- Visão geral
- Requisitos
- Instalação
- Verificações de pré-requisito
- Baixando os pacotes de instalação
- cluster do Uipathctl
- Manutenção de cluster uipathctl
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster migration
- uipathctl cluster migration export
- uipathctl cluster migration import
- uipathctl cluster migration run
- Atualização do cluster do uipathctl
- Configuração do uipathctl
- uipathctl config add-host-admin
- uipathctl config additional-ca-certificates
- uipathctl config additional-ca-certificates get
- uipathctl config additional-ca-certificates update
- alertas de configuração do uipathctl
- alertas de configuração do uipathctl add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config argocd
- uipathctl config argocd ca-certificates
- uipathctl config argocd ca-certificates get
- uipathctl config argocd ca-certificates update
- uipathctl config argocd generate-dex-config
- uipathctl config argocd generate-rbac
- uipathctl config argocd registry
- uipathctl config argocd registry get
- uipathctl config argocd registry update
- uipathctl config enable-basic-auth
- Orchestrator de configuração do uipathctl
- Get-config do Orchestrator de configuração do UiPathctl
- uipathctl config orchestrator update-config
- uipathctl config saml-certificates get
- uipathctl config saml-certificates rotate
- uipathctl config saml-certificates update
- uipathctl config tls-certificates
- uipathctl config tls-certificates get
- uipathctl config tls-certificates update
- uipathctl config token-signing-certificates
- uipathctl config token-signing-certificates get
- uipathctl config token-signing-certificates rotate
- uipathctl config token-signing-certificates update
- Integridade do uipathctl
- pacote de integridade do uipathctl
- verificação de integridade do uipathctl
- uipathctl health diagnose
- uipathctl health test
- Manifesto do uipathctl
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest get-revision
- Manifesto do uipathctl list-applications
- uipathctl manifest list-revisions
- uipathctl manifest render
- Prereq do uipathctl
- uipathctl prereq create
- uipathctl prereq run
- Recurso uipathctl
- Relatório de recursos do uipathctl
- instantâneo do uipathctl
- backup do instantâneo do uipathctl
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- Versão do uipathctl
- Pós-instalação
- Migração e atualização
- Atualização do Automation Suite no EKS/AKS
- Etapa 1: mover os dados da organização do Identity, de independente para o Automation Suite
- Etapa 2: restauração do banco de dados de produtos independente
- Etapa 3: backup do banco de dados da plataforma no Automation Suite
- Etapa 4: mesclando organizações no Automation Suite
- Etapa 5: atualização das strings de conexão do produto migradas
- Etapa 6: migração do Orchestrator independente
- Etapa 7: migração do Insights independente
- Etapa 8: exclusão do tenant padrão
- B) Migração de um único tenant
- Migração do Automation Suite no Linux para o Automation Suite no EKS/AKS
- Monitoramento e alertas
- Administração de cluster
- Configuração específica do produto
- Uso da ferramenta de configuração do Orchestrator
- Configuração de parâmetros do Orchestrator
- Configurações de aplicativo do Orchestrator
- Configuração do AppSettings
- Configuração do tamanho máximo da solicitação
- Substituição da configuração de armazenamento no nível do cluster
- Configuração dos repositórios de credenciais
- Configuração da chave de criptografia por tenant
- Solução de problemas
Segurança e conformidade
No que diz respeito às especificações do conjunto de contexto de segurança para serviços da UiPath®, informações importantes são fornecidas abaixo:
spec
. As configurações principais incluem:
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
Observe que, em algumas instâncias, os userIDs e os GroupIDs podem ser maiores ou iguais a 1000, e esses valores são permitidos com base em seu ambiente. É importante configurar os IDs de usuário e grupo de acordo com seus princípios de segurança e as diretrizes de segurança de sua organização.
O Automation Suite é pré-configurado com políticas Gatekeeper e OPA. Se você trouxer seu próprio componente do Gatekeeper e políticas OPA, poderá ignorar esses componentes da instalação do Automation Suite. Para obter detalhes, consulte pilha do Automation Suite. Nesse caso, revise as políticas do OPA e as exceções necessárias para instalar e executar o Automation Suite.
-uipath
, uipath-installer
, uipath-infra
, airflow
e argocd
.
Policy |
Actionsde Aplicação |
Namespaces/Imagens a serem excluídos |
---|---|---|
Controla a restrição do escalonamento para privilégios de “root”. Corresponde ao campo
allowPrivilegeEscalation em uma PodSecurityPolicy
|
|
|
Configura uma lista de permissões de perfis do AppArform para uso por contêineres. Isso corresponde a anotações específicas aplicadas a uma PodSecurityPolicy. |
|
|
Controla recursos do Linux em contêineres. Corresponde aos campos
allowedCapabilities e requiredDropCapabilities em uma PodSecurityPolicy.
|
|
|
Controla a lista de permissões dos drivers FlexVolume. Corresponde ao campo
allowedFlexVolumes em PodSecurityPolicy.
|
|
|
|
| |
Controla a alocação de um FSGroup que possui os volumes do pod. Corresponde ao campo
fsGroup em uma PodSecurityPolicy.
|
|
|
Controla o uso do sistema de arquivos do host. Corresponde ao campo
allowedHostPaths em uma PodSecurityPolicy.
|
|
|
Proibiu o compartilhamento de namespaces do host PID e IPC por contêineres de pod. Corresponde aos campos
hostPID e hostIPC em uma PodSecurityPolicy.
|
|
|
Controla o uso do namespace da rede do host pelos contêineres de pod. |
|
|
Controla a capacidade de qualquer contêiner de habilitar o modo privilegiado. Corresponde ao campo
privileged em uma PodSecurityPolicy.
|
|
|
Controla os tipos de
procMount permitidos para o contêiner. Corresponde ao campo allowedProcMountTypes em uma PodSecurityPolicy.
|
|
|
Requer o uso de um sistema de arquivos raiz somente leitura para os contêineres de pod. |
|
|
Controla o perfil secompac usado por contêineres. Corresponde à anotação
seccomp.security.alpha.kubernetes.io/allowedProfileNames em uma PodSecurityPolicy.
|
|
|
Define uma lista de permissões de configurações seLinuxOptions para contêineres de pod. |
|
|
Controla os IDs de usuários e grupos do contêiner e de alguns volumes. |
|
|
Restringe os tipos de volumes montáveis àqueles especificados pelo usuário. |
|
|
-
O namespace
dapr-system
só é necessário se você instalar o Process Mining e o Task Mining. -
O namespace
airflow
só é necessário se você instalar o Process Mining.
Policy |
Actionsde Aplicação |
Namespaces/Imagens a serem excluídos |
---|---|---|
Controla a capacidade de qualquer pod de habilitar o
automountServiceAccountToken .
|
|
|
Exige que as imagens de contêiner comecem com uma cadeia de caracteres da lista especificada. |
|
|
|
|
N/A |
Não permite todos os serviços do tipo LoadBalancer. |
|
|
Desabilita todos os Serviços do tipo NodePort. |
|
|
Os usuários não devem poder criar Ingresss com um nome de host em branco ou curinga (*), pois isso os permitiria interceptar o tráfego para outros serviços no cluster, mesmo se eles não tiverem acesso a esses serviços. |
|
|
Exige que os contêineres tenham limites de memória e CPU definidos. Limita os limites para que estejam dentro dos valores máximos especificados. |
|
|
Exige que os contêineres tenham solicitações de memória e de CPU definidas. Limita as solicitações para que fiquem dentro dos valores máximos especificados. |
|
|
Define uma relação máxima dos limites de recursos de contêiner para as solicitações. |
|
|
Requer que os contêineres tenham recursos definidos definidos. |
|
|
Proibir a associação dos recursos ClusterRole e Função ao usuário
system:anonymous e ao grupo system:unauthenticated .
|
|
N/A |
Exige que as imagens de contêiner tenham uma tag de imagem diferente daquelas na lista especificada. |
|
N/A |
Exige que os contêineres tenham um limite de armazenamento efêmero definido e limita esse limite dentro dos valores máximos especificados. |
|
|
|
|
N/A |
Requer que os recursos do Ingress sejam apenas HTTPS. Os recursos do Ingress devem incluir a anotação
kubernetes.io/ingress.allow-http , definida como false . Por padrão, uma configuração {} válida do TLS é necessária; isso pode ser opcional definindo o parâmetro tlsOptional como true .
|
|
|
Exige que as imagens de contêiner contenham um resumo. |
|
|
Blocos que atualizam a conta de serviço em recursos que abstraem sobre pods. Esta política é ignorada no modo de auditoria. |
|
N/A |
|
|
|
Exige que os pods tenham testes de prontidão e/ou atividade. |
|
|
Requer que as classes de armazenamento sejam especificadas quando usadas. |
|
N/A |
Exige que todos os hosts da regra de Ingress sejam exclusivos. |
|
N/A |
Exige que os Serviços tenham seletores exclusivos em um namespace. Os seletores são considerados iguais se tiverem chaves e valores idênticos. Os seletores podem compartilhar um par de chave/valor, desde que haja pelo menos um par de chave/valor distinto entre eles. |
|
N/A |
-
O namespace
dapr-system
só é necessário se você instalar o Process Mining e o Task Mining. -
O namespace
airflow
só é necessário se você instalar o Process Mining. -
prereq**
são namespaces temporários criados ao executar um pré-requisito ou verificação de integridade. Os namespaces se excluem automaticamente após a conclusão.
network-policies
sob a lista exclude components
em input.json
. Para saber mais sobre componentes opcionais, consulte a pilha do Automation Suite.
uipath
. Se você trouxer suas próprias políticas de rede ou se tiver uma CNI personalizada (por exemplo, Cilium Enterprise ou Calico Tigera Enterprise), certifique-se de atualizar suas políticas para espelhar o gráfico do Helm network-policies
.
network-policies
do Automation Suite executando o seguinte comando.
- Você deve substituir
<automation-suite-version>
por sua versão atual do Automation Suite no seguinte comando. - Você deve descompactar o arquivo para extrair o gráfico do Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
uipathctl
em seu nó de gerenciamento para instalar e gerenciar o Automation Suite em seu cluster EKS ou AKS dedicado. Esse nível de acesso é necessário para componentes de nível de sistema no Automation Suite , como Istio (roteamento/tiva de serviço) e ArgoCD (implantação e gerenciamento do ciclo de vida do aplicativo), e para criar namespaces relacionados ao Automation Suite .
O Federal Information Processing Standards 140-2 (FIPS 140-2) é um padrão de segurança que valida a eficácia dos módulos de criptografia.
O Automation Suite no AKS pode ser executado em nós habilitados para FIPS 140-2.
Você pode habilitar o FIPS 140-2 nos nós do AKS nos quais você instala o Automation Suite nos seguintes cenários:
- Cenário 1: novas instalações - Habilite o FIPS 140-2 antes de executar uma instalação limpa do Automation Suite 2023.4 ou posterior.
- Cenário 2: instalações existentes - Habilite o FIPS 140-2 após executar uma instalação do Automation Suite em uma máquina com o FIPS-140-2 desabilitado.
Para habilitar o FIPS 140-2 nas máquinas em que planeja realizar uma nova instalação do Automation Suite, siga estas etapas:
Você pode instalar o Automation Suite em máquinas com FIPS 140-2 desabilitado e, em seguida, habilitar o padrão de segurança nas mesmas máquinas. Isso também é possível ao atualizar para uma nova versão do Automation Suite.
Para habilitar o FIPS 140-2 nas máquinas nas quais já realizou uma instalação do Automation Suite, siga os seguintes passos: