- Información general
- Requisitos
- Instalación
- Q&A: Deployment templates
- Configurar las máquinas
- Configurar el almacén de objetos externo
- Configurar un registro de Docker externo
- Configurar el equilibrador de carga
- Configurar el DNS
- Configurar Microsoft SQL Server
- Configurar los certificados
- Instalación de producción multinodo preparada para alta disponibilidad en línea
- Instalación de producción multinodo preparada para alta disponibilidad sin conexión
- Disaster Recovery: instalar el clúster secundario
- Descarga de los paquetes de instalación
- parámetros de install-uipath.sh
- Habilitar el complemento de alta disponibilidad (HAA) de Redis para el clúster
- Archivo de configuración de Document Understanding
- Inclusión de un nodo agente dedicado compatible con GPU
- Añadir un nodo agente dedicado a Task Mining
- Conexión de la aplicación Task Mining
- Añadir un nodo agente dedicado a Automation Suite Robots
- Después de la instalación
- Administración de clústeres
- Gestionar los productos
- Primeros pasos con el Portal de administración del clúster
- Migrating objectstore from persistent volume to raw disks
- Migrating data between objectstores
- Migrating in-cluster objectstore to external objectstore
- Cambiar al clúster secundario
- Disaster Recovery: realizar operaciones posteriores a la instalación
- Convertir una instalación existente en una configuración en varios sitios
- Directrices para actualizar una implementación activa/pasiva
- Directrices sobre la copia de seguridad y restauración de una implementación activa/pasiva
- Supervisión y alertas
- Migración y actualización
- Rutas de actualización de Automation Suite
- Automatizado: Actualización en línea
- Automatizado: Actualización sin conexión
- Manual: Actualización en línea
- Manual: Actualización sin conexión
- Reversión por error
- Migración de disco físico Longhorn a LVM
- Migración de Canal a Cilium CNI
- Downgrading Ceph from 16.2.6 to 15.2.9
- Opciones de migración
- Paso 1: Mover los datos de la organización de identidad de independiente a Automation Suite
- Paso 2: restaurar la base de datos del producto independiente
- Paso 3: Realizar una copia de seguridad de la base de datos de la plataforma en Automation Suite
- Paso 4: Fusionar organizaciones en Automation Suite
- Paso 5: actualizar las cadenas de conexión de los productos migrados
- Paso 6: migrar Insights independiente
- Paso 7: eliminar el tenant predeterminado
- B) Migración de tenant único
- Configuración específica del producto
- Buenas prácticas y mantenimiento
- Solución de problemas
- Cómo solucionar los problemas de los servicios durante la instalación
- Cómo desinstalar el clúster
- Cómo limpiar los artefactos sin conexión para mejorar el espacio en disco
- Cómo borrar datos de Redis
- Cómo habilitar el registro de Istio
- Cómo limpiar manualmente los registros
- Cómo limpiar los registros antiguos almacenados en el paquete sf-logs
- Cómo deshabilitar los registros de transmisión para AI Center
- Cómo depurar instalaciones de Automation Suite fallidas
- Cómo eliminar imágenes del instalador antiguo después de la actualización
- Cómo limpiar automáticamente las instantáneas de Longhorn
- Cómo deshabilitar la descarga de la suma de comprobación TX
- Cómo establecer manualmente el nivel de registro de ArgoCD en Info
- Cómo generar el pull_secret_value codificado para registros externos
- Cómo abordar los cifrados débiles en TLS 1.2
- No se puede ejecutar una instalación sin conexión en el sistema operativo RHEL 8.4
- Error al descargar el paquete
- La instalación sin conexión falla porque falta un binario
- Problema de certificado en la instalación sin conexión
- First installation fails during Longhorn setup
- Error de validación de la cadena de conexión SQL
- Error en la comprobación de requisitos previos para el módulo iscsid de selinux
- Azure disk not marked as SSD
- Fallo tras la actualización del certificado
- El antivirus causa problemas de instalación
- Automation Suite not working after OS upgrade
- Automation Suite requiere que backlog_wait_time se establezca en 0
- Nodo de GPU afectado por la falta de disponibilidad de recursos
- El volumen no se puede montar porque no está listo para las cargas de trabajo
- Error de recopilación de registros del paquete de soporte
- La actualización de nodo único falla en la etapa de tejido
- Cluster unhealthy after automated upgrade from 2021.10
- Upgrade fails due to unhealthy Ceph
- RKE2 no se inicia debido a un problema de espacio
- La validación SQL falla durante la actualización
- pod de snapshot-controller-crds en estado CrashLoopBackOff después de la actualización
- Fallo al cargar o descargar datos en el almacén de objetos
- PVC resize does not heal Ceph
- Fallo en el redimensionamiento de PVC
- Fallo en el redimensionamiento de PVC de objectstore
- Rook Ceph o Looker pod atascados en estado Init
- Error de archivo adjunto de volumen de StatefulSet
- Fallo en la creación de volúmenes persistentes
- Parche de reclamación de almacenamiento
- La copia de seguridad falló debido al error
- Todas las réplicas de Longhorn son defectuosas
- Establecer un intervalo de tiempo de espera para los portales de gestión
- Actualizar las conexiones del directorio subyacente
- La autenticación no funciona tras la migración
- kinit: no se puede encontrar la KDC para el territorio <AD Domain> mientras se obtienen las credenciales iniciales
- kinit: keytab no contiene claves adecuadas para *** mientras se obtienen las credenciales iniciales
- Error en la operación GSSAPI debido a un código de estado no válido
- Alarma recibida por un error en el trabajo de Kerberos-tgt-update
- Proveedor de SSPI: servidor no encontrado en la base de datos de Kerberos
- Error en inicio de sesión de un usuario AD debido a una cuenta deshabilitada
- ArgoCD login failed
- Fallo en la obtención de la imagen de Sandbox
- Los pods no se muestran en la interfaz de usuario de ArgoCD
- Fallo de la sonda Redis
- El servidor RKE2 no se inicia
- Secreto no encontrado en el espacio de nombres UiPath
- ArgoCD entra en estado de progreso tras la primera instalación
- Incidencias al acceder a la cuenta de solo lectura de ArgoCD
- Pods MongoDB en CrashLoopBackOff o pendientes de aprovisionamiento de PVC tras su eliminación
- Unhealthy services after cluster restore or rollback
- Pods atascados en Inicialización: 0 / X
- Prometheus en estado CrashloopBackoff con error de falta de memoria (OOM)
- Faltan métricas de Ceph-rook en los paneles de supervisión
- Document Understanding no se encuentra en la barra izquierda de Automation Suite
- Estado fallido al crear una sesión de etiquetado de datos
- Estado fallido al intentar implementar una habilidad ML
- El trabajo de migración falla en ArgoCD
- El reconocimiento de la escritura manual con el extractor de formularios inteligente no funciona
- Ejecutar alta disponibilidad con Process Mining
- La ingestión de Process Mining falló al iniciar sesión con Kerberos
- No se puede conectar a la base de datos AutomationSuite_ProcessMining_Warehouse utilizando una cadena de conexión en formato pyodbc
- La instalación de Airflow falla con sqlalchemy.exc.ArgumentError: no se pudo analizar la URL rfc1738 de la cadena ''
- Cómo añadir una regla de tabla de IP para utilizar el puerto 1433 de SQL Server
- Uso de la herramienta de diagnóstico de Automation Suite
- Uso de la herramienta del paquete de soporte de Automation Suite
- Explorar registros
Visión general de los certificados
En esta página se describen todos los certificados necesarios para una instalación de Automation Suite, así como el principio del proceso de rotación de certificados.
https://automationsuite.mycompany.com/identity
.
Aunque dos productos diferentes de Automation Suite deben utilizar el FQDN del clúster, también pueden contener varios microservicios. Estos microservicios pueden utilizar URL internas para comunicarse entre sí.
El siguiente diagrama explica cómo el cliente se conecta a un servicio y cómo se realiza la autenticación a través del Identity Service.
- El cliente establece una conexión con el servicio mediante URL, es decir, Orchestrator, Apps, Insights, etc., utilizando la siguiente URL:
https://automationsuite.mycompany.com/myorg/mytenant/service_
. - Istio intercepta la llamada, y basándose en la ruta de
service_
, reenvía la llamada al servicio específico. - El servicio llama a Identity Server para autenticar la solicitud entrante del robot a través de
https://automationsuite.mycompany.com/myorg/mytenant/identity_
. - Istio intercepta la llamada, y basándose en la ruta
identity_
, reenvía la petición a Identity Server. - Identity Server devuelve la respuesta con el resultado a Istio.
- Istio devuelve la respuesta al servicio.Como la llamada se realiza mediante el protocolo HTTPS, Istio devuelve la respuesta con el certificado TLS para que la conexión sea segura. Si el servicio confía en el certificado del servidor devuelto por Istio, aprueba la respuesta. De lo contrario, el servicio rechaza la respuesta.
- El servicio prepara la respuesta y la devuelve a Istio.
-
Istio reenvía la solicitud al cliente.Si la máquina del cliente confía en el certificado, la solicitud completa tiene éxito. De lo contrario, la solicitud fallará.
Esta sección describe un escenario en el que un robot intenta conectarse a Orchestrator en Automation Suite. El siguiente diagrama explica cómo el robot se conecta a Orchestrator y cómo se realiza la autenticación a través del Identity Server.
- UiPath Robot realiza una conexión con Orchestrator utilizando la siguiente URL:
https://automationsuite.mycompany.com/myorg/mytenant/orchestrator_
- Istio intercepta la llamada, y, según la ruta
orchestrator_
, la reenvía al servicio Orchestrator - El servicio Orchestrator llama a Identity Server para autenticar la solicitud entrante del robot a través de
https://automationsuite.mycompany.com/myorg/mytenant/identity_
. - Istio intercepta la llamada, y basándose en la ruta
identity_
, reenvía la petición a Identity Server. - Identity Server devuelve la respuesta con el resultado a Istio.
- Istio devuelve la respuesta a Orchestrator. Como la llamada se realiza mediante el protocolo HTTPS, Istio devuelve la respuesta con el certificado TLS para que la conexión sea segura. Si Orchestrator confía en el certificado del servidor devuelto por Istio, también aprueba la respuesta. De lo contrario, Orchestrator rechaza la respuesta.
- Orchestrator prepara la respuesta y la devuelve a Istio.
-
Istio reenvía la solicitud al robot. Si la máquina del robot confía en el certificado, la solicitud completa tiene éxito. De lo contrario, la solicitud fallará.
En este ejemplo, el contenedor tiene su propio sistema operativo (RHEL OS), y Service puede representar un Orchestrator que se ejecuta sobre RHEL OS.
/etc/pki/ca-trust/ca/
.
Esta ruta es donde RHEL OS almacena todos los certificados. Cada contenedor tendrá su propio almacén de confianza de certificados. Como parte de la configuración de Automation Suite, inyectamos el certificado de cadena completo que contiene el certificado raíz, todos los certificados intermedios, así como el certificado de hoja, y los almacenamos en esta ruta. Dado que los servicios confían en los certificados raíz e intermedio, confían automáticamente en cualquier otro certificado creado por los certificados raíz e intermedio.
En Automation Suite se ejecutan cientos de contenedores.Añadir manualmente certificados para cada uno de estos contenedores para todos los servicios sería una tarea exigente. Sin embargo, Automation Suite incluye un volumen compartido y un contenedor Init cert-trustor para ayudar en esta tarea. Init es un contenedor especializado que se ejecuta antes de los contenedores de aplicaciones en un Pod, y su ciclo de vida termina tan pronto como completa su trabajo.
En el siguiente ejemplo, el servicio Orchestrator se ejecuta en un pod. Como recordatorio, un pod puede contener más de un contenedor. En este pod, inyectamos un contenedor Init más llamado Cert-trustor.Este contenedor contendrá el certificado raíz, los certificados intermedios y el certificado hoja.
/etc/pki/ca-trust/ca/source/anchors
.
/etc/pki/ca-trust/ca/source/anchors
y finaliza.
Los certificados estarán disponibles para el servicio de Orchestrator a través del volumen compartido.
Como parte de la instalación de Automation Suite, se generan los siguientes certificados:
-
Certificado autofirmado generado en el momento de la instalación, que es válido por 3 meses. Debe reemplazar el certificado autofirmado por un certificado de dominio después de la instalación. Ver Gestionar certificados
- Certificado de Identity Server para firmar los tokens JWT utilizados en la autenticación. Si no se proporciona el certificado para firmar el token JWT, Automation Suite utiliza el certificado TLS configurado actualmente (autofirmado o proporcionado por el cliente), que caduca en 90 días. Si quieres tener tu propio certificado para firmar tokens de identidad, consulta Gestionar certificados.
- Los certificados RKE2 generados caducan de forma predeterminada tras 12 meses. Si los certificados ya han caducado o caducan en menos de 90 días, se rotan al reiniciar RKE2.
- Si está activado, el protocolo de autenticación SAML2 puedes utilizar un certificado de servicio.
- Si configuras Active Directory utilizando un nombre de usuario y una contraseña, LDAPS (LDAP sobre SSL) es opcional. Si opta por LDAPS, debes proporcionar un certificado. Este certificado se añadirá a las Autoridades de Certificación Raíz de Confianza de Automation Suite. Para más detalles, consulta Documentación de Microsoft.
Este certificado se añadirá a las Autoridades de Certificación Raíz de Confianza de Automation Suite.
Los certificados se almacenan en dos lugares:
istio-ingressgateway-certs
enistio-system
uipath
espacio de nombres
istio-system
y uipath
, debe ejecutar el comando sudo ./configureUiPathAS.sh tls-cert update
.
uipath
no pueden acceder a los secretos almacenados en el espacio de nombres istio-system
. Por lo tanto, los certificados se copian en ambos espacios de nombres.
uipath
, montamos los certificados en los pods que los necesitan y reiniciamos los pods para que puedan utilizar los nuevos certificados.
Para las instalaciones de evaluación de un solo nodo, la actualización reducirá los pods. Todos los pods se apagarán y reiniciarán. Esta operación causará tiempo de inactividad.
En el caso de las instalaciones de producción multinodo preparados para HA, la actualización se realiza mediante el método de implementación continua. Si los microservicios tienen dos pods para fines de alta disponibilidad, la actualización eliminará uno de los pods, y aparecerá una nueva versión del pod. Una vez que el nuevo se inicie con éxito, se eliminará el antiguo. Habrá un breve período de inactividad mientras el antiguo pod no haya sido eliminado.
rootCA.crt
y tls.crt
. Los certificados se utilizan en ArgoCD y Docker Registry, y se almacenan en los espacios de nombres de Docker y ArgoCD.
Puedes verificar los secretos utilizando el siguiente comando :
# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd cert list --cert-type https
# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd cert list --cert-type https
- Comprender el funcionamiento de los certificados de confianza
- Entender cómo funciona la comunicación
- Comprender cómo se comunican los robots y Orchestrator
- Comprender la arquitectura de contenedores relacionada con los certificados
- Nivel de contenedor
- Nivel de Pod
- Inventario de todos los certificados en Automation Suite
- Certificados generados durante la instalación
- Certificados adicionales
- Comprender cómo funciona la actualización/rotación de certificados
- Instalación en línea
- Instalación sin conexión