Upgrade di Apigee hybrid alla versione 1.15

Questa procedura riguarda l'upgrade da Apigee hybrid versione 1.14.x ad Apigee hybrid versione 1.15.0.

Modifiche rispetto ad Apigee hybrid v1.14

Tieni presente la seguente modifica:

• Supporto di payload di messaggi di grandi dimensioni:a partire dalla versione 1.15 e anche dalla patch 1.14.2, Apigee ora supporta payload di messaggi fino a 30 MB. Per informazioni, vedi:
  • Configura il supporto del payload di messaggi di grandi dimensioni in Apigee hybrid
  • runtime.resources.limits.memory nel riferimento per le proprietà di configurazione.
  • runtime.resources.requests.memory nel riferimento per le proprietà di configurazione.
• Controlli più rigorosi dell'istanza della classe: Apigee Hybrid, il criterio JavaCallout ora include una sicurezza aggiuntiva durante l'istanza della classe Java. La misura di sicurezza avanzata impedisce l'implementazione di criteri che tentano direttamente o indirettamente azioni che richiedono autorizzazioni non consentite.

  Nella maggior parte dei casi, le norme esistenti continueranno a funzionare come previsto senza problemi. Tuttavia, è possibile che le norme che si basano su librerie di terze parti o quelle con codice personalizzato che attiva indirettamente operazioni che richiedono autorizzazioni elevate possano essere interessate.

Per ulteriori informazioni sulle funzionalità della versione 1.14 di Hybrid, consulta le note di rilascio di Apigee hybrid v1.14.0.

Prerequisiti

Prima di eseguire l'upgrade alla versione ibrida 1.15, assicurati che la tua installazione soddisfi i seguenti requisiti:

• Se la tua installazione ibrida esegue una versione precedente alla v1.14, devi eseguire l'upgrade alla versione 1.14 prima di eseguire l'upgrade alla v1.15. Consulta la sezione Eseguire l'upgrade di Apigee hybrid alla versione 1.14.
• Helm versione v3.14.2+.
• kubectl: una versione supportata di kubectl adatta alla versione della tua piattaforma Kubernetes. Consulta Piattaforme e versioni supportate: kubectl.
• cert-manager: una versione supportata di cert-manager. Consulta Piattaforme e versioni supportate: cert-manager. Se necessario, esegui l'upgrade di cert-manager nella sezione Preparati all'upgrade alla versione 1.15 di seguito.

Prima di eseguire l'upgrade alla versione 1.15.0: limitazioni e note importanti

• Apigee hybrid 1.15.0 introduce un nuovo limite avanzato per ambiente per i proxy che consente di eseguire il deployment di più proxy e flussi condivisi in un unico ambiente. Consulta la sezione Limiti: proxy API per comprendere i limiti al numero di proxy e flussi condivisi che puoi eseguire il deployment per ambiente. Questa funzionalità è disponibile solo per le organizzazioni ibride appena create e non può essere applicata alle organizzazioni di cui è stato eseguito l'upgrade. Per utilizzare questa funzionalità, esegui una nuova installazione di ibrido 1.15.0 e crea una nuova organizzazione.

  Questa funzionalità è disponibile esclusivamente nell'ambito del piano di abbonamento 2024 ed è soggetta ai diritti concessi nell'ambito di questo abbonamento. Consulta Limiti proxy avanzati per ambiente per scoprire di più su questa funzionalità.

• L'upgrade ad Apigee hybrid versione 1.15 potrebbe richiedere tempi di inattività.

  Quando esegui l'upgrade del controller Apigee alla versione 1.15.0, tutti i deployment Apigee vengono riavviati in sequenza. Per ridurre al minimo i tempi di inattività negli ambienti ibridi di produzione durante un riavvio in sequenza, assicurati di eseguire almeno due cluster (nello stesso o in un data center/regione diverso). Devia tutto il traffico di produzione a un singolo cluster e metti offline il cluster che stai per aggiornare, quindi procedi con il processo di upgrade. Ripeti la procedura per ogni cluster.

  Apigee consiglia di eseguire l'upgrade di tutti i cluster il prima possibile per ridurre le probabilità di impatto sulla produzione. Non è previsto un limite di tempo per l'upgrade di tutti i cluster rimanenti dopo l'upgrade del primo. Tuttavia, finché non viene eseguito l'upgrade di tutti i cluster rimanenti, il backup e il ripristino di Cassandra non possono funzionare con versioni miste. Ad esempio, un backup di Hybrid 1.14 non può essere utilizzato per ripristinare un'istanza Hybrid 1.15.

• Le modifiche al piano di gestione non devono essere sospese completamente durante un upgrade. Eventuali sospensioni temporanee richieste alle modifiche del piano di gestione sono indicate nelle istruzioni di upgrade riportate di seguito.

Panoramica dell'upgrade alla versione 1.15.0

Le procedure per l'upgrade di Apigee hybrid sono organizzate nelle seguenti sezioni:

1. Preparati all'upgrade.
2. Installa il runtime di hybrid versione 1.15.0.

Prepararsi all'upgrade alla versione 1.15

Eseguire il backup dell'installazione ibrida

1. Queste istruzioni utilizzano la variabile di ambiente APIGEE_HELM_CHARTS_HOME per la directory nel file system in cui hai installato i grafici Helm. Se necessario, passa a questa directory e definisci la variabile con il seguente comando:

   Linux

   export APIGEE_HELM_CHARTS_HOME=$PWD
   echo $APIGEE_HELM_CHARTS_HOME

   Mac OS

   export APIGEE_HELM_CHARTS_HOME=$PWD
   echo $APIGEE_HELM_CHARTS_HOME

   Windows

   set APIGEE_HELM_CHARTS_HOME=%CD%
   echo %APIGEE_HELM_CHARTS_HOME%

2. Crea una copia di backup della directory $APIGEE_HELM_CHARTS_HOME/ della versione 1.14. Puoi utilizzare qualsiasi procedura di backup. Ad esempio, puoi creare un file tar dell'intera directory con:

   tar -czvf $APIGEE_HELM_CHARTS_HOME/../apigee-helm-charts-v1.14-backup.tar.gz $APIGEE_HELM_CHARTS_HOME

3. Esegui il backup del database Cassandra seguendo le istruzioni riportate in Backup e ripristino di Cassandra.
4. Se utilizzi file di certificati di servizio (.json) negli override per autenticare i service account, assicurati che i file di certificati del account di servizio si trovino nella directory del grafico Helm corretta. I grafici Helm non possono leggere file al di fuori di ogni directory del grafico.

   Questo passaggio non è necessario se utilizzi i secret Kubernetes o la federazione delle identità del workload per GKE per autenticare i service account.

   La tabella seguente mostra la destinazione di ciascun file dell'account di servizio, a seconda del tipo di installazione:

   Prod

   Service account	Nome file predefinito	Directory del grafico Helm
   apigee-cassandra	PROJECT_ID-apigee-cassandra.json	$APIGEE_HELM_CHARTS_HOME/apigee-datastore/
   apigee-logger	PROJECT_ID-apigee-logger.json	$APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
   apigee-mart	PROJECT_ID-apigee-mart.json	$APIGEE_HELM_CHARTS_HOME/apigee-org/
   apigee-metrics	PROJECT_ID-apigee-metrics.json	$APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
   apigee-runtime	PROJECT_ID-apigee-runtime.json	$APIGEE_HELM_CHARTS_HOME/apigee-env
   apigee-synchronizer	PROJECT_ID-apigee-synchronizer.json	$APIGEE_HELM_CHARTS_HOME/apigee-env/
   apigee-udca	PROJECT_ID-apigee-udca.json	$APIGEE_HELM_CHARTS_HOME/apigee-org/
   apigee-watcher	PROJECT_ID-apigee-watcher.json	$APIGEE_HELM_CHARTS_HOME/apigee-org/

   Non di produzione

   Crea una copia del file del account di servizio apigee-non-prod in ciascuna delle seguenti directory:

   Service account	Nome file predefinito	Directory dei grafici Helm
   apigee-non-prod	PROJECT_ID-apigee-non-prod.json	$APIGEE_HELM_CHARTS_HOME/apigee-datastore/ $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/ $APIGEE_HELM_CHARTS_HOME/apigee-org/ $APIGEE_HELM_CHARTS_HOME/apigee-env/

5. Assicurati che i file del certificato e della chiave TLS (.crt, .key e/o .pem) si trovino nella directory $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/.

Esegui l'upgrade della versione di Kubernetes

Controlla la versione della piattaforma Kubernetes e, se necessario, esegui l'upgrade a una versione supportata sia da hybrid 1.14 sia da hybrid 1.15. Se hai bisogno di aiuto, consulta la documentazione della tua piattaforma.

