- 概述
- 要求
- 预安装
- 安装
- 安装后
- 迁移和升级
- 监控和警示
- 集群管理
- 特定于产品的配置
- 故障排除

OpenShift 上的 Automation Suite 安装指南
本节提供有关 UiPath™ 服务的安全上下文的详细信息。
spec
部分中定义的安全上下文。
以下示例显示了 UiPath™ 服务的典型配置:
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
spec:
securityContext:
runAsNonRoot: true
containers:
- securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false
对于某些 UiPath™ 服务,典型的安全上下文配置存在例外情况:
-
Insights 具有多个使用 Chromium Linux SUID 沙盒的功能。 虽然安装 Insights 不需要提升的访问权限,但对于特定功能而言,提升的访问权限至关重要。 有关详细信息,请参阅配置 Insights 自定义安全上下文。
-
Process Mining 使用以下 Airflow 服务,这些服务的安全上下文与 UiPath™ 服务的典型配置不同:
-
statsd
服务,如以下示例所示:securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4
securityContext: runAsUser: 65534 seLinuxOptions: level: s0:c27,c4 -
scheduler
、webserver
和其他 Airflow Pod,如以下示例所示:securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 50000 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000 -
动态运行时 Pod,如以下示例所示:
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
securityContext: fsGroup: 1000 runAsGroup: 1000 runAsNonRoot: true runAsUser: 1001 seLinuxOptions: level: s0:c27,c4 supplementalGroups: - 1000
-
在某些情况下,用户 ID 和组 ID 可以大于或等于 1000,具体取决于您的环境。 确保根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。
<uipath>
命名空间所需的路由列表。
来源 |
目标 |
方向 |
端口 |
策略类型 |
条件 |
---|---|---|---|---|---|
uipath 中的所有 Pod |
所有外部 |
拒绝 |
全部 |
网络策略 |
默认拒绝全部策略 |
uipath 中的所有 Pod |
uipath 中的所有 Pod |
允许 |
全部 |
网络策略 |
内部命名空间通信 |
uipath 中的所有 Pod |
kube 系统 DNS |
出口数量 |
53 TCP/UDP |
网络策略 |
DNS 解析 |
uipath 中的所有 Pod |
外部 IP |
出口数量 |
全部 |
网络策略 |
外部通信 |
uipath 中的所有 Pod |
Istiod |
出口数量 |
全部 |
网络策略 |
服务网格控件 |
Prometheus |
uipath 中的所有 Pod |
入口 |
自定义抓取端口 |
网络策略 |
监控访问权限 |
Istio 网关 |
uipath 中的所有 Pod |
入口 |
全部 |
网络策略 |
网关流量 |
Kube 系统 |
uipath 中的所有 Pod |
入口 |
全部 |
网络策略 |
系统访问权限 |
Redis 系统 |
uipath 中的所有 Pod |
入口 |
9091/ TCP |
网络策略 |
Redis 监控 |
列出的服务 |
Redis 命名空间 |
出口数量 |
全部 |
网络策略 |
Redis 访问 |
Automation Suite 在安装过程中需要集群管理员角色,以自动化整个安装流程。 或者,您可以安装具有较低权限的 Automation Suite。 权限较低的安装涉及一些额外的步骤。 有关安装所需的权限,请参阅步骤 2:创建所需的角色。