Automation Suite
2022.10
偽
- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベストプラクティスとメンテナンス
- トラブルシューティング
- インストール時にサービスをトラブルシューティングする方法
- クラスターをアンインストールする方法
- オフライン成果物をクリーンアップしてディスク領域を改善する方法
- Redis データをクリアする方法
- Istio ログを有効化する方法
- ログを手動でクリーンアップする方法
- sf-logs バンドルに保存されている古いログをクリーンアップする方法
- AI Center のストリーミング ログを無効化する方法
- 失敗した Automation Suite インストールをデバッグする方法
- アップグレード後に古いインストーラーからイメージを削除する方法
- Longhorn スナップショットを自動的にクリーンアップする方法
- NIC チェックサムオフロードを無効にする方法
- RHEL 8.4 OS でオフライン インストールを実行できない
- バンドルのダウンロード中のエラー
- バイナリがないため、オフライン インストールが失敗する
- オフライン インストールでの証明書の問題
- Longhorn のセットアップ中に最初のインストールが失敗する
- SQL 接続文字列の検証エラー
- selinux iscsid モジュールの前提条件の確認が失敗する
- Azure ディスクが SSD としてマークされない
- 証明書の更新後のエラー
- ウイルス対策が原因でインストールの問題が発生する
- OS のアップグレード後に Automation Suite が動作しない
- Automation Suite で backlog_wait_time を 0 に設定する必要がある
- ワークロードの準備ができていないためボリュームをマウントできない
- プロキシ設定がある場合に Automation Hub と Apps を起動できない
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- 移行後に認証が機能しない
- Kinit: Cannot Find KDC for Realm <AD Domain> While Getting Initial Credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- 無効なステータス コードが原因で GSSAPI 操作が失敗した
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- アカウントが無効なため AD ユーザーのログインに失敗した
- ArgoCD へのログインに失敗した
- サンドボックス イメージを取得できない
- ポッドが ArgoCD UI に表示されない
- Redis プローブの障害
- RKE2 サーバーの起動に失敗する
- UiPath 名前空間でシークレットが見つからない
- 初回インストール後に ArgoCD が進行中ステートになる
- Unexpected inconsistency; run fsck manually
- MongoDB ポッドが CrashLoopBackOff になるか、削除後に PVC プロビジョニングの保留中になる
- MongoDB ポッドを 4.4.4-ent から 5.0.7-ent にアップグレードできない
- クラスターの復元またはロールバック後にサービスが異常になる
- Init:0/X でポッドがスタックする
- Prometheus が CrashloopBackoff ステートでメモリ不足 (OOM) エラーを伴う
- 監視ダッシュボードに Ceph-rook メトリックが表示されない
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドル ツールを使用する
- ログを確認する
Automation Suite インストール ガイド
最終更新日 2024年4月24日
証明書の要件
重要: インストール後の証明書の管理方法の詳細については、「証明書を管理する」をご覧ください。
Automation Suite では、インストール時に 2 つの証明書が必要です。
- サーバー証明書 – クライアントとクラスター間の TLS 通信に必要です。
- ID トークン署名証明書 – 認証トークンへの署名に必要です。
注: インストールのプロセスでは、ユーザーに代わってインストーラーが自己署名証明書を生成します。ただし、これらの証明書はインストールが完了次第、信頼された証明機関が署名した証明書に更新することをお勧めします。
重要:
インストール プロセスによって、ユーザーに代わって自己署名証明書が生成されます。これらの証明書は 90 日で有効期限が切れるので、インストールが完了したら速やかに、信頼された証明機関 (CA) によって署名された証明書に置き換える必要があります。証明書を更新しないと、90 日後にインストールが停止します。
クラスターに外部ソフトウェアを信頼させるには、上記の証明書とは別に、追加の信頼された CA 証明書の提供が必要になる場合があります。例: SQL Server の CA 証明書、SMTP サーバーの CA 証明書、外部の S3 互換 ObjectStore の CA 証明書など。
インストール時に、セキュリティで保護された TLS 通信が必要な外部ソフトウェアすべてに対して CA 証明書を提供する必要があります。ただし、TLS 通信を有効化していない場合は、インストール後に設定できます。手順については、「証明書を管理する」をご覧ください。
サーバー証明書は、次の要件を満たす必要があります。
- ファイル形式は
.pem
、つまり Base64 でエンコードされた DER 証明書であること。 - 秘密キーの長さが 2048 以上であること。
- 拡張キーの用途: TLS Web サーバー認証。iOS デバイス上で Automation Suite にアクセスするために必要です。
- 証明書キーが復号されていること。キーが暗号化されている場合は、次のコマンドを実行して復号します。
# replace /path/to/encrypted/cert/key to absolute file path of key # replace /path/to/decrypt/cert/key to store decrypt key # Once prompted, please entry the passphrase or password to decrypt the key openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key
# replace /path/to/encrypted/cert/key to absolute file path of key # replace /path/to/decrypt/cert/key to store decrypt key # Once prompted, please entry the passphrase or password to decrypt the key openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key - Automation Suite のインストールに必要な DNS エントリのすべてにサブジェクトの別名 (SAN) が設定されていること。クラスターの FQDN が
automationsuite.mycompany.com
の場合、証明書の SAN には次の DNS が含まれている必要があります。automationsuite.mycompany.com
*.automationsuite.mycompany.com
注:*
ワイルドカードでは包括的すぎる場合は、次の DNS に SAN エントリがあることを確認してください。automationsuite.mycompany.com
alm.automationsuite.mycompany.com
monitoring.automationsuite.mycompany.com
registry.automationsuite.mycompany.com
objectstore.automationsuite.mycompany.com
insights.automationsuite.mycompany.com
Automation Suite では、インストール時に次の 3 つのファイルが必要です。
- サーバー/TLS 証明書ファイル — サーバーの公開証明書ファイル。このファイルには、リーフ サーバー証明書のみが含まれる必要があります。
- サーバー/TLS キー ファイル — サーバー証明書の秘密キー ファイル。
- 証明機関バンドル — サーバー証明書の署名または発行に使用される、証明機関の公開証明書。ルート証明書と中間証明書が存在する場合、このファイルにそのすべてが含まれている必要があります。
CA およびサーバー証明書を確認するには、Linux マシンで次のコマンドを実行します。
# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.
openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate
# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.
openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate