- Überblick
- Anforderungen
- Vor der Installation
- Vorbereiten der Installation
- Herunterladen der Installationspakete
- Konfigurieren der OCI-konformen Registrierung
- Erteilen von Installationsberechtigungen
- Installieren und Konfigurieren des Dienstgeflechts
- Installieren und Konfigurieren des GitOps-Tools
- Installieren des Operators für externe Geheimnisse
- Bereitstellen von Redis über OperatorHub
- Anwenden verschiedener Konfigurationen
- Ausführen von uipathctl
- Installation
- Nach der Installation
- Migration und Upgrade
- Überwachung und Warnungen
- Clusterverwaltung
- Produktspezifische Konfiguration
- Konfigurieren von Orchestrator-Parametern
- Konfigurieren von AppSettings
- Konfigurieren der maximalen Anforderungsgröße
- Überschreiben der Speicherkonfiguration auf Clusterebene
- Konfigurieren von NLog
- Speichern von Roboterprotokollen in Elasticsearch
- Konfigurieren von Anmeldeinformationsspeichern
- Konfigurieren der Verwendung von einem Verschlüsselungsschlüssel pro Mandant
- Bereinigen der Orchestrator-Datenbank
- Fehlersuche und ‑behebung
- 500 Fehler und Ratenbegrenzung für S3-Anforderungen in ODF
- Fehlerbehebung bei externen Geheimnissen
Automation Suite in OpenShift – Installationsanleitung
Dieser Abschnitt enthält Schritte zur Fehlerbehebung im Zusammenhang mit dem Operator externer Geheimnisse und der Konfiguration des geheimen Speichers in der Automation Suite.
Um Synchronisierungs- oder Authentifizierungsprobleme zwischen Ihrem Cluster und dem externen Geheimnisanbieter zu identifizieren und zu lösen, führen Sie die in diesem Abschnitt beschriebenen Schritte aus.
Überprüfen Sie zunächst, ob die Pods des Operators „Externe Geheimnisse“ ordnungsgemäß ausgeführt werden.
Wenn die Pods nicht im Status „Wird ausgeführt“ sind oder wiederholte Neustarts anzeigen, überprüfen Sie ihre Protokolle auf Fehler im Zusammenhang mit Authentifizierung, Berechtigungen oder Fehlkonfigurationen.
Führen Sie Folgendes aus, um den Status der Pods für externe Geheimnisse zu überprüfen und ihre Protokolle anzuzeigen:
kubectl get pods -A | grep external-secrets
kubectl logs -f <pod-name> -n <namespace>
kubectl get pods -A | grep external-secrets
kubectl logs -f <pod-name> -n <namespace>
kubectl logs -f external-secrets-7d8c9b5f9f-abc12 -n external-secrets
kubectl logs -f external-secrets-7d8c9b5f9f-abc12 -n external-secrets
Wenn die Pods ordnungsgemäß ausgeführt werden, stellen Sie sicher, dass die Ressourcen SecretStore und ExternalSecret ordnungsgemäß konfiguriert und synchronisiert sind.
Diese Ressourcen definieren, wie externe Geheimnisse abgerufen und gespeichert werden, sodass jede Fehlkonfiguration eine erfolgreiche Synchronisierung verhindern kann.
-
Überprüfen Sie ExternalSecret-Ressourcen
Überprüfen Sie zunächst die ExternalSecret-Objekte in Ihrem Cluster. Dadurch wird bestätigt, dass die Ressourcen korrekt mit ihrem SecretStore verknüpft sind und der Synchronisierungsstatus gültig ist.
-
Um Ihre ExternalSecret-Ressourcen anzuzeigen und zu überprüfen, führen Sie die folgenden Befehle aus:
kubectl get externalsecrets -A kubectl describe externalsecret <externalsecret-name> -n <namespace>kubectl get externalsecrets -A kubectl describe externalsecret <externalsecret-name> -n <namespace> - Um beispielsweise ein bestimmtes ExternalSecret im Namespace
uipathzu überprüfen:kubectl describe externalsecret azure-secret-store -n uipathkubectl describe externalsecret azure-secret-store -n uipath
-
-
Überprüfen Sie die SecretStore-Ressourcen
Überprüfen Sie die zugehörige SecretStore-Konfiguration. Diese Ressource definiert die Verbindungsdetails für Ihren Geheimnisanbieter (z. B. Azure Key Vault), und Fehler hier können die Synchronisierung von Geheimnissen blockieren.
- Um die SecretStore-Definitionen zu überprüfen, verwenden Sie die folgenden Befehle:
kubectl get secretstores -A kubectl describe secretstore <secretstore-name> -n <namespace>kubectl get secretstores -A kubectl describe secretstore <secretstore-name> -n <namespace> - Um beispielsweise eine SecretStore-Konfiguration im
uipath-Namespace zu untersuchen:kubectl describe secretstore azure-secretstore -n uipathkubectl describe secretstore azure-secretstore -n uipath
- Um die SecretStore-Definitionen zu überprüfen, verwenden Sie die folgenden Befehle:
-
Überprüfen Sie Ereignisse im Zusammenhang mit externen Geheimnissen
Überprüfen Sie alle Kubernetes-Ereignisse im Zusammenhang mit dem Operator externer Geheimnisse. Diese Ereignisse können Synchronisierungsfehler, Berechtigungsprobleme oder Fehlkonfigurationen des Anbieters aufdecken.
- Um verwandte Ereignisse anzuzeigen, führen Sie den folgenden Befehl aus:Achten Sie bei der Überprüfung der Ereignisausgabe auf Folgendes:
kubectl get events -A | grep external-secretskubectl get events -A | grep external-secrets- Fehlermeldungen im Abschnitt Status
- Bedingungen, die angeben, ob
Ready: True - Warnungen oder Synchronisierungsfehler im Abschnitt Ereignisse
- Um verwandte Ereignisse anzuzeigen, führen Sie den folgenden Befehl aus:
Wenn Sie Azure Key Vault als Geheimnisanbieter verwenden, stellen Sie sicher, dass die Anmeldeinformationen und die Konfiguration gültig und aktuell sind.
Falsche Anmeldeinformationen oder fehlende Berechtigungen sind häufige Ursachen für Synchronisierungsfehler.
- Anmeldeinformationen für die Authentifizierung
- Bestätigen Sie, dass die Werte
clientId,clientSecretundtenantIdkorrekt sind. - Stellen Sie sicher, dass der Dienstprinzipal über die erforderlichen Berechtigungen für den Key Vault verfügt.
- Bestätigen Sie, dass die Werte
- Key Vault-Zugriffsrichtlinien
- Überprüfen Sie
GetundList-Berechtigungen für Geheimnisse. - Stellen Sie sicher, dass die Key Vault-Firewalleinstellungen den Zugriff von Ihrem Cluster aus zulassen.
- Überprüfen Sie
- Konfiguration der Workload-Identität (falls zutreffend)
- Überprüfen Sie, ob die verbundenen Anmeldeinformationen korrekt konfiguriert sind.
- Stellen Sie sicher, dass das zugeordnete Dienstkonto über die erforderlichen Anmerkungen verfügt.
- Key Vault-URI
-
Stellen Sie sicher, dass der
vaultUrlin Ihrer SecretStore-Konfiguration korrekt ist.Beispielformat:
https://<key-vault-name>.vault.azure.net/https://<key-vault-name>.vault.azure.net/
-
Wenn Ihre Bereitstellung einen Dienstprinzipal verwendet, bestätigen Sie, dass er Zugriff zum Abrufen von Geheimnissen aus dem Azure Key Vault hat.
Führen Sie Folgendes aus, um die Geheimnisse aufzulisten, auf die Ihr Dienstprinzipal zugreifen kann:
az keyvault secret list --vault-name <key-vault-name>
az keyvault secret list --vault-name <key-vault-name>
Sehen Sie sich die folgenden häufigen Probleme und die entsprechenden Fehlermeldungen an, um die Problemdiagnose zu unterstützen.
| Problem | Mögliche Ursache | Beispiel-/Fehlerausgabe |
|---|---|---|
| Geheimer Schlüssel nicht im Cluster gefunden | Fehlendes Kubernetes-Geheimnis | Warning InvalidProviderConfig 3s (x4 over 8s) secret-store cannot get Kubernetes secret "azure-service-principal-secret" from
namespace "uipath": secrets "azure-service-principal-secret" not found |
| Ungültige Anmeldeinformationen | Client-ID, geheimer Clientschlüssel oder Mandanten-ID falsch | error processing spec.data[0] (key: external-object-storage-account-key-10176524), err: azure.BearerAuthorizer#WithAuthorization:
Failed to refresh the Token for request ... StatusCode=400 |
| Fehlendes Key Vault-Objekt | Schlüssel ist in Azure Key Vault nicht vorhanden | external-secrets error processing spec.data[0] (key: external-object-storage-account-key), err: Secret does not exist |
kubectl describe externalsecret <name> -n <namespace>
kubectl describe secretstore <name> -n <namespace>
kubectl describe externalsecret <name> -n <namespace>
kubectl describe secretstore <name> -n <namespace>
