automation-suite
2022.4
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
UiPath logo, featuring letters U and I in white
Guide d'installation d'Automation Suite
Last updated 21 nov. 2024

Configuration du cluster

Outil de configuration

Le script configureUiPathAS.sh aide à contrôler et à gérer Automation Suite. L'outil est fourni avec le pack d'installation et est disponible dans le dossier principal du programme d'installation. configureUiPathAS.sh n'est actuellement capable d'effectuer que quelques opérations.
Pour afficher plus d'informations sur configureUiPathAS.sh, exécutez :
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help

Vous devriez voir la sortie suivante :

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```
Vous pouvez utiliser le script configureUiPathAS.sh pour gérer les composants suivants dans le cluster Automation Suite :
  • Certificat de serveur - Gérez les certificats tls et de serveur (mettre à jour et obtenir le certificat)
  • Certificats CA supplémentaires - Gérez les certificats CA supplémentaires tels que les certificats de serveur SQL, les certificats de serveur proxy, etc.
  • Service d'identité - Gérez les configurations du service d'identité telles que le certificat de signature de jeton, les certificats SAML, l'authentification Kerberos et Windows, etc.
  • Objectstore - Gérez ceph objectstore (ne prend actuellement en charge que le redimensionnement du pvc /du stockage ceph)
  • Registre - Gérez le registre Docker (ne prend actuellement en charge que le redimensionnement du pvc /du stockage du registre)
  • Surveillance - Gérez le serveur de Rancher (ne prend actuellement en charge que le redimensionnement du pvc /du stockage du serveur Rancher)
  • RabbitMQ - Gérez la file d'attente des messages rabbitmq (ne prend actuellement en charge que le redimensionnement du pvc /du stockage rabbitmq)
  • MongoDB - Gérez le magasin de données mongodb (ne prend actuellement en charge que le redimensionnement du pvc/du stockage mongodb et la gestion des certificats)

Mise à jour de la connexion SQL Server

Pour mettre à jour la chaîne de connexion ou les informations d'identification sur SQL Server, modifiez directement le fichier cluster_config.json sur le nœud de serveur principal. Vous pouvez modifier directement les champs SQL (sql.username, sql.password et sql.server_url) dans le fichier en fonction de ce que vous devez mettre à jour.

Après avoir mis à jour le fichier, relancez l'assistant d'installation interactif sur la même machine avec la configuration mise à jour comme paramètre. Il vous suffit de relancer l'installation sur le serveur principal.

Mise à jour de l'authentification Kerberos

Mise à jour de la configuration d'authentification Kerberos

Pour mettre à jour la configuration commune d'authentification Kerberos, procédez comme suit :

  1. SSH dans n'importe quelle machine serveur.
  2. Exécutez la commande suivante :
    ./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]
    Remarque :
    • Pour générer manuellement le fichier keytab, voir Configuration de l'authentification Kerberos.
    • Le contrôleur de domaine AD a le paramètre Durée de vie maximale du ticket utilisateur (Maximum lifetime for user ticket) Kerberos dans la Politique de domaine par défaut (Default Domain Policy). Assurez-vous que la durée de vie du ticket configurée ici n'est pas supérieure au paramètre du contrôleur de domaine.
    docs image

Réussite de la sortie de la console

Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>

Échec de la sortie de la console

Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

Mise à jour du nom d'utilisateur AD et du keytab de l'utilisateur AD pour un groupe de services

Pour mettre à jour le nom d'utilisateur AD et/ou le keytab de l'utilisateur AD pour un service spécifique, procédez comme suit :

Exécutez la commande suivante :
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]

Les groupes de services suivants sont disponibles (sensibles à la casse) :

  • Orchestrator
  • Plate-forme
  • discoverygroup
  • Test Manager
  • Automation Ops
  • AI Center
  • Document Understanding
  • Insights
  • dataservice

    Remarque : Pour générer manuellement le fichier keytab, voir Configuration de l'authentification Kerberos.

Réussite de la sortie de la console

Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>

Échec de la sortie de la console

Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

Ajout d'administrateurs système

Un administrateur système est créé par défaut dans Automation Suite avec le nom d'utilisateur admin sur l'organisation hôte.

Si l'accès à l'organisation hôte est perdu - par exemple, si le mot de passe de l'administrateur système est perdu ou si les seuls utilisateurs disposant de comptes d'administrateur système quittent l'entreprise - il existe un outil pour ajouter ou restaurer un administrateur système.

Ce script ne fonctionne pas si le paramètre de chaîne de connexion SQL "Integrated Security=true" existe pour les services de plateforme.

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
  • Le champ --username est obligatoire.
  • --password est requis uniquement si le nouvel administrateur utilise l'authentification de base pour se connecter.
  • --email est facultatif sauf si votre fournisseur d'identité externe l'exige (par exemple, Google correspond en fonction de l'e-mail, pas du nom d'utilisateur).

Il existe quelques remarques importantes sur la façon dont l'administrateur est créé ou restauré :

  • Les nouveaux administrateurs ne peuvent pas avoir le même nom d'utilisateur ou adresse e-mail qu'un administrateur existant. Si vous utilisez le même nom d'utilisateur ou adresse e-mail qu'un administrateur existant, l'administrateur existant est mis à jour. Ceci est utile si vous souhaitez modifier le mot de passe.
  • Si un administrateur a été supprimé et que vous utilisez le même nom d'utilisateur ou e-mail pour un nouvel utilisateur, l'administrateur supprimé sera restauré au lieu d'en créer un nouveau. Le champ du mot de passe n'est pas écrasé dans ce cas. Un cas exceptionnel est si plusieurs administrateurs ont été supprimés avec le même nom d'utilisateur ou e-mail, ce qui entraîne la création d'un nouvel administrateur.
  • Si l'un des fournisseurs d'identité externes configurés sur l'hôte est forcé, cela impose des restrictions sur les paramètres. Par exemple, si Windows AD est forcé, le nom d'utilisateur doit être sous la forme user@domain. Si Google est forcé, un e-mail est requis.
  • Lors de la première connexion à un nouveau compte administrateur, le mot de passe doit être changé.

Réactivation de l'authentification de base

Les administrateurs de l'organisation et du système peuvent ne pas être en mesure de se connecter en raison d'un problème avec leur configuration Azure Active Directory ou un autre fournisseur d'identité externe. Les administrateurs de l'organisation peuvent être bloqués car l'indicateur Disable basic authentication est coché dans les paramètres d'authentification. Les administrateurs de l'organisation et du système peuvent être bloqués car un fournisseur d'identité externe a été configuré en tant que force/exclusive. Cet outil tentera de réactiver l'authentification de base pour une organisation.
Ce script ne fonctionne pas si le paramètre de chaîne de connexion SQL Integrated Security=true existe pour les services de plateforme.
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
Remarque : Le champ --orgname est obligatoire. Si l'authentification de base est restreinte au niveau de l'hôte, définissez le nom d'organisation sur host.

Mise à jour du protocole TLS

La passerelle d'entrée Istio configurée dans Automation Suite pour le routage, la communication entre les services, etc. utilise TLS pour sécuriser les échanges. Pour éviter toute menace de sécurité, les versions obsolètes du protocole TLS sont désactivées par défaut.

Seules les versions TLS 1.2 et supérieures sont actuellement prises en charge, et si vous utilisez une version précédente, il est recommandé de mettre à niveau. Cependant, il est toujours possible de se connecter à l'aide d'une version précédente de TLS, mais vous devez d'abord l'activer sur le serveur Automation Suite.

Attention : TLS 1.0 et 1.1 sont obsolètes, et l'activation de ces versions peut poser un risque de sécurité. Il est fortement recommandé de mettre à niveau vers TLS 1.2 ou supérieur au lieu d'activer des versions inférieures sur le serveur.

Pour activer une version TLS non prise en charge, suivez l'une des étapes suivantes :

  • Pour activer la prise en charge de TLS 1.0 et versions ultérieures, exécutez la commande suivante :

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
  • Pour activer la prise en charge de TLS 1.1 et versions ultérieures, exécutez la commande suivante :

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.