- Überblick
- Anforderungen
- Vor der Installation
- Vorbereiten der Installation
- Installieren und Konfigurieren des Dienstgeflechts
- Herunterladen der Installationspakete
- Konfigurieren der OCI-konformen Registrierung
- Erteilen von Installationsberechtigungen
- Installieren und Konfigurieren des GitOps-Tools
- Bereitstellen von Redis über OperatorHub
- Anwenden verschiedener Konfigurationen
- Ausführen von uipathctl
- Installation
- Nach der Installation
- Migration und Upgrade
- Aktualisieren der Automation Suite
- Migrieren von eigenständigen Produkten zur Automation Suite
- Schritt 1: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 2: Aktualisieren des Schemas der wiederhergestellten Produktdatenbank
- Schritt 3: Verschieben der Identitätsorganisationsdaten von der eigenständigen Bereitstellung in die Automation Suite
- Schritt 4: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 5: Zusammenführen von Organisationen in der Automation Suite
- Schritt 6: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 7: Migrieren des eigenständigen Orchestrator
- Schritt 8: Migrieren von eigenständigen Insights
- Schritt 9: Migrieren des eigenständigen Test Managers
- Schritt 10: Löschen des Standardmandanten
- Durchführen der Migration eines einzelnen Mandanten
- Migrieren zwischen Automation Suite-Clustern
- Überwachung und Warnungen
- Clusterverwaltung
- Produktspezifische Konfiguration
- Erweiterte Orchestrator-Konfiguration
- Konfigurieren von Orchestrator-Parametern
- Konfigurieren von AppSettings
- Konfigurieren der maximalen Anforderungsgröße
- Überschreiben der Speicherkonfiguration auf Clusterebene
- Konfigurieren von NLog
- Speichern von Roboterprotokollen in Elasticsearch
- Konfigurieren von Anmeldeinformationsspeichern
- Konfigurieren der Verwendung von einem Verschlüsselungsschlüssel pro Mandant
- Bereinigen der Orchestrator-Datenbank
- Erstellen der Hostbibliothek wird übersprungen
- Fehlersuche und ‑behebung
- Sammeln von DU-Nutzungsdaten mit dem clusterinternen Objektspeicher (Ceph)
- So beheben Sie einen Fehler bei der Überprüfung der Prereq-Konnektivität unter OpenShift 4.16-4.18
- Deinstallieren der Automation Suite
- So stellen Sie Insights in einem FIPS-fähigen Cluster bereit
- So deaktivieren Sie die automatische CDI-Aktivierung im Nvidia GPU-Operator
Automation Suite in OpenShift – Installationsanleitung
Sicherheit und Compliance
Security Context Constraints (SCC) for UiPath services
UiPath® Automation Suite requires the default restricted-v2 Security Context Constraint (SCC) for all workload pods. This SCC is built into OpenShift and is automatically available to all authenticated users via the default ClusterRoleBinding system:openshift:scc:restricted-v2.
The SCC assignment for service accounts in the Automation Suite namespaces must not be modified. For example, do not grant anyuid or other permissive SCCs to the default service account.
Sicherheitskontext für UiPath®-Dienste
Dieser Abschnitt enthält Details zum Sicherheitskontext der UiPath® Dienste.
Alle UiPath®-Dienste werden mit einem Sicherheitskontext konfiguriert, der in ihrem Abschnitt spec definiert ist.
Das folgende Beispiel zeigt eine typische Konfiguration für UiPath®-Dienste:
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
Für einige UiPath®-Dienste gibt es Ausnahmen von der typischen Sicherheitskontextkonfiguration:
- Insights verfügt über mehrere Funktionen, die die Chromium Linux SUID-Sandbox verwenden. Während kein erhöhter Zugriff für die Installation von Insights erforderlich ist, ist er für bestimmte Funktionen unerlässlich. Weitere Informationen finden Sie unter Konfigurieren des benutzerdefinierten Insights-Sicherheitskontexts.
- Process Mining verwendet die folgenden Airflow-Dienste, deren Sicherheitskontext von der typischen Konfiguration für UiPath®-Dienste abweicht:
- Der Dienst
statsd, wie im folgenden Beispiel gezeigt:securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4 - Die
scheduler,webserverund andere Airflow-Pods, wie im folgenden Beispiel gezeigt:securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000 - Der dynamische Runtime-Pod, wie im folgenden Beispiel gezeigt:
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
- Der Dienst
In einigen Fällen können die Benutzer-IDs und Gruppen-IDs je nach Umgebung größer oder gleich 1000 sein. Stellen Sie sicher, dass Sie die Benutzer- und Gruppen-IDs gemäß Ihren Sicherheitsprinzipien und den Sicherheitsrichtlinien Ihrer Organisation konfigurieren.
Netzwerkrichtlinien
Die folgende Tabelle enthält eine allgemeine Richtlinie für Netzwerkrichtlinien. Sie enthält eine Liste von Routen, die zum Konfigurieren des <uipath> -Namespace erforderlich sind.
| Quelle | Ziel (Destination) | Richtung | Ports | Richtlinientyp | Bedingungen |
|---|---|---|---|---|---|
Alle Pods in uipath | Alle extern | Verweigern | Alle | Netzwerkrichtlinie | Standardmäßige Richtlinie „Alle verweigern“. |
Alle Pods in uipath | Alle Pods in uipath | Zulassen | Alle | Netzwerkrichtlinie | Interne Namespacekommunikation |
Alle Pods in uipath | Kube-System-DNS | Auslauf | 53 TCP/UDP | Netzwerkrichtlinie | DNS-Auflösung |
Alle Pods in uipath | Externe IPs | Auslauf | Alle | Netzwerkrichtlinie | Externe Kommunikation |
Alle Pods in uipath | Istiod | Auslauf | Alle | Netzwerkrichtlinie | Dienstgeflechtsteuerung |
| Prometheus | Alle Pods in uipath | Ingress | Benutzerdefinierte Scraping-Ports | Netzwerkrichtlinie | Überwachen des Zugriffs |
| Istio-Gateway | Alle Pods in uipath | Ingress | Alle | Netzwerkrichtlinie | Gateway-Datenverkehr |
| Kube-System | Alle Pods in uipath | Ingress | Alle | Netzwerkrichtlinie | Systemzugriff |
| Redis-System | Alle Pods in uipath | Ingress | 9091/TCP | Netzwerkrichtlinie | Redis-Überwachung |
| Aufgeführte Dienste | Redis Namespace | Auslauf | Alle | Netzwerkrichtlinie | Redis-Zugriff |
Anforderungen an Clusterberechtigungen
Die Automation Suite erfordert die Clusteradministratorrolle während der Installation, um den gesamten Installationsvorgang zu automatisieren. Alternativ können Sie die Automation Suite mit niedrigeren Berechtigungen installieren. Eine Installation mit niedrigeren Berechtigungen erfordert einige zusätzliche Schritte. Informationen zu den Berechtigungen, die für die Installation erforderlich sind, finden Sie unter Schritt 2: Erstellen der erforderlichen Rollen.
FIPS 140-2
Die FIPS 140-2 (Federal Information Processing Standards 140-2) sind ein Sicherheitsstandard, der die Effektivität von kryptografischen Modulen überprüft.
Die Automation Suite kann auf FIPS 140-2-fähigen Maschinen ausgeführt werden.
Aktivieren von FIPS 140-2 für Neuinstallationen
Führen Sie die folgenden Schritte aus, um FIPS 140-2 auf den Maschinen zu aktivieren, auf denen Sie eine Neuinstallation der Automation Suite durchführen möchten:
-
Bevor Sie die Installation der Automation Suite starten, aktivieren Sie FIPS 140-2 auf Ihren Maschinen.
-
Führen Sie die Automation Suite-Installation durch, indem Sie die Installationsanweisungen in dieser Anleitung befolgen.
Hinweis:- Wenn Sie das AI Center auf einer FIPS 140-2-fähigen Maschine installieren und auch dem Microsoft SQL-Server verwenden, sind einige zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter SQL-Anforderungen für das AI Center.
- Make sure Insights is disabled, as it is not supported on FIPS 140-2. If you need to use Insights, you can deploy it on a dedicated non-FIPS node. For details, refer to How to deploy Insights in a FIPS-enabled cluster.
-
Legen Sie das
fips_enabled_nodes-Flag in derinput.json-Datei auftruefest. -
Stellen Sie sicher, dass Ihre Zertifikate FIPS 140-2-konform sind.
Hinweis:Standardmäßig generiert die Automation Suite selbstsignierte FIPS 140-2-kompatible Zertifikate, deren Ablaufdatum vom von Ihnen gewählten Automation Suite-Installationstyp abhängt.
Es wird dringend empfohlen, diese selbstsignierten Zertifikate bei der Installation durch Zertifikate von einer Zertifizierungsstelle zu ersetzen. Um die Automation Suite auf FIPS 140-2-fähigen Maschinen verwenden zu können, müssen die neu bereitgestellten Zertifikate FIPS 140-2-kompatibel sein. Eine Liste der in Frage kommenden Verschlüsselungen, die von RHEL unterstützt werden, finden Sie in der RHEL-Dokumentation.
Weitere Informationen zum Hinzufügen eigener FIPS 140-2-konformer Tokensignatur- und TLS-Zertifikate finden Sie unter Zertifikatkonfiguration.