- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベスト プラクティスとメンテナンス
- トラブルシューティング
- インストール時にサービスをトラブルシューティングする方法
- クラスターをアンインストールする方法
- オフライン成果物をクリーンアップしてディスク領域を改善する方法
- Redis データをクリアする方法
- Istio ログを有効化する方法
- ログを手動でクリーンアップする方法
- sf-logs バンドルに保存されている古いログをクリーンアップする方法
- AI Center のストリーミング ログを無効化する方法
- 失敗した Automation Suite インストールをデバッグする方法
- アップグレード後に古いインストーラーからイメージを削除する方法
- Longhorn のスナップショットを自動的にクリーンアップする方法
- TX チェックサム オフロードを無効化する方法
- ArgoCD のログ レベルを手動で Info に設定する方法
- 外部レジストリーのエンコードされたpull_secret_valueを生成する方法
- TLS 1.2 で弱い暗号に対処する方法
- RHEL 8.4 OS でオフライン インストールを実行できない
- バンドルのダウンロード中のエラー
- バイナリがないため、オフライン インストールが失敗する
- オフライン インストールでの証明書の問題
- Longhorn のセットアップ中に最初のインストールが失敗する
- SQL 接続文字列の検証エラー
- selinux iscsid モジュールの前提条件の確認が失敗する
- Azure ディスクが SSD としてマークされない
- 証明書の更新後のエラー
- ウイルス対策が原因でインストールの問題が発生する
- OS のアップグレード後に Automation Suite が動作しない
- Automation Suite で backlog_wait_time を 0 に設定する必要がある
- リソースが利用できないことの影響を受ける GPU ノード
- ワークロードの準備ができていないためボリュームをマウントできない
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- 移行後に認証が機能しない
- Kinit: Cannot find KDC for realm <AD Domain> while getting initial credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- 無効なステータス コードが原因で GSSAPI 操作が失敗した
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- アカウントが無効なため AD ユーザーのログインに失敗した
- ArgoCD へのログインに失敗した
- サンドボックス イメージを取得できない
- ポッドが ArgoCD UI に表示されない
- Redis プローブの障害
- RKE2 サーバーの起動に失敗する
- UiPath 名前空間でシークレットが見つからない
- 初回インストール後に ArgoCD が進行中ステートになる
- ArgoCD の読み取り専用アカウントにアクセスする際の問題
- MongoDB ポッドが CrashLoopBackOff になるか、削除後に PVC プロビジョニングの保留中になる
- クラスターの復元またはロールバック後にサービスが異常になる
- Init:0/X でポッドがスタックする
- Prometheus が CrashloopBackoff ステートにあり、メモリ不足 (OOM) エラーを伴う
- Ceph-rook のメトリックが監視ダッシュボードに表示されない
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドル ツールを使用する
- ログを確認する
手順 1: Azure のデプロイを計画する
デプロイでは、Azure サブスクリプションと RBAC ロール所有者を含むリソース グループへのアクセス権が必要です。ユーザー割り当てマネージド ID を作成し、共同作成者ロールをリソース グループ スコープで割り当てるには、所有者ロールが必要です。仮想マシンの管理 (スケールイン操作とスケールアウト操作の実行、インスタンス保護の適用、OS の更新) には、マネージド ID が必要です。
ロールの割り当ては、以下の手順で確認できます。
[リソース グループ] → [アクセス制御 (IAM)] → [アクセスの確認] → [マイ アクセスの表示]
デプロイでは、複数の Standard_D (汎用)、Standard_F、および/または Standard_NC (GPU あり) の仮想マシンをプロビジョニングします。Azure サブスクリプションには、VM ファミリ向けにプロビジョニングできるコアの数に対するクォータがあります。
デプロイされた仮想マシンの一部は、Premium SSD でプロビジョニングされる必要があり、構成によっては Ultra SSD でプロビジョニングされる必要があります。これらの SSD が利用可能であり、ポリシーによってブロックされていないことを確認してください。
UiPath では、SQL エラスティック プールを使用してデータベースをデプロイしています。SQL エラスティック プールがポリシーによってブロックされていないことを確認してください。
サブスクリプションのクォータを確認するには、Azure Portal で [Usage + quotas] に移動します。
インストール プロセスの一環として、スケール セット操作からのインスタンス保護が、サーバー スケール セットのすべてのノードに追加されます。これらの操作は Azure からサーバー コンテキストなしで実行されるため、クラスターの誤動作が防止されます。UiPath では、クラスター管理操作用の Runbook を提供しています。スケール セットのインスタンス保護の詳細については、Azure のドキュメントをご覧ください。
UiPath では、エージェント仮想マシン インスタンスの終了をサポートしています。つまり、エージェント仮想マシン インスタンスが終了すると、そのノードを Automation Suite クラスターから遮断、ドレイン、削除します。
UiPath では、Instance Metadata Service をプールしているエージェント仮想マシン インスタンスそれぞれでスクリプトを実行して、終了イベントを生成します。イベントを受信するたびに、それぞれのノードで遮断コマンドとドレイン コマンドをトリガーし、サーバーはその特定のノードに対してノードの削除コマンドも実行します。
logs
コンテナー内にあります。各ログ ファイルにはノードの名前が含まれていて、サフィックス -termination.log
付いています。
デプロイするリージョンで VM SKU が使用可能であることを確認します。
使用可能かどうかについては、「[リージョン別の Azure 製品](https://azure.microsoft.com/ja-jp/explore/global-infrastructure/products-by-region/?products=virtual-machines)」で確認できます。
