automation-suite
2023.4
false
Wichtig :
Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde.
Automation Suite auf EKS/AKS-Installationsanleitung
Last updated 20. Sep. 2024

Sicherheit und Compliance

Gatekeeper- und OPA-Richtlinien

Automation Suite ist mit Gatekeeper und OPA-Richtlinien vorkonfiguriert. Wenn Sie Ihre eigene Gatekeeper-Komponente und OPA-Richtlinien verwenden, können Sie diese Komponenten bei der Automation Suite-Installation überspringen. Weitere Informationen finden Sie unter Automation Suite-Stack. Überprüfen Sie in diesem Fall die OPA-Richtlinien und die Ausnahmen, die für die Installation und Ausführung der Automation Suite erforderlich sind.

OPA-Richtlinien

Policy

Actions

Auszuschließende Namespaces/Images

Steuert die Einschränkung der Eskalation auf Stammberechtigungen. Entspricht dem Feld allowPrivilegeEscalation in einer PodSecurityPolicy

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

Konfiguriert eine Zulassungsliste von Apparmor-Profilen für die Verwendung durch Container. Dies entspricht bestimmten Anmerkungen, die auf eine PodSecurityPolicy angewendet werden.

deny

  • kube-system

Steuert Linux-Funktionen auf Containern. Entspricht den Feldern allowedCapabilities und requiredDropCapabilities in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

Steuert die Zulassungsliste für FlexVolume-Treiber. Entspricht dem Feld allowedFlexVolumes in PodSecurityPolicy.

deny

Keine Angabe

deny

  • istio-system

Steuert die Zuweisung einer FSGroup, die die Volumes des Pods besitzt. Entspricht dem Feld fsGroup in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Steuert die Verwendung des Host-Dateisystems. Entspricht dem Feld allowedHostPaths in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Die Freigabe von Host-PID- und IPC-Namespaces durch Pod-Container ist nicht zulässig. Entspricht den Feldern hostPID und hostIPC in einer PodSecurityPolicy.

deny

  • kube-system

  • Überwachung

Steuert die Verwendung des Hostnetzwerk-Namespace durch Pod-Container.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Steuert, ob ein Container den privilegierten Modus aktivieren kann. Entspricht dem Feld privileged in einer PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

Steuert die zulässigen procMount -Typen für den Container. Entspricht dem Feld allowedProcMountTypes in einer PodSecurityPolicy.

deny

Keine Angabe

Erfordert die Verwendung eines schreibgeschützten Stammdateisystems durch Pod-Container.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Steuert das von Containern verwendete Seccomp-Profil. Entspricht der Anmerkung seccomp.security.alpha.kubernetes.io/allowedProfileNames in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

Definiert eine Zulassungsliste von seLinuxOptions-Konfigurationen für Pod-Container.

deny

Keine Angabe

Steuert die Benutzer- und Gruppen-IDs des Containers und einiger Volumes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • velero

Schränkt einhängbare Volume-Typen auf die vom Benutzer angegebenen Typen ein.

deny

  • Überwachung

  • logging

Hinweis:
  • Der dapr-system-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren.
  • Der airflow-Namespace wird nur benötigt, wenn Sie Process Mining installieren.
  • prereq** sind temporäre Namespaces, die beim Ausführen einer Voraussetzungs- oder Zustandsprüfung erstellt wurden. Die Namespaces löschen sich nach Abschluss selbst.

Andere OPA-Richtlinien

Policy

Actions

Auszuschließende Namespaces/Images

Steuert die Möglichkeit eines Pods, automountServiceAccountTokenzu aktivieren.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Erfordert, dass Container-Images mit einer Zeichenfolge aus der angegebenen Liste beginnen.

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

Keine Angabe

Lässt nicht alle Dienste vom Typ „Lastausgleich“ zu.

deny

  • kube-system

Lässt nicht alle Dienste vom Typ NodePort zu.

deny

  • istio-system

  • Network-Prereq-Checks

Benutzer dürfen keine Ingress-Dateien mit einem leeren Hostnamen oder einem Platzhalter (*) erstellen können, da dies ihnen ermöglichen würde, den Datenverkehr für andere Dienste im Cluster abzufangen, auch wenn sie keinen Zugriff auf diese Dienste haben.

deny

Keine Angabe

Erfordert, dass für Container Speicher- und CPU-Grenzwerte festgelegt sind. Schlägt Grenzen so ein, dass sie innerhalb der angegebenen Maximalwerte liegen.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Erfordert, dass für Container Speicher- und CPU-Anforderungen festgelegt sind. Schränkt Anforderungen ein, damit sie innerhalb der angegebenen Maximalwerte liegen.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • Prereq**“

Legt ein maximales Verhältnis für Containerressourcenlimits zu Anforderungen fest.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Erfordert, dass Container definierte Ressourcen festgelegt haben.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Verknüpfen von ClusterRole- und Rollenressourcen mit dem Benutzer system:anonymous und der Gruppe system:unauthenticated nicht möglich.

deny

Keine Angabe

Erfordert, dass Container-Images ein anderes Bild-Tag als die in der angegebenen Liste haben.

deny

Keine Angabe

Erfordert, dass für Container ein vorübergehendes Speicherlimit festgelegt ist, das innerhalb der angegebenen Maximalwerte liegt.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

deny

Keine Angabe

Erfordert, dass nur HTTPS-Ingress-Ressourcen verwendet werden können. Ingress-Ressourcen müssen die Anmerkung kubernetes.io/ingress.allow-http enthalten, die auf falsefestgelegt ist. Standardmäßig ist eine gültige TLS {}-Konfiguration erforderlich. Dies kann optional gemacht werden, indem der Parameter tlsOptional auf truewird.

dryrun

  • Überwachung

Erfordert, dass Container-Images einen Digest enthalten.

dryrun

  • UiPath

Blockiert die Aktualisierung des Dienstkontos auf Ressourcen, die über Pods abstrahieren. Diese Richtlinie wird im Prüfungsmodus ignoriert.

dryrun

Keine Angabe

deny

  • Airflow

Erfordert, dass Pods Bereitschafts- und/oder Aktivitätstests haben.

dryrun

  • UiPath

Erfordert, dass Speicherklassen bei Verwendung angegeben werden.

dryrun

Keine Angabe

Erfordert, dass alle Ingress-Regelhosts eindeutig sind.

dryrun

Keine Angabe

Erfordert, dass Dienste eindeutige Selektoren innerhalb eines Namespace haben. Selektoren gelten als identisch, wenn sie identische Schlüssel und Werte haben. Selektoren können ein gemeinsames Schlüssel-/Wertpaar haben, solange sich mindestens ein eindeutiges Schlüssel-/Wertpaar befindet.

dryrun

Keine Angabe

Hinweis:
  • Der dapr-system-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren.
  • Der airflow-Namespace wird nur benötigt, wenn Sie Process Mining installieren.
  • prereq** sind temporäre Namespaces, die beim Ausführen einer Voraussetzungs- oder Zustandsprüfung erstellt wurden. Die Namespaces löschen sich nach Abschluss selbst.

Netzwerkrichtlinien

Die Automation Suite ist mit standardmäßigen Kubernetes-Netzwerkrichtlinien vorkonfiguriert, um dem Prinzip des Netzwerkzugriffs mit den geringsten Berechtigungen zu folgen. Sie können die Installation der von UiPath bereitgestellten Netzwerkrichtlinien überspringen, indem Sie network-policies unter der Liste exclude components in input.json hinzufügen. Weitere Informationen zu optionalen Komponenten finden Sie unter Automation Suite-Stack.
Die Automation Suite erzwingt das Netzwerk von, nach und innerhalb des uipath-Namespace. Wenn Sie Ihre eigenen Netzwerkrichtlinien mitbringen oder ein benutzerdefiniertes CNI haben (z. B. Cilium Enterprise oder Citizena Taberna Enterprise), stellen Sie sicher, dass Sie Ihre Richtlinien aktualisieren, um das Helm-Diagramm network-policies widerzuspiegeln.
Sie können das Helm-Diagramm network-policies der Automation Suite finden, indem Sie den folgenden Befehl ausführen.
Hinweis:
  • Sie müssen <automation-suite-version> im folgenden Befehl durch Ihre aktuelle Automation Suite-Version ersetzen.
  • Sie müssen die Datei entpacken, um das Helm-Diagramm zu extrahieren.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Anforderungen an Clusterberechtigungen

Clusteradministratorzugriff ist für uipathctl auf Ihrem Verwaltungsknoten erforderlich, um die Automation Suite in Ihrem dedizierten Cluster zu installieren und zu verwalten. Diese Zugriffsebene wird für Komponenten auf Systemebene in der Automation Suite benötigt, z. B. Istio (Routing-/Dienstgeflecht) und ArgoCD (Bereitstellung und Anwendungslebenszyklusverwaltung), sowie zum Erstellen von Namespaces im Zusammenhang mit der Automation Suite.
  • Gatekeeper- und OPA-Richtlinien
  • OPA-Richtlinien
  • Andere OPA-Richtlinien
  • Netzwerkrichtlinien
  • Anforderungen an Clusterberechtigungen

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten