Ingress 憑證到期

您正在查看 Apigee 和 Apigee Hybrid 說明文件。
這個主題沒有對應的 Apigee Edge 說明文件。

問題

查看 apigee 命名空間中的資源時，會顯示含有 Reason AIS_INGRESS_CERT_EXPIREY 的 ApigeeIssue。

錯誤訊息

執行 kubectl -n apigee get apigeeissues 後，系統會顯示類似下列的錯誤訊息：

NAME                                         SEVERITY   REASON                     DOCUMENTATION                                                                          AGE
ingress-cert-expired-my-org-my-virtualhost   ERROR      AIS_INGRESS_CERT_EXPIREY   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_EXPIREY   5h18m

可能原因

原因：Ingress 憑證即將到期

ApigeeRouteConfig 參照的 Kubernetes 密鑰中儲存的入口憑證，將於未來 14 天內到期。

診斷

請執行下列指令：

kubectl -n apigee describe apigeeissue ISSUE_NAME

其中 ISSUE_NAME 是問題名稱。例如：ingress-cert-expiring-soon-my-org-my-virtualhost。

輸出內容應如下所示：

Name:         ingress-cert-expiring-soon-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_CERT_EXPIREY
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        Ingress certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_EXPIREY
  Reason:         AIS_INGRESS_CERT_EXPIREY
  Severity:       WARNING
Events:           <none>

Spec:
  Details:        Ingress certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is expiring in 5.409373245s at 2024-03-11 19:04:12 +0000 UTC

Spec.Details 的內容會說明 ApigeeRouteConfig 的名稱，該名稱會參照包含即將到期的入口憑證的 Kubernetes 密鑰。

解決方法

1. 使用 kubectl describe 顯示 ApigeeRouteConfig 的名稱，該名稱含有即將到期的入口憑證：

   kubectl -n apigee describe apigeeissue ISSUE_NAME

   其中 ISSUE_NAME 是問題名稱。例如 ingress-cert-expiring-soon-my-org-my-virtualhost。

   在這個範例中，ApigeeRouteConfig my-org-my-virtualhost 會參照密鑰 my-org-my-virtualhost。

2. 從 ApigeeRouteConfig 判斷 virtualhost 名稱。

   ApigeeRouteConfig 的名稱格式為 <Apigee organization>-<virtualhost name>。

   在這個範例中，my-org 是 Apigee 機構，虛擬主機名稱則為 my-virtualhost。

3. 在 overrides.yaml 中找出對應的 virtualhost。

   virtualhosts:
   ...
   - name: my-virtualhost
     selector:
       app: apigee-ingressgateway
     sslCertPath: ./certs/vhost.pem
     sslKeyPath: ./certs/vhost.key
   ...

4. 更新 sslCertPath 和 sslKeyPath 檔案中列出的憑證和金鑰。

5. 將變更套用至虛擬主機：

   helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
     --namespace apigee \
     --set envgroup=ENV_GROUP_NAME \
     -f overrides.yaml

原因：入口憑證已過期

ApigeeRouteConfig 參照的 Kubernetes 密鑰中儲存的入口憑證已過期。

診斷

請執行下列指令：

kubectl -n apigee describe apigeeissue ISSUE_NAME

其中 ISSUE_NAME 是問題名稱。例如：ingress-cert-expired-my-org-my-virtualhost。

系統會傳回類似以下的內容：

Name:         ingress-cert-expired-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_CERT_EXPIREY
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        Ingress certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_EXPIREY
  Reason:         AIS_INGRESS_CERT_EXPIREY
  Severity:       ERROR
Events:           <none>

Spec:
  Details:        Ingress certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" expired at: 2024-03-11 19:12:10 +0000 UTC

Spec.Details 的內容會說明 ApigeeRouteConfig 的名稱，該名稱會參照包含已過期入口憑證的 Kubernetes 密鑰。

解決方法

1. 使用 kubectl describe 顯示具有過期入口憑證的 ApigeeRouteConfig 名稱：

   kubectl -n apigee describe apigeeissue ISSUE_NAME

   其中 ISSUE_NAME 是問題名稱。例如 ingress-cert-expired-my-org-my-virtualhost。

   在這個範例中，ApigeeRouteConfig my-org-my-virtualhost 會參照密鑰 my-org-my-virtualhost。

2. 從 ApigeeRouteConfig 判斷 virtualhost 名稱。

   ApigeeRouteConfig 的名稱格式為 <Apigee organization>-<virtualhost name>。

   在這個範例中，my-org 是 Apigee 機構，虛擬主機名稱則為 my-virtualhost。

3. 在 overrides.yaml 中找出對應的 virtualhost。

   virtualhosts:
   ...
   - name: my-virtualhost
     selector:
       app: apigee-ingressgateway
     sslCertPath: ./certs/vhost.pem
     sslKeyPath: ./certs/vhost.key
   ...

4. 更新 sslCertPath 和 sslKeyPath 檔案中列出的憑證和金鑰。

5. 將變更套用至虛擬主機：

   helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
     --namespace apigee \
     --set envgroup=ENV_GROUP_NAME \
     -f overrides.yaml

必須收集診斷資訊

如果問題在您按照上述操作說明後仍未解決，請收集下列診斷資訊，然後與 Google Cloud Customer Care 團隊聯絡：

1. Google Cloud 專案 ID。
2. Apigee Hybrid 機構的名稱。
3. ApigeeIssue 的 Spec.Details 欄位。
4. (選用) sslCertPath 和 sslKeyPath 為受影響的虛擬主機參照的檔案。