- 概要
- 要件
- インストール前
- インストール
- インストール後
- 移行とアップグレード
- 監視とアラート機能
- クラスターの管理
- 製品固有の設定
- トラブルシューティング
OpenShift の Automation Suite のインストール ガイド
このセクションでは、UiPath® サービスのセキュリティ コンテキストについて詳しく説明します。
spec セクションで定義されたセキュリティ コンテキストを使用して構成されます。
以下のサンプルは、UiPath® サービスの一般的な構成を示しています。
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsespec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false一部の UiPath® サービスでは、一般的なセキュリティ コンテキストの構成とは異なる例外があります。
-
Insights には、Chromium Linux SUID サンドボックスを使用する機能が複数あります。 Insights のインストールに管理者特権でのアクセスは必須ではありませんが、特定の機能を利用するには必須です。 詳しくは、「 Insights のカスタム セキュリティ コンテキストを設定する」をご覧ください。
-
Process Mining は以下の Airflow サービスを使用します。これらのサービス セキュリティ コンテキストは UiPath® サービスの一般的な構成とは異なります。
-
statsdサービス (次の サンプルを参照)securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4 -
scheduler、webserver、およびその他の Airflow ポッド (次の例を参照)。securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000 -
動的ランタイム ポッド (以下のサンプルを参照)。
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
-
場合によっては、環境によっては、ユーザー ID とグループ ID が 1000 以上になることがあります。 ユーザー ID とグループ ID は、必ずセキュリティ原則と組織のセキュリティ ガイドラインに従って構成してください。
<uipath> 名前空間を構成するために必要なルートのリストが含まれています。
|
ソース |
ターゲット |
方向 |
ポート |
ポリシーの種類 |
条件 |
|---|---|---|---|---|---|
uipath内のすべてのポッド |
すべての外部 |
拒否 |
すべて |
ネットワーク ポリシー |
既定の deny-all ポリシー |
uipath内のすべてのポッド |
uipath内のすべてのポッド |
許可 |
すべて |
ネットワーク ポリシー |
名前空間の内部通信 |
uipath内のすべてのポッド |
KubeシステムDNS |
出口 |
53 TCP/UDPの |
ネットワーク ポリシー |
DNS 解決 |
uipath内のすべてのポッド |
外部 IP |
出口 |
すべて |
ネットワーク ポリシー |
外信 |
uipath内のすべてのポッド |
Istiod |
出口 |
すべて |
ネットワーク ポリシー |
サービス・メッシュ制御 |
|
Prometheus |
uipath内のすべてのポッド |
Ingress |
カスタム スクレイピング ポート |
ネットワーク ポリシー |
アクセスの監視 |
|
Istio ゲートウェイ |
uipath内のすべてのポッド |
Ingress |
すべて |
ネットワーク ポリシー |
ゲートウェイ トラフィック |
|
Kubeシステム |
uipath内のすべてのポッド |
Ingress |
すべて |
ネットワーク ポリシー |
システムアクセス |
|
Redis システム |
uipath内のすべてのポッド |
Ingress |
9091/TCPの |
ネットワーク ポリシー |
Redis の監視 |
|
リストされているサービス |
Redis 名前空間 |
出口 |
すべて |
ネットワーク ポリシー |
Redis へのアクセス |
Automation Suite では、インストール プロセス全体を自動化するために、インストール時にクラスター管理者ロールが必要です。 または、より低い権限で Automation Suite をインストールすることもできます。 より低いアクセス許可でのインストールには、いくつかの追加手順が含まれます。 インストールに必要な権限については、「 手順 2: 必要なロールを作成する」をご覧ください。
