın.
Kaldırılan CLI komutları. Aşağıdaki CLI komutları kullanımdan kaldırılmıştır. Optimum kampanya performansı için Edge API'leri Bunun yerine API ürünleri için uzak hizmet hedeflerini güncellemek yerine:
  • apigee-remote-service-cli bindings add
  • apigee-remote-service-cli bindings remove
Yeni CLI komutu eklendi. Komut: 
apigee-remote-service-cli samples templates
.

mevcut seçenekleri listele samples create komutundaki --template işaretiyle birlikte kullanabilirsiniz. KSA referansı bölümüne bakın.
Mevcut CLI komutu değiştirildi. apigee-remote-service-cli samples create öğesinde bir değişiklik yapıldı komutuna ekleyin. Envoy veya Istio şablonlarına özel işaretler sıkı bir şekilde kontrol edilir ve hatalı kullanılan işaretlerde döndürülür. Şablon seçeneği native desteği sonlandırıldı. Kullanılabilir şablonların listesini almak için apigee-remote-service-cli samples templates komutunu kullanın. Ayrıca KSA referansı bölümüne de bakın.
/token uç nokta yanıtı artık OAuth2 spesifikasyonu. Yanıta access_token parametresi ve token parametresi eklendi desteği sonlandırıldı.

v1.2.0

30 Eylül Çarşamba günü, Apigee Adapter for Envoy'un 1.2.0 sürümünü yayınladık.

Desteklenen platformlar

MacOS, Linux ve Windows için ikili programlar yayınlıyoruz.

Boring Crypto ile Google'ın dağıtımsız, Ubuntu ve Ubuntu sürümlerinden Docker görüntüleri yayınlıyoruz.

Bu sürümde aşağıdaki platformlar desteklenmektedir:

  • Apigee hybrid sürüm 1.3.x
  • Istio sürümleri 1.5, 1.6, 1.7
  • Envoy 1.14, 1.15 sürümleri

Özellikler ve iyileştirmeler

Özellik Açıklama
Google Cloud'da Apigee desteği Artık Apigee Adapter for Envoy'u Google Cloud'da Apigee ile kullanabilirsiniz. Bağdaştırıcıyı kendi kümesinde veya Envoy için Uzak Hizmet'i yerel ikili program olarak ya da kapsayıcı içinde çalıştırarak çalıştırabilirsiniz. Apigee'de bağdaştırıcının temel hazırlığını yapın sağlama komutunu kullanın.
Analiz verileri için doğrudan yükleme Artık Apigee Adapter'ı, analiz verilerini doğrudan Apigee'ye yükleyecek şekilde yapılandırabilirsiniz. Şu durumda: Bu da Apigee hybrid'in Bu yeni özellik, adaptörün platform dışındaki kendi Kubernetes kümesine dağıtılmasını sağlar. Apigee hybrid'in yüklü olduğu kümenin örneğidir. Doğrudan yüklemeyi etkinleştirmek için yeni provision komutuyla --analytics-sa işaretini kullanın. Temel hazırlık komutu bölümünü inceleyin.
Durum denetimi "Hazır" değerini döndürür API ürün verileri Apigee'den yüklendikten sonra Kubernetes durum denetimi "Hazır" durumunu döndürmez ürün verileri tamamlanana kadar yüklendi. Bu değişiklik, ölçeklendirme ve yükseltmeye yardımcı olur. Çünkü hiçbir trafik yeni örneklenen bağdaştırıcıya, hazır olana kadar gönderilir.

Diğer sorunlar ve düzeltmeler

  • Kota senkronizasyonunda kilitlenme olasılığını gidermek için bir sorun düzeltildi (Sorun 17).
  • Prometheus ek açıklamaları kapsül özelliklerine taşındı (Sorun #69).
  • Hatalı yayınlanan doğrulama hatalarının giderilmesi için bir sorun düzeltildi (Sorun #62).

v1.1.0

26 Ağustos Çarşamba günü, Apigee Adapter for Envoy'un 1.1.0 sürümünü yayınladık.

Desteklenen platformlar

MacOS, Linux ve Windows için ikili programlar yayınlıyoruz.

Boring Crypto ile Google'ın dağıtımsız, Ubuntu ve Ubuntu sürümlerinden Docker görüntüleri yayınlıyoruz.

1.1.0 sürümünde aşağıdaki platformlar desteklenmektedir:

  • Apigee hybrid sürüm 1.3
  • Istio sürümleri 1.5, 1.6, 1.7
  • Envoy 1.14, 1.15 sürümleri

Özellikler ve iyileştirmeler

Özellik Açıklama
Bağlamaları doğrulama Yeni komut (apigee-remote-service-cli bindings verify) CLI'ye eklenir. Bu komut, belirtilen bağlı API ürününün ve ilişkilendirilmiş geliştirici uygulamalarının da kendileriyle ilişkilendirilmiş bir uzaktan hizmet ürünü vardır. Görüntüleyin Bağlamı doğrulayın.
Örnek oluştur Yeni bir komut (apigee-remote-service-cli samples create) eklendi CLI'ya yönlendirir. Bu komut yerel Envoy veya Istio dağıtımları için örnek yapılandırma dosyaları. Yapılandırma bu komutla oluşturduğunuz dosyalar, yüklenen örnek dosyaların yerini alır önceki sürümlerde Adapter for Envoy ile. Görüntüleyin Samples komutu.
OAuth2 kimlik doğrulaması Çok öğeli kimlik doğrulaması (MFA) etkinleştirildiğinde bağdaştırıcı artık OAuth2 kimlik doğrulamasını kullanıyor Apigee Edge için etkinleştirildi. --mfa --legacy işareti.
Distroless konteyner Adaptör artık bunun yerine Google'ın dağıtımsız (gcr.io/distroless/base) resmini kullanıyor varsayılan Docker görüntü tabanı için scratch temeli oluşturur.

Diğer sorunlar ve düzeltmeler

  • OPDK'daki bağlama komutları ile ilgili bir CLI sorunu düzeltildi. (No. 29)
  • Bağlantı kesildiğinde kota takılı kalabilir (Apigee/Apigee-remote-service-envoy). (No. 31)
  • Docker görüntüleri artık kök olmayan kullanıcı (999) ile derleniyor.
  • Kubernetes örnekleri, kullanıcının kök olmamasını zorunlu kılar.
  • --http1.1, artık proxy uç noktalarına karşı curl komutları için gerekli değildir. Bayrak örneklerden kaldırıldı.

v1.0.0

31 Temmuz Cuma günü, Apigee Adapter for Envoy'un GA sürümünü yayınladık.

Desteklenen platformlar

MacOS, Linux ve Windows için ikili programlar yayınlıyoruz.

Boring Crypto ile Docker görüntülerini sıfırdan, Ubuntu ve Ubuntu'da yayınlıyoruz.

1.0.0 sürümünde aşağıdaki platformlar desteklenmektedir:

  • Apigee hybrid sürüm 1.3
  • Istio sürümleri 1.5, 1.6
  • Envoy 1.14, 1.15 sürümleri

Eklemeler ve değişiklikler

v1.0-beta4 sürümü ile GA arasında, bağdaştırıcıda aşağıdaki eklemeler yapıldı:

  • Go Boring derlemeleri

    Google Etiket Yöneticisi'ni kullanarak FIPS uyumlu Go BoringSSL kitaplıkları.

  • Günlük düzeyinde işaret değişiklikleri

    Apigee-remote-service-envoy hizmeti için günlük kaydı seviyesi işaretleri değiştirildi. şu yöntemi izleyin:

    Eski işaret Yeni işaret
    log_level log-level
    json_log json-log
  • Yeni CLI flag'leri

    CLI token komutlarına yeni işaretler eklendi:

    İşaret Açıklama
    --legacy Apigee Edge Cloud kullanıyorsanız bu işareti ayarlayın.
    --opdk Private Cloud için Apigee Edge kullanıyorsanız bu işareti ayarlayın.