- 概述
- 要求
- 安装
- 安装后
- 迁移和升级
- 监控和警示
- 集群管理
- 特定于产品的配置
- 故障排除
EKS/AKS 上的 Automation Suite 安装指南
安全性与合规性
本节提供有关 UiPath™ 服务的安全上下文的详细信息。
spec
部分中定义的安全上下文。以下示例显示了所有服务的配置,但 du-cjk-ocr
除外:
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
du-cjk-ocr
服务,readOnlyRootFilesystem
参数的值为false
。有关 du-cjk-ocr
的更多信息,请参阅 Document Understanding 文档。
在某些情况下,用户 ID 和组 ID 可以大于或等于 1000。根据您的环境,此类值是否允许由您决定。请务必根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。
Automation Suite 预配置了 Gatekeeper 和 OPA 策略。如果您使用了自己的 Gatekeeper 组件和 OPA 策略,则可以在安装 Automation Suite 时跳过这些组件。有关详细信息,请参阅 Automation Suite 堆栈。在这种情况下,请查看 OPA 策略以及安装和运行 Automation Suite 所需的例外情况。
-uipath
、uipath-installer
、uipath-infra
、airflow
和 argocd
。
Policy |
强制执行 Actions |
要排除的命名空间/映像 |
---|---|---|
将升级限制为根权限的控件。 对应于 Pod 安全策略中的
allowPrivilegeEscalation 字段
|
|
|
配置 AppArmo 配置文件的允许列表,以供容器使用。 这对应于应用于 Pod 安全策略的特定注释。 |
|
|
控制容器上的 Linux 功能。 对应于 Pod 安全策略中的
allowedCapabilities 和 requiredDropCapabilities 字段。
|
|
|
控制 FlexVolume 驱动程序的允许列表。 对应于 Pod 安全策略中的
allowedFlexVolumes 字段。
|
|
|
|
| |
控制分配拥有 Pod 卷的 FS 组。 对应于 Pod 安全策略中的
fsGroup 字段。
|
|
|
控制主机文件系统的使用情况。 对应于 Pod 安全策略中的
allowedHostPaths 字段。
|
|
|
禁止 Pod 容器共享主机 PID 和 IPC 命名空间。 对应于 Pod 安全策略中的
hostPID 和 hostIPC 字段。
|
|
|
控制 Pod 容器对主机网络命名空间的使用。 |
|
|
控制任何容器启用特权模式的能力。 对应于 Pod 安全策略中的
privileged 字段。
|
|
|
控制容器允许的
procMount 类型。 对应于 Pod 安全策略中的 allowedProcMountTypes 字段。
|
|
|
要求 Pod 容器使用只读根文件系统。 |
|
|
控制容器使用的 seccomp 配置文件。 对应于 Pod 安全策略上的
seccomp.security.alpha.kubernetes.io/allowedProfileNames 注释。
|
|
|
定义 Pod 容器的seLinuxOptions 配置允许列表。 |
|
|
控制容器和某些卷的用户和组 ID。 |
|
|
将可安装的卷类型限制为用户指定的类型。 |
|
|
-
仅当您安装 Process Mining 和 Task Mining 时,才需要
dapr-system
命名空间。 -
仅当您安装 Process Mining 时,才需要
airflow
命名空间。
Policy |
强制执行 Actions |
要排除的命名空间/映像 |
---|---|---|
控制任何 Pod 启用
automountServiceAccountToken 的能力。
|
|
|
要求容器映像以指定列表中的字符串开头。 |
|
|
|
|
不适用 |
禁止所有类型为负载均衡器的服务。 |
|
|
禁止所有节点端口类型的服务。 |
|
|
用户不得创建具有空白或通配符 (*) 主机名的入口,因为这将使他们能够拦截集群中其他服务的流量,即使他们无权访问这些服务。 |
|
|
要求容器设置内存和 CPU 限制。 将限制限制在指定的最大值范围内。 |
|
|
要求容器设置内存和 CPU 请求。 将请求限制在指定的最大值范围内。 |
|
|
设置容器资源限制与请求的最大比率。 |
|
|
要求容器具有已定义的资源集。 |
|
|
不允许将集群角色和角色资源与
system:anonymous 用户和 system:unauthenticated 组相关联。
|
|
不适用 |
要求容器映像具有与指定列表中不同的映像标签。 |
|
不适用 |
要求容器设置临时存储限制,并将限制限制在指定的最大值范围内。 |
|
|
|
|
不适用 |
仅要求入口资源为 HTTPS。 入口资源必须包含
kubernetes.io/ingress.allow-http 注释,并设置为 false 。 默认情况下,需要有效的 TLS {} 配置,可以通过将 tlsOptional 参数设置为 true 使其可选。
|
|
|
要求容器映像包含摘要。 |
|
|
阻止更新通过 Pod 进行抽象的资源上的服务帐户。 在审核模式下,此策略将被忽略。 |
|
不适用 |
|
|
|
要求 Pod 具有就绪探测器和/或活动探测器。 |
|
|
使用时需要指定存储类。 |
|
不适用 |
要求所有入口规则主机唯一。 |
|
不适用 |
要求服务在命名空间中具有唯一的选取器。 如果选取器具有相同的键和值,则视为相同选取器。 只要选取器之间至少存在一个不同的键/值对,就可以共享一个键/值对。 |
|
不适用 |
-
仅当您安装 Process Mining 和 Task Mining 时,才需要
dapr-system
命名空间。 -
仅当您安装 Process Mining 时,才需要
airflow
命名空间。 -
prereq**
是运行先决条件或运行状况检查时创建的临时命名空间。命名空间将在完成后自删除。
input.json
的 exclude components
列表下添加 network-policies
来跳过安装 UiPath 提供的网络策略。要了解有关可选组件的更多信息,请参阅 Automation Suite 堆栈。
uipath
命名空间、至该命名空间以及在其中的网络。如果您使用自己的网络策略或具有自定义 CNI(例如 Cilium Enterprise 或 CalicoTigera Enterprise),请确保更新策略以镜像 network-policies
Helm 图表。
network-policies
Helm 图表。
- 您必须在以下命令中将
<automation-suite-version>
替换为当前的 Automation Suite 版本。 - 您必须解压缩文件才能提取 Helm 图表。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
uipathctl
需要集群管理员访问权限才能在专用集群上安装和管理 Automation Suite。 Automation Suite 中的系统级组件(例如 Istio(路由/服务网格)和 ArgoCD(部署和应用程序生命周期管理))以及创建与 Automation Suite 相关的命名空间需要此级别的访问权限。
联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。
AKS 上的 Automation Suite 可以在已启用 FIPS 140-2 的节点上运行。
在以下情况,您可以在安装 Automation Suite 的 AKS 节点上启用 FIPS 140-2:
- 场景 1:新安装- 在执行 Automation Suite 2023.4 或更高版本的全新安装之前启用 FIPS 140-2。
- 场景 2:现有安装- 在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后,启用 FIPS 140-2。