- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 数据导出
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
Test Cloud 管理员指南
请在网络内的计算机上安装并启动 Relay 客户端,以此建立通往 Test Cloud 的出站隧道。开始之前,请先配置 Relay 组并准备好所需的客户端配置 string。
先决条件
硬件要求
| 配置文件 | vCPU | RAM | Relay组 | 每组端点 | Use case |
|---|---|---|---|---|---|
| 标准 | 1 | 2 GB | 最多 10 个 | 最多 50 个 | 大多数部署 |
| 大 | 2 | 4GB | 10+ | 最多 50 个 | 高吞吐量或大规模环境 |
这些是中继客户端流程的最低要求。如果计算机运行其他工作负载,请相应地配置其他资源。
磁盘要求
| 配置文件 | 可用磁盘下限 |
|---|---|
| 标准(1–10 组) | 200 MB |
| 大型(10 个以上组) | 1 GB |
支持的操作系统
| 架构 | Linux | Windows |
|---|---|---|
| x86_64 (amd64) | 支持 | 支持 |
| ARM64 (aarch64) | 支持 | 支持 |
网络要求
中继客户端需要仅出站连接。不需要入站防火墙规则。
从 Relay 客户端26.4.2开始,新的 Relay 客户端配置可以通过标准 Automation Cloud URL cloud.uipath.com连接持久隧道。这些配置不需要隧道的特定区域中继主机名允许列表。
| 中继客户端配置 | 协议 | 端口 | 目标 | 需要 TLS 直通 | 用途 |
|---|---|---|---|---|---|
中继客户端26.4.2或更高版本 | HTTPS/WSS | 443 | cloud.uipath.com | 非必填 | 身份验证、中继注册和持久隧道 |
低于以下版本的中继客户端版本 26.4.2 | TLS | 443 | <region>-relay.uipath.com | 必填 | 持久性隧道 |
低于26.4.2的中继客户端版本可继续使用区域中继主机名。将这些主机名保留在允许列表中,直到您转移到中继客户端26.4.2或更高版本并通过cloud.uipath.com进行连接。
对于26.4.2之前的 Relay 客户端版本,请将<region>替换为 Test Cloud 租户的区域。
| 区域 | 中继服务器主机名 |
|---|---|
| us | us-relay.uipath.com |
| 欧盟 | eu-relay.uipath.com |
| 加拿大 | ca-relay.uipath.com |
| 瑞士 | ch-relay.uipath.com |
| 澳大利亚 | au-relay.uipath.com |
| 新加坡 | sg-relay.uipath.com |
| 日本 | jp-relay.uipath.com |
| 韩国 | kr-relay.uipath.com |
| 阿拉伯联合酋长国 | ae-relay.uipath.com |
| 英国 | uk-relay.uipath.com |
| GXP 欧盟 | gxp-eu-relay.uipath.com |
| GXP US | gxp-us-relay.uipath.com |
如果上面未列出您的租户区域,请联系 UiPath 支持团队,以确认中继服务器主机名。
选择与您的 UiPath 云租户区域匹配的区域,而不是中继节点的物理位置。例如,如果您的租户是在美国地区配置的,即使中继本身在不同的区域运行,也请使用us-relay.uipath.com 。通过cloud.uipath.com连接的中继客户端26.4.2配置不使用此区域主机名。
Latency considerations
延迟注意事项:由于流量会遍历 UiPath Cloud → 中继节点 → 本地服务,因此将中继节点放置在靠近租户区域的位置可最大限度地减少往返时间,并提高整体吞吐量。
Relay client 26.4.2 configurations
For Relay client 26.4.2 configurations that connect through cloud.uipath.com, configure firewalls and proxies to allow HTTPS traffic and WebSocket upgrades to cloud.uipath.com:443.
If a proxy inspects TLS for cloud.uipath.com, install the proxy's signing CA in the OS trust store used by the Relay client, and make sure the proxy allows WebSocket upgrades.
低于以下版本的中继客户端版本 26.4.2
For Relay client versions earlier than 26.4.2, configure your firewall and any TLS-inspecting proxy or DLP appliance to allow TLS passthrough for <region>-relay.uipath.com:443; TLS inspection on the regional relay hostname breaks the relay tunnel.
运行中继客户端的计算机还必须对计划公开的所有本地部署服务具有直接网络访问权限。相应地规划中继客户端的放置。
Relay 节点必须能够解析主机名,并在运行时为其中继组中的每个端点打开与已注册端口的连接。路由路径很灵活,只要来自 Relay 节点的连接成功,直接网络路由、公司出口代理或跳转主机都可以接受。规划放置位置,以便组中的每个端点保持可访问。
带宽
空闲时,控制通道(心跳和身份验证)的使用量大约为每分钟 1–2 KB 。数据流量会随着云服务发送到本地部署端点的请求量而增加,中继充当透明隧道,除了 TLS 和适用于cloud.uipath.com连接的轻量级 WebSocket 成帧之外,没有额外的开销。
验证连接
在安装中继客户端之前,请确认允许端口 443 上的出站流量到达您的配置的所需目标。
Linux
nc -zv cloud.uipath.com 443
# Required only for Relay client versions earlier than 26.4.2
nc -zv <region>-relay.uipath.com 443
nc -zv cloud.uipath.com 443
# Required only for Relay client versions earlier than 26.4.2
nc -zv <region>-relay.uipath.com 443
Windows (PowerShell)
Test-NetConnection -ComputerName cloud.uipath.com -Port 443
# Required only for Relay client versions earlier than 26.4.2
Test-NetConnection -ComputerName <region>-relay.uipath.com -Port 443
Test-NetConnection -ComputerName cloud.uipath.com -Port 443
# Required only for Relay client versions earlier than 26.4.2
Test-NetConnection -ComputerName <region>-relay.uipath.com -Port 443
成功的结果在 Windows 上显示TcpTestSucceeded : True ,在 Linux 上显示succeeded 。如果所需检查失败,请查看防火墙规则。对于通过cloud.uipath.com连接的中继客户端26.4.2配置,确认是否允许 WebSocket 升级;对于早于26.4.2中继客户端版本,确认是否已为中继服务器主机名配置 TLS 直通。
配置代理(如果适用)
如果您的网络通过代理路由出站流量,请在运行之前设置以下环境变量relay start 。中继客户端将代理应用于所有出站连接。
| 变量 | 用途 |
|---|---|
HTTPS_PROXY / https_proxy | 代理 URL(优先勾选) |
HTTP_PROXY / http_proxy | 代理 URL(回退) |
NO_PROXY / no_proxy | 绕过代理的逗号分隔主机或域 |
代理 URL 必须使用以下方案之一: http:// 、 https:// 、 socks5://或ntlm:// 。格式: scheme://[user:password@]host:port 。
对于https://代理:中继客户端根据操作系统信任存储区验证代理的 TLS 证书。如果您的代理使用公司 CA 或自签名 CA,请在启动中继之前将该 CA 添加到中继客户端计算机的信任存储中;否则,TLS 握手将失败,并显示证书验证错误。
For Relay client 26.4.2 configurations that connect through cloud.uipath.com, configure your proxy to allow long-lived HTTPS connections and WebSocket upgrades to cloud.uipath.com:443. If the proxy inspects TLS for cloud.uipath.com, install the proxy's signing CA in the OS trust store used by the Relay client.
For Relay client versions earlier than 26.4.2, configure your proxy to bypass TLS inspection for <region>-relay.uipath.com:443. PAC files, WPAD auto-discovery, and proxy chaining are not supported — set the proxy URL explicitly. When a proxy is detected, the prerequisite checks show via proxy in the output.
安全性: Relay 客户端会在日志中脱敏代理密码。但是,环境变量中设置的凭据可能在流程列表和 systemd 单元文件中可见。使用专用服务凭据,并相应地限制对Relay节点的访问。
配置受信任的 IP(如果适用)
如果您的组织启用了基于 IP 地址的访问限制,请将运行 Relay 客户端的计算机的 NAT IP 地址,添加到 UiPath Administration 的受信任 IP 列表中。Relay 客户端的出站流量会以该 IP 地址访问 Test Cloud,因此必须将该 IP 地址明确加入允许列表。
有关说明,请参阅添加受信任的 IP 范围。
接受许可协议
在启动中继客户端之前,您必须接受许可协议。选择以下方法之一:
选项 1(环境变量) — 将LICENSE_AGREEMENT环境变量设置为接受:
Linux
export LICENSE_AGREEMENT=accept
export LICENSE_AGREEMENT=accept
Windows
$env:LICENSE_AGREEMENT=accept
$env:LICENSE_AGREEMENT=accept
选项 2(内联参数) — 将--accept-license-agreement附加到relay start命令中:
./relay start --config "<your-config>" --accept-license-agreement
./relay start --config "<your-config>" --accept-license-agreement
设置指南
针对生产环境的部署,请参阅适用于您操作系统的平台指南,其中涵盖目录结构、服务管理、安全框架配置和卸载步骤:
| 平台 | 指南 |
|---|---|
| Linux | 在 Linux 上部署中继客户端 |
| Windows | 在 Windows 上部署中继客户端 |
| 容器 | 将中继客户端部署为容器 |
运营
连接弹性
中继客户端自动维护隧道:
- 心跳默认情况下每 30 秒进行一次(可通过
--heartbeat-interval配置,最短 10 秒)。隧道超时是心跳间隔的 3 倍。如果防火墙、代理或 NAT 在 30 秒前断开空闲 TCP 连接,请缩短间隔:relay start --config "<config>" --heartbeat-interval 10 relay restart <id> --heartbeat-interval 10relay start --config "<config>" --heartbeat-interval 10 relay restart <id> --heartbeat-interval 10 - 断开连接时自动重新连接,使用指数退避算法至 20 秒间隔。
- 进程崩溃时服务自动重新启动,由 Linux 上的 systemd 和 Windows 上的 Windows 服务控制管理器管理。
- 服务在系统重新启动时自动启动。
主动重新连接
某些网络(在具有空闲连接超时功能的公司代理、负载均衡器或防火墙后面)会静默终止长效 TLS 连接。主动重新连接会定期重新建立控制连接,以防止出现这种情况。
使用--reconnect-interval标志启用它:
relay start --config "<config>" --reconnect-interval 1800
relay start --config "<config>" --reconnect-interval 1800
最小值有效为 1800 秒(30 分钟)。将间隔设置为网络设备空闲超时的大约一半,例如,对于 60 分钟的防火墙超时,则设置为 1800 秒。在没有空闲连接超时的稳定网络上保持禁用状态。
-
正常排空。经过该间隔后,Relay 客户端将停止接受新工作,并等待正在进行的连接完成(最多 300 秒的排出超时),然后关闭旧连接并打开新连接。在达到排出超时时间时,仍在处理中的请求将终止。
-
高可用性。当在同一组中部署多个 Relay 客户端时,它们将进行协调,以便一次只有一个客户端排空数据。该组将继续在每个重新连接周期提供流量。
-
需要主动重新连接的标志:日志显示定期出现
unexpected EOF错误或在基础网络稳定的情况下静默断开连接,这通常是由防火墙、代理或负载均衡器 30–60 分钟空闲超时引起的。
重新加载配置
relay reload <id>
relay reload <id>
从 Test Cloud 重新获取代理配置并直接应用,此过程无需重启。云端的任何变更(如新增端点、更新运行状况检查路径)都会自动推送到正在运行的 Relay 客户端,通常无需重新加载。仅当新添加的端点返回404时,才将此命令用作回退方案。
日志记录
| 设置 | 值 |
|---|---|
| 默认级别 | info |
| 旋转 | Daily |
| 保留 | 7 天 |
| 日志文件 | relay.log (当前), relay.YYYYMMDD-HHMMSS.log (已轮换) |
使用--log-level trace/debug/info/warn/error覆盖默认日志级别。在 Relay 客户端26.4.2或更高版本中,在relay start或relay restart使用--log-retention-days <days>覆盖轮换的日志保留时间;最短保留时间为 7 天。
命令参考
中继启动
配置一个新的中继客户端,并将其作为后台服务启动。
配置(必填项)
-c、--config <string>— 内联 Base64 编码的配置字符串。--config-file <path>— 包含配置字符串的文件路径。推荐 — 将密码保留在 Shell 历史记录之外。
调整(可选)
--heartbeat-interval <sec>— 隧道心跳间隔。默认30。至少10。隧道超时为此值的 3 倍。如果防火墙、NAT 或代理在 30 秒前丢弃空闲 TCP,则更低。--reconnect-interval <sec>— 主动重新连接间隔。默认0(禁用);设置后,最短1800(30 分钟)生效。--log-level <level>—trace、debug、info、warn或error。默认info。--log-retention-days <days>— 轮换的日志文件的保留天数。默认7。至少7。需要中继客户端26.4.2或更高版本。-d、--detach=false— 在前台运行,不作为后台服务运行。用于调试启动问题。
非默认安装路径(可选)
--data-dir <path>— 配置目录。--logs-dir <path>— 日志文件目录。--bin-dir <path>— 二进制文件安装目录。
仅限 Linux
--user-mode— 安装为 systemd 用户服务(不需要sudo,使用 XDG 路径)。
仅限 Windows
--service-account <DOMAIN\user>— 在特定帐户下运行 Windows 服务。默认值为LocalSystem。--service-account-password <password>—--service-account的密码。
中继重新启动
Stop and restart the Relay client service. Detects updated binaries and applies service definition changes.
The following flags can be overridden at restart time (all default to unchanged unless noted):
--config/--config-file— 替换客户端配置。--accept-license-agreement— 在重新启动期间接受许可协议,这在升级已安装的且不接受许可证的较旧的服务时非常有用。--log-level— 更改日志级别。--logs-dir <path>— 重新定位已安装服务的日志目录。需要中继客户端26.4.2或更高版本。--log-retention-days <days>— 更改轮换日志保留时间。最低7;若要保持不变,请传递-1。需要中继客户端26.4.2或更高版本。--heartbeat-interval— 更改心跳间隔。最低10;若要保持不变,请传递0。--reconnect-interval— 更改主动重新连接间隔。设置后最短1800(30 分钟)。发送0以禁用,或发送-1以保持不变。
中继日志
显示 Relay 客户端的日志输出。
-f、--follow— 持续流式传输新的日志行。-n、--lines <N>— 倒数行数。默认为50。
中继列表
显示该计算机上的所有 Relay 客户端,包括状态、版本、创建和更新时间戳以及组名称(如果可用)。表格输出中的长组名称会被截断。
--json— 发出 JSON 输出以用于自动化和脚本编写,包括完整的组名称。
中继描述(中继客户端26.4.2或更高版本)
26.4.2或更高版本)显示一个 Relay 客户端的详细信息,包括组 ID 和名称、密码 ID、状态、版本、服务模式和可执行路径、配置的心跳和重新连接间隔、日志级别、本地路径和时间戳。
--json— 发出 JSON 输出,用于自动化和脚本编写。
中继重新加载
从 Test Cloud 重新获取代理配置并直接应用,此过程无需重启。如果新添加的端点返回404,请将其用作回退方案。
中继停止
停止中继客户端服务。保留配置和凭据——中继客户端可以稍后重新启动。
中继删除
停止当前服务,从 Test Cloud 中取消注册,并移除所有本地配置和凭据。
-f、--force— 无需在云取消注册即可从本地删除。在凭据不可读或云端资源已被删除时使用。
Relay 支持捆绑包 [id]
收集经过脱敏处理的配置、日志和系统元数据归档文件,用于提交 UiPath 支持工单。若省略[id],系统将会打包该计算机上的所有 Relay 客户端。凭据和加密密钥将不会包括在内。请参阅“Relay 故障排除”,了解完整详细信息。
Relay 版本
打印 Relay 客户端版本、构建日期和 git 提交哈希值。
防病毒和端点安全
If your organization runs endpoint protection software, add exclusions for the relay binary and its data directory to prevent the Relay client from being blocked or quarantined. For Relay client 26.4.2 configurations that connect through cloud.uipath.com, allow cloud.uipath.com:443.
For Relay client versions earlier than 26.4.2, configure TLS-inspecting proxies, DLP appliances, and IDS/IPS systems to bypass inspection for <region>-relay.uipath.com:443.
| 目标 | 端口 | 协议 | 操作 |
|---|---|---|---|
cloud.uipath.com | 443 | https | 允许 |
<region>-relay.uipath.com | 443 | TLS | 对于更低版本的中继客户端, 26.4.2 |