Fai clic per espandere l'elenco delle piattaforme supportate

Versioni supportate

	1.13	1,14	1,15
GKE su Google Cloud	1.27.x 1.28.x 1.29.x 1.30.x	1.28.x 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
GKE su AWS	1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x	1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x	1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x 1.32.x
GKE su Azure	1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x	1.28.x 1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x	1.29.x(≥ 1.12.1)(8) 1.30.x 1.31.x 1.32.x
Google Distributed Cloud (solo software) su VMware (5)	1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x 1.30.x	1.28.x(4) 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
Google Distributed Cloud (solo software) su bare metal	1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x 1.30.x	1.28.x(4) 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
EKS	1.27.x 1.28.x 1.29.x 1.30.x	1.28.x 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
AKS	1.27.x 1.28.x 1.29.x 1.30.x	1.28.x 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
OpenShift(9)	4.12 4.13 4.14 4.15 4.16	4.13 4.14 4.15 4.16 4.17	4.16 4.17 4.18
Rancher Kubernetes Engine (RKE)	v1.26.2+rke2r1 v1.27.x 1.28.x 1.29.x 1.30.x	v1.27.x 1.28.x 1.29.x 1.30.x 1.31.x	v1.28.x 1.29.x 1.30.x 1.31.x 1.32.x
VMware Tanzu	v1.26.x	v1.26.x	v1.26.x
Componenti	1.13	1,14	1,15
Cloud Service Mesh	1.19.x(3)	1.22.x(3)	1.22.x(3)
JDK	JDK 11	JDK 11	JDK 11
cert-manager	1.15.x(10) 1.16.x(10) 1.17.x(10)	1.15.x(10) 1.16.x(10) 1.17.x(10)	1.16.x(10) 1.17.x(10)
Cassandra	4.0	4.0	4.0
Kubernetes	1.27.x 1.28.x 1.29.x 1.30.x	1.28.x 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
kubectl	1.27.x 1.28.x 1.29.x 1.30.x	1.28.x 1.29.x 1.30.x 1.31.x	1.29.x 1.30.x 1.31.x 1.32.x
Helm	3.14.2+	3.14.2+	3.14.2+
Driver CSI Secret Store	1.4.6+	1.4.6+	1.4.6+
Vault	1.15.2	1.17.2	1.17.2
(1) In Anthos on-premises (Google Distributed Cloud) versione 1.13, segui queste istruzioni per evitare conflitti con cert-manager: Installazione di cert-manager in conflitto (2) Sono state raggiunte le date EOL ufficiali per le versioni 1.12 e precedenti di Apigee hybrid. Le patch mensili regolari non sono più disponibili. Queste release non sono più supportate ufficialmente, ad eccezione dei clienti con eccezioni esplicite e ufficiali per il supporto continuo. Gli altri clienti devono eseguire l'upgrade. (3) Cloud Service Mesh viene installato automaticamente con Apigee Hybrid 1.9 e versioni successive. (4) I numeri di versione di GKE su AWS ora riflettono le versioni di Kubernetes. Consulta la sezione Versione di GKE Enterprise e assistenza per l'upgrade per i dettagli della versione e le patch consigliate. (5) Vault non è certificato su Google Distributed Cloud per VMware. (6) Supporto disponibile con Apigee hybrid versione 1.10.5 e successive. (7) Supporto disponibile con Apigee hybrid versione 1.11.2 e successive. (8) Supporto disponibile con Apigee hybrid versione 1.12.1 e successive. (9) Apigee hybrid è testato e certificato su OpenShift utilizzando la versione di Kubernetes inclusa in ogni versione specifica di OCP. (10) Alcune versioni di cert-manager presentano un problema per cui il server TLS webhook potrebbe non riuscire a rinnovare automaticamente il certificato CA. Per evitare questo problema, Apigee consiglia di utilizzare: Hybrid v1.13: utilizza cert-manager versione 1.15.5+. Hybrid v1.14: utilizza le versioni di cert-manager 1.15.5+ o 1.16.3+. Ibrido v1.15: utilizza cert-manager versione 1.16.3+ o 1.17.2+.

Versioni non supportate

	1.6 (2)	1.7 (2)	1.8 (2)	1.9 (2)	1.10 (2)	1,11 (2)	1.12 (2)
GKE su Google Cloud	1.19.x 1.20.x 1.21.x	1.20.x 1.21.x 1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2)	1.21.x (≤ 1.8.3) 1.22.x (≤ 1.8.3) 1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4)	1.23.x 1.24.x 1.25.x 1.26.x (≥ 1.9.2)	1.24.x 1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.25.x 1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.26.x 1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
GKE su AWS	1.7.x 1.8.x 1.9.3+ 1.10.x	1.9.x 1.10.x 1.12.x (≥ 1.7.2)	1.10.x 1.11.x 1.12.x (K8s v1.23.x) 1.13.x (K8s v1.24.x) 1.14.x (K8s v1.25.x)	1.12.x 1.13.x (K8s v1.24.x) 1.14.x (K8s v1.25.x)	1.13.x (K8s v1.24.x) 1.14.x (K8s v1.25.x) 1.26.x(4) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.14.x (K8s v1.25.x) 1.26.x(4) 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.26.x(4) 1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
GKE su Azure	1.8.x	1.9.x 1.10.x 1.12.x (≥ 1.7.2)	1.10.x 1.11.x 1.12.x 1.13.x 1.14.x	1.12.x 1.13.x 1.14.x	1.13.x 1.14.x 1.26.x(4) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.14.x 1.26.x(4) 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.26.x(4) 1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
Google Distributed Cloud (solo software) su VMware (5)	1.7.x 1.8.x 1.9.3+ 1.10.x	1.9.x 1.10.x 1.11.x (4) (≥ 1.7.2) 1.12.x (≥ 1.7.2)	1.10.x 1.11.x 1.12.x 1.13.x 1.14.x 1.15.x (K8s v1.26.x)	1.12.x 1.13.x 1.14.x 1.15.x (K8s v1.26.x)	1.13.x (1) 1.14.x 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.14.x 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x(≥ 1.12.1)(8)
Google Distributed Cloud (solo software) su bare metal	1.7.x 1.8.2+ 1.9.3+ 1.10.x	1.9.x 1.10.x 1.11.x (≥ 1.7.2) 1.12.x (≥ 1.7.2)	1.10.x 1.11.x 1.12.x 1.13.x 1.14.x 1.15.x	1.12.x 1.13.x 1.14.x 1.15.x	1.13.x (1) 1.14.x (K8s v1.25.x) 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.27.x(4)(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.14.x 1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(4)(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.15.x (K8s v1.26.x) 1.16.x (K8s v1.27.x) 1.28.x(4) 1.29.x(≥ 1.12.1)(8)
EKS	1.19.x 1.20.x 1.21.x	1.21.x 1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2)	1.22.x (≤ 1.8.3) 1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4)	1.23.x 1.24.x 1.25.x 1.26.x	1.24.x 1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.25.x 1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.26.x 1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
AKS	1.19.x 1.20.x 1.21.x	1.21.x 1.22.x (≥ 1.7.2) 1.23.x (≥ 1.7.2)	1.22.x (≤ 1.8.3) 1.23.x (≤ 1.8.4) 1.24.x (≥ 1.8.4) 1.25.x (≥ 1.8.4)	1.23.x 1.24.x 1.25.x 1.26.x(≥ 1.9.2)	1.24.x 1.25.x 1.26.x 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	1.25.x 1.26.x 1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	1.26.x 1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
OpenShift(9)	4.6 4.7 4.8	4.7 4.8	4.8 4.9 4.10	4.10 4.11	4.11 4.12 4.14(≥ 1.10.5)(6) 4.15(≥ 1.10.5)(6)	4.12 4.13 4.14 4.15(≥ 1.11.2)(7) 4.16(≥ 1.11.2)(7)	4.12 4.13 4.14 4.15 4.16(≥ 1.12.1)(8)
Rancher Kubernetes Engine (RKE)	N/D	N/A	N/D	1.3.8	v1.26.2+rke2r1 1.27.x(≥ 1.10.5)(6) 1.28.x(≥ 1.10.5)(6)	v1.26.2+rke2r1 v1.27.x 1.28.x(≥ 1.11.2)(7) 1.29.x(≥ 1.11.2)(7)	v1.26.2+rke2r1 v1.27.x 1.28.x 1.29.x(≥ 1.12.1)(8)
VMware Tanzu	N/D	N/A	N/A	N/A	N/A	N/D	v1.26.x
Componenti	1.6 (2)	1.7 (2)	1.8 (2)	1.9 (2)	1.10 (2)	1,11 (2)	1,12 (2)
Cloud Service Mesh	1.9.x 1.10.x 1.12.x 1.13.x	1.10.x 1.11.x 1.12.x 1.13.x (≥ 1.7.2) 1.14.x 1.15.x (≥ 1.7.6)	1.11.x 1.12.x 1.13.x 1.14.x 1.15.x	1.17.x(3)	1.17.x(3)	1.17.x(v1.11.0 - v1.11.1)(3) 1.18.x(≥ 1.11.2)(7)(3)	1.18.x(3)
JDK	JDK 11	JDK 11	JDK 11	JDK 11	JDK 11	JDK 11	JDK 11
cert-manager	1.5.4	1.7.x	1.7.x 1.8.x 1.9.x 1.10.x 1.11.x	1.10.x 1.11.x	1.10.x 1.11.x 1.12.x	1.11.x 1.12.x 1.13.x	1.11.x 1.12.x 1.13.x
Cassandra	3.11	3.11	3.11	3.11	3.11	3.11	4.0
Kubernetes				1.23.x 1.24.x 1.25.x	1.24.x 1.25.x 1.26.x	1.25.x 1.26.x 1.27.x	1.26.x 1.27.x 1.28.x 1.29.x
kubectl					1.24.x 1.25.x 1.26.x	1.25.x 1.26.x 1.27.x	1.26.x 1.27.x 1.28.x 1.29.x
Helm					3.10+	3.10+	3.14.2+
Driver CSI Secret Store						1.3.4+	1.4.1+
Vault						1.13.x	1.15.2
(1) In Anthos on-premises (Google Distributed Cloud) versione 1.13, segui queste istruzioni per evitare conflitti con cert-manager: Installazione di cert-manager in conflitto (2) Sono state raggiunte le date EOL ufficiali per le versioni 1.12 e precedenti di Apigee hybrid. Le patch mensili regolari non sono più disponibili. Queste release non sono più supportate ufficialmente, ad eccezione dei clienti con eccezioni esplicite e ufficiali per il supporto continuo. Gli altri clienti devono eseguire l'upgrade. (3) Cloud Service Mesh viene installato automaticamente con Apigee Hybrid 1.9 e versioni successive. (4) I numeri di versione di GKE su AWS ora riflettono le versioni di Kubernetes. Consulta la sezione Versione di GKE Enterprise e assistenza per l'upgrade per i dettagli della versione e le patch consigliate. (5) Vault non è certificato su Google Distributed Cloud per VMware. (6) Supporto disponibile con Apigee hybrid versione 1.10.5 e successive. (7) Supporto disponibile con Apigee hybrid versione 1.11.2 e successive. (8) Supporto disponibile con Apigee hybrid versione 1.12.1 e successive. (9) Apigee hybrid è testato e certificato su OpenShift utilizzando la versione di Kubernetes inclusa in ogni versione specifica di OCP. (10) Alcune versioni di cert-manager presentano un problema per cui il server TLS webhook potrebbe non riuscire a rinnovare automaticamente il certificato CA. Per evitare questo problema, Apigee consiglia di utilizzare: Hybrid v1.13: utilizza cert-manager versione 1.15.5+. Hybrid v1.14: utilizza le versioni di cert-manager 1.15.5+ o 1.16.3+. Ibrido v1.15: utilizza cert-manager versione 1.16.3+ o 1.17.2+.

Rimuovere i CRD di Istio

La presenza di definizioni di risorse personalizzate (CRD) istio.io in un cluster ibrido Apigee potrebbe causare errori nei pod apigee-ingressgateway-manager.

Per saperne di più sui CRD istio.io in Apigee hybrid, consulta il problema noto 416634326.

1. Determina se nel cluster sono presenti istio.io CRD con il seguente comando:

   kubectl get crd -o custom-columns=NAME:metadata.name | grep istio.io

   Se il cluster ha istio.io CRD, l'output sarà simile al seguente:

   kubectl get crd -o custom-columns=NAME:metadata.name | grep istio.io
     authorizationpolicies.security.istio.io
     destinationrules.networking.istio.io
     envoyfilters.networking.istio.io
     gateways.networking.istio.io
     peerauthentications.security.istio.io
     proxyconfigs.networking.istio.io
     requestauthentications.security.istio.io
     serviceentries.networking.istio.io
     sidecars.networking.istio.io
     telemetries.telemetry.istio.io
     virtualservices.networking.istio.io
     wasmplugins.extensions.istio.io
     workloadentries.networking.istio.io
     workloadgroups.networking.istio.io
   

2. (Facoltativo) Salva i CRD localmente nel caso in cui tu debba ricrearli:

   kubectl get crd $(cat istio-crd.csv) -o yaml > istio-crd.yaml

3. Elimina le CRD istio.io:

   Prova:

   kubectl delete crd $(cat istio-crd.csv) --dry-run=client

   Esegui:

   kubectl delete crd $(cat istio-crd.csv)

4. Elenca i pod ingress-manager da reinstallare o ricreare:

   kubectl get deployments -n apigee

   Output di esempio:

   NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-controller-manager       1/1     1            1           32d
   apigee-ingressgateway-manager   2/2     2            2           32d
   

5. Riavvia i pod ingress-manager:

   kubectl rollout restart deployment -n APIGEE_NAMESPACE apigee-ingressgateway-manager

Installa il runtime di hybrid 1.15.0

Configura la pipeline di raccolta dei dati.

A partire dalla versione ibrida 1.14, la nuova pipeline di dati di analisi e debug è abilitata per impostazione predefinita per tutte le organizzazioni Apigee ibride. Per configurare il flusso di autorizzazione, devi seguire i passaggi descritti in Attivare l'accesso di Publisher ad Analytics.

Preparati all'upgrade dei grafici Helm

1. Estrai i grafici Helm di Apigee.

   I grafici di Apigee hybrid sono ospitati in Google Artifact Registry:

   oci://us-docker.pkg.dev/apigee-release/apigee-hybrid-helm-charts

   Utilizzando il comando pull, copia tutti i grafici Helm di Apigee hybrid nello spazio di archiviazione locale con il seguente comando:

   export CHART_REPO=oci://us-docker.pkg.dev/apigee-release/apigee-hybrid-helm-charts
   export CHART_VERSION=1.15.0
   helm pull $CHART_REPO/apigee-operator --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-datastore --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-env --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-ingress-manager --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-org --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-redis --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-telemetry --version $CHART_VERSION --untar
   helm pull $CHART_REPO/apigee-virtualhost --version $CHART_VERSION --untar
   

2. Esegui l'upgrade di cert-manager, se necessario.

   Se devi eseguire l'upgrade della versione di cert-manager, installa la nuova versione con questo comando:

   kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.17.2/cert-manager.yaml
   

   Per un elenco delle versioni supportate, consulta la sezione Piattaforme e versioni supportate: cert-manager.

3. Se lo spazio dei nomi Apigee non è apigee, modifica il file apigee-operator/etc/crds/default/kustomization.yaml e sostituisci il valore namespace con il tuo spazio dei nomi Apigee.

   apiVersion: kustomize.config.k8s.io/v1beta1
   kind: Kustomization
   
   namespace: APIGEE_NAMESPACE
   

   Se utilizzi apigee come spazio dei nomi, non devi modificare il file.

4. Installa le CRD Apigee aggiornate:

   1. Utilizza la funzionalità di prova generale kubectl eseguendo il seguente comando:

      kubectl apply -k  apigee-operator/etc/crds/default/ --server-side --force-conflicts --validate=false --dry-run=server
      

   2. Dopo la convalida con il comando di prova dry run, esegui questo comando:

      kubectl apply -k  apigee-operator/etc/crds/default/ \
        --server-side \
        --force-conflicts \
        --validate=false
      

   3. Convalida l'installazione con il comando kubectl get crds:

      kubectl get crds | grep apigee

      L'output dovrebbe essere simile al seguente:

      apigeedatastores.apigee.cloud.google.com                    2024-08-21T14:48:30Z
      apigeedeployments.apigee.cloud.google.com                   2024-08-21T14:48:30Z
      apigeeenvironments.apigee.cloud.google.com                  2024-08-21T14:48:31Z
      apigeeissues.apigee.cloud.google.com                        2024-08-21T14:48:31Z
      apigeeorganizations.apigee.cloud.google.com                 2024-08-21T14:48:32Z
      apigeeredis.apigee.cloud.google.com                         2024-08-21T14:48:33Z
      apigeerouteconfigs.apigee.cloud.google.com                  2024-08-21T14:48:33Z
      apigeeroutes.apigee.cloud.google.com                        2024-08-21T14:48:33Z
      apigeetelemetries.apigee.cloud.google.com                   2024-08-21T14:48:34Z
      cassandradatareplications.apigee.cloud.google.com           2024-08-21T14:48:35Z
      

5. Controlla le etichette sui nodi del cluster. Per impostazione predefinita, Apigee pianifica i pod di dati sui nodi con l'etichetta cloud.google.com/gke-nodepool=apigee-data e i pod di runtime vengono pianificati sui nodi con l'etichetta cloud.google.com/gke-nodepool=apigee-runtime. Puoi personalizzare le etichette del pool di nodi nel file overrides.yaml.

   Per ulteriori informazioni, vedi Configurazione dei pool di nodi dedicati.

Installa i grafici Helm di Apigee hybrid

1. In caso contrario, vai alla directory APIGEE_HELM_CHARTS_HOME. Esegui i seguenti comandi da questa directory.
2. Esegui l'upgrade dell'operatore/controller Apigee:

   Prova:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica l'installazione dell'operatore Apigee:

   helm ls -n APIGEE_NAMESPACE
   

   NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                   APP VERSION
   operator   apigee   3          2024-08-21 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.0   1.15.0
   

   Verifica che sia attivo e funzionante controllando la sua disponibilità:

   kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager
   

   NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-controller-manager   1/1     1            1           7d20h
   

3. Esegui l'upgrade del datastore Apigee:

   Prova:

   helm upgrade datastore apigee-datastore/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade datastore apigee-datastore/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica che apigeedatastore sia attivo e funzionante controllandone lo stato:

   kubectl -n APIGEE_NAMESPACE get apigeedatastore default
   

   NAME      STATE       AGE
   default   running    2d

4. Esegui l'upgrade della telemetria Apigee:

   Prova:

   helm upgrade telemetry apigee-telemetry/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade telemetry apigee-telemetry/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica che sia attivo e funzionante controllandone lo stato:

   kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry
   

   NAME               STATE     AGE
   apigee-telemetry   running   2d

5. Esegui l'upgrade di Apigee Redis:

   Prova:

   helm upgrade redis apigee-redis/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade redis apigee-redis/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica che sia attivo e funzionante controllandone lo stato:

   kubectl -n APIGEE_NAMESPACE get apigeeredis default
   

   NAME      STATE     AGE
   default   running   2d

6. Esegui l'upgrade di Apigee Ingress Manager:

   Prova:

   helm upgrade ingress-manager apigee-ingress-manager/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade ingress-manager apigee-ingress-manager/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica che sia attivo e funzionante controllandone la disponibilità:

   kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager
   

   NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
   apigee-ingressgateway-manager   2/2     2            2           2d

7. Esegui l'upgrade dell'organizzazione Apigee:

   Prova:

   helm upgrade ORG_NAME apigee-org/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   Esegui l'upgrade del grafico:

   helm upgrade ORG_NAME apigee-org/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     -f OVERRIDES_FILE
   

   Verifica che sia attivo e funzionante controllando lo stato dell'organizzazione corrispondente:

   kubectl -n APIGEE_NAMESPACE get apigeeorg
   

   NAME                      STATE     AGE
   apigee-org1-xxxxx          running   2d

8. Esegui l'upgrade dell'ambiente.

   Devi installare un ambiente alla volta. Specifica l'ambiente con --set env=ENV_NAME.

   Prova:

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --set env=ENV_NAME \
     -f OVERRIDES_FILE \
     --dry-run=server
   

   • ENV_RELEASE_NAME è un nome utilizzato per tenere traccia dell'installazione e degli upgrade del grafico apigee-env. Questo nome deve essere univoco rispetto agli altri nomi delle release Helm nell'installazione. In genere, è uguale a ENV_NAME. Tuttavia, se il tuo ambiente ha lo stesso nome del tuo gruppo di ambienti, devi utilizzare nomi di release diversi per l'ambiente e il gruppo di ambienti, ad esempio dev-env-release e dev-envgroup-release. Per ulteriori informazioni sulle release in Helm, consulta Three big concepts class="external" nella documentazione di Helm.
   • ENV_NAME è il nome dell'ambiente di cui stai eseguendo l'upgrade.
   • OVERRIDES_FILE è il nuovo file di override per la versione 1.15.0

   Esegui l'upgrade del grafico:

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace APIGEE_NAMESPACE \
     --set env=ENV_NAME \
     -f OVERRIDES_FILE
   

   Verifica che sia attivo e funzionante controllando lo stato dell'ambiente corrispondente:

   kubectl -n APIGEE_NAMESPACE get apigeeenv
   

   NAME                          STATE       AGE   GATEWAYTYPE
   apigee-org1-dev-xxx            running     2d

9. Esegui l'upgrade dei gruppi di ambienti (virtualhosts).
   1. Devi eseguire l'upgrade di un gruppo di ambienti (virtualhost) alla volta. Specifica il gruppo di ambienti con --set envgroup=ENV_GROUP_NAME. Ripeti i seguenti comandi per ogni gruppo di ambienti menzionato nel file overrides.yaml:

      Prova:

      helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
        --install \
        --namespace APIGEE_NAMESPACE \
        --set envgroup=ENV_GROUP_NAME \
        -f OVERRIDES_FILE \
        --dry-run=server
      

      ENV_GROUP_RELEASE_NAME è il nome con cui hai installato in precedenza il grafico apigee-virtualhost. Di solito è ENV_GROUP_NAME.

      Esegui l'upgrade del grafico:

      helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
        --install \
        --namespace APIGEE_NAMESPACE \
        --set envgroup=ENV_GROUP_NAME \
        -f OVERRIDES_FILE
      

   2. Controlla lo stato di ApigeeRoute (AR).

      L'installazione di virtualhosts crea ApigeeRouteConfig (ARC) che crea internamente ApigeeRoute (AR) una volta che il watcher Apigee estrae i dettagli relativi al gruppo di ambienti dal control plane. Pertanto, verifica che lo stato del AR corrispondente sia in esecuzione:

      kubectl -n APIGEE_NAMESPACE get arc
      

      NAME                                STATE   AGE
      apigee-org1-dev-egroup                       2d

      kubectl -n APIGEE_NAMESPACE get ar
      

      NAME                                        STATE     AGE
      apigee-org1-dev-egroup-xxxxxx                running   2d

10. Dopo aver verificato che tutti gli upgrade delle installazioni siano andati a buon fine, elimina la versione apigee-operator precedente dallo spazio dei nomi apigee-system.
    1. Disinstalla la vecchia versione di operator:

       helm delete operator -n apigee-system
       

    2. Elimina lo spazio dei nomi apigee-system:

       kubectl delete namespace apigee-system
       

11. Esegui di nuovo l'upgrade di operator nello spazio dei nomi Apigee per reinstallare le risorse con ambito cluster eliminate:

    helm upgrade operator apigee-operator/ \
      --install \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      -f overrides.yaml
    

Convalida i criteri dopo l'upgrade dalla versione 1.14.0 o precedente

Utilizza questa procedura per convalidare il comportamento del criterio JavaCallout dopo l'upgrade dalla versione 1.14.0.

1. Verifica se i file JAR Java richiedono autorizzazioni non necessarie.

   Dopo il deployment della policy, controlla i log di runtime per verificare la presenza del seguente messaggio di log: "Failed to load and initialize class ...". Se visualizzi questo messaggio, significa che il file JAR di cui è stato eseguito il deployment ha richiesto autorizzazioni non necessarie. Per risolvere il problema, analizza il codice Java e aggiorna il file JAR.

2. Esamina e aggiorna il codice Java.

   Esamina il codice Java (incluse le dipendenze) per identificare la causa di operazioni potenzialmente non consentite. Se lo trovi, modifica il codice sorgente come richiesto.

3. Testa i criteri con il controllo di sicurezza attivato.

   In un ambiente non di produzione, attiva il flag di controllo di sicurezza e esegui nuovamente il deployment dei criteri con un file JAR aggiornato. Per impostare il flag:

   • Nel file apigee-env/values.yaml, imposta conf_security-secure.constructor.only su true in runtime:cwcAppend:. Ad esempio:

     # Apigee Runtime
     runtime:
       cwcAppend:
         conf_security-secure.constructor.only: true

   • Aggiorna il grafico apigee-env per l'ambiente per applicare la modifica. Ad esempio:

     helm upgrade ENV_RELEASE_NAME apigee-env/ \
       --install \
       --namespace APIGEE_NAMESPACE \
       --set env=ENV_NAME \
       -f OVERRIDES_FILE

     ENV_RELEASE_NAME è un nome utilizzato per tenere traccia dell'installazione e degli upgrade del grafico apigee-env. Questo nome deve essere univoco rispetto agli altri nomi delle release Helm nell'installazione. In genere, è uguale a ENV_NAME. Tuttavia, se il tuo ambiente ha lo stesso nome del tuo gruppo di ambienti, devi utilizzare nomi di release diversi per l'ambiente e il gruppo di ambienti, ad esempio dev-env-release e dev-envgroup-release. Per ulteriori informazioni sulle release in Helm, consulta Three big concepts class="external" nella documentazione di Helm.

   Se il messaggio di log "Failed to load and initialize class ..." è ancora presente, continua a modificare e testare il file JAR finché il messaggio di log non viene più visualizzato.

4. Attiva il controllo di sicurezza nell'ambiente di produzione.

   Dopo aver testato e verificato a fondo il file JAR nell'ambiente non di produzione, attiva il controllo di sicurezza nell'ambiente di produzione impostando il flag conf_security-secure.constructor.only su true e aggiornando il grafico apigee-env per l'ambiente di produzione in modo da applicare la modifica.

Eseguire il rollback a una versione precedente

Per eseguire il rollback alla versione precedente, utilizza la versione precedente del grafico per eseguire il rollback della procedura di upgrade in ordine inverso. Inizia con apigee-virtualhost e torna indietro fino a apigee-operator, poi ripristina i CRD.

1. Ripristina tutti i grafici dal apigee-virtualhost al apigee-datastore. I seguenti comandi presuppongono che tu stia utilizzando i grafici della versione precedente (v1.14.x).

   Esegui questo comando per ogni gruppo di ambienti:

   helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
     --install \
     --namespace apigee \
     --atomic \
     --set envgroup=ENV_GROUP_NAME \
     -f 1.14_OVERRIDES_FILE
   

   Esegui questo comando per ogni ambiente:

   helm upgrade ENV_RELEASE_NAME apigee-env/ \
     --install \
     --namespace apigee \
     --atomic \
     --set env=ENV_NAME \
     -f 1.14_OVERRIDES_FILE
   

   Ripristina i grafici rimanenti, ad eccezione di apigee-operator.

   helm upgrade ORG_NAME apigee-org/ \
     --install \
     --namespace apigee \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

   helm upgrade ingress-manager apigee-ingress-manager/ \
     --install \
     --namespace apigee \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

   helm upgrade redis apigee-redis/ \
     --install \
     --namespace apigee \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

   helm upgrade telemetry apigee-telemetry/ \
     --install \
     --namespace apigee \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

   helm upgrade datastore apigee-datastore/ \
     --install \
     --namespace apigee \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

2. Crea lo spazio dei nomi apigee-system.

   kubectl create namespace apigee-system
   

3. Applica una patch all'annotazione della risorsa nello spazio dei nomi apigee-system.

   kubectl annotate --overwrite clusterIssuer apigee-ca-issuer meta.helm.sh/release-namespace='apigee-system'
   

4. Se hai modificato anche il nome della release, aggiorna l'annotazione con il nome della release operator.

   kubectl annotate --overwrite clusterIssuer apigee-ca-issuer meta.helm.sh/release-name='operator'
   

5. Installa apigee-operator di nuovo nello spazio dei nomi apigee-system.

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace apigee-system \
     --atomic \
     -f 1.14_OVERRIDES_FILE
   

6. Ripristina i CRD reinstallando quelli precedenti.

   kubectl apply -k apigee-operator/etc/crds/default/ \
     --server-side \
     --force-conflicts \
     --validate=false
   

7. Pulisci la release apigee-operator dallo spazio dei nomi APIGEE_NAMESPACE per completare la procedura di rollback.

   helm uninstall operator -n APIGEE_NAMESPACE
   

8. Alcune risorse con ambito cluster, come clusterIssuer, vengono eliminate quando operator viene disinstallato. Reinstallali con il seguente comando:

   helm upgrade operator apigee-operator/ \
     --install \
     --namespace apigee-system \
     --atomic \
     -f 1.14_OVERRIDES_FILE