변경사항 개요
Edge for Private Cloud 4.53.01에는 업데이트된 버전의 소프트웨어/라이브러리를 통합하여 플랫폼의 보안 상태를 강화하는 여러 변경사항이 도입되었습니다. 이러한 변경사항은 다음에 영향을 미칩니다.
- OAS (OpenAPI 사양) 유효성 검사 정책
- JSONPath 쿼리를 지원하는 정책
- 지원 중단된 라이브러리를 사용하는 Java 콜아웃 정책
- OpenLDAP
이 섹션에서는 업그레이드 중 또는 업그레이드 후에 워크플로를 중단할 수 있는 버전 4.53.01에 도입된 다양한 유형의 변경사항을 설명합니다. 잠재적인 문제 영역을 식별하는 방법과 완화 또는 해결 방법의 방법론도 다룹니다.
OAS (OpenAPI 사양) 유효성 검사 정책
컨텍스트
OAS 유효성 검사 정책은 OpenAPI 3.0 사양 (JSON 또는 YAML)에 정의된 규칙에 따라 수신 요청 또는 응답의 유효성을 검사합니다. Edge for Private Cloud 4.53.01에서는 API 응답 본문의 더 엄격하고 정확한 유효성 검사에 중점을 두어 OAS (OpenAPI 사양) 정책을 개선합니다.
변경사항
Private Cloud용 Edge 4.53.01에서는 OAS 정책이 API 응답을 검증하는 방식에 두 가지 중요한 변경사항이 도입되어 OpenAPI 사양과의 정렬이 더 긴밀해집니다.
- 시나리오 1:
- 이전 동작: OpenAPI 사양에 응답 본문이 필요했지만 타겟 또는 업스트림 정책의 실제 응답에 응답 본문이 포함되지 않은 경우 정책에서 이를 유효성 검사 오류로 표시하지 않았습니다.
- 현재 동작: 이제 정책은 이 시나리오에서 유효성 검사 오류 (예:
defines a response schema but no response body found)를 올바르게 반환하여 예상 응답과 실제 응답 간의 불일치를 나타냅니다.
- 시나리오 2:
- 이전 동작: OpenAPI 사양에 예상되는 응답 본문이 없다고 명시되어 있지만 타겟 또는 업스트림 정책의 실제 응답에 본문이 포함된 경우 정책으로 인해 실패가 발생하지 않았습니다.
- 현재 동작: 이제 이 시나리오에서 정책으로 인해 실패 (예:
No response body is expected but one was found)가 발생하여 대답이 지정된 스키마를 엄격하게 준수합니다.
완화
response로 설정된 Source 태그로 OAS 검증 정책이 구성된 프록시 또는 공유 흐름이나 응답을 생성하는 다른 정책의 응답을 검증하는 프록시 또는 공유 흐름을 식별합니다.
프록시/공유 흐름이 식별되면 대답과 OAS 사양 간의 정렬을 확인합니다. 대답은 대답 본문의 유무에 관한 OpenAPI 사양과 엄격하게 일치해야 합니다. 표준 Apigee 트레이스를 사용하여 트래픽 패턴을 검토할 수 있습니다. 타겟이 간헐적으로 응답을 반환하는 경우 OAS 정책 전에 다른 정책을 사용하여 유효성을 검사하세요.
- OAS 사양 파일에서 응답 본문을 정의하는 경우 타겟 또는 업스트림 정책의 응답은 항상 응답 본문을 제공해야 합니다.
- OAS 사양 파일에 응답 본문이 정의되어 있지 않으면 타겟 또는 업스트림 정책에서 응답 본문을 전송해서는 안 됩니다.
Private Cloud 4.53.01로 업그레이드하기 전에 필요에 따라 OAS 검증 정책 또는 타겟 동작을 업데이트하세요. 프로덕션 클러스터 업그레이드 중 서비스 중단 위험을 최소화하려면 먼저 비프로덕션 환경에서 식별된 워크플로를 검증해야 합니다.
JSON 경로
컨텍스트
Edge for Private Cloud 4.53.01에서는 다양한 정책에서 JSON 경로 표현식이 사용되는 방식이 변경되었습니다. JSONPath 표현식은 ExtractVariable 정책, RegularExpressionProtection 정책, 데이터 마스킹과 같은 정책에서 JSON 콘텐츠를 파싱하거나 변수에 값을 저장하는 데 사용할 수 있습니다. JSONPath 표현식은 일반 메시지 템플릿에서도 사용하여 프록시 실행 중에 변수를 값으로 동적으로 바꿀 수 있습니다. 새로운 JSONPath 표현식과 형식은 최신 JSON 표현식 표준을 따릅니다.
변경사항
JSONPath 표현식을 사용하는 정책이 있는지 기존 API 프록시/공유 흐름을 검토하는 것이 중요합니다. 여기에는 변수 추출 정책, 정규 표현식 보호 정책 또는 JSONPath를 사용하는 메시지 템플릿이 있는 정책이 포함되나 이에 국한되지 않습니다.
아래 JSON 입력은 변경사항을 설명하는 데 사용됩니다.
{
"store": {
"book": [
{"category": "reference", "author": "Nigel Rees", "price": 8.95},
{"category": "fiction", "author": "Evelyn Waugh", "price": 12.99},
{"category": "fiction", "author": "Herman Melville", "price": 8.99}
],
"bicycle": {
"color": "red",
"book": [
{"author": "Abc"}
]
}
}
}
- 객체 값의 JSONPath 와일드카드
[*]동작 변경JSON 객체의 모든 즉각적인 값에 액세스하는 데 사용되는 경우
[*]와일드 카드의 동작이 변경되었습니다. 이전에는$.object[*]가 단일 JSON 객체 내에 래핑된 즉각적인 값을 반환했습니다. 업데이트된 라이브러리를 사용하면 이제 출력이 이러한 값이 포함된 배열이 됩니다.예를 들어
이전 동작:$.store[*]는 다음과 같습니다.{ "bicycle": { "color": "red", "book": [{"author": "Abc"}] }, "book": [ {"price": 8.95, "category": "reference", "author": "Nigel Rees"}, {"price": 12.99, "category": "fiction", "author": "Evelyn Waugh"}, {"price": 8.99, "category": "fiction", "author": "Herman Melville"} ] }[ [ {"category": "reference", "author": "Nigel Rees", "price": 8.95}, {"category": "fiction", "author": "Evelyn Waugh", "price": 12.99}, {"category": "fiction", "author": "Herman Melville", "price": 8.99} ], { "color": "red", "book": [{"author": "Abc"}] } ]JSONPath 표현식을 변경하여 이전에 가져온 항목을 직접 타겟팅하도록 상위 객체 (예:
$.store)를 타겟팅합니다. - 경로의 JSONPath 후행 점
(.)으로 인해 오류가 발생함JSONPath 표현식의 유효성 검사가 더 엄격합니다. 이전에는 잘못된 후행 점 (예:
$.path.to.element.)으로 끝나는 경로가 자동으로 무시되었으며, 앞의 유효한 경로 세그먼트가 일치하는 경우 쿼리에서 결과가 반환되었습니다. 새 버전에서는 이러한 잘못된 경로가 이제 올바르게 잘못된 것으로 식별되어 오류가 발생합니다.예:
이전 동작:$.store.book.[ {"price":8.95,"category":"reference","author":"Nigel Rees"}, {"price":12.99,"category":"fiction","author":"Evelyn Waugh"}, {"price":8.99,"category":"fiction","author":"Herman Melville"} ]ERROR: com.jayway.jsonpath.InvalidPathException - Path must not end with a '.' or '..'
의도하지 않은 후행 점이 있는 JSONPath 표현식을 사용하는 기존 정책은 이제
작업:InvalidPathException로 실패합니다.JSONPath 표현식이 점으로 끝나는 경우 점을 삭제합니다. 예를 들어
$.store.book.를$.store.book로 변경합니다. - JSONPath 재귀 하강
(..)출력 구조 변경이름이 지정된 요소의 모든 항목을 찾기 위해
(..)(재귀적 하강) 연산자를 사용할 때 결과가 반환되는 방식이 변경되었습니다. 이전에는 발견된 모든 요소가 단일 목록으로 병합되었습니다. 업데이트된 라이브러리는 이제 단일 플랫 목록이 아닌 요소가 발견된 원래 그룹화 구조를 유지하는 목록의 목록을 반환합니다.예:
이전 동작:$..book[ {"price":8.95,"category":"reference","author":"Nigel Rees"}, {"price":12.99,"category":"fiction","author":"Evelyn Waugh"}, {"price":8.99,"category":"fiction","author":"Herman Melville"}, {"author":"Abc"} ][ [ {"category":"reference","author":"Nigel Rees","price":8.95}, {"category":"fiction","author":"Evelyn Waugh","price":12.99}, {"category":"fiction","author":"Herman Melville","price":8.99} ], [ {"author":"Abc"} ] ]새로운 중첩 배열 구조를 고려하도록 다운스트림 처리 로직을 업데이트합니다. 개별 요소에 액세스하려면 외부 JSONArray를 반복한 다음 각 내부 JSONArray를 반복해야 할 수 있습니다.
- 다중 항목 선택 또는 필터 후 JSONPath 색인 생성 시 빈 배열이 반환됨
다중 항목 선택기 (예:
[*]) 또는 필터 ([?(condition)]) 직후에 색인 (예:[0])이 적용될 때 동작이 변경됩니다. 이전에는 이러한 표현식이 결합된 결과에서 지정된 색인의 항목을 선택하려고 했습니다. 새 버전에서는 이러한 표현식이 빈 배열 ([])을 반환합니다.예:
이전 동작:$.store.book[*][0]{"category": "reference", "price": 8.95, "author": "Nigel Rees"}[]
필터링한 후 필터링된 집합에서 특정 항목을 가져와야 하는 경우 JSONPath에서 반환된 필터링된 배열(예:
$..book[?(@.category == 'fiction')])을 처리한 다음 이전 결과에서[0]을 가져옵니다. - JSONPath 음수 배열 슬라이싱 출력 변경
새 버전에서는 음수 배열 슬라이싱 (예:
[-2:], [-1:])의 동작이 수정되었습니다. 이전에는 배열에 음수 슬라이스를 적용할 때 (배열 끝의 요소를 나타냄) 이전 버전에서는 해당 슬라이스의 단일 항목만 잘못 반환했습니다. 이제 새 버전에서는 지정된 음수 범위에 속하는 모든 요소를 포함하는 목록 (배열)을 올바르게 반환합니다.예를 들면
이전 동작:$.store.book[-2:]입니다.{"price":12.99,"category":"fiction","author":"Evelyn Waugh"}[ {"category":"fiction","author":"Evelyn Waugh","price":12.99}, {"category":"fiction","author":"Herman Melville","price":8.99} ]이제 원하는 출력을 얻기 위해 반환된 JSON 배열을 반복하도록 다운스트림 처리 로직을 업데이트해야 합니다.
- JSONPath 엄격한 선행 점
루트에서 직접 액세스하는 요소의 구문이 더 엄격하게 적용됩니다. 이제 요소가 앞에 점 없이 루트에서 직접 액세스되는 경우 (예:
$propertyelement) 해당 구문은 오류로 간주되며 프록시 배포가 방지됩니다.예를 들어
$store{ "bicycle": { "color": "red", "book": [{"author": "Abc"}] }, "book": [ {"price": 8.95, "category": "reference", "author": "Nigel Rees"}, {"price": 12.99, "category": "fiction", "author": "Evelyn Waugh"}, {"price": 8.99, "category": "fiction", "author": "Herman Melville"} ] }현재 동작:
Proxy will fail to deploy.작업:
점을 포함하도록 JSONPath를 변경합니다 (
$.propertyName, 예:$.store). 이렇게 하면 값을 올바르게 타겟팅하고 가져올 수 있습니다. - 동적 JSONPath 표현식
JSONPath 표현식 자체가 변수 (예:
{myJsonPathVariable} {dynamicPath}
완화
이를 완화하려면 포괄적인 전략이 필요합니다. 이 프로세스에는 적절한 업데이트 경로를 결정하고 JSONPath 표현식의 중단을 방지하는 데 필요한 수정사항을 적용하는 작업이 포함됩니다.
가장 적합한 업그레이드 경로 방법을 선택하세요.
- 다운타임 없는 마이그레이션
이 전략에서는 별도의 메시지 프로세서 노드를 연결할 수 있도록 하나 이상의 새 환경을 조달합니다. 이러한 메시지 프로세서 노드는 4.53.01을 설치하고 최신 JSONPath 표현식이 있는 프록시를 갖도록 설정할 수 있습니다. 이러한 파일은 업그레이드 중에 사용할 수 있으며 업그레이드가 완료된 후에는 폐기할 수 있습니다. 이 전략은 원활하지만 원활한 업그레이드를 지원하기 위해 추가 메시지 프로세서 노드를 일시적으로 조달해야 합니다. 자세한 내용은 아래를 참고하세요.
- 새 환경을 만들고 버전 4.53.01의 새 메시지 프로세서 노드를 추가합니다.
- 영향을 받는 프록시의 프록시 번들을 새 환경에 업로드하고 수정 섹션에 설명된 필요한 수정사항을 적용한 후 업데이트된 프록시 번들을 새 환경에 배포합니다.
- 트래픽을 새 환경으로 리디렉션하고 이전 환경에서 영향을 받는 프록시를 배포 취소합니다.
- 원본 메시지 프로세서 노드를 4.53.01로 업그레이드합니다. 원본 환경에 JSONPath 수정사항이 있는 프록시를 배포합니다.
- 이제 4.53.01의 메시지 프로세서와 새로운 jsonpath 표현식에 맞게 현대화된 프록시가 있는 이전 환경으로 트래픽을 다시 전환합니다.
- 새 환경과 연결된 노드를 삭제하고 폐기합니다.
- 다운타임 및 업그레이드
이 전략에는 잘못된 JSON 경로 표현식을 사용하여 API 프록시의 다운타임을 조달하는 것이 포함됩니다. 추가 메시지 프로세서 노드를 조달할 필요는 없지만 영향을 받는 프록시의 API 트래픽이 중단됩니다.
- 영향을 받는 정책이 있는 영향을 받는 프록시를 식별하고 영향을 받는 모든 프록시에 대해 새 버전을 생성합니다.
- 프록시의 새 버전에서 수정 섹션에 설명된 수정사항을 구현하여 필요한 수정사항을 적용합니다. 아직 배포하지 마세요.
- 영향을 받는 프록시의 다운타임을 확보합니다.
- 모든 메시지 프로세서를 Edge for Private Cloud 버전 4.53.01로 업그레이드합니다. 새로 업그레이드된 메시지 프로세서에서 기존 프록시가 실패할 수 있습니다.
- 모든 메시지 프로세서를 Edge for Private Cloud 버전 4.53.01로 업그레이드한 후 수정된 JSONPath 표현식으로 새로 생성된 프록시 수정 버전을 배포합니다.
- 이러한 프록시에서 트래픽을 재개합니다.
- 업그레이드 전에 프록시 재설계
Edge for Private Cloud 4.53.01로 업그레이드하기 전에 프록시 자체를 재설계할 수 있습니다. 특정 JSON 경로 표현식을 사용하는 대신 다른 방법을 사용하여 동일한 결과를 얻을 수 있습니다.
예를 들어 JSON 경로와 함께 Extract Variable 정책을 사용하는 경우 최신 버전으로 업그레이드하기 전에 유사한 데이터를 추출하는 JavaScript 정책으로 정책을 대체할 수 있습니다. 업그레이드가 완료되면 프록시를 최신 형식의 JSON 경로를 사용하도록 다시 변경할 수 있습니다.
JavaCallout 변경사항
컨텍스트
프라이빗 클라우드용 Edge 4.53.00 이하에는 여러 JAR 라이브러리가 포함된 deprecated ($APIGEE_ROOT/edge-message-processor/lib/deprecated)라는 디렉터리가 포함되어 있었습니다. 이러한 라이브러리는 JavaCallout 정책의 Java 코드에서 사용할 수 있었으며 커스텀 Java 코드에서 직접 또는 간접적으로 사용할 수 있었습니다.
변경사항
이제 프라이빗 클라우드용 Edge 버전 4.53.01에서 지원 중단된 디렉터리가 삭제되었습니다. Java 코드가 이러한 라이브러리를 사용하는 경우 메시지 프로세서가 버전 4.53.01로 업그레이드되면 이러한 Java 콜아웃을 사용하는 프록시가 실패합니다. 이러한 오류를 방지하려면 메시지 프로세서를 버전 4.53.01로 업그레이드하기 전에 아래 완화 단계를 따르세요.
완화
- Java-Callout 정책과 연결된 JAR을 검토하고 현재 메시지 프로세서의 'deprecated' 디렉터리에 있는 라이브러리를 참조하거나 사용하는 항목이 있는지 확인합니다. Java 콜아웃은 조직 또는 환경 수준 리소스로 업로드된 JAR을 사용할 수 있습니다. 다음 라이브러리도 고려해 보세요.
- 이러한 지원 중단된 라이브러리를 확인한 후 아래 방법 중 하나를 따라 문제를 완화할 수 있습니다.
- 리소스 배치 (Java-Callout jar에서 참조하는 지원 중단된 디렉터리의 jar / 라이브러리 수가 적은 경우 권장)
- 식별된 지원 중단된 JAR를 원하는 수준(API 프록시 버전, 환경 또는 조직)에서 리소스로 업로드합니다.
- 평소와 같이 Apigee 소프트웨어 업그레이드를 진행합니다.
- 수동 배치 (Java-Callout jar에서 참조하는 jar / 라이브러리가 많은 경우 권장)
- 각 메시지 프로세서 노드에서
$APIGEE_ROOT/data/edge-message-processor/경로에 external-lib라는 새 디렉터리를 만듭니다. - 확인된 JAR을 지원 중단된 디렉터리에서 이 external-lib 디렉터리로 복사합니다.
cp $APIGEE_ROOT/edge-message-processor/lib/deprecated/some.jar$APIGEE_ROOT/data/edge-message-processor/external-lib/some.jar - 디렉터리와 기본 jar가 Apigee 사용자(
chown -R apigee:apigee$APIGEE_ROOT/data/edge-message-processor/external-lib)에 의해 읽을 수 있는지 확인합니다. - 평소와 같이 Apigee 소프트웨어 업그레이드를 진행합니다.
- 각 메시지 프로세서 노드에서
- 리소스 배치 (Java-Callout jar에서 참조하는 지원 중단된 디렉터리의 jar / 라이브러리 수가 적은 경우 권장)
OpenLDAP 변경
컨텍스트
OpenLDAP는 인증과 승인 모두에 Edge Private Cloud에서 사용할 수 있습니다. 프라이빗 클라우드용 Edge 4.53.01에서 Apigee에서 제공하는 OpenLDAP 소프트웨어가 버전 2.4에서 2.6으로 업그레이드되었습니다.
변경사항
OpenLDAP 2.6에서 상대 고유 이름 (RDN)은 약 241바이트/문자로 제한됩니다. 이 제한은 적용되는 엄격한 상한이며 수정할 수 없습니다.
영향- RDN이 지나치게 큰 항목의 경우 복제 또는 가져오기 실패가 발생합니다.
- 조직,환경, 맞춤 역할, 권한 등의 엔티티를 만들려고 하면
"message": "[LDAP: error code 80 - Other]"오류 메시지가 표시될 수 있습니다. - Apigee의 LDAP에서 241바이트보다 긴 DN은 영향을 받습니다. 이러한 DN은 Apigee OpenLDAP 소프트웨어의 업그레이드를 방해하므로 업그레이드를 진행하기 전에 이러한 항목에 대한 완화 전략을 따라야 합니다.
일반적으로 Apigee의 LDAP에서 긴 DN은 여러 항목을 연결하여 생성되므로 권한과 관련이 있습니다. 이러한 권한 항목은 특히 업그레이드 문제가 발생하기 쉽습니다.
예를 들면 다음과 같습니다.
dn: cn=@@@environments@@@*@@@applications@@@*@@@revisions@@@*@@@debugsessions,ou=resources,cn=businessuser,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
일반적으로 LDAP의 RDN이 241바이트보다 작아지도록 조직, 환경, 역할 이름을 지정합니다.
완화
4.53.01로 업그레이드하기 전:
다음 단계에 따라 기존 LDAP 2.4 클러스터에 긴 RDN이 있는지 확인할 수 있습니다.
#1 - LDAP 데이터 추출
ldapsearch 명령어를 사용하여 고유 이름 (dn)을 찾고 출력을 파일로 리디렉션합니다.
ldapsearch -o ldif-wrap=no -b "dc=apigee,dc=com" -D "cn=manager,dc=apigee,dc=com" -H ldap://:10389 -LLL -x -w LDAP_PASSWORD dn > /tmp/DN.ldif
위의 DN.ldif 파일에 LDAP 항목이 있는지 확인합니다.
#2 - 긴 RDN 식별
위의 DN.ldif 파일에서 241바이트/문자를 초과하는 RDN을 찾습니다.
cat /tmp/DN.ldif | grep '^dn:' | gawk -F',|dn: ' '{ rdn = $2; char_count = length(rdn); cmd = "echo -n \"" rdn "\" | wc -c"; cmd | getline byte_count; close(cmd); if (char_count > 241 || byte_count > 241) { print rdn, "(chars: " char_count ") (bytes: " byte_count ")"; }}'
o=VeryLongOrgNameWithMoreThan241Chars.... (chars: 245) (bytes: 245)
cn=VeryLongCustomRoleNameWithMoreThan241Chars.... (chars: 258) (bytes: 258)
위 명령어에서 출력이 생성되지 않으면 기존 LDAP 설정의 RDN이 241바이트/문자를 초과하지 않습니다. 평소와 같이 업그레이드를 진행해도 됩니다.
위 명령어에서 출력이 생성되면 241바이트/문자를 초과하는 RDN이 있음을 나타냅니다. 이러한 항목의 경우 Edge for Private Cloud 4.53.01 업그레이드를 진행하기 전에 3단계에 설명된 완화 단계를 따르세요.
#3 - 긴 RDN 처리
2단계에서 출력이 수신되면 241바이트/문자를 초과하는 RDN이 있음을 나타내므로 아래 완화 단계를 따르세요.
241바이트를 초과하는 LDAP 항목을 검토합니다.
- RDN이 길어지는 주요 원인이 맞춤 역할 이름, 앱, API 제품 또는 기타 항목인 경우 이름이 더 짧은 대체 항목을 사용하도록 마이그레이션합니다.
- 긴 RDN의 주요 원인이 조직 이름 또는 환경 이름인 경우 이름이 더 짧은 다른 조직 또는 환경으로 이전해야 합니다.
LDAP에 241바이트보다 긴 RDN이 없을 때까지 위의 단계를 반복합니다. 이 상태에 도달하면 평소와 같이 프라이빗 클라우드 버전 업그레이드를 진행합니다.
암호화 제공자 변경사항
컨텍스트
이 변경사항은 Edge for Private Cloud 4.53.00에서 가져온 것입니다. Edge for Private Cloud 4.53.00에서는 FIPS 지원을 사용 설정하기 위해 내부 암호화 제공자가 Bouncy Castle (BC)에서 Bouncy Castle FIPS (BCFIPS)로 업데이트되었습니다.
변경사항
JavaCallout 정책이 원래 BC 제공업체 사용에 의존하는 경우, 특히 BCFIPS 제공업체에서 강화된 보안 기능을 사용하는 경우 (예: 암호화와 서명 모두에 공통 키 쌍 사용) 이러한 JavaCallout 정책을 현대화해야 합니다. 이름 BC를 사용하여 Bouncy Castle 암호화 제공자를 로드하려고 하는 JavaCallout 정책은 기본 제공자가 변경되었기 때문에 실패할 수 있습니다. BC 제공자를 사용하는 이러한 정책은 이후에 중단될 수 있습니다. 이전 BC 제공자를 사용하는 맞춤 구현은 더 이상 액세스할 수 없으며 검토하고 다시 구현해야 합니다.
완화
권장되는 해결 방법은 BCFIPS 제공자를 사용하는 것입니다. 이전 제공자를 사용한 맞춤 JavaCallout 구현은 문자열 'BCFIPS'를 사용하여 액세스할 수 있는 Bouncy Castle FIPS 제공자를 사용하여 검토하고 다시 구현해야 합니다.
자동 변경사항 감지 도구
변경사항 감지 도구가 곧 출시될 예정입니다. 이 도구는 이 도움말에 설명된 다양한 변경사항의 영향을 받을 수 있는 API 프록시, 공유 흐름, 리소스, LDAP RDN을 검색하고 식별할 수 있습니다. 이 도구는 Private Cloud 4.53.01용 Edge로 업그레이드하는 동안 또는 업그레이드 후에 실패하기 쉬운 다양한 엔티티를 식별하는 데 도움이 됩니다.