Bekannte Probleme mit Apigee

Wenn die Ablaufvariable cachehit nach der LookupCache-Richtlinie verwendet wird, füllt die LookupPolicy das DebugInfo-Objekt aufgrund der Art und Weise, wie Debugpunkte für das asynchrone Verhalten gesendet werden, aus, bevor der Rückruf ausgeführt wurde. Dies führt zu einem Fehler.

Problemumgehung:Wiederholen Sie den Vorgang (führen Sie einen zweiten Anruf aus) direkt nach dem ersten Anruf.

Wenn Sie PurgeChildEntries in der InvalidateCache-Richtlinie festlegen, sollten nur die Werte des KeyFragment-Elements gelöscht werden. Stattdessen wird jedoch der gesamte Cache geleert.

Umgehung:Verwenden Sie die KeyValueMapOperations-Richtlinie, um die Cache-Versionierung zu iterieren und die Cache-Entwertung zu umgehen.

Dies kann beispielsweise der Fall sein, wenn eine CI/CD-Bereitstellungspipeline gleichzeitig mit verschiedenen Überarbeitungen ausgeführt wird. Um dieses Problem zu vermeiden, sollten Sie keine API-Proxys oder SharedFlows bereitstellen, bevor die aktuelle Bereitstellung abgeschlossen ist.

Problemumgehung:Vermeiden Sie gleichzeitige API-Proxy- oder SharedFlow-Bereitstellungen.

Edge API Analytics kann manchmal doppelte Daten für API-Aufrufe enthalten. In diesem Fall sind die in Edge API Analytics für API-Aufrufe angezeigten Werte höher als die vergleichbaren Werte in Analysetools von Drittanbietern.

Umgehung: Exportieren Sie die Analysedaten und verwenden Sie das Feld gateway_flow_id, um die Daten zu deduplizieren.

• Apigee Edge unterstützt OpenAPI-Spezifikation 3.0, wenn Sie Spezifikationen mit dem Spezifikationseditor erstellen und APIs mit SmartDocs auf Ihrem Portal veröffentlichen. Eine Teilmenge der Funktionen wird jedoch noch nicht unterstützt.

  Die folgenden Features aus der OpenAPI-Spezifikation 3.0 werden beispielsweise noch nicht unterstützt:

  • allOf-Attribute zum Kombinieren und Erweitern von Schemas
  • Remote-Referenzen

  Wenn in Ihrer OpenAPI-Spezifikation auf eine nicht unterstützte Funktion verwiesen wird, ignorieren die Tools die Funktion in einigen Fällen, rendern aber trotzdem die API-Referenzdokumentation. In anderen Fällen führt eine nicht unterstützte Funktion zu Fehlern, die das erfolgreiche Rendern der API-Referenzdokumentation verhindern. In beiden Fällen müssen Sie Ihre OpenAPI-Spezifikation ändern, um die Verwendung der nicht unterstützten Funktion zu verhindern, bis sie in einer zukünftigen Version unterstützt wird.

  Hinweis: Da der Spezifikationseditor beim Rendern von API-Referenzdokumenten weniger restriktiv ist als SmartDocs, können die Ergebnisse zwischen den Tools unterschiedlich ausfallen.

• Wenn Sie diese API im Portal testen, wird der Accept-Header auf application/json gesetzt, unabhängig von dem für consumes in der OpenAPI-Spezifikation festgelegten Werts.
• 138438484: Mehrere Server werden nicht unterstützt.

• Gleichzeitige Aktualisierung von Portalen (z. B. Seite, Design, CSS oder Skriptänderungen) wird von mehreren Nutzern derzeit nicht unterstützt.
• Wenn Sie eine API-Referenzdokumentationsseite aus dem Portal löschen, gibt es keine Möglichkeit, sie neu zu erstellen; Sie müssen das API-Produkt löschen und neu hinzufügen und die API-Referenzdokumentation neu generieren.
• Wenn Sie die Content Security Policy konfigurieren, kann es bis zu 15 Minuten dauern, bis die Änderungen vollständig übernommen werden.
• Bei der Anpassung des Portaldesign kann es bis zu 5 Minuten dauern, bis die Änderungen vollständig übernommen werden.

• Die Suche wird in einer zukünftigen Version in das integrierte Portal integriert.

Es wurde eine Sicherheitslücke (CVE-2026-42945) im ngx_http_rewrite_module in NGINX bekannt gegeben. Sicherheitsscanning-Tools können die NGINX-Binärdateien kennzeichnen, die in Apigee Edge for Private Cloud enthalten sind, da dieses Modul statisch in NGINX kompiliert wird.

Auswirkungen auf Apigee Edge for Private Cloud :

Apigee Edge for Private Cloud ist in der Standardkonfiguration nicht von dieser Sicherheitslücke betroffen. Die Ausnutzbarkeit von CVE-2026-42945 hängt von bestimmten NGINX-Konfigurationsmustern ab, insbesondere von der Verwendung der rewrite-Anweisung in einer bestimmten Reihenfolge. Diese Muster sind in keiner Standard-NGINX-Konfiguration von Apigee Edge for Private Cloud vorhanden.

Erforderliche Maßnahme :

• Für Standardkonfigurationen von Apigee Edge for Private Cloud sind keine Patches, Upgrades oder betrieblichen Änderungen erforderlich. Scannerergebnisse zu CVE-2026-42945 können für Standardinstallationen als falsch positiv behandelt werden. Sie können den folgenden Text verwenden, um diese Ausnahme in Ihrem System zur Verwaltung von Sicherheitslücken zu dokumentieren:

  CVE-2026-42945 — Accepted exception (false positive for Apigee Edge for Private Cloud). Apigee Edge for Private Cloud does not use the rewrite directive in any shipped NGINX configuration. The vulnerable code path in ngx_http_rewrite_module is configuration-gated and is not reachable in the default Apigee Edge for Private Cloud deployment.

• Für benutzerdefinierte NGINX-Konfigurationen:Wenn Sie die NGINX-Konfigurationsdateien in Ihrer Apigee Edge for Private Cloud-Installation manuell geändert haben (z. B. unter /opt/nginx), sollten Sie die folgende Selbstprüfung durchführen, um sicherzustellen, dass durch Ihre Anpassungen nicht versehentlich das anfällige Muster eingeführt wurde:
  1. Nach der Anweisung „rewrite“ suchen:Führen Sie auf jedem NGINX-Knoten den folgenden Befehl aus:

     sudo grep -rnI '^\s*rewrite\b' /opt/nginx

  2. Ergebnisse analysieren:
     • Wenn der Befehl keine Ausgabe zurückgibt, ist Ihr System nicht betroffen.
     • Wenn Übereinstimmungen gefunden werden, prüfen Sie jede Instanz. Die Sicherheitslücke ist nur vorhanden, wenn alle folgenden Bedingungen für einen bestimmten Block erfüllt sind:
       • Die Anweisung rewrite wird verwendet.
       • Unmittelbar danach folgt eine weitere Anweisung rewrite, if oder set im selben Konfigurationsblock.
       • In den Anweisungen wird eine unbenannte PCRE-Erfassungsgruppe verwendet (z. B. $1, $2 usw.).
       • Die Ersetzungszeichenfolge in der Anweisung enthält ein Fragezeichen (?).
  3. Abhilfe (wenn anfällig) : Wenn alle oben genannten Bedingungen für einen Teil Ihrer benutzerdefinierten Konfiguration zutreffen, können Sie das Problem so beheben:
     • Entfernen Sie das Fragezeichen (?) aus der Ersetzungszeichenfolge.
     • Verwenden Sie benannte PCRE-Erfassungsgruppen anstelle von unbenannten.
     • Bewerten Sie noch einmal, ob die verketteten Anweisungen erforderlich sind.

In Edge for Private Cloud 4.53.00 und höher wird in der UI ein "Ende des Lebenszyklus" (EOL) Warnungs-Pop-up angezeigt. Diese Warnung wird
wiederholt angezeigt und die Häufigkeit kann nicht reduziert werden.

Derzeit gibt es keine Methode, mit der Nutzer diese EOL-Warnung deaktivieren oder die Häufigkeit reduzieren können.

Dieses Problem betrifft nur Nutzer von MINT oder Nutzer, bei denen MINT in Edge for Private Cloud-Installationen aktiviert ist.

Betroffene Komponente:edge-message-processor

Problem:Wenn Sie die Monetarisierung aktiviert haben und 4.52.01 als Neuinstallation installieren oder ein Upgrade von früheren Private Cloud-Versionen durchführen, tritt ein Problem mit den Nachrichtenprozessoren auf. Die Anzahl der offenen Threads nimmt allmählich zu, was zu einer Ressourcenerschöpfung führt. Die folgende Ausnahme wird in der Datei „edge-message-processor system.log“ angezeigt:

Error injecting constructor, java.lang.OutOfMemoryError: unable to create new native thread

In mehreren Implementierungen des HTTP/2-Protokolls wurde vor Kurzem eine DoS-Sicherheitslücke (Denial of Service) festgestellt (CVE-2023-44487), darunter auch in Apigee Edge for Private Cloud. Die Sicherheitslücke könnte zu einem DoS der Apigee API-Verwaltungsfunktionen führen. Weitere Informationen finden Sie im Apigee-Sicherheitsbulletin GCP-2023-032.

Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind für das Internet freigegeben und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungs port anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei Nicht-Edge-Komponenten wie Cassandra, Zookeeper und anderen, HTTP/2 ist nicht aktiviert. Wir empfehlen, dass Sie die folgenden Schritte ausführen, um die Sicherheitslücke von Edge for Private Cloud zu beheben:

• Schritte für Edge for Private Cloud-Versionen 4.51.00.11 oder höher
• Schritte für Edge for Private Cloud-Versionen vor 4.51.00.11

Führen Sie diese Schritte aus, wenn Sie Edge for Private Cloud-Versionen 4.51.00.11 oder höher verwenden:

1. Verwaltungsserver aktualisieren :

   1. Öffnen Sie auf jedem Verwaltungsserverknoten die Datei /opt/apigee/customer/application/management-server.properties.
   2. Fügen Sie der Eigenschaftendatei diese Zeile hinzu:

      conf_webserver_http2.enabled=false

   3. Starten Sie die Verwaltungsserverkomponente neu:

      apigee-service edge-management-server restart

2. Nachrichtenprozessor aktualisieren :

   1. Öffnen Sie auf jedem Nachrichtenprozessorknoten die Datei /opt/apigee/customer/application/message-processor.properties.
   2. Fügen Sie der Eigenschaftendatei diese Zeile hinzu:

      conf_webserver_http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-message-processor restart

3. Router aktualisieren :

   1. Öffnen Sie auf jedem Routerknoten die Datei /opt/apigee/customer/application/router.properties.
   2. Fügen Sie der Eigenschaftendatei diese Zeile hinzu:

      conf_webserver_http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-router restart

4. QPID aktualisieren :

   1. Öffnen Sie auf jedem QPID-Knoten die Datei /opt/apigee/customer/application/qpid-server.properties.
   2. Fügen Sie der Eigenschaftendatei diese Zeile hinzu:

      conf_webserver_http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-qpid-server restart

5. Postgres aktualisieren :

   1. Öffnen Sie auf jedem Postgres-Knoten die Datei /opt/apigee/customer/application/postgres-server.properties.
   2. Fügen Sie der Eigenschaftendatei diese Zeile hinzu:

      conf_webserver_http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-postgres-server restart

Führen Sie diese Schritte aus, wenn Sie Edge for Private Cloud-Versionen vor 4.51.00.11 verwenden:

1. Verwaltungsserver aktualisieren :

   1. Öffnen Sie auf jedem Verwaltungsserverknoten die Datei /opt/apigee/customer/application/management-server.properties.
   2. Fügen Sie der Eigenschaftendatei die folgenden beiden Zeilen hinzu:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Starten Sie die Verwaltungsserverkomponente neu:

      apigee-service edge-management-server restart

2. Nachrichtenprozessor aktualisieren :

   1. Öffnen Sie auf jedem Nachrichtenprozessorknoten die Datei /opt/apigee/customer/application/message-processor.properties.
   2. Fügen Sie der Eigenschaftendatei die folgenden beiden Zeilen hinzu:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-message-processor restart

3. Router aktualisieren :

   1. Öffnen Sie auf jedem Routerknoten die Datei /opt/apigee/customer/application/router.properties.
   2. Fügen Sie der Eigenschaftendatei die folgenden beiden Zeilen hinzu:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-router restart

4. QPID aktualisieren :

   1. Öffnen Sie auf jedem QPID-Knoten die Datei /opt/apigee/customer/application/qpid-server.properties.
   2. Fügen Sie der Eigenschaftendatei die folgenden beiden Zeilen hinzu:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-qpid-server restart

5. Postgres aktualisieren :

   1. Öffnen Sie auf jedem Postgres-Knoten die Datei /opt/apigee/customer/application/postgres-server.properties.
   2. Fügen Sie der Eigenschaftendatei die folgenden beiden Zeilen hinzu:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Starten Sie die Nachrichtenprozessorkomponente neu:

      apigee-service edge-postgres-server restart

Bei Apigee-postgresql treten Probleme beim Upgrade von Edge for Private Cloud Version 4.50 oder 4.51 auf Version 4.52 auf. Die Probleme treten hauptsächlich auf, wenn die Anzahl der Tabellen größer als 500 ist.

Sie können die Gesamtzahl der Tabellen in Postgres mit der folgenden SQL-Abfrage prüfen:

select count(*) from information_schema.tables

Workaround: Wenn Sie ein Upgrade von Apigee Edge 4.50.00 oder 4.51.00 auf 4.52.00 durchführen, müssen Sie den vorläufigen Schritt ausführen, bevor Sie ein Upgrade von Apigee-postgresql durchführen.

149245401: Die Einstellungen für den LDAP-Verbindungspool für JNDI, die über die LDAP-Ressource konfiguriert wurden, werden nicht berücksichtigt. Die JNDI-Standardeinstellungen führen jedes Mal zu Verbindungen zur einmaligen Verwendung. Daher werden Verbindungen jedes Mal für die einmalige Verwendung geöffnet und geschlossen, wodurch eine große Anzahl von Verbindungen pro Stunde zum LDAP-Server entsteht.

Workaround :

Wenn Sie die Eigenschaften des LDAP-Verbindungspools ändern möchten, führen Sie die folgenden Schritte aus, um eine globale Änderung für alle LDAP-Richtlinien festzulegen.

1. Erstellen Sie eine Konfigurationseigenschaftendatei, falls sie noch nicht vorhanden ist:

   /opt/apigee/customer/application/message-processor.properties

2. Fügen Sie der Datei Folgendes hinzu. Ersetzen Sie die Werte der JNDI-Eigenschaften (Java Naming and Directory Interface) entsprechend den Anforderungen Ihrer LDAP-Ressourcenkonfiguration.

   bin_setenv_ext_jvm_opts="-Dcom.sun.jndi.ldap.connect.pool.maxsize=20
   -Dcom.sun.jndi.ldap.connect.pool.prefsize=2
   -Dcom.sun.jndi.ldap.connect.pool.initsize=2
   -Dcom.sun.jndi.ldap.connect.pool.timeout=120000
   -Dcom.sun.jndi.ldap.connect.pool.protocol=ssl"

3. Prüfen Sie, ob die Datei /opt/apigee/customer/application/message-processor.properties dem Nutzer „apigee:apigee“ gehört.
4. Starten Sie jeden Nachrichtenprozessor neu.

Um zu prüfen, ob Ihre JNDI Eigenschaften für den Verbindungspool wirksam sind, können Sie einen tcpdump ausführen, um das Verhalten des LDAP-Verbindungspools im Zeitverlauf zu beobachten.

139051927: Hohe Latenzen bei der Proxyverarbeitung im Message Processor wirken sich auf alle API-Proxys aus. Zu den Symptomen gehören Verzögerungen von 200 bis 300 ms bei den Verarbeitungszeiten im Vergleich zu den normalen API-Antwortzeiten . Sie können auch bei niedrigen TPS-Werten zufällig auftreten. Dies kann auftreten, wenn mehr als 50 Ziel server vorhanden sind, zu denen ein Nachrichtenprozessor Verbindungen herstellt.

Ursache: Nachrichtenprozessoren verwalten einen Cache, der die Zielserver-URL dem HTTPClient-Objekt für ausgehende Verbindungen zu Zielservern zuordnet. Standardmäßig ist diese Einstellung auf 50 festgelegt, was für die meisten Bereitstellungen zu niedrig sein kann. Wenn eine Bereitstellung mehrere Kombinationen aus Organisation und Umgebung enthält, und insgesamt eine große Anzahl von Zielservern vorhanden ist, die 50 übersteigt, werden die Zielserver-URLs immer wieder aus dem Cache entfernt, was zu Latenzen führt.

Validierung: Um festzustellen, ob das Entfernen von Zielserver-URLs das Latenzproblem verursacht, suchen Sie in den Systemprotokollen des Message Processors nach dem Keyword „onEvict“ oder „Eviction“. Wenn diese in den Protokollen vorhanden sind, werden Zielserver-URLs aus dem HTTPClient-Cache entfernt, weil die Cachegröße zu klein ist.

Workaround: Für Edge for Private Cloud-Versionen 19.01 und 19.06 können Sie den HTTPClient-Cache bearbeiten und konfigurieren: /opt/apigee/customer/application/message-processor.properties:

conf/http.properties+HTTPClient.dynamic.cache.elements.size=500

Starten Sie dann den Nachrichtenprozessor neu. Nehmen Sie dieselben Änderungen für alle Nachrichtenprozessoren vor.

Der Wert 500 ist ein Beispiel. Der optimale Wert für Ihre Konfiguration sollte größer als die Anzahl der Zielserver sein, mit denen sich der Nachrichtenprozessor verbindet. Es gibt keine Nebenwirkungen, wenn Sie diese Eigenschaft höher festlegen. Die einzige Auswirkung ist eine verbesserte Verarbeitungszeit für Proxyanfragen des Nachrichtenprozessors.

Hinweis:In Edge for Private Cloud-Version 50.00 ist der Standardwert 500.

157933959: Gleichzeitige Einfügungen und Aktualisierungen in derselben Schlüssel/Wert-Zuordnung (Key Value Map, KVM), die auf der Organisationsebene oder Umgebungsebene festgelegt ist, führen zu inkonsistenten Daten und verlorenen Aktualisierungen.

Hinweis:Diese Einschränkung gilt nur für Edge for private Cloud. Edge for Public Cloud und Hybrid haben diese Einschränkung nicht.

Als Workaround in Edge for Private Cloud können Sie die KVM im Bereich apiproxy scope erstellen.