- Información general
- Requisitos
- Instalación
- Después de la instalación
- Migración y actualización
- Actualizar Automation Suite en EKS / AKS
- Opciones de migración
- Paso 1: Mover los datos de la organización de identidad de independiente a Automation Suite
- Paso 2: restaurar la base de datos del producto independiente
- Paso 3: Realizar una copia de seguridad de la base de datos de la plataforma en Automation Suite
- Paso 4: Fusionar organizaciones en Automation Suite
- Paso 5: actualizar las cadenas de conexión de los productos migrados
- Paso 6: migrar Insights independiente
- Paso 7: eliminar el tenant predeterminado
- B) Migración de tenant único
- Supervisión y alertas
- Administración de clústeres
- Configuración específica del producto
- Solución de problemas
Guía de instalación de Automation Suite en EKS / AKS
Visión general de los certificados
En esta página se describen todos los certificados necesarios para una instalación de Automation Suite, así como el principio del proceso de rotación de certificados.
https://automationsuite.mycompany.com/identity
.
Aunque dos productos diferentes de Automation Suite deben utilizar el FQDN del clúster, también pueden contener varios microservicios. Estos microservicios pueden utilizar URL internas para comunicarse entre sí.
El siguiente diagrama explica cómo el cliente se conecta a un servicio y cómo se realiza la autenticación a través del Identity Service.
- El cliente establece una conexión con el servicio mediante URL, es decir, Orchestrator, Apps, Insights, etc., utilizando la siguiente URL:
https://automationsuite.mycompany.com/myorg/mytenant/service_
. - Istio intercepta la llamada, y basándose en la ruta de
service_
, reenvía la llamada al servicio específico. - El servicio llama a Identity Server para autenticar la solicitud entrante del robot a través de
https://automationsuite.mycompany.com/myorg/mytenant/identity_
. - Istio intercepta la llamada, y basándose en la ruta
identity_
, reenvía la petición a Identity Server. - Identity Server devuelve la respuesta con el resultado a Istio.
- Istio devuelve la respuesta al servicio.Como la llamada se realiza mediante el protocolo HTTPS, Istio devuelve la respuesta con el certificado TLS para que la conexión sea segura. Si el servicio confía en el certificado del servidor devuelto por Istio, aprueba la respuesta. De lo contrario, el servicio rechaza la respuesta.
- El servicio prepara la respuesta y la devuelve a Istio.
-
Istio reenvía la solicitud al cliente.Si la máquina del cliente confía en el certificado, la solicitud completa tiene éxito. De lo contrario, la solicitud fallará.
Esta sección describe un escenario en el que un robot intenta conectarse a Orchestrator en Automation Suite. El siguiente diagrama explica cómo el robot se conecta a Orchestrator y cómo se realiza la autenticación a través del Identity Server.
- UiPath Robot realiza una conexión con Orchestrator utilizando la siguiente URL:
https://automationsuite.mycompany.com/myorg/mytenant/orchestrator_
- Istio intercepta la llamada, y, según la ruta
orchestrator_
, la reenvía al servicio Orchestrator - El servicio Orchestrator llama a Identity Server para autenticar la solicitud entrante del robot a través de
https://automationsuite.mycompany.com/myorg/mytenant/identity_
. - Istio intercepta la llamada, y basándose en la ruta
identity_
, reenvía la petición a Identity Server. - Identity Server devuelve la respuesta con el resultado a Istio.
- Istio devuelve la respuesta a Orchestrator. Como la llamada se realiza mediante el protocolo HTTPS, Istio devuelve la respuesta con el certificado TLS para que la conexión sea segura. Si Orchestrator confía en el certificado del servidor devuelto por Istio, también aprueba la respuesta. De lo contrario, Orchestrator rechaza la respuesta.
- Orchestrator prepara la respuesta y la devuelve a Istio.
-
Istio reenvía la solicitud al robot. Si la máquina del robot confía en el certificado, la solicitud completa tiene éxito. De lo contrario, la solicitud fallará.
En este ejemplo, el contenedor tiene su propio sistema operativo (RHEL OS), y Service puede representar un Orchestrator que se ejecuta sobre RHEL OS.
/etc/pki/ca-trust/ca/
.
Esta ruta es donde RHEL OS almacena todos los certificados. Cada contenedor tendrá su propio almacén de confianza de certificados. Como parte de la configuración de Automation Suite, inyectamos el certificado de cadena completo que contiene el certificado raíz, todos los certificados intermedios, así como el certificado de hoja, y los almacenamos en esta ruta. Dado que los servicios confían en los certificados raíz e intermedio, confían automáticamente en cualquier otro certificado creado por los certificados raíz e intermedio.
En Automation Suite se ejecutan cientos de contenedores.Añadir manualmente certificados para cada uno de estos contenedores para todos los servicios sería una tarea exigente. Sin embargo, Automation Suite incluye un volumen compartido y un contenedor Init cert-trustor para ayudar en esta tarea. Init es un contenedor especializado que se ejecuta antes de los contenedores de aplicaciones en un Pod, y su ciclo de vida termina tan pronto como completa su trabajo.
En el siguiente ejemplo, el servicio Orchestrator se ejecuta en un pod. Como recordatorio, un pod puede contener más de un contenedor. En este pod, inyectamos un contenedor Init más llamado Cert-trustor.Este contenedor contendrá el certificado raíz, los certificados intermedios y el certificado hoja.
/etc/pki/ca-trust/ca/source/anchors
.
/etc/pki/ca-trust/ca/source/anchors
y finaliza.
Los certificados estarán disponibles para el servicio de Orchestrator a través del volumen compartido.
Como parte de la instalación de Automation Suite, se generan los siguientes certificados:
-
Certificado autofirmado generado en el momento de la instalación. Se recomienda reemplazar el certificado autofirmado por un certificado de dominio después de la instalación. Consulta Gestionar certificados.
- Certificado de Identity Server para firmar los tokens JWT utilizados en la autenticación. Si no se proporciona el certificado para firmar el token JWT, Automation Suite utiliza el certificado TLS configurado actualmente (autofirmado o proporcionado por el cliente). Si quieres tener tu propio certificado para firmar tokens de identidad, consulta Gestionar certificados.
- Si está activado, el protocolo de autenticación SAML2 puedes utilizar un certificado de servicio.
- Si configuras Active Directory utilizando un nombre de usuario y una contraseña, LDAPS (LDAP sobre SSL) es opcional. Si opta por LDAPS, debes proporcionar un certificado. Este certificado se añadirá a las Autoridades de Certificación Raíz de Confianza de Automation Suite. Para más detalles, consulta Documentación de Microsoft.
Este certificado se añadirá a las Autoridades de Certificación Raíz de Confianza de Automation Suite.
Los certificados se almacenan en dos lugares:
istio-ingressgateway-certs
enistio-system
uipath
espacio de nombres
istio-system
y uipath
, debe ejecutar el comando uipathctl config update-tls-certificates
.
uipath
no pueden acceder a los secretos almacenados en el espacio de nombres istio-system
. Por lo tanto, los certificados se copian en ambos espacios de nombres.
uipath
, montamos los certificados en los pods que los necesitan y reiniciamos los pods para que puedan utilizar los nuevos certificados.
La actualización se realiza mediante el método de implementación continua. Si los microservicios tienen dos pods para fines de alta disponibilidad, la actualización eliminará uno de los pods y aparecerá una nueva versión. Una vez que el nuevo se inicie con éxito, se eliminará el antiguo. Habrá un breve período de inactividad mientras el pod anterior aún no se ha terminado.
- Comprender el funcionamiento de los certificados de confianza
- Entender cómo funciona la comunicación
- Comprender cómo se comunican los robots y Orchestrator
- Comprender la arquitectura de contenedores relacionada con los certificados
- Nivel de contenedor
- Nivel de Pod
- Inventario de todos los certificados en Automation Suite
- Certificados generados durante la instalación
- Certificados adicionales
- Comprender cómo funciona la actualización/rotación de certificados