- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
Test Cloud 管理员指南
请在网络内的计算机上安装并启动 Relay 客户端,以此建立通往 Test Cloud 的出站隧道。开始之前,请先配置 Relay 组并准备好所需的客户端配置 string。
先决条件
硬件要求
| 配置文件 | vCPU | RAM | Relay组 | 每组端点 | Use case |
|---|---|---|---|---|---|
| 标准 | 1 | 2 GB | 最多 10 个 | 最多 50 个 | 大多数部署 |
| 大 | 2 | 4GB | 10+ | 最多 50 个 | 高吞吐量或大规模环境 |
这些是中继客户端流程的最低要求。如果计算机运行其他工作负载,请相应地配置其他资源。
磁盘要求
| 配置文件 | 可用磁盘下限 |
|---|---|
| 标准(1–10 组) | 200 MB |
| 大型(10 个以上组) | 1 GB |
支持的操作系统
| 架构 | Linux | Windows |
|---|---|---|
| x86_64 (amd64) | 支持 | 支持 |
| ARM64 (aarch64) | 支持 | 支持 |
网络要求
中继客户端需要仅出站连接。不需要入站防火墙规则。
| 协议 | 端口 | 目标 | 需要 TLS 直通 | 用途 |
|---|---|---|---|---|
| https | 443 | cloud.uipath.com | 非必填 | 身份验证和中继注册 |
| TCP | 443 | <region>-relay.uipath.com | 必填 | 通向中继服务器的持久隧道(原始 TLS 包装的 TCP) |
将<region>替换为您的 Test Cloud 租户所在区域。
| 区域 | 中继服务器主机名 |
|---|---|
| us | us-relay.uipath.com |
| 欧盟 | eu-relay.uipath.com |
| 加拿大 | ca-relay.uipath.com |
| 瑞士 | ch-relay.uipath.com |
| 澳大利亚 | au-relay.uipath.com |
| 新加坡 | sg-relay.uipath.com |
| 日本 | jp-relay.uipath.com |
| 韩国 | kr-relay.uipath.com |
| 阿拉伯联合酋长国 | ae-relay.uipath.com |
| 英国 | uk-relay.uipath.com |
| GXP 欧盟 | gxp-eu-relay.uipath.com |
| GXP US | gxp-us-relay.uipath.com |
如果上面未列出您的租户区域,请联系 UiPath 支持团队,以确认中继服务器主机名。
选择与您的 UiPath 云租户区域匹配的区域,而不是中继节点的物理位置。例如,如果您的租户是在美国地区配置的,即使中继本身在不同的区域运行,也请使用us-relay.uipath.com 。
延迟注意事项:由于流量会遍历 UiPath Cloud → 中继节点 → 本地服务,因此将中继节点放置在靠近租户区域的位置可最大限度地减少往返时间,并提高整体吞吐量。
配置防火墙和任何 TLS 检查代理或 DLP 设备,以允许<region>-relay.uipath.com:443 TLS 直通。对此目标的 TLS 检查中断了中继隧道。
运行中继客户端的计算机还必须对计划公开的所有本地部署服务具有直接网络访问权限。相应地规划中继客户端的放置。
Relay 节点必须能够解析主机名,并在运行时为其中继组中的每个端点打开与已注册端口的连接。路由路径很灵活,只要来自 Relay 节点的连接成功,直接网络路由、公司出口代理或跳转主机都可以接受。规划放置位置,以便组中的每个端点保持可访问。
带宽
空闲时,控制通道(心跳和身份验证)的使用量大约为每分钟 1–2 KB 。数据流量会随着云服务向本地部署端点发送的请求量而增加,中继充当透明隧道,除了 TLS 成帧之外没有额外开销。
验证连接
在安装中继客户端之前,请确认允许端口 443 上的出站流量流向两个所需的目标。
Linux
nc -zv cloud.uipath.com 443
nc -zv <region>-relay.uipath.com 443
nc -zv cloud.uipath.com 443
nc -zv <region>-relay.uipath.com 443
Windows (PowerShell)
Test-NetConnection -ComputerName cloud.uipath.com -Port 443
Test-NetConnection -ComputerName <region>-relay.uipath.com -Port 443
Test-NetConnection -ComputerName cloud.uipath.com -Port 443
Test-NetConnection -ComputerName <region>-relay.uipath.com -Port 443
成功的结果在 Windows 上显示TcpTestSucceeded : True ,在 Linux 上显示succeeded 。如果任一检查失败,请查看防火墙规则,并确认已为中继服务器主机名配置 TLS 直通。
配置代理(如果适用)
如果您的网络通过代理路由出站流量,请在运行之前设置以下环境变量relay start 。中继客户端将代理应用于所有出站连接。
| 变量 | 用途 |
|---|---|
HTTPS_PROXY / https_proxy | 代理 URL(优先勾选) |
HTTP_PROXY / http_proxy | 代理 URL(回退) |
NO_PROXY / no_proxy | 绕过代理的逗号分隔主机或域 |
代理 URL 必须使用以下方案之一: http:// 、 https:// 、 socks5://或ntlm:// 。格式: scheme://[user:password@]host:port 。
对于https://代理:中继客户端根据操作系统信任存储区验证代理的 TLS 证书。如果您的代理使用公司 CA 或自签名 CA,请在启动中继之前将该 CA 添加到中继客户端计算机的信任存储中;否则,TLS 握手将失败,并显示证书验证错误。
配置代理以绕过<region>-relay.uipath.com:443 TLS 检查。不支持 pac 文件、WPAD 自动发现和代理链接 — 显式设置代理 URL。检测到代理时,先决条件检查会在输出中显示via proxy 。
安全性: Relay 客户端会在日志中脱敏代理密码。但是,环境变量中设置的凭据可能在流程列表和 systemd 单元文件中可见。使用专用服务凭据,并相应地限制对Relay节点的访问。
配置受信任的 IP(如果适用)
如果您的组织启用了基于 IP 地址的访问限制,请将运行 Relay 客户端的计算机的 NAT IP 地址,添加到 UiPath Administration 的受信任 IP 列表中。Relay 客户端的出站流量会以该 IP 地址访问 Test Cloud,因此必须将该 IP 地址明确加入允许列表。
有关说明,请参阅添加受信任的 IP 范围。
接受许可协议
在启动中继客户端之前,您必须接受许可协议。选择以下方法之一:
选项 1(环境变量) — 将LICENSE_AGREEMENT环境变量设置为接受:
Linux
export LICENSE_AGREEMENT=accept
export LICENSE_AGREEMENT=accept
Windows
$env:LICENSE_AGREEMENT=accept
$env:LICENSE_AGREEMENT=accept
选项 2(内联参数) — 将--accept-license-agreement附加到relay start命令中:
./relay start --config "<your-config>" --accept-license-agreement
./relay start --config "<your-config>" --accept-license-agreement
设置指南
针对生产环境的部署,请参阅适用于您操作系统的平台指南,其中涵盖目录结构、服务管理、安全框架配置和卸载步骤:
运营
连接弹性
中继客户端自动维护隧道:
- 心跳默认情况下每 30 秒进行一次(可通过
--heartbeat-interval配置,最短 10 秒)。隧道超时是心跳间隔的 3 倍。如果防火墙、代理或 NAT 在 30 秒前断开空闲 TCP 连接,请缩短间隔:relay start --config "<config>" --heartbeat-interval 10 relay restart <id> --heartbeat-interval 10relay start --config "<config>" --heartbeat-interval 10 relay restart <id> --heartbeat-interval 10 - 断开连接时自动重新连接,使用指数退避算法至 20 秒间隔。
- 进程崩溃时服务自动重新启动,由 Linux 上的 systemd 和 Windows 上的 Windows 服务控制管理器管理。
- 服务在系统重新启动时自动启动。
主动重新连接
某些网络(在具有空闲连接超时功能的公司代理、负载均衡器或防火墙后面)会静默终止长效 TLS 连接。主动重新连接会定期重新建立控制连接,以防止出现这种情况。
使用--reconnect-interval标志启用它:
relay start --config "<config>" --reconnect-interval 1800
relay start --config "<config>" --reconnect-interval 1800
最小值有效为 1800 秒(30 分钟)。将间隔设置为网络设备空闲超时的大约一半,例如,对于 60 分钟的防火墙超时,则设置为 1800 秒。在没有空闲连接超时的稳定网络上保持禁用状态。
正常排空。经过该间隔后,Relay 客户端将停止接受新工作,并等待正在进行的连接完成(最多 300 秒的排出超时),然后关闭旧连接并打开新连接。在达到排出超时时间时,仍在处理中的请求将终止。
高可用性。当在同一组中部署多个 Relay 客户端时,它们将进行协调,以便一次只有一个客户端排空数据。该组将继续在每个重新连接周期提供流量。
需要主动重新连接的标志:日志显示定期出现unexpected EOF错误或在基础网络稳定的情况下静默断开连接,这通常是由防火墙、代理或负载均衡器 30–60 分钟空闲超时引起的。
重新加载配置
relay reload <id>
relay reload <id>
从 Test Cloud 重新获取代理配置并直接应用,此过程无需重启。云端的任何变更(如新增端点、更新运行状况检查路径)都会自动推送到正在运行的 Relay 客户端,通常无需重新加载。仅当新添加的端点返回404时,才将此命令用作回退方案。
日志记录
| 设置 | 值 |
|---|---|
| 默认级别 | info |
| 旋转 | Daily |
| 保留 | 7 天 |
| 日志文件 | relay.log (当前), relay.YYYYMMDD-HHMMSS.log (已轮换) |
使用--log-level trace/debug/info/warn/error覆盖默认日志级别。
管理命令
| 操作 | Linux | Windows(管理员 PowerShell) |
|---|---|---|
| 列出中继客户端 | relay list | .\relay.exe list |
| 列表(JSON 输出) | relay list --json | .\relay.exe list --json |
| 查看日志 | relay logs <id> | .\relay.exe logs <id> |
| 流日志 | relay logs <id> --follow | .\relay.exe logs <id> --follow |
| 重新加载配置 | relay reload <id> | .\relay.exe reload <id> |
| 停止 | sudo relay stop <id> | .\relay.exe stop <id> |
| 重启 | sudo relay restart <id> | .\relay.exe restart <id> |
| 删除 | sudo relay delete <id> | .\relay.exe delete <id> |
| 强制删除 | sudo relay delete <id> --force | .\relay.exe delete <id> --force |
| 版本 | relay version | .\relay.exe version |
当凭据无法读取时(例如,在虚拟机克隆或重新映像后)或者云端中继组已被删除,请使用--force进行删除。
命令参考
relay start
配置一个新的中继客户端,并将其作为后台服务启动。
配置(必填项)
-c、--config <string>— 内联 Base64 编码的配置字符串。--config-file <path>— 包含配置字符串的文件路径。推荐 — 将密码保留在 Shell 历史记录之外。
调整(可选)
--heartbeat-interval <sec>— 隧道心跳间隔。默认30。隧道超时为此值的 3 倍。如果防火墙、NAT 或代理在 30 秒前丢弃空闲 TCP,则更低。--reconnect-interval <sec>— 主动重新连接间隔。默认0(禁用);设置后,最短1800(30 分钟)生效。--log-level <level>—trace、debug、info、warn或error。默认info。-d、--detach=false— 在前台运行,不作为后台服务运行。用于调试启动问题。
非默认安装路径(可选)
--data-dir <path>— 配置目录。--logs-dir <path>— 日志文件目录。--bin-dir <path>— 二进制文件安装目录。
仅限 Linux
--user-mode— 安装为 systemd 用户服务(不需要sudo,使用 XDG 路径)。
仅限 Windows
--service-account <DOMAIN\user>— 在特定帐户下运行 Windows 服务。默认值为LocalSystem。--service-account-password <password>—--service-account的密码。
relay restart <id>
停止并重新启动中继客户端服务。检测更新的二进制文件并应用服务定义更改。以下标志可以在重新启动时覆盖(全部默认保持不变):
--config/--config-file— 替换客户端配置。--log-level— 更改日志级别。--heartbeat-interval— 更改心跳间隔。传递0即可保持不变。--reconnect-interval— 更改主动重新连接间隔。设置后最短1800(30 分钟)。传递0以禁用。
relay logs <id>
显示 Relay 客户端的日志输出。
-f、--follow— 持续流式传输新的日志行。-n、--lines <N>— 倒数行数。默认为50。
relay list
显示此计算机上的所有 Relay 客户端,包括状态、组 ID、创建时间戳和服务模式。
--json— 发出 JSON 输出,用于自动化和脚本编写。
relay reload <id>
从 Test Cloud 重新获取代理配置并直接应用,此过程无需重启。如果新添加的端点返回404,请将其用作回退方案。
relay stop <id>
停止中继客户端服务。保留配置和凭据——中继客户端可以稍后重新启动。
relay delete <id>
停止当前服务,从 Test Cloud 中取消注册,并移除所有本地配置和凭据。
-f、--force— 无需在云取消注册即可从本地删除。在凭据不可读或云端资源已被删除时使用。
relay support-bundle [id]
收集经过脱敏处理的配置、日志和系统元数据归档文件,用于提交 UiPath 支持工单。若省略[id],系统将会打包该计算机上的所有 Relay 客户端。凭据和加密密钥将不会包括在内。请参阅“Relay 故障排除”,了解完整详细信息。
relay version
打印 Relay 客户端版本、构建日期和 git 提交哈希值。
防病毒和端点安全
如果您的组织运行端点保护软件,请为中继二进制文件及其数据目录添加排除项,以防止中继客户端被阻止或隔离。配置 TLS 检查代理、DLP 设备和 IDS/IPS 系统,以绕过<region>-relay.uipath.com:443检查。
| 目标 | 端口 | 协议 | 操作 |
|---|---|---|---|
cloud.uipath.com | 443 | https | 允许 |
<region>-relay.uipath.com | 443 | TLS | “允许”+ 绕过 TLS 检查 |