Esta
é a documentação da Apigee e da Apigee híbrida.
Não há documentação equivalente do
Apigee Edge para esse tópico.
Sintoma
Um ApigeeIssue
com Reason
AIS_INGRESS_MTLS_CA_CERT_EXPIREY
é exibido ao visualizar recursos no namespace apigee
.
Mensagens de erro
Depois de executar kubectl -n apigee get apigeeissues
, um erro como este é exibido:
NAME SEVERITY REASON DOCUMENTATION AGE ca-cert-expired-my-org-my-virtualhost ERROR AIS_INGRESS_MTLS_CA_CERT_EXPIREY https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY 5h18m
Causas possíveis
Causa | Descrição |
---|---|
O certificado de CA mTLS de entrada vai expirar em breve | O certificado de CA mTLS de entrada configurado vai expirar em 14 dias. |
O certificado de CA mTLS de entrada expirou | O certificado de CA mTLS de entrada configurado expirou. |
Causa: o certificado de CA mTLS de entrada vai expirar em breve
O certificado de CA mTLS de entrada armazenado no secret do Kubernetes referenciado por um
ApigeeRouteConfig
vai expirar nos próximos 14 dias.
Diagnóstico
Execute este comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-expiring-soon-my-org-my-virtualhost
.
A saída será parecida com esta:
Name: ca-cert-expiring-soon-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY Severity: WARNING Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
O conteúdo de Spec.Details
explica o nome do ApigeeRouteConfig
que se refere ao secret do Kubernetes que contém o certificado de CA mTLS de entrada que expira em breve.
Resolução
-
Use
kubectl describe
para exibir o nome doApigeeRouteConfig
que tem o certificado de CA mTLS de entrada que vai expirar em breve:kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-expiring-soon-my-org-my-virtualhost
.Neste exemplo, o
ApigeeRouteConfig
my-org-my-virtualhost
referencia o secretmy-org-my-virtualhost
. -
Determine o nome do
virtualhost
noApigeeRouteConfig
.O nome do
ApigeeRouteConfig
está no formato:<Apigee organization>-<virtualhost name>
.Neste exemplo,
my-org
é a organização da Apigee, e o nome do virtualhost émy-virtualhost
. -
Encontre o virtualhost correspondente no seu
overrides.yaml
.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ...
-
Atualize o certificado de CA listado no arquivo
caCertPath
. -
Aplique a alteração ao virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Causa: o certificado de CA de mTLS expirou
O certificado de CA mTLS de entrada armazenado no secret do Kubernetes referenciado por
ApigeeRouteConfig
expirou.
Diagnóstico
Execute este comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-expired-my-org-my-virtualhost
.
A saída será parecida com esta:
Name: ca-cert-expired-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
O conteúdo de Spec.Details
explica o nome do ApigeeRouteConfig
que se refere ao secret do Kubernetes que contém o certificado de CA mTLS de entrada que expirou.
Resolução
-
Use
kubectl describe
para exibir o nome daApigeeRouteConfig
que tem o certificado de CA mTLS de entrada expirado:kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-expired-my-org-my-virtualhost
.Neste exemplo, o
ApigeeRouteConfig
my-org-my-virtualhost
referencia o secretmy-org-my-virtualhost
. -
Determine o nome do
virtualhost
noApigeeRouteConfig
.O nome do
ApigeeRouteConfig
está no formato:<Apigee organization>-<virtualhost name>
.Neste exemplo,
my-org
é a organização da Apigee, e o nome do virtualhost émy-virtualhost
. -
Encontre o virtualhost correspondente no seu
overrides.yaml
.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ...
-
Atualize o certificado de CA listado no arquivo
caCertPath
. -
Aplique a alteração ao virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
É necessário coletar informações de diagnóstico
Se o problema persistir mesmo depois de seguir as instruções acima, reúna as seguintes informações de diagnóstico e entre em contato com o Atendimento ao cliente do Google Cloud:
- O ID do projeto do Google Cloud.
- O nome da organização da Apigee híbrida.
- O campo
Spec.Details
doApigeeIssue
. -
(Opcional) Arquivo referenciado por
caCertPath
para o virtualhost afetado.