automation-suite
2024.10
true
Wichtig :
Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Automation Suite in OpenShift – Installationsanleitung

Letzte Aktualisierung 12. Juni 2025

Sicherheit und Compliance

Sicherheitskontext für UiPath®-Dienste

Dieser Abschnitt enthält Details zum Sicherheitskontext der UiPath® Dienste.

Alle UiPath®-Dienste werden mit einem Sicherheitskontext konfiguriert, der in ihrem Abschnitt spec definiert ist.

Das folgende Beispiel zeigt eine typische Konfiguration für UiPath®-Dienste:

spec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

Für einige UiPath®-Dienste gibt es Ausnahmen von der typischen Sicherheitskontextkonfiguration:

  • Insights verfügt über mehrere Funktionen, die die Chromium Linux SUID Sandbox verwenden. Für die Installation von Insights ist zwar kein erweiterter Zugriff erforderlich, aber für bestimmte Funktionsfunktionen ist er unerlässlich. Weitere Informationen finden Sie unter Konfigurieren des benutzerdefinierten Sicherheitskontexts von Insights.

  • Process Mining verwendet die folgenden Airflow-Dienste, deren Sicherheitskontext von der typischen Konfiguration für UiPath®-Dienste abweicht:

    • Der Dienst statsd , wie im folgenden Beispiel gezeigt:
      securityContext:
    runAsUser: 65534
    seLinuxOptions:
      level: s0:c27,c4securityContext:
    runAsUser: 65534
    seLinuxOptions:
      level: s0:c27,c4
    • Die scheduler, webserver und andere Airflow-Pods, wie im folgenden Beispiel gezeigt:
      securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 50000
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000  securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 50000
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000
    • Der dynamische Runtime-Pod, wie im folgenden Beispiel gezeigt:
      securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 1001
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000  securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 1001
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000

In einigen Fällen können die Benutzer-IDs und Gruppen-IDs je nach Umgebung größer oder gleich 1000 sein. Stellen Sie sicher, dass Sie die Benutzer- und Gruppen-IDs gemäß Ihren Sicherheitsprinzipien und den Sicherheitsrichtlinien Ihrer Organisation konfigurieren.

Netzwerkrichtlinien

Die folgende Tabelle enthält eine allgemeine Richtlinie für Netzwerkrichtlinien. Sie enthält eine Liste von Routen, die zum Konfigurieren des <uipath> -Namespace erforderlich sind.

Quelle

Ziel (Destination)

Richtung

Ports

Richtlinientyp

Bedingungen

Alle Pods in uipath

Alle extern

Verweigern

Alle

Netzwerkrichtlinie

Standardmäßige Richtlinie „Alle verweigern“.

Alle Pods in uipath
Alle Pods in uipath

Zulassen

Alle

Netzwerkrichtlinie

Interne Namespacekommunikation

Alle Pods in uipath

Kube-System-DNS

Auslauf

53 TCP/UDP

Netzwerkrichtlinie

DNS-Auflösung

Alle Pods in uipath

Externe IPs

Auslauf

Alle

Netzwerkrichtlinie

Externe Kommunikation

Alle Pods in uipath

Istiod

Auslauf

Alle

Netzwerkrichtlinie

Dienstgeflechtsteuerung

Prometheus
Alle Pods in uipath

Ingress

Benutzerdefinierte Scraping-Ports

Netzwerkrichtlinie

Überwachen des Zugriffs

Istio-Gateway
Alle Pods in uipath

Ingress

Alle

Netzwerkrichtlinie

Gateway-Datenverkehr

Kube-System
Alle Pods in uipath

Ingress

Alle

Netzwerkrichtlinie

Systemzugriff

Redis-System
Alle Pods in uipath

Ingress

9091/TCP

Netzwerkrichtlinie

Redis-Überwachung

Aufgeführte Dienste

Redis Namespace

Auslauf

Alle

Netzwerkrichtlinie

Redis-Zugriff

Anforderungen an Clusterberechtigungen

Die Automation Suite erfordert die Clusteradministratorrolle während der Installation, um den gesamten Installationsvorgang zu automatisieren. Alternativ können Sie die Automation Suite mit niedrigeren Berechtigungen installieren. Eine Installation mit niedrigeren Berechtigungen umfasst einige zusätzliche Schritte. Für die Berechtigungen, die für die Installation erforderlich sind, siehe Schritt 2: Erstellen der erforderlichen Rollen.

FIPS 140-2

Die FIPS 140-2 (Federal Information Processing Standards 140-2) sind ein Sicherheitsstandard, der die Effektivität von kryptografischen Modulen überprüft.

Die Automation Suite kann auf FIPS 140-2-fähigen Maschinen ausgeführt werden.

Aktivieren von FIPS 140-2 für Neuinstallationen

Führen Sie die folgenden Schritte aus, um FIPS 140-2 auf den Maschinen zu aktivieren, auf denen Sie eine Neuinstallation der Automation Suite durchführen möchten:

  1. Bevor Sie die Installation der Automation Suite starten, aktivieren Sie FIPS 140-2 auf Ihren Maschinen.
  2. Führen Sie die Automation Suite-Installation durch, indem Sie die Installationsanweisungen in dieser Anleitung befolgen.
    Hinweis:

    • Wenn Sie das AI Center auf einer FIPS 140-2-fähigen Maschine installieren und auch dem Microsoft SQL-Server verwenden, sind einige zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter SQL-Anforderungen für das AI Center.

    • Stellen Sie sicher, dass Insights deaktiviert ist, da es von FIPS 140-2 nicht unterstützt wird.

  3. Legen Sie das fips_enabled_nodes -Flag in der input.json-Datei auf true fest.
  4. Stellen Sie sicher, dass Ihre Zertifikate FIPS 140-2-konform sind.
    Hinweis:

    Standardmäßig generiert die Automation Suite selbstsignierte FIPS 140-2-kompatible Zertifikate, deren Ablaufdatum vom von Ihnen gewählten Automation Suite-Installationstyp abhängt.

    Es wird dringend empfohlen, diese selbstsignierten Zertifikate bei der Installation durch von einer Zertifizierungsstelle ausgestellte Zertifikate zu ersetzen. Um die Automation Suite auf FIPS 140-2-fähigen Maschinen verwenden zu können, müssen die neu bereitgestellten Zertifikate FIPS 140-2-kompatibel sein. Eine Liste der in Frage kommenden Verschlüsselungen, die von RHEL unterstützt werden, finden Sie in der RHEL-Dokumentation.

    Weitere Informationen zum Hinzufügen Ihrer eigenen FIPS 140-2-konformen Tokensignatur- und TLS-Zertifikate finden Sie unter Zertifikatkonfiguration.

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005–2025 UiPath. Alle Rechte vorbehalten