automation-suite
2022.4
false
Wichtig :
Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Automation Suite-Installationsanleitung

Letzte Aktualisierung 19. Dez. 2024

Konfigurieren des Clusters

Konfigurationstool

Das Skript configureUiPathAS.sh hilft Ihnen bei der Steuerung und Verwaltung der Automation Suite. Das Tool wird mit dem Installationspaket geliefert und ist im Hauptordner des Installationsprogramms verfügbar. configureUiPathAS.sh kann derzeit nur wenige Vorgänge ausführen.
Um weitere Informationen zu configureUiPathAS.sh anzuzeigen, führen Sie Folgendes aus:
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help

Sie sollten die folgende Ausgabe sehen:

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```
Sie können das Skript configureUiPathAS.sh verwenden, um die folgenden Komponenten im Automation Suite-Cluster zu verwalten:
  • Serverzertifikat – TLS und Serverzertifikat verwalten (Zertifikat aktualisieren und abrufen)
  • Zusätzliche Zertifikate von Zertifizierungsstellen – Zusätzliche CA-Zertifikate wie SQL-Serverzertifikate, Proxyserverzertifikate usw. verwalten
  • Identitätsdienst – Identitätsdienstkonfigurationen wie Tokensignaturzertifikate, SAML-Zertifikate, Kerberos und Windows-Authentifizierung usw. verwalten
  • Objektspeicher – ceph objectstore verwalten (unterstützt derzeit nur die Größenanpassung von ceph-pvc/-Speicher)
  • Registry – Docker-Registrierung verwalten (derzeit nur Größenanpassung von Registry-pvc/-Speicher)
  • Überwachung – Rancher-Server verwalten (derzeit nur Größenanpassung von Registry-pvc/-Speicher)
  • RabbitMQ – rabbitmq-Nachrichtenwarteschlange verwalten (derzeit wird nur die Größenanpassung von rabbitmq-pvc/-Speicher unterstützt)
  • MongoDB – Mongodb-Datenspeicher verwalten (derzeit nur Größenanpassung von mongodb-pvc/-Speicher und Zertifikatverwaltung)

Aktualisieren der SQL Server-Verbindung

Um die Verbindungszeichenfolge oder Anmeldeinformationen für den SQL Server zu aktualisieren, bearbeiten Sie direkt die Datei cluster_config.json auf dem primären Serverknoten. Sie können die SQL-Felder (sql.username, sql.password und sql.server_url) in der Datei dem Bedarf entsprechend direkt bearbeiten.

Führen Sie nach dem Aktualisieren der Datei den interaktiven Installationsassistenten auf derselben Maschine erneut aus (mit der geänderten Konfiguration als Parameter). Sie müssen die Installation nur auf dem primären Server erneut ausführen.

Aktualisieren der Kerberos-Authentifizierung

Aktualisieren der Kerberos-Authentifizierungskonfiguration

Um die allgemeine Kerberos-Authentifizierungs-Konfiguration anzupassen, führen Sie die folgenden Schritte aus:

  1. Verbinden Sie sich per SSH mit einer beliebigen Servermaschine.
  2. Führen Sie den folgenden Befehl aus:
    ./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]
    Hinweis:
    • Informationen zum manuellen Generieren der Keytab-Datei finden Sie unter Einrichten der Kerberos-Authentifizierung.
    • Beim AD-Domänencontroller befindet sich die Kerberos-Einstellung Max. Gültigkeitsdauer des Benutzertickets in der Standarddomänenrichtlinie. Stellen Sie sicher, dass die hier konfigurierte Gültigkeitsdauer des Tickets nicht länger ist als die Einstellung auf dem Domänencontroller.
    docs image

Konsolenausgabe bei Erfolg

Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>

Konsolenausgabe bei einem Fehler

Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

Aktualisieren des AD-Benutzernamens und der Keytab des AD-Benutzers für eine Dienstgruppe

Führen Sie den folgenden Schritt aus, um den AD-Benutzernamen bzw. die Keytab des AD-Benutzers für einen bestimmten Dienst anzupassen:

Führen Sie den folgenden Befehl aus:
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]

Die folgenden Dienstgruppen sind verfügbar (Groß- und Kleinschreibung beachten):

  • Orchestrator
  • Plattform
  • discoverygroup
  • TestManager
  • Automation Ops
  • AI Center
  • Document Understanding
  • Insights
  • dataservice

    Hinweis: Informationen zum manuellen Generieren der Keytab-Datei finden Sie unter Einrichten der Kerberos-Authentifizierung.

Konsolenausgabe bei Erfolg

Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>

Konsolenausgabe bei einem Fehler

Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

Hinzufügen von Systemadministratoren

Ein Systemadministrator wird in der Automation Suite standardmäßig mit dem Benutzernamen admin in der Hostorganisation erstellt.

Falls der Zugriff auf die Hostorganisation verloren geht, z. B. wenn das Kennwort für den Systemadministrator verloren geht oder die einzigen Benutzer mit Systemadministratorkonten das Unternehmen verlassen, gibt es ein Tool zum Hinzufügen oder Wiederherstellen eines Systemadministrators.

Dieses Skript funktioniert nicht, wenn der SQL-Verbindungszeichenfolgen-Parameter „Integrated Security=true“ bei Plattformdiensten vorhanden ist.

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
  • --username ist ein Pflichtfeld.
  • --password ist nur erforderlich, wenn der neue Administrator die einfache Authentifizierung zum Anmelden verwendet.
  • --email ist optional, es sei denn, Ihr externer Identitätsanbieter erfordert dies (z. B. verlangt Google eine E-Mail-Adresse, keinen Benutzernamen).

Es gibt ein paar wichtige Hinweise dazu, wie der Administrator erstellt oder wiederhergestellt wird:

  • Neue Administratoren können nicht denselben Benutzernamen oder dieselbe E-Mail-Adresse wie ein vorhandener Administrator haben. Wenn Sie denselben Benutzernamen oder dieselbe E-Mail-Adresse wie ein vorhandener Administrator verwenden, wird der vorhandene Administrator aktualisiert. Das ist nützlich, wenn Sie das Kennwort ändern möchten.
  • Wenn ein Administrator gelöscht wurde und Sie denselben Benutzernamen oder dieselbe E-Mail-Adresse für einen neuen Benutzer verwenden, wird der gelöschte Administrator wiederhergestellt, anstatt einen neuen zu erstellen. Das Kennwortfeld wird in diesem Fall nicht überschrieben. Ein Ausnahmefall ist, wenn mehrere Administratoren mit demselben Benutzernamen oder derselben E-Mail-Adresse gelöscht wurden, was zur Erstellung eines neuen Administrators führt.
  • Wenn einer der auf dem Host konfigurierten externen Identitätsanbieter erzwungen wird, werden die Parameter eingeschränkt. Wenn z. B. Windows-AD erzwungen wird, muss der Benutzername im Formular user@domain stehen. Ist Google erzwungen wird, ist eine E-Mail-Adresse erforderlich.
  • Wenn Sie sich zum ersten Mal bei einem neuen Administratorkonto anmelden, muss das Kennwort geändert werden.

Erneute Aktivierung der einfachen Authentifizierung

Organisations- und Systemadministratoren können sich möglicherweise aufgrund eines Problems mit ihrem konfigurierten Azure-Active Directory oder einem anderen externen Identitätsanbieter nicht anmelden. Organisationsadministratoren können gesperrt werden, da das Flag Disable basic authentication in den Authentifizierungseinstellungen aktiviert ist. Organisations- und Systemadministratoren können gesperrt werden, da ein externer Identitätsanbieter als force/exclusive konfiguriert wurde. Dieses Tool versucht, die einfache Authentifizierung für eine Organisation wieder zu aktivieren.
Dieses Skript funktioniert nicht, wenn der Parameter Integrated Security=true der SQL-Verbindungszeichenfolge für Plattformdienste vorhanden ist.
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
Hinweis: --orgname ist ein Pflichtfeld. Wenn die Standardauthentifizierung auf Hostebene eingeschränkt ist, legen Sie den Organisationsnamen auf host fest.

Aktualisieren des TLS-Protokolls

Das Ingress-Gateway von Istio, das in der Automation Suite für das Routing, die Kommunikation zwischen den Diensten und mehr konfiguriert ist, verwendet TLS, um den Austausch zu sichern. Um Sicherheitsbedrohungen zu verhindern, sind veraltete TLS-Protokollversionen standardmäßig deaktiviert.

Derzeit wird nur die TLS-Version 1.2 und höher unterstützt. Wenn Sie eine frühere Version verwenden, wird ein Upgrade empfohlen.Es ist jedoch weiterhin möglich, eine Verbindung mit einer früheren TLS-Version herzustellen, aber Sie müssen diese zuerst auf dem Automation Suite-Server aktivieren.

Wichtig: TLS 1.0 und 1.1 sind veraltet und das Aktivieren dieser Versionen kann ein Sicherheitsrisiko darstellen. Es wird dringend empfohlen, auf TLS 1.2 oder höher zu aktualisieren, anstatt niedrigere Versionen auf dem Server zu aktivieren.

Führen Sie einen der folgenden Schritte aus, um eine nicht unterstützte TLS-Version zu aktivieren:

  • Führen Sie den folgenden Befehl aus, um die Unterstützung für TLS 1.0 und höher zu aktivieren:

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
  • Führen Sie den folgenden Befehl aus, um die Unterstützung für TLS 1.1 und höher zu aktivieren:

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten