Problemas conocidos con Apigee

Cuando se usa la variable de flujo cachehit después de la política LookupCache, debido a la forma en que se despachan los puntos de depuración para el comportamiento asíncrono, LookupPolicy propaga el objeto DebugInfo antes de que se ejecute la devolución de llamada, lo que genera un error.

Solución alternativa: Repite el proceso (realiza una segunda llamada) justo después de la primera.

Si configuras PurgeChildEntries en la política InvalidateCache, solo se deben borrar los valores del elemento KeyFragment, pero se borra toda la caché.

Solución: Usa la política de KeyValueMapOperations para iterar el control de versiones de la caché y evitar la necesidad de invalidar la caché.

Esto puede ocurrir, por ejemplo, cuando se realizan ejecuciones simultáneas de una canalización de implementación de CI/CD mediante diferentes revisiones. Para evitar este problema, evita implementar proxies de API o SharedFlows antes de que se complete la implementación actual.

Solución alternativa: Evita las implementaciones simultáneas de proxy de API o SharedFlow.

A veces, las estadísticas de la API de Edge pueden contener datos duplicados de las llamadas a la API. En ese caso, los recuentos que se muestran para las llamadas a la API en Analytics de la API de Edge son más altos que los valores comparables que se muestran en las herramientas de análisis de terceros.

Solución: Exporta los datos de estadísticas y usa el campo gateway_flow_id para anular la duplicación de los datos.

• Apigee Edge admite la especificación de OpenAPI 3.0 cuando creas especificaciones con el editor de especificaciones y publicas APIs con SmartDocs en tu portal, aunque aún no se admite un subconjunto de funciones.

  Por ejemplo, aún no se admiten las siguientes funciones de la especificación OpenAPI 3.0:

  • Propiedades allOf para combinar y extender esquemas
  • Referencias remotas

  En caso de que se haga referencia a una función no admitida en la especificación de OpenAPI, en algunos casos las herramientas la ignorarán la función, pero renderizarán la documentación de referencia de la API. En otros casos, una función no admitida generará errores que impiden la correcta renderización de la documentación de referencia de la API. En cualquier caso, deberás modificar la especificación de OpenAPI para evitar el uso de la función no compatible hasta que se admita en una versión futura.

  Nota: Como el editor de especificaciones es menos restrictivo que SmartDocs cuando renderiza la documentación de referencia de la API, es posible que obtengas resultados diferentes entre las herramientas.

• Cuando se usa Probar esta API en el portal, el encabezado Accept se configura como application/json, sin importar el valor establecido para consumes en la OpenAPI Specification.
• 138438484: No se admiten varios servidores.

• En este momento, no se admiten las actualizaciones simultáneas del portal (como ediciones a las páginas, el tema, CSS o las secuencias de comandos).
• Si borras una página de documentación de referencia de la API del portal, no hay manera de volver a crearla. Deberás eliminar y volver a agregar el producto de la API, y volver a generar la documentación de referencia de la API.
• Cuando configuras la política de seguridad del contenido, los cambios pueden tardar hasta 15 minutos en aplicarse por completo.
• Cuando personalizas el tema de tu portal, los cambios pueden tardar hasta 5 minutos en aplicarse por completo.

• La búsqueda se integrará al portal integrado en una versión futura.

Se divulgó una vulnerabilidad (CVE-2026-42945) que afecta a ngx_http_rewrite_module en NGINX. Las herramientas de análisis de seguridad pueden marcar los archivos binarios de NGINX incluidos en Apigee Edge para la nube privada porque este módulo se compila de forma estática en NGINX.

Impacto en Apigee Edge para la nube privada:

Apigee Edge para la nube privada no se ve afectado por esta vulnerabilidad en su configuración predeterminada. La vulnerabilidad CVE-2026-42945 depende de patrones de configuración específicos de NGINX, en particular, el uso de la directiva rewrite en una secuencia determinada. Estos patrones no están presentes en ninguna configuración estándar de NGINX de Apigee Edge para la nube privada.

Acción requerida:

• Para las configuraciones predeterminadas de Apigee Edge para la nube privada: No se requieren parches, actualizaciones ni cambios operativos. Los hallazgos del análisis relacionados con CVE-2026-42945 se pueden considerar falsos positivos para las instalaciones predeterminadas. Puedes usar el siguiente texto para documentar esta excepción en tu sistema de gestión de vulnerabilidades:

  CVE-2026-42945 — Accepted exception (false positive for Apigee Edge for Private Cloud). Apigee Edge for Private Cloud does not use the rewrite directive in any shipped NGINX configuration. The vulnerable code path in ngx_http_rewrite_module is configuration-gated and is not reachable in the default Apigee Edge for Private Cloud deployment.

• Para configuraciones de NGINX personalizadas: Si modificaste manualmente los archivos de configuración de NGINX en tu instalación de Apigee Edge para la nube privada (por ejemplo, en /opt/nginx), debes realizar la siguiente autoverificación para asegurarte de que tus personalizaciones no hayan introducido inadvertidamente el patrón vulnerable:
  1. Verifica la directiva de reescritura: En cada nodo de NGINX, ejecuta el siguiente comando:

     sudo grep -rnI '^\s*rewrite\b' /opt/nginx

  2. Analizar resultados:
     • Si el comando no muestra ningún resultado, tu sistema no se ve afectado.
     • Si se encuentran coincidencias, revisa cada instancia. La vulnerabilidad está presente solo si se cumplen todas las siguientes condiciones para un bloque determinado:
       • Se usa la directiva rewrite.
       • Le sigue inmediatamente otra directiva rewrite, if o set dentro del mismo bloque de configuración.
       • Se usa un grupo de captura de PCRE sin nombre (por ejemplo, $1, $2, etcétera) en las directivas.
       • La cadena de reemplazo en la directiva contiene un signo de interrogación (?).
  3. Mitigación (si es vulnerable): Si todas las condiciones anteriores son verdaderas para alguna parte de tu configuración personalizada, realiza la mitigación de la siguiente manera:
     • Se quita el signo de interrogación (?) de la cadena de reemplazo.
     • Usar grupos de captura PCRE con nombre en lugar de los que no tienen nombre
     • Reevaluar la necesidad de las directivas encadenadas

En Edge para la nube privada 4.53.00 y versiones posteriores, la IU muestra una ventana emergente de advertencia de"Fin del ciclo de vida" (EOL). Esta advertencia aparece
de manera repetida y no se puede evitar ni reducir su frecuencia.

Actualmente, no hay ningún método disponible para que los usuarios inhabiliten o reduzcan la frecuencia de esta advertencia de FdV.

Este problema solo afecta a quienes usan MINT o tienen habilitado MINT en las instalaciones de Edge para la nube privada.

Componente afectado: edge-message-processor

Problema: Si tienes habilitada la monetización y estás instalando la versión 4.52.01 como una instalación nueva o actualizando desde versiones anteriores de Private Cloud, tendrás un problema con los procesadores de mensajes. Habrá un aumento gradual en el recuento de subprocesos abiertos que provocará el agotamiento de los recursos. La siguiente excepción se ve en el archivo system.log del procesador de mensajes perimetral:

Error injecting constructor, java.lang.OutOfMemoryError: unable to create new native thread

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido Apigee Edge for Private Cloud. La vulnerabilidad podría provocar un DoS de la funcionalidad de administración de la API de Apigee. Para obtener más detalles, consulta el Boletín de seguridad de Apigee GCP-2023-032.

Los componentes del router y el servidor de administración de Edge para la nube privada están expuestos a Internet y pueden ser vulnerables. Aunque HTTP/2 está habilitado en el puerto de administración de otros componentes específicos de Edge para la nube privada, ninguno de esos componentes está expuesto a Internet. En componentes que no son de Edge, como Cassandra, Zookeeper y otros, HTTP/2 no está habilitado. Te recomendamos que sigas estos pasos para abordar la vulnerabilidad de Edge para la nube privada:

• Pasos para las versiones 4.51.00.11 o posteriores de Edge para la nube privada
• Pasos para las versiones de Edge para la nube privada anteriores a la 4.51.00.11

Sigue estos pasos si usas las versiones 4.51.00.11 o posteriores de Edge Private Cloud:

1. Actualiza el servidor de administración:

   1. En cada nodo del servidor de administración, abre /opt/apigee/customer/application/management-server.properties.
   2. Agrega esta línea al archivo de propiedades:

      conf_webserver_http2.enabled=false

   3. Reinicia el componente del servidor de administración:

      apigee-service edge-management-server restart

2. Actualiza el procesador de mensajes:

   1. En cada nodo del procesador de mensajes, abre /opt/apigee/customer/application/message-processor.properties
   2. Agrega esta línea al archivo de propiedades:

      conf_webserver_http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-message-processor restart

3. Actualiza el router:

   1. En cada nodo del router, abre /opt/apigee/customer/application/router.properties.
   2. Agrega esta línea al archivo de propiedades:

      conf_webserver_http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-router restart

4. Actualiza QPID:

   1. En cada nodo de QPID, abre /opt/apigee/customer/application/qpid-server.properties.
   2. Agrega esta línea al archivo de propiedades:

      conf_webserver_http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-qpid-server restart

5. Actualiza Postgres:

   1. En cada nodo de Postgres, abre /opt/apigee/customer/application/postgres-server.properties.
   2. Agrega esta línea al archivo de propiedades:

      conf_webserver_http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-postgres-server restart

Sigue estos pasos si usas versiones de Edge para la nube privada anteriores a la 4.51.00.11:

1. Actualiza el servidor de administración:

   1. En cada nodo del servidor de administración, abre /opt/apigee/customer/application/management-server.properties.
   2. Agrega las siguientes dos líneas al archivo de propiedades:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Reinicia el componente del servidor de administración:

      apigee-service edge-management-server restart

2. Actualiza el procesador de mensajes:

   1. En cada nodo del procesador de mensajes, abre /opt/apigee/customer/application/message-processor.properties
   2. Agrega las siguientes dos líneas al archivo de propiedades:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-message-processor restart

3. Actualiza el router:

   1. En cada nodo del router, abre /opt/apigee/customer/application/router.properties.
   2. Agrega las siguientes dos líneas al archivo de propiedades:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-router restart

4. Actualiza QPID:

   1. En cada nodo de QPID, abre /opt/apigee/customer/application/qpid-server.properties.
   2. Agrega las siguientes dos líneas al archivo de propiedades:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-qpid-server restart

5. Actualiza Postgres:

   1. En cada nodo de Postgres, abre /opt/apigee/customer/application/postgres-server.properties.
   2. Agrega las siguientes dos líneas al archivo de propiedades:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Reinicia el componente del procesador de mensajes:

      apigee-service edge-postgres-server restart

Apigee-postgresql tiene problemas para actualizar desde Edge para la nube privada, versiones 4.50 o 4.51, a la versión 4.52. Los problemas ocurren principalmente cuando la cantidad de tablas es superior a 500.

Para verificar la cantidad total de tablas en Postgres, puedes ejecutar la siguiente consulta en SQL:

select count(*) from information_schema.tables

Solución alternativa: Cuando actualices Apigee Edge 4.50.00 o 4.51.00 a 4.52.00, asegúrate de realizar el paso preliminar antes de actualizar Apigee-postgresql.

149245401: No se reflejan los parámetros de configuración del grupo de conexiones LDAP para JNDI configurados a través del recurso LDAP, y los valores predeterminados de JNDI provocan conexiones de un solo uso cada vez. Como resultado, las conexiones se abren y cierran cada vez para un solo uso, lo que genera una gran cantidad de conexiones por hora al servidor LDAP.

Solución alternativa:

Para cambiar las propiedades del grupo de conexiones LDAP, sigue estos pasos para establecer un cambio global en todas las políticas de LDAP.

1. Crea un archivo de propiedades de configuración si aún no existe:

   /opt/apigee/customer/application/message-processor.properties

2. Agrega lo siguiente al archivo (reemplaza los valores de las propiedades de la interfaz de directorio y nomenclatura de Java [JNDI] según el requisito de configuración de tu recurso LDAP).

   bin_setenv_ext_jvm_opts="-Dcom.sun.jndi.ldap.connect.pool.maxsize=20
   -Dcom.sun.jndi.ldap.connect.pool.prefsize=2
   -Dcom.sun.jndi.ldap.connect.pool.initsize=2
   -Dcom.sun.jndi.ldap.connect.pool.timeout=120000
   -Dcom.sun.jndi.ldap.connect.pool.protocol=ssl"

3. Asegúrate de que el archivo /opt/apigee/customer/application/message-processor.properties sea propiedad de apigee:apigee.
4. Reinicia cada procesador de mensajes.

Para verificar que las propiedades JNDI del grupo de conexiones estén surtiendo efecto, puedes realizar un tcpdump para observar el comportamiento del grupo de conexiones LDAP con el tiempo.

139051927: Las latencias altas de procesamiento del proxy que se encontraron en el Message Processor afectan a todos los proxies de API. Los síntomas incluyen demoras de entre 200 y 300 ms en los tiempos de procesamiento en comparación con los tiempos de respuesta normales de la API y pueden ocurrir de forma aleatoria incluso con un TPS bajo. Esto puede ocurrir cuando hay más de 50 servidores de destino a los que se conecta un procesador de mensajes.

Causa raíz: Los procesadores de mensajes mantienen una caché que asigna la URL del servidor de destino al objeto HTTPClient para las conexiones salientes a los servidores de destino. De forma predeterminada, este parámetro de configuración se establece en 50, lo que puede ser demasiado bajo para la mayoría de las implementaciones. Cuando una implementación tiene varias combinaciones de organización o entorno en una configuración y una gran cantidad de servidores de destino que superan los 50 en total, las URLs de los servidores de destino se siguen expulsando de la caché, lo que provoca latencias.

Validación: Para determinar si el desalojo de la URL del servidor de destino está causando el problema de latencia, busca la palabra clave "onEvict" o "Eviction" en los registros system.logs del Message Processor. Su presencia en los registros indica que las URLs del servidor de destino se expulsan de la caché de HTTPClient porque el tamaño de la caché es demasiado pequeño.

Solución alternativa: Para las versiones 19.01 y 19.06 de Edge para la nube privada, puedes editar y configurar la caché de HTTPClient, /opt/apigee/customer/application/message-processor.properties:

conf/http.properties+HTTPClient.dynamic.cache.elements.size=500

Luego, reinicia el procesador de mensajes. Realiza los mismos cambios en todos los procesadores de mensajes.

El valor 500 es un ejemplo. El valor óptimo para tu configuración debe ser mayor que la cantidad de servidores de destino a los que se conectaría el procesador de mensajes. No hay efectos secundarios por establecer esta propiedad en un valor más alto, y el único efecto sería una mejora en los tiempos de procesamiento de las solicitudes de proxy del procesador de mensajes.

Nota: La versión 50.00 de Edge para la nube privada tiene el parámetro de configuración predeterminado de 500.

157933959: Las inserciones y actualizaciones simultáneas en el mismo mapa de clave-valor (KVM) con alcance a nivel de la organización o del entorno provocan datos incoherentes y actualizaciones perdidas.

Nota: Esta limitación solo se aplica a Edge para la nube privada. Edge para la nube pública y Edge Hybrid no tienen esta limitación.

Para una solución alternativa en Edge para la nube privada, crea el KVM en el alcance apiproxy.