Anda sedang melihat dokumentasi Apigee dan Apigee Hybrid.
Tidak ada dokumentasi
Apigee Edge yang setara untuk topik ini.
Gejala
ApigeeIssue
dengan Reason
AIS_INGRESS_MTLS_CA_CERT_EXPIREY
ditampilkan saat melihat resource dalam namespace apigee
.
Pesan error
Setelah menjalankan kubectl -n apigee get apigeeissues
, error seperti berikut
akan ditampilkan:
NAME SEVERITY REASON DOCUMENTATION AGE ca-cert-expired-my-org-my-virtualhost ERROR AIS_INGRESS_MTLS_CA_CERT_EXPIREY https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY 5h18m
Kemungkinan penyebab
Penyebab | Deskripsi |
---|---|
Masa berlaku sertifikat CA mTLS masuk akan segera berakhir | Masa berlaku sertifikat CA mTLS masuk yang dikonfigurasi akan berakhir dalam waktu 14 hari. |
Masa berlaku sertifikat CA mTLS masuk habis | Masa berlaku sertifikat CA mTLS pada ingress yang dikonfigurasi telah berakhir. |
Penyebab: Masa berlaku sertifikat CA mTLS masuk akan segera berakhir
Sertifikat CA mTLS masuk yang disimpan dalam rahasia Kubernetes yang dirujuk oleh
ApigeeRouteConfig
akan habis masa berlakunya dalam 14 hari ke depan.
Diagnosis
Jalankan perintah berikut:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Dengan ISSUE_NAME adalah nama masalah. Contoh,
ca-cert-expiring-soon-my-org-my-virtualhost
.
Output-nya akan terlihat seperti berikut:
Name: ca-cert-expiring-soon-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY Severity: WARNING Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
Konten Spec.Details
menjelaskan nama
ApigeeRouteConfig
yang mengacu pada rahasia Kubernetes yang berisi sertifikat CA mTLS
yang akan segera habis masa berlakunya.
Resolusi
-
Gunakan
kubectl describe
untuk menampilkan namaApigeeRouteConfig
yang memiliki sertifikat CA mTLS ingress yang akan segera berakhir:kubectl -n apigee describe apigeeissue ISSUE_NAME
Dengan ISSUE_NAME adalah nama masalah. Misalnya:
ca-cert-expiring-soon-my-org-my-virtualhost
.Dalam contoh ini,
ApigeeRouteConfig
my-org-my-virtualhost
merujuk kemy-org-my-virtualhost
rahasia. -
Tentukan nama
virtualhost
dariApigeeRouteConfig
.Nama
ApigeeRouteConfig
dalam format:<Apigee organization>-<virtualhost name>
.Dalam contoh ini,
my-org
adalah organisasi Apigee dan nama virtualhost adalahmy-virtualhost
. -
Temukan host virtual yang sesuai di
overrides.yaml
Anda.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ...
-
Perbarui sertifikat CA yang tercantum dalam file
caCertPath
. -
Terapkan perubahan pada virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Penyebab: Masa berlaku sertifikat CA mTLS masuk habis
Sertifikat CA mTLS masuk yang disimpan dalam rahasia Kubernetes yang dirujuk oleh
ApigeeRouteConfig
telah habis masa berlakunya.
Diagnosis
Jalankan perintah berikut:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Dengan ISSUE_NAME adalah nama masalah. Contoh,
ca-cert-expired-my-org-my-virtualhost
.
Output-nya akan terlihat seperti berikut:
Name: ca-cert-expired-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
Konten Spec.Details
menjelaskan nama
ApigeeRouteConfig
yang mengacu pada rahasia Kubernetes yang berisi sertifikat CA mTLS
yang sudah tidak berlaku.
Resolusi
-
Gunakan
kubectl describe
untuk menampilkan namaApigeeRouteConfig
yang memiliki sertifikat CA mTLS ingress yang sudah tidak berlaku:kubectl -n apigee describe apigeeissue ISSUE_NAME
Dengan ISSUE_NAME adalah nama masalah. Misalnya:
ca-cert-expired-my-org-my-virtualhost
.Dalam contoh ini,
ApigeeRouteConfig
my-org-my-virtualhost
merujuk kemy-org-my-virtualhost
rahasia. -
Tentukan nama
virtualhost
dariApigeeRouteConfig
.Nama
ApigeeRouteConfig
dalam format:<Apigee organization>-<virtualhost name>
.Dalam contoh ini,
my-org
adalah organisasi Apigee dan nama virtualhost adalahmy-virtualhost
. -
Temukan host virtual yang sesuai di
overrides.yaml
Anda.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ...
-
Perbarui sertifikat CA yang tercantum dalam file
caCertPath
. -
Terapkan perubahan pada virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Harus mengumpulkan informasi diagnostik
Jika masalah terus berlanjut bahkan setelah mengikuti petunjuk di atas, kumpulkan informasi diagnostik berikut, lalu hubungi Google Cloud Customer Care:
- ID Project Google Cloud.
- Nama organisasi campuran Apigee.
- Kolom
Spec.Details
dariApigeeIssue
. -
(opsional) File yang dirujuk oleh
caCertPath
untuk virtualhost yang terpengaruh.