Automation Suite
2022.4
バナーの背景画像
Automation Suite インストール ガイド
最終更新日 2024年3月25日

クラスターを構成する

構成ツール

configureUiPathAS.sh スクリプトは、Automation Suite の制御と管理に役立ちます。このスクリプトはインストール バンドルに付属し、インストーラーのメイン フォルダーにあります。現在のところ、configureUiPathAS.sh で実行できる操作は数種類のみです。
configureUiPathAS.sh の詳細を表示するには、以下を実行します。
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help

以下の出力が表示されます。

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```
configureUiPathAS.sh スクリプトを使用して、Automation Suite クラスター内の以下のコンポーネントを管理できます。
  • サーバー証明書 - TLS とサーバーの証明書を管理 (証明書の更新と取得) します。
  • 追加の CA 証明書 - SQL Server 証明書、プロキシ サーバー証明書など、追加の CA 証明書を管理します。
  • ID サービス - トークン署名証明書、SAML 証明書、Kerberos や Windows の認証など、ID サービスの構成を管理します。
  • ObjectStore - ceph ObjectStore を管理します (現時点では ceph pvc/ストレージのサイズ変更のみサポートしています)。
  • レジストリ - Docker レジストリを管理します (現時点ではレジストリ pvc/ストレージのサイズ変更のみサポートしています)。
  • 監視 - Rancher サーバーを管理します (現時点では Rancher サーバー pvc/ストレージのサイズ変更のみサポートしています)。
  • RabbitMQ - RabbitMQ メッセージ キューを管理します (現時点では RabbitMQ pvc/ストレージのサイズ変更のみサポートしています)。
  • MongoDB - MongoDB データストアを管理します (現時点では MongoDB pvc/ストレージのサイズ変更と証明書管理のみサポートしています)。

SQL Server 接続を更新する

SQL Server の接続文字列または資格情報を更新するには、プライマリ サーバー ノードの cluster_config.json ファイルを直接編集します。このファイルの SQL フィールド (sql.usernamesql.passwordsql.server_url) を必要な更新内容に応じて直接編集できます。

ファイルを更新したら、同じマシン上で、更新した構成ファイルをパラメーターとして使用して、対話型のインストール ウィザードを再実行します。インストールの再実行が必要なのはプライマリ サーバーのみです。

Kerberos 認証を更新する

Kerberos 認証の構成を更新する

共通の Kerberos 認証構成を更新するには、次の手順を実行します。

  1. 任意のサーバー マシンに SSH で接続します。
  2. 次のコマンドを実行します。
    ./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]
    注:
    • keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。
    • AD ドメイン コントローラーには、既定のドメイン ポリシー内にユーザー チケットの最大有効期間に関する Kerberos 設定があります。ここで設定されているチケットの有効期間が、ドメイン コントローラー側の設定よりも長くなっていないことを確認してください。
    docs image

成功時のコンソール出力

Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>

失敗時のコンソール出力

Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

サービス グループの AD ユーザー名と AD ユーザーの keytab を更新する

AD のユーザー名や、特定のサービスに対する AD ユーザーの keytab を更新するには、次の手順を実行します。

次のコマンドを実行します。
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]

次のサービス グループを使用できます (大文字と小文字が区別されます)。

  • orchestrator
  • platform
  • discoverygroup
  • testmanager
  • automationops
  • aicenter
  • documentunderstanding
  • insights
  • dataservice

    注: keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。

成功時のコンソール出力

Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>

失敗時のコンソール出力

Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

システム管理者を追加する

Automation Suite では、既定で admin というユーザー名のシステム管理者が 1 名、ホスト組織に作成されます。

ホスト組織へのアクセス権が失われた場合、たとえばシステム管理者のパスワードが紛失したり、システム管理者アカウントを持つ唯一のユーザーが退職したりしたときなどに備えて、システム管理者を追加または復元するツールがあります。

このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター "Integrated Security=true" が存在すると機能しません。

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
  • --username は必須フィールドです。
  • --password は、新しい管理者がログインに基本認証を使用する場合にのみ必要です。
  • --email は、外部 ID プロバイダーが要求している場合 (たとえば Google はユーザー名でなくメール アドレスで照合します) を除き任意です。

管理者を作成または復元する方法に関しては、いくつか重要な注意事項があります。

  • 新しい管理者は、既存の管理者と同じユーザー名またはメール アドレスを持つことはできません。既存の管理者と同じユーザー名またはメール アドレスを使用すると、既存の管理者が更新されます。これはパスワードを変更するときには便利です。
  • 新規ユーザーに、削除した管理者と同じユーザー名またはメール アドレスを使用すると、新規ユーザーが作成される代わりに削除された管理者が復元されます。この場合、パスワード フィールドは上書きされません。例外は、同じユーザー名またはメール アドレスを持つ複数の管理者を削除した場合です。この場合、新しい管理者が作成されます。
  • ホスト上に構成された、いずれかの外部 ID プロバイダーの使用が強制される場合、パラメーターに制約が課されます。たとえば、Windows AD の使用が強制される場合、ユーザー名は user@domain の形を取る必要があります。Google の場合はメール アドレスが要求されます。
  • 新しい管理者アカウントに初めてログインする際は、パスワードを変更する必要があります。

基本認証を再び有効化する

組織管理者やシステム管理者が、構成された Azure Active Directory またはその他の外部 ID プロバイダーに起因する問題でログインできなくなることがあります。組織管理者は、認証設定の Disable basic authentication フラグがチェックされているためにロックアウトされる可能性があります。組織管理者とシステム管理者は、外部 ID プロバイダーが force/exclusive として構成されているためにロックアウトされる可能性があります。このツールは、組織の基本認証の再有効化を試みます。
このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター Integrated Security=true が存在すると機能しません。
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
注: --orgname は必須フィールドです。ホスト レベルで基本認証を制限している場合、orgname は host に設定します。

TLS プロトコルを更新する

ルーティングやサービス間の通信などのために Automation Suite 内に構成される Istio Ingress Gateway は、TLS を使用して交換をセキュリティで保護します。セキュリティ上の脅威を防止するため、非推奨の TLS プロトコル バージョンは既定で無効化されています。

現在サポートされているのは TLS バージョン 1.2 以降のみです。以前のバージョンを使用している場合はアップグレードすることをお勧めします。ただし、引き続き以前の TLS バージョンを使用して接続することはできますが、最初に Automation Suite サーバーで有効化する必要があります。

重要: TLS 1.0 および 1.1 は非推奨です。これらのバージョンを有効化するとセキュリティ リスクをもたらす可能性があります。TLS 1.2 以降にアップグレードし、これより古いバージョンはサーバーで有効化しないことを強くお勧めします。

サポートされていない TLS バージョンを有効化するには、次のいずれかの手順を実行します。

  • TLS 1.0 以降のサポートを有効化するには、次のコマンドを実行します。

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
  • TLS 1.1 以降のサポートを有効化するには、次のコマンドを実行します。

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'

Was this page helpful?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.