automation-suite
2024.10
true
重要 :
请注意,此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

OpenShift 上的 Automation Suite 安装指南

上次更新日期 2025年10月8日

安全性与合规性

UiPath™ 服务的安全上下文

本节提供有关 UiPath™ 服务的安全上下文的详细信息。

所有 UiPath™ 服务都配置有在其spec部分中定义的安全上下文。

以下示例显示了 UiPath™ 服务的典型配置:

spec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

对于某些 UiPath™ 服务,典型的安全上下文配置存在例外情况:

  • Insights 具有多个使用 Chromium Linux SUID 沙盒的功能。 虽然安装 Insights 不需要提升的访问权限,但对于特定功能而言,提升的访问权限至关重要。 有关详细信息,请参阅配置 Insights 自定义安全上下文

  • Process Mining 使用以下 Airflow 服务,这些服务的安全上下文与 UiPath™ 服务的典型配置不同:

    • statsd服务,如以下示例所示:
      securityContext:
          runAsUser: 65534
          seLinuxOptions:
            level: s0:c27,c4securityContext:
          runAsUser: 65534
          seLinuxOptions:
            level: s0:c27,c4
    • schedulerwebserver和其他 Airflow Pod,如以下示例所示:
      securityContext:
          fsGroup: 1000
          runAsGroup: 1000
          runAsNonRoot: true
          runAsUser: 50000
          seLinuxOptions:
            level: s0:c27,c4
          supplementalGroups:
            - 1000  securityContext:
          fsGroup: 1000
          runAsGroup: 1000
          runAsNonRoot: true
          runAsUser: 50000
          seLinuxOptions:
            level: s0:c27,c4
          supplementalGroups:
            - 1000
    • 动态运行时 Pod,如以下示例所示:
      securityContext:
          fsGroup: 1000
          runAsGroup: 1000
          runAsNonRoot: true
          runAsUser: 1001
          seLinuxOptions:
            level: s0:c27,c4
          supplementalGroups:
            - 1000  securityContext:
          fsGroup: 1000
          runAsGroup: 1000
          runAsNonRoot: true
          runAsUser: 1001
          seLinuxOptions:
            level: s0:c27,c4
          supplementalGroups:
            - 1000

在某些情况下,用户 ID 和组 ID 可以大于或等于 1000,具体取决于您的环境。 确保根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

网络策略

下表提供了网络策略的一般准则。其中包含配置<uipath>命名空间所需的路由列表。

来源

目标

方向

端口

策略类型

条件

uipath中的所有 Pod

所有外部

拒绝

全部

网络策略

默认拒绝全部策略

uipath中的所有 Pod
uipath中的所有 Pod

允许

全部

网络策略

内部命名空间通信

uipath中的所有 Pod

kube 系统 DNS

出口数量

53 TCP/UDP

网络策略

DNS 解析

uipath中的所有 Pod

外部 IP

出口数量

全部

网络策略

外部通信

uipath中的所有 Pod

Istiod

出口数量

全部

网络策略

服务网格控件

Prometheus

uipath中的所有 Pod

入口

自定义抓取端口

网络策略

监控访问权限

Istio 网关

uipath中的所有 Pod

入口

全部

网络策略

网关流量

Kube 系统

uipath中的所有 Pod

入口

全部

网络策略

系统访问权限

Redis 系统

uipath中的所有 Pod

入口

9091/ TCP

网络策略

Redis 监控

列出的服务

Redis 命名空间

出口数量

全部

网络策略

Redis 访问

集群权限要求

Automation Suite 在安装过程中需要集群管理员角色,以自动化整个安装流程。 或者,您可以安装具有较低权限的 Automation Suite。 权限较低的安装涉及一些额外的步骤。 有关安装所需的权限,请参阅步骤 2:创建所需的角色

FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

上的 Automation Suite 可以在已启用 FIPS 140-2 的计算机上运行。

为新安装启用 FIPS 140-2

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2,请执行以下步骤:

  1. 在开始安装 Automation Suite 之前,请在计算机上启用 FIPS 140-2。
  2. 按照本指南中的安装说明执行 Automation Suite 安装。
    备注:
    • 如果您在启用 FIPS 140-2 的计算机上安装 AI Center,并且还使用 Microsoft SQL Server,则需要完成一些其他配置。有关详细信息,请参阅 AI Center 的 SQL 要求

    • 确保已禁用 Insights,因为 FIPS 140-2 不支持它。

  3. input.json文件中的fips_enabled_nodes标志设置为true
  4. 确保您的证书与 FIPS 140-2 兼容。
    备注:

    默认情况下,Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书,其到期日期取决于您选择的 Automation Suite 安装类型。

    我们强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。 要在启用 FIPS 140-2 的计算机上使用 Automation Suite,新提供的证书必须与 FIPS 140-2 兼容。 有关 RHEL 支持的符合条件的密码,请参阅RHEL 文档

    有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息,请参阅证书配置

  • UiPath™ 服务的安全上下文
  • 网络策略
  • 集群权限要求
  • FIPS 140-2
  • 为新安装启用 FIPS 140-2

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo
信任与安全
© 2005-2025 UiPath。保留所有权利。