Stai visualizzando la documentazione relativa a Apigee e Apigee ibrido.
Non esiste una equivalente
documentazione di Apigee Edge per questo argomento.
Sintomo
Un ApigeeIssue con Reason AIS_INGRESS_MTLS_CA_CERT_EXPIREY
viene mostrato quando si visualizzano le risorse nello spazio dei nomi apigee.
Messaggi di errore
Dopo aver eseguito kubectl -n apigee get apigeeissues, si verifica un errore come il seguente
visualizzato:
NAME SEVERITY REASON DOCUMENTATION AGE ca-cert-expired-my-org-my-virtualhost ERROR AIS_INGRESS_MTLS_CA_CERT_EXPIREY https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY 5h18m
Cause possibili
| Causa | Descrizione |
|---|---|
| Il certificato CA mTLS in entrata scadrà a breve | Il certificato CA mTLS in entrata configurato scadrà entro 14 giorni. |
| Il certificato CA mTLS in entrata è scaduto | Il certificato CA mTLS in entrata configurato è scaduto. |
Causa: il certificato CA mTLS in entrata scadrà a breve
Il certificato CA mTLS in entrata archiviato nel secret Kubernetes a cui fa riferimento un
ApigeeRouteConfig scadrà entro i prossimi 14 giorni.
Diagnosi
Esegui questo comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-expiring-soon-my-org-my-virtualhost.
L'output dovrebbe essere simile al seguente:
Name: ca-cert-expiring-soon-my-org-my-virtualhost
Namespace: apigee
Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Annotations: <none>
API Version: apigee.cloud.google.com/v1alpha1
Kind: ApigeeIssue
Metadata:
Creation Timestamp: 2023-06-12T17:03:43Z
Generation: 1
Owner References:
API Version: apigee.cloud.google.com/v1alpha2
Kind: ApigeeOrganization
Name: my-org
UID: 7e83a52c-ce00-4bed-98be-55835ada1817
Resource Version: 3281563
UID: adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Severity: WARNING
Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
I contenuti di Spec.Details spiegano il nome del
ApigeeRouteConfig che fa riferimento al secret Kubernetes contenente il traffico mTLS in entrata
Certificato CA in scadenza.
Risoluzione
-
Usa
kubectl describeper visualizzare il nome delApigeeRouteConfigche presenta il certificato CA mTLS in entrata che scadrà a breve:kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-expiring-soon-my-org-my-virtualhost.In questo esempio, il valore di
ApigeeRouteConfigmy-org-my-virtualhostè che fa riferimento al secretmy-org-my-virtualhost. -
Stabilisci il nome
virtualhostdalApigeeRouteConfig.Il nome del
ApigeeRouteConfigè nel seguente formato:<Apigee organization>-<virtualhost name>.In questo esempio,
my-orgè l'organizzazione Apigee e il nome virtualhost èmy-virtualhost. -
Trova il virtualhost corrispondente nel tuo
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Aggiorna il certificato CA elencato nel file
caCertPath. -
Applica la modifica a virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Causa: il certificato CA mTLS in entrata è scaduto
Il certificato CA mTLS in entrata archiviato nel secret Kubernetes a cui fa riferimento un
ApigeeRouteConfig è scaduto.
Diagnosi
Esegui questo comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-expired-my-org-my-virtualhost.
L'output dovrebbe essere simile al seguente:
Name: ca-cert-expired-my-org-my-virtualhost
Namespace: apigee
Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Annotations: <none>
API Version: apigee.cloud.google.com/v1alpha1
Kind: ApigeeIssue
Metadata:
Creation Timestamp: 2023-06-12T17:03:43Z
Generation: 1
Owner References:
API Version: apigee.cloud.google.com/v1alpha2
Kind: ApigeeOrganization
Name: my-org
UID: 7e83a52c-ce00-4bed-98be-55835ada1817
Resource Version: 3281563
UID: adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Reason: AIS_INGRESS_MTLS_CA_CERT_EXPIREY
Severity: ERROR
Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
I contenuti di Spec.Details spiegano il nome del
ApigeeRouteConfig che fa riferimento al secret Kubernetes contenente il traffico mTLS in entrata
Certificato CA scaduto.
Risoluzione
-
Usa
kubectl describeper visualizzare il nome delApigeeRouteConfigche ha il certificato CA mTLS in entrata scaduto:kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-expired-my-org-my-virtualhost.In questo esempio, il valore di
ApigeeRouteConfigmy-org-my-virtualhostè che fa riferimento al secretmy-org-my-virtualhost. -
Stabilisci il nome
virtualhostdalApigeeRouteConfig.Il nome del
ApigeeRouteConfigè nel seguente formato:<Apigee organization>-<virtualhost name>.In questo esempio,
my-orgè l'organizzazione Apigee e il nome virtualhost èmy-virtualhost. -
Trova il virtualhost corrispondente nel tuo
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Aggiorna il certificato CA elencato nel file
caCertPath. -
Applica la modifica a virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Raccogliere dati diagnostici
Se il problema persiste anche dopo aver seguito le istruzioni riportate sopra, raccogli riporta le seguenti informazioni diagnostiche e contatta l'assistenza clienti Google Cloud:
- L'ID del progetto Google Cloud.
- Il nome dell'organizzazione Apigee ibrida.
- Il campo
Spec.DetailsdiApigeeIssue. -
(Facoltativo) File a cui fa riferimento
caCertPathper il virtualhost interessato.