- Visão geral
- Requisitos
- Instalação
- Pós-instalação
- Migração e atualização
- Atualização do Automation Suite no EKS/AKS
- Etapa 1: mover os dados da organização do Identity, de independente para o Automation Suite
- Etapa 2: restauração do banco de dados de produtos independente
- Etapa 3: backup do banco de dados da plataforma no Automation Suite
- Etapa 4: mesclando organizações no Automation Suite
- Etapa 5: atualização das strings de conexão do produto migradas
- Etapa 6: migração do Orchestrator independente
- Etapa 7: migração do Insights independente
- Etapa 8: exclusão do tenant padrão
- B) Migração de um único tenant
- Migração do Automation Suite no Linux para o Automation Suite no EKS/AKS
- Monitoramento e alertas
- Administração de cluster
- Configuração específica do produto
- Configuração de parâmetros do Orchestrator
- Configurações de aplicativo do Orchestrator
- Configuração do AppSettings
- Configuração do tamanho máximo da solicitação
- Substituição da configuração de armazenamento no nível do cluster
- Configuração dos repositórios de credenciais
- Configuração da chave de criptografia por tenant
- Limpeza do banco de dados do Orchestrator
- Solução de problemas
- A configuração de backup não funciona devido a uma falha na conexão com o Azure Government
- Pods no namespace uipath travaram ao habilitar taints de nó personalizado
- Não é possível iniciar o Automation Hub e o Apps com configuração de proxy
- Os pods não podem se comunicar com o FQDN em um ambiente de proxy
- A cadeia de caracteres de conexão SQL da Automação de Teste é ignorada
Segurança e conformidade
Esta seção fornece detalhes sobre o contexto de segurança dos serviços da UiPath®.
spec
O exemplo a seguir mostra a configuração para todos os serviços, com exceção de:du-cjk-ocr
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
du-cjk-ocr
o valor do parâmetro readOnlyRootFilesystem
é. false
Para obter mais informações sobre,du-cjk-ocr
consulte a documentação do Document Understanding.
Em algumas instâncias, os IDs de usuário e IDs de grupo podem ser maiores ou iguais a 1000. Esses valores são permissíveis com base no seu ambiente. É importante configurar os IDs de usuário e grupo de acordo com seus princípios de segurança e as diretrizes de segurança da sua organização.
O Automation Suite é pré-configurado com políticas Gatekeeper e OPA. Se você trouxer seu próprio componente do Gatekeeper e políticas OPA, poderá ignorar esses componentes da instalação do Automation Suite. Para obter detalhes, consulte pilha do Automation Suite. Nesse caso, revise as políticas do OPA e as exceções necessárias para instalar e executar o Automation Suite.
-uipath
, uipath-installer
, uipath-infra
, airflow
e argocd
.
Policy |
Actionsde Aplicação |
Namespaces/Imagens a serem excluídos |
---|---|---|
Controla a restrição do escalonamento para privilégios de “root”. Corresponde ao campo
allowPrivilegeEscalation em uma PodSecurityPolicy
|
|
|
Configura uma lista de permissões de perfis do AppArform para uso por contêineres. Isso corresponde a anotações específicas aplicadas a uma PodSecurityPolicy. |
|
|
Controla recursos do Linux em contêineres. Corresponde aos campos
allowedCapabilities e requiredDropCapabilities em uma PodSecurityPolicy.
|
|
|
Controla a lista de permissões dos drivers FlexVolume. Corresponde ao campo
allowedFlexVolumes em PodSecurityPolicy.
|
|
|
|
| |
Controla a alocação de um FSGroup que possui os volumes do pod. Corresponde ao campo
fsGroup em uma PodSecurityPolicy.
|
|
|
Controla o uso do sistema de arquivos do host. Corresponde ao campo
allowedHostPaths em uma PodSecurityPolicy.
|
|
|
Proibiu o compartilhamento de namespaces do host PID e IPC por contêineres de pod. Corresponde aos campos
hostPID e hostIPC em uma PodSecurityPolicy.
|
|
|
Controla o uso do namespace da rede do host pelos contêineres de pod. |
|
|
Controla a capacidade de qualquer contêiner de habilitar o modo privilegiado. Corresponde ao campo
privileged em uma PodSecurityPolicy.
|
|
|
Controla os tipos de
procMount permitidos para o contêiner. Corresponde ao campo allowedProcMountTypes em uma PodSecurityPolicy.
|
|
|
Requer o uso de um sistema de arquivos raiz somente leitura para os contêineres de pod. |
|
|
Controla o perfil secompac usado por contêineres. Corresponde à anotação
seccomp.security.alpha.kubernetes.io/allowedProfileNames em uma PodSecurityPolicy.
|
|
|
Define uma lista de permissões de configurações seLinuxOptions para contêineres de pod. |
|
|
Controla os IDs de usuários e grupos do contêiner e de alguns volumes. |
|
|
Restringe os tipos de volumes montáveis àqueles especificados pelo usuário. |
|
|
-
O namespace
dapr-system
só é necessário se você instalar o Process Mining e o Task Mining. -
O namespace
airflow
só é necessário se você instalar o Process Mining.
Policy |
Actionsde Aplicação |
Namespaces/Imagens a serem excluídos |
---|---|---|
Controla a capacidade de qualquer pod de habilitar o
automountServiceAccountToken .
|
|
|
Exige que as imagens de contêiner comecem com uma cadeia de caracteres da lista especificada. |
|
|
|
|
N/A |
Não permite todos os serviços do tipo LoadBalancer. |
|
|
Desabilita todos os Serviços do tipo NodePort. |
|
|
Os usuários não devem poder criar Ingresss com um nome de host em branco ou curinga (*), pois isso os permitiria interceptar o tráfego para outros serviços no cluster, mesmo se eles não tiverem acesso a esses serviços. |
|
|
Exige que os contêineres tenham limites de memória e CPU definidos. Limita os limites para que estejam dentro dos valores máximos especificados. |
|
|
Exige que os contêineres tenham solicitações de memória e de CPU definidas. Limita as solicitações para que fiquem dentro dos valores máximos especificados. |
|
|
Define uma relação máxima dos limites de recursos de contêiner para as solicitações. |
|
|
Requer que os contêineres tenham recursos definidos definidos. |
|
|
Proibir a associação dos recursos ClusterRole e Função ao usuário
system:anonymous e ao grupo system:unauthenticated .
|
|
N/A |
Exige que as imagens de contêiner tenham uma tag de imagem diferente daquelas na lista especificada. |
|
N/A |
Exige que os contêineres tenham um limite de armazenamento efêmero definido e limita esse limite dentro dos valores máximos especificados. |
|
|
|
|
N/A |
Requer que os recursos do Ingress sejam apenas HTTPS. Os recursos do Ingress devem incluir a anotação
kubernetes.io/ingress.allow-http , definida como false . Por padrão, uma configuração {} válida do TLS é necessária; isso pode ser opcional definindo o parâmetro tlsOptional como true .
|
|
|
Exige que as imagens de contêiner contenham um resumo. |
|
|
Blocos que atualizam a conta de serviço em recursos que abstraem sobre pods. Esta política é ignorada no modo de auditoria. |
|
N/A |
|
|
|
Exige que os pods tenham testes de prontidão e/ou atividade. |
|
|
Requer que as classes de armazenamento sejam especificadas quando usadas. |
|
N/A |
Exige que todos os hosts da regra de Ingress sejam exclusivos. |
|
N/A |
Exige que os Serviços tenham seletores exclusivos em um namespace. Os seletores são considerados iguais se tiverem chaves e valores idênticos. Os seletores podem compartilhar um par de chave/valor, desde que haja pelo menos um par de chave/valor distinto entre eles. |
|
N/A |
-
O namespace
dapr-system
só é necessário se você instalar o Process Mining e o Task Mining. -
O namespace
airflow
só é necessário se você instalar o Process Mining. -
prereq**
são namespaces temporários criados ao executar um pré-requisito ou verificação de integridade. Os namespaces se excluem automaticamente após a conclusão.
network-policies
sob a lista exclude components
em input.json
. Para saber mais sobre componentes opcionais, consulte a pilha do Automation Suite.
uipath
. Se você trouxer suas próprias políticas de rede ou se tiver uma CNI personalizada (por exemplo, Cilium Enterprise ou Calico Tigera Enterprise), certifique-se de atualizar suas políticas para espelhar o gráfico do Helm network-policies
.
network-policies
do Automation Suite executando o seguinte comando.
- Você deve substituir
<automation-suite-version>
por sua versão atual do Automation Suite no seguinte comando. - Você deve descompactar o arquivo para extrair o gráfico do Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
uipathctl
no seu nó de gerenciamento para instalar e gerenciar o Automation Suite no seu cluster dedicado. Esse nível de acesso é necessário para componentes no nível do sistema no Automation Suite, como Istio (roteamento/malha de serviço) e ArgoCD (implantação e gerenciamento do ciclo de vida do aplicativo), e para criar namespaces relacionados ao Automation Suite.
O Federal Information Processing Standards 140-2 (FIPS 140-2) é um padrão de segurança que valida a eficácia dos módulos de criptografia.
O Automation Suite no AKS pode ser executado em nós habilitados para FIPS 140-2.
Você pode habilitar o FIPS 140-2 nos nós do AKS nos quais você instala o Automation Suite nos seguintes cenários:
- Cenário 1: novas instalações - Habilite o FIPS 140-2 antes de executar uma instalação limpa do Automation Suite 2023.4 ou posterior.
- Cenário 2: instalações existentes - Habilite o FIPS 140-2 após executar uma instalação do Automation Suite em uma máquina com o FIPS-140-2 desabilitado.
Para habilitar o FIPS 140-2 nas máquinas em que planeja realizar uma nova instalação do Automation Suite, siga estas etapas:
Você pode instalar o Automation Suite em máquinas com FIPS 140-2 desabilitado e, em seguida, habilitar o padrão de segurança nas mesmas máquinas. Isso também é possível ao atualizar para uma nova versão do Automation Suite.
Para habilitar o FIPS 140-2 nas máquinas nas quais já realizou uma instalação do Automation Suite, siga os seguintes passos: