4.17.09 - Edge for Private Cloud リリースノート

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご覧ください。

以前の Edge for Private Cloud 機能リリースより、以下のリリースが行われています。

Edge UI リリース エッジ管理のリリース

特定のクラウド リリースが Edge for Private Cloud のバージョンに含まれているかどうかを確認するには、リリース番号についてをご覧ください。

リリースの概要

このリリースで最も重要な新機能は、Edge、API BaaS、Developer Services ポータルの認証メカニズムとして、Security Assertion Markup Language(SAML)2.0 のサポートを追加しました。Edge で SAML を使用すると、Edge UI と API で SSO をサポートできるだけでなく、お客様が提供する他のサービスでも SAML がサポートされます。

SAML 認証には、いくつかの利点があります。SAML を使用すると、次のことが可能になります。

  • ユーザー管理を完全に制御。ユーザーが組織を離れて一元的にデプロビジョニングされると、Edge へのアクセスが自動的に拒否されます。
  • Edge へのアクセスの認証方法を制御します。Edge 組織ごとに異なる認証タイプを選択できます。
  • 認証ポリシーを制御します。SAML プロバイダが、エンタープライズ標準により近い認証ポリシーをサポートしている場合があります。
  • ログイン、ログアウト、失敗したログイン試行、Edge デプロイのリスクの高いアクティビティをモニタリングできます。
  • SAML は認証にのみ使用されます。認可は、引き続き Edge のユーザーロールによって管理されます。

詳細については、Edge for Private Cloud での SAML のサポートをご覧ください。

このリリースには、次のような重要な機能が含まれています。

  • Developer Services ポータルを Apache/MySQL から Postgres/Nginx に移行可能
  • Edge UI で TLS を無効にするコマンド
  • Edge インストールを構成する新しいプロパティ
  • カスタムのコンシューマ キーとシークレットの命名規則
  • Red Hat/CentOS バージョン 7.4 のサポート

このトピックの残りの部分では、リリースに含まれるすべての新機能、アップデート、バグの修正について詳しく説明します。

非推奨になった機能と廃止された機能

今回のリリースでは、次の機能が非推奨または廃止されました。詳細については、Edge の非推奨ポリシーをご覧ください。

非推奨のサービスと機能

Apigee セキュアストア(Vault)のサポート終了

Apigee セキュアストア(Vault)は非推奨となり、2018 年 4 月に廃止されます。Vault は Key-Value ペアの暗号化ストレージを提供し、Management API を使用して作成され、apigee-access Node.js モジュールの関数を使用して実行時にアクセスされます。

安全なストアを使用する代わりに、Key-Value マップの使い方で説明されているように、暗号化された Key-Value マップ(KVM)を使用します。暗号化された KVM は Vault と同じく安全で、作成と取得のオプションが増えます。(MGMT-3848)

[API プロキシのパフォーマンス] タブでパスを追加するための非推奨

これまでのこの機能は廃止され、UI で使用できなくなりました。この機能の代わりに、Apigee コミュニティの https://community.apigee.com/articles/23936/alternative-to-business-transactions-api.html の記事をご覧ください。(EDGEUI-902)

新機能とアップデート

今回のリリースでリリースされた新機能と機能強化についてお知らせいたします。このリリースでは、以下の機能に加え、複数のユーザビリティ、パフォーマンス、セキュリティ、安定性も追加されています。

プライベート クラウド

Edge、API BaaS、デベロッパー サービス ポータルに SAML サポートを追加

Edge は、Edge、API BaaS、デベロッパー サービス ポータルの認証メカニズムとして、Security Assertion Markup Language(SAML)2.0 をサポートするようになりました。SAML はシングル サインオン(SSO)環境をサポートしています。SAML を使用すると、Edge の SSO をサポートできるだけでなく、お客様が提供する他のサービスも SAML をサポートします。

Edge for Private Cloud での SAML のサポートをご覧ください。

apigee-ssoadminapi.sh ユーティリティを追加

SAML が有効になったら、新しい apigee-ssoadminapi.sh を使用して、ユーザーや組織の作成など、多くの管理タスクを実行できるようになりました。

apigee-ssoadminapi.sh の使用をご覧ください。

(DOS-5118)

Developer Services ポータルを Apache/MySQL/MariaDB から Nginx/postgres に移行できるようになりました

.tar ベースのデベロッパー サービス ポータルのインストールでは、Apache と MySQL または MariaDB が使用されます。Nginx と Postgres を使用するように、ポータルの既存のインストールを移行できるようになりました。この移行は、ポータルをバージョン 4.17.09 に更新する場合に行う必要があります。

tar ベースのポータルを RPM ベースのポータルに変換するをご覧ください。

Red Hat/CentOS バージョン 7.4 のサポートを追加しました。

Red Hat/CentOS バージョン 7.4 で Edge for Private Cloud、API BaaS、Developer Services ポータルをデプロイできるようになりました。

サポートされているソフトウェアとそのバージョンをご覧ください。

インストーラがインストール時に CPU とメモリの要件をチェックできるようにするためのプロパティを追加

Edge インストール構成ファイルで次のプロパティがサポートされるようになりました。

ENABLE_SYSTEM_CHECK=y 

「y」に設定すると、インストールするコンポーネントの CPU とメモリの要件をシステムが満たしているかどうかがインストーラによって確認されます。各コンポーネントの要件については、インストール要件をご覧ください。デフォルト値は n で、このチェックは行われません。

Edge 構成ファイル リファレンスをご覧ください。

(DOS-4772)

サーバー上のインストーラが使用する IP アドレスを選択できるプロパティを追加し、複数のインターフェース カードを用意するプロパティを追加しました。

サーバーに複数のインターフェース カードが搭載されている場合、hostname -i コマンドはスペースで区切られた IP アドレスのリストを返します。デフォルトでは、Edge インストーラは返された最初の IP アドレスを使用しますが、これが正しい IP アドレスでない場合があります。この代替手段として、インストール構成ファイルで次のプロパティを設定できます。

ENABLE_DYNAMIC_HOSTIP=y

このプロパティを「y」に設定すると、インストール プロセスの一環として、使用する IP アドレスを選択するよう求められます。デフォルト値は n です。

Edge 構成ファイル リファレンスをご覧ください。

(DOS-5117)

TLS の構成に使用できる新しい UI オプションと API

Google Cloud の新しいセルフサービス TLS/SSL 機能のベータ版リリースが、ベータ版機能として Private Cloud で利用できるようになりました。このベータ版では次のことが可能です。

  • UI と API でキーストアとトラストストアの作成、変更、削除を行う
  • TLS 証明書を PKCS12/PFX としてアップロード
  • UI または API から自己署名証明書を生成する
  • UI でキーストアまたはトラストストアの有効性をテストする

これらの機能のベータ版ドキュメント(PDF)は、以下のリンクでご覧いただけます。

詳細については、以下の追加ドキュメント(PDF)をご覧ください。

(EDGEUI-1058)

難読化されたパスワード コマンドの追加

難読化されたパスワードを生成するコマンドが追加され、すべてのコンポーネントで暗号化されたパスワードが生成されました。難読化パスワードを生成するには、Edge Management Server で次のコマンドを使用します。

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

新しいパスワードを入力し、プロンプトで確認します。セキュリティ上の理由から、パスワードのテキストは表示されません。このコマンドは、次の形式でパスワードを返します。

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

オンプレミスの Edge での TLS/SSL の構成をご覧ください。

(TBD-250)

組織ユーザーのパスワードを変更する際に新しいパスワードを難読化する新しいコマンドを追加しました

組織ユーザーのパスワードを再設定するには、apigee-service ユーティリティを使用して apigee-openldap を呼び出します。

> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-user-password -u userEmail

システム管理者のパスワードと、新しいユーザー パスワードの入力を求められます。セキュリティ上の理由から、入力時にパスワードのテキストは表示されません。

Edge のパスワードを再設定するをご覧ください。

(DBS-1733)

Edge UI で TLS を無効にするコマンドを追加する

Edge UI で TLS を無効にするには、次のコマンドを使用します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl

管理 UI の TLS の構成をご覧ください。

(EDGEUI-1114)

ログメッセージのタイムスタンプの形式を制御するプロパティを追加しました。

デフォルトでは、Message Logging ポリシーによって作成されたログメッセージのタイムスタンプの形式は次のとおりです。

yyyy-MM-dd'T'HH:mm:ss.sssZ

次に例を示します。

2017-05-08T13:33:00.000+0000

この形式を制御するには、Edge Message Processor の conf_system_apigee.syslogger.dateFormat プロパティを使用します。

メッセージ ロギング ポリシーをご覧ください。

(APIRT-4196)

必要な新しい SMTP 構成パラメータを API BaaS インストールに追加しました。

API BaaS のインストール構成ファイルで SMTP MailFROM パラメータを使用する必要があります。このパラメータは、API BaaS が自動メールを送信したとき(ユーザーがパスワードの再設定をリクエストしたときなど)に使用するメールアドレスを指定します。

BaaS 構成ファイル リファレンスをご覧ください。

(APIBAAS-2103)

ポータルの Edge Router と Nginx ウェブサーバーが 1,000 未満のポートにアクセスできるようにサポートを追加しました。

ポータルで Router と Nginx ウェブサーバーを使用して、1000 未満のポートに別のユーザーとして実行しなくてもアクセスできるようになりました。以前のリリースでは、Router と Nginx ウェブサーバーが 1000 未満のポートにアクセスすることはできませんでした。

Edge UI のロギングレベルの構成方法を変更しました。

Edge UI のロギングレベルの構成に使用されるプロパティが変更されました。新しいプロパティと手順については、Edge コンポーネントのログレベルの設定をご覧ください。

(EDGEUI-886)

API サービス

カスタムのコンシューマ キーとシークレットの命名規則

デベロッパー アプリのカスタム コンシューマ キーとシークレットの作成に関する命名規則と検証が更新されました。コンシューマ キーとシークレットには、英字、数字、アンダースコア、ハイフンを使用できます。他の特殊文字は使用できません。

カスタムのキー/シークレット作成プロセスの詳細については、既存のコンシューマ キーとシークレットのインポートをご覧ください。(MGMT-3916)

キーストアとターゲット サーバーの名前の検証

キーストアとターゲット サーバーの名前は 255 文字以下で、文字、数字、スペース、ハイフン、アンダースコア、ピリオドを使用できます。Edge が作成時にこれを検証するようになりました。(MGMT-4098)

修正済みのバグ

このリリースでは以下のバグが修正されています。このリストは、サポート チケットの修正状況を確認するユーザーを主に対象としています。すべてのユーザーに詳細情報を提供することを目的としたものではありません。

プライベート クラウド 4.17.09

問題 ID 説明
APIRT-4346

Edge Router が FIPS 対応サーバーで動作するようになりました

これで、Edge Router が FIPS(Federal Information Processing Standards)をサポートするサーバーにデプロイできるようになりました。

APIRT-4726

ScriptableHttpClient は、送信時にメッセージ コンテキストが引き続き存在すると仮定すべきではありません

これで、ScriptableHttpClient は起動時にメッセージ コンテキストを読み取れるようになりました。

DBS-1529

Cassandra のバックアップ スクリプトが Cassandra を停止/再起動しなくなった

以前は、Cassandra バックアップ スクリプトがバックアップ プロセスの一環として停止し、Cassandra サーバーを再起動していました。バックアップ プロセス中、スクリプトはこの停止/再起動を行わず、Cassandra サーバーを実行したままにします。

DOS-5100

インストーラが PG_PWD で指定された値に基づいて Postgres パスワードを設定するようになりました。

以前のリリースでは、構成ファイル内の PG_PWD の値に基づいて Postgres パスワードが正しく設定されていませんでした。

EDGESERV-7 の場合

Node.js のデフォルト プロパティの更新

Node.js では、Private Cloud インストールのプロパティに次のデフォルト値が使用されるようになりました。

connect.ranges.denied=
connect.ranges.allowed=
connect.ports.allowed=

つまり、Edge for Private Cloud ではデフォルトで Node.js コードによる特定の IP アドレスへのアクセスが制限されなくなります。詳細については、Node.js モジュールの Edge サポートについてをご覧ください。

EDGEUI-1110

OpenAPI を使用してプロキシを作成する際にリソース名が表示されない

OpenAPI を使用してプロキシを作成する場合、リソース名が正しく表示されるようになりました。

MGMT-4021

Management Server up API の呼び出しで、適切な形式のレスポンスが返されるようになりました。

/v1/servers/self/up API 呼び出しで、テキストを常に返すのではなく、適切な形式の xml または json を返すようになりました。

MGMT-4294

プロキシや商品名にスペースやハイフンが含まれていると、権限に関する問題が発生します

名前にスペースまたはハイフンが含まれている場合、プロキシ名と商品名が正しく機能するようになりました。

Cloud 17.08.16(UI)

問題 ID 説明
64530444 YAML ファイルを API プロキシ エディタで編集可能として扱う
YAML ファイルは API プロキシ エディタを使用して編集できるようになりました。エディタで YAML ファイルを開くと、エラー メッセージは表示されなくなります。
64479253 [トレース] タブで [ログを修正] ボタンを有効にする
Node.js ログボタンは、API プロキシにノード ソースファイルがある場合にのみ [トレース] ページに表示されます。
64441949 GeoMap 分析ダッシュボードでのダウンロードの問題を修正
GeoMap 分析ダッシュボードに CSV ファイルをダウンロードできない問題を修正しました。
64122687 operationID を使用しない OpenAPI 仕様では、名前が「未定義」のフローを生成します。
オペレーション ID が定義されていない OpenAPI 仕様から API プロキシを生成するときに、条件フロー名にパスと動詞が使用されるようになりました。

Cloud 17.08.14(API の管理とランタイム)

問題 ID 説明
APIRT-4584 フローフックが一貫してデプロイされていない、ZooKeeper チェックが機能しない
APIRT-3081 Concurrent Rate Limit ポリシーに関する Messaging.adaptors.http.flow.ServiceUnavailable エラー

Cloud 17.07.31(API 管理)

問題 ID 説明
MGMT-4141
KVM の暗号化された値は、プライベート プレフィックスで取得されても復号されません。

Cloud 17.07.17(API の管理とランタイム)

問題 ID 説明
APIRT-4400 nginx レスポンスに「Apigee Router」が表示される
APIRT-4155 ExtractVariables ポリシーでは、POST 本文で不正な形式のフォーム パラメータが処理されません
APIRT-3954 HTTP ヘルスチェックは 1 秒間に 1 回実行されません。

この修正により、多数のヘルスチェックがパフォーマンスの妨げになる問題を解決します。

APIRT-3928 リクエストから返されたメッセージに「nginx」が含まれている
APIRT-3729 AssignMessage ポリシーが x-forwarded-for ヘッダーを削除した後に Apigee が proxy.client.ip 変数を変更
APIRT-3546 AssignMessage ポリシーを使用して新しいメッセージを作成しても、Trace が新しいメッセージが割り当てられていることを示すわけではありません
APIRT-1873 トラストストアが構成されていない場合、サウスバウンド SSL が JDK トラストストアにフォールバックしないようにする
APIRT-1871 サウスバウンド : 証明書の共通名が URL のホスト名に対して検証されていません

Cloud 17.06.20(UI)

問題 ID 説明
EDGEUI-1087 セルフサービスの TLS UI からチェーン証明書の警告メッセージを削除
証明書チェーンの警告表示が UI から削除されました。証明書チェーンを含むエイリアス行では、[有効期限] 列と [共通名] 列に有効期限が最も近い証明書のデータが表示されるようになりました。エイリアス パネルの証明書セレクタの下にある警告バナーが、情報量の多いアノテーションに変更されました。

Cloud 17.06.14(UI)

問題 ID 説明
EDGEUI-1092 キーストア エイリアス パネルのアクションが機能しない
新しい TLS キーストア UI のベータ版では、エイリアス パネルを表示したときに [アクション] ボタンが常に動作していました。なお、本事象はすでに解決しております。
EDGEUI-1091 エイリアス証明書を更新すると、エイリアス パネルが破損します。
新しい TLS キーストア UI のベータ版では、エイリアス証明書を更新した後にエイリアス パネルでエラーが発生し、エイリアスの詳細を表示し直す必要があります。なお、本事象はすでに解決しております。
EDGEUI-1088 [ユーザー設定] ページで [編集] ボタンをクリックすると、404 が表示される
ユーザー アカウントの設定を編集するときに、2 要素認証構成のページに移動します。詳細については、Apigee アカウントで 2 要素認証プロセスの有効化をご覧ください。パスワードを更新するには、アカウントからログアウトし、ログインページで [パスワードを再設定] をクリックする必要があります。
EDGEUI-1082 キーストア リストは * セレクタを処理しない
キーストア セレクタのフィルタリング入力で、ワイルドカード セレクタが機能しませんでした。この問題は修正されました。
EDGEUI-1079 CPS 組織のデベロッパーの詳細の鍵フィールドを非表示にする
CPS 組織の場合は、デベロッパーの詳細ページにキーフィールドが表示されません。
EDGEUI-1074 チェーン証明書を表示する際に、証明書の有効性アイコンがヘッド証明書のみを表示する
証明書の有効性アイコンが、常にヘッド証明書を表すのではなく、現在選択されている証明書を表すようになりました。
UAP-328 すべての API プロキシを表示するレイテンシ分析フィルタのプルダウン
特定の状況で過去に行われたプロキシ フィルタのプルダウンから API プロキシが削除されなくなります。選択した期間のデータがない API プロキシを選択すると、No data to show が表示されます。

Cloud 17.05.22.01(収益化)

問題 ID Description
DEVRT-3647 Transaction Status API のユーザビリティの改善

トランザクション ステータス API のユーザビリティが改善されました。詳しくは、トランザクションのステータスの表示をご覧ください。

  • utctime2 の終了時間が指定されていない場合、期間は (utctime - 5s) <= txTime < (utctime + 5s) になります。
  • 開始時間または終了時間が指定されていない場合、デフォルトは現在の時刻に +5 を足した値になります。
  • utctime タイムスタンプと utctime2 タイムスタンプが等しい場合、期間は指定された完全な秒になります。
  • utctimeutctime2 より大きい場合、時間値は入れ替えられます。
  • タイムスタンプの形式が正しくない場合は、必要な形式を記述した情報を含むメッセージが返されます。

さらに、取引ステータス API に関する問題を修正しました。

Cloud 17.05.22(UI)

問題 ID 説明
EDGEUI-1027 証明書チェーン内の証明書ごとに、キーストア/トラストストアのエイリアス パネルに詳細を表示する
エイリアスに証明書チェーンをアップロードする際に、エイリアス パネルを表示する際にプルダウンから各証明書を選択して詳細を確認できるようになりました。

: 証明書チェーンは推奨されるベスト プラクティスではありません。Apigee では、各証明書を別々のエイリアスに保存することをおすすめします。

EDGEUI-1003 CPS ユーザー向けのデベロッパー アプリの一覧の表示
デベロッパーの詳細を表示する際に、CPS ユーザーがデベロッパー アプリの一覧を表示できるようになりました。以前のリリースでは、表示できるデベロッパー アプリの最大数は 100 個でした。

Cloud 17.05.22(API 管理)

問題 ID 説明
MGMT-4059
MGMT-3517 プロキシ デプロイのエラー メッセージにあるプロキシ リビジョンが正しくありません

Cloud 17.05.08(UI)

問題 ID 説明
EDGEUI-1041

拡張 ASCII 文字が原因でエンティティが拡張された場合にエラーが発生する
拡張 ASCII 文字を使用したエンティティ(キー エイリアスなど)の更新に失敗し、エンコードの問題が発生します。なお、本事象はすでに解決しております。

EDGEUI-1033

Edge UI の 403 エラーに「セッション タイムアウト」と表示される
HTTP 403 Forbidden エラーはセッション タイムアウト エラーに分類されなくなりました。

EDGEUI-1019

Edge UI がタイムアウトすると不明なエラー メッセージが表示される
Edge UI がタイムアウトした場合は、Unknown error メッセージが表示されています。 より詳細なタイムアウト エラーが表示されるようになりました。

Cloud 17.04.22(API 管理)

問題 ID 説明
MGMT-3977 ユーザー権限に関連するセキュリティ修正が行われました。

既知の問題

このリリースには、次の既知の問題があります。

問題 ID 説明
67169830

レスポンス キャッシュの NullPointerException

以前のリリースでキャッシュに保存されたオブジェクトが、キャッシュから正しく復元されない可能性があります。