automation-suite
2022.4
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Automation Suite 安装指南

上次更新日期 2024年12月19日

配置集群

配置工具

configureUiPathAS.sh 脚本可帮助您控制和管理 Automation Suite。该工具随安装捆绑包一起提供,可在主安装程序文件夹中找到。configureUiPathAS.sh 当前只能执行少数操作。
要查看有关 configureUiPathAS.sh 的更多信息,请运行:
sudo ./configureUiPathAS.sh --helpsudo ./configureUiPathAS.sh --help

您应该会看到以下输出:

configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```configureUiPathAS.sh controls and manage UiPath Automation Suites

Usage:
  configureUiPathAS.sh [command]
  configureUiPathAS.sh [flags]

Available Commands:
  config                               Manage cluster configuration
  tls-cert                             Manage tls and server certificate
  additional-ca-certs                  Manage additional ca certificates
  identity                             Manage identity service
  objectstore                          Manage objectstore
  registry                             Manage registry
  monitoring                           Manage monitoring
  rabbitmq                             Manage rabbitmq
  mongodb                              Manage mongo
  node                                 Manage k8s nodes
  enable-maintenance-mode              Enables maintenance mode on the Cluster
  disable-maintenance-mode             Disables maintenance mode on the Cluster
  is-maintenance-enabled               Checks if maintenance mode is enabled on the Cluster
  resume-scheduled-backups             Resumes the paused scheduled backups
  verify-volumes-backup                Verify if all volumes are backed up
Flags:
  -h|--help                           Display help

***************************************************************************************```
您可以使用 configureUiPathAS.sh 脚本来管理 Automation Suite 集群中的以下组件:
  • 服务器证书 - 管理 TLS 和服务器证书(更新并获取证书)
  • 其他 CA 证书 - 管理其他 CA 证书,例如 SQL 服务器证书、代理服务器证书等。
  • 身份服务 - 管理身份服务配置,例如令牌签名证书、SAML 证书、Kerberos 和 Windows 身份验证等。
  • 对象存储 - 管理 ceph 对象存储(目前仅支持调整 CEPH PVC/存储的大小)
  • 注册表 - 管理 Docker 注册表(目前仅支持调整注册表 PVC/存储的大小)
  • 监控 - 管理 Rancher Server(目前仅支持调整 Rancher Server PVC/存储的大小)
  • RabbitMQ - 管理 RabbitMQ 消息队列(目前仅支持调整 RabbitMQ PVC/存储的大小)
  • MongoDB - 管理 MongoDB 数据存储(目前仅支持调整 MongoDB PVC/存储和证书管理)

更新 SQL Server 连接

要更新 SQL Server 的连接字符串或凭据,请直接编辑主服务器节点上的 cluster_config.json 文件。您可以根据需要更新的内容直接编辑文件中的 SQL 字段(sql.usernamesql.passwordsql.server_url)。

更新文件后,在同一台计算机上使用更新的配置作为参数重新运行交互式安装向导。您只需在主服务器上重新运行安装。

更新 Kerberos 身份验证

更新 Kerberos 身份验证配置

要更新通用 Kerberos 身份验证配置,请执行以下步骤:

  1. 通过 SSH 连接到任何服务器计算机。
  2. 运行以下命令:
    ./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]./configureUiPathAS.sh identity kerberos-auth global-config update --enabled [kerberos-enabled] --adDomain [ad-domain] --username [default-ad-username] --keytab [default-ad-user-keytab] --lifetime [ticketLifeTimeInHour]
    备注:
    • 要手动生成密钥表文件,请参阅设置 Kerberos 身份验证
    • AD 域控制器在“默认域策略” 、中具有“用户票证最长生存期”Kerberos 设置。确保此处配置的票证生存期不长于域控制器上的设置。
    docs image

控制台输出成功

Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>Updating kerberos auth.....Success!
If you wish to utilize SQL Integrated Auth using Kerberos, 
please update the SQL connection string to enable Integrated Auth. 
For more info on kerberos auth, <link>

控制台输出失败

Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.Updating kerberos auth.....Failed!
Please provide valid kerberos auth configuration values.

更新服务组的 AD 用户名和 AD 用户的密钥表

要更新特定服务的 AD 用户名和/或 AD 用户的密钥表,请执行以下步骤:

运行以下命令:
./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]./configureUiPathAS.sh identity kerberos-auth service-config update --sg [service-group] --username [new-ad-username] --keytab [new-ad-user-keytab]

以下服务组可用(区分大小写):

  • Orchestrator
  • 平台
  • discoverygroup
  • Test Manager
  • Automation Ops
  • AI Center
  • Document Understanding
  • Insights
  • dataservice

    注意:要手动生成密钥表文件,请参阅设置 Kerberos 身份验证

控制台输出成功

Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Success!
If you want to enable sql integrated auth for the <service-group> service goup, 
please update the service's sql connection string. For more info on kerberos auth, <link>

控制台输出失败

Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>Updating kerberos config for <service-group> service group.....Failed!
Please provided a valid kerberos auth configuration values.
For more info on kerberos auth, <link>

添加系统管理员

默认情况下,系统会在 Automation Suite 中创建一个系统管理员,用户名是主机组织中的管理员

如果无法访问主机组织 - 例如,如果系统管理员的密码丢失,或者唯一拥有系统管理员帐户的用户离开公司 - 可以使用工具添加或恢复系统管理员。

如果平台服务的 SQL 连接字符串参数“Integrated Security=true”存在,则此脚本不起作用。

./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]./configureUiPathAS.sh identity add-host-admin --username [new-admin-username] --email [new-admin-email] --password [new-admin-password]
  • --username 是必填字段。
  • 仅当新管理员使用基本身份验证登录时,才需要 --password
  • --email 是可选的,除非您的外部身份提供程序要求(例如,Google 通过电子邮件而不是用户名进行匹配)。

关于如何创建或还原管理员,有一些重要说明:

  • 新管理员不能使用与现有管理员相同的用户名或电子邮件地址。如果您使用与现有管理员相同的用户名或电子邮件,则现有管理员会更新。如果要更改密码,这将非常有用。
  • 如果管理员已删除,并且您对新用户使用相同的用户名或电子邮件,则系统将恢复已删除的管理员,而不是创建新的管理员。在这种情况下,密码字段不会被覆盖。一个例外情况是,如果多个管理员使用相同的用户名或电子邮件地址被删除,这将导致创建一个新的管理员。
  • 如果强制使用主机上配置的任何外部身份提供程序,则会对参数施加限制。例如,如果强制使用 Windows AD,则用户名的格式必须为 user@domain。如果强制使用 Google,则需要提供电子邮件地址。
  • 首次登录新的管理员帐户时,必须更改密码。

重新启用基本身份验证

由于配置的 Azure Active Directory 或其他外部身份提供程序存在问题,组织管理员和系统管理员可能无法登录。组织管理员可能被锁定,因为在“身份验证设置”中选中了 Disable basic authentication 标志。组织和系统管理员可能被锁定,因为外部身份提供程序配置为 force/exclusive。此工具将尝试为组织重新启用基本身份验证。
如果平台服务存在 SQL 连接字符串参数 Integrated Security=true,则此脚本不起作用。
./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]./configureUiPathAS.sh identity enable-basic-auth --orgname [org-name]
备注: --orgname 是必填字段。如果基本身份验证在主机级别受到限制,请将组织名称设置为 host

更新 TLS 协议

在 Automation Suite 中配置的用于路由、服务之间通信等的 Istio 入口网关使用 TLS 来保护交换。为防止任何安全威胁,默认情况下禁用已弃用的 TLS 协议版本。

当前仅支持 TLS 版本 1.2 及更高版本,如果您使用以前的版本,建议升级。但是,仍可以使用以前的 TLS 版本进行连接,但您必须首先在 Automation Suite 服务器上启用它。

重要提示:TLS 1.0 和 1.1 已弃用,启用这些版本可能会带来安全风险。强烈建议您升级到 TLS 1.2 或更高版本,而不是在服务器上启用较低版本。

要启用不受支持的 TLS 版本,请执行以下步骤之一:

  • 要启用对 TLS 1.0 及更高版本的支持,请运行以下命令:

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_0"}]'
  • 要启用对 TLS 1.1 及更高版本的支持,请运行以下命令:

    kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'kubectl -n istio-system patch gateway main-gateway --type=json \
        -p='[{ "op": "replace", "path": "/spec/servers/0/tls/minProtocolVersion", "value": "TLSV1_1"}]'

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。