Validade do certificado de CA mTLS de entrada

Esta é a documentação da Apigee e da Apigee híbrida.
Não há documentação equivalente do Apigee Edge para esse tópico.

Sintoma

Um ApigeeIssue com Reason AIS_INGRESS_MTLS_CA_CERT_EXPIREY é exibido ao visualizar recursos no namespace apigee.

Mensagens de erro

Depois de executar kubectl -n apigee get apigeeissues, um erro como este é exibido: 

NAME                                    SEVERITY   REASON                             DOCUMENTATION                                                                                  AGE
ca-cert-expired-my-org-my-virtualhost   ERROR      AIS_INGRESS_MTLS_CA_CERT_EXPIREY   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY   5h18m

Causas possíveis

Causa Descrição
O certificado de CA mTLS de entrada vai expirar em breve O certificado de CA mTLS de entrada configurado vai expirar em 14 dias.
O certificado de CA mTLS de entrada expirou O certificado de CA mTLS de entrada configurado expirou.

Causa: o certificado de CA mTLS de entrada vai expirar em breve

O certificado de CA mTLS de entrada armazenado no secret do Kubernetes referenciado por um ApigeeRouteConfig vai expirar nos próximos 14 dias.

Diagnóstico

Execute este comando: 

kubectl -n apigee describe apigeeissue ISSUE_NAME

Em que ISSUE_NAME é o nome do problema. Por exemplo, ca-cert-expiring-soon-my-org-my-virtualhost.

A saída será parecida com esta: 

Name:         ca-cert-expiring-soon-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY
  Reason:         AIS_INGRESS_MTLS_CA_CERT_EXPIREY
  Severity:       WARNING
Events:           <none>
 
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC

O conteúdo de Spec.Details explica o nome do ApigeeRouteConfig que se refere ao secret do Kubernetes que contém o certificado de CA mTLS de entrada que expira em breve.

Resolução

  1. Use kubectl describe para exibir o nome do ApigeeRouteConfig que tem o certificado de CA mTLS de entrada que vai expirar em breve: 

    kubectl -n apigee describe apigeeissue ISSUE_NAME

    Em que ISSUE_NAME é o nome do problema. Por exemplo, ca-cert-expiring-soon-my-org-my-virtualhost.

    Neste exemplo, o ApigeeRouteConfig my-org-my-virtualhost referencia o secret my-org-my-virtualhost.

  2. Determine o nome do virtualhost no ApigeeRouteConfig.

    O nome do ApigeeRouteConfig está no formato: <Apigee organization>-<virtualhost name>.

    Neste exemplo, my-org é a organização da Apigee, e o nome do virtualhost é my-virtualhost.

  3. Encontre o virtualhost correspondente no seu overrides.yaml.

    virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  caCertPath: ./certs/ca.pem
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

  4. Atualize o certificado de CA listado no arquivo caCertPath.

  5. Aplique a alteração ao virtualhost:

    helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace apigee \
  --set envgroup=ENV_GROUP_NAME \
  -f overrides.yaml

Causa: o certificado de CA de mTLS expirou

O certificado de CA mTLS de entrada armazenado no secret do Kubernetes referenciado por ApigeeRouteConfig expirou.

Diagnóstico

Execute este comando: 

kubectl -n apigee describe apigeeissue ISSUE_NAME

Em que ISSUE_NAME é o nome do problema. Por exemplo, ca-cert-expired-my-org-my-virtualhost.

A saída será parecida com esta: 

Name:         ca-cert-expired-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY
  Reason:         AIS_INGRESS_MTLS_CA_CERT_EXPIREY
  Severity:       ERROR
Events:           <none>
 
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC

O conteúdo de Spec.Details explica o nome do ApigeeRouteConfig que se refere ao secret do Kubernetes que contém o certificado de CA mTLS de entrada que expirou.

Resolução

  1. Use kubectl describe para exibir o nome da ApigeeRouteConfig que tem o certificado de CA mTLS de entrada expirado: 

    kubectl -n apigee describe apigeeissue ISSUE_NAME

    Em que ISSUE_NAME é o nome do problema. Por exemplo, ca-cert-expired-my-org-my-virtualhost.

    Neste exemplo, o ApigeeRouteConfig my-org-my-virtualhost referencia o secret my-org-my-virtualhost.

  2. Determine o nome do virtualhost no ApigeeRouteConfig.

    O nome do ApigeeRouteConfig está no formato: <Apigee organization>-<virtualhost name>.

    Neste exemplo, my-org é a organização da Apigee, e o nome do virtualhost é my-virtualhost.

  3. Encontre o virtualhost correspondente no seu overrides.yaml.

    virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  caCertPath: ./certs/ca.pem
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

  4. Atualize o certificado de CA listado no arquivo caCertPath.

  5. Aplique a alteração ao virtualhost:

    helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace apigee \
  --set envgroup=ENV_GROUP_NAME \
  -f overrides.yaml

É necessário coletar informações de diagnóstico

Se o problema persistir mesmo depois de seguir as instruções acima, reúna as seguintes informações de diagnóstico e entre em contato com o Atendimento ao cliente do Google Cloud:

  1. O ID do projeto do Google Cloud.
  2. O nome da organização da Apigee híbrida.
  3. O campo Spec.Details do ApigeeIssue.
  4. (Opcional) Arquivo referenciado por caCertPath para o virtualhost afetado.