OpenShift 上的 Automation Suite 安装指南

上次更新日期 2025年5月16日

配置 Insights 自定义安全上下文

Insights 应用程序具有多个使用 Chromium Linux SUID 沙盒的功能。因此，虽然安装 Insights 应用程序本身并不需要提升的访问权限，但对于特定功能来说，提升的访问权限至关重要。

将配置文件另存为 YAML 文件，然后执行以下命令。确保将<file_name.yaml>占位符替换为 YAML 文件使用的实际名称： oc apply -f <file_name.yaml> 。

allowedCapabilities:
  - SETUID
apiVersion: security.openshift.io/v1
fsGroup:
  type: MustRunAs
groups: []
kind: SecurityContextConstraints
metadata:
  name: insights-scc
readOnlyRootFilesystem: false
runAsUser:
  type: MustRunAsRange
seLinuxContext:
  type: MustRunAs
supplementalGroups:
  type: RunAsAny
users: []
volumes:
  - configMap
  - csi
  - downwardAPI
  - emptyDir
  - ephemeral
  - persistentVolumeClaim
  - projected
  - secretallowedCapabilities:
  - SETUID
apiVersion: security.openshift.io/v1
fsGroup:
  type: MustRunAs
groups: []
kind: SecurityContextConstraints
metadata:
  name: insights-scc
readOnlyRootFilesystem: false
runAsUser:
  type: MustRunAsRange
seLinuxContext:
  type: MustRunAs
supplementalGroups:
  type: RunAsAny
users: []
volumes:
  - configMap
  - csi
  - downwardAPI
  - emptyDir
  - ephemeral
  - persistentVolumeClaim
  - projected
  - secret

将以下内容保存在名为<file_name.yaml>的文件中，以创建访问安全上下文约束的角色：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: insights-scc-role
  namespace: <uipath>
rules:
  - verbs:
      - use
    apiGroups:
      - security.openshift.io
    resources:
      - securitycontextconstraints
    resourceNames:
      - insights-scckind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: insights-scc-role
  namespace: <uipath>
rules:
  - verbs:
      - use
    apiGroups:
      - security.openshift.io
    resources:
      - securitycontextconstraints
    resourceNames:
      - insights-scc

通过执行以下命令创建一个角色以访问安全上下文约束： oc apply -f <file_name.yaml> 。确保将<file_name.yaml>占位符替换为 YAML 文件使用的实际名称。

将以下内容保存在名为<file_name.yaml>的文件中，以创建角色绑定，进而将先前定义的角色绑定到 Insights 服务帐户：

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: insights-scc-rolebinding
  namespace: <uipath>
subjects:
  - kind: ServiceAccount
    name: insightslooker-sa
    namespace: <uipath>
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: insights-scc-rolekind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: insights-scc-rolebinding
  namespace: <uipath>
subjects:
  - kind: ServiceAccount
    name: insightslooker-sa
    namespace: <uipath>
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: insights-scc-role

通过执行以下命令，创建角色绑定，以将先前定义的角色绑定到 Insights 服务帐户： oc apply -f <file_name.yaml> 。确保将<file_name.yaml>占位符替换为 YAML 文件中使用的实际名称。

导航到 ArgoCD，并为 Insights 禁用自动同步。
更新位于 Insights Looker 状态副本集中的 Insights Looker 的安全上下文。添加SETUID功能：
```
capabilities:
 add:
  - SETUID
 drop:
  - ALLcapabilities:
 add:
  - SETUID
 drop:
  - ALL
```

推出restart statefulset ：

oc -n <uipath> rollout restart statefulset/insights-insightslookeroc -n <uipath> rollout restart statefulset/insights-insightslooker

此页面有帮助吗？

前一个执行 Insights 数据库维护

下一个配置日志规则

获取您需要的帮助

了解 RPA - 自动化课程

UiPath Community 论坛