- Información general
- Requisitos
- Preinstalación
- Instalación
- Después de la instalación
- Migración y actualización
- Actualizar Automation Suite
- Migrar productos independientes a Automation Suite
- Paso 1: restaurar la base de datos del producto independiente
- Paso 2: actualizar el esquema de la base de datos del producto restaurada
- Paso 3: mover los datos de la organización de Identity de independiente a Automation Suite
- Paso 4: Realizar una copia de seguridad de la base de datos de la plataforma en Automation Suite
- Paso 5: Fusionar organizaciones en Automation Suite
- Paso 6: actualizar las cadenas de conexión del producto migradas
- Paso 7: migrar Orchestrator independiente
- Paso 8: migrar Insights independiente
- Paso 9: eliminar el tenant predeterminado
- Realizar una migración de un solo tenant
- Migrar entre clústeres de Automation Suite
- Migrar de Automation Suite en EKS/AKS a Automation Suite en OpenShift
- Supervisión y alertas
- Administración de clústeres
- Configuración específica del producto
- Configurar parámetros de Orchestrator
- Configurar AppSettings
- Configurar el tamaño máximo de la solicitud
- Anular la configuración de almacenamiento a nivel de clúster
- Configurar NLog
- Guardar los registros del robot en Elasticsearch
- Configurar almacenes de credenciales
- Configurar clave de cifrado por tenant
- Limpiar la base de datos de Orchestrator
- Solución de problemas
- No se puede acceder a Automation Hub tras la actualización a Automation Suite 2024.10.0
- Error de aprovisionamiento de AI Center después de actualizar a 2023.10 o posterior
- Volúmenes de Insights creados en dos zonas diferentes después de la migración
- La actualización falla debido a los tamaños de PVC de Insights anulados
- La configuración de la copia de seguridad no funciona debido a un fallo en la conexión a Azure Government
- Los pods en el espacio de nombres de UiPath se atascaban al habilitar los taints de nodo personalizados
- No se puede iniciar Automation Hub y Apps con la configuración de proxy
- El robot no puede conectarse a una instancia de Automation Suite Orchestrator
- La transmisión de registros no funciona en las configuraciones de proxy
- La copia de seguridad de Velero falla con el error de validación fallida
- El acceso a FQDN devuelve RBAC: error de acceso denegado
Guía de instalación de Automation Suite en EKS/AKS
Esta sección proporciona detalles sobre el contexto de seguridad de los servicios UiPath®.
spec .
El siguiente ejemplo muestra una configuración típica para los servicios de UiPath®:
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsespec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsePara algunos servicios de UiPath®, hay excepciones a la configuración típica del contexto de seguridad:
-
En el caso del servicio
connector-builder-setup-job, el valor del parámetroreadOnlyRootFilesystemesfalse.
En algunos casos, los ID de usuario y los ID de grupo pueden ser mayores o iguales a 1000, dependiendo de tu entorno. Asegúrate de configurar los ID de usuario y grupo de acuerdo con tus principios de seguridad y las directrices de seguridad de tu organización.
Automation Suite está preconfigurado con políticas Gatekeeper y OPA. Si traes tu propio componente Gatekeeper y políticas OPA, puedes omitir estos componentes desde la instalación de Automation Suite. Para obtener más detalles, consulta Pila de Automation Suite. En este caso, revisa las políticas de OPA y las excepciones necesarias para instalar y ejecutar Automation Suite.
-uipath, uipath-installer, uipath-infra, airflow y argocd.Políticas OPA
|
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
|---|---|---|
|
Controles que restringen la escalada a los privilegios de raíz. Corresponde al campo
allowPrivilegeEscalation de una PolíticaDeSeguridadDe Pod
|
|
|
|
Configura una lista de permisos de perfiles de AppArmor para su uso por los contenedores. Esto corresponde a anotaciones específicas aplicadas a una PodSeguridadPolítica. |
|
|
|
Controla las capacidades de Linux en los contenedores. Corresponde a los campos
allowedCapabilities y requiredDropCapabilities de una PolíticaDeSeguridadDe Pod.
|
|
|
|
Controla la lista de permitidos de controladores FlexVolume. Corresponde al campo
allowedFlexVolumes de la PolíticaDeSeguridadDe Pod
|
|
|
|
|
| |
|
Controla la asignación de unFSGroup que es propietario de los volúmenes del pod. Corresponde al campo
fsGroup de una Política de Seguridad de Pod.
|
|
|
|
Controla el uso del sistema de archivos del host. Corresponde al campo
allowedHostPaths de una Política de Seguridad de Pod.
|
|
|
|
No permite que los contenedores de pods compartan los espacios de nombres de IPC y PID del host. Corresponde a los campos
hostPID y hostIPC de una PolíticaDeSeguridadDe Pod.
|
|
|
|
Controla el uso del espacio de nombres de la red del host por los contenedores de pod. |
|
|
|
Controla la capacidad de cualquier contenedor para habilitar el modo privilegiado. Corresponde al campo
privileged de una Política de Seguridad de Pod.
|
|
|
|
Controla los tipos
procMount permitidos para el contenedor. Corresponde al campo allowedProcMountTypes de una Política de seguridad de Pod.
|
|
|
|
Requiere el uso de un sistema de archivos raíz de solo lectura por los contenedores de pod. |
|
|
|
Controla el perfil seccomp utilizado por los contenedores. Corresponde a la anotación
seccomp.security.alpha.kubernetes.io/allowedProfileNames en una PolíticaDeSeguridadDe Pod.
|
|
|
|
Define una lista de permisos de configuraciones de seLinuxOptions para contenedores de pod. |
|
|
|
Controla los ID de usuario y grupo del contenedor y algunos volúmenes. |
|
|
|
Restringe los tipos de volúmenes que se pueden montar a los especificados por el usuario. |
|
|
-
El espacio de nombres
dapr-systemsolo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflowsolo es necesario si instalas Process Mining.
Otras políticas de OPA
|
Policy |
Actionsde aplicación |
Espacios de nombres / Imágenes que se van a excluir |
|---|---|---|
|
Controla la capacidad de cualquier pod de habilitar
automountServiceAccountToken.
|
|
|
|
Requiere que las imágenes del contenedor comiencen con una cadena de la lista especificada. |
|
|
|
|
|
N/D |
|
No permite todos los servicios de tipo LoadBalancer. |
|
|
|
No permite todos los servicios de tipo NodePort. |
|
|
|
Los usuarios no deben poder crear Ingresos con un nombre de host en blanco o con comodines (*), ya que eso les permitiría interceptar el tráfico para otros servicios en el clúster, incluso si no tienen acceso a esos servicios. |
|
|
|
Requiere que los contenedores tengan límites de memoria y CPU establecidos. Restringe los límites para que estén dentro de los valores máximos especificados. |
|
|
|
Requiere contenedores para configurar solicitudes de memoria y CPU. Restringe las solicitudes a estar dentro de los valores máximos especificados. |
|
|
|
Establece una relación máxima entre los límites de recursos del contenedor y las solicitudes. |
|
|
|
Requiere que los contenedores tengan recursos definidos. |
|
|
|
No permite asociar recursos ClústerRol y Rol al usuario
system:anonymous y al grupo system:unauthenticated .
|
|
N/D |
|
Requiere que las imágenes del contenedor tengan una etiqueta de imagen diferente a las de la lista especificada. |
|
N/D |
|
Requiere que los contenedores tengan establecido un límite de almacenamiento efímero y restringe el límite para que esté dentro de los valores máximos especificados. |
|
|
|
|
|
N/D |
|
Requiere que los recursos de Ingreso sean solo HTTPS. Los recursos de entrada deben incluir la anotación
kubernetes.io/ingress.allow-http , establecida en false. De forma predeterminada se requiere una configuración TLS {} válida. Esto se puede hacer opcional estableciendo el parámetro tlsOptional en true.
