Apigee ile ilgili bilinen sorunlar

cachehit akış değişkeni, LookupCache politikasından sonra kullanıldığında, atlama noktalarının asenkron davranış için gönderilme şekli nedeniyle LookupPolicy, geri çağırma işlevi yürütülmeden önce DebugInfo nesnesini doldurur ve bu da hataya neden olur.

Geçici çözüm: İlk aramadan hemen sonra işlemi tekrarlayın (ikinci aramayı yapın).

InvalidateCache politikasında PurgeChildEntries ayarının yapılması, yalnızca KeyFragment öğesi değerlerini temizlemesi gerekir ancak tüm önbelleği temizler.

Geçici çözüm: Önbelleğe sürümlendirme işlemini iterlemek ve önbelleğin geçersiz kılınması ihtiyacını atlamak için KeyValueMapOperations politikasını kullanın.

Bu durum, örneğin, farklı düzeltmeler kullanılarak CI/CD dağıtım ardışık düzeninin eşzamanlı çalıştırmaları gerçekleştiğinde ortaya çıkabilir. Bu sorunu önlemek için mevcut dağıtım tamamlanmadan önce API proxy'leri veya SharedFlow'ları dağıtmayın.

Geçici çözüm: Eşzamanlı API proxy veya SharedFlow dağıtımlarından kaçının.

Edge API Analytics bazen API çağrıları için yinelenen veriler içerebilir. Bu durumda, Edge API Analytics'te API çağrıları için gösterilen sayılar, üçüncü taraf analiz araçlarında gösterilen benzer değerlerden daha yüksektir.

Geçici çözüm: Analizler verilerini dışa aktarın ve verileri tekilleştirmek için gateway_flow_id alanını kullanın.

TLS_DISABLED_ALGO ve TLS_ENABLED_CIPHERS seçenekleri düzgün çalışmıyor. Edge kullanıcı arayüzünde belirli şifreleri etkinleştirmek için aşağıdaki geçici çözümü uygulayın:

1. /opt/apigee/etc/edge-ui.d/SSL.sh yapılandırma dosyasını açın.
2. -Djdk.tls.server.cipherSuites özelliğini, UI_OPTIONS içinde IANA biçiminde şifreleme paketlerinin virgülle ayrılmış bir listesiyle birlikte ekleyin. Örneğin:

   UI_OPTIONS=" -Dhttp.port=disabled -Dhttps.port=9433 -Dhttps.keyStoreType=JKS -Dhttps.keyStore=/opt/apigee/customer/conf/keystore.jks -Dplay.http.sslengineprovider=services.CustomSSLEngineProvider -Dhttps.keyStorePasswordEncrypted=mypass -Djdk.tls.server.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384"

3. Yapılandırma dosyasındaki değişikliklerinizi kaydedin.
4. Edge kullanıcı arayüzünü yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

• Apigee Edge, özellik düzenleyiciyi kullanarak spesifikasyon oluşturduğunuzda ve portalınızda SmartDocs'u kullanarak API'leri yayınladığınızda OpenAPI Spesifikasyonu 3.0'u destekler. Ancak özelliklerin bir alt kümesi henüz desteklenmemektedir.

  Örneğin, OpenAPI Specification 3.0'taki aşağıdaki özellikler henüz desteklenmiyor:

  • Şemaları birleştirmek ve genişletmek için allOf mülkleri
  • Uzak referanslar

  OpenAPI spesifikasyonunuzda desteklenmeyen bir özellikten bahsedilmişse bazı durumlarda araçlar bu özelliği yoksayar ancak API referans belgelerini oluşturmaya devam eder. Diğer durumlarda, desteklenmeyen bir özellik API referans dokümanının başarılı bir şekilde oluşturulmasını engelleyen hatalara neden olur. Her iki durumda da, desteklenmeyen özelliğin gelecekteki bir sürümde desteklenene kadar kullanılmasını önlemek için OpenAPI spesifikasyonunuzu değiştirmeniz gerekir.

  Not: API referans dokümanlarını oluştururken spesifikasyon düzenleyici, SmartDocs'a kıyasla daha az kısıtlayıcı olduğundan, araçlar arasında farklı sonuçlar görebilirsiniz.

• Portalda Try this API kullanılırken Accept başlığı, OpenAPI spesifikasyonunda consumes için ayarlanan değerden bağımsız olarak application/json olarak ayarlanır.
• 138438484: Birden fazla sunucu desteklenmez.

• Birden fazla kullanıcı tarafından aynı anda yapılan portal güncellemeleri (ör. sayfa, tema, CSS veya komut dosyası düzenlemeleri) şu anda desteklenmiyor.
• Portaldan sildiğiniz API referans dokümanı sayfalarını yeniden oluşturamazsınız. API ürününü silip yeniden eklemeniz ve API referans dokümanlarını yeniden oluşturmanız gerekir.
• İçerik güvenliği politikasını yapılandırırken değişikliklerin tam olarak uygulanması 15 dakikayı bulabilir.
• Portal temanızı özelleştirirken değişikliklerin tamamen uygulanması 5 dakikayı bulabilir.

• Arama, gelecekteki bir sürümde entegre portala entegre edilecektir.

NGINX'teki ngx_http_rewrite_module'ı etkileyen bir güvenlik açığı (CVE-2026-42945) duyuruldu. Güvenlik tarama araçları, bu modül NGINX'e statik olarak derlendiğinden Apigee Edge for Private Cloud ile birlikte gelen NGINX ikili dosyalarını işaretleyebilir.

Apigee Edge Private Cloud üzerindeki etkisi:

Apigee Edge for Private Cloud, varsayılan ve gönderilen yapılandırmasında bu güvenlik açığından etkilenmez. CVE-2026-42945'in kullanılabilirliği, belirli NGINX yapılandırma kalıplarına (özellikle rewrite yönergesinin belirli bir sırada kullanılması) bağlıdır. Bu kalıplar, Private Cloud için standart Apigee Edge NGINX yapılandırmalarında bulunmaz.

İşlem Gerekli:

• Varsayılan Apigee Edge for Private Cloud Yapılandırmaları İçin: Yama, yükseltme veya operasyonel değişiklik gerekmez. CVE-2026-42945 ile ilgili tarayıcı bulguları, varsayılan yüklemelerde yanlış pozitif olarak değerlendirilebilir. Bu istisnayı güvenlik açığı yönetim sisteminizde belgelemek için aşağıdaki metni kullanabilirsiniz:

  CVE-2026-42945 — Accepted exception (false positive for Apigee Edge for Private Cloud). Apigee Edge for Private Cloud does not use the rewrite directive in any shipped NGINX configuration. The vulnerable code path in ngx_http_rewrite_module is configuration-gated and is not reachable in the default Apigee Edge for Private Cloud deployment.

• Özelleştirilmiş NGINX Yapılandırmaları İçin: Apigee Edge for Private Cloud yüklemenizde NGINX yapılandırma dosyalarını manuel olarak değiştirdiyseniz (ör. /opt/nginx altında), özelleştirmelerinizin yanlışlıkla güvenlik açığına neden olan kalıbı kullanmadığından emin olmak için aşağıdaki kendi kendine kontrolü yapmanız gerekir:
  1. Yeniden yazma yönergesini kontrol edin: Her NGINX düğümünde şu komutu çalıştırın:

     sudo grep -rnI '^\s*rewrite\b' /opt/nginx

  2. Sonuçları Analiz Etme:
     • Komut çıkış döndürmezse sisteminiz etkilenmemiştir.
     • Eşleşme bulunursa her örneği inceleyin. Güvenlik açığı yalnızca belirli bir blok için aşağıdaki koşulların tümü karşılandığında mevcuttur:
       • rewrite yönergesi kullanılıyor.
       • Aynı yapılandırma bloğunda hemen ardından başka bir rewrite, if veya set yönergesi geliyor.
       • Yönergelerde adsız bir PCRE yakalama grubu (ör. $1, $2 vb.) kullanılıyor.
       • Yönergedeki değiştirme dizesi soru işareti (?) içeriyor.
  3. Azaltma (güvenlik açığı varsa): Özel yapılandırmanızın herhangi bir bölümü için yukarıdaki koşulların tamamı geçerliyse aşağıdaki yöntemlerle azaltma yapın:
     • Soru işaretini (?) değiştirme dizesinden kaldırma.
     • Adlandırılmış PCRE yakalama gruplarını adlandırılmamış olanlar yerine kullanma.
     • Zincirleme yönergelerin gerekliliğini yeniden değerlendirme

Edge for Private Cloud 4.53.00 ve sonraki sürümlerde kullanıcı arayüzünde "Kullanım Ömrü Sonu" (EOL) uyarı pop-up'ı gösterilir. Bu uyarı
tekrar tekrar gösterilir ve sıklığı önlenemez veya azaltılamaz.

Kullanıcıların bu desteğin sonlandırılması uyarısını devre dışı bırakması veya sıklığını azaltması şu anda mümkün değildir.

Varsayılan sağlayıcı, FIPS'yi desteklemek için Bouncy Castle FIPS olarak değiştirildiğinden "BC" adını kullanarak Bouncy Castle kriptografi sağlayıcısını yüklemeye çalışan müşteri Java çağrıları başarısız olabilir. Kullanılacak yeni sağlayıcı adı "BCFIPS"'dir.

Varsayılan sağlayıcı, FIPS'yi desteklemek için Bouncy Castle FIPS olarak değiştirildiğinden "BC" adını kullanarak Bouncy Castle kriptografi sağlayıcısını yüklemeye çalışan müşteri Java çağrıları başarısız olabilir. Kullanılacak yeni sağlayıcı adı "BCFIPS"'dir.

Bu sorun yalnızca MINT kullanan veya Edge for Private Cloud yüklemelerinde MINT'i etkinleştirmiş olan kullanıcıları etkiler.

Etkilenen bileşen: edge-message-processor

Sorun: Para kazanmayı etkinleştirdiyseniz ve 4.52.01 sürümünü yeni yükleme olarak yüklüyorsanız veya önceki Özel Bulut sürümlerinden yükseltme yapıyorsanız ileti işlemcilerle ilgili bir sorunla karşılaşırsınız. Açık iş parçacığı sayısı kademeli olarak artar ve kaynak tükenmesine yol açar. Aşağıdaki istisna, edge-message-processor system.log dosyasında görülür:

Error injecting constructor, java.lang.OutOfMemoryError: unable to create new native thread

Yakın zamanda, özel bulut için Apigee Edge de dahil olmak üzere HTTP/2 protokolünün birden fazla uygulamasında bir hizmet reddi (DoS) güvenlik açığı (CVE-2023-44487) keşfedildi. Bu güvenlik açığı, Apigee API yönetimi işlevinin hizmet reddine (DoS) yol açabilir. Daha fazla bilgi için Apigee Security Bulletin GCP-2023-032 başlıklı makaleyi inceleyin.

Private Cloud için Edge yönlendirici ve yönetim sunucusu bileşenleri internete açık olduğundan güvenlik açığına karşı savunmasız olabilir. HTTP/2, Private Cloud için Edge'in Edge'e özgü diğer bileşenlerinin yönetim bağlantı noktasında etkinleştirilmiş olsa da bu bileşenlerin hiçbiri internete açık değildir. Cassandra, Zookeeper ve diğerleri gibi Edge dışı bileşenlerde HTTP/2 etkinleştirilmez. Edge for Private Cloud güvenlik açığını gidermek için aşağıdaki adımları uygulamanızı öneririz:

• Edge for Private Cloud 4.51.00.11 veya daha yeni sürümler için adımlar
• 4.51.00.11'den eski Private Cloud sürümleri için Edge'i yükleme adımları

Edge Private Cloud 4.51.00.11 veya daha yeni sürümlerini kullanıyorsanız aşağıdaki adımları uygulayın:

1. Yönetim sunucusunu güncelleme:

   1. Her yönetim sunucusu düğümünde /opt/apigee/customer/application/management-server.properties dosyasını açın.
   2. Özellikler dosyasına şu satırı ekleyin:

      conf_webserver_http2.enabled=false

   3. Yönetim sunucusu bileşenini yeniden başlatın:

      apigee-service edge-management-server restart

2. Mesaj işlemcisini güncelleme:

   1. Her mesaj işleyici düğümünde /opt/apigee/customer/application/message-processor.properties dosyasını açın.
   2. Özellikler dosyasına şu satırı ekleyin:

      conf_webserver_http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-message-processor restart

3. Yönlendiriciyi güncelleme:

   1. Her yönlendirici düğümünde /opt/apigee/customer/application/router.properties dosyasını açın.
   2. Özellikler dosyasına şu satırı ekleyin:

      conf_webserver_http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-router restart

4. QPID'yi güncelleme:

   1. Her QPID düğümünde /opt/apigee/customer/application/qpid-server.properties dosyasını açın.
   2. Özellikler dosyasına şu satırı ekleyin:

      conf_webserver_http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-qpid-server restart

5. Postgres'i güncelleme:

   1. Her Postgres düğümünde /opt/apigee/customer/application/postgres-server.properties dosyasını açın.
   2. Özellikler dosyasına şu satırı ekleyin:

      conf_webserver_http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-postgres-server restart

Edge for Private Cloud'un 4.51.00.11'den eski sürümlerini kullanıyorsanız aşağıdaki adımları uygulayın:

1. Yönetim sunucusunu güncelleme:

   1. Her yönetim sunucusu düğümünde /opt/apigee/customer/application/management-server.properties dosyasını açın.
   2. Özellikler dosyasına aşağıdaki iki satırı ekleyin:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Yönetim sunucusu bileşenini yeniden başlatın:

      apigee-service edge-management-server restart

2. Mesaj işlemcisini güncelleme:

   1. Her mesaj işleyici düğümünde /opt/apigee/customer/application/message-processor.properties dosyasını açın.
   2. Özellikler dosyasına aşağıdaki iki satırı ekleyin:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-message-processor restart

3. Yönlendiriciyi güncelleme:

   1. Her yönlendirici düğümünde /opt/apigee/customer/application/router.properties dosyasını açın.
   2. Özellikler dosyasına aşağıdaki iki satırı ekleyin:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-router restart

4. QPID'yi güncelleme:

   1. Her QPID düğümünde /opt/apigee/customer/application/qpid-server.properties dosyasını açın.
   2. Özellikler dosyasına aşağıdaki iki satırı ekleyin:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-qpid-server restart

5. Postgres'i güncelleme:

   1. Her Postgres düğümünde /opt/apigee/customer/application/postgres-server.properties dosyasını açın.
   2. Özellikler dosyasına aşağıdaki iki satırı ekleyin:

      conf_webserver_http2.enabled=false
      conf/webserver.properties+http2.enabled=false

   3. Mesaj işlemcisi bileşenini yeniden başlatın:

      apigee-service edge-postgres-server restart

Apigee-postgresql, Edge for Private Cloud'un 4.50 veya 4.51 sürümünden 4.52 sürümüne yükseltmeyle ilgili sorunlar yaşıyor. Sorunlar genellikle tablo sayısı 500'den fazla olduğunda ortaya çıkar.

Aşağıdaki SQL sorgusunu çalıştırarak Postgres'teki toplam tablo sayısını kontrol edebilirsiniz:

select count(*) from information_schema.tables

Geçici çözüm: Apigee Edge 4.50.00 veya 4.51.00'ı 4.52.00'a güncellerken, Apigee-postgresql'i yükseltmeden önce ön adımı uyguladığınızdan emin olun.

149245401: LDAP kaynağı aracılığıyla yapılandırılan JNDI için LDAP bağlantı havuzu ayarları yansıtılmıyor ve JNDI varsayılanları her seferinde tek kullanımlık bağlantılara neden oluyor. Sonuç olarak, bağlantılar tek kullanımlık olarak her seferinde açılıp kapatılıyor ve LDAP sunucusuna saatte çok sayıda bağlantı oluşturuluyor.

Geçici çözüm:

LDAP bağlantı havuzu özelliklerini değiştirmek için tüm LDAP politikalarında genel bir değişiklik ayarlamak üzere aşağıdaki adımları uygulayın.

1. Yapılandırma özellikleri dosyası yoksa oluşturun:

   /opt/apigee/customer/application/message-processor.properties

2. Dosyaya aşağıdakileri ekleyin (Java Adlandırma ve Dizin Arayüzü (JNDI) özelliklerinin değerlerini LDAP kaynak yapılandırma gereksiniminize göre değiştirin).

   bin_setenv_ext_jvm_opts="-Dcom.sun.jndi.ldap.connect.pool.maxsize=20
   -Dcom.sun.jndi.ldap.connect.pool.prefsize=2
   -Dcom.sun.jndi.ldap.connect.pool.initsize=2
   -Dcom.sun.jndi.ldap.connect.pool.timeout=120000
   -Dcom.sun.jndi.ldap.connect.pool.protocol=ssl"

3. /opt/apigee/customer/application/message-processor.properties dosyasının sahibi apigee:apigee olmalıdır.
4. Her mesaj işlemcisini yeniden başlatın.

Bağlantı havuzu JNDI özelliklerinizin geçerli olduğunu doğrulamak için zaman içinde LDAP bağlantı havuzunun davranışını gözlemlemek üzere bir tcpdump gerçekleştirebilirsiniz.

139051927: Mesaj İşleyici'de bulunan yüksek proxy işleme gecikmeleri tüm API proxy'lerini etkiliyor. Belirtiler arasında normal API yanıt sürelerine kıyasla 200-300 ms'lik işlem süresi gecikmeleri yer alır ve düşük TPS ile bile rastgele olarak ortaya çıkabilir. Bu durum, bir ileti işlemcisinin bağlantı kurduğu 50'den fazla hedef sunucu olduğunda ortaya çıkabilir.

Temel neden: İleti işlemciler, hedef sunucu URL'sini hedef sunuculara giden bağlantılar için HTTPClient nesnesiyle eşleyen bir önbellek tutar. Bu ayar varsayılan olarak 50'ye ayarlanır. Bu değer çoğu dağıtım için çok düşük olabilir. Bir dağıtımda kurulumda birden fazla kuruluş/ortam kombinasyonu varsa ve toplamda 50'yi aşan sayıda hedef sunucu varsa hedef sunucu URL'leri önbellekten sürekli olarak çıkarılır ve bu da gecikmelere neden olur.

Doğrulama: Hedef sunucu URL'sinin çıkarılmasının gecikme sorununa neden olup olmadığını belirlemek için Mesaj İşleyici'nin system.logs dosyasında "onEvict" veya "Eviction" anahtar kelimesini arayın. Bu anahtar kelimelerin günlüklerde bulunması, hedef sunucu URL'lerinin HTTPClient önbelleğinden çıkarıldığını gösterir. Bunun nedeni, önbellek boyutunun çok küçük olmasıdır.

Geçici çözüm: Edge for Private Cloud'un 19.01 ve 19.06 sürümlerinde HTTPClient önbelleğini düzenleyip yapılandırabilirsiniz. /opt/apigee/customer/application/message-processor.properties:

conf/http.properties+HTTPClient.dynamic.cache.elements.size=500

Ardından, ileti işlemcisini yeniden başlatın. Tüm ileti işlemcilerinde aynı değişiklikleri yapın.

500 değeri bir örnektir. Kurulumunuz için optimum değer, ileti işlemcisinin bağlanacağı hedef sunucu sayısından büyük olmalıdır. Bu özelliği daha yüksek bir değere ayarlamanın yan etkisi yoktur. Tek etkisi, mesaj işlemcisi proxy isteklerinin işlenme sürelerinin iyileşmesidir.

Not: Private Cloud için Edge 50.00 sürümünde varsayılan ayar 500'dür.

157933959: Kuruluş veya ortam düzeyinde aynı anahtar/değer eşlemesine (KVM) eşzamanlı ekleme ve güncelleme işlemleri, verilerin tutarsız olmasına ve güncellemelerin kaybolmasına neden olur.

Not: Bu sınırlama yalnızca Özel Bulut için Edge'de geçerlidir. Herkese açık bulut ve hibrit için Edge'de bu sınırlama yoktur.

Edge for Private Cloud'da geçici çözüm olarak KVM'yi apiproxy kapsamında oluşturun.