OpenShift 上的 Automation Suite 安装指南

上次更新日期 2025年10月8日

安全性与合规性

UiPath™ 服务的安全上下文

本节提供有关 UiPath™ 服务的安全上下文的详细信息。

所有 UiPath™ 服务都配置有在其spec部分中定义的安全上下文。

以下示例显示了 UiPath™ 服务的典型配置：

spec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        privileged: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

对于某些 UiPath™ 服务，典型的安全上下文配置存在例外情况：

Insights 具有多个使用 Chromium Linux SUID 沙盒的功能。虽然安装 Insights 不需要提升的访问权限，但对于特定功能而言，提升的访问权限至关重要。有关详细信息，请参阅配置 Insights 自定义安全上下文。

Process Mining 使用以下 Airflow 服务，这些服务的安全上下文与 UiPath™ 服务的典型配置不同：

statsd服务，如以下示例所示：

securityContext:
    runAsUser: 65534
    seLinuxOptions:
      level: s0:c27,c4securityContext:
    runAsUser: 65534
    seLinuxOptions:
      level: s0:c27,c4

scheduler 、 webserver和其他 Airflow Pod，如以下示例所示：

securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 50000
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000  securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 50000
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000

动态运行时 Pod，如以下示例所示：

securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 1001
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000  securityContext:
    fsGroup: 1000
    runAsGroup: 1000
    runAsNonRoot: true
    runAsUser: 1001
    seLinuxOptions:
      level: s0:c27,c4
    supplementalGroups:
      - 1000

在某些情况下，用户 ID 和组 ID 可以大于或等于 1000，具体取决于您的环境。确保根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

网络策略

下表提供了网络策略的一般准则。其中包含配置<uipath>命名空间所需的路由列表。

来源	目标	方向	端口	策略类型	条件
`uipath`中的所有 Pod	所有外部	拒绝	全部	网络策略	默认拒绝全部策略
`uipath`中的所有 Pod	`uipath`中的所有 Pod	允许	全部	网络策略	内部命名空间通信
`uipath`中的所有 Pod	kube 系统 DNS	出口数量	53 TCP/UDP	网络策略	DNS 解析
`uipath`中的所有 Pod	外部 IP	出口数量	全部	网络策略	外部通信
`uipath`中的所有 Pod	Istiod	出口数量	全部	网络策略	服务网格控件
Prometheus	`uipath`中的所有 Pod	入口	自定义抓取端口	网络策略	监控访问权限
Istio 网关	`uipath`中的所有 Pod	入口	全部	网络策略	网关流量
Kube 系统	`uipath`中的所有 Pod	入口	全部	网络策略	系统访问权限
Redis 系统	`uipath`中的所有 Pod	入口	9091/ TCP	网络策略	Redis 监控
列出的服务	Redis 命名空间	出口数量	全部	网络策略	Redis 访问

集群权限要求

Automation Suite 在安装过程中需要集群管理员角色，以自动化整个安装流程。或者，您可以安装具有较低权限的 Automation Suite。权限较低的安装涉及一些额外的步骤。有关安装所需的权限，请参阅步骤 2：创建所需的角色。

FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

上的 Automation Suite 可以在已启用 FIPS 140-2 的计算机上运行。

为新安装启用 FIPS 140-2

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在开始安装 Automation Suite 之前，请在计算机上启用 FIPS 140-2。
按照本指南中的安装说明执行 Automation Suite 安装。
备注：
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅 AI Center 的 SQL 要求。
- 确保已禁用 Insights，因为 FIPS 140-2 不支持它。
将input.json文件中的fips_enabled_nodes标志设置为true 。
确保您的证书与 FIPS 140-2 兼容。

备注：
默认情况下，Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书，其到期日期取决于您选择的 Automation Suite 安装类型。

我们强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite，新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码，请参阅RHEL 文档。

有关如何添加您自己的符合 FIPS 140-2 的令牌签名证书和 TLS 证书的详细信息，请参阅证书配置。