automation-suite
2022.4
false
- 概述
- 要求
- 安装
- 安装后
- 集群管理
- 监控和警示
- 迁移和升级
- 特定于产品的配置
- 最佳实践和维护
- 故障排除
- 无法获取沙盒映像
- Pod 未显示在 ArgoCD 用户界面中
- Redis 探测器失败
- RKE2 服务器无法启动
- 在 UiPath 命名空间中找不到密码
- 初始安装后,ArgoCD 应用程序进入“进行中”状态
- MongoDB Pod 处于 CrashLoopBackOff 状态或在删除后处于“等待 PVC 配置”状态
- 意外错误:不一致;手动运行 fsck
- 集群还原后 MongoDB 或业务应用程序降级
- 缺少 Self-heal-operator 和 Sf-k8-utils 存储库
- 集群还原或回滚后服务不正常
- RabbitMQ Pod 卡在 CrashLoopBackOff 中
- Prometheus 处于 CrashLoopBackoff 状态,并出现内存不足 (OOM) 错误
- 监控仪表板中缺少 Ceph-rook 指标
- Pod 无法在代理环境中与 FQDN 通信
- 使用 Automation Suite 诊断工具
- 使用 Automation Suite 支持包工具
- 探索日志
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
Automation Suite 安装指南
Last updated 2024年11月4日
配置集群
configureUiPathAS.sh 脚本可帮助您控制和管理 Automation Suite。该工具随安装捆绑包一起提供,可在主安装程序文件夹中找到。configureUiPathAS.sh 当前只能执行少数操作。
要查看有关
configureUiPathAS.sh 的更多信息,请运行:
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help您应该会看到以下输出:
configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
Flags:
-h|--help Display help
***************************************************************************************```configureUiPathAS.sh controls and manage UiPath Automation Suites
Usage:
configureUiPathAS.sh [command]
configureUiPathAS.sh [flags]
Available Commands:
config Manage cluster configuration
tls-cert Manage tls and server certificate
additional-ca-certs Manage additional ca certificates
identity Manage identity service
objectstore Manage objectstore
registry Manage registry
monitoring Manage monitoring
rabbitmq Manage rabbitmq
mongodb Manage mongo
node Manage k8s nodes
enable-maintenance-mode Enables maintenance mode on the Cluster
disable-maintenance-mode Disables maintenance mode on the Cluster
is-maintenance-enabled Checks if maintenance mode is enabled on the Cluster
resume-scheduled-backups Resumes the paused scheduled backups
verify-volumes-backup Verify if all volumes are backed up
Flags:
-h|--help Display help
***************************************************************************************```您可以使用
configureUiPathAS.sh 脚本来管理 Automation Suite 集群中的以下组件:
- 服务器证书 - 管理 TLS 和服务器证书(更新并获取证书)
- 其他 CA 证书 - 管理其他 CA 证书,例如 SQL 服务器证书、代理服务器证书等。
- 身份服务 - 管理身份服务配置,例如令牌签名证书、SAML 证书、Kerberos 和 Windows 身份验证等。
- 对象存储 - 管理 ceph 对象存储(目前仅支持调整 CEPH PVC/存储的大小)
- 注册表 - 管理 Docker 注册表(目前仅支持调整注册表 PVC/存储的大小)
- 监控 - 管理 Rancher Server(目前仅支持调整 Rancher Server PVC/存储的大小)
- RabbitMQ - 管理 RabbitMQ 消息队列(目前仅支持调整 RabbitMQ PVC/存储的大小)
- MongoDB - 管理 MongoDB 数据存储(目前仅支持调整 MongoDB PVC/存储和证书管理)
要更新 SQL Server 的连接字符串或凭据,请直接编辑主服务器节点上的
cluster_config.json 文件。您可以根据需要更新的内容直接编辑文件中的 SQL 字段(sql.username、sql.password 和 sql.server_url)。
更新文件后,在同一台计算机上使用更新的配置作为参数重新运行交互式安装向导。您只需在主服务器上重新运行安装。
要更新通用 Kerberos 身份验证配置,请执行以下步骤:
- 运行以下命令:
./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]备注:- 要手动生成密钥表文件,请参阅设置 Kerberos 身份验证。
- AD 域控制器在“默认域策略” 、中具有“用户票证最长生存期”Kerberos 设置。确保此处配置的票证生存期不长于域控制器上的设置。
控制台输出成功
Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos,
please update the SQL connection string to enable Integrated Auth.
For more info on kerberos auth, <link>控制台输出失败
Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.要更新特定服务的 AD 用户名和/或 AD 用户的密钥表,请执行以下步骤:
运行以下命令:
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]以下服务组可用(区分大小写):
Orchestrator平台discoverygroupTest ManagerAutomation OpsAI CenterDocument UnderstandingInsights-
dataservice注意:要手动生成密钥表文件,请参阅设置 Kerberos 身份验证。
控制台输出成功
Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup,
please update the service's sql connection string. For more info on kerberos auth, <link>控制台输出失败
Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>默认情况下,系统会在 Automation Suite 中创建一个系统管理员,用户名是主机组织中的管理员。
如果无法访问主机组织 - 例如,如果系统管理员的密码丢失,或者唯一拥有系统管理员帐户的用户离开公司 - 可以使用工具添加或恢复系统管理员。
如果平台服务的 SQL 连接字符串参数“Integrated Security=true”存在,则此脚本不起作用。
./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]--username是必填字段。- 仅当新管理员使用基本身份验证登录时,才需要
--password。 --email是可选的,除非您的外部身份提供程序要求(例如,Google 通过电子邮件而不是用户名进行匹配)。
关于如何创建或还原管理员,有一些重要说明:
- 新管理员不能使用与现有管理员相同的用户名或电子邮件地址。如果您使用与现有管理员相同的用户名或电子邮件,则现有管理员会更新。如果要更改密码,这将非常有用。
- 如果管理员已删除,并且您对新用户使用相同的用户名或电子邮件,则系统将恢复已删除的管理员,而不是创建新的管理员。在这种情况下,密码字段不会被覆盖。一个例外情况是,如果多个管理员使用相同的用户名或电子邮件地址被删除,这将导致创建一个新的管理员。
- 如果强制使用主机上配置的任何外部身份提供程序,则会对参数施加限制。例如,如果强制使用 Windows AD,则用户名的格式必须为
user@domain。如果强制使用 Google,则需要提供电子邮件地址。 - 首次登录新的管理员帐户时,必须更改密码。
由于配置的 Azure Active Directory 或其他外部身份提供程序存在问题,组织管理员和系统管理员可能无法登录。组织管理员可能被锁定,因为在“身份验证设置”中选中了
Disable basic authentication 标志。组织和系统管理员可能被锁定,因为外部身份提供程序配置为 force/exclusive。此工具将尝试为组织重新启用基本身份验证。
如果平台服务存在 SQL 连接字符串参数
Integrated Security=true,则此脚本不起作用。
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]备注:
--orgname 是必填字段。如果基本身份验证在主机级别受到限制,请将组织名称设置为 host。
在 Automation Suite 中配置的用于路由、服务之间通信等的 Istio 入口网关使用 TLS 来保护交换。为防止任何安全威胁,默认情况下禁用已弃用的 TLS 协议版本。
当前仅支持 TLS 版本 1.2 及更高版本,如果您使用以前的版本,建议升级。但是,仍可以使用以前的 TLS 版本进行连接,但您必须首先在 Automation Suite 服务器上启用它。
重要提示:TLS 1.0 和 1.1 已弃用,启用这些版本可能会带来安全风险。强烈建议您升级到 TLS 1.2 或更高版本,而不是在服务器上启用较低版本。
要启用不受支持的 TLS 版本,请执行以下步骤之一:
-
要启用对 TLS 1.0 及更高版本的支持,请运行以下命令:
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]' -
要启用对 TLS 1.1 及更高版本的支持,请运行以下命令:
kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \ -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'
