通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

クラスターを構成する

このページでは、Automation Suite を構成する一般的な手順を説明します。

構成ツール


★削除★ configureUiPathAS.sh script helps you control and manage Automation Suite. The tool comes with the installation bundle and is available in the main installer folder. configureUiPathAS.sh is currently capable of performing only a few operations.

To view more information about configureUiPathAS.sh, run:

sudo ./configureUiPathAS.sh --help

以下の出力が表示されます。

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```

You can use the configureUiPathAS.sh script to manage the following components in the Automation Suite cluster:

  • サーバー証明書 - TLS とサーバーの証明書を管理 (証明書の更新と取得) します。

  • 追加の CA 証明書 - SQL Server 証明書、プロキシ サーバー証明書など、追加の CA 証明書を管理します。

  • ID サービス - トークン署名証明書、SAML 証明書、Kerberos や Windows の認証など、ID サービスの構成を管理します。

  • ObjectStore - ceph ObjectStore を管理します (現時点では ceph pvc/ストレージのサイズ変更のみサポートしています)。

  • レジストリ - Docker レジストリを管理します (現時点ではレジストリ pvc/ストレージのサイズ変更のみサポートしています)。

  • 監視 - Rancher サーバーを管理します (現時点では Rancher サーバー pvc/ストレージのサイズ変更のみサポートしています)。

  • RabbitMQ - RabbitMQ メッセージ キューを管理します (現時点では RabbitMQ pvc/ストレージのサイズ変更のみサポートしています)。

  • MongoDB - MongoDB データストアを管理します (現時点では MongoDB pvc/ストレージのサイズ変更と証明書管理のみサポートしています)。

 

SQL Server 接続を更新する

To update the connection string or credentials to the SQL Server, directly edit the cluster_config.json file on the primary the server node. You can directly edit the SQL fields (sql.username sql.password, and sql.server_url) in the file based on what you need to update.

ファイルを更新したら、同じマシン上で、更新した構成ファイルをパラメーターとして使用して、対話型のインストール ウィザードを再実行します。インストールの再実行が必要なのはプライマリ サーバーのみです。

 

Kerberos 認証を更新する


Kerberos 認証の構成を更新する

共通の Kerberos 認証構成を更新するには、次の手順を実行します。

  1. 任意のサーバー マシンに SSH で接続します。
  2. 次のコマンドを実行します。
./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username]  --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]

📘

注:

  • keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。

  • AD ドメイン コントローラーには、既定のドメイン ポリシー内にユーザー チケットの最大有効期間に関する Kerberos 設定があります。ここで設定されているチケットの有効期間が、ドメイン コントローラー側の設定よりも長くなっていないことを確認してください。

成功時のコンソール出力
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>
失敗時のコンソール出力
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

 

サービス グループの AD ユーザー名と AD ユーザーの keytab を更新する

AD のユーザー名や、特定のサービスに対する AD ユーザーの keytab を更新するには、次の手順を実行します。

  1. 次のコマンドを実行します。
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group]  --username [new-ad-username] --keytab [new-ad-user-keytab]

次のサービス グループを使用できます (大文字と小文字が区別されます)。

  • orchestrator
  • platform
  • discoverygroup
  • testmanager
  • automationops
  • aicenter
  • documentunderstanding
  • insights
  • dataservice

📘

注:

keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。

成功時のコンソール出力
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>
失敗時のコンソール出力
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

 

システム管理者を追加する


One system administrator is created in Automation Suite by default with the username admin on the host organization. See Managing system administrator for more details.

ホスト組織へのアクセス権が失われた場合、たとえばシステム管理者のパスワードが紛失したり、システム管理者アカウントを持つ唯一のユーザーが退職したりしたときなどに備えて、システム管理者を追加または復元するツールがあります。

このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター "Integrated Security=true" が存在すると機能しません。

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
  • --username は必須フィールドです。
  • --password は、新しい管理者がログインに基本認証を使用する場合にのみ必要です。
  • --email は、外部 ID プロバイダーが要求している場合 (たとえば Google はユーザー名でなくメール アドレスで照合します) を除き任意です。

管理者を作成または復元する方法に関しては、いくつか重要な注意事項があります。

  • 新しい管理者は、既存の管理者と同じユーザー名またはメール アドレスを持つことはできません。既存の管理者と同じユーザー名またはメール アドレスを使用すると、既存の管理者が更新されます。これはパスワードを変更するときには便利です。
  • 新規ユーザーに、削除した管理者と同じユーザー名またはメール アドレスを使用すると、新規ユーザーが作成される代わりに削除された管理者が復元されます。この場合、パスワード フィールドは上書きされません。例外は、同じユーザー名またはメール アドレスを持つ複数の管理者を削除した場合です。この場合、新しい管理者が作成されます。
  • If any of the external identity providers configured on the host are forced, that imposes restrictions on the parameters. For instance, if Windows AD is forced, the username must be in the form [email protected]. If Google is forced, then email is required.
  • 新しい管理者アカウントに初めてログインする際は、パスワードを変更する必要があります。

 

基本認証を再び有効化する


Organization and system administrators may be unable to log in due to an issue with their configured Azure Active Directory or other external identity provider. Organization administrators may be locked out because the Disable basic authentication flag is checked in the Authentication Settings. Organization and system administrators may be locked out because an external identity provider was configured as force/exclusive. This tool will try to re-enable basic authentication for an organization.

This script does not work if the SQL connection string parameter Integrated Security=true exists for platform services.

./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]

📘

注:

--orgname is a required field. If basic authentication is restricted at the host level, set the orgname to host です。

 

Updating the TLS protocol


ルーティングやサービス間の通信などのために Automation Suite 内に構成される Istio Ingress Gateway は、TLS を使用して交換をセキュリティで保護します。セキュリティ上の脅威を防止するため、非推奨の TLS プロトコル バージョンは既定で無効化されています。

現在サポートされているのは TLS バージョン 1.2 以降のみです。以前のバージョンを使用している場合はアップグレードすることをお勧めします。ただし、引き続き以前の TLS バージョンを使用して接続することはできますが、最初に Automation Suite サーバーで有効化する必要があります。

🚧

重要

TLS 1.0 および 1.1 は非推奨です。これらのバージョンを有効化するとセキュリティ リスクをもたらす可能性があります。TLS 1.2 以降にアップグレードし、これより古いバージョンはサーバーで有効化しないことを強くお勧めします。

サポートされていない TLS バージョンを有効化するには、次のいずれかの手順を実行します。

  • TLS 1.0 以降のサポートを有効化するには、次のコマンドを実行します。
kubectl -n istio-system patch gateway main-gateway --type=json \
    -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
  • TLS 1.1 以降のサポートを有効化するには、次のコマンドを実行します。
kubectl -n istio-system patch gateway main-gateway --type=json \
    -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'

2 か月前に更新


クラスターを構成する


このページでは、Automation Suite を構成する一般的な手順を説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。