Esta
é a documentação da Apigee e da Apigee híbrida.
Não há documentação equivalente do
Apigee Edge para esse tópico.
Sintoma
Um ApigeeIssue
com Reason
AIS_INGRESS_CERT_MISMATCH
é mostrado ao visualizar recursos no namespace apigee
.
Mensagens de erro
Depois de executar kubectl -n apigee get apigeeissues
, o seguinte erro é exibido:
NAME SEVERITY REASON DOCUMENTATION AGE ingress-cert-mismatch-my-org-my-virtualhost ERROR AIS_INGRESS_CERT_MISMATCH https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH 5h18m
Causa: incompatibilidade do certificado de Ingress
A chave privada e o certificado armazenado no secret do Kubernetes referenciado por um ApigeeRouteConfig
não são compatíveis.
Diagnóstico
Execute este comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ingress-cert-mismatch-my-org-my-virtualhost
.
Algo semelhante ao seguinte é retornado:
Name: ingress-cert-mismatch-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_CERT_MISMATCH Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH Reason: AIS_INGRESS_CERT_MISMATCH Severity: ERROR Events: <none>
Spec: Details: Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match
O conteúdo de Spec.Details
explica o nome do ApigeeRouteConfig
, que se refere ao secret do Kubernetes que contém o certificado de Ingress e a chave privada.
Resolução
-
Use
kubectl describe
para exibir o nome doApigeeRouteConfig
que tem o certificado de Ingress e a chave incompatíveis:kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ingress-cert-mismatch-my-org-my-virtualhost
.Neste exemplo, o
ApigeeRouteConfig
my-org-my-virtualhost
referencia o secretmy-org-my-virtualhost
. -
Determine o nome do
virtualhost
noApigeeRouteConfig
.O nome do
ApigeeRouteConfig
está no formato:<Apigee organization>-<virtualhost name>
.Neste exemplo,
my-org
é a organização da Apigee, e o nome do virtualhost émy-virtualhost
. -
Encontre o virtualhost correspondente no seu
overrides.yaml
.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ...
-
Confira se os arquivos do certificado e da chave em uso são compatíveis.
Usando o
sslCertPath
e osslKeyPath
da etapa anterior, valide a correspondência das somas de MD5 usandoopenssl
:openssl x509 -noout -modulus -in SSL_CERT_PATH | openssl md5
openssl rsa -noout -modulus -in SSL_KEY_PATH | openssl md5
-
Em que SSL_CERT_PATH é o
sslCertPath
da etapa anterior. Por exemplo,./certs/vhost.pem
. -
Em que SSL_KEY_PATH é o
sslKeyPath
da etapa anterior. Por exemplo,./certs/vhost.key
.
A saída dos dois comandos acima precisa ser correspondente:
openssl x509 -noout -modulus -in ./certs/vhost.pem | openssl md5 MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
openssl rsa -noout -modulus -in ./certs/vhost.key | openssl md5 MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
-
Em que SSL_CERT_PATH é o
-
Se a saída dos comandos anteriores não for correspondente, use um dos métodos a seguir para corrigir o problema:
-
Atualize o
sslCertPath
e osslKeyPath
do virtualhost para apontar para os caminhos de arquivo corretos. -
Corrija o conteúdo do arquivo
sslCertPath
ousslKeyPath
para que contenha o certificado e o par de chaves correspondentes corretos.
-
Atualize o
-
Aplique as mudanças ao virtualhost:
Helm
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
apigeectl
apigeectl apply -f overrides.yaml --settings virtualhosts
É necessário coletar informações de diagnóstico
Se o problema persistir mesmo depois de seguir as instruções acima, reúna as seguintes informações de diagnóstico e entre em contato com o Atendimento ao cliente do Google Cloud:
- O ID do projeto do Google Cloud.
- O nome da organização da Apigee híbrida.
- O campo
Spec.Details
doApigeeIssue
. -
(Opcional) Arquivos referenciados por
sslCertPath
esslKeyPath
para o virtualhost afetado.