- 概述
- 要求
- 推荐:部署模板
- 手动:准备安装
- 手动:准备安装
- 步骤 1:为离线安装配置符合 OCI 的注册表
- 步骤 2:配置外部对象存储
- 步骤 3:配置 High Availability Add-on
- 步骤 4:配置 Microsoft SQL Server
- 步骤 5:配置负载均衡器
- 步骤 6:配置 DNS
- 步骤 7:配置磁盘
- 步骤 8:配置内核和操作系统级别设置
- 步骤 9:配置节点端口
- 步骤 10:应用其他设置
- 步骤 12:验证并安装所需的 RPM 包
- 步骤 13:生成 cluster_config.json
- 证书配置
- 数据库配置
- 外部对象存储配置
- 预签名 URL 配置
- 符合 OCI 的外部注册表配置
- Disaster Recovery:主动/被动和主动/主动配置
- High Availability Add-on 配置
- 特定于 Orchestrator 的配置
- Insights 特定配置
- Process Mining 特定配置
- Document Understanding 特定配置
- Automation Suite Robot 特定配置
- 监控配置
- 可选:配置代理服务器
- 可选:在多节点 HA 就绪生产集群中启用区域故障恢复
- 可选:传递自定义 resolv.conf
- 可选:提高容错能力
- install-uipath.sh 参数
- 添加具有 GPU 支持的专用代理节点
- 为 Task Mining 添加专用代理节点
- 连接 Task Mining 应用程序
- 为 Automation Suite Robot 添加专用代理节点
- 步骤 15:为离线安装配置临时 Docker 注册表
- 步骤 16:验证安装的先决条件
- 手动:执行安装
- 安装后
- 集群管理
- 监控和警示
- 迁移和升级
- 特定于产品的配置
- 最佳实践和维护
- 故障排除
- 如何在安装过程中对服务进行故障排除
- 如何卸载集群
- 如何清理离线工件以改善磁盘空间
- 如何清除 Redis 数据
- 如何启用 Istio 日志记录
- 如何手动清理日志
- 如何清理存储在 sf-logs 存储桶中的旧日志
- 如何禁用 AI Center 的流日志
- 如何对失败的 Automation Suite 安装进行调试
- 如何在升级后从旧安装程序中删除映像
- 如何禁用 TX 校验和卸载
- 如何从 Automation Suite 2022.10.10 和 2022.4.11 升级到 2023.10.2
- 如何手动将 ArgoCD 日志级别设置为 Info
- 如何扩展 AI Center 存储
- 如何为外部注册表生成已编码的 pull_secret_value
- 如何解决 TLS 1.2 中的弱密码问题
- 单节点升级在结构阶段失败
- 从 2021.10 自动升级后,集群运行状况不佳
- 由于 Ceph 运行状况不佳,升级失败
- 由于空间问题,RKE2 未启动
- 卷无法装载,且仍处于附加/分离循环状态
- 由于 Orchestrator 数据库中的传统对象,升级失败
- 并行升级后,发现 Ceph 集群处于降级状态
- Insights 组件运行状况不佳导致迁移失败
- Apps 服务升级失败
- 就地升级超时
- Docker 注册表迁移卡在 PVC 删除阶段
- AI Center provisioning failure after upgrading to 2023.10 or later
- 在离线环境中升级失败
- 升级期间 SQL 验证失败
- 快照-控制器-crds Pod 在升级后处于 CrashLoopBackOff 状态
- Longhorn REST API 端点升级/重新安装错误
- 运行诊断工具
- Using the Automation Suite support bundle
- 探索日志
证书要求
Automation Suite 在安装时需要两个证书。
- 服务器证书 – 客户端和集群之间的 TLS 通信所必需的;
- 身份令牌签名证书 – 签署身份验证令牌所必需的。
安装流程会代表您生成自签名证书。这些证书将在 90 天后过期,安装完成后,您必须将其替换为由受信任的证书颁发机构 (CA) 签名的证书。如果不更新证书,安装将在 90 天后停止工作。
如果您在启用 FIPS 的主机上安装了 Automation Suite,并想要添加自己的证书,请确保它们与 FIPS 兼容。有关 RHEL 支持的符合条件的密码,请参阅 RHEL 文档。
除了上述证书外,如果您希望集群信任外部软件,则可能需要提供其他受信任的 CA 证书。 示例:SQL Server CA 证书、SMTP 服务器 CA 证书、外部 S3 兼容对象存储 CA 证书等。
在安装时,您必须为需要安全 TLS 通信的任何外部软件提供 CA 证书。但是,如果尚未启用 TLS 通信,则可以在安装后进行配置。
有关说明,请参阅管理证书。
服务器证书必须满足以下要求:
- 文件格式应为
.pem,即 Base64 编码的 DER 证书; - 私钥长度应至少为 2048;
- 扩展密钥用法:TLS Web 服务器身份验证;在 iOS 设备上访问 Automation Suite 所必需的;
- 证书密钥必须解密。如果密钥已加密,请运行以下命令将其解密:
# replace /path/to/encrypted/cert/key to absolute file path of key # replace /path/to/decrypt/cert/key to store decrypt key # Once prompted, please entry the passphrase or password to decrypt the key openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key # replace /path/to/decrypt/cert/key to store decrypt key # Once prompted, please entry the passphrase or password to decrypt the key openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key - 应包含安装 Automation Suite 所需的所有 DNS 条目的使用者可选名称。如果集群的 FQDN 为
automationsuite.mycompany.com,则证书 SAN 应具有以下 DNS:Automationsuite.mycompany.com*.automationsuite.mycompany.com备注:或者,如果*通配符过于通用,请确保以下 DNS 具有 SAN 条目:Automationsuite.mycompany.comalm.automationsuite.mycompany.commonitoring.automationsuite.mycompany.comregistry.automationsuite.mycompany.comobjectstore.automationsuite.mycompany.comInsights.automationsuite.mycompany.com
automationsuite-primary.mycompany.com 和 automationsuite-secondary.mycompany.com,则必须在证书中将以下 DNS 作为 SAN 条目添加:
-
automationsuite-primary.mycompany.com -
alm.automationsuite-primary.mycompany.com -
monitoring.automationsuite-primary.mycompany.com -
registry.automationsuite-primary.mycompany.com -
automationsuite-secondary.mycompany.com -
alm.automationsuite-secondary.mycompany.com -
monitoring.automationsuite-secondary.mycompany.com -
registry.automationsuite-secondary.mycompany.com
Automation Suite 在安装时需要三个文件,如下所示:
- 服务器/TLS 证书文件 — 服务器的公共证书文件。 此文件必须仅包含叶服务器证书。
- 服务器/TLS 密钥文件 — 服务器证书的私钥文件。
- 证书颁发机构捆绑包 — 这是 CA 的公共证书,用于签署或颁发服务器证书。 此文件必须同时包含根证书和所有中间证书(如果存在)。
要验证 CA 和服务器证书,请在 Linux 计算机上运行以下命令:
# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.
openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.
openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate
