Stai visualizzando la documentazione relativa a Apigee e Apigee ibrido.
Non esiste una equivalente
documentazione di Apigee Edge per questo argomento.
Sintomo
Un ApigeeIssue con Reason AIS_INGRESS_MTLS_CA_CERT_INVALID
viene visualizzato quando visualizzi le risorse nello spazio dei nomi apigee.
Messaggi di errore
Dopo aver eseguito kubectl -n apigee get apigeeissues, si verifica un errore come il seguente
visualizzato:
NAME SEVERITY REASON DOCUMENTATION AGE ca-cert-invalid-my-org-my-virtualhost ERROR AIS_INGRESS_MTLS_CA_CERT_INVALID https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID 5h18m
Cause possibili
| Causa | Descrizione |
|---|---|
| Il certificato CA mTLS in entrata non è con codifica PEM | Il certificato CA mTLS di ingresso configurato non è codificato in PEM. |
| Il certificato CA mTLS di ingresso non è valido | Il certificato CA mTLS di ingresso configurato non è valido. |
Causa: il certificato CA mTLS in entrata non è con codifica PEM
Al certificato CA mTLS di ingresso archiviato nel secret Kubernetes a cui fa riferimento un
ApigeeRouteConfig mancano i blocchi di testo con codifica PEM (o sono formattati in modo errato).
Diagnosi
Esegui questo comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-invalid-my-org-my-virtualhost.
L'output dovrebbe essere simile al seguente:
Name: ca-cert-invalid-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID Reason: AIS_INGRESS_MTLS_CA_CERT_INVALID Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded
I contenuti di Spec.Details spiegano il nome di ApigeeRouteConfig che fa riferimento al segreto Kubernetes contenente il certificato CA mTLS di ingresso non codificato in PEM.
Risoluzione
-
Utilizza
kubectl describeper visualizzare il nome delApigeeRouteConfigche ha il certificato CA mTLS di ingresso non codificato in PEM:kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio,
ca-cert-invalid-my-org-my-virtualhost.In questo esempio, il valore di
ApigeeRouteConfigmy-org-my-virtualhostè che fa riferimento al secretmy-org-my-virtualhost. -
Stabilisci il nome
virtualhostdalApigeeRouteConfig.Il nome del
ApigeeRouteConfigha il seguente formato:<Apigee organization>-<virtualhost name>.In questo esempio,
my-orgè l'organizzazione Apigee e il nome del virtualhost èmy-virtualhost. -
Trova il virtualhost corrispondente nel tuo
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Convalida i contenuti del file fornito tramite il percorso dichiarato in
caCertPath. Assicurati che i contenuti includano i blocchi di certificati iniziali e finali richiesti. Ad esempio:-----BEGIN CERTIFICATE----- MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL ... <contents omitted> ... eWJyaWQuZTJlLmFwaWdlZWtzLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC MMM= -----END CERTIFICATE-----
-
Una volta corretti i contenuti e il formato del file, applica la modifica al virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Causa: il certificato CA mTLS di Ingress non è valido
Il certificato CA mTLS in entrata archiviato nel secret Kubernetes a cui fa riferimento un
Formato ApigeeRouteConfig non valido.
Diagnosi
Esegui questo comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-invalid-my-org-my-virtualhost.
L'output dovrebbe essere simile al seguente:
Name: ca-cert-invalid-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID Reason: AIS_INGRESS_MTLS_CA_CERT_INVALID Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid
I contenuti di Spec.Details spiegano il nome di ApigeeRouteConfig che fa riferimento al segreto Kubernetes contenente il certificato CA mTLS di ingresso con formato non valido e non analizzato.
Risoluzione
-
Utilizza
kubectl describeper visualizzare il nome delApigeeRouteConfigil cui certificato CA mTLS di ingresso non è valido:kubectl -n apigee describe apigeeissue ISSUE_NAME
dove ISSUE_NAME è il nome del problema. Ad esempio:
ca-cert-invalid-my-org-my-virtualhost.In questo esempio, il valore di
ApigeeRouteConfigmy-org-my-virtualhostè che fa riferimento al secretmy-org-my-virtualhost. -
Stabilisci il nome
virtualhostdalApigeeRouteConfig.Il nome del
ApigeeRouteConfigha il seguente formato:<Apigee organization>-<virtualhost name>.In questo esempio,
my-orgè l'organizzazione Apigee e il nome del virtualhost èmy-virtualhost. -
Trova il virtualhost corrispondente nel tuo
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Convalida i contenuti del file fornito tramite il percorso dichiarato in
caCertPath. Assicurati che i contenuti contengano l'intero certificato. Ad esempio:-----BEGIN CERTIFICATE----- MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL BQAwQDE+MDwGA1UEAww1bWF4bWlsbGlvbi1oeWJyaWQtc3RhZ2luZy1kZXYuaHli ... <contents omitted> ... 0TPPaik8U9dtFXMGT1DJkjPRPO0Jw5rlU8DKlNA/Kkv52aKJZNwB/cwmvoa/BFji PIPa9wY= -----END CERTIFICATE-----
-
Una volta corretti i contenuti e il formato del file, applica la modifica al virtualhost:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Raccogliere dati diagnostici
Se il problema persiste anche dopo aver seguito le istruzioni riportate sopra, raccogli le seguenti informazioni di diagnostica e poi contatta l'assistenza clienti Google Cloud:
- L'ID progetto Google Cloud.
- Il nome dell'organizzazione Apigee hybrid.
- Il campo
Spec.DetailsdiApigeeIssue. -
(Facoltativo) File a cui fa riferimento
caCertPathper il virtualhost interessato.