.crt
証明書が Base64 でエンコードされていることを確認する必要があります。
.pfx
証明書 (サーバー証明書) から生成します。これらの文字列は、テンプレート パラメーターを入力する際に使用できます。この bash スクリプトは、Windows マシン上で Windows Subsystem for Linux を使用して実行できます。このスクリプトは、openssl
を使用して証明書を変換します。サーバー証明書 (.pfx
) は、いくつかの要件を満たす必要があることに注意してください。
.pfx
証明書のパスワードが必要なものがあるため、1 つずつ実行します。
pfxFile=<path of the pfx file>
# Key
openssl pkcs12 -in $pfxFile -nocerts -out serverCertKeyEncrypted.key
openssl rsa -in serverCertKeyEncrypted.key -out serverCertKeyDecrypted.key
# Server cert
openssl pkcs12 -in $pfxFile -clcerts -nokeys -out serverCert.crt
# CA Bundle:
openssl pkcs12 -in $pfxFile -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > caBundle.crt
# Converting to base64 and removing newlines
cat serverCertKeyDecrypted.key | base64 | tr -d '\n' > base64CertKey
cat serverCert.crt | base64 | tr -d '\n' > base64Cert
cat caBundle.crt | base64 | tr -d '\n' > base64CABundle
pfxFile=<path of the pfx file>
# Key
openssl pkcs12 -in $pfxFile -nocerts -out serverCertKeyEncrypted.key
openssl rsa -in serverCertKeyEncrypted.key -out serverCertKeyDecrypted.key
# Server cert
openssl pkcs12 -in $pfxFile -clcerts -nokeys -out serverCert.crt
# CA Bundle:
openssl pkcs12 -in $pfxFile -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > caBundle.crt
# Converting to base64 and removing newlines
cat serverCertKeyDecrypted.key | base64 | tr -d '\n' > base64CertKey
cat serverCert.crt | base64 | tr -d '\n' > base64Cert
cat caBundle.crt | base64 | tr -d '\n' > base64CABundle
Connect AiCenter to an external Orchestrator
を true
に設定し、「Automation Suite を Azure にデプロイする」に記載されているパラメーターに Orchestrator と Identity の証明書を指定する必要があります。証明書を取得する方法の詳細については、「チェーン証明書」をご覧ください。
証明書を Base64 形式でエンコードするには、次のコマンドを実行します。
cat orchestrator.cer | base64 | tr -d '\n' > orchestratorCert
cat identity.cer | base64 | tr -d '\n' > identityCert
cat orchestrator.cer | base64 | tr -d '\n' > orchestratorCert
cat identity.cer | base64 | tr -d '\n' > identityCert
AI Center を外部 Orchestrator に登録するには、RegisterAiCenterExternalOrchestrator Runbook を実行する必要があります。
既定では、テンプレートによって可能な限り多くの Azure 可用性ゾーンにわたって仮想マシンがデプロイされ、マルチノードの HA 対応の運用クラスターでのゾーン障害から回復できるようにしています。
すべての Azure リージョンが可用性ゾーンをサポートしているわけではありません。詳細については、「Azure Geograpies」をご覧ください。
VM SKU には、CLI cmdlet を使用して確認できる追加のアベイラビリティー ゾーンの制限があります。詳細については、「Get-AzComputeResourceSku」をご覧ください。
サーバーが 3 つの Azure 可用性ゾーンにわたっている場合、クラスターはゾーン障害に対する回復力があると見なされます。Azure リージョンが、サーバー用に選択されている仮想マシンのタイプに対して可用性ゾーンをサポートしていない場合、デプロイは、ゾーンの回復機能なしで続行されます。
テンプレートは、Azure Load Balancer を、それにアクセスするためのパブリック IP と DNS ラベルでプロビジョニングします。
<dnsName>.<regionName>.cloudapp.azure.com
のような形式を持ちます。
Azure-provided
または 168.63.129.16
に設定するようにします。
インターネット経由でクラスターにアクセスする場合は、「手順 3: デプロイ後の手順」をご覧ください。
テンプレートを使用すると、既存の仮想ネットワークにノードをデプロイできます。ただし、仮想ネットワークには、以下の条件を満たすサブネットが必要です。
- すべてのノードおよび内部ロード バランサーに対応できる十分な空きアドレス領域がある
- できれば Microsoft の推奨事項に従って NAT ゲートウェイを経由するように構成された送信接続
- ポート
443
で HTTPS トラフィックを許可する - 任意:
Microsoft.Storage
用に構成されたサービス エンドポイントがあるこれは、デプロイ時にバックアップを有効化した場合に必要です。
既存の仮想ネットワークにデプロイする場合、共同作成者ロールの割り当てをそのスコープで作成するには、仮想ネットワークに対する所有者 RBAC ロールが必要です。これは、スケール アウト時のインスタンスの更新操作に必要です。
# of server nodes
x 512 GiB) を持つ Microsoft ストレージ アカウントを作成して NFS 共有として使用し、クラスターのバックアップを構成します。既定では、バックアップ間隔は 90 分に設定され、保持期間は 72 時間です。バックアップ間隔と保持期間はデプロイ後に変更できます。詳しくは、「BackupCluster」をご覧ください。