automation-suite
2024.10
true
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。
UiPath logo, featuring letters U and I in white

OpenShift の Automation Suite のインストール ガイド

最終更新日時 2025年3月17日

インストール権限の付与

重要:

インストールの権限は、Automation Suite インストーラーに管理者権限を付与できない場合にのみ関係します。 必要な管理者権限をインストーラーに付与できる場合は、このセクションの指示に従う必要はありません。

Automation Suite は、インストール時に特定の権限に依存します。 これらの権限はサービス アカウントに割り当てられ、このアカウントはさまざまな Automation Suite コンポーネントをインストールする際に極めて重要な役割を果たします。

インストールに必要なすべての権限を設定するには、次の手順を実行します。

注:

本セクションで参照するコマンドは、OpenShift Kubernetes API サーバーにアクセスできる Linux、Windows、または macOS マシンから実行する必要があります。

手順 1: サービス アカウントを作成する

サービス アカウントを作成するには、以下の手順に従います。

  1. <uipath>名前空間とプロジェクトを作成します。 
    oc get namespace <uipath> || oc new-project <uipath>oc get namespace <uipath> || oc new-project <uipath>
  2. 既定の名前空間とプロジェクトを に設定します <uipath>
    oc project <uipath>oc project <uipath>
    以降の oc コマンドはすべて、 <uipath> 名前空間内で動作します。
  3. という名前のサービス アカウントを作成しますuipathadmin 
    oc create serviceaccount uipathadminoc create serviceaccount uipathadmin
  4. 既存の admin クラスター ロールを使用して、<uipath> 名前空間の uipathadmin サービス アカウントに管理者権限を付与します。 
    oc create rolebinding uipathadmin --clusterrole=admin --serviceaccount=<uipath>:uipathadminoc create rolebinding uipathadmin --clusterrole=admin --serviceaccount=<uipath>:uipathadmin

手順 2: 必要なロールを作成する

uipathadmin サービス アカウントには、Automation Suite のインストール時に特定の権限が必要です。必要な権限を付与します ロールを作成する。 各ロールを作成するには、その構成を YAML ファイルとして保存し、次のコマンドを実行して、 <file_name.yaml> プレースホルダーを YAML ファイルの実際の名前に置き換えます。
oc apply -f <file_name.yaml>oc apply -f <file_name.yaml>

各ロールの YAML ファイルを作成するには、次の表から対応する構成をコピーします。

図 1. Automation Suite のインストール権限

権限

目的

構成

名前空間にクエリを実行する [読み取り専用]
<istio-system> 名前空間などの名前空間が使用可能かどうかを確認するために必要です。 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:  
  name: namespace-reader-clusterrole
rules:
  - apiGroups: [""]
    resources: ["namespaces"]
    verbs: ["get"]apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:  
  name: namespace-reader-clusterrole
rules:
  - apiGroups: [""]
    resources: ["namespaces"]
    verbs: ["get"]

ノードと CRD のリスト [読み取り専用]

前提条件の確認と診断の健全性チェック ツールでは、ノードで使用可能な容量など、ノードの検証を実行するためにこの権限が必要です。 

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: list-nodes-and-crd-clusterrole
rules:
  - apiGroups: [""]
    resources: ["nodes"]
    verbs: ["list", "get"]
  - apiGroups: ["apiextensions.k8s.io"]
    resources: ["customresourcedefinitions"]
    verbs: ["list"]
  - apiGroups: ["metrics.k8s.io"]
    resources: ["nodes"]
    verbs: ["list", "get"]  
  - apiGroups: ["scheduling.k8s.io"]
    resources: ["priorityclasses"]
    verbs: ["get"]apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: list-nodes-and-crd-clusterrole
rules:
  - apiGroups: [""]
    resources: ["nodes"]
    verbs: ["list", "get"]
  - apiGroups: ["apiextensions.k8s.io"]
    resources: ["customresourcedefinitions"]
    verbs: ["list"]
  - apiGroups: ["metrics.k8s.io"]
    resources: ["nodes"]
    verbs: ["list", "get"]  
  - apiGroups: ["scheduling.k8s.io"]
    resources: ["priorityclasses"]
    verbs: ["get"]
uipath ロール [書き込み]

Automation Suite のインストールの大部分は ArgoCD を介して実行されます。ただし、一部のコンポーネントのインストールは Helm チャートを使用して実行されます。

uipathctl ツールは、Helm チャートのインストールを実行するインストール ジョブを実行します。kube-api-server に接続して Helm チャートを <uipath> 名前空間にインストールするには、名前空間レベルの role-creator ロールが必要です。 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: uipath-automationsuite-role
  namespace: <uipath>
rules:
  - apiGroups: ["rbac.authorization.k8s.io"]
    resources: ["roles", "rolebindings"]
    verbs: ["*"]
  - apiGroups: ["*"]
    resources: ["secrets", "configmaps"]
    verbs: ["get", "watch", "list", "patch", "update", "create"]
  - apiGroups: ["security.istio.io", "networking.istio.io"]
    resources: ["*"]
    verbs: ["*"]apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: uipath-automationsuite-role
  namespace: <uipath>
rules:
  - apiGroups: ["rbac.authorization.k8s.io"]
    resources: ["roles", "rolebindings"]
    verbs: ["*"]
  - apiGroups: ["*"]
    resources: ["secrets", "configmaps"]
    verbs: ["get", "watch", "list", "patch", "update", "create"]
  - apiGroups: ["security.istio.io", "networking.istio.io"]
    resources: ["*"]
    verbs: ["*"]
<istio-system> ロール [書き込み]
注:

これらのアクセス許可は、インストーラーで WASM プラグインを構成する場合にのみ付与します。 それ以外の場合は、アクセス許可を付与しないでください。
<istio-system> 名前空間では次の操作が実行されます。
  1. Automation Suite の前提条件チェック ツールは、 <istio-system> 名前空間のポッドとサービスを読み取り、Istio が正しくインストールおよび構成されていることを検証します。
  2. Automation Suite は、パスベースのルーティング ルールを構成するために、 <istio-system> 名前空間に WASM プラグインをインストールします。
    インストールでは、レジストリからイメージをプルするために WASM Helm チャートで使用される imagepullsecret を作成する必要があります。
    さらに、 <istio-system> 名前空間にはロール作成者が必要です。 ここでは、 uipathctl は Helm チャートを使用してルーティング用の WASM プラグインをインストールするポッドを実行します。 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: istio-system-automationsuite-role
  namespace: <istio-system>
rules:
  - apiGroups: [""]
    resources: ["services", "pods"]
    verbs: ["list"]
  - apiGroups: ["rbac.authorization.k8s.io"]
    resources: ["roles", "rolebindings"]
    verbs: ["*"]
  - apiGroups: ["*"]
    resources: ["secrets", "configmaps"]
    verbs: ["get", "watch", "list", "patch", "update", "create"]
  - apiGroups: ["networking.istio.io", "extensions.istio.io"]
    resources: ["*"]
    verbs: ["*"]apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: istio-system-automationsuite-role
  namespace: <istio-system>
rules:
  - apiGroups: [""]
    resources: ["services", "pods"]
    verbs: ["list"]
  - apiGroups: ["rbac.authorization.k8s.io"]
    resources: ["roles", "rolebindings"]
    verbs: ["*"]
  - apiGroups: ["*"]
    resources: ["secrets", "configmaps"]
    verbs: ["get", "watch", "list", "patch", "update", "create"]
  - apiGroups: ["networking.istio.io", "extensions.istio.io"]
    resources: ["*"]
    verbs: ["*"]
<istio-system> ロール [読み取り専用]
注:

Istio を設定済みで WASM プラグインをインストール済みの場合は、これらの権限を付与します。
<istio-system> 名前空間では次の操作が実行されます。
  1. Automation Suite の前提条件チェック ツールは、 <istio-system> 名前空間のポッドとサービスを読み取り、Istio が正しくインストールおよび構成されていることを検証します。
  2. 証明書ファイルを <istio-system> 名前空間から <uipath> 名前空間にコピーするには、 get secrets 権限が必要です。 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: istio-system-automationsuite-role
  namespace: <istio-system>
rules:
  - apiGroups: [""]
    resources: ["services", "pods"]
    verbs: ["list"]
  - apiGroups: ["*"]
    resources: ["secrets"]
    resourceNames: ["istio-ingressgateway-certs"]
    verbs: ["get"]apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: istio-system-automationsuite-role
  namespace: <istio-system>
rules:
  - apiGroups: [""]
    resources: ["services", "pods"]
    verbs: ["list"]
  - apiGroups: ["*"]
    resources: ["secrets"]
    resourceNames: ["istio-ingressgateway-certs"]
    verbs: ["get"]

ステップ 3: ロールをバインドする

次のコマンドを実行して、前の手順で作成したロールを uipathadmin サービス アカウントにバインドする必要があります。
oc project <istio-system>
oc create rolebinding istio-system-automationsuite-rolebinding \
  --role=istio-system-automationsuite-role --serviceaccount=<uipath>:uipathadmin
oc create rolebinding namespace-reader-rolebinding \
  --clusterrole=namespace-reader-clusterrole --serviceaccount=<uipath>:uipathadmin
oc project <uipath>
oc create clusterrolebinding list-nodes-and-crd-rolebinding \
  --clusterrole=list-nodes-and-crd-clusterrole --serviceaccount=<uipath>:uipathadmin
oc create rolebinding uipath-automationsuite-rolebinding \
  --role=uipath-automationsuite-role --serviceaccount=<uipath>:uipathadmin

## This step is needed only if you want installer to configure the WASM Plugin. Otherwise skip it.
oc -n <istio-system> create rolebinding uipadmin-istio-system \
  --clusterrole=admin --serviceaccount=<uipath>:uipathadminoc project <istio-system>
oc create rolebinding istio-system-automationsuite-rolebinding \
  --role=istio-system-automationsuite-role --serviceaccount=<uipath>:uipathadmin
oc create rolebinding namespace-reader-rolebinding \
  --clusterrole=namespace-reader-clusterrole --serviceaccount=<uipath>:uipathadmin
oc project <uipath>
oc create clusterrolebinding list-nodes-and-crd-rolebinding \
  --clusterrole=list-nodes-and-crd-clusterrole --serviceaccount=<uipath>:uipathadmin
oc create rolebinding uipath-automationsuite-rolebinding \
  --role=uipath-automationsuite-role --serviceaccount=<uipath>:uipathadmin

## This step is needed only if you want installer to configure the WASM Plugin. Otherwise skip it.
oc -n <istio-system> create rolebinding uipadmin-istio-system \
  --clusterrole=admin --serviceaccount=<uipath>:uipathadmin

手順 4: kubeconfig ファイルを生成する

すべての権限をサービス アカウントに割り当てたら、インストールのために uipathctl ツールに渡す kubeconfig ファイルを作成する必要があります。

Linux または Mac で kubeconfig ファイルを生成する

Linux または Mac で kubeconfig ファイルを生成するには、次のコマンドを実行します。
# For generating kubeconfig
# Creates the token for uipathadmin service account
token=$(oc -n <uipath> create token uipathadmin --duration=8760h)
# Getting api-server details
server=$(oc config view -o jsonpath="{.clusters[]..server}")
# Login logs on using the provided token and server and outputs kubeconfig at the provided path.
oc login --server=$server --token=$token --kubeconfig=uipathadminkubeconfig --insecure-skip-tls-verify=true# For generating kubeconfig
# Creates the token for uipathadmin service account
token=$(oc -n <uipath> create token uipathadmin --duration=8760h)
# Getting api-server details
server=$(oc config view -o jsonpath="{.clusters[]..server}")
# Login logs on using the provided token and server and outputs kubeconfig at the provided path.
oc login --server=$server --token=$token --kubeconfig=uipathadminkubeconfig --insecure-skip-tls-verify=true
操作が成功すると、 という名前の kubeconfig ファイルが表示されます uipathadminkubeconfig

Windows で kubeconfig ファイルを生成する

手記: この手順は、Windows PowerShell を使用して実行する必要があります。
Windows で kubeconfig ファイルを生成するには、次のコマンドを実行します。
# For generating kubeconfig
# Creates the token for uipathadmin service account
$token = oc -n <uipath> create token uipathadmin --duration=8760h
# Getting api-server details
$server = oc config view -o jsonpath="{.clusters[]..server}"
# Login logs on using the provided token and server and outputs kubeconfig at the provided path.
oc login --server=$server --token=$token --kubeconfig=uipathadminkubeconfig --insecure-skip-tls-verify=true# For generating kubeconfig
# Creates the token for uipathadmin service account
$token = oc -n <uipath> create token uipathadmin --duration=8760h
# Getting api-server details
$server = oc config view -o jsonpath="{.clusters[]..server}"
# Login logs on using the provided token and server and outputs kubeconfig at the provided path.
oc login --server=$server --token=$token --kubeconfig=uipathadminkubeconfig --insecure-skip-tls-verify=true
操作が成功すると、temp フォルダーに uipathadminkubeconfig という名前の kubeconfig ファイルが表示されます。

このページは役に立ちましたか?

サポートとサービス
サポートを受ける
UiPath アカデミー
RPA について学ぶ - オートメーション コース
UiPath フォーラム
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
利用規約
プライバシー ポリシー
Cookie ポリシー
© 2005-2025 UiPath. All rights reserved.