- Vue d'ensemble (Overview)
- Prérequis
- Recommandé : modèles de déploiement
- Manuel : Préparation de l'installation
- Manuel : Préparation de l'installation
- Étape 1 : Configuration du registre compatible OCI pour les installations hors ligne
- Étape 2 : configuration du magasin d'objets externe
- Étape 3 : Configuration du module complémentaire High Availability Add-on
- Étape 4 : configurer Microsoft SQL Server
- Étape 5 : configurer l’équilibreur de charge
- Étape 6 : configurer le DNS
- Step 7: Configuring kernel and OS level settings
- Step 8: Configuring the disks
- Step 9: Configuring the node ports
- Step 10: Applying miscellaneous settings
- Étape 12 : Validation et installation des packages RPM requis
- Step 13: Generating cluster_config.json
- Configuration du certificat
- Configuration de la base de données
- Configuration du magasin d'objets externe
- Configuration d'URL pré-signée
- Configuration du registre externe compatible OCI
- Disaster Recovery : configurations Active/Passive et Active/Active
- Configuration du module complémentaire High Availability Add-on
- Configuration spécifique à Orchestrator
- Configuration spécifique à Insights
- Configuration spécifique à Process Mining
- Configuration spécifique à Document Understanding
- Configuration spécifique à Automation Suite Robots
- Configuration de la surveillance
- Facultatif : configuration du serveur proxy
- Facultatif : Activation de la résilience aux échecs locaux dans un cluster en mode production multi-nœuds compatible haute disponibilité
- Facultatif : Transmettre le fichier personnalisé resolv.conf
- Facultatif : augmentation de la tolérance aux pannes
- install-uipath.sh parameters
- Ajout d'un nœud d'agent dédié avec prise en charge GPU
- Ajout d'un nœud d'agent dédié pour Task Mining
- Connexion de l'application Task Mining
- Ajout d'un nœud d'agent dédié pour les Automation Suite Robots
- Step 15: Configuring the temporary Docker registry for offline installations
- Step 16: Validating the prerequisites for the installation
- Manuel : Exécution de l'installation
- Post-installation
- Administration du cluster
- Gestion des produits
- Premiers pas avec le portail d'administration du cluster
- Migration d'un magasin d'objets d'un volume persistant vers des disques bruts
- Migration du module complémentaire High Availability Add-on externe vers un module complémentaire High Availability Add-on externe
- Migration des données entre les librairies
- Migration d'un magasin d'objets intégré au cluster vers un magasin d'objets externe
- Configuration du nom complet de domaine après l'installation
- Configurer une authentification Kerberos
- Configurer Elasticsearch et Kibana
- Transfert des journaux d'application vers Splunk
- Basculer manuellement vers le cluster secondaire dans une configuration active/passive
- Disaster Recovery : exécution d'opérations post-installation
- Conversion d'une installation existante en configuration multi-sites
- Guidelines on upgrading an Active/Passive or Active/Active deployment
- Guidelines on backing up and restoring an Active/Passive or Active/Active deployment
- Redirecting traffic for the unsupported services to the primary cluster
- Surveillance et alerte
- Migration et mise à niveau
- Étape 1 : Déplacement des données d'organisation Identity d'installation autonome vers Automation Suite
- Étape 2 : Restauration de la base de données de produits autonome
- Étape 3 : Sauvegarder la base de données de la plate-forme dans Automation Suite
- Étape 4 : Fusion des organisations dans Automation Suite
- Étape 5 : Mise à jour des chaînes de connexion du produit migré
- Étape 6 : migration de la version autonome d'Orchestrator
- Étape 7 : Migration d'Insights autonome
- Step 8: Deleting the default tenant
- B) Migration à locataire unique
- Migration d'Automation Suite sur Linux vers Automation Suite sur EKS/AKS
- Mettre à niveau Automation Suite
- Téléchargement des packages d'installation et obtention de l'ensemble des fichiers sur le premier nœud de serveur
- Récupération de la dernière configuration appliquée à partir du cluster
- Mise à jour de la configuration du cluster
- Configuration du registre compatible OCI pour les installations hors ligne
- Migration vers un registre externe compatible OCI
- Exécution de la mise à niveau
- Exécution d'opérations post-mise à niveau
- Configuration spécifique au produit
- Utilisation de l'outil Orchestrator Configurator
- Configuration des paramètres d'Orchestrator
- Paramètres de l'application Orchestrator
- Configuration des paramètres d'application
- Configuration de la taille maximale de la requête
- Remplacement de la configuration du stockage au niveau du cluster
- Configuration des magasins d'informations d'identification
- Configuration de la clé de chiffrement par locataire
- Bonnes pratiques et maintenance
- Résolution des problèmes
- Comment résoudre les problèmes des services lors de l'installation
- Comment désinstaller le cluster
- Comment nettoyer les artefacts hors ligne pour améliorer l'espace disque
- Comment effacer les données Redis
- Comment activer la journalisation Istio
- Comment nettoyer manuellement les journaux
- Comment nettoyer les anciens journaux stockés dans le bundle sf-logs
- Comment désactiver les journaux de diffusion pour AI Center
- Comment déboguer les installations d'Automation Suite ayant échoué
- Comment supprimer des images de l’ancien programme d’installation après la mise à niveau
- Comment désactiver le déchargement de la somme de contrôle de la carte réseau
- Comment mettre à niveau Automation Suite 2022.10.10 et 2022.4.11 vers 2023.10.2
- Comment définir manuellement le niveau de journal ArgoCD sur Info
- Impossible d'exécuter une installation hors ligne sur le système d'exploitation RHEL 8.4
- Erreur lors du téléchargement du bundle
- L'installation hors ligne échoue en raison d'un fichier binaire manquant
- Problème de certificat dans l'installation hors ligne
- La première installation échoue lors de la configuration de Longhorn
- Erreur de validation de la chaîne de connexion SQL
- Échec de la vérification des prérequis pour le module selinux iscsid
- Disque Azure non marqué comme SSD
- Échec après la mise à jour du certificat
- L'antivirus provoque des problèmes d'installation
- Automation Suite ne fonctionne pas après la mise à niveau du système d'exploitation
- Automation Suite requiert que backlog_wait_time soit défini sur 0
- Volume impossible à monter car il n'est pas prêt pour les charges de travail
- Cluster défectueux après la mise à niveau automatisée à partir de la version 2021.10
- Échec de la mise à niveau en raison d’un Ceph défectueux
- RKE2 ne démarre pas en raison d'un problème d'espace
- Le volume ne peut pas être monté et reste à l'état de boucle d'attachement/détachement
- La mise à niveau échoue en raison d’objets classiques dans la base de données Orchestrator
- Cluster Ceph trouvé dans un état dégradé après une mise à niveau côte à côte
- Un composant Insights défectueux entraîne l’échec de la migration
- La mise à niveau du service échoue pour Apps
- Délais d'attente de mise à niveau sur place
- Migration du registre Docker bloquée lors de la suppression du PVC
- Échec de l'enregistrement d'AI Center après la mise à niveau vers 2023.10
- La mise à niveau échoue dans les environnements hors ligne
- Échec du chargement ou du téléchargement des données dans l'objectstore
- Le redimensionnement de la PVC ne répare pas Ceph
- Échec du redimensionnement du PVC objectstore
- Rook Ceph ou pod Looker bloqué dans l'état Init
- Erreur de pièce jointe du volume Ensembles d'états.
- Échec de la création de volumes persistants
- Définition d'un délai d'expiration pour les portails de gestion
- L'authentification ne fonctionne pas après la migration
- Kinit : Impossible de trouver le KDC pour le domaine <AD Domain> lors de l'obtention des informations d'identification initiales
- Kinit : Keytab ne contient aucune clé appropriée pour *** lors de l'obtention des informations d'identification initiales
- L'opération GSSAPI a échoué en raison d'un code de statut non valide
- Alarme reçue pour l'échec de la tâche Kerberos-tgt-update
- Fournisseur SSPI : serveur introuvable dans la base de données Kerberos
- La connexion a échoué pour l'utilisateur AD en raison d'un compte désactivé
- Échec de connexion à ArgoCD
- Mettre à jour les connexions du répertoire sous-jacent
- Impossible d'obtenir l'image du bac à sable
- Les pods ne s'affichent pas dans l'interface utilisateur ArgoCD
- Échec de la sonde Redis
- Le serveur RKE2 ne démarre pas
- Secret introuvable dans l'espace de noms UiPath
- ArgoCD passe à l'état Progression (Progressing) après la première installation
- Pods MongoDB en mode CrashLoopBackOff ou enregistrement PVC en attente après suppression
- Services défectueux après la restauration ou l'annulation du cluster
- Pods bloqués dans Init:0/X
- Métriques Ceph-rook manquants dans les tableaux de bord de surveillance
- Document Understanding n'est pas affiché sur la barre de gauche d'Automation Suite
- État Échec (Failed) lors de la création d'une session de labellisation des données
- État Échec (Failed) lors de la tentative de déploiement d'une compétence ML
- La tâche de migration échoue dans ArgoCD
- La reconnaissance de l'écriture manuscrite avec l'Extracteur de formulaires intelligents (Intelligent Form Extractor) ne fonctionne pas
- Exécution de l'outil de diagnostic
- Utilisation de l'outil Automation Suite Support Bundle
- Explorer les journaux
Configurer une authentification Kerberos
Pour configurer avec succès l'authentification Kerberos, vous devez remplir les conditions préalables suivantes :
Avant de pouvoir configurer l'authentification Kerberos, travaillez avec vos administrateurs informatiques pour vous assurer que le cluster Automation Suite peut accéder à votre Active Directory (AD).
Les exigences suivantes doivent être remplies :
- Le cluster Automation Suite doit se trouver sur le même réseau que le domaine AD ;
-
Le DNS doit être configuré correctement sur le réseau afin que le cluster Automation Suite puisse résoudre les noms de domaine AD.
Remarque : Il est essentiel que le cluster Automation Suite puisse résoudre lesdomain names
d'Active Directory. Vous pouvez vérifier cela en exécutantnslookup <AD domain name>
sur la machine hôte.
Génération des paramètres keytab et nom d'utilisateur par défaut Kerberos
Option 1 : en exécutant le script (recommandé)
- Connectez-vous avec votre compte d'administrateur AD sur une machine reliée à un domaine Windows.
- Exécutez le script keytab-creator.ps1 en tant qu’administrateur.
- Saisissez les valeurs suivantes dans le script :
Service Fabric FQDN
. Par exemple,uipath-34i5ui35f.westeurope.cloudapp.azure.com
.AD domain FQDN
. Par exemple,TESTDOMAIN.LOCAL
.- Un compte d'utilisateur AD. Vous pouvez utiliser un compte existant, tel que
sAMAccountName
, ou vous pouvez autoriser le script à en créer un.
<KERB_DEFAULT_USERNAME>
et <KERB_DEFAULT_KEYTAB>
requis par la configuration Kerberos.
Option 2 : manuellement
<KERB_DEFAULT_USERNAME>
et <KERB_DEFAULT_KEYTAB>
pour ce compte en procédant suit :
To configure the UiPath® cluster to connect to SQL using Windows integrated authentication/Kerberos, you need to perform a few additional steps:
- le serveur SQL doit être relié au domaine AD ;
- le cluster Automation Suite doit se trouver sur le même réseau que serveur SQL ;
- le cluster Automation Suite peut résoudre les noms de domaine des serveurs AD et SQL ;
- l'utilisateur AD doit avoir accès au serveur SQL et aux autorisations de base de données.
Pour créer une nouvelle connexion dans SQL Server Management Studio, procédez comme suit :
a. Dans le volet Explorateur d'objets, accédez à Sécurité > Connexions.
b. Cliquez avec le bouton droit sur le dossier Connexions et sélectionnez Nouvelle connexion. La fenêtre Nouvelle connexion s'affiche.
c. Sélectionnez l'option Authentification Windows. La fenêtre est mise à jour en conséquence.
d. Dans le champ Nom de connexion, tapez le domaine d'utilisateur que vous souhaitez utiliser comme compte de service.
e. Dans la liste des langues par défaut, sélectionnez Français.
f. Cliquez sur OK. Vos configurations sont enregistrées.
Si le compte de service a déjà été créé et ajouté à la section Sécurité > Connexions de SQL Server, vérifiez que l'option Langue par défaut de ce compte SQL est configurée sur Anglais. Si ce n'est pas le cas, effectuez les ajustements nécessaires.
db_owner
, comme dans la capture d'écran suivante.
db_owner
user mapping role with the UiPath® login, grant the following permissions:
db_datareader
db_datawriter
db_ddladmin
-
Autorisation
EXECUTE
sur le schémadbo
EXECUTE
doit être accordée en utilisant la commande SQL GRANT EXECUTE
, comme suit :
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Integrated Security=True
, you need to create a unique keytab for each UiPath® application, as follows. This will be referred to as <KERB_APP_KEYTAB>
for that application.
Génération des paramètres keytab et nom d'utilisateur de l'application Kerberos
Option 1 : en exécutant le script (recommandé)
- Exécutez le script service-keytab-creator.ps1.
- Saisissez les valeurs suivantes dans le script :
AD domain FQDN
. Par exemple,TESTDOMAIN.LOCAL
.- Le nom d'utilisateur et le mot de passe d'un compte d'utilisateur AD. Par exemple, le compte d'utilisateur AD
sAMAccountName
et son mot de passe.
<KERB_APP_USERNAME>
et <KERB_APP_KEYTAB>
requis par Kerberos.
Option 2 : manuellement
Exécutez manuellement le script suivant :
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
<AD username>
correspondra au nom <KERB_APP_USERNAME>
du fichier concerné <KERB_APP_KEYTAB>
.
Cette section explique comment vous pouvez configurer Automation Suite en tant que client Kerberos pour l'accès LDAP ou SQL.
<KERB_DEFAULT_KEYTAB>
, configurez Automation Suite en tant que client Kerberos en appliquant l'un des procédés suivants :
- Configuration de l'authentification Kerberos via le programme d'installation interactif
- Configuration de l'authentification Kerberos via cluster_config.json
-
Remarque : Si vous souhaitez configurer différents services pour qu'ils s'exécutent sous leur propre compte AD et accéder à SQL en tant que compte AD, vous pouvez paramétrer
ad_username
sur<KERB_APP_USERNAME>
etuser_keytab
sur<KERB_APP_KEYTAB>
dans la section de configuration du service.
- Dans le fichier
cluster_config.json
, configurez le paramètrekerberos_auth_config.enabled
surtrue
. - Si vous souhaitez utiliser Kerberos pour l'accès SQL, configurez
sql_connection_string_template
,sql_connection_string_template_jdbc
etsql_connection_string_template_odbc
avec l'indicateur de sécurité intégrée. - Si vous souhaitez configurer un utilisateur AD différent par service, procédez comme suit :
- Après avoir mis à jour
cluster_config.json
, exécutez le script d'installation pour mettre à jour la configuration. Pour plus de détails, consultez Gestion des produits.
Exemple de mise à jour d'Orchestrator et de la plate-forme pour utiliser l'authentification Kerberos
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
Groupes de services et services
cluster_config.json
ou dans l'interface utilisateur d'ArgoCD.
Nom du groupe de services pour
cluster_config.json |
Nom du groupe de services pour ArgoCD |
Services inclus |
---|---|---|
|
|
Orchestrator, Webhooks |
|
|
identité, comptable de licence (LA), audit, emplacement, gestionnaire de ressources de licence (LRM), service de gestion de l'organisation (OMS) |
|
|
Automation Hub, Task Mining |
|
|
Test Manager |
|
|
Automation Ops |
|
|
AI Center |
|
|
Document Understanding |
|
|
Insights |
|
|
Data Service |
|
|
Robots Automation Suite |
|
|
Process Mining |
Pour mettre à jour l'authentification Kerberos via l'outil CLI, voir Mise à jour de l'authentification Kerberos.
Pour que l'authentification Kerberos soit utilisée lors de la connexion à Automation Suite, vous devez configurer davantage les paramètres de l'hôte Automation Suite.
Pour supprimer complètement l'authentification Kerberos, procédez comme suit :
- Si vous avez utilisé Kerberos pour configurer l’intégration AD, reconfigurez AD avec l’option nom d’utilisateur et mot de passe en suivant les instructions de la section Configuration de l’intégration d’Active Directory.
- Si vous avez utilisé l'authentification intégrée SQL, configurez les chaînes de connexion SQL pour utiliser User Id et Password.
- Désactivez l'authentification Kerberos comme suit :
- Accédez à l'interface utilisateur ArgoCD, recherchez l'application uipath, cliquez sur le bouton APP DETAILS dans le coin supérieur gauche, puis accédez à l'onglet PARAMETERS.
- Cliquez sur MODIFIERet définissez
global.kerberosAuthConfig.enabled
surfalse
.
Pour supprimer l'authentification intégrée SQL, procédez comme suit :
- Configurez les chaînes de connexion SQL pour utiliser l ' ID utilisateur et le mot de passe.
- Si vous souhaitez désactiver l'authentification intégrée SQL pour tous les services, définissez
global.kerberosAuthConfig.enabled
surfalse
dans ArgoCD après avoir modifié toutes les chaînes de connexion
Si vous rencontrez des problèmes lors de la configuration de Kerberos, consultez la rubrique Résolution des problèmes d'authentification.
- Prérequis
- S'assurer que le cluster Automation Suite peut accéder à votre AD
- Configuration du compte de service AD pour l'authentification Kerberos
- Facultatif : prérequis pour l'authentification SQL
- Configuration d'Automation Suite en tant que client Kerberos
- Configuration de l'authentification Kerberos via le programme d'installation interactif
- Configuration de l'authentification Kerberos via cluster_config.json
- Mise à jour de l'authentification Kerberos via l'outil CLI
- Configurer l'intégration d'Active Directory
- Désactivation de l'authentification Kerberos
- Suppression complète de l'authentification Kerberos
- Suppression de l'authentification intégrée SQL
- Résoudre les problèmes Kerberos