- Información general
- Requisitos
- Preinstalación
- Preparar la instalación
- Descarga de los paquetes de instalación
- Configurar el registro compatible con OCI
- Conceder permisos de instalación
- Instalar y configurar la malla de servicio
- Instalar y configurar la herramienta GitOps
- Installing the External Secrets Operator
- Implementar Redis a través de OperatorHub
- Aplicar configuraciones varias
- Ejecutar uipathctl
- Instalación
- Después de la instalación
- Migración y actualización
- Supervisión y alertas
- Administración de clústeres
- Configuración específica del producto
- Configurar parámetros de Orchestrator
- Configurar AppSettings
- Configurar el tamaño máximo de la solicitud
- Anular la configuración de almacenamiento a nivel de clúster
- Configurar NLog
- Guardar los registros del robot en Elasticsearch
- Configurar almacenes de credenciales
- Configurar clave de cifrado por tenant
- Limpiar la base de datos de Orchestrator
- Solución de problemas
Guía de instalación de Automation Suite en OpenShift
Esta sección proporciona detalles sobre el contexto de seguridad de los servicios UiPath®.
spec .
El siguiente ejemplo muestra una configuración típica para los servicios de UiPath®:
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsespec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsePara algunos servicios de UiPath®, hay excepciones a la configuración típica del contexto de seguridad:
-
Insights tiene varias características que utilizan Chromium Linux SUID Sandbox. Aunque no se requiere acceso elevado para instalar Insights, es esencial para la funcionalidad de características específicas. Para obtener más información, consulta Configurar el contexto de seguridad personalizado de Insights.
-
Process Mining utiliza los siguientes servicios de Airflow cuyo contexto de seguridad difiere de la configuración típica de los servicios de UiPath®:
-
El servicio
statsd, como se muestra en el siguiente ejemplo:securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4 -
El
scheduler,webservery otros pods de Airflow, como se muestra en el siguiente ejemplo:securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000 -
El pod de tiempo de ejecución dinámico, como se muestra en el siguiente ejemplo:
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
-
En algunos casos, los ID de usuario y los ID de grupo pueden ser mayores o iguales a 1000, dependiendo de tu entorno. Asegúrate de configurar los ID de usuario y grupo de acuerdo con tus principios de seguridad y las directrices de seguridad de tu organización.
<uipath> .
|
Origen |
Destination |
Dirección |
Puertos |
Tipo de política |
Condiciones |
|---|---|---|---|---|---|
|
Todos los pods en
uipath |
Todo externo |
Denegar |
Todos |
PolíticaDeRed |
Política de denegación predeterminada |
|
Todos los pods en
uipath |
Todos los pods en
uipath |
Allow |
Todos |
PolíticaDeRed |
Comunicación interna del espacio de nombres |
|
Todos los pods en
uipath |
DNS del sistema Kube |
Salida |
53 TCP/UDP |
PolíticaDeRed |
Resolución de DNS |
|
Todos los pods en
uipath |
IP externas |
Salida |
Todos |
PolíticaDeRed |
Comunicación externa |
|
Todos los pods en
uipath |
Istiod |
Salida |
Todos |
PolíticaDeRed |
Control de malla de servicio |
|
Prometheus |
Todos los pods en
uipath |
Ingress |
Puertos de extracción personalizados |
PolíticaDeRed |
Supervisar el acceso |
|
Puerta de enlace de Istio |
Todos los pods en
uipath |
Ingress |
Todos |
PolíticaDeRed |
Tráfico de puerta de enlace |
|
Sistema Kube |
Todos los pods en
uipath |
Ingress |
Todos |
PolíticaDeRed |
Acceso al sistema |
|
Sistema Redis |
Todos los pods en
uipath |
Ingress |
9091/TCP |
PolíticaDeRed |
Supervisión de Redis |
|
Servicios enumerados |
Espacio de nombres de Redis |
Salida |
Todos |
PolíticaDeRed |
Acceso a Redis |
Automation Suite requiere el rol de administrador del clúster durante la instalación para automatizar todo el proceso de instalación. Como alternativa, puedes instalar Automation Suite con permisos inferiores. Una instalación con permisos inferiores implica algunos pasos adicionales. Para conocer los permisos que requiere la instalación, consulta Paso 2: Crear los roles necesarios.
Las Normas Federales de Procesamiento de Información 140-2 (FIPS 140-2) son un estándar de seguridad que valida la eficacia de los módulos criptográficos.
Automation Suite puede ejecutarse en máquinas habilitadas para FIPS 140-2.
Habilitar FIPS 140-2 para nuevas instalaciones
Para habilitar FIPS 140-2 en las máquinas en las que piensas realizar una nueva instalación de Automation Suite, realiza los siguientes pasos:
