4.53.00.02 – הערות לגרסה של Edge for Private Cloud

אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info

ב-19 בדצמבר 2024 השקנו גרסה חדשה של Apigee Edge לענן פרטי.

נוהל העדכון

בקטע הזה נסביר איך להתקין את הגרסה הזו אם אתם מעדכנים מהגרסה הקודמת של Edge for Private Cloud. אם אתם צריכים לעדכן מגרסה קודמת, תוכלו לעיין במאמר החלת מספר גרסאות תיקון.

העדכון של הגרסה הזו יעדכן את הרכיבים הבאים:

  • apigee-nginx-1.26.1-el8.x86_64.rpm
  • apigee-nginx-1.26.1-el9.x86_64.rpm
  • apigee-qpidd-8.0.6-0.0.2534.noarch.rpm
  • apigee-sso-4.53.00-0.0.21506.noarch.rpm
  • apigee-tomcat-9.0.86-0.0.948.noarch.rpm

כדי לבדוק את הגרסאות של RPM שמותקנות כרגע ולראות אם צריך לעדכן אותן, מזינים את הפקודה הבאה:

apigee-all version

כדי לעדכן את ההתקנה, מבצעים את התהליך הבא בצמתים של Edge:

  1. בכל צמתי Edge:

    1. מנקים את המאגרים של Yum: 
      sudo yum clean all
    2. מורידים את קובץ bootstrap_4.53.00.sh העדכני ביותר של Edge 4.53.00 אל /tmp/bootstrap_4.53.00.sh: 
      curl https://software.apigee.com/bootstrap_4.53.00.sh -o /tmp/bootstrap_4.53.00.sh
    3. מתקינים את השירות apigee-service של Edge 4.53.00 ואת יחסי התלות שלו: 
      sudo bash /tmp/bootstrap_4.53.00.sh apigeeuser=uName apigeepassword=pWord

      כאשר uName ו-pWord הם שם המשתמש והסיסמה שקיבלת מ-Apigee. אם משמיטים את pWord, תופיע בקשה להזין אותו.

    4. משתמשים בפקודה source כדי להריץ את הסקריפט apigee-service.sh: 
      source /etc/profile.d/apigee-service.sh
  2. בכל צומתי Qpid, מריצים את הסקריפט update.sh: 
    /opt/apigee/apigee-setup/bin/update.sh -c qpid -f configFile
  3. בצמתים של SSO, פועלים לפי התהליך שמתואר בקטע שלבים לעדכון Apigee SSO מגרסאות ישנות יותר:
    4. /opt/apigee/apigee-setup/bin/update.sh -c sso -f configFile

שלבים לעדכון Apigee SSO מגרסאות ישנות יותר

ב-Edge for Private Cloud 4.53.00, המפתחות והאישורים של ה-IdP שמשמשים את הרכיב apigee-sso מוגדרים עכשיו דרך מאגר מפתחות. צריך לייצא את המפתח והאישור ששימשו קודם לכן למאגר מפתחות, להגדיר אותו ואז להמשיך בעדכון ה-SSO כרגיל.

  1. מאתרים את המפתח והאישור הקיימים ששימשו להגדרת ה-IdP:

    1. כדי לאחזר את האישור, מחפשים את הערך של SSO_SAML_SERVICE_PROVIDER_CERTIFICATE בקובץ התצורה של התקנת ה-SSO או ששולחים שאילתה לרכיב apigee-sso עבור conf_login_service_provider_certificate.

      משתמשים בפקודה הבאה בצומת ה-SSO כדי לשלוח שאילתה ל-apigee-sso לגבי נתיב האישור של ה-IdP. בפלט, מחפשים את הערך בשורה האחרונה.

      apigee-service apigee-sso configure -search conf_login_service_provider_certificate

    2. כדי לאחזר את המפתח, מחפשים את הערך של SSO_SAML_SERVICE_PROVIDER_KEY בקובץ התצורה של התקנת ה-SSO או ששולחים שאילתה לרכיב apigee-sso עבור conf_login_service_provider_key.

      משתמשים בפקודה הבאה בצומת ה-SSO כדי לשלוח שאילתה ל-apigee-sso לגבי נתיב המפתח של ה-IdP. בפלט, מחפשים את הערך בשורה האחרונה. 

      apigee-service apigee-sso configure -search conf_login_service_provider_key
  2. מייצאים את המפתח והאישור למאגר מפתחות:
    1. מייצאים את המפתח והאישור למאגר מפתחות מסוג PKCS12: 
      sudo openssl pkcs12 -export -clcerts -in <certificate_path> -inkey <key_path> -out <keystore_path> -name <alias>

      פרמטרים:

      • certificate_path: הנתיב לקובץ האישור שאוחזר בשלב 1.א.
      • key_path: הנתיב לקובץ המפתח הפרטי שאוחזר בשלב 1.b.
      • keystore_path: הנתיב למאגר המפתחות החדש שנוצר, שמכיל את האישור ואת המפתח הפרטי.
      • alias: כינוי שמשויך לזוג המפתחות והאישורים במאגר המפתחות.

      פרטים נוספים זמינים במסמכי התיעוד של OpenSSL.

    2. (אופציונלי) מייצאים את המפתח והאישור מ-PKCS12 למאגר מפתחות JKS: 
      sudo keytool -importkeystore -srckeystore <PKCS12_keystore_path> -srcstoretype PKCS12 -destkeystore <destination_keystore_path> -deststoretype JKS -alias <alias>

      פרמטרים:

      • PKCS12_keystore_path: הנתיב למאגר המפתחות PKCS12 שנוצר בשלב 2.א, שמכיל את האישור והמפתח.
      • destination_keystore_path: הנתיב למאגר המפתחות החדש מסוג JKS שאליו ייוצאו האישור והמפתח.
      • alias: כינוי שמשויך לזוג המפתחות והאישורים במאגר המפתחות JKS.

      3. פרטים נוספים זמינים במסמכי התיעוד של keytool.

  3. משנים את הבעלים של קובץ מאגר המפתחות של הפלט למשתמש 'apigee': 
    sudo chown apigee:apigee <keystore_file>
  4. מוסיפים את המאפיינים הבאים ב קובץ התצורה של Apigee SSO ומעדכנים אותם בנתיב לקובץ של מאגר המפתחות, הסיסמה, סוג מאגר המפתחות והכינוי: 
    # Path to the keystore file
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_PATH=${APIGEE_ROOT}/apigee-sso/source/conf/keystore.jks

# Keystore password
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_PASSWORD=Secret123  # Password for accessing the keystore

# Keystore type
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_TYPE=JKS  # Type of keystore, e.g., JKS, PKCS12

# Alias within keystore that stores the key and certificate
SSO_SAML_SERVICE_PROVIDER_KEYSTORE_ALIAS=service-provider-cert
  5. מעדכנים את תוכנת Apigee SSO בצומת ה-SSO כרגיל באמצעות הפקודה הבאה: 
    /opt/apigee/apigee-setup/bin/update.sh -c sso -f /opt/silent.conf

תיקוני באגים

בקטע הזה מפורטים הבאגים ב-Private Cloud שתוקנו במהדורה הזו.

מזהה הבעיה תיאור
379446933 תוקנה הבעיה שמונעת את קישור nginx ליציאה 443.

תיקון בעיות אבטחה

בהמשך מפורטת רשימה של בעיות אבטחה ידועות שתוקנו במהדורה הזו. כדי למנוע את הבעיות האלה, צריך להתקין את הגרסה העדכנית ביותר של Edge Private Cloud.

מזהה הבעיה תיאור
344961470 תיקון לפורטל הניהול של QPID בגלל נקודת חולשה מסוג XSS.

שינויים בתוכנות הנתמכות

הגרסה הזו לא כוללת תמיכה בתוכנות חדשות.

הוצאה משימוש ופסילת מוצרים

בגרסה הזו אין הוצאות משימוש או הוצאות משימוש עתידיות חדשות.

תכונות חדשות

בקטע הזה מפורטות התכונות החדשות בגרסה הזו.

מזהה הבעיה תיאור
379125083 הפעלת הפונקציונליות של כניסה יחידה (SSO) בסביבות RHEL-8 שתומכות ב-FIPS.
379125495 מערכת ה-SSO תומכת עכשיו במפתחות ובאישורים של IDP בפורמט של מאגר מפתחות.

בעיות מוכרות

בקישור הבא תוכלו למצוא רשימה מלאה של בעיות מוכרות ב-Edge for Private Cloud: בעיות מוכרות ב-Edge for Private Cloud.

החלה של כמה גרסאות תיקון

בקטע הזה מוסבר איך מחילים כמה גרסאות תיקון, במקרה שמבצעים עדכון מגרסה של Edge for Private Cloud שקדמה לגרסה הקודמת של פרסום התיקון.

כל גרסה של תיקון מכילה עדכונים לרכיבים ספציפיים של Edge for Private Cloud, כמו edge-management-server. כדי להחיל כמה גרסאות תיקון, צריך לעדכן כל רכיב של Edge שכלול בגרסה של תיקון שפורסמה אחרי הגרסה המותקנת כרגע. כדי למצוא את הרכיבים האלה, אפשר לעיין בפתקים לגבי הגרסאות של Edge for Private Cloud לכל הגרסאות שמאוחרות יותר מהגרסה הנוכחית שלכם, ולבדוק את רשימת ה-RPM של הגרסאות האלה. בהערות המוצר של Apigee יש קישורים לכל הערות המוצר של Edge for Private Cloud.

הערה: צריך לעדכן כל רכיב רק פעם אחת, על ידי התקנת קובץ ה-RPM של הגרסה האחרונה של הרכיב שכלולה במהדורות התיקונים. כדי לעדכן את הרכיב, פועלים לפי ההוראות שמפורטות בפתקים לגרסה הזו.

הערה: שדרוג רכיב מתקין באופן אוטומטי את גרסת התיקון האחרונה של הרכיב. אם רוצים לשדרג לגרסה של תיקון שאינה הגרסה האחרונה, צריך לשמור עותק משלכם של קובץ ה-tarball של המאגר של Apigee באמצעות המראה של Apigee, ולהשתמש במראה הזה להתקנות של Apigee. מידע נוסף זמין במאמר שימוש במאגר מקומי של Edge כדי לתחזק את גרסת Edge.