automation-suite
2023.4
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
EKS/AKS 上的 Automation Suite 安装指南
Last updated 2024年11月1日

安全性与合规性

网守和 OPA 策略

Automation Suite 预配置了 Gatekeeper 和 OPA 策略。如果您使用了自己的 Gatekeeper 组件和 OPA 策略,则可以在安装 Automation Suite 时跳过这些组件。有关详细信息,请参阅 Automation Suite 堆栈。在这种情况下,请查看 OPA 策略以及安装和运行 Automation Suite 所需的例外情况。

OPA 策略

Policy

强制执行 Actions

要排除的命名空间/映像

将升级限制为根权限的控件。 对应于 Pod 安全策略中的 allowPrivilegeEscalation 字段

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

配置 AppArmo 配置文件的允许列表,以供容器使用。 这对应于应用于 Pod 安全策略的特定注释。

deny

  • kube-system

控制容器上的 Linux 功能。 对应于 Pod 安全策略中的 allowedCapabilitiesrequiredDropCapabilities 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

控制 FlexVolume 驱动程序的允许列表。 对应于 Pod 安全策略中的 allowedFlexVolumes 字段。

deny

不适用

deny

  • istio-system

控制分配拥有 Pod 卷的 FS 组。 对应于 Pod 安全策略中的 fsGroup 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

控制主机文件系统的使用情况。 对应于 Pod 安全策略中的 allowedHostPaths 字段。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

禁止 Pod 容器共享主机 PID 和 IPC 命名空间。 对应于 Pod 安全策略中的 hostPIDhostIPC 字段。

deny

  • kube-system

  • 监控

控制 Pod 容器对主机网络命名空间的使用。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

控制任何容器启用特权模式的能力。 对应于 Pod 安全策略中的 privileged 字段。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

控制容器允许的 procMount 类型。 对应于 Pod 安全策略中的 allowedProcMountTypes 字段。

deny

不适用

要求 Pod 容器使用只读根文件系统。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

控制容器使用的 seccomp 配置文件。 对应于 Pod 安全策略上的 seccomp.security.alpha.kubernetes.io/allowedProfileNames 注释。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

定义 Pod 容器的seLinuxOptions 配置允许列表。

deny

不适用

控制容器和某些卷的用户和组 ID。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • velero

将可安装的卷类型限制为用户指定的类型。

deny

  • 监控

  • logging

备注:
  • 仅当您安装 Process Mining 和 Task Mining 时,才需要 dapr-system 命名空间。
  • 仅当您安装 Process Mining 时,才需要 airflow 命名空间。
  • prereq** 是运行先决条件或运行状况检查时创建的临时命名空间。命名空间将在完成后自删除。

其他 OPA 策略

Policy

强制执行 Actions

要排除的命名空间/映像

控制任何 Pod 启用 automountServiceAccountToken的能力。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

要求容器映像以指定列表中的字符串开头。

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

不适用

禁止所有类型为负载均衡器的服务。

deny

  • kube-system

禁止所有节点端口类型的服务。

deny

  • istio-system

  • 网络先决条件检查

用户不得创建具有空白或通配符 (*) 主机名的入口,因为这将使他们能够拦截集群中其他服务的流量,即使他们无权访问这些服务。

deny

不适用

要求容器设置内存和 CPU 限制。 将限制限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

要求容器设置内存和 CPU 请求。 将请求限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • 先决条件**”

设置容器资源限制与请求的最大比率。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

要求容器具有已定义的资源集。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

不允许将集群角色和角色资源与 system:anonymous 用户和 system:unauthenticated 组相关联。

deny

不适用

要求容器映像具有与指定列表中不同的映像标签。

deny

不适用

要求容器设置临时存储限制,并将限制限制在指定的最大值范围内。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argod

  • 默认

  • istio-system

  • 证书管理器

  • 监控

  • 风量

  • prereq**

deny

不适用

仅要求入口资源为 HTTPS。 入口资源必须包含 kubernetes.io/ingress.allow-http 注释,并设置为 false。 默认情况下,需要有效的 TLS {} 配置,可以通过将 tlsOptional 参数设置为 true使其可选。

dryrun

  • 监控

要求容器映像包含摘要。

dryrun

  • UiPath

阻止更新通过 Pod 进行抽象的资源上的服务帐户。 在审核模式下,此策略将被忽略。

dryrun

不适用

deny

  • 风量

要求 Pod 具有就绪探测器和/或活动探测器。

dryrun

  • UiPath

使用时需要指定存储类。

dryrun

不适用

要求所有入口规则主机唯一。

dryrun

不适用

要求服务在命名空间中具有唯一的选取器。 如果选取器具有相同的键和值,则视为相同选取器。 只要选取器之间至少存在一个不同的键/值对,就可以共享一个键/值对。

dryrun

不适用

备注:
  • 仅当您安装 Process Mining 和 Task Mining 时,才需要 dapr-system 命名空间。
  • 仅当您安装 Process Mining 时,才需要 airflow 命名空间。
  • prereq** 是运行先决条件或运行状况检查时创建的临时命名空间。命名空间将在完成后自删除。

网络策略

Automation Suite 预配置了标准 Kubernetes 网络策略,以遵循最小特权网络访问原则。您可以选择通过在 input.jsonexclude components 列表下添加 network-policies 来跳过安装 UiPath 提供的网络策略。要了解有关可选组件的更多信息,请参阅 Automation Suite 堆栈
Automation Suite 强制执行源自 uipath 命名空间、至该命名空间以及在其中的网络。如果您使用自己的网络策略或具有自定义 CNI(例如 Cilium Enterprise 或 CalicoTigera Enterprise),请确保更新策略以镜像 network-policies Helm 图表。
您可以通过运行以下命令来查找 Automation Suite network-policies Helm 图表。
备注:
  • 您必须在以下命令中将 <automation-suite-version> 替换为当前的 Automation Suite 版本。
  • 您必须解压缩文件才能提取 Helm 图表。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

集群权限要求

管理节点上的uipathctl需要集群管理员访问权限才能在专用集群上安装和管理 Automation Suite。 Automation Suite 中的系统级组件(例如 Istio(路由/服务网格)和 ArgoCD(部署和应用程序生命周期管理))以及创建与 Automation Suite 相关的命名空间需要此级别的访问权限。
  • 网守和 OPA 策略
  • OPA 策略
  • 其他 OPA 策略
  • 网络策略
  • 集群权限要求

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。