Automation Suite
2023.10
False
- 手动:准备安装
- 步骤 1:为离线安装配置符合 OCI 的注册表
- 步骤 2:配置外部对象存储
- 步骤 3:配置 Microsoft SQL Server
- 步骤 4:配置负载均衡器
- 步骤 5:配置 DNS
- 步骤 6:配置磁盘
- 步骤 7:配置节点端口
- 步骤 8:应用其他设置
- 步骤 10:验证并安装所需的 RPM 包
- 步骤 11:生成 cluster_config.json
- 证书配置
- 数据库配置
- 外部对象存储配置
- 预签名 URL 配置
- 外部 OCI 兼容注册表配置
- Disaster Recovery:主动/被动配置
- 特定于 Orchestrator 的配置
- Insights 特定配置
- Process Mining 特定配置
- 特定于 Document Understanding 的配置
- Automation Suite Robot 特定配置
- 监控配置
- 可选:配置代理服务器
- 可选:在多节点 HA 就绪生产集群中启用区域故障恢复
- 可选:传递自定义 resolv.conf
- 可选:提高容错能力
- install-uipath.sh 参数
- 为集群启用 Redis High Availability Add-on
- 添加具有 GPU 支持的专用代理节点
- 连接 Task Mining 应用程序
- 为 Task Mining 添加专用代理节点
- 为 Automation Suite Robot 添加专用代理节点
- 步骤 13:为离线安装配置临时 Docker 注册表
- 步骤 14:验证安装的先决条件
Linux 版 Automation Suite 安装指南
上次更新日期 2023年11月29日
管理证书
重要提示:
安装流程会代表您生成自签名证书。这些证书符合 FIPS 标准,并将在 90 天后过期。安装完成后,您必须将这些证书替换为由受信任的证书颁发机构 (CA) 签名的证书。如果不更新证书,安装将在 90 天后停止工作。
如果您在启用 FIPS 的主机上安装了 Automation Suite,并想要更新证书,请确保它们与 FIPS 兼容。
安装捆绑包提供了一个集群管理工具,使您能够在安装后更新证书。 要访问该工具,请导航到安装程序捆绑包的位置:
cd /opt/UiPathAutomationSuite/cd /opt/UiPathAutomationSuite/生成证书签名请求 (CSR) 和私钥
要生成 CSR 和私钥,请运行以下命令:
# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr您的 IT 团队使用获取的值生成签名证书。 生成的私钥保留在本地。
管理服务器证书
要查看有关服务器证书的更多信息,请运行以下命令:
sudo ./configureUiPathAS.sh tls-cert --helpsudo ./configureUiPathAS.sh tls-cert --help输出:
************************************************************************************
Manage cluster tls and server certificate
Usage:
configureUiPathAS.sh tls-cert [command]
configureUiPathAS.sh tls-cert [flags]
Available Commands:
update Update the tls / server certificate
get Get the tls / server certificate
Flags:
-h|--help Display help
************************************************************************************************************************************************************************
Manage cluster tls and server certificate
Usage:
configureUiPathAS.sh tls-cert [command]
configureUiPathAS.sh tls-cert [flags]
Available Commands:
update Update the tls / server certificate
get Get the tls / server certificate
Flags:
-h|--help Display help
************************************************************************************以下部分描述了可以使用 ./configureUiPathAS.sh tls-cert 命令执行的操作。
更新服务器证书
在线安装:如何查找服务器证书
证书在 Istio 级别存储为机密。 您可以在istio-system命名空间的istio-ingressgateway-certs名称下找到证书。
请参阅以下列表中的证书文件:
- 服务器 TLS 证书存储为
tls.crt - 作为
tls.key的服务器 TLS 私钥 - CA 捆绑包存储为
ca.crt
您可以使用以下命令验证密码:
kubectl -n istio-system get secrets istio-ingressgateway-certs -o yamlkubectl -n istio-system get secrets istio-ingressgateway-certs -o yaml证书也存储在 UiPath 命名空间中。 这适用于每个需要证书信息才能信任传入调用的 UiPath 产品。 有关详细信息,请参阅 了解与证书相关的容器架构。
离线安装:如何查找服务器证书
除了 在线部署所需的证书外,离线部署还有两个附加位置,这两个位置使用相同的 rootCA.crt 和 tls.crt:ArgoCD 和 Docker 注册表。 然后,证书将存储在 Docker 和 ArgoCD 命名空间中。
您可以使用以下命令验证密码:
# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd cert list --cert-type https# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd cert list --cert-type https如何更新服务器证书
重要提示: 您必须先解密证书密钥,然后才能更新服务器证书。 跳过解密步骤将导致错误。
要解密证书密钥,请运行以下命令:
# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key运行 configureUiPathAS.sh 脚本以更新证书,如下所示。您需要三个证书文件中每个文件的路径。所有证书文件均应采用PEM格式。
- 证书颁发机构捆绑包 - 此捆绑包应仅包含用于签署 TLS 服务器证书的链证书。 链限制为最多 9 个证书。
- 服务器证书 - 公共服务器证书
-
私钥 - 服务器证书的私钥
sudo ./configureUiPathAS.sh tls-cert update --ca-cert-file /path/to/cacert --tls-cert-file /path/to/tlscert --tls-key-file /path/to/tlskeysudo ./configureUiPathAS.sh tls-cert update --ca-cert-file /path/to/cacert --tls-cert-file /path/to/tlscert --tls-key-file /path/to/tlskey
以下文件将存储在 /directory/path/to/store/certificate 位置。
访问 TLS 证书
要打印证书文件,请运行以下命令,并指定存储证书的目录。
sudo ./configureUiPathAS.sh tls-cert get --outpath /directory/path/to/store/certificatesudo ./configureUiPathAS.sh tls-cert get --outpath /directory/path/to/store/certificate将 CA 证书添加到主机信任存储
您负责确保生成的证书受信任。
要将证书添加到主机虚拟机信任存储,请运行以下命令:
# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust管理其他 CA 证书
要查看有关其他 CA 证书的更多信息,请运行以下命令:
./configureUiPathAS.sh additional-ca-certs --help./configureUiPathAS.sh additional-ca-certs --help输出:
***************************************************************************************
Manage additional CA certificates, this can be used to add sql server CA
Usage:
configureUiPathAS.sh additional-ca-certs [command]
configureUiPathAS.sh additional-ca-certs [flags]
Available Commands:
update Update the additional trusted CA certificates.
