Известные проблемы с Apigee

Когда переменная потока cachehit используется после политики LookupCache, из-за способа отправки точек отладки для асинхронного поведения LookupPolicy заполняет объект DebugInfo до выполнения обратного вызова, что приводит к ошибке.

Обходной путь: повторите процесс (сделайте второй звонок) еще раз сразу после первого звонка.

Установка PurgeChildEntries в политике InvalidateCache должна очищать только значения элемента KeyFragment , но очищает весь кеш.

Обходной путь: используйте политику KeyValueMapOperations , чтобы итерировать управление версиями кэша и обойти необходимость аннулирования кэша.

Это может произойти, например, когда одновременно выполняются конвейеры развертывания CI/CD с использованием разных версий. Чтобы избежать этой проблемы, избегайте развертывания прокси-серверов API или SharedFlows до завершения текущего развертывания.

Обходной путь: избегайте одновременного развертывания прокси-сервера API или SharedFlow.

Edge API Analytics иногда может содержать повторяющиеся данные для вызовов API. В этом случае количество вызовов API, отображаемое в Edge API Analytics, выше, чем сопоставимые значения, отображаемые в сторонних аналитических инструментах.

Обходной путь: экспортируйте аналитические данные и используйте поле шлюза_flow_id для дедупликации данных.

Параметры TLS_DISABLED_ALGO и TLS_ENABLED_CIPHERS работают некорректно. Для включения определенных алгоритмов шифрования в пользовательском интерфейсе Edge воспользуйтесь приведенным ниже обходным решением:

1. Откройте конфигурационный файл /opt/apigee/etc/edge-ui.d/SSL.sh .
2. Добавьте свойство -Djdk.tls.server.cipherSuites с разделенным запятыми списком наборов шифров в нотации IANA в поле UI_OPTIONS . Например:

   UI_OPTIONS=" -Dhttp.port=disabled -Dhttps.port=9433 -Dhttps.keyStoreType=JKS -Dhttps.keyStore=/opt/apigee/customer/conf/keystore.jks -Dplay.http.sslengineprovider=services.CustomSSLEngineProvider -Dhttps.keyStorePasswordEncrypted=mypass -Djdk.tls.server.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384"

3. Сохраните изменения в конфигурационном файле.
4. Перезапустите пользовательский интерфейс Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

• Apigee Edge поддерживает спецификацию OpenAPI 3.0, когда вы создаете спецификации с помощью редактора спецификаций и публикуете API с помощью SmartDocs на своем портале, хотя подмножество функций еще не поддерживается.

  Например, следующие функции спецификации OpenAPI 3.0 пока не поддерживаются:

  • allOf свойства для объединения и расширения схем
  • Удаленные ссылки

  Если в вашей спецификации OpenAPI указана неподдерживаемая функция, в некоторых случаях инструменты проигнорируют эту функцию, но все равно отобразят справочную документацию API. В других случаях неподдерживаемая функция приведет к ошибкам, препятствующим успешному отображению справочной документации API. В любом случае вам потребуется изменить спецификацию OpenAPI, чтобы избежать использования неподдерживаемой функции до тех пор, пока она не будет поддерживаться в будущем выпуске.

  Примечание . Поскольку редактор спецификаций менее строгий, чем SmartDocs, при отображении справочной документации API, вы можете получить разные результаты при использовании разных инструментов.

• При использовании «Попробуйте этот API» на портале для заголовка Accept устанавливается значение application/json независимо от значения, установленного для consumes в спецификации OpenAPI.
• 138438484: несколько серверов не поддерживаются.

• Одновременное обновление портала (например, редактирование страниц, тем, CSS или сценариев) несколькими пользователями в настоящее время не поддерживается.
• Если вы удалите страницу справочной документации API с портала, восстановить ее будет невозможно; вам потребуется удалить и повторно добавить продукт API, а также заново создать справочную документацию по API.
• При настройке политики безопасности контента для полного применения изменений может потребоваться до 15 минут.
• При настройке темы портала для полного применения изменений может потребоваться до 5 минут.

• Поиск будет интегрирован в интегрированный портал в будущей версии.

Была обнаружена уязвимость ( CVE-2026-42945 ), затрагивающая модуль ngx_http_rewrite_module в NGINX. Инструменты сканирования безопасности могут пометить исполняемые файлы NGINX, входящие в состав Apigee Edge for Private Cloud, как уязвимые, поскольку этот модуль статически скомпилирован в NGINX.

Влияние на Apigee Edge для частного облака:

В стандартной конфигурации Apigee Edge for Private Cloud эта уязвимость не затрагивается . Возможность использования уязвимости CVE-2026-42945 зависит от определенных шаблонов конфигурации NGINX, в частности, от использования директивы rewrite в определенной последовательности. Эти шаблоны отсутствуют в стандартных конфигурациях NGINX Apigee Edge for Private Cloud.

Необходимые действия:

• Для стандартных конфигураций Apigee Edge для частного облака: никаких исправлений, обновлений или изменений в работе не требуется. Результаты сканирования, касающиеся CVE-2026-42945, могут рассматриваться как ложные срабатывания для стандартных установок. Для документирования этого исключения в вашей системе управления уязвимостями вы можете использовать следующий текст:

  CVE-2026-42945 — Accepted exception (false positive for Apigee Edge for Private Cloud). Apigee Edge for Private Cloud does not use the rewrite directive in any shipped NGINX configuration. The vulnerable code path in ngx_http_rewrite_module is configuration-gated and is not reachable in the default Apigee Edge for Private Cloud deployment.

• Для пользовательских конфигураций NGINX: Если вы вручную изменили файлы конфигурации NGINX в вашей установке Apigee Edge for Private Cloud (например, в каталоге /opt/nginx ), вам следует выполнить следующую самопроверку, чтобы убедиться, что ваши изменения не привели к непреднамеренному появлению уязвимого шаблона:
  1. Проверьте наличие директивы перезаписи: на каждом узле NGINX выполните команду:

     sudo grep -rnI '^\s*rewrite\b' /opt/nginx

  2. Анализ результатов:
     • Если команда не выдает никакого результата, ваша система не затронута .
     • Если найдены совпадения, проверьте каждое из них. Уязвимость присутствует только в том случае, если для данного блока выполняются все следующие условия:
       • Используется директива rewrite .
       • Сразу за этим следует еще одна rewrite , if или директива set в том же блоке конфигурации.
       • В директивах используется безымянная группа захвата PCRE (например, $1 , $2 и т. д.).
       • В директиве строка замены содержит вопросительный знак ( ? ).
  3. Меры по устранению уязвимости (в случае уязвимости): Если все вышеперечисленные условия выполняются для какой-либо части вашей пользовательской конфигурации, примите следующие меры:
     • Удаление вопросительного знака ( ? ) из строки замены.
     • Использование именованных групп захвата PCRE вместо безымянных.
     • Переоценка необходимости использования взаимосвязанных директив.

В Edge for Private Cloud версии 4.53.00 и более поздних версиях пользовательский интерфейс отображает всплывающее предупреждение о прекращении поддержки (EOL) . Это предупреждение появляется...
повторяющиеся и не предотвратимые или не уменьшающиеся по частоте.

В настоящее время у пользователей нет возможности отключить или уменьшить частоту появления этого предупреждения о завершении срока действия лицензии.

Клиентские Java-запросы, пытающиеся загрузить криптографический провайдер Bouncy Castle с именем "BC", могут завершиться неудачей, поскольку провайдер по умолчанию был изменен на Bouncy Castle FIPS для поддержки FIPS. Новое имя провайдера для использования — "BCFIPS" .

Клиентские Java-запросы, пытающиеся загрузить криптографический провайдер Bouncy Castle с именем "BC", могут завершиться неудачей, поскольку провайдер по умолчанию был изменен на Bouncy Castle FIPS для поддержки FIPS. Новое имя провайдера для использования — "BCFIPS" .

Эта проблема затрагивает только тех, кто использует MINT или у кого MINT включен в Edge для установок в частном облаке.

Затронутый компонент: edge-message-processor

Проблема: Если у вас включена монетизация и вы устанавливаете версию 4.52.01 с нуля или обновляете систему с предыдущих версий Private Cloud, вы столкнетесь с проблемой обработки сообщений. Будет наблюдаться постепенное увеличение количества открытых потоков, что приведет к исчерпанию ресурсов. В файле system.log компонента edge-message-processor отображается следующее исключение:

Error injecting constructor, java.lang.OutOfMemoryError: unable to create new native thread

Недавно в нескольких реализациях протокола HTTP/2 была обнаружена уязвимость типа «отказ в обслуживании» (DoS) (CVE-2023-44487), в том числе в Apigee Edge for Private Cloud. Эта уязвимость может привести к DoS-атаке на функциональность управления API Apigee. Для получения более подробной информации см. бюллетень безопасности Apigee GCP-2023-032 .

Компоненты маршрутизатора и сервера управления Edge for Private Cloud подключены к интернету и потенциально могут быть уязвимы. Хотя протокол HTTP/2 включен на порту управления других компонентов Edge for Private Cloud, ни один из этих компонентов не подключен к интернету. На компонентах, не относящихся к Edge, таких как Cassandra, Zookeeper и другие, протокол HTTP/2 не включен. Мы рекомендуем выполнить следующие шаги для устранения уязвимости Edge for Private Cloud:

• Инструкции для Edge for Private Cloud версий 4.51.00.11 или новее
• Пошаговая инструкция для версий Edge for Private Cloud старше 4.51.00.11

Выполните следующие действия, если вы используете Edge Private Cloud версии 4.51.00.11 или более новой:

1. Обновите сервер управления:

   1. На каждом узле сервера управления откройте /opt/apigee/customer/application/management-server.properties
   2. Добавьте эту строку в файл свойств:

      conf_webserver_http2.enabled=false

   3. Перезапустите компонент сервера управления:

      apigee-service edge-management-server restart

2. Обновите обработчик сообщений:

   1. На каждом узле обработчика сообщений откройте /opt/apigee/customer/application/message-processor.properties .
   2. Добавьте эту строку в файл свойств:

      conf_webserver_http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-message-processor restart

3. Обновите роутер:

   1. На каждом узле маршрутизатора откройте /opt/apigee/customer/application/router.properties
   2. Добавьте эту строку в файл свойств:

      conf_webserver_http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-router restart

4. Обновить QPID:

   1. На каждом узле QPID откройте /opt/apigee/customer/application/qpid-server.properties
   2. Добавьте эту строку в файл свойств:

      conf_webserver_http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-qpid-server restart

5. Обновить PostgreSQL:

   1. На каждом узле PostgreSQL откройте /opt/apigee/customer/application/postgres-server.properties .
   2. Добавьте эту строку в файл свойств:

      conf_webserver_http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-postgres-server restart

Выполните следующие действия, если вы используете Edge для частного облака версий старше 4.51.00.11:

1. Обновите сервер управления:

   1. На каждом узле сервера управления откройте /opt/apigee/customer/application/management-server.properties
   2. Добавьте в файл свойств следующие две строки:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Перезапустите компонент сервера управления:

      apigee-service edge-management-server restart

2. Обновите обработчик сообщений:

   1. На каждом узле обработчика сообщений откройте /opt/apigee/customer/application/message-processor.properties .
   2. Добавьте в файл свойств следующие две строки:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-message-processor restart

3. Обновите роутер:

   1. На каждом узле маршрутизатора откройте /opt/apigee/customer/application/router.properties
   2. Добавьте в файл свойств следующие две строки:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-router restart

4. Обновить QPID:

   1. На каждом узле QPID откройте /opt/apigee/customer/application/qpid-server.properties
   2. Добавьте в файл свойств следующие две строки:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-qpid-server restart

5. Обновить PostgreSQL:

   1. На каждом узле PostgreSQL откройте /opt/apigee/customer/application/postgres-server.properties .
   2. Добавьте в файл свойств следующие две строки:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Перезапустите компонент обработки сообщений:

      apigee-service edge-postgres-server restart

Apigee-postgresql испытывает проблемы при обновлении с версии Edge for Private Cloud 4.50 или 4.51 до версии 4.52. Проблемы в основном возникают, когда количество таблиц превышает 500.

Вы можете проверить общее количество таблиц в PostgreSQL, выполнив следующий SQL-запрос:

select count(*) from information_schema.tables

Временное решение: При обновлении Apigee Edge с версии 4.50.00 или 4.51.00 до 4.52.00 обязательно выполните предварительный шаг перед обновлением Apigee-postgresql.

149245401: Настройки пула соединений LDAP для JNDI, заданные через ресурс LDAP, не отображаются, и значения по умолчанию JNDI приводят к созданию одноразовых соединений каждый раз. В результате соединения открываются и закрываются каждый раз для одноразового использования, создавая большое количество соединений в час с сервером LDAP.

Временное решение:

Для изменения свойств пула подключений LDAP выполните следующие действия, чтобы применить глобальное изменение ко всем политикам LDAP.

1. Создайте файл конфигурационных свойств, если он еще не существует:

   /opt/apigee/customer/application/message-processor.properties

2. Добавьте в файл следующее (замените значения свойств Java Naming and Directory Interface (JNDI) в соответствии с требованиями вашей конфигурации ресурсов LDAP).

   bin_setenv_ext_jvm_opts="-Dcom.sun.jndi.ldap.connect.pool.maxsize=20
   -Dcom.sun.jndi.ldap.connect.pool.prefsize=2
   -Dcom.sun.jndi.ldap.connect.pool.initsize=2
   -Dcom.sun.jndi.ldap.connect.pool.timeout=120000
   -Dcom.sun.jndi.ldap.connect.pool.protocol=ssl"

3. Убедитесь, что файл /opt/apigee/customer/application/message-processor.properties принадлежит пользователю apigee:apigee.
4. Перезапустите каждый обработчик сообщений.

Чтобы убедиться, что свойства JNDI вашего пула соединений вступают в силу, вы можете выполнить команду tcpdump для наблюдения за поведением пула соединений LDAP с течением времени.

139051927: Высокие задержки обработки прокси-серверов, обнаруженные в обработчике сообщений, затрагивают все API-прокси. Симптомы включают задержки обработки на 200-300 мс по сравнению с обычным временем ответа API и могут возникать случайным образом даже при низкой скорости обработки (TPS). Это может произойти, когда обработчик сообщений устанавливает соединения более чем с 50 целевыми серверами.

Основная причина: Обработчики сообщений хранят кэш, который сопоставляет URL-адрес целевого сервера с объектом HTTPClient для исходящих соединений с целевыми серверами. По умолчанию этот параметр установлен на 50, что может быть слишком низким для большинства развертываний. Когда развертывание включает в себя несколько комбинаций организаций/сред и большое количество целевых серверов, превышающее в общей сложности 50, URL-адреса целевых серверов постоянно удаляются из кэша, вызывая задержки.

Проверка: Чтобы определить, является ли причиной задержки вытеснение URL-адресов целевого сервера, выполните поиск в системных журналах обработчика сообщений по ключевым словам "onEvict" или "Eviction". Их наличие в журналах указывает на то, что URL-адреса целевого сервера вытесняются из кэша HTTPClient, поскольку размер кэша слишком мал.

Временное решение: Для версий Edge for Private Cloud 19.01 и 19.06 вы можете отредактировать и настроить кэш HTTPClient в файле /opt/apigee/customer/application/message-processor.properties :

conf/http.properties+HTTPClient.dynamic.cache.elements.size=500

Затем перезапустите обработчик сообщений. Внесите те же изменения во все обработчики сообщений.

Значение 500 — это пример. Оптимальное значение для вашей конфигурации должно быть больше, чем количество целевых серверов, к которым будет подключаться обработчик сообщений. Увеличение этого параметра не вызывает побочных эффектов, и единственным последствием будет улучшение времени обработки запросов прокси-сервером обработчика сообщений.

Примечание: В версии Edge for Private Cloud 50.00 значение по умолчанию равно 500.

157933959: Одновременная вставка и обновление одной и той же карты ключ-значение (KVM) на уровне организации или среды приводит к несогласованности данных и потере обновлений.

Примечание: это ограничение относится только к Edge для частного облака. Edge для публичного облака и гибридного облака это ограничение не распространяется.

В качестве обходного решения в Edge для частного облака создайте KVM в области действия apiproxy .