Fallo de establecimiento de comunicación de TLS de caché de respuesta

Descubra cómo solucionar los fallos de establecimiento de comunicación de TLS de la caché de respuesta al crear despliegues de API con el servicio API Gateway.

Si el almacenamiento en caché de respuesta está activado y API Gateway informa problemas de estado de caché con un fallo de establecimiento de comunicación de TLS, API Gateway puede acceder a la ruta de conexión de caché pero no puede completar el establecimiento de comunicación de TLS con el almacén de caché.

Emitir síntomas

Es posible que vea uno o más de los siguientes síntomas:

  • El despliegue de API está activo, pero las respuestas no se almacenan en la caché.
  • La caché de respuesta se informa como en mal estado.
  • Los logs de ejecución incluyen un timeout de establecimiento de comunicación SSL, un fallo de establecimiento de comunicación TLS o un fallo de conexión de caché.
  • Las respuestas en caché dejan de funcionar, pero la API sigue proporcionando tráfico.

Causas posibles

Este problema puede producirse por uno o más de los siguientes motivos:

  • El nombre de host o el puerto del punto final de caché no son correctos.
  • El despliegue de API está configurado para utilizar TLS, pero el listener de caché no está configurado para TLS en el puerto especificado o no presenta el certificado esperado.
  • El servidor de caché presenta una cadena de certificados caducada, incompleta o no válida.
  • Un firewall, un proxy, una regla de ruta, un grupo de seguridad de red (NSG) o una lista de seguridad bloquean o interrumpen el establecimiento de comunicación de TLS.
  • La subred de gateway no puede acceder de forma fiable al punto final de caché.
  • Las credenciales de autenticación de caché en el secreto al que se hace referencia faltan, caducan o son incorrectas.

Revisar la configuración de la caché de respuesta

Revise la configuración de caché de respuesta y confirme que los siguientes valores coinciden con el punto final de caché que espera que utilice API Gateway:

  • responseCaching.responseCache.servers[0].host
  • responseCaching.responseCache.servers[0].port
  • responseCaching.responseCache.isSslEnabled
  • responseCaching.responseCache.isSslVerifyDisabled
  • responseCaching.responseCache.authenticationSecretId
  • responseCaching.responseCache.authenticationSecretVersionNumber
  • responseCaching.responseCache.connectTimeoutInMs

Confirme que la configuración de caché de respuesta apunta al servidor de caché deseado. API Gateway solo soporta un único host de servidor de caché para el almacenamiento en caché de respuesta.

Compruebe el log de ejecución

Compruebe en el log de ejecución los fallos de establecimiento de comunicación de TLS de caché de respuesta o los fallos de conexión de caché.

Confirmar el punto final de TLS de caché

Confirme que el punto final de caché está listo para aceptar la conexión TLS desde el gateway:

  • Confirme que el listener de caché espera TLS en el puerto configurado.
  • Confirme que el certificado presentado por el servidor de caché se encadena a una autoridad de certificación (CA) en la que confía API Gateway cuando se activa la verificación de certificados.
  • Confirme que el nombre de usuario y la contraseña de la caché en el secreto al que se hace referencia son válidos.
  • Desde una instancia informática que utiliza la misma ruta de red que la subred del gateway, ejecute nc -vz <cache-host> <cache-port> para confirmar la accesibilidad de TCP.
  • Ejecute openssl s_client -connect <cache-host>:<cache-port> -servername <cache-host> -showcerts para inspeccionar la cadena de certificados y el resultado del establecimiento de comunicación de TLS.

Solución de Problemas de TLS de Caché de Respuesta

Utilice las siguientes acciones para resolver el fallo del establecimiento de comunicación de TLS:

  • Si el punto final de caché es incorrecto, actualice el host o puerto de caché configurado.
  • Si el servidor de caché no recibe TLS en el puerto configurado, corrija la configuración del listener o desactive TLS en la configuración del gateway cuando el tráfico de caché de texto sin formato sea aceptable para el entorno.
  • Si la cadena de certificados ha caducado, está incompleta o no es de confianza, actualice la cadena de certificados o la configuración de confianza.
  • Si las credenciales de caché son incorrectas, actualice la versión del secreto a la que se hace referencia con el nombre de usuario y la contraseña correctos.
  • Si la ruta de red está bloqueada, actualice la regla de ruta, la regla de NSG, la regla de lista de seguridad, el firewall o la configuración de proxy que controla el tráfico entre la subred del gateway y el punto final de caché.

Verificar almacenamiento en caché de respuesta

Después de actualizar la configuración, verifique que el almacenamiento en caché de respuesta funciona como se esperaba:

  • Vuelva a intentar una solicitud que debe utilizar el almacenamiento en caché de respuesta.
  • Confirme que el fallo de establecimiento de comunicación TLS de la caché ya no aparece en el log de ejecución.
  • Confirme que API Gateway ya no informa problemas de estado de caché de respuesta para la ruta de solicitud.

Para obtener más información

Para obtener más información, consulte: