180202 - 适用于公有云的 Apigee Edge 版本说明

自助虚拟主机和 TLS 现已正式发布

如需了解使用详情，请参阅关于虚拟主机和 TLS/SSL。

代理软件包导入/更新优化

Edge 将在部署时对 API 代理软件包执行更严格的验证。此更新有助于确保部署速度更快，同时减少多位用户同时导入同一软件包时发生的部署失败和软件包损坏情况。以下是一些值得注意的更改和行为：

• 每个软件包的文件系统根目录都必须为 /apiproxy。
• Edge 不再尝试忽略 API 代理软件包资源文件夹中的路径。 （例如，Edge 不再忽略 .git 或 .svn 目录。）
• 如果软件包包含多个 API 代理 XML 配置文件（例如 apiproxy/proxy1.xml 和 apiproxy/proxy2.xml）的无效配置，则无法保证系统会使用哪个配置来处理 API 代理。

部署验证

在此版本之前，Edge 一直在被动检查 API 代理部署是否存在特定验证错误，并通过建议工具通知组织需要进行哪些修复。部署错误建议中介绍了这些建议，目的是让用户有时间修复在产品中启用验证后可能会导致部署错误的问题。在此版本中，Edge 现在会执行这些验证，并相应地抛出部署错误。

支持自动扩缩的 SpikeArrest 政策

Spike Arrest 政策中新增了 <UseEffectiveCount> 元素，可让您在消息处理器之间自动分配 Spike Arrest 计数。如果设置为 true，则每个消息处理器都会将其允许的峰值速率限制除以当前活跃消息处理器的数量，并随着消息处理器的添加或移除而调整速率限制。如果从政策中省略此元素，则默认值为 false。

如需了解详情，请参阅 Spike Arrest 政策主题。

改进了因连接失败而导致的 MP 日志记录功能

将 Rhino 升级到 1.7.8，将 Trireme 升级到 0.9.1

将所有代理的默认 API 超时设置为 55 秒，以避免路由器提前超时

为 Canary 部署添加了日志记录事件

允许自签名 HTTPS 健康检查

MP DNS 解析应使用异步线程池

API 产品安全增强功能

新增了组织级属性 features.keymanagement.disable.unbounded.permissions，用于加强 API 产品在验证 API 调用时的安全性。如果将此属性设置为 true（此版本之后创建的组织的默认值），系统会强制执行以下功能。

应用创建

创建开发者应用或公司应用时，管理 API 要求该应用与 API 产品相关联。（管理界面已强制执行此操作。）

API 产品配置

如需创建或更新 API 产品，该 API 产品的定义中必须至少包含一个 API 代理或资源路径。

运行时安全

在以下情况下，API 产品会拒绝 API 调用：

• API 产品不包含至少一个 API 代理或资源路径。
• 如果消息中的 flow.resource.name 变量不包含 API 产品可以评估的资源路径。
• 如果发出 API 调用的应用未与 API 产品相关联。

对于现有组织，此属性的值为 false，并且必须由具有系统管理员权限的用户显式更改。这意味着，公共云客户必须与 Apigee 支持团队联系才能更改属性值。

路由器与消息处理器之间的通信默认处于安全状态

修复了对 Node.js 脚本错误的误分类问题

AccessControl 政策可信 IP

用于定期重新解析 DNS 的 MessageLogging 政策

TLS 证书链验证

使用证书链创建密钥库别名时，您必须使用换行符将链中的证书分隔开来。如果您的证书链不符合此要求，Edge 现在会在创建别名时抛出 400 Bad Request。