get Get the additional trusted CA certificates
Flags:
-h|--help Display help
******************************************************************************************************************************************************************************
Manage additional CA certificates, this can be used to add sql server CA
Usage:
configureUiPathAS.sh additional-ca-certs [command]
configureUiPathAS.sh additional-ca-certs [flags]
Available Commands:
update Update the additional trusted CA certificates.
get Get the additional trusted CA certificates
Flags:
-h|--help Display help
***************************************************************************************以下部分描述了可以使用 ./configureUiPathAS.sh
additional-ca-certs 命令执行的操作。
更新 CA 证书
此命令可帮助您更新或替换现有的已配置 CA 证书。
./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs备注:
上面的命令将新证书添加到现有证书列表中。如果要替换以前配置的所有证书,请确保在末尾附加 --replace。
CA 证书捆绑包文件应为有效的 .pem 格式,并且可以包含多个证书。
访问 CA 证书
要下载已配置的 CA 证书,请运行以下命令:
./configureUiPathAS.sh additional-ca-certs get --outpath /path/to/download/certs./configureUiPathAS.sh additional-ca-certs get --outpath /path/to/download/certs将 CA 证书添加到主机信任存储
您负责确保生成的证书受信任。
要将证书添加到主机虚拟机信任存储,请运行以下命令:
# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust管理身份令牌签名证书
要查看有关身份令牌签名证书的更多信息,请运行以下命令:
sudo ./configureUiPathAS.sh identity token-cert --helpsudo ./configureUiPathAS.sh identity token-cert --help输出:
************************************************************************************
Manage Identity token signing certificate
Usage:
configureUiPathAS.sh identity token-cert [command]
configureUiPathAS.sh identity token-cert [flags]
Available Commands:
update Update secondary certificate to signing
the authentication token
rotate Switch secondary certificate as a primary
token signing certificate
get Get token signing certificate
Flags:
-h|--help Display help
************************************************************************************************************************************************************************
Manage Identity token signing certificate
Usage:
configureUiPathAS.sh identity token-cert [command]
configureUiPathAS.sh identity token-cert [flags]
Available Commands:
update Update secondary certificate to signing
the authentication token
rotate Switch secondary certificate as a primary
token signing certificate
get Get token signing certificate
Flags:
-h|--help Display help
************************************************************************************以下部分详细介绍了可以使用./configureUiPathAS.sh identity
token-cert 命令执行的操作。
更新证书
要上传新证书以对令牌进行签名,请运行以下命令:
备注:
以下命令不会替换现有令牌签名证书。
确保您提供的证书采用.pem格式。
sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey轮换证书
要轮换旧证书或将其替换为新证书,请运行以下命令:
sudo ./configureUiPathAS.sh identity token-cert rotatesudo ./configureUiPathAS.sh identity token-cert rotate备注:
证书更新和轮换之间应有大约 24 到 48 小时的前置时间。
我们需要这个提前期来继续支持由旧证书签名的缓存令牌的身份验证。
如果在缓存令牌过期之前过早轮换证书可能会导致停机。您可能需要重新启动所有机器人。
紧急证书轮换
重要提示: 以下过程仅适用于紧急情况。 您应该在证书到期日期之前轮换证书
要执行紧急证书更新,请执行以下步骤:
- 对于 Firefox,请按 CTRL+SHIFT+DEL,选择“ 缓存”,然后单击“ 确定”。
- 对于 Chrome,请按 CTRL+SHIFT+DEL,选择“缓存的图像和文件”,然后单击“清除数据”。
访问证书
运行以下命令以下载当前的令牌签名证书:
sudo ./configureUiPathAS.sh identity token-cert get --outpath /directory/path/to/store/certificatesudo ./configureUiPathAS.sh identity token-cert get --outpath /directory/path/to/store/certificate管理 Rancher 证书
默认情况下,Rancher RKE2 证书将在 12 个月后过期。在到期日期前的 90 天内,当您重新启动 Rancher 时,证书将轮换。
要手动轮换证书,请参阅 RKE2 - 高级选项 - 证书轮换。
管理符合 OCI 的外部注册表证书
要在安装后更新符合 OCI 的外部注册表的证书,请执行以下步骤:
