Falta de correspondência do certificado de entrada

Está a ver a documentação do Apigee e do Apigee Hybrid.
Não existe um equivalente na documentação do Apigee Edge para este tópico.

Sintoma

É apresentado um ApigeeIssue com Reason AIS_INGRESS_CERT_MISMATCH quando vê recursos no espaço de nomes apigee.

Mensagens de erro

Após executar kubectl -n apigee get apigeeissues, é apresentado o seguinte erro: 

NAME                                          SEVERITY   REASON                      DOCUMENTATION                                                                           AGE
ingress-cert-mismatch-my-org-my-virtualhost   ERROR      AIS_INGRESS_CERT_MISMATCH   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH   5h18m

Causa: falta de correspondência do certificado de entrada

A chave privada e o certificado armazenados no segredo do Kubernetes referenciado por um ApigeeRouteConfig não correspondem.

Diagnóstico

Execute o seguinte comando: 

kubectl -n apigee describe apigeeissue ISSUE_NAME

Em que ISSUE_NAME é o nome do problema. Por exemplo, ingress-cert-mismatch-my-org-my-virtualhost.

É devolvido algo semelhante ao seguinte: 

Name:         ingress-cert-mismatch-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_CERT_MISMATCH
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH
  Reason:         AIS_INGRESS_CERT_MISMATCH
  Severity:       ERROR
Events:           <none>
 
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match

O conteúdo de Spec.Details explica o nome do ApigeeRouteConfig que se refere ao segredo do Kubernetes que contém o certificado de entrada e a chave privada.

Resolução

  1. Use kubectl describe para apresentar o nome do ApigeeRouteConfig que tem o certificado e a chave de entrada em conflito: 

    kubectl -n apigee describe apigeeissue ISSUE_NAME

    Em que ISSUE_NAME é o nome do problema. Por exemplo, ingress-cert-mismatch-my-org-my-virtualhost.

    Neste exemplo, o ApigeeRouteConfig my-org-my-virtualhost está a fazer referência ao segredo my-org-my-virtualhost.

  2. Determinar o nome do virtualhost a partir do ApigeeRouteConfig.

    O nome do ApigeeRouteConfig tem o seguinte formato: <Apigee organization>-<virtualhost name>.

    Neste exemplo, my-org é a organização do Apigee e o nome do anfitrião virtual é my-virtualhost.

  3. Encontre o virtualhost correspondente no ficheiro overrides.yaml:

    virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

  4. Valide se os ficheiros de certificado e chave usados correspondem.

    Usando o sslCertPath e o sslKeyPath do passo anterior, valide se as somas MD5 correspondem usando openssl: 

    openssl x509 -noout -modulus -in SSL_CERT_PATH | openssl md5
     
    openssl rsa -noout -modulus -in SSL_KEY_PATH | openssl md5

    • Em que SSL_CERT_PATH é o sslCertPath do passo anterior. Por exemplo, ./certs/vhost.pem.
    • Em que SSL_KEY_PATH é o sslKeyPath do passo anterior. Por exemplo, ./certs/vhost.key.

    O resultado dos dois comandos acima deve corresponder:

    openssl x509 -noout -modulus -in ./certs/vhost.pem | openssl md5
MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
     
    openssl rsa -noout -modulus -in ./certs/vhost.key | openssl md5
MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4

  5. Se o resultado dos comandos anteriores não corresponder, use um dos seguintes métodos para corrigir o problema:

    • Atualize os elementos sslCertPath e sslKeyPath do anfitrião virtual para apontarem para os caminhos dos ficheiros corretos.
    • Corrija o conteúdo do ficheiro sslCertPath ou sslKeyPath para conter o par de chaves e o certificado de correspondência corretos.

  6. Aplique as alterações ao anfitrião virtual através do Helm:

    helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=ENV_GROUP_NAME \
  -f OVERRIDES_FILE

    Certifique-se de que inclui todas as definições apresentadas, incluindo --atomic para que a ação seja revertida em caso de falha.

Tem de recolher informações de diagnóstico

Se o problema persistir mesmo depois de seguir as instruções acima, recolha as seguintes informações de diagnóstico e, em seguida, contacte o apoio ao cliente da Google Cloud:

  1. O Google Cloud ID do projeto.
  2. O nome da organização do Apigee Hybrid.
  3. O campo Spec.Details de ApigeeIssue.
  4. (Opcional) Ficheiros referenciados por sslCertPath e sslKeyPath para o virtualhost afetado.