- Überblick
- Anforderungen
- Installation
- Voraussetzungsprüfungen
- Herunterladen der Installationspakete
- uipathctl-Cluster
- uipathctl-Clusterwartung
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster migration
- uipathctl cluster migration export
- uipathctl cluster migration import
- uipathctl cluster migration run
- uipathctl-Cluster-Upgrade
- uipathctl config
- uipathctl config add-host-admin
- uipathctl config additional-ca-certificates
- uipathctl config additional-ca-certificates get
- uipathctl config additional-ca-certificates update
- uipathctl config-Warnungen
- uipathctl config Alerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config argocd
- uipathctl config argocd ca-certificates
- uipathctl config argocd ca-certificates get
- uipathctl config argocd ca-certificates update
- uipathctl config argocd generate-dex-config
- uipathctl config argocd generate-rbac
- uipathctl config argocd registry
- uipathctl config argocd registry get
- uipathctl config argocd registry update
- uipathctl config enable-basic-auth
- uipathctl config Orchestrator
- uipathctl config Orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config saml-certificates get
- uipathctl config saml-certificates rotate
- uipathctl config saml-certificates update
- uipathctl config tls-certificates
- uipathctl config tls-certificates get
- uipathctl config tls-certificates update
- uipathctl config token-signing-certificates
- uipathctl config token-signing-certificates get
- uipathctl config token-signing-certificates rotate
- uipathctl config token-signing-certificates update
- UiPathctl-Zustand
- Uipathctl-Gesundheitspaket
- Uipathctl-Zustandsprüfung
- uipathctl health diagnose
- uipathctl health test
- uipathctl-Manifest
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest get-revision
- uipathctl Manifest list-applications
- uipathctl manifest list-revisions
- uipathctl manifest render
- uipathctl-Voraussetzung
- uipathctl prereq create
- uipathctl prereq run
- „uipathctl“-Ressource
- uipathctl-Ressourcenbericht
- uipathctl-Snapshot
- uipathctl-Snapshot-Sicherung
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl-Version
- Nach der Installation
- Migration und Upgrade
- Aktualisieren der Automation Suite auf EKS/AKS
- Schritt 1: Verschieben der Identitätsorganisationsdaten von einer eigenständigen in die Automation Suite
- Schritt 2: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 3: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 4: Zusammenführen von Organisationen in der Automation Suite
- Schritt 5: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 6: Migrieren des eigenständigen Orchestrators
- Schritt 7: Migrieren von eigenständigen Insights
- Schritt 8: Löschen des Standardmandanten
- B) Migration von einzelnen Mandanten
- Migrieren von der Automation Suite unter Linux zur Automation Suite unter EKS/AKS
- Überwachung und Warnungen
- Clusterverwaltung
- Produktspezifische Konfiguration
- Verwenden des Orchestrator-Konfiguratortools
- Konfigurieren von Orchestrator-Parametern
- Orchestrator-appSettings
- Konfigurieren von AppSettings
- Konfigurieren der maximalen Anforderungsgröße
- Überschreiben der Speicherkonfiguration auf Clusterebene
- Konfigurieren von Anmeldeinformationsspeichern
- Konfigurieren der Verwendung von einem Verschlüsselungsschlüssel pro Mandant
- Fehlersuche und ‑behebung
Übersicht über Zertifikate
Auf dieser Seite werden alle Zertifikate beschrieben, die für eine Installation der Automation Suite erforderlich sind, sowie das Prinzip des Zertifikatrotationsprozesses.
https://automationsuite.mycompany.com/identity
.
Während zwei verschiedene Automation Suite-Produkte den FQDN des Clusters verwenden müssen, können sie auch mehrere Microservices enthalten. Diese Microservices können interne URLs verwenden, um miteinander zu kommunizieren.
Im folgenden Diagramm und Flow wird erläutert, wie der Client eine Verbindung mit einem Dienst herstellt und wie die Authentifizierung über den Identitätsdienst erfolgt.
- Der Client stellt eine Verbindung mit dem Dienst mithilfe der URL her, z. B. Orchestrator, Apps, Insights usw. mithilfe der folgenden URL:
https://automationsuite.mycompany.com/myorg/mytenant/service_
. - Istio fängt den Aufruf ab und leitet den Aufruf basierend auf dem Pfad von
service_
an den jeweiligen Dienst weiter. - Der Dienst ruft Identity Service auf, um die eingehende Anforderung vom Roboter über
https://automationsuite.mycompany.com/myorg/mytenant/identity_
zu authentifizieren. - Istio fängt den Aufruf ab und leitet die Anforderung basierend auf dem Pfad
identity_
an Identity Service weiter. - Identity Service gibt die Antwort mit dem Ergebnis an Istio zurück.
- Istio gibt die Antwort an den Dienst zurück. Da der Aufruf über das HTTPS-Protokoll erfolgt, gibt Istio die Antwort mit dem TLS-Zertifikat zurück, damit die Verbindung sicher ist. Wenn der Dienst dem von Istio zurückgegebenen Serverzertifikat vertraut, genehmigt er die Antwort. Andernfalls lehnt der Dienst die Antwort ab.
- Der Dienst bereitet die Antwort vor und sendet sie zurück an Istio.
-
Istio leitet die Anforderung zurück an den Client. Wenn die Clientmaschine dem Zertifikat vertraut, ist die gesamte Anforderung erfolgreich. Andernfalls schlägt die Anforderung fehl.
In diesem Abschnitt wird ein Szenario beschrieben, in dem ein Roboter versucht, eine Verbindung mit dem Orchestrator in der Automation Suite herzustellen. Im folgenden Diagramm und Flow wird erläutert, wie der Roboter eine Verbindung mit dem Orchestrator herstellt und wie die Authentifizierung über Identity Server erfolgt.
- Der Roboter stellt über die folgende URL eine Verbindung mit dem Orchestrator her:
https://automationsuite.mycompany.com/myorg/mytenant/orchestrator_
- Istio fängt den Aufruf ab und leitet ihn basierend auf dem
orchestrator_
-Pfad an den Orchestrator-Dienst weiter. - Der Orchestrator-Dienst ruft Identity Server auf, um die eingehende Anforderung vom Roboter über
https://automationsuite.mycompany.com/myorg/mytenant/identity_
zu authentifizieren. - Istio fängt den Aufruf ab und leitet die Anforderung basierend auf dem
identity_
-Pfad an Identity Server weiter. - Identity Server gibt die Antwort mit den Ergebnissen an Istio zurück.
- Istio gibt die Antwort an den Orchestrator zurück. Da der Aufruf über das HTTPS-Protokoll erfolgt, gibt Istio die Antwort mit dem TLS-Zertifikat zurück, sodass die Verbindung sicher ist. Wenn der Orchestrator dem von Istio zurückgegebenen Serverzertifikat vertraut, genehmigt er auch die Antwort. Andernfalls lehnt der Orchestrator die Antwort ab.
- Der Orchestrator bereitet die Antwort vor und sendet sie zurück an Istio.
-
Istio leitet die Anforderung zurück an den Roboter. Wenn die Robotermaschine dem Zertifikat vertraut, ist die gesamte Anforderung erfolgreich. Andernfalls schlägt die Anforderung fehl.
In diesem Beispiel verfügt der Container über ein eigenes Betriebssystem (RHEL OS), und der Dienst kann einen Orchestrator darstellen, der auf RHEL OS ausgeführt wird.
/etc/pki/ca-trust/ca/
.
In diesem Pfad speichert RHEL OS alle Zertifikate. Jeder Container verfügt über einen eigenen Trust Store für Zertifikate. Als Teil der Automation Suite-Konfiguration fügen wir das gesamte Kettenzertifikat ein, das das Stammzertifikat, alle Zwischenzertifikate sowie das Blattzertifikat enthält, und speichern sie in diesem Pfad. Da Dienste den Stamm- und Zwischenzertifikaten vertrauen, vertrauen sie automatisch allen anderen Zertifikaten, die von den Stamm- und Zwischenzertifikaten erstellt werden.
