- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベスト プラクティスとメンテナンス
- トラブルシューティング
- インストール時にサービスをトラブルシューティングする方法
- クラスターをアンインストールする方法
- オフライン成果物をクリーンアップしてディスク領域を改善する方法
- Redis データをクリアする方法
- Istio ログを有効化する方法
- ログを手動でクリーンアップする方法
- sf-logs バケットに保存されている古いログをクリーンアップする方法
- AI Center のストリーミング ログを無効化する方法
- 失敗した Automation Suite インストールをデバッグする方法
- アップグレード後に古いインストーラーからイメージを削除する方法
- Longhorn のスナップショットを自動的にクリーンアップする方法
- TX チェックサム オフロードを無効化する方法
- TLS 1.2 で弱い暗号に対処する方法
- RHEL 8.4 OS でオフライン インストールを実行できない
- バンドルのダウンロード中のエラー
- バイナリがないため、オフライン インストールが失敗する
- オフライン インストールでの証明書の問題
- Longhorn のセットアップ中に最初のインストールが失敗する
- SQL 接続文字列の検証エラー
- selinux iscsid モジュールの前提条件の確認が失敗する
- Azure ディスクが SSD としてマークされない
- 証明書の更新後のエラー
- OS のアップグレード後に Automation Suite が動作しない
- Automation Suite で Backlog_wait_time を 1 に設定する必要がある
- ワークロードの準備ができていないためボリュームをマウントできない
- インストールおよびアップグレード中に RKE2 が失敗する
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- 移行後にログインできない
- Kinit: Cannot Find KDC for Realm <AD Domain> While Getting Initial Credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- GSSAPI operation failed with error: An invalid status code was supplied (Client's credentials have been revoked).
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- Login Failed for User <ADDOMAIN><aduser>. Reason: The Account Is Disabled.
- ArgoCD へのログインに失敗した
- サンドボックス イメージを取得できない
- ポッドが ArgoCD UI に表示されない
- Redis プローブの障害
- RKE2 サーバーの起動に失敗する
- UiPath 名前空間でシークレットが見つからない
- 初期インストール後、ArgoCD アプリが Progressing ステートになる
- MongoDB ポッドが CrashLoopBackOff になるか、削除後に PVC プロビジョニングの保留中になる
- Unexpected inconsistency; run fsck manually
- クラスターの復元後に MongoDB またはビジネス アプリケーションの機能が低下する
- self-heal-operator および sf-k8-utils リポジトリが見つからない
- クラスターの復元またはロールバック後にサービスが異常になる
- RabbitMQ ポッドが CrashLoopBackOff でスタックする
- Prometheus が CrashloopBackoff ステートにあり、メモリ不足 (OOM) エラーを伴う
- Ceph-rook のメトリックが監視ダッシュボードに表示されない
- プロキシ環境でポッドが FQDN と通信できない
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドル ツールを使用する
- ログを確認する
クラスターを構成する
configureUiPathAS.sh
スクリプトは、Automation Suite の制御と管理に役立ちます。このスクリプトはインストール バンドルに付属し、インストーラーのメイン フォルダーにあります。現在のところ、configureUiPathAS.sh
で実行できる操作は数種類のみです。
configureUiPathAS.sh
の詳細を表示するには、以下を実行します。
sudo ./configureUiPathAS.sh --help
sudo ./configureUiPathAS.sh --help
以下の出力が表示されます。
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
Flags:
-h|--help Display help
***************************************************************************************```
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
Flags:
-h|--help Display help
***************************************************************************************```
configureUiPathAS.sh
スクリプトを使用して、Automation Suite クラスター内の以下のコンポーネントを管理できます。
- サーバー証明書 - TLS とサーバーの証明書を管理 (証明書の更新と取得) します。
- 追加の CA 証明書 - SQL Server 証明書、プロキシ サーバー証明書など、追加の CA 証明書を管理します。
- ID サービス - トークン署名証明書、SAML 証明書、Kerberos や Windows の認証など、ID サービスの構成を管理します。
- ObjectStore - ceph ObjectStore を管理します (現時点では ceph pvc/ストレージのサイズ変更のみサポートしています)。
- レジストリ - Docker レジストリを管理します (現時点ではレジストリ pvc/ストレージのサイズ変更のみサポートしています)。
- 監視 - Rancher サーバーを管理します (現時点では Rancher サーバー pvc/ストレージのサイズ変更のみサポートしています)。
- RabbitMQ - RabbitMQ メッセージ キューを管理します (現時点では RabbitMQ pvc/ストレージのサイズ変更のみサポートしています)。
- MongoDB - MongoDB データストアを管理します (現時点では MongoDB pvc/ストレージのサイズ変更と証明書管理のみサポートしています)。
cluster_config.json
ファイルを直接編集します。このファイルの SQL フィールド (sql.username
、sql.password
、sql.server_url
) を必要な更新内容に応じて直接編集できます。
ファイルを更新したら、同じマシン上で、更新した構成ファイルをパラメーターとして使用して、対話型のインストール ウィザードを再実行します。インストールの再実行が必要なのはプライマリ サーバーのみです。
共通の Kerberos 認証構成を更新するには、次の手順を実行します。
成功時のコンソール出力
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>
失敗時のコンソール出力
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.
AD のユーザー名や、特定のサービスに対する AD ユーザーの keytab を更新するには、次の手順を実行します。
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]
次のサービス グループを使用できます (大文字と小文字が区別されます)。
Orchestrator
Platform
discoverygroup
Test Manager
Automation Ops
AI Center
DocumentUnderstanding (ドキュメントの理解)
Insights
-
dataservice
注: keytab ファイルを手動で生成する方法については、「Kerberos 認証を設定する」をご覧ください。
成功時のコンソール出力
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>
失敗時のコンソール出力
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>
Automation Suite では、既定で admin というユーザー名のシステム管理者が 1 名、ホスト組織に作成されます。
ホスト組織へのアクセス権が失われた場合、たとえばシステム管理者のパスワードが紛失したり、システム管理者アカウントを持つ唯一のユーザーが退職したりしたときなどに備えて、システム管理者を追加または復元するツールがあります。
このスクリプトは、プラットフォーム サービスに対して SQL 接続文字列のパラメーター "Integrated Security=true" が存在すると機能しません。
./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
--username
は必須フィールドです。--password
は、新しい管理者がログインに基本認証を使用する場合にのみ必要です。--email
は、外部 ID プロバイダーが要求している場合 (たとえば Google はユーザー名でなくメール アドレスで照合します) を除き任意です。
管理者を作成または復元する方法に関しては、いくつか重要な注意事項があります。
- 新しい管理者は、既存の管理者と同じユーザー名またはメール アドレスを持つことはできません。既存の管理者と同じユーザー名またはメール アドレスを使用すると、既存の管理者が更新されます。これはパスワードを変更するときには便利です。
- 新規ユーザーに、削除した管理者と同じユーザー名またはメール アドレスを使用すると、新規ユーザーが作成される代わりに削除された管理者が復元されます。この場合、パスワード フィールドは上書きされません。例外は、同じユーザー名またはメール アドレスを持つ複数の管理者を削除した場合です。この場合、新しい管理者が作成されます。
- ホスト上に構成された、いずれかの外部 ID プロバイダーの使用が強制される場合、パラメーターに制約が課されます。たとえば、Windows AD の使用が強制される場合、ユーザー名は
user@domain
の形を取る必要があります。Google の場合はメール アドレスが要求されます。 - 新しい管理者アカウントに初めてログインする際は、パスワードを変更する必要があります。
Disable basic authentication
フラグがチェックされているためにロックアウトされる可能性があります。組織管理者とシステム管理者は、外部 ID プロバイダーが force/exclusive
として構成されているためにロックアウトされる可能性があります。このツールは、組織の基本認証の再有効化を試みます。
Integrated Security=true
が存在すると機能しません。
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
--orgname
は必須フィールドです。ホスト レベルで基本認証を制限している場合、orgname は host
に設定します。
ルーティングやサービス間の通信などのために Automation Suite 内に構成される Istio Ingress Gateway は、TLS を使用して交換をセキュリティで保護します。セキュリティ上の脅威を防止するため、非推奨の TLS プロトコル バージョンは既定で無効化されています。
現在サポートされているのは TLS バージョン 1.2 以降のみです。以前のバージョンを使用している場合はアップグレードすることをお勧めします。ただし、引き続き以前の TLS バージョンを使用して接続することはできますが、最初に Automation Suite サーバーで有効化する必要があります。
サポートされていない TLS バージョンを有効化するには、次のいずれかの手順を実行します。
-
TLS 1.0 以降のサポートを有効化するには、次のコマンドを実行します。
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]' -
TLS 1.1 以降のサポートを有効化するには、次のコマンドを実行します。
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'