Automation Suite

2023.10

False

EKS/AKS 上的 Automation Suite 安装指南

上次更新日期 2024年5月20日

安全性与合规性

UiPath™ 服务的安全上下文

以下提供了有关 UiPath™ 服务的安全上下文集规范的重要信息：

所有 UiPath™ 服务都在 spec 部分中配置有专门定义的安全上下文。核心设置包括：

spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

请注意，在某些情况下，用户 ID 和组 ID 可能大于或等于 1000，并且您的环境决定了是否允许使用此类值。请务必根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

网守和 OPA 策略

Automation Suite 预配置了 Gatekeeper 和 OPA 策略。如果您使用了自己的 Gatekeeper 组件和 OPA 策略，则可以在安装 Automation Suite 时跳过这些组件。有关详细信息，请参阅 Automation Suite 堆栈。在这种情况下，请查看 OPA 策略以及安装和运行 Automation Suite 所需的例外情况。

默认情况下，这些策略仅在以下 UiPath™ 命名空间中运行：-uipath、uipath-installer、uipath-infra、airflow 和 argocd。

OPA 策略

Policy	强制执行 Actions	要排除的命名空间/映像
允许在容器中提升权限将升级限制为根权限的控件。对应于 Pod 安全策略中的 `allowPrivilegeEscalation` 字段	`dryrun`	Gatekeeper logging dapr-system kube-system uipath-check 默认 istio-system 证书管理器监控
应用程序护甲配置 AppArmo 配置文件的允许列表，以供容器使用。这对应于应用于 Pod 安全策略的特定注释。	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
功能控制容器上的 Linux 功能。对应于 Pod 安全策略中的 `allowedCapabilities` 和 `requiredDropCapabilities` 字段。	`dryrun`	Gatekeeper logging dapr-system uipath-check kube-system 默认 istio-system 证书管理器监控
弹性卷控制 FlexVolume 驱动程序的允许列表。对应于 Pod 安全策略中的 `allowedFlexVolumes` 字段。	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
禁止的 Sysctl	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
FS 组控制分配拥有 Pod 卷的 FS 组。对应于 Pod 安全策略中的 `fsGroup` 字段。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
主机文件系统控制主机文件系统的使用情况。对应于 Pod 安全策略中的 `allowedHostPaths` 字段。	`dryrun`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
Host Namespace 禁止 Pod 容器共享主机 PID 和 IPC 命名空间。对应于 Pod 安全策略中的 `hostPID` 和 `hostIPC` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
主机网络端口控制 Pod 容器对主机网络命名空间的使用。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
特权容器控制任何容器启用特权模式的能力。对应于 Pod 安全策略中的 `privileged` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
过程装载控制容器允许的 `procMount` 类型。对应于 Pod 安全策略中的 `allowedProcMountTypes` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
只读根文件系统要求 Pod 容器使用只读根文件系统。	`dryrun`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
Seccomp 控制容器使用的 seccomp 配置文件。对应于 Pod 安全策略上的 `seccomp.security.alpha.kubernetes.io/allowedProfileNames` 注释。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
SELinux V2 定义 Pod 容器的seLinuxOptions 配置允许列表。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
允许的用户控制容器和某些卷的用户和组 ID。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 velero uipath-check
卷类型将可安装的卷类型限制为用户指定的类型。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 velero uipath-check

备注：

仅当您安装 Process Mining 和 Task Mining 时，才需要 dapr-system 命名空间。
仅当您安装 Process Mining 时，才需要 airflow 命名空间。

其他 OPA 策略

Policy	强制执行 Actions	要排除的命名空间/映像
为 Pod 自动装载服务帐户令牌控制任何 Pod 启用 `automountServiceAccountToken`的能力。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
允许的存储库要求容器映像以指定列表中的字符串开头。	`dryrun`	registry.uipath.com registry-data.uipath.com
阻止端点编辑默认角色	`deny`	不适用
阻止类型为“负载均衡器”的服务禁止所有类型为负载均衡器的服务。	`deny`	kube-system
阻止节点端口禁止所有节点端口类型的服务。	`deny`	istio-system 网络先决条件检查
阻止通配符入口用户不得创建具有空白或通配符 (*) 主机名的入口，因为这将使他们能够拦截集群中其他服务的流量，即使他们无权访问这些服务。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
容器限制要求容器设置内存和 CPU 限制。将限制限制在指定的最大值范围内。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
容器请求要求容器设置内存和 CPU 请求。将请求限制在指定的最大值范围内。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
容器比率设置容器资源限制与请求的最大比率。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 prereq**
所需资源要求容器具有已定义的资源集。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
禁止匿名访问不允许将集群角色和角色资源与 `system:anonymous` 用户和 `system:unauthenticated` 组相关联。	`deny`	不适用
Disallow tags 要求容器映像具有与指定列表中不同的映像标签。	`deny`	不适用
容器临时存储限制要求容器设置临时存储限制，并将限制限制在指定的最大值范围内。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
水平 Pod 自动调节程序	`deny`	不适用
仅 HTTPS 仅要求入口资源为 HTTPS。入口资源必须包含 `kubernetes.io/ingress.allow-http` 注释，并设置为 `false`。默认情况下，需要有效的 TLS {} 配置，可以通过将 `tlsOptional` 参数设置为 `true`使其可选。	`dryrun`	监控
图像摘要要求容器映像包含摘要。	`dryrun`	UiPath
阻止更新服务帐户阻止更新通过 Pod 进行抽象的资源上的服务帐户。在审核模式下，此策略将被忽略。	`dryrun`	不适用
Pod 中断预算	`deny`	风量
所需探测器要求 Pod 具有就绪探测器和/或活动探测器。	`dryrun`	UiPath
存储类使用时需要指定存储类。	`dryrun`	不适用
Unique Ingress Host 要求所有入口规则主机唯一。	`dryrun`	不适用
Unique Service Selector 要求服务在命名空间中具有唯一的选取器。如果选取器具有相同的键和值，则视为相同选取器。只要选取器之间至少存在一个不同的键/值对，就可以共享一个键/值对。	`dryrun`	不适用

备注：

仅当您安装 Process Mining 和 Task Mining 时，才需要 dapr-system 命名空间。
仅当您安装 Process Mining 时，才需要 airflow 命名空间。
prereq** 是运行先决条件或运行状况检查时创建的临时命名空间。命名空间将在完成后自删除。

网络策略

Automation Suite 预配置了标准 Kubernetes 网络策略，以遵循最小特权网络访问原则。您可以选择通过在 input.json 的 exclude components 列表下添加 network-policies 来跳过安装 UiPath 提供的网络策略。要了解有关可选组件的更多信息，请参阅 Automation Suite 堆栈。

Automation Suite 强制执行源自 uipath 命名空间、至该命名空间以及在其中的网络。如果您使用自己的网络策略或具有自定义 CNI（例如 Cilium Enterprise 或 CalicoTigera Enterprise），请确保更新策略以镜像 network-policies Helm 图表。

您可以通过运行以下命令来查找 Automation Suite network-policies Helm 图表。

备注：

您必须在以下命令中将 <automation-suite-version> 替换为当前的 Automation Suite 版本。
您必须解压缩文件才能提取 Helm 图表。

helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

集群权限要求

管理节点上的 uipathctl 需要集群管理员访问权限，才能在专用 EKS 或 AKS 集群上安装和管理 Automation Suite 。 Automation Suite 中的系统级组件（例如 Istio（路由/服务网格）和 ArgoCD（部署和应用程序生命周期管理））需要此级别的访问权限，并且需要创建与 Automation Suite 相关的命名空间。

FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

AKS 上的 Automation Suite 可以在已启用 FIPS 140-2 的节点上运行。

在以下情况，您可以在安装 Automation Suite 的 AKS 节点上启用 FIPS 140-2：

场景 1：全新安装 - 在执行 Automation Suite 2023.4 或更高版本的全新安装之前启用 FIPS 140-2。
场景 2：现有安装 - 在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后，启用 FIPS 140-2。

场景 1：新安装

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在开始安装 Automation Suite 之前，请在计算机上启用 FIPS 140-2。
按照本指南中的安装说明执行 Automation Suite 安装。
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅 AI Center 的 SQL 要求。
- 请确保已禁用 Insights，因为 FIPS 140-2 不支持此功能。
将 input.json 文件中的 fips_enabled_nodes 标记设置为 true。
确保您的证书与 FIPS 140-2 兼容。

备注：
默认情况下，Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书，其到期日期取决于您选择的 Automation Suite 安装类型。

强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite，新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。

有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息，请参阅证书配置。

有关证书的更多信息，请参阅管理证书。

场景 2：现有安装

您可以在禁用 FIPS 140-2 的计算机上安装 Automation Suite，然后在同一计算机上启用安全标准。升级到新的 Automation Suite 版本时，也可以使用此方法。

要在已执行 Automation Suite 安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在禁用 FIPS 140-2 的计算机上执行常规 Automation Suite 安装或升级操作。
在所有计算机上启用 FIPS 140-2。
确保您的证书与 FIPS 140-2 兼容。

备注：
要在启用 FIPS 140-2 的计算机上使用 Automation Suite，您必须将证书替换为由 CA 签名且与 FIPS 140-2 兼容的新证书。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。

有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息，请参阅证书配置。

有关证书的更多信息，请参阅管理证书。
确保您的产品选择符合 FIPS-140-2 要求：
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅 AI Center 的 SQL 要求。
- 如果您之前启用了 Insights，则必须将其禁用，因为 FIPS 140-2 不支持它。有关如何在安装后禁用产品的详细信息，请参阅管理产品。
重新启动计算机，并检查您是否已成功启用 FIPS 140-2。
重新运行 uipathctl 安装程序。

在此页面上

UiPath™ 服务的安全上下文
网守和 OPA 策略
OPA 策略
其他 OPA 策略
网络策略
集群权限要求
FIPS 140-2
场景 1：新安装
场景 2：现有安装

此页面是否有帮助？

PREVIOUS证书概述

下一个Kubernetes 集群和节点

获取您需要的帮助

了解 RPA - 自动化课程

UiPath Community 论坛

Policy	强制执行 Actions	要排除的命名空间/映像
允许在容器中提升权限将升级限制为根权限的控件。对应于 Pod 安全策略中的 `allowPrivilegeEscalation` 字段	`dryrun`	Gatekeeper logging dapr-system kube-system uipath-check 默认 istio-system 证书管理器监控
应用程序护甲配置 AppArmo 配置文件的允许列表，以供容器使用。这对应于应用于 Pod 安全策略的特定注释。	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
功能控制容器上的 Linux 功能。对应于 Pod 安全策略中的 `allowedCapabilities` 和 `requiredDropCapabilities` 字段。	`dryrun`	Gatekeeper logging dapr-system uipath-check kube-system 默认 istio-system 证书管理器监控
弹性卷控制 FlexVolume 驱动程序的允许列表。对应于 Pod 安全策略中的 `allowedFlexVolumes` 字段。	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
禁止的 Sysctl	`deny`	Gatekeeper logging dapr-system kube-system 默认 istio-system 证书管理器监控
FS 组控制分配拥有 Pod 卷的 FS 组。对应于 Pod 安全策略中的 `fsGroup` 字段。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
主机文件系统控制主机文件系统的使用情况。对应于 Pod 安全策略中的 `allowedHostPaths` 字段。	`dryrun`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
Host Namespace 禁止 Pod 容器共享主机 PID 和 IPC 命名空间。对应于 Pod 安全策略中的 `hostPID` 和 `hostIPC` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
主机网络端口控制 Pod 容器对主机网络命名空间的使用。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
特权容器控制任何容器启用特权模式的能力。对应于 Pod 安全策略中的 `privileged` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
过程装载控制容器允许的 `procMount` 类型。对应于 Pod 安全策略中的 `allowedProcMountTypes` 字段。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
只读根文件系统要求 Pod 容器使用只读根文件系统。	`dryrun`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 uipath-check
Seccomp 控制容器使用的 seccomp 配置文件。对应于 Pod 安全策略上的 `seccomp.security.alpha.kubernetes.io/allowedProfileNames` 注释。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 uipath-check
SELinux V2 定义 Pod 容器的seLinuxOptions 配置允许列表。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控
允许的用户控制容器和某些卷的用户和组 ID。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argod 默认 istio-system 证书管理器监控风量 velero uipath-check
卷类型将可安装的卷类型限制为用户指定的类型。	`deny`	Gatekeeper logging dapr-system kube-system argod 默认 istio-system 证书管理器监控 velero uipath-check