automation-suite
2023.10
true
EKS/AKS 上的 Automation Suite 安装指南
Last updated 2024年10月4日

安全性与合规性

UiPath™ 服务的安全上下文

本节提供有关 UiPath™ 服务的安全上下文的详细信息。

所有 UiPath™ 服务都配置有 spec 部分中定义的安全上下文。以下示例显示了所有服务的配置,但 du-cjk-ocr 除外:
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false
对于 du-cjk-ocr 服务,readOnlyRootFilesystem 参数的值为false。有关 du-cjk-ocr 的更多信息,请参阅 Document Understanding 文档

在某些情况下,用户 ID 和组 ID 可以大于或等于 1000。根据您的环境,此类值是否允许由您决定。请务必根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

网守和 OPA 策略

Automation Suite 预配置了 Gatekeeper 和 OPA 策略。如果您使用了自己的 Gatekeeper 组件和 OPA 策略,则可以在安装 Automation Suite 时跳过这些组件。有关详细信息,请参阅 Automation Suite 堆栈。在这种情况下,请查看 OPA 策略以及安装和运行 Automation Suite 所需的例外情况。

默认情况下,这些策略仅在以下 UiPath™ 命名空间中运行:-uipathuipath-installeruipath-infraairflowargocd

OPA 策略

Policy

强制执行 Actions

要排除的命名空间/映像

将升级限制为根权限的控件。 对应于 Pod 安全策略中的 allowPrivilegeEscalation 字段

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • uipath-check

  • 默认

  • istio-system

  • 证书管理器

  • 监控

配置 AppArmo 配置文件的允许列表,以供容器使用。 这对应于应用于 Pod 安全策略的特定注释。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • 默认

  • istio-system

  • 证书管理器

  • 监控

控制容器上的 Linux 功能。 对应于 Pod 安全策略中的 allowedCapabilitiesrequiredDropCapabilities 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-check

  • kube-system

  • 默认

  • istio-system

  • 证书管理器

  • 监控

控制 FlexVolume 驱动程序的允许列表。 对应于 Pod 安全策略中的 allowedFlexVolumes 字段。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • 默认

  • istio-system

  • 证书管理器

  • 监控

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • 默认

  • istio-system

  • 证书管理器

  • 监控

控制分配拥有 Pod 卷的 FS 组。 对应于 Pod 安全策略中的 fsGroup 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

控制主机文件系统的使用情况。 对应于 Pod 安全策略中的 allowedHostPaths 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

禁止 Pod 容器共享主机 PID 和 IPC 命名空间。 对应于 Pod 安全策略中的 hostPIDhostIPC 字段。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

控制 Pod 容器对主机网络命名空间的使用。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • uipath-check

控制任何容器启用特权模式的能力。 对应于 Pod 安全策略中的 privileged 字段。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • uipath-check

控制容器允许的 procMount 类型。 对应于 Pod 安全策略中的 allowedProcMountTypes 字段。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

要求 Pod 容器使用只读根文件系统。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • uipath-check

控制容器使用的 seccomp 配置文件。 对应于 Pod 安全策略上的 seccomp.security.alpha.kubernetes.io/allowedProfileNames 注释。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

定义 Pod 容器的seLinuxOptions 配置允许列表。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

控制容器和某些卷的用户和组 ID。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • velero

  • uipath-check

将可安装的卷类型限制为用户指定的类型。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • velero

  • uipath-check

备注:
  • 仅当您安装 Process Mining 和 Task Mining 时,才需要 dapr-system 命名空间。
  • 仅当您安装 Process Mining 时,才需要 airflow 命名空间。

其他 OPA 策略

Policy

强制执行 Actions

要排除的命名空间/映像

控制任何 Pod 启用 automountServiceAccountToken的能力。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

要求容器映像以指定列表中的字符串开头。

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

不适用

禁止所有类型为负载均衡器的服务。

deny

  • kube-system

禁止所有节点端口类型的服务。

deny

  • istio-system

  • 网络先决条件检查

用户不得创建具有空白或通配符 (*) 主机名的入口,因为这将使他们能够拦截集群中其他服务的流量,即使他们无权访问这些服务。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

要求容器设置内存和 CPU 限制。 将限制限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

要求容器设置内存和 CPU 请求。 将请求限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

设置容器资源限制与请求的最大比率。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

要求容器具有已定义的资源集。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

不允许将集群角色和角色资源与 system:anonymous 用户和 system:unauthenticated 组相关联。

deny

不适用

要求容器映像具有与指定列表中不同的映像标签。

deny

不适用

要求容器设置临时存储限制,并将限制限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • uipath-check

deny

不适用

仅要求入口资源为 HTTPS。 入口资源必须包含 kubernetes.io/ingress.allow-http 注释,并设置为 false。 默认情况下,需要有效的 TLS {} 配置,可以通过将 tlsOptional 参数设置为 true使其可选。

dryrun

  • 监控

要求容器映像包含摘要。

dryrun

  • UiPath

阻止更新通过 Pod 进行抽象的资源上的服务帐户。 在审核模式下,此策略将被忽略。

dryrun

不适用

deny

  • 风量

要求 Pod 具有就绪探测器和/或活动探测器。

dryrun

  • UiPath

使用时需要指定存储类。

dryrun

不适用

要求所有入口规则主机唯一。

dryrun

不适用

要求服务在命名空间中具有唯一的选取器。 如果选取器具有相同的键和值,则视为相同选取器。 只要选取器之间至少存在一个不同的键/值对,就可以共享一个键/值对。

dryrun

不适用

备注:
  • 仅当您安装 Process Mining 和 Task Mining 时,才需要 dapr-system 命名空间。
  • 仅当您安装 Process Mining 时,才需要 airflow 命名空间。
  • prereq** 是运行先决条件或运行状况检查时创建的临时命名空间。命名空间将在完成后自删除。

网络策略

Automation Suite 预配置了标准 Kubernetes 网络策略,以遵循最小特权网络访问原则。您可以选择通过在 input.jsonexclude components 列表下添加 network-policies 来跳过安装 UiPath 提供的网络策略。要了解有关可选组件的更多信息,请参阅 Automation Suite 堆栈
Automation Suite 强制执行源自 uipath 命名空间、至该命名空间以及在其中的网络。如果您使用自己的网络策略或具有自定义 CNI(例如 Cilium Enterprise 或 CalicoTigera Enterprise),请确保更新策略以镜像 network-policies Helm 图表。
您可以通过运行以下命令来查找 Automation Suite network-policies Helm 图表。
备注:
  • 您必须在以下命令中将 <automation-suite-version> 替换为当前的 Automation Suite 版本。
  • 您必须解压缩文件才能提取 Helm 图表。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

集群权限要求

管理节点上的uipathctl需要集群管理员访问权限才能在专用集群上安装和管理 Automation Suite。 Automation Suite 中的系统级组件(例如 Istio(路由/服务网格)和 ArgoCD(部署和应用程序生命周期管理))以及创建与 Automation Suite 相关的命名空间需要此级别的访问权限。

FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

AKS 上的 Automation Suite 可以在已启用 FIPS 140-2 的节点上运行。

在以下情况,您可以在安装 Automation Suite 的 AKS 节点上启用 FIPS 140-2:

  1. 场景 1:新安装- 在执行 Automation Suite 2023.4 或更高版本的全新安装之前启用 FIPS 140-2。
  2. 场景 2:现有安装- 在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后,启用 FIPS 140-2。

场景 1:新安装

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2,请执行以下步骤:

  1. 在开始安装 Automation Suite 之前,请在计算机上启用 FIPS 140-2。
  2. 按照本指南中的安装说明执行 Automation Suite 安装。
    • 如果您在启用 FIPS 140-2 的计算机上安装 AI Center,并且还使用 Microsoft SQL Server,则需要完成一些其他配置。有关详细信息,请参阅 AI Center 的 SQL 要求
    • 请确保已禁用 Insights,因为 FIPS 140-2 不支持此功能。
  3. input.json 文件中的 fips_enabled_nodes 标记设置为 true
  4. 确保您的证书与 FIPS 140-2 兼容。
    备注:

    默认情况下,Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书,其到期日期取决于您选择的 Automation Suite 安装类型。

    强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite,新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码,请参阅 RHEL 文档

    有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息,请参阅证书配置

场景 2:现有安装

您可以在禁用 FIPS 140-2 的计算机上安装 Automation Suite,然后在同一计算机上启用安全标准。升级到新的 Automation Suite 版本时,也可以使用此方法。

要在已执行 Automation Suite 安装的计算机上启用 FIPS 140-2,请执行以下步骤:

  1. 在禁用 FIPS 140-2 的计算机上执行常规 Automation Suite 安装或升级操作。
  2. 在所有计算机上启用 FIPS 140-2。
  3. 确保您的证书与 FIPS 140-2 兼容。
    备注:

    要在启用 FIPS 140-2 的计算机上使用 Automation Suite,您必须将证书替换为由 CA 签名且与 FIPS 140-2 兼容的新证书。有关 RHEL 支持的符合条件的密码,请参阅 RHEL 文档

    有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息,请参阅证书配置

    有关证书的更多信息,请参阅。

  4. 确保您的产品选择符合 FIPS-140-2 要求:
    • 如果您在启用 FIPS 140-2 的计算机上安装 AI Center,并且还使用 Microsoft SQL Server,则需要完成一些其他配置。有关详细信息,请参阅 AI Center 的 SQL 要求
    • 如果您之前启用了 Insights,则必须将其禁用,因为 FIPS 140-2 不支持它。有关如何在安装后禁用产品的详细信息,请参阅管理产品
  5. 重新启动计算机,并检查您是否已成功启用 FIPS 140-2。
  6. 重新运行 uipathctl 安装程序。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。