- Visão geral
- Requisitos
- Pré-instalação
- Preparação da instalação
- Instalação e configuração do service mesh
- Baixando os pacotes de instalação
- Configuração do registro compatível com OCI
- Concessão de permissões de instalação
- Instalando e configurando a ferramenta GitOps
- Implantação do Redis pelo OperatorHub
- Aplicação de configurações diversas
- Executando o uipathctl
- Instalação
- Pós-instalação
- Migração e atualização
- Atualizando o Automação Suite
- Migração de produtos independentes para o Automation Suite
- Etapa 1: restauração do banco de dados de produtos independente
- Etapa 2: atualizar o esquema do banco de dados de produtos restaurado
- Etapa 3: migração dos dados da organização do Identity de independente para o Automation Suite
- Etapa 4: backup do banco de dados da plataforma no Automation Suite
- Etapa 5: mesclando organizações no Automation Suite
- Etapa 6: atualização das strings de conexão do produto migradas
- Etapa 7: migração do Orchestrator independente
- Etapa 8: migração do Insights independente
- Etapa 9: migração do Test Manager independente
- Etapa 10: exclusão do tenant padrão
- Executando uma migração de único tenant
- Migração entre clusters do Automation Suite
- Monitoramento e alertas
- Administração de cluster
- Configuração específica do produto
- Configuração avançada do Orchestrator
- Configuração de parâmetros do Orchestrator
- Configuração do AppSettings
- Configuração do tamanho máximo da solicitação
- Substituição da configuração de armazenamento no nível do cluster
- Configuração do NLog
- Salvando logs do robô no Elasticsearch
- Configuração dos repositórios de credenciais
- Configuração da chave de criptografia por tenant
- Limpeza do banco de dados do Orchestrator
- Ignorando criação da biblioteca de host
- Solução de problemas
- Como coletar dados de uso de DU com objectstore (Ceph) no cluster
- Como resolver a falha de verificação de conectividade pré-requisito no OpenShift 4.16-4.18
- Como desinstalar o Automation Suite
- Como implantar o Insights em um cluster habilitado para FIPS
- Como desabilitar a habilitação automática do CDI no operador de GPU Nvidia
Guia de instalação do Automation Suite no OpenShift
Segurança e conformidade
Security Context Constraints (SCC) for UiPath services
UiPath® Automation Suite requires the default restricted-v2 Security Context Constraint (SCC) for all workload pods. This SCC is built into OpenShift and is automatically available to all authenticated users via the default ClusterRoleBinding system:openshift:scc:restricted-v2.
The SCC assignment for service accounts in the Automation Suite namespaces must not be modified. For example, do not grant anyuid or other permissive SCCs to the default service account.
Contexto de segurança para serviços da UiPath®
Esta seção fornece detalhes sobre o contexto de segurança dos serviços da UiPath®.
Todos os serviços UiPath® são configurados com um contexto de segurança definido em sua seção. spec
O exemplo a seguir mostra uma configuração típica para os serviços da UiPath®:
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
Para alguns serviços da UiPath®, há exceções da configuração típica do contexto de segurança:
- O Insights tem várias funcionalidades que usam o Chromium Linux SUID Sandbox. Embora o acesso elevado não seja necessário para a instalação do Insights, ele é essencial para uma funcionalidade específica. Para obter mais informações, consulte Configuração do contexto de segurança personalizado do Insights.
- O Process Mining usa os seguintes serviços do Airflow cujo contexto de segurança é diferente da configuração típica para serviços da UiPath®:
- O serviço
statsd, conforme mostrado no exemplo a seguir:securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4 - O
scheduler,webservere outros pods do Airflow, conforme mostrado na amostra a seguir:securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000 - O pod de runtime dinâmico, conforme mostrado na seguinte amostra:
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
- O serviço
Em algumas instâncias, os IDs de usuário e IDs de grupo podem ser maiores ou iguais a 1000, dependendo do seu ambiente. Certifique-se de configurar os IDs de usuário e grupo de acordo com seus princípios de segurança e as diretrizes de segurança da sua organização.
Políticas de rede
A tabela a seguir fornece uma diretriz geral para as políticas de rede. Inclui uma lista de rotas necessárias para configurar o namespace <uipath> .
| Origem | Destino | Direction | Portas | Tipo de Política | Condições |
|---|---|---|---|---|---|
Todos os pods em uipath | Tudo externo | Negar | Todos | PolíticaDeRede | Política negar tudo padrão |
Todos os pods em uipath | Todos os pods em uipath | Permitir | Todos | PolíticaDeRede | Comunicação de namespace interno |
Todos os pods em uipath | DNS do sistema do Kube | Saída | 53 TCP/UDP | PolíticaDeRede | Resolução de DNS |
Todos os pods em uipath | IPs Externos | Saída | Todos | PolíticaDeRede | Comunicação Externa |
Todos os pods em uipath | Índice | Saída | Todos | PolíticaDeRede | Controle de service mesh |
| Prometheus | Todos os pods em uipath | Ingress | Portas de extração personalizadas | PolíticaDeRede | Monitoramento do acesso |
| Gateway do Istio | Todos os pods em uipath | Ingress | Todos | PolíticaDeRede | Tráfego do gateway |
| Sistema Kube | Todos os pods em uipath | Ingress | Todos | PolíticaDeRede | Acesso ao sistema |
| Sistema Redis | Todos os pods em uipath | Ingress | 9091/TCP | PolíticaDeRede | Monitoramento do Redis |
| Serviços listados | Namespace do Redis | Saída | Todos | PolíticaDeRede | Acesso ao Redis |
Requisitos de privilégio de cluster
O Automation Suite requer a função de administrador de cluster durante a instalação para automatizar todo o processo de instalação. Ou então, você pode instalar o Automation Suite com permissões menores. Uma instalação com permissões mais baixa envolve algumas etapas adicionais. Para as permissões que a instalação requer, consulte Etapa 2: criação das funções necessárias.
FIPS 140-2
O Federal Information Processing Standards 140-2 (FIPS 140-2) é um padrão de segurança que valida a eficácia dos módulos de criptografia.
O Automation Suite pode ser executado em máquinas habilitadas para FIPS 140-2.
Habilitando o FIPS 140-2 para novas instalações
Para habilitar o FIPS 140-2 nas máquinas em que planeja realizar uma nova instalação do Automation Suite, siga estas etapas:
-
Antes de iniciar a instalação do Automation Suite, habilite o FIPS 140-2 em suas máquinas.
-
Execute a instalação do Automation Suite seguindo as instruções de instalação neste guia.
Observação:- Ao instalar o AI Center em uma máquina habilitada para FIPS 140-2 e utilizar o Microsoft SQL Server em conjunto, algumas configurações adicionais serão necessárias. Para obter detalhes, consulte Requisitos do SQL para o AI Center.
- Make sure Insights is disabled, as it is not supported on FIPS 140-2. If you need to use Insights, you can deploy it on a dedicated non-FIPS node. For details, refer to How to deploy Insights in a FIPS-enabled cluster.
-
Defina o sinalizador
fips_enabled_nodescomotrueno arquivoinput.json. -
Certifique-se de que seus certificados sejam compatíveis com FIPS 140-2.
Observação:Por padrão, o Automation Suite gera certificados autoassinados compatíveis com FIPS 140-2, cuja data de expiração depende do tipo de instalação do Automation Suite que você escolher.
Recomendamos fortemente que você substitua esses certificados autoassinados por certificados emitidos por CA no momento da instalação. Para usar o Automation Suite em máquinas habilitadas para FIPS 140-2, os novos certificados fornecidos devem ser compatíveis com FIPS 140-2. Para obter uma lista de cifras elegíveis com suporte do RHEL, consulte a documentação do RHEL.
Para obter detalhes sobre como adicionar sua própria assinatura de token compatível com FIPS 140-2 e certificados TLS, consulte Configuração de certificados.