Está a ver a documentação do Apigee e do Apigee Hybrid.
Não existe um equivalente
na documentação do Apigee Edge para este tópico.
Sintoma
É apresentado um ApigeeIssue com Reason AIS_INGRESS_MTLS_CA_CERT_INVALID
quando vê recursos no espaço de nomes apigee.
Mensagens de erro
Depois de executar kubectl -n apigee get apigeeissues, é apresentado um erro semelhante ao seguinte:
NAME SEVERITY REASON DOCUMENTATION AGE ca-cert-invalid-my-org-my-virtualhost ERROR AIS_INGRESS_MTLS_CA_CERT_INVALID https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID 5h18m
Causas possíveis
| Causa | Descrição |
|---|---|
| O certificado da CA de mTLS de entrada não está codificado em PEM | O certificado da AC de mTLS de entrada configurado não está codificado em PEM. |
| O certificado da AC mTLS de entrada está formatado incorretamente | O certificado da AC de mTLS de entrada configurado tem um formato incorreto. |
Causa: o certificado da AC mTLS de entrada não está codificado em PEM
O certificado da AC mTLS de entrada armazenado no segredo do Kubernetes referenciado por um
ApigeeRouteConfig não tem os blocos de texto de codificação PEM (ou estão malformados).
Diagnóstico
Execute o seguinte comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-invalid-my-org-my-virtualhost.
O resultado deve ser semelhante ao seguinte:
Name: ca-cert-invalid-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID Reason: AIS_INGRESS_MTLS_CA_CERT_INVALID Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded
O conteúdo de Spec.Details explica o nome do
ApigeeRouteConfig que se refere ao segredo do Kubernetes que contém o certificado da AC de mTLS de entrada
que não está codificado em PEM.
Resolução
-
Use
kubectl describepara apresentar o nome doApigeeRouteConfigque tem o certificado de CA mTLS de entrada que não está codificado em PEM:kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-invalid-my-org-my-virtualhost.Neste exemplo, o
ApigeeRouteConfigmy-org-my-virtualhostestá a fazer referência ao segredomy-org-my-virtualhost. -
Determinar o nome do
virtualhosta partir doApigeeRouteConfig.O nome do
ApigeeRouteConfigtem o seguinte formato:<Apigee organization>-<virtualhost name>.Neste exemplo,
my-orgé a organização do Apigee e o nome do anfitrião virtual émy-virtualhost. -
Encontre o virtualhost correspondente no seu
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Valide o conteúdo do ficheiro fornecido através do caminho declarado em
caCertPath. Certifique-se de que o conteúdo contém os blocos de certificado de início e fim necessários. Por exemplo:-----BEGIN CERTIFICATE----- MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL ... <contents omitted> ... eWJyaWQuZTJlLmFwaWdlZWtzLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC MMM= -----END CERTIFICATE-----
-
Depois de corrigir o conteúdo e o formato do ficheiro, aplique a alteração ao anfitrião virtual:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Causa: o certificado da AC mTLS de entrada está formatado incorretamente
O certificado da CA mTLS de entrada armazenado no segredo do Kubernetes referenciado por um
ApigeeRouteConfig tem um formato incorreto.
Diagnóstico
Execute o seguinte comando:
kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-invalid-my-org-my-virtualhost.
O resultado deve ser semelhante ao seguinte:
Name: ca-cert-invalid-my-org-my-virtualhost Namespace: apigee Labels: ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID Annotations: <none> API Version: apigee.cloud.google.com/v1alpha1 Kind: ApigeeIssue Metadata: Creation Timestamp: 2023-06-12T17:03:43Z Generation: 1 Owner References: API Version: apigee.cloud.google.com/v1alpha2 Kind: ApigeeOrganization Name: my-org UID: 7e83a52c-ce00-4bed-98be-55835ada1817 Resource Version: 3281563 UID: adc775c2-376d-4bf9-9860-500b2b2b8273 Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid Documentation: https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID Reason: AIS_INGRESS_MTLS_CA_CERT_INVALID Severity: ERROR Events: <none>
Spec: Details: CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid
O conteúdo de Spec.Details explica o nome do
ApigeeRouteConfig que se refere ao segredo do Kubernetes que contém o certificado da AC de mTLS de entrada que está formatado incorretamente e não foi analisado.
Resolução
-
Use
kubectl describepara apresentar o nome doApigeeRouteConfigque tem o certificado de AC mTLS de entrada com formato incorreto:kubectl -n apigee describe apigeeissue ISSUE_NAME
Em que ISSUE_NAME é o nome do problema. Por exemplo,
ca-cert-invalid-my-org-my-virtualhost.Neste exemplo, o
ApigeeRouteConfigmy-org-my-virtualhostestá a fazer referência ao segredomy-org-my-virtualhost. -
Determinar o nome do
virtualhosta partir doApigeeRouteConfig.O nome do
ApigeeRouteConfigtem o seguinte formato:<Apigee organization>-<virtualhost name>.Neste exemplo,
my-orgé a organização do Apigee e o nome do anfitrião virtual émy-virtualhost. -
Encontre o virtualhost correspondente no seu
overrides.yaml.virtualhosts: ... - name: my-virtualhost selector: app: apigee-ingressgateway caCertPath: ./certs/ca.pem sslCertPath: ./certs/vhost.pem sslKeyPath: ./certs/vhost.key ... -
Valide o conteúdo do ficheiro fornecido através do caminho declarado em
caCertPath. Certifique-se de que o conteúdo contém o certificado completo. Por exemplo:-----BEGIN CERTIFICATE----- MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL BQAwQDE+MDwGA1UEAww1bWF4bWlsbGlvbi1oeWJyaWQtc3RhZ2luZy1kZXYuaHli ... <contents omitted> ... 0TPPaik8U9dtFXMGT1DJkjPRPO0Jw5rlU8DKlNA/Kkv52aKJZNwB/cwmvoa/BFji PIPa9wY= -----END CERTIFICATE-----
-
Depois de corrigir o conteúdo e o formato do ficheiro, aplique a alteração ao anfitrião virtual:
helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \ --namespace apigee \ --set envgroup=ENV_GROUP_NAME \ -f overrides.yaml
Tem de recolher informações de diagnóstico
Se o problema persistir mesmo depois de seguir as instruções acima, recolha as seguintes informações de diagnóstico e, em seguida, contacte o apoio ao cliente da Google Cloud:
- O Google Cloud ID do projeto.
- O nome da organização do Apigee Hybrid.
- O campo
Spec.DetailsdeApigeeIssue. -
(Opcional) Ficheiro referenciado por
caCertPathpara o anfitrião virtual afetado.