In der Automation Suite werden Hunderte von Containern ausgeführt. Das manuelle Hinzufügen von Zertifikaten für jeden dieser Container für alle Dienste wäre eine anspruchsvolle Aufgabe. Die Automation Suite enthält jedoch ein freigegebenes Volume und einen Init-Container -Cert-Trustor , um diese Aufgabe zu unterstützen. Init ist ein spezialisierter Container, der vor App-Containern in einem Pod ausgeführt wird, und sein Lebenszyklus endet, sobald er seinen Auftrag abgeschlossen hat.
Im folgenden Beispiel wird der Orchestrator-Dienst in einem Pod ausgeführt. Zur Erinnerung: Ein Pod kann mehr als einen Container enthalten. In diesem Pod fügen wir einen weiteren Init-Container namens Cert-trustorein. Dieser Container enthält das Stammzertifikat, die Zwischenzertifikate und das Blattzertifikat.
/etc/pki/ca-trust/ca/source/anchors
.
/etc/pki/ca-trust/ca/source/anchors
hinzufügt und beendet.
Zertifikate sind für den Orchestrator-Dienst über das freigegebene Volume verfügbar.
Als Teil der Installation der Automation Suite werden die folgenden Zertifikate generiert:
-
Selbstsigniertes Zertifikat , das zum Zeitpunkt der Installation generiert wurde. Es wird empfohlen, das selbstsignierte Zertifikat nach der Installation durch ein Domänenzertifikat zu ersetzen. Siehe Verwalten von Zertifikaten.
- Identity Server-Zertifikat zum Signieren von JWT-Tokens, die bei der Authentifizierung verwendet werden. Wenn das Zertifikat zum Signieren des JWT-Tokens nicht bereitgestellt wird, verwendet die Automation Suite das aktuell konfigurierte TLS-Zertifikat (selbstsigniert oder vom Kunden bereitgestellt). Wenn Sie Ihr eigenes Zertifikat zum Signieren von Identitätstokens haben möchten, siehe Verwalten von Zertifikaten.
- Wenn aktiviert, kann das SAML2-Authentifizierungsprotokoll ein Dienstzertifikat verwenden.
- Wenn Sie Active Directory mit einem Benutzernamen und Kennwort konfigurieren, ist LDAPS (LDAP über SSL) optional. Wenn Sie sich für LDAPS entscheiden, müssen Sie ein Zertifikat bereitstellen. Dieses Zertifikat wird den vertrauenswürdigen Stammzertifizierungsstellen der Automation Suite hinzugefügt. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
Dieses Zertifikat wird den vertrauenswürdigen Stammzertifizierungsstellen der Automation Suite hinzugefügt.
Die Zertifikate werden an zwei Orten gespeichert:
istio-ingressgateway-certs
inistio-system
uipath
-Namespace
istio-system
und uipath
zu aktualisieren, müssen Sie den Befehl uipathctl config update-tls-certificates
ausführen.
uipath
ausgeführt werden, nicht auf die geheimen Schlüssel zugreifen, die im Namespace istio-system
gespeichert sind. Daher werden Zertifikate in beiden Namespaces kopiert.
uipath
stellen wir die Zertifikate in den Pods bereit, die Zertifikate benötigen, und starten die Pods neu, damit sie die neuen Zertifikate verwenden können.
Die Aktualisierung erfolgt nach der rollierenden Bereitstellungsmethode. Wenn Mikrodienste über zwei Pods für hohe Verfügbarkeit verfügen, wird beim Update einer der Pods gelöscht und eine neue Version des Pods erstellt. Sobald die neue erfolgreich gestartet wurde, wird die alte entfernt. Es wird eine kurze Ausfallzeit geben, während der alte Pod noch nicht beendet ist.
- Funktionsweise von Vertrauenszertifikaten
- Verstehen, wie Kommunikation funktioniert
- Verstehen, wie Roboter und Orchestrator kommunizieren
- Grundlegendes zur Containerarchitektur im Zusammenhang mit Zertifikaten
- Containerebene
- Pod-Ebene
- Bestandsaufnahme aller Zertifikate in der Automation Suite
- Während der Installation generierte Zertifikate
- Zusätzliche Zertifikate
- Funktionsweise der Zertifikatsaktualisierung/-rotation