- Überblick
- Anforderungen
- Installation
- Voraussetzungsprüfungen
- Herunterladen der Installationspakete
- uipathctl-Cluster
- uipathctl-Clusterwartung
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl-Cluster-Upgrade
- uipathctl config
- uipathctl config-Warnungen
- uipathctl config Alerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config additional-ca-certificates get
- uipathctl config tls-certificates get
- uipathctl config Orchestrator
- uipathctl config Orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config additional-ca-certificates update
- uipathctl config tls-certificates update
- UiPathctl-Zustand
- Uipathctl-Gesundheitspaket
- Uipathctl-Zustandsprüfung
- uipathctl health diagnose
- uipathctl health test
- uipathctl Identity
- uipathctl identity add-host-admin
- uipathctl Identity Enable-Basisauthentifizierung
- uipathctl identity get-saml-certificate
- uipathctl identity get-token-signing-certificate
- uipathctl identity rotate-saml-certificates
- uipathctl identity rotate-token-signing-certificates
- uipathctl identity update-saml-certificate
- uipathctl identity update-token-signing-certificate
- uipathctl-Manifest
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl Manifest list-applications
- uipathctl manifest render
- uipathctl-Voraussetzung
- uipathctl prereq create
- uipathctl prereq run
- „uipathctl“-Ressource
- uipathctl-Ressourcenbericht
- uipathctl-Snapshot
- uipathctl-Snapshot-Sicherung
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl SSO
- uipathctl ssoGenerate-Connector
- uipathctl sso generate-overlays
- uipathctl sso generate-rbac
- uipathctl-Version
- Nach der Installation
- Migration und Upgrade
- Aktualisieren der Automation Suite auf EKS/AKS
- Migrationsoptionen
- Schritt 1: Verschieben der Identitätsorganisationsdaten von einer eigenständigen in die Automation Suite
- Schritt 2: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 3: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 4: Zusammenführen von Organisationen in der Automation Suite
- Schritt 5: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 6: Migrieren von eigenständigen Insights
- Schritt 7: Löschen des Standardmandanten
- B) Migration von einzelnen Mandanten
- Überwachung und Warnungen
- Clusterverwaltung
- Produktspezifische Konfiguration
- Fehlersuche und ‑behebung
Sicherheit und Compliance
Automation Suite ist mit Gatekeeper und OPA-Richtlinien vorkonfiguriert. Wenn Sie Ihre eigene Gatekeeper-Komponente und OPA-Richtlinien verwenden, können Sie diese Komponenten bei der Automation Suite-Installation überspringen. Weitere Informationen finden Sie unter Automation Suite-Stack. Überprüfen Sie in diesem Fall die OPA-Richtlinien und die Ausnahmen, die für die Installation und Ausführung der Automation Suite erforderlich sind.
Policy |
Actions |
Auszuschließende Namespaces/Images |
---|---|---|
Steuert die Einschränkung der Eskalation auf Stammberechtigungen. Entspricht dem Feld
allowPrivilegeEscalation in einer PodSecurityPolicy
|
|
|
Konfiguriert eine Zulassungsliste von Apparmor-Profilen für die Verwendung durch Container. Dies entspricht bestimmten Anmerkungen, die auf eine PodSecurityPolicy angewendet werden. |
|
|
Steuert Linux-Funktionen auf Containern. Entspricht den Feldern
allowedCapabilities und requiredDropCapabilities in einer PodSecurityPolicy.
|
|
|
Steuert die Zulassungsliste für FlexVolume-Treiber. Entspricht dem Feld
allowedFlexVolumes in PodSecurityPolicy.
|
|
Keine Angabe |
|
| |
Steuert die Zuweisung einer FSGroup, die die Volumes des Pods besitzt. Entspricht dem Feld
fsGroup in einer PodSecurityPolicy.
|
|
|
Steuert die Verwendung des Host-Dateisystems. Entspricht dem Feld
allowedHostPaths in einer PodSecurityPolicy.
|
|
|
Die Freigabe von Host-PID- und IPC-Namespaces durch Pod-Container ist nicht zulässig. Entspricht den Feldern
hostPID und hostIPC in einer PodSecurityPolicy.
|
|
|
Steuert die Verwendung des Hostnetzwerk-Namespace durch Pod-Container. |
|
|
Steuert, ob ein Container den privilegierten Modus aktivieren kann. Entspricht dem Feld
privileged in einer PodSecurityPolicy.
|
|
|
Steuert die zulässigen
procMount -Typen für den Container. Entspricht dem Feld allowedProcMountTypes in einer PodSecurityPolicy.
|
|
Keine Angabe |
Erfordert die Verwendung eines schreibgeschützten Stammdateisystems durch Pod-Container. |
|
|
Steuert das von Containern verwendete Seccomp-Profil. Entspricht der Anmerkung
seccomp.security.alpha.kubernetes.io/allowedProfileNames in einer PodSecurityPolicy.
|
|
|
Definiert eine Zulassungsliste von seLinuxOptions-Konfigurationen für Pod-Container. |
|
Keine Angabe |
Steuert die Benutzer- und Gruppen-IDs des Containers und einiger Volumes. |
|
|
Schränkt einhängbare Volume-Typen auf die vom Benutzer angegebenen Typen ein. |
|
|
-
Der
dapr-system
-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren. -
Der
airflow
-Namespace wird nur benötigt, wenn Sie Process Mining installieren. -
prereq**
sind temporäre Namespaces, die beim Ausführen einer Voraussetzungs- oder Zustandsprüfung erstellt wurden. Die Namespaces löschen sich nach Abschluss selbst.
Policy |
Actions |
Auszuschließende Namespaces/Images |
---|---|---|
Steuert die Möglichkeit eines Pods,
automountServiceAccountToken zu aktivieren.
|
|
|
Erfordert, dass Container-Images mit einer Zeichenfolge aus der angegebenen Liste beginnen. |
|
|
|
|
Keine Angabe |
Lässt nicht alle Dienste vom Typ „Lastausgleich“ zu. |
|
|
Lässt nicht alle Dienste vom Typ NodePort zu. |
|
|
Benutzer dürfen keine Ingress-Dateien mit einem leeren Hostnamen oder einem Platzhalter (*) erstellen können, da dies ihnen ermöglichen würde, den Datenverkehr für andere Dienste im Cluster abzufangen, auch wenn sie keinen Zugriff auf diese Dienste haben. |
|
Keine Angabe |
Erfordert, dass für Container Speicher- und CPU-Grenzwerte festgelegt sind. Schlägt Grenzen so ein, dass sie innerhalb der angegebenen Maximalwerte liegen. |
|
|
Erfordert, dass für Container Speicher- und CPU-Anforderungen festgelegt sind. Schränkt Anforderungen ein, damit sie innerhalb der angegebenen Maximalwerte liegen. |
|
|
Legt ein maximales Verhältnis für Containerressourcenlimits zu Anforderungen fest. |
|
|
Erfordert, dass Container definierte Ressourcen festgelegt haben. |
|
|
Verknüpfen von ClusterRole- und Rollenressourcen mit dem Benutzer
system:anonymous und der Gruppe system:unauthenticated nicht möglich.
|
|
Keine Angabe |
Erfordert, dass Container-Images ein anderes Bild-Tag als die in der angegebenen Liste haben. |
|
Keine Angabe |
Erfordert, dass für Container ein vorübergehendes Speicherlimit festgelegt ist, das innerhalb der angegebenen Maximalwerte liegt. |
|
|
|
|
Keine Angabe |
Erfordert, dass nur HTTPS-Ingress-Ressourcen verwendet werden können. Ingress-Ressourcen müssen die Anmerkung
kubernetes.io/ingress.allow-http enthalten, die auf false festgelegt ist. Standardmäßig ist eine gültige TLS {}-Konfiguration erforderlich. Dies kann optional gemacht werden, indem der Parameter tlsOptional auf true wird.
|
|
|
Erfordert, dass Container-Images einen Digest enthalten. |
|
|
Blockiert die Aktualisierung des Dienstkontos auf Ressourcen, die über Pods abstrahieren. Diese Richtlinie wird im Prüfungsmodus ignoriert. |
|
Keine Angabe |
|
|
|
Erfordert, dass Pods Bereitschafts- und/oder Aktivitätstests haben. |
|
|
Erfordert, dass Speicherklassen bei Verwendung angegeben werden. |
|
Keine Angabe |
Erfordert, dass alle Ingress-Regelhosts eindeutig sind. |
|
Keine Angabe |
Erfordert, dass Dienste eindeutige Selektoren innerhalb eines Namespace haben. Selektoren gelten als identisch, wenn sie identische Schlüssel und Werte haben. Selektoren können ein gemeinsames Schlüssel-/Wertpaar haben, solange sich mindestens ein eindeutiges Schlüssel-/Wertpaar befindet. |
|
Keine Angabe |
-
Der
dapr-system
-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren. -
Der
airflow
-Namespace wird nur benötigt, wenn Sie Process Mining installieren. -
prereq**
sind temporäre Namespaces, die beim Ausführen einer Voraussetzungs- oder Zustandsprüfung erstellt wurden. Die Namespaces löschen sich nach Abschluss selbst.
network-policies
unter der Liste exclude components
in input.json
hinzufügen. Weitere Informationen zu optionalen Komponenten finden Sie unter Automation Suite-Stack.
uipath
-Namespace. Wenn Sie Ihre eigenen Netzwerkrichtlinien mitbringen oder ein benutzerdefiniertes CNI haben (z. B. Cilium Enterprise oder Citizena Taberna Enterprise), stellen Sie sicher, dass Sie Ihre Richtlinien aktualisieren, um das Helm-Diagramm network-policies
widerzuspiegeln.
network-policies
der Automation Suite finden, indem Sie den folgenden Befehl ausführen.
- Sie müssen
<automation-suite-version>
im folgenden Befehl durch Ihre aktuelle Automation Suite-Version ersetzen. - Sie müssen die Datei entpacken, um das Helm-Diagramm zu extrahieren.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
uipathctl
auf Ihrem Verwaltungsknoten erforderlich, um die Automation Suite in Ihrem dedizierten Cluster zu installieren und zu verwalten. Diese Zugriffsebene wird für Komponenten auf Systemebene in der Automation Suite benötigt, z. B. Istio (Routing-/Dienstgeflecht) und ArgoCD (Bereitstellung und Anwendungslebenszyklusverwaltung), sowie zum Erstellen von Namespaces im Zusammenhang mit der Automation Suite.