- 概要
- 要件
- インストール前
- インストール
- インストール後
- 移行とアップグレード
- Automation Suite をアップグレードする
- スタンドアロン製品を Automation Suite に移行する
- 手順 1: スタンドアロンの製品データベースを復元する
- 手順 2: 復元した製品データベースのスキーマを更新する
- 手順 3: Identity 組織データをスタンドアロンから Automation Suite に移動する
- 手順 4: Automation Suite のプラットフォーム データベースをバックアップする
- 手順 5: 組織を Automation Suite にマージする
- 手順 6: 以降済みの製品の接続文字列を更新する
- 手順 7: スタンドアロンの Orchestrator を移行する
- 手順 8: スタンドアロンの Insights を移行する
- 手順 9: スタンドアロンの Test Manager を移行する
- 手順 10: 既定のテナントを削除する
- 単一テナントの移行を実行する
- Automation Suite クラスター間を移行する
- 監視とアラート機能
- クラスターの管理
- 製品固有の設定
- トラブルシューティング
OpenShift の Automation Suite のインストール ガイド
セキュリティとコンプライアンス
UiPath® サービスのセキュリティ コンテキスト
このセクションでは、UiPath® サービスのセキュリティ コンテキストについて詳しく説明します。
すべての UiPath® サービスは、 spec セクションで定義されたセキュリティ コンテキストを使用して構成されます。
以下のサンプルは、UiPath® サービスの一般的な構成を示しています。
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
一部の UiPath® サービスでは、一般的なセキュリティ コンテキストの構成とは異なる例外があります。
- Insights には、Chromium Linux SUID サンドボックスを使用する複数の機能があります。Insights のインストールに管理者特権によるアクセス権は必要ありませんが、特定の機能には不可欠です。詳しくは、「 Insights のカスタム セキュリティ コンテキストを設定する」をご覧ください。
- Process Mining は以下の Airflow サービスを使用します。これらのサービス セキュリティ コンテキストは UiPath® サービスの一般的な構成とは異なります。
statsdサービス (次の サンプルを参照)securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4scheduler、webserver、およびその他の Airflow ポッド (次の例を参照)。securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000- 動的ランタイム ポッド (以下のサンプルを参照)。
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
場合によっては、環境によっては、ユーザー ID とグループ ID が 1000 以上になることがあります。 ユーザー ID とグループ ID は、必ずセキュリティ原則と組織のセキュリティ ガイドラインに従って構成してください。
ネットワーク ポリシー
次の表に、ネットワーク ポリシーの一般的なガイドラインを示します。これには、 <uipath> 名前空間を構成するために必要なルートのリストが含まれています。
| ソース | ターゲット | 方向 | ポート | ポリシーの種類 | 条件 |
|---|---|---|---|---|---|
内のすべてのポッドが uipath | すべての外部 | 拒否 | すべて | ネットワーク ポリシー | 既定の deny-all ポリシー |
内のすべてのポッドが uipath | 内のすべてのポッドが uipath | 許可 | すべて | ネットワーク ポリシー | 名前空間の内部通信 |
内のすべてのポッドが uipath | KubeシステムDNS | 出口 | 53 TCP/UDPの | ネットワーク ポリシー | DNS 解決 |
内のすべてのポッドが uipath | 外部 IP | 出口 | すべて | ネットワーク ポリシー | 外信 |
内のすべてのポッドが uipath | Istiod | 出口 | すべて | ネットワーク ポリシー | サービス・メッシュ制御 |
| Prometheus | 内のすべてのポッドが uipath | Ingress | カスタム スクレイピング ポート | ネットワーク ポリシー | アクセスの監視 |
| Istio ゲートウェイ | 内のすべてのポッドが uipath | Ingress | すべて | ネットワーク ポリシー | ゲートウェイ トラフィック |
| Kubeシステム | 内のすべてのポッドが uipath | Ingress | すべて | ネットワーク ポリシー | システムアクセス |
| Redis システム | 内のすべてのポッドが uipath | Ingress | 9091/TCPの | ネットワーク ポリシー | Redis の監視 |
| リストされているサービス | Redis 名前空間 | 出口 | すべて | ネットワーク ポリシー | Redis へのアクセス |
クラスターの特権の要件
Automation Suite では、インストール プロセス全体を自動化するために、インストール時にクラスター管理者ロールが必要です。または、より低い権限で Automation Suite をインストールすることもできます。権限が低いインストールには、いくつかの追加手順が含まれます。インストールに必要なアクセス許可については、「 手順 2: 必要なロールを作成する」をご覧ください。
FIPS 140-2
Federal Information Processing Standards 140-2 (FIPS 140-2) は、暗号化モジュールの有効性を検証するセキュリティ標準です。
の Automation Suite は、FIPS 140-2 が有効化されたマシンで実行できます。
新規インストールで FIPS 140-2 を有効化する
Automation Suite の新規インストールを実行する予定のマシンで FIPS 140-2 を有効化するには、次の手順を実行します。
-
Automation Suite のインストールを開始する前に、お使いのマシンで FIPS 140-2 を有効化します。
-
このガイドのインストール手順に従って、Automation Suite のインストールを実行します。
注:- FIPS 140-2 が有効化されたマシンに AI Center をインストールし、Microsoft SQL Server も使用する場合は、追加の構成が必要です。詳しくは、「AI Center のための SQL の要件」をご覧ください。
- Insights は FIPS 140-2 ではサポートされていないため、無効化されていることを確認してください。
-
input.jsonファイルでfips_enabled_nodesフラグをtrueに設定します。 -
証明書が FIPS 140-2 に対応していることを確認します。
注:Automation Suite では、既定で FIPS 140-2 対応の自己署名証明書が生成されます。この証明書の有効期限は、選択した Automation Suite インストールの種類によって異なります。
これらの自己署名証明書を、インストール時に CA によって発行された証明書に置き換えることを強くお勧めします。FIPS 140-2 が有効化されたマシンで Automation Suite を使用するには、新たに提供される証明書が FIPS 140-2 に対応している必要があります。RHEL でサポートされる有効な暗号のリストについては、 RHEL のドキュメントをご覧ください。
独自の FIPS 140-2 準拠のトークン署名および TLS 証明書を追加する方法について詳しくは、「証明書の設定」をご覧ください。