- Información general
- Requisitos
- Instalación
- Comprobaciones de requisitos previos
- Descarga de los paquetes de instalación
- clúster uipathctl
- mantenimiento del clúster de uipathctl
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster migration
- uipathctl cluster migration export
- uipathctl cluster migration import
- uipathctl cluster migration run
- actualización del clúster de uipathctl
- configuración de uipathctl
- uipathctl config add-host-admin
- uipathctl config additional-ca-certificates
- uipathctl config additional-ca-certificates get
- uipathctl config additional-ca-certificates update
- Alertas de configuración de uipathctl
- Complemento de alertas de configuración de uipathctl
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config argocd
- uipathctl config argocd ca-certificates
- uipathctl config argocd ca-certificates get
- uipathctl config argocd ca-certificates update
- uipathctl config argocd generate-dex-config
- uipathctl config argocd generate-rbac
- uipathctl config argocd registry
- uipathctl config argocd registry get
- uipathctl config argocd registry update
- uipathctl config enable-basic-auth
- orchestrator de configuración de uipathctl
- get-config de uipathctl config del orquestador
- uipathctl config orchestrator update-config
- uipathctl config saml-certificates get
- uipathctl config saml-certificates rotate
- uipathctl config saml-certificates update
- uipathctl config tls-certificates
- uipathctl config tls-certificates get
- uipathctl config tls-certificates update
- uipathctl config token-signing-certificates
- uipathctl config token-signing-certificates get
- uipathctl config token-signing-certificates rotate
- uipathctl config token-signing-certificates update
- salud de uipathctl
- Paquete de salud de uipathctl
- comprobación de estado de uipathctl
- uipathctl health diagnose
- uipathctl health test
- manifiesto de uipathctl
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest get-revision
- lista de manifiesto de aplicaciones de uipathctl
- uipathctl manifest list-revisions
- uipathctl manifest render
- prerrequisito de uipathctl
- uipathctl prereq create
- uipathctl prereq run
- recurso uipathctl
- informe de recursos uipathctl
- instantánea de uipathctl
- copia de seguridad de instantánea de uipathctl
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- versión de uipathctl
- Después de la instalación
- Migración y actualización
- Actualizar Automation Suite en EKS / AKS
- Paso 1: Mover los datos de la organización de identidad de independiente a Automation Suite
- Paso 2: restaurar la base de datos del producto independiente
- Paso 3: Realizar una copia de seguridad de la base de datos de la plataforma en Automation Suite
- Paso 4: Fusionar organizaciones en Automation Suite
- Paso 5: actualizar las cadenas de conexión de los productos migrados
- Paso 6: migrar el Orchestrator independiente
- Paso 7: migrar Insights independiente
- Paso 8: eliminar el tenant predeterminado
- B) Migración de tenant único
- Migrar de Automation Suite en Linux a Automation Suite en EKS / AKS
- Supervisión y alertas
- Administración de clústeres
- Configuración específica del producto
- Uso de la herramienta de configuración de Orchestrator
- Configurar parámetros de Orchestrator
- Configuración de Orchestrator
- Configurar AppSettings
- Configurar el tamaño máximo de la solicitud
- Anular la configuración de almacenamiento a nivel de clúster
- Configurar almacenes de credenciales
- Configurar clave de cifrado por tenant
- Solución de problemas
Seguridad y cumplimiento
En relación con las especificaciones del conjunto de contexto de seguridad para los servicios de UiPath®, a continuación se ofrece información importante:
spec
. La configuración básica incluye:
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
Ten en cuenta que, en algunos casos, los userIDs y los GroupIDs pueden ser mayores o iguales a 1000 y dichos valores son permisibles en función de tu entorno. Es importante configurar los ID de usuario y grupo según tus principios de seguridad y las directrices de seguridad de tu organización.
Automation Suite está preconfigurado con políticas Gatekeeper y OPA. Si traes tu propio componente Gatekeeper y políticas OPA, puedes omitir estos componentes desde la instalación de Automation Suite. Para obtener más detalles, consulta Pila de Automation Suite. En este caso, revisa las políticas de OPA y las excepciones necesarias para instalar y ejecutar Automation Suite.
-uipath
, uipath-installer
, uipath-infra
, airflow
y argocd
.
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
---|---|---|
Controles que restringen la escalada a los privilegios de raíz. Corresponde al campo
allowPrivilegeEscalation de una PolíticaDeSeguridadDe Pod
|
|
|
Configura una lista de permisos de perfiles de AppArmor para su uso por los contenedores. Esto corresponde a anotaciones específicas aplicadas a una PodSeguridadPolítica. |
|
|
Controla las capacidades de Linux en los contenedores. Corresponde a los campos
allowedCapabilities y requiredDropCapabilities de una PolíticaDeSeguridadDe Pod.
|
|
|
Controla la lista de permitidos de controladores FlexVolume. Corresponde al campo
allowedFlexVolumes de la PolíticaDeSeguridadDe Pod
|
|
|
|
| |
Controla la asignación de unFSGroup que es propietario de los volúmenes del pod. Corresponde al campo
fsGroup de una Política de Seguridad de Pod.
|
|
|
Controla el uso del sistema de archivos del host. Corresponde al campo
allowedHostPaths de una Política de Seguridad de Pod.
|
|
|
No permite que los contenedores de pods compartan los espacios de nombres de IPC y PID del host. Corresponde a los campos
hostPID y hostIPC de una PolíticaDeSeguridadDe Pod.
|
|
|
Controla el uso del espacio de nombres de la red del host por los contenedores de pod. |
|
|
Controla la capacidad de cualquier contenedor para habilitar el modo privilegiado. Corresponde al campo
privileged de una Política de Seguridad de Pod.
|
|
|
Controla los tipos
procMount permitidos para el contenedor. Corresponde al campo allowedProcMountTypes de una Política de seguridad de Pod.
|
|
|
Requiere el uso de un sistema de archivos raíz de solo lectura por los contenedores de pod. |
|
|
Controla el perfil seccomp utilizado por los contenedores. Corresponde a la anotación
seccomp.security.alpha.kubernetes.io/allowedProfileNames en una PolíticaDeSeguridadDe Pod.
|
|
|
Define una lista de permisos de configuraciones de seLinuxOptions para contenedores de pod. |
|
|
Controla los ID de usuario y grupo del contenedor y algunos volúmenes. |
|
|
Restringe los tipos de volúmenes que se pueden montar a los especificados por el usuario. |
|
|
-
El espacio de nombres
dapr-system
solo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflow
solo es necesario si instalas Process Mining.
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
---|---|---|
Controla la capacidad de cualquier pod de habilitar
automountServiceAccountToken .
|
|
|
Requiere que las imágenes del contenedor comiencen con una cadena de la lista especificada. |
|
|
|
|
N/D |
No permite todos los servicios de tipo LoadBalancer. |
|
|
No permite todos los servicios de tipo NodePort. |
|
|
Los usuarios no deben poder crear Ingresos con un nombre de host en blanco o con comodines (*), ya que eso les permitiría interceptar el tráfico para otros servicios en el clúster, incluso si no tienen acceso a esos servicios. |
|
|
Requiere que los contenedores tengan límites de memoria y CPU establecidos. Restringe los límites para que estén dentro de los valores máximos especificados. |
|
|
Requiere contenedores para configurar solicitudes de memoria y CPU. Restringe las solicitudes a estar dentro de los valores máximos especificados. |
|
|
Establece una relación máxima entre los límites de recursos del contenedor y las solicitudes. |
|
|
Requiere que los contenedores tengan recursos definidos. |
|
|
No permite asociar recursos ClústerRol y Rol al usuario
system:anonymous y al grupo system:unauthenticated .
|
|
N/D |
Requiere que las imágenes del contenedor tengan una etiqueta de imagen diferente a las de la lista especificada. |
|
N/D |
Requiere que los contenedores tengan establecido un límite de almacenamiento efímero y restringe el límite para que esté dentro de los valores máximos especificados. |
|
|
|
|
N/D |
Requiere que los recursos de Ingreso sean solo HTTPS. Los recursos de entrada deben incluir la anotación
kubernetes.io/ingress.allow-http , establecida en false . De forma predeterminada se requiere una configuración TLS {} válida. Esto se puede hacer opcional estableciendo el parámetro tlsOptional en true .
|
|
|
Requiere que las imágenes de contenedor contengan un resumen. |
|
|
Bloquea la actualización de la cuenta de servicio en los recursos que se abstraen a través de los pods. Esta política se ignora en modo de auditoría. |
|
N/D |
|
|
|
Requiere que los Pods tengan sondas de disponibilidad y / o vitalidad. |
|
|
Requiere que se especifiquen las clases de almacenamiento cuando se usa. |
|
N/D |
Requiere que todos los hosts de reglas de Ingreso sean únicos. |
|
N/D |
Requiere que los servicios tengan selectores únicos dentro de un espacio de nombres. Los selectores se consideran iguales si tienen claves y valores idénticos. Los selectores pueden compartir un par clave / valor siempre que haya al menos un par clave / valor distinto entre ellos. |
|
N/D |
-
El espacio de nombres
dapr-system
solo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflow
solo es necesario si instalas Process Mining. -
prereq**
son espacios de nombres temporales creados mientras se ejecuta un prerrequisito o una comprobación de estado. Los espacios de nombres se autoeliminan al finalizar.
network-policies
en la lista exclude components
en input.json
. Para obtener más información sobre los componentes opcionales, consulta la pila de Automation Suite.
uipath
. Si aportas tus propias políticas de red o si tienes un CNI personalizado (por ejemplo, Cilium Enterprise o Calico Tigera Enterprise), asegúrate de actualizar tus políticas para duplicar el gráfico de Helm network-policies
.
network-policies
de Automation Suite ejecutando el siguiente comando.
- Debes reemplazar
<automation-suite-version>
con tu versión actual de Automation Suite en el siguiente comando. - Debes descomprimir el archivo para extraer el gráfico de Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
uipathctl
en tu nodo de administración requiere acceso de administrador de clúster para instalar y administrar Automation Suite en tu clúster de EKS o AKS dedicado. Este nivel de acceso es necesario para los componentes a nivel de sistema en Automation Suite , como Istio (red de enrutamiento / servicio) y ArgoCD (implementación y gestión del ciclo de vida de las aplicaciones), y para crear espacios de nombres relacionados con Automation Suite .
Las Normas Federales de Procesamiento de Información 140-2 (FIPS 140-2) son un estándar de seguridad que valida la eficacia de los módulos criptográficos.
Automation Suite en AKS puede ejecutarse en nodos habilitados para FIPS 140-2.
Puedes habilitar FIPS 140-2 en los nodos de AKS en los que instalas Automation Suite en los siguientes escenarios:
- Escenario 1: nuevas instalaciones. Habilita FIPS 140-2 antes de realizar una instalación limpia de Automation Suite 2023.4 o posterior.
- Escenario 2: instalaciones existentes. Habilita FIPS 140-2 después de realizar una instalación de Automation Suite en una máquina con FIPS-140-2 deshabilitado.
Para habilitar FIPS 140-2 en las máquinas en las que piensas realizar una nueva instalación de Automation Suite, realiza los siguientes pasos:
Puedes instalar Automation Suite en máquinas con FIPS 140-2 deshabilitado y luego, habilitar el estándar de seguridad en las mismas máquinas. Esto también es posible al actualizar a una nueva versión de Automation Suite.
Para habilitar FIPS 140-2 en las máquinas en las que ya has realizado una instalación de Automation Suite, realiza los siguientes pasos: