前書き
本記事はresourceInUseByAnotherResourceとFailedNotVisibleのエラーを解決した時の備忘録です。
ManagedCertificateにドメインを追加
現在運用中のサイトをa.example.comとし、b.example.comとして話を進めていきます。
a.example.comのLBを使いまわすため、ManagedCertificateにb.example.comを追加しました。
yaml
1
2
3
4
5
6
7
8
apiVersion : networking.gke.io/v1
kind : ManagedCertificate
metadata :
name : certificate-1
spec :
domains :
- a.example.com
- b.example.com
describeで確認してみます。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
~/$ kubectl describe ManagedCertificate
Name: certificate-1
Namespace: hogehoge
--- 省略 ---
Spec:
Domains:
a.example.com
b.example.com
Status:
Certificate Name: mcrt-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Certificate Status: Active
Domain Status:
Domain: a.example.com
Status: Active
Expire Time: 2021-07-30T00:36:49.000-07:00
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Warning BackendError 13m (x94 over 22h) managed-certificate-controller googleapi: Error 400: The ssl_certificate resource 'projects/< project name> /global/sslCertificates/mcrt-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX' is already being used by 'projects/< project name> /global/targetHttpsProxies/< ingress object> ', resourceInUseByAnotherResource
すると、resourceInUseByAnotherResourceエラーが出ました。
googleapi: Error 400: The ssl_certificate resource ‘projects//global/sslCertificates/mcrt-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX’ is already being used by ‘projects//global/targetHttpsProxies/’, resourceInUseByAnotherResource
既存の証明書はa.example.com用に作られたものなので、それに追加できる仕様じゃないみたいです。(常識かもしれない…)
というわけで、certificate-2を新しく作成しました。
yaml
1
2
3
4
5
6
7
8
apiVersion : networking.gke.io/v1
kind : ManagedCertificate
metadata :
name : certificate-2
spec :
domains :
- a.example.com
- b.example.com
certificate-2を追加して、describeで確認するとStatusがProvisioningに変わりました。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
~/$ kubectl describe ManagedCertificate
Name: certificate-2
Namespace: hogehoge
--- 省略 ---
Spec:
Domains:
a.example.com
b.example.com
Status:
Certificate Name: mcrt-YYYYYYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY
Certificate Status: Provisioning
Domain Status:
Domain: a.example.com
Status: Provisioning
Domain: b.example.com
Status: Provisioning
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Create 36s managed-certificate-controller Create SslCertificate mcrt-YYYYYYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY
Domain Statusにもちゃんと二つ表示されています。
FailedNotVisibleエラー
これで解決かと思いきやStatusがFailedNotVisibleになってしまいました。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
~/$ kubectl describe ManagedCertificate
Name: certificate-2
Namespace: hogehoge
--- 省略 ---
Spec:
Domains:
a.example.com
b.example.com
Status:
Certificate Name: mcrt-YYYYYYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY
Certificate Status: Provisioning
Domain Status:
Domain: a.example.com
Status: FailedNotVisible
Domain: b.example.com
Status: FailedNotVisible
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Create 30m managed-certificate-controller Create SslCertificate mcrt-YYYYYYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY
色々調べてみますとGoogle公式のトラブルシューティングに考えられる原因について記載がありました。
証明書の期限が切れていることが考えられます。
ドメインの DNS レコードが、Google Cloud ロードバランサの IP アドレスに解決されません。この問題を解決するには、DNS レコードを更新してロードバランサの IP アドレスを指定します。
SSL 証明書がロードバランサのターゲット プロキシに適用されていません。この問題を解決するには、ロードバランサの構成を更新してください。
グローバル転送ルール用のフロントエンド ポートに、SSL プロキシ ロードバランサ用のポート 443 が含まれていません。この問題は、ポート 443 を使用して新しい転送ルールを追加すると解決できます。
SSL 証明書のトラブルシューティング
より一部抜粋
一つ一つ確認していきます。
証明書の期限が切れていることが考えられます。
作成したばかリの証明書ですので、これは違いました。
ドメインの DNS レコードが、Google Cloud ロードバランサの IP アドレスに解決されません。この問題を解決するには、DNS レコードを更新してロードバランサの IP アドレスを指定します。
ドメインのIPはロードバランサに紐づけた静的IPを指定していますので、これも違います。
SSL 証明書がロードバランサのターゲット プロキシに適用されていません。この問題を解決するには、ロードバランサの構成を更新してください。
ロードバランサのターゲット プロキシに適用されていない…??
Ingressの設定を確認してみますと、
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
~/$ kubectl describe Ingress
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: example-ingress
annotations:
kubernetes.io/ingress.global-static-ip-name: example-com-ip
networking.gke.io/managed-certificates: certificate-1
kubernetes.io/ingress.class: "gce"
spec:
rules:
- host: a.example.com
http:
paths:
- path: /*
backend:
serviceName: svc-a-example
servicePort: 80
- host: b.example.com
http:
paths:
- path: /*
backend:
serviceName: svc-b-example
servicePort: 80
managed-certificatesにcertificate-1しか指定されていません。certificate-2を追加しましょう。
コマンドで追加しようとしましたが、事故りそうだったのでGCPの管理画面からIngressの編集ボタンを押して直接追記しました。
追加後に確認してみますと、
cmd
1
2
3
4
5
6
7
8
9
10
11
~/$ kubectl describe Ingress
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: example-ingress
annotations:
kubernetes.io/ingress.global-static-ip-name: example-com-ip
networking.gke.io/managed-certificates: certificate-1,certificate-2
kubernetes.io/ingress.class: "gce"
spec:
--- 省略 ---
ちゃんと追加されていますね。
ここで念のため、一旦certificate-2を削除して、再作成して確認しました。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
~/$ kubectl delete ManagedCertificate certificate-2
~/$ kubectl apply -f certificate-2.yaml
~/$ kubectl describe ManagedCertificate
Name: certificate-2
Namespace: hogehoge
--- 省略 ---
Spec:
Domains:
a.example.com
b.example.com
Status:
Certificate Name: mcrt-ZZZZZZZZ-ZZZZ-ZZZZ-ZZZZ-ZZZZZZZZZZZZ
Certificate Status: Provisioning
Domain Status:
Domain: a.example.com
Status: FailedNotVisible
Domain: b.example.com
Status: FailedNotVisible
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Create 29m managed-certificate-controller Create SslCertificate mcrt-ZZZZZZZZ-ZZZZ-ZZZZ-ZZZZ-ZZZZZZZZZZZZ
うーん、また失敗 してますね…。
再度Ingressの詳細を確認してみます。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
~/$ kubectl describe Ingress
Name: example-ingress
Namespace: hogehoge
Address: XXX.XXX.XXX.XXX
Rules:
Host Path Backends
---- ---- --------
a.example.com
/* svc-a-example:80 (XXX.XXX.XXX.XXX:80)
Annotations: ingress.gcp.kubernetes.io/pre-shared-cert: mcrt-AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA,mcrt-BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB
--- 省略 ---
Events:
Type Reason Age From Message
---- ------ ---- ---- -------```
Normal SslCertificateMissing 53m (x142 over 32h) loadbalancer-controller googleapi: Error 404: The resource 'projects/example/global/sslCertificates/mcrt-AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA' was not found, notFound
Normal SslCertificateMissing 43m (x142 over 32h) loadbalancer-controller googleapi: Error 404: The resource 'projects/example/global/sslCertificates/mcrt-BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB' was not found, notFound
googleapi: Error 404: The resource ‘projects/example/global/sslCertificates/mcrt-AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA’ was not found, notFound
pre-shared-certに設定されている証明書がないと怒っていますね。pre-shared-certは証明書をスムーズに切り替えるために、証明書を事前共有しておく仕組みのようです。
証明書を削除した際にpre-shared-certの方は削除してくれないようです。pre-shared-certアノテーションを編集して無効な証明書を削除しました。
再度確認してみます。
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
~/$ kubectl describe Ingress
Name: example-ingress
Namespace: hogehoge
Address: XXX.XXX.XXX.XXX
Rules:
Host Path Backends
---- ---- --------
a.example.com
/* svc-a-example:80 (XXX.XXX.XXX.XXX:80)
Annotations: ingress.gcp.kubernetes.io/pre-shared-cert: mcrt-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
--- 省略 ---
Events:
Type Reason Age From Message
---- ------ ---- ---- -------```
Normal SslCertificateMissing 53m (x142 over 32h) loadbalancer-controller googleapi: Error 404: The resource 'projects/example/global/sslCertificates/mcrt-AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA' was not found, notFound
Normal SslCertificateMissing 43m (x142 over 32h) loadbalancer-controller googleapi: Error 404: The resource 'projects/example/global/sslCertificates/mcrt-BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB' was not found, notFound
pre-shared-certが現在アクティブになっている証明書のみになってますね。
ManagedCertificateはまだFailedNotVisibleのままですので、certificate-2を削除して再作成しようとしましたが、Googleのトラブルシューティングの所に気になる記載がありました。
マネージド ステータスが PROVISIONING の場合、ドメイン ステータスが FAILED_NOT_VISIBLE であっても、Google Cloud はプロビジョニングを再試行します。SSL 証明書のトラブルシューティング
より一部抜粋
FailedNotVisibleでも再試行するみたいです。
30分後、確認すると無事Activeになりました!
cmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
~/$ kubectl describe ManagedCertificate
Name: certificate-2
Namespace: hogehoge
--- 省略 ---
Spec:
Domains:
a.example.com
b.example.com
Status:
Certificate Name: mcrt-ZZZZZZZZ-ZZZZ-ZZZZ-ZZZZ-ZZZZZZZZZZZZ
Certificate Status: Active
Domain Status:
Domain: a.example.com
Status: Active
Domain: b.example.com
Status: Active
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Create 43m managed-certificate-controller Create SslCertificate mcrt-ZZZZZZZZ-ZZZZ-ZZZZ-ZZZZ-ZZZZZZZZZZZZ
最後に
FailedNotVisibleのエラーは結果的にpre-shared-certを削除したら解消されましたが、これが原因かどうかは不明です。Activeになっていたかも知れないです。
以上となります。
