Fehlerbehebung bei der Rotation von Cassandra-Anmeldedaten

Sie lesen gerade die Dokumentation zu Apigee und Apigee Hybrid.
Für dieses Thema gibt es keine entsprechende Apigee Edge-Dokumentation.

Symptom

Während der multiregionalen Rotation von Cassandra-Anmeldedaten in Apigee Hybrid schlagen Rotationen in nachfolgenden Regionen fehl, nachdem die erste Region rotiert wurde. Fehler werden in den Logs des Pods für die Secret-Rotation protokolliert.

Fehlermeldung

In den Logs wird Folgendes angezeigt:

failed to run secret rotation: failed to create new users: failed to create new users

Problemumgehung für das bekannte Problem 397693324

Diagnose

Die SecretRotation-Ressource weist im Feld Status auf einen Fehler hin:

Status:
  Message:  initiated automated rollback
  State:    error

Die Pod-Logs des Jobs zur Rotation von Secrets enthalten den folgenden Fehler:

failed to run secret rotation: failed to create new users: failed to create new users

Die create-new-users-job-Pod-Logs enthalten den folgenden Fehler:

Error creating clients with updated password: gocql: unable to create session: unable to discover protocol version: Provided username cassandra and/or password are incorrect

Lösung

Führen Sie die folgenden Schritte aus.

1. Aktualisieren Sie in jeder Region außer der ersten das Passwort des Cassandra-Standardnutzers (cassandra) auf den neuen rotierten Wert im alten Secret.

   apiVersion: v1
       kind: Secret
       metadata:
         name: OLD_SECRET_NAME   # oldSecretRef
         namespace: APIGEE_NAMESPACE
       type: Opaque
       data:
         default.password: NEW_DEFAULT_PASSWORD   #base64-encoded string
         admin.user: OLD_ADMIN_USERNAME   #base64-encoded string
         admin.password: OLD_ADMIN_PASSWORD   #base64-encoded string
         dml.user: OLD_DML_USERNAME   #base64-encoded string
         dml.password: OLD_DML_PASSWORD   #base64-encoded string
         ddl.user: OLD_DDL_USERNAME   #base64-encoded string
         ddl.password: OLD_DDL_PASSWORD   #base64-encoded string
         jmx.user: OLD_JMX_USERNAME   #base64-encoded string
         jmx.password: OLD_JMX_PASSWORD   #base64-encoded string
         jolokia.user: OLD_JOLOKIA_USERNAME   #base64-encoded string
         jolokia.password: OLD_JOLOKIA_PASSWORD   #base64-encoded string
         

2. Wenden Sie die aktualisierte Secret an:

   kubectl apply -f OLD_SECRET_FILE

3. Fahren Sie mit dem normalen Rotationsprozess fort. Er sollte erfolgreich sein.

Erfassen von Diagnoseinformationen erforderlich

Wenn das Problem auch nach Befolgen der obigen Anweisungen weiterhin besteht, sammeln Sie die folgenden Diagnoseinformationen und wenden Sie sich dann an den Google Cloud Customer Care:

• Erfassen Sie zusätzlich zu den üblichen Daten, die Sie möglicherweise angeben müssen, die Logs von allen Pods für die Geheimnisrotation.