- Visão geral
- Requisitos
- Instalação
- Verificações de pré-requisito
- Baixando os pacotes de instalação
- cluster do Uipathctl
- Manutenção de cluster uipathctl
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster migration
- uipathctl cluster migration export
- uipathctl cluster migration import
- uipathctl cluster migration run
- Atualização do cluster do uipathctl
- Configuração do uipathctl
- uipathctl config add-host-admin
- uipathctl config additional-ca-certificates
- uipathctl config additional-ca-certificates get
- uipathctl config additional-ca-certificates update
- alertas de configuração do uipathctl
- alertas de configuração do uipathctl add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config argocd
- uipathctl config argocd ca-certificates
- uipathctl config argocd ca-certificates get
- uipathctl config argocd ca-certificates update
- uipathctl config argocd generate-dex-config
- uipathctl config argocd generate-rbac
- uipathctl config argocd registry
- uipathctl config argocd registry get
- uipathctl config argocd registry update
- uipathctl config enable-basic-auth
- Orchestrator de configuração do uipathctl
- Get-config do Orchestrator de configuração do UiPathctl
- uipathctl config orchestrator update-config
- uipathctl config saml-certificates get
- uipathctl config saml-certificates rotate
- uipathctl config saml-certificates update
- uipathctl config tls-certificates
- uipathctl config tls-certificates get
- uipathctl config tls-certificates update
- uipathctl config token-signing-certificates
- uipathctl config token-signing-certificates get
- uipathctl config token-signing-certificates rotate
- uipathctl config token-signing-certificates update
- Integridade do uipathctl
- pacote de integridade do uipathctl
- verificação de integridade do uipathctl
- uipathctl health diagnose
- uipathctl health test
- Manifesto do uipathctl
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest get-revision
- Manifesto do uipathctl list-applications
- uipathctl manifest list-revisions
- uipathctl manifest render
- Prereq do uipathctl
- uipathctl prereq create
- uipathctl prereq run
- Recurso uipathctl
- Relatório de recursos do uipathctl
- instantâneo do uipathctl
- backup do instantâneo do uipathctl
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- Versão do uipathctl
- Pós-instalação
- Migração e atualização
- Atualização do Automation Suite no EKS/AKS
- Etapa 1: mover os dados da organização do Identity, de independente para o Automation Suite
- Etapa 2: restauração do banco de dados de produtos independente
- Etapa 3: backup do banco de dados da plataforma no Automation Suite
- Etapa 4: mesclando organizações no Automation Suite
- Etapa 5: atualização das strings de conexão do produto migradas
- Etapa 6: migração do Orchestrator independente
- Etapa 7: migração do Insights independente
- Etapa 8: exclusão do tenant padrão
- B) Migração de um único tenant
- Migração do Automation Suite no Linux para o Automation Suite no EKS/AKS
- Monitoramento e alertas
- Administração de cluster
- Configuração específica do produto
- Uso da ferramenta de configuração do Orchestrator
- Configuração de parâmetros do Orchestrator
- Configurações de aplicativo do Orchestrator
- Configuração do AppSettings
- Configuração do tamanho máximo da solicitação
- Substituição da configuração de armazenamento no nível do cluster
- Configuração dos repositórios de credenciais
- Configuração da chave de criptografia por tenant
- Solução de problemas
Visão geral dos certificados
Esta página descreve todos os certificados exigidos por uma instalação do Automation Suite, bem como o princípio do processo de rotação de certificados.
https://automationsuite.mycompany.com/identity.
Embora dois produtos diferentes do Automation Suite devam usar o FQDN do cluster, eles também podem conter vários microsserviços. Esses microsserviços podem usar URLs internos para se comunicarem.
O diagrama e o fluxo a seguir explicam como o cliente se conecta a um serviço e como a autenticação é feita por meio do Serviço de Identidade.
- O cliente faz uma conexão com o serviço usando o URL, ou seja, Orchestrator, Apps, Insights, etc. usando o seguinte URL:
https://automationsuite.mycompany.com/myorg/mytenant/service_. - O Istio intercepta a solicitação e, com base no caminho do
service_, encaminha a solicitação para o serviço específico. - O serviço aciona o Serviço de Identidade para autenticar a solicitação recebida do robô via
https://automationsuite.mycompany.com/myorg/mytenant/identity_. - O Istio intercepta a solicitação e, com base no caminho
identity_, encaminha a solicitação para o Serviço de Identidade. - O Serviço de Identidade retorna a resposta com o resultado para o Istio.
- O Istio retorna a resposta ao serviço. Como a solicitação é feita usando o protocolo HTTPS, o Istio retorna a resposta com o certificado TLS para que a conexão seja segura. Se o serviço confiar no certificado do servidor retornado pelo Istio, ele aprova a resposta. Caso contrário, o serviço rejeita a resposta.
- O serviço prepara a resposta e a envia de volta ao Istio.
-
O Istio encaminha a solicitação de volta ao cliente. Se a máquina cliente confiar no certificado, toda a solicitação será bem-sucedida. Caso contrário, a solicitação falha.
Esta seção descreve um cenário em que um robô tenta se conectar ao Orchestrator no Automation Suite. O diagrama e o fluxo a seguir explicam como o robô se conecta ao Orchestrator e como a autenticação é feita por meio do Identity Server.
- O robô faz uma conexão com o Orchestrator usando o seguinte URL:
https://automationsuite.mycompany.com/myorg/mytenant/orchestrator_ - O Istio intercepta a solicitação e, com base no caminho
orchestrator_, encaminha para o serviço do Orchestrator. - O serviço do Orchestrator aciona o Identity Server para autenticar a solicitação recebida do robô via
https://automationsuite.mycompany.com/myorg/mytenant/identity_. - O Istio intercepta a solicitação e, com base no caminho
identity_, encaminha a solicitação para o Identity Server. - O Identity Server retorna a resposta com os resultados para o Istio.
- O Istio retorna a resposta ao Orchestrator. Como a solicitação é feita usando o protocolo HTTPS, o Istio retorna a resposta com o certificado TLS, para que a conexão seja segura. Se o Orchestrator confiar no certificado do servidor retornado pelo Istio, ele também aprova a resposta. Caso contrário, o Orchestrator rejeita a resposta.
- O Orchestrator prepara a resposta e a envia de volta ao Istio.
-
O Istio encaminha a solicitação de volta para o robot. Se a máquina do robô confiar no certificado, toda a solicitação será bem-sucedida. Caso contrário, a solicitação falha.
Neste exemplo, o contêiner tem seu próprio sistema operacional (RHEL OS) e o Serviço pode representar um Orchestrator em execução no RHEL OS.
/etc/pki/ca-trust/ca/.
Este caminho é onde o RHEL OS armazena todos os certificados. Cada contêiner terá seu próprio Armazenamento de certificados confiáveis. Como parte da configuração do Automation Suite, injetamos todo o certificado da cadeia que contém o certificado raiz, todos os certificados intermediários, bem como o certificado leaf, e os armazenamos nesse caminho. Como os serviços confiam nos certificados raiz e intermediários, eles confiam automaticamente em quaisquer outros certificados criados pelos certificados raiz e intermediários.
Existem centenas de contêineres em execução no Automation Suite. A adição manual de certificados para cada um desses contêineres para todos os serviços seria uma tarefa exigente. No entanto, o Automation Suite inclui um volume compartilhado e um contêiner Init cert-trustor para ajudar nessa tarefa. O Init é um contêiner especializado que é executado antes dos contêineres de aplicativo em um pod e seu ciclo de vida termina assim que ele conclui seu trabalho.
No exemplo a seguir, o serviço Orchestrator está sendo executado em um pod. Como lembrete, um pod pode conter mais de um contêiner. Neste pod, injetamos mais um contêiner Init chamado Cert-trustor. Esse contêiner conterá o certificado raiz, os certificados intermediários e o certificado leaf.
/etc/pki/ca-trust/ca/source/anchors.
/etc/pki/ca-trust/ca/source/anchors e encerrará.
Os certificados estarão disponíveis para o serviço do Orchestrator por meio do volume compartilhado.
Como parte da instalação do Automation Suite, os seguintes certificados são gerados:
-
Certificado autoassinado gerado no momento da instalação. É recomendável substituir o certificado autoassinado por um certificado de domínio pós-instalação. Consulte Gerenciamento de certificados.
- Certificado do Identity Server para assinar tokens JWT usados na autenticação. Se o certificado para assinar o token JWT não for fornecido, o Automation Suite usará o certificado TLS atualmente configurado (autoassinado ou fornecido pelo cliente). Se você deseja ter seu próprio certificado para assinar tokens de identidade, consulte Gerenciamento de certificados.
- Se ativado, o protocolo de autenticação SAML2 pode usar um certificado de serviço.
- Se você configurar o Active Directory usando um nome de usuário e senha, o LDAPS (LDAP sobre SSL) é opcional. Se você optar pelo LDAPS, deverá fornecer um certificado. Este certificado será adicionado às Autoridades de Certificação Raiz Confiáveis do Automation Suite. Para obter mais detalhes, consulte a documentação da Microsoft.
Este certificado será adicionado às Autoridades de Certificação Raiz Confiáveis do Automation Suite.
Os certificados são armazenados em dois lugares:
istio-ingressgateway-certsemistio-system- Namespace
uipath
istio-system e namespaces uipath, você deve executar o comando uipathctl config update-tls-certificates.
uipath não podem acessar as senhas armazenadas no namespace istio-system. Portanto, os certificados são copiados em ambos os namespaces.
uipath, montamos os certificados nos pods que precisam de certificados e reiniciamos os pods para que eles possam usar os novos certificados.
A atualização ocorre usando o método de implantação contínua. Se os microsserviços tiverem dois pods para fins de alta disponibilidade, a atualização excluirá um dos pods e uma nova versão do pod aparecerá. Assim que o novo for iniciado com sucesso, o antigo será removido. Haverá um breve período de inatividade enquanto o pod antigo ainda não for encerrado.
- Entendendo como os certificados de confiança funcionam
- Entenda como a comunicação funciona
- Entendendo como os robôs e o Orchestrator se comunicam
- Entendendo a arquitetura de contêiner relacionada a certificados
- Nível do contêiner
- Nível de Pod
- Inventário de todos os certificados no Automation Suite
- Certificados gerados durante a instalação
- Certificados adicionais
- Entendendo como funciona a atualização/rotação do certificado
