- Información general
- Requisitos
- Instalación
- Después de la instalación
- Migración y actualización
- Actualizar Automation Suite en EKS / AKS
- Opciones de migración
- Paso 1: Mover los datos de la organización de identidad de independiente a Automation Suite
- Paso 2: restaurar la base de datos del producto independiente
- Paso 3: Realizar una copia de seguridad de la base de datos de la plataforma en Automation Suite
- Paso 4: Fusionar organizaciones en Automation Suite
- Paso 5: actualizar las cadenas de conexión de los productos migrados
- Paso 6: migrar Insights independiente
- Paso 7: eliminar el tenant predeterminado
- B) Migración de tenant único
- Supervisión y alertas
- Administración de clústeres
- Configuración específica del producto
- Solución de problemas
Guía de instalación de Automation Suite en EKS/AKS
Automation Suite está preconfigurado con políticas Gatekeeper y OPA. Si traes tu propio componente Gatekeeper y políticas OPA, puedes omitir estos componentes desde la instalación de Automation Suite. Para obtener más detalles, consulta Pila de Automation Suite. En este caso, revisa las políticas de OPA y las excepciones necesarias para instalar y ejecutar Automation Suite.
Políticas OPA
|
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
|---|---|---|
|
Controles que restringen la escalada a los privilegios de raíz. Corresponde al campo
allowPrivilegeEscalation de una PolíticaDeSeguridadDe Pod
|
|
|
|
Configura una lista de permisos de perfiles de AppArmor para su uso por los contenedores. Esto corresponde a anotaciones específicas aplicadas a una PodSeguridadPolítica. |
|
|
|
Controla las capacidades de Linux en los contenedores. Corresponde a los campos
allowedCapabilities y requiredDropCapabilities de una PolíticaDeSeguridadDe Pod.
|
|
|
|
Controla la lista de permitidos de controladores FlexVolume. Corresponde al campo
allowedFlexVolumes de la PolíticaDeSeguridadDe Pod
|
|
N/D |
|
|
| |
|
Controla la asignación de unFSGroup que es propietario de los volúmenes del pod. Corresponde al campo
fsGroup de una Política de Seguridad de Pod.
|
|
|
|
Controla el uso del sistema de archivos del host. Corresponde al campo
allowedHostPaths de una Política de Seguridad de Pod.
|
|
|
|
No permite que los contenedores de pods compartan los espacios de nombres de IPC y PID del host. Corresponde a los campos
hostPID y hostIPC de una PolíticaDeSeguridadDe Pod.
|
|
|
|
Controla el uso del espacio de nombres de la red del host por los contenedores de pod. |
|
|
|
Controla la capacidad de cualquier contenedor para habilitar el modo privilegiado. Corresponde al campo
privileged de una Política de Seguridad de Pod.
|
|
|
|
Controla los tipos
procMount permitidos para el contenedor. Corresponde al campo allowedProcMountTypes de una Política de seguridad de Pod.
|
|
N/D |
|
Requiere el uso de un sistema de archivos raíz de solo lectura por los contenedores de pod. |
|
|
|
Controla el perfil seccomp utilizado por los contenedores. Corresponde a la anotación
seccomp.security.alpha.kubernetes.io/allowedProfileNames en una PolíticaDeSeguridadDe Pod.
|
|
|
|
Define una lista de permisos de configuraciones de seLinuxOptions para contenedores de pod. |
|
N/D |
|
Controla los ID de usuario y grupo del contenedor y algunos volúmenes. |
|
|
|
Restringe los tipos de volúmenes que se pueden montar a los especificados por el usuario. |
|
|
-
El espacio de nombres
dapr-systemsolo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflowsolo es necesario si instalas Process Mining. -
prereq**son espacios de nombres temporales creados mientras se ejecuta un prerrequisito o una comprobación de estado. Los espacios de nombres se autoeliminan al finalizar.
Otras políticas de OPA
|
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
|---|---|---|
|
Controla la capacidad de cualquier pod de habilitar
automountServiceAccountToken.
|
|
|
|
Requiere que las imágenes del contenedor comiencen con una cadena de la lista especificada. |
|
|
|
|
|
N/D |
|
No permite todos los servicios de tipo LoadBalancer. |
|
|
|
No permite todos los servicios de tipo NodePort. |
|
|
|
Los usuarios no deben poder crear Ingresos con un nombre de host en blanco o con comodines (*), ya que eso les permitiría interceptar el tráfico para otros servicios en el clúster, incluso si no tienen acceso a esos servicios. |
|
N/D |
|
Requiere que los contenedores tengan límites de memoria y CPU establecidos. Restringe los límites para que estén dentro de los valores máximos especificados. |
|
|
|
Requiere contenedores para configurar solicitudes de memoria y CPU. Restringe las solicitudes a estar dentro de los valores máximos especificados. |
|
|
|
Establece una relación máxima entre los límites de recursos del contenedor y las solicitudes. |
|
|
|
Requiere que los contenedores tengan recursos definidos. |
|
|
|
No permite asociar recursos ClústerRol y Rol al usuario
system:anonymous y al grupo system:unauthenticated .
|
|
N/D |
|
Requiere que las imágenes del contenedor tengan una etiqueta de imagen diferente a las de la lista especificada. |
|
N/D |
|
Requiere que los contenedores tengan establecido un límite de almacenamiento efímero y restringe el límite para que esté dentro de los valores máximos especificados. |
|
|
|
|
|
N/D |
|
Requiere que los recursos de Ingreso sean solo HTTPS. Los recursos de entrada deben incluir la anotación
kubernetes.io/ingress.allow-http , establecida en false. De forma predeterminada se requiere una configuración TLS {} válida. Esto se puede hacer opcional estableciendo el parámetro tlsOptional en true.
|
|
|
|
Requiere que las imágenes de contenedor contengan un resumen. |
|
|
|
Bloquea la actualización de la cuenta de servicio en los recursos que se abstraen a través de los pods. Esta política se ignora en modo de auditoría. |
|
N/D |
|
|
|
|
|
Requiere que los Pods tengan sondas de disponibilidad y / o vitalidad. |
|
|
|
Requiere que se especifiquen las clases de almacenamiento cuando se usa. |
|
N/D |
|
Requiere que todos los hosts de reglas de Ingreso sean únicos. |
|
N/D |
|
Requiere que los servicios tengan selectores únicos dentro de un espacio de nombres. Los selectores se consideran iguales si tienen claves y valores idénticos. Los selectores pueden compartir un par clave / valor siempre que haya al menos un par clave / valor distinto entre ellos. |
|
N/D |
-
El espacio de nombres
dapr-systemsolo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflowsolo es necesario si instalas Process Mining. -
prereq**son espacios de nombres temporales creados mientras se ejecuta un prerrequisito o una comprobación de estado. Los espacios de nombres se autoeliminan al finalizar.
network-policies en la lista exclude components en input.json. Para obtener más información sobre los componentes opcionales, consulta la pila de Automation Suite.
uipath. Si aportas tus propias políticas de red o si tienes un CNI personalizado (por ejemplo, Cilium Enterprise o Calico Tigera Enterprise), asegúrate de actualizar tus políticas para duplicar el gráfico de Helm network-policies.
network-policiesde Automation Suite ejecutando el siguiente comando.
- Debes reemplazar
<automation-suite-version>con tu versión actual de Automation Suite en el siguiente comando. - Debes descomprimir el archivo para extraer el gráfico de Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>uipathctl en tu nodo de gestión para instalar y gestionar Automation Suite en tu clúster dedicado. Este nivel de acceso es necesario para los componentes a nivel de sistema en Automation Suite, como Istio (enrutamiento/malla de servicio) y ArgoCD (gestión del ciclo de vida de la implementación y la aplicación), y para crear espacios de nombres relacionados con Automation Suite.
