- Visão geral
- Requisitos
- Pré-instalação
- Preparação da instalação
- Instalação e configuração do service mesh
- Baixando os pacotes de instalação
- Configuração do registro compatível com OCI
- Concessão de permissões de instalação
- Instalando e configurando a ferramenta GitOps
- Implantação do Redis pelo OperatorHub
- Aplicação de configurações diversas
- Executando o uipathctl
- Instalação
- Pós-instalação
- Migração e atualização
- Atualizando o Automação Suite
- Migração de produtos independentes para o Automation Suite
- Etapa 1: restauração do banco de dados de produtos independente
- Etapa 2: atualizar o esquema do banco de dados de produtos restaurado
- Etapa 3: migração dos dados da organização do Identity de independente para o Automation Suite
- Etapa 4: backup do banco de dados da plataforma no Automation Suite
- Etapa 5: mesclando organizações no Automation Suite
- Etapa 6: atualização das strings de conexão do produto migradas
- Etapa 7: migração do Orchestrator independente
- Etapa 8: migração do Insights independente
- Etapa 9: migração do Test Manager independente
- Etapa 10: exclusão do tenant padrão
- Executando uma migração de único tenant
- Migração entre clusters do Automation Suite
- Monitoramento e alertas
- Administração de cluster
- Fazendo a manutenção do banco de dados
- Como configurar a autenticação do Kerberos
- Configuração da pós-instalação do FQDN
- Configuração específica do produto
- Configuração avançada do Orchestrator
- Configuração de parâmetros do Orchestrator
- Configuração do AppSettings
- Configuração do tamanho máximo da solicitação
- Substituição da configuração de armazenamento no nível do cluster
- Configuração do NLog
- Salvando logs do robô no Elasticsearch
- Configuração dos repositórios de credenciais
- Configuração da chave de criptografia por tenant
- Limpeza do banco de dados do Orchestrator
- Ignorar a instalação da biblioteca do host
- Solução de problemas
- Como coletar dados de uso de DU com objectstore (Ceph) no cluster
- Como resolver a falha de verificação de conectividade pré-requisito no OpenShift 4.16-4.18
- Como desinstalar o Automation Suite
- Como implantar o Insights em um cluster habilitado para FIPS
- Como desabilitar a habilitação automática do CDI no operador de GPU Nvidia
Guia de instalação do Automation Suite no OpenShift
Pré-requisitos
Para configurar com êxito a autenticação Kerberos, você deve atender aos seguintes pré-requisitos:
- Garantindo que o cluster do Automation Suite possa acessar seu AD
- Configurando a conta de serviço do AD para autenticação Kerberos
- Opcional: pré-requisitos de autenticação SQL
Garantindo que o cluster do Automation Suite possa acessar seu AD
Antes de configurar a autenticação Kerberos, trabalhe com seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu AD.
Os seguintes requisitos devem ser atendidos:
-
O cluster do Automation Suite deve estar na mesma rede que o domínio do AD;
-
O DNS deve ser configurado corretamente na rede para que o cluster do Automation Suite possa resolver os nomes de domínio do AD.
Observação:É fundamental que o cluster do Automation Suite possa resolver o AD
domain names. Você pode verificar se isso ocorre executandonslookup <AD domain name>na máquina do host.
Configurando a conta de serviço do AD para autenticação Kerberos
Gerando keytab padrão Kerberos e parâmetros de nome de usuário
Opção 1: por execução do script (recomendado)
- Faça login com sua conta de administrador do AD em uma máquina ingressada no domínio do Windows.
- Execute o script keytab-creator.ps1 como administrador.
- Insira os seguintes valores no script:
Service Fabric FQDN. Por exemplo,uipath-34i5ui35f.westeurope.cloudapp.azure.com.AD domain FQDN. Por exemplo,TESTDOMAIN.LOCAL.- Uma conta de usuário do AD. Você pode usar uma conta existente, como
sAMAccountName, ou pode permitir que o script crie uma nova.
O arquivo de saída contém os parâmetros <KERB_DEFAULT_USERNAME> e <KERB_DEFAULT_KEYTAB> exigidos pela configuração do Kerberos.
Opção 2: manualmente
Entre em contato com o administrador do AD para obter uma conta de usuário do AD e recupere <KERB_DEFAULT_USERNAME>e <KERB_DEFAULT_KEYTAB>para essa conta da seguinte forma:
-
Em seu AD Server, crie uma nova conta de usuário.Se você já tiver um, pule para a etapa 2.
- No console Usuários e computadores do Active Directory, clique com o botão direito do mouse na pasta Usuários , selecione Novo e, então, selecione Usuário.
- Termine de criar a conta de usuário.
-
Clique com o botão direito do mouse na conta de usuário e selecione Propriedades.
-
Vá para a guia Conta e, em seguida, em Opções de conta , selecione Esta conta suporta criptografia Kerberos AES de 256 bits .
-
Importante: O keytab gerado nas próximas etapas se tornará inválido se a senha do usuário do AD expirar ou for atualizada. Considere selecionar A senha nunca expira em Opções de conta para esta conta de usuário do AD.Como alternativa, você pode atualizar a senha quando estiver prestes a expirar e gerar um novo keytab.
-
Para gerar um arquivo keytab para o SPN, abra o PowerShell com acesso de administrador e execute o seguinte comando:
ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1Alguns campos devem ser especificados em maiúsculas. Por exemplo:
ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1Após a geração do keytab, o nome de login do usuário muda para
HTTP/<Service Fabric FQDN>. Use esse valor para o campo<KERB_DEFAULT_USERNAME>nodefault_ad_usernameeminput.jsonda seguinte forma:"kerberos_auth_config": { "enabled": true, "ticket_lifetime_in_hour": 8, "ad_domain": "AUTOSUITEAD.LOCAL", "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com", "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ=" },"kerberos_auth_config": { "enabled": true, "ticket_lifetime_in_hour": 8, "ad_domain": "AUTOSUITEAD.LOCAL", "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com", "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ=" }, -
Codifique o arquivo keytab gerado em Base64, abra o PowerShell e execute o seguinte comando:
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>")) -
Salve o arquivo keytab codificado. Você o usará ao configurar o cluster UiPath® para Kerberos. Vamos chamar o valor a partir da etapa 6
<KERB_DEFAULT_KEYTAB>.
Opcional: pré-requisitos de autenticação SQL
Para configurar o cluster UiPath® para conectar-se ao SQL usando a autenticação integrada do Windows/Kerberos, você precisa realizar algumas etapas adicionais:
- o servidor SQL deve ingressar no domínio AD;
- o cluster do Automation Suite deve estar na mesma rede que o SQL Server;
- o cluster do Automation Suite pode resolver os nomes de domínio dos servidores AD e SQL;
- o usuário do AD deve ter acesso ao servidor SQL e permissões de banco de dados.
Para criar um novo login no SQL Server Management Studio, execute as seguintes etapas:
-
No painel Explorador de Objetos, navegue até Segurança > Login.
-
Clique com o botão direito do mouse na pasta Logins e selecione Novo Login. A janela Login — Novo será exibida.
-
Selecione a opção Autenticação do Windows. A janela é atualizada de acordo.
-
No campo Nome de login, digite o domínio de usuário que você deseja usar como uma conta de serviço.
-
Na lista Idioma padrão, selecione inglês.
Importante:Certifique-se de que o Idioma Padrão esteja definido como inglês. Se não estiver, o site não pode iniciar e o Visualizador de Eventos no computador no qual o Orchestrator está instalado exibe a seguinte mensagem de erro: "a conversão de um tipo de dados varchar em um tipo de dados datetime resultou em um valor fora do intervalo" .
-
Selecione OK. Suas configurações são salvas.
Se a conta de serviço já tiver sido criada e adicionada à seção Segurança > Logins do SQL Server, verifique se o Idioma Padrão dessa conta SQL está definido como inglês. Se não estiver, faça os ajustes necessários.
Você precisa fornecer ao usuário que se conecta ao banco de dados SQL a db_ownerfunção de mapeamento de usuário, como na captura de tela a seguir.
Se as restrições de segurança não permitirem que você use a função db_owner de mapeamento de usuários com o login da UiPath®, conceda as seguintes permissões:
-
db_datareader -
db_datawriter -
db_ddladmin -
EXECUTEpermissão emdboesquemaA imagem a seguir mostra as permissões de banco de dados a conceder quando db_owner não pode ser usado.
A permissão EXECUTE deve ser concedida usando o comando SQL GRANT EXECUTE, da seguinte maneira:
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Se quiser que os aplicativos da UiPath® usem as contas de usuário exclusivas do AD para conectar-se ao SQL usando Integrated Security=True, você precisa criar um keytab exclusivo para cada aplicativo da UiPath®, da seguinte forma. Isso será mencionado como <KERB_APP_KEYTAB> para essa aplicação.
Geração do keytab e parâmetros de nomes de usuários do aplicativo Kerberos
Opção 1: por execução do script (recomendado)
- Execute o script service-keytab-creator.ps1.
- Insira os seguintes valores no script:
AD domain FQDN. Por exemplo,TESTDOMAIN.LOCAL.- O nome de usuário e a senha de uma conta de usuário do AD. Por exemplo, a conta de usuário AD
sAMAccountNamee sua senha.
O arquivo de saída contém os parâmetros <KERB_APP_USERNAME> e <KERB_APP_KEYTAB> exigidos pelo Kerberos.
Opção 2: manualmente
Execute o seguinte script manualmente:
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
O valor <AD username>será o <KERB_APP_USERNAME>correspondente a <KERB_APP_KEYTAB>.
Configurando o Automation Suite como um cliente Kerberos
Esta seção explica como você pode configurar o Automation Suite como um cliente Kerberos para acesso LDAP ou SQL.
Com <KERB_DEFAULT_KEYTAB>, configure o Automation Suite como um cliente Kerberos seguindo as instruções em Configuração da autenticação Kerberos por meio de input.json.
Se você deseja configurar serviços diferentes para serem executados em sua própria conta do AD e acessar o SQL como essa conta do AD, você pode especificar ad_usernamecom <KERB_APP_USERNAME>, e user_keytabcomo<KERB_APP_KEYTAB> na seção de configuração do serviço.
Configurando a autenticação Kerberos por meio de input.json
- No arquivo
input.json, defina o parâmetrokerberos_auth_config.enabledcomotrue. - Se você quiser usar o Kerberos para acesso SQL, configure
sql_connection_string_template,sql_connection_string_template_jdbcesql_connection_string_template_odbccom a flag de segurança integrada. - Se você deseja configurar um usuário AD diferente por serviço, execute as seguintes etapas:
-
Especifique
ad_usernameeuser_keytabno objeto JSON do grupo de serviço. -
Atualize a string de conexão SQL do serviço para habilitar a segurança integrada.
O objeto JSON deve ser o seguinte:
"<serviceGroupName>": { "kerberos_auth_config": { "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group", "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group" } }"<serviceGroupName>": { "kerberos_auth_config": { "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group", "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group" } }Observação:Para a lista de nomes de grupos de serviços, consulte Grupos e serviços de serviços.
-
- Depois de atualizar o arquivo
input.json, execute o script do instalador para atualizar a configuração. Para obter detalhes, consulte Gerenciamento de produtos.
Exemplo de atualização do Orchestrator e da plataforma para usar a autenticação Kerberos
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
Grupos de serviços e serviços
A tabela a seguir lista os grupos de serviços disponíveis e os serviços que eles incluem. Os nomes são ligeiramente diferentes no arquivo input.json ou na interface gráfica do ArgoCD.
Nome do grupo de serviços para input.json | Nome do grupo de serviço para ArgoCD | Serviços incluídos |
|---|---|---|
orchestrator | orchestrator | Orchestrator, Webhooks |
platform | platform | Identidade, Contador de Licenças (LA), Auditoria, Localização, Gerenciador de Recursos de Licenças (LRM), Serviço de Gerenciamento da Organização (OMS) |
discovery_group | discoverygroup | Automation Hub, Task Mining |
test_manager | testmanager | Test Manager |
automation_ops | automationops | Automation Ops |
aicenter | aicenter | AI Center |
documentunderstanding | documentunderstanding | Document Understanding |
insights | insights | Insights |
dataservice | dataservice | Data Service |
asrobots | asrobots | Automation Suite Robots |
processmining | processmining | Process Mining |
Configurando a integração do Active Directory
Para que a autenticação Kerberos seja usada ao fazer login no Automation Suite, você deve definir ainda mais as configurações de host do Automation Suite.
Disabling Kerberos authentication
Removing Kerberos authentication completely
Para remover completamente a autenticação Kerberos, execute as seguintes etapas:
- Se você usou o Kerberos para configurar a integração do AD, reconfigure o AD com a opção nome de usuário e senha seguindo as instruções em Configuração da integração do Active Directory.
- If you used SQL integrated authentication, configure the SQL connection strings to use User Id and Password.
- Desabilitar a autenticação do Kerberos. No arquivo
cluster_config.json, defina o parâmetrokerberos_auth_config.enabledcomofalsee, em seguida, execute o script do instalador para atualizar a configuração. Para obter detalhes, consulte Gerenciamento de produtos.
Removing SQL integrated authentication
Para remover a autenticação integrada do SQL, execute as seguintes etapas:
- Configure the SQL connection strings to use User Id and Password.
- Se quiser desabilitar a autenticação integrada do SQL para todos os serviços, no arquivo
cluster_config.json, defina o parâmetrokerberos_auth_config.enabledcomofalsee execute o script do instalador para atualizar a configuração. Para obter detalhes, consulte Gerenciamento de produtos.
- Pré-requisitos
- Garantindo que o cluster do Automation Suite possa acessar seu AD
- Configurando a conta de serviço do AD para autenticação Kerberos
- Opcional: pré-requisitos de autenticação SQL
- Configurando o Automation Suite como um cliente Kerberos
- Configurando a autenticação Kerberos por meio de input.json
- Configurando a integração do Active Directory
- Disabling Kerberos authentication
- Removing Kerberos authentication completely
- Removing SQL integrated authentication