|
|
|
|
Requiere que las imágenes de contenedor contengan un resumen. |
|
|
|
Bloquea la actualización de la cuenta de servicio en los recursos que se abstraen a través de los pods. Esta política se ignora en modo de auditoría. |
|
N/D |
|
|
|
|
|
Requiere que los Pods tengan sondas de disponibilidad y / o vitalidad. |
|
|
|
Requiere que se especifiquen las clases de almacenamiento cuando se usa. |
|
N/D |
|
Requiere que todos los hosts de reglas de Ingreso sean únicos. |
|
N/D |
|
Requiere que los servicios tengan selectores únicos dentro de un espacio de nombres. Los selectores se consideran iguales si tienen claves y valores idénticos. Los selectores pueden compartir un par clave / valor siempre que haya al menos un par clave / valor distinto entre ellos. |
|
N/D |
-
El espacio de nombres
dapr-systemsolo es necesario si instalas Process Mining y Task Mining. -
El espacio de nombres
airflowsolo es necesario si instalas Process Mining. -
prereq**son espacios de nombres temporales creados mientras se ejecuta un prerrequisito o una comprobación de estado. Los espacios de nombres se autoeliminan al finalizar.
network-policies en la lista exclude components en input.json. Para obtener más información sobre los componentes opcionales, consulta la pila de Automation Suite.
network-policies de Helm.
network-policiesde Automation Suite ejecutando el siguiente comando.
- Debes reemplazar
<automation-suite-version>con tu versión actual de Automation Suite en el siguiente comando. - Debes descomprimir el archivo para extraer el gráfico de Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>uipathctl en tu nodo de gestión para instalar y gestionar Automation Suite en un clúster dedicado. Este nivel de acceso es necesario para los componentes a nivel de sistema en Automation Suite, como Istio (enrutamiento/malla de servicio) y ArgoCD (gestión del ciclo de vida de la implementación y la aplicación), y para crear espacios de nombres relacionados con Automation Suite. Para los clústeres compartidos, no se requieren privilegios de administrador.
Las Normas Federales de Procesamiento de Información 140-2 (FIPS 140-2) son un estándar de seguridad que valida la eficacia de los módulos criptográficos.
Automation Suite puede ejecutarse en máquinas habilitadas para FIPS 140-2.
Puedes habilitar FIPS 140-2 en las máquinas en las que instalas Automation Suite en los siguientes escenarios:
- Habilite FIPS 140-2 antes de realizar una instalación limpia de Automation Suite. Este escenario se aplica tanto a Automation Suite en EKS como a Automation Suite en AKS. Para obtener más información, consulta Habilitar FIPS 140-2 para nuevas instalaciones.
- Habilite FIPS 140-2 después de realizar una instalación de Automation Suite en una máquina con FIPS-140-2 deshabilitado. Para obtener más información, consulta Habilitar FIPS 140-2 para instalaciones existentes.
Nota: Este escenario solo se aplica a Automation Suite en AKS. Para Automation Suite en EKS, no puedes habilitar FIPS 140-2 si completaste una instalación de Automation Suite con FIPS-140-2 deshabilitado.
Habilitar FIPS 140-2 para nuevas instalaciones
Para habilitar FIPS 140-2 en las máquinas en las que piensas realizar una nueva instalación de Automation Suite, realiza los siguientes pasos:
Habilitar FIPS 140-2 para instalaciones existentes
Puedes instalar Automation Suite con FIPS 140-2 deshabilitado y luego habilitar el estándar de seguridad en las mismas máquinas. Esto también es posible al actualizar a una nueva versión de Automation Suite.
Actualmente puedes habilitar FIPS 140-2 para las instalaciones existentes de Automation Suite en AKS, pero no para las instalaciones existentes de Automation Suite en EKS. Puedes habilitar FIPS 140-2 para Automation Suite en EKS solo antes de realizar una instalación limpia de Automation Suite. Para obtener más información, consulta Habilitar FIPS 140-2 para nuevas instalaciones.
Para habilitar FIPS 140-2 en las máquinas en las que ya has realizado una instalación de Automation Suite, realiza los siguientes pasos:
