Automation Suite
2023.10
False
- Vue d'ensemble (Overview)
- Prérequis
- Recommandé : modèles de déploiement
- Manuel : Préparation de l'installation
- Manuel : Préparation de l'installation
- Étape 1 : Configuration du registre compatible OCI pour les installations hors ligne
- Étape 2 : configuration du magasin d'objets externe
- Étape 3 : Configuration du module complémentaire High Availability Add-on
- Étape 4 : configurer Microsoft SQL Server
- Étape 5 : configurer l’équilibreur de charge
- Étape 6 : configurer le DNS
- Step 7: Configuring kernel and OS level settings
- Step 8: Configuring the disks
- Step 9: Configuring the node ports
- Step 10: Applying miscellaneous settings
- Étape 12 : Validation et installation des packages RPM requis
- Step 13: Generating cluster_config.json
- Configuration du certificat
- Configuration de la base de données
- Configuration du magasin d'objets externe
- Configuration d'URL pré-signée
- Configuration du registre externe compatible OCI
- Disaster Recovery : configurations Active/Passive et Active/Active
- Configuration du module complémentaire High Availability Add-on
- Configuration spécifique à Orchestrator
- Configuration spécifique à Insights
- Configuration spécifique à Process Mining
- Configuration spécifique à Document Understanding
- Configuration spécifique à Automation Suite Robots
- Configuration de la surveillance
- Facultatif : configuration du serveur proxy
- Facultatif : Activation de la résilience aux échecs locaux dans un cluster en mode production multi-nœuds compatible haute disponibilité
- Facultatif : Transmettre le fichier personnalisé resolv.conf
- Facultatif : augmentation de la tolérance aux pannes
- install-uipath.sh parameters
- Ajout d'un nœud d'agent dédié avec prise en charge GPU
- Ajout d'un nœud d'agent dédié pour Task Mining
- Connexion de l'application Task Mining
- Ajout d'un nœud d'agent dédié pour les Automation Suite Robots
- Step 15: Configuring the temporary Docker registry for offline installations
- Step 16: Validating the prerequisites for the installation
- Manuel : Exécution de l'installation
- Post-installation
- Administration du cluster
- Gestion des produits
- Premiers pas avec le portail d'administration du cluster
- Migration d'un magasin d'objets d'un volume persistant vers des disques bruts
- Migration du module complémentaire High Availability Add-on externe vers un module complémentaire High Availability Add-on externe
- Migration des données entre les librairies
- Migration d'un magasin d'objets intégré au cluster vers un magasin d'objets externe
- Basculer manuellement vers le cluster secondaire dans une configuration active/passive
- Disaster Recovery : exécution d'opérations post-installation
- Conversion d'une installation existante en configuration multi-sites
- Guidelines on upgrading an Active/Passive or Active/Active deployment
- Guidelines on backing up and restoring an Active/Passive or Active/Active deployment
- Redirecting traffic for the unsupported services to the primary cluster
- Surveillance et alerte
- Migration et mise à niveau
- Étape 1 : Déplacement des données d'organisation Identity d'installation autonome vers Automation Suite
- Étape 2 : Restauration de la base de données de produits autonome
- Étape 3 : Sauvegarder la base de données de la plate-forme dans Automation Suite
- Étape 4 : Fusion des organisations dans Automation Suite
- Étape 5 : Mise à jour des chaînes de connexion du produit migré
- Étape 6 : migration de la version autonome d'Orchestrator
- Étape 7 : Migration d'Insights autonome
- Step 8: Deleting the default tenant
- B) Migration à locataire unique
- Migration d'Automation Suite sur Linux vers Automation Suite sur EKS/AKS
- Mettre à niveau Automation Suite
- Téléchargement des packages d'installation et obtention de l'ensemble des fichiers sur le premier nœud de serveur
- Récupération de la dernière configuration appliquée à partir du cluster
- Mise à jour de la configuration du cluster
- Configuration du registre compatible OCI pour les installations hors ligne
- Migration vers un registre externe compatible OCI
- Exécution de la mise à niveau
- Exécution d'opérations post-mise à niveau
- Configuration spécifique au produit
- Utilisation de l'outil Orchestrator Configurator
- Configuration des paramètres d'Orchestrator
- Paramètres de l'application Orchestrator
- Configuration des paramètres d'application
- Configuration de la taille maximale de la requête
- Remplacement de la configuration du stockage au niveau du cluster
- Configuration des magasins d'informations d'identification
- Configuration de la clé de chiffrement par locataire
- Bonnes pratiques et maintenance
- Résolution des problèmes
- Comment résoudre les problèmes des services lors de l'installation
- Comment désinstaller le cluster
- Comment nettoyer les artefacts hors ligne pour améliorer l'espace disque
- Comment effacer les données Redis
- Comment activer la journalisation Istio
- Comment nettoyer manuellement les journaux
- Comment nettoyer les anciens journaux stockés dans le bundle sf-logs
- Comment désactiver les journaux de diffusion pour AI Center
- Comment déboguer les installations d'Automation Suite ayant échoué
- Comment supprimer des images de l’ancien programme d’installation après la mise à niveau
- Comment désactiver le déchargement de la somme de contrôle de la carte réseau
- Comment mettre à niveau Automation Suite 2022.10.10 et 2022.4.11 vers 2023.10.2
- Comment définir manuellement le niveau de journal ArgoCD sur Info
- Impossible d'exécuter une installation hors ligne sur le système d'exploitation RHEL 8.4
- Erreur lors du téléchargement du bundle
- L'installation hors ligne échoue en raison d'un fichier binaire manquant
- Problème de certificat dans l'installation hors ligne
- La première installation échoue lors de la configuration de Longhorn
- Erreur de validation de la chaîne de connexion SQL
- Échec de la vérification des prérequis pour le module selinux iscsid
- Disque Azure non marqué comme SSD
- Échec après la mise à jour du certificat
- L'antivirus provoque des problèmes d'installation
- Automation Suite ne fonctionne pas après la mise à niveau du système d'exploitation
- Automation Suite requiert que backlog_wait_time soit défini sur 0
- Volume impossible à monter car il n'est pas prêt pour les charges de travail
- Cluster défectueux après la mise à niveau automatisée à partir de la version 2021.10
- Échec de la mise à niveau en raison d’un Ceph défectueux
- RKE2 ne démarre pas en raison d'un problème d'espace
- Le volume ne peut pas être monté et reste à l'état de boucle d'attachement/détachement
- La mise à niveau échoue en raison d’objets classiques dans la base de données Orchestrator
- Cluster Ceph trouvé dans un état dégradé après une mise à niveau côte à côte
- Un composant Insights défectueux entraîne l’échec de la migration
- La mise à niveau du service échoue pour Apps
- Délais d'attente de mise à niveau sur place
- Migration du registre Docker bloquée lors de la suppression du PVC
- Échec de l'enregistrement d'AI Center après la mise à niveau vers 2023.10
- La mise à niveau échoue dans les environnements hors ligne
- Échec du chargement ou du téléchargement des données dans l'objectstore
- Le redimensionnement de la PVC ne répare pas Ceph
- Échec du redimensionnement du PVC objectstore
- Rook Ceph ou pod Looker bloqué dans l'état Init
- Erreur de pièce jointe du volume Ensembles d'états.
- Échec de la création de volumes persistants
- Définition d'un délai d'expiration pour les portails de gestion
- L'authentification ne fonctionne pas après la migration
- Kinit : Impossible de trouver le KDC pour le domaine <AD Domain> lors de l'obtention des informations d'identification initiales
- Kinit : Keytab ne contient aucune clé appropriée pour *** lors de l'obtention des informations d'identification initiales
- L'opération GSSAPI a échoué en raison d'un code de statut non valide
- Alarme reçue pour l'échec de la tâche Kerberos-tgt-update
- Fournisseur SSPI : serveur introuvable dans la base de données Kerberos
- La connexion a échoué pour l'utilisateur AD en raison d'un compte désactivé
- Échec de connexion à ArgoCD
- Mettre à jour les connexions du répertoire sous-jacent
- Impossible d'obtenir l'image du bac à sable
- Les pods ne s'affichent pas dans l'interface utilisateur ArgoCD
- Échec de la sonde Redis
- Le serveur RKE2 ne démarre pas
- Secret introuvable dans l'espace de noms UiPath
- ArgoCD passe à l'état Progression (Progressing) après la première installation
- Pods MongoDB en mode CrashLoopBackOff ou enregistrement PVC en attente après suppression
- Services défectueux après la restauration ou l'annulation du cluster
- Pods bloqués dans Init:0/X
- Métriques Ceph-rook manquants dans les tableaux de bord de surveillance
- Document Understanding n'est pas affiché sur la barre de gauche d'Automation Suite
- État Échec (Failed) lors de la création d'une session de labellisation des données
- État Échec (Failed) lors de la tentative de déploiement d'une compétence ML
- La tâche de migration échoue dans ArgoCD
- La reconnaissance de l'écriture manuscrite avec l'Extracteur de formulaires intelligents (Intelligent Form Extractor) ne fonctionne pas
- Exécution de l'outil de diagnostic
- Utilisation de l'outil Automation Suite Support Bundle
- Explorer les journaux
Guide d'installation d'Automation Suite sur Linux
Dernière mise à jour 19 avr. 2024
Configuration du cluster
Le script
configureUiPathAS.sh aide à contrôler et à gérer Automation Suite. L'outil est fourni avec le pack d'installation et est disponible dans le dossier principal du programme d'installation. configureUiPathAS.sh n'est actuellement capable d'effectuer que quelques opérations.
Pour afficher plus d'informations sur
configureUiPathAS.sh, exécutez :
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --helpVous devriez voir la sortie suivante :
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
aicenter Manage aicenter standalone
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
kubeconfig Manage the Kubernetes context
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
gpu Enable/Disable gpu on the cluster.
telemetry Manage telemetry
snapshot Manage cluster disaster recovery
Flags:
-h|--help Display help
-d|--debug Run in debug modeconfigureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
aicenter Manage aicenter standalone
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
kubeconfig Manage the Kubernetes context
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
gpu Enable/Disable gpu on the cluster.
telemetry Manage telemetry
snapshot Manage cluster disaster recovery
Flags:
-h|--help Display help
-d|--debug Run in debug modeVous pouvez utiliser le script
configureUiPathAS.sh pour gérer les composants suivants dans le cluster Automation Suite :
- Certificat de serveur - Gérez les certificats tls et de serveur (mettre à jour et obtenir le certificat)
- Certificats CA supplémentaires - Gérez les certificats CA supplémentaires tels que les certificats de serveur SQL, les certificats de serveur proxy, etc.
- Service d'identité - Gérez les configurations du service d'identité telles que le certificat de signature de jeton, les certificats SAML, l'authentification Kerberos et Windows, etc.
- Objectstore - Gérez ceph objectstore (ne prend actuellement en charge que le redimensionnement du pvc /du stockage ceph)
- Registre - Gérez le registre Docker (ne prend actuellement en charge que le redimensionnement du pvc /du stockage du registre)
- Surveillance - Gérez le serveur de Rancher (ne prend actuellement en charge que le redimensionnement du pvc /du stockage du serveur Rancher)
Pour mettre à jour la chaîne de connexion ou les informations d'identification sur SQL Server, modifiez directement le fichier
cluster_config.json sur le nœud de serveur principal. Vous pouvez modifier directement les champs SQL (sql.username, sql.password et sql.server_url) dans le fichier en fonction de ce que vous devez mettre à jour.
Après avoir mis à jour le fichier, relancez l'assistant d'installation interactif sur la même machine avec la configuration mise à jour comme paramètre. Il vous suffit de relancer l'installation sur le serveur principal.
Pour mettre à jour la configuration commune d'authentification Kerberos, procédez comme suit :
- Exécutez la commande suivante :
./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]Remarque :- Pour générer manuellement le fichier keytab, voir Configuration de l'authentification Kerberos.
- Le contrôleur de domaine AD a le paramètre Durée de vie maximale du ticket utilisateur (Maximum lifetime for user ticket) Kerberos dans la Politique de domaine par défaut (Default Domain Policy). Assurez-vous que la durée de vie du ticket configurée ici n'est pas supérieure au paramètre du contrôleur de domaine.
Réussite de la sortie de la console
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>Échec de la sortie de la console
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Pour mettre à jour le nom d'utilisateur AD et/ou le keytab de l'utilisateur AD pour un service spécifique, procédez comme suit :
Exécutez la commande suivante :
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]Les groupes de services suivants sont disponibles (sensibles à la casse) :
orchestratorplatformdiscoverygrouptestmanagerautomationopsaicenterdocumentunderstandinginsightsdataserviceprocessmining-
asrobotsRemarque : Pour générer manuellement le fichier keytab, voir Configuration de l'authentification Kerberos.
Réussite de la sortie de la console
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>Échec de la sortie de la console
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Un administrateur système est créé par défaut dans Automation Suite avec le nom d'utilisateur admin sur l'organisation hôte.
Si l'accès à l'organisation hôte est perdu - par exemple, si le mot de passe de l'administrateur système est perdu ou si les seuls utilisateurs disposant de comptes d'administrateur système quittent l'entreprise - il existe un outil pour ajouter ou restaurer un administrateur système.
Ce script ne fonctionne pas si le paramètre de chaîne de connexion SQL "Integrated Security=true" existe pour les services de plateforme.
./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]- Le champ
--usernameest obligatoire. --passwordest requis uniquement si le nouvel administrateur utilise l'authentification de base pour se connecter.--emailest facultatif sauf si votre fournisseur d'identité externe l'exige (par exemple, Google correspond en fonction de l'e-mail, pas du nom d'utilisateur).
Il existe quelques remarques importantes sur la façon dont l'administrateur est créé ou restauré :
- Les nouveaux administrateurs ne peuvent pas avoir le même nom d'utilisateur ou adresse e-mail qu'un administrateur existant. Si vous utilisez le même nom d'utilisateur ou adresse e-mail qu'un administrateur existant, l'administrateur existant est mis à jour. Ceci est utile si vous souhaitez modifier le mot de passe.
- Si un administrateur a été supprimé et que vous utilisez le même nom d'utilisateur ou e-mail pour un nouvel utilisateur, l'administrateur supprimé sera restauré au lieu d'en créer un nouveau. Le champ du mot de passe n'est pas écrasé dans ce cas. Un cas exceptionnel est si plusieurs administrateurs ont été supprimés avec le même nom d'utilisateur ou e-mail, ce qui entraîne la création d'un nouvel administrateur.
- Si l'un des fournisseurs d'identité externes configurés sur l'hôte est forcé, cela impose des restrictions sur les paramètres. Par exemple, si Windows AD est forcé, le nom d'utilisateur doit être sous la forme
user@domain. Si Google est forcé, un e-mail est requis. - Lors de la première connexion à un nouveau compte administrateur, le mot de passe doit être changé.
Les administrateurs de l'organisation et du système peuvent ne pas être en mesure de se connecter en raison d'un problème avec leur configuration Azure Active Directory ou un autre fournisseur d'identité externe. Les administrateurs de l'organisation peuvent être bloqués car l'indicateur
Disable basic authentication est coché dans les paramètres d'authentification. Les administrateurs de l'organisation et du système peuvent être bloqués car un fournisseur d'identité externe a été configuré en tant que force/exclusive. Cet outil tentera de réactiver l'authentification de base pour une organisation.
Ce script ne fonctionne pas si le paramètre de chaîne de connexion SQL
Integrated Security=true existe pour les services de plateforme.
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]Remarque :
--orgname est un champ obligatoire. Si l'authentification de base est restreinte au niveau de l'hôte, définissez le nom de l'organisation sur host.
La passerelle d'entrée Istio configurée dans Automation Suite pour le routage, la communication entre les services, etc. utilise TLS pour sécuriser les échanges. Pour éviter toute menace de sécurité, les versions obsolètes du protocole TLS sont désactivées par défaut.
Seules les versions TLS 1.2 et supérieures sont actuellement prises en charge, et si vous utilisez une version précédente, il est recommandé de mettre à niveau. Cependant, il est toujours possible de se connecter à l'aide d'une version précédente de TLS, mais vous devez d'abord l'activer sur le serveur Automation Suite.
Attention : TLS 1.0 et 1.1 sont obsolètes, et l'activation de ces versions peut poser un risque de sécurité. Il est fortement recommandé de mettre à niveau vers TLS 1.2 ou supérieur au lieu d'activer des versions inférieures sur le serveur.
Pour activer une version TLS non prise en charge, suivez l'une des étapes suivantes :
-
Pour activer la prise en charge de TLS 1.0 et versions ultérieures, exécutez la commande suivante :
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]' -
Pour activer la prise en charge de TLS 1.1 et versions ultérieures, exécutez la commande suivante :
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'
- Outil de configuration
- Mise à jour de la connexion SQL Server
- Mise à jour de l'authentification Kerberos
- Mise à jour de la configuration d'authentification Kerberos
- Mise à jour du nom d'utilisateur AD et du keytab de l'utilisateur AD pour un groupe de services
- Ajout d'administrateurs système
- Réactivation de l'authentification de base
- Mise à jour du protocole TLS
