Test Cloud-Administratorhandbuch

Schritt 1. Erstellen Sie das VPN-Gateway​

1. Wechseln Sie in Test Cloud zu Administrator.

   Wenn nicht bereits aktiviert, aktivieren Sie die neue Administratorumgebung mithilfe des Umschalters im Header.

2. Wählen Sie im Bereich Mandanten auf der linken Seite den Mandanten, für den Sie ein VPN-Gateway erstellen möchten.

   Die Einstellungsseite für den ausgewählten Mandanten wird geöffnet.

3. Wählen Sie die Kachel VPN-Gateway aus.

4. Wählen Sie Gateway für Mandanten erstellen. Der Bereich Gateway erstellen öffnet sich

5. Geben Sie im Feld Name einen Namen für das Gateway ein, wie er auf der Seite VPN-Gateway des Mandanten angezeigt werden soll.

6. Fügen Sie im Feld Adressraum für VPN-Gateway-vnet die IP-Adressen hinzu, die Sie von Ihrem Netzwerkadministrator erhalten haben.

   • CIDR-Notation verwenden
   • Unterstützte Mindestanzahl: /27
   • Empfohlen: /25 oder größer (private Endpunkte erfordern /25 oder größer).
   • Kann nach der Erstellung nicht geändert werden.
   Wichtig:

   • Vnet-Bereiche für das Gateway oder für den VM-Pool können nach der Erstellung nicht geändert werden.
   • Auch wenn Sie dem VPN-Gateway-Netzwerk einen CIDR-Block zuweisen (z. B. /25), stammt der Datenverkehr von Maschinenpools oder serverlosen Maschinenvorlagen mit aktiviertem VPN nicht aus diesem CIDR. Die tatsächlichen Quell-IP-Adressen, die für ausgehenden Datenverkehr verwendet werden, sind diejenigen der CIDRs, die dem einzelnen Maschinenpool oder der serverlosen Vorlage zugewiesen sind. Stellen Sie sicher, dass Sie den Datenverkehr von den CIDRs Ihrer Maschinenpools oder serverlosen Vorlagen zulassen, nicht vom CIDR des VPN-Gateway-Netzwerks.

7. (Optional) Wenn Sie ein DNS für diese Verbindung verwenden möchten, wählen Sie DNS-Adresse hinzufügen und dann:

   1. Fügen Sie im Feld DNS-Adresse eine DNS-Adresse hinzu.
   2. Um zusätzliche DNS-Adressen hinzuzufügen, wählen Sie Mehr hinzufügen aus, um ein weiteres Feld hinzuzufügen, und fügen Sie dann die Adresse zu diesem Feld hinzu.
      Hinweis:

      Sie können DNS-Adressen später hinzufügen, nachdem das VPN-Gateway erstellt wurde. Dazu müssen Sie jedoch alle VMs neu starten, die mit dem Gateway verbunden sind.

8. Wählen Sie Erstellen im unteren Bereich des Bereichs, um die VPN Gateway-Verbindung zu erstellen.

   Der Bereich wird geschlossen und der Status des VPN-Gateways lautet Bereitstellen.

   Nach Abschluss wird der Status Bereitgestellt auf der Karte des Gateways angezeigt.

Schritt 2. Cloud-Roboter-Vorlagen erstellen​

Cloud robots - VM​

Cloud Robots - Serverless​

Schritt 3. Erstellen der Site-to-Site-Verbindung​

1. Wechseln Sie in Ihrer Organisation zu Administrator > Mandant > VPN-Gateway.

2. Wählen Sie auf der Kachel für das Gateway die Option Verbindung hinzufügen aus.

   Der Bereich „Verbindung erstellen“ wird geöffnet.

3. Geben Sie Werte für die folgenden Felder an:

   Option	Beschreibung
   Verbindungsname *	Geben Sie einen Namen für Ihre Verbindung an.
   Freigegebener Schlüssel (PSK)*	Schreiben Sie einen geheimen Ausdruck oder eine Zeichenfolge. Sie müssen sich diesen genauen Schlüssel merken und ihn angeben, wenn Sie die Verbindung auf Ihrem lokalen Gerät konfigurieren.
   Öffentliche IP für das VPN-Gerät *	Geben Sie die öffentliche IP-Adresse Ihres lokalen VPN-Geräts an. Wichtig: Geben Sie nicht die öffentliche IP-Adresse des VPN-Gateways an, die auf der Karte angezeigt werden. Diese öffentliche IP des Gateways muss auf Ihrem lokalen Gerät als Remote-Peer konfiguriert werden.

4. Wählen Sie den Routing-Typ für diese Verbindung zwischen statischem Routing (BGP deaktiviert) oder dynamischem Routing (BGP aktiviert) aus.

   Ein einzelnes UiPath VPN-Gateway kann eine Mischung aus BGP- und Nicht-BGP-Verbindungen hosten.

   1. Statisches Routing (BGP deaktiviert)

      Wenn BGP für die Verbindung deaktiviert ist, müssen Sie konfigurieren, an welche lokalen CIDRs UiPath weitergeleitet werden soll.

      **Adressraum für das lokale Gerät ***: Geben Sie alle privaten CIDRs in Ihrem lokalen Netzwerk an, die über diese Verbindung erreichbar sein müssen. Nur diese Bereiche werden über diesen Tunnel an Ihre lokale Umgebung weitergeleitet.

      Hinweis:

      Wenn Sie DNS-Server-IP-Adressen auf dem Gateway konfiguriert haben, stellen Sie sicher, dass diese DNS-IPs unter eines der hier definierten lokalen CIDRs fallen (damit das Gateway sie durch den Tunnel erreichen kann).

   2. Dynamisches Routing (BGP aktiviert)

      Wenn BGP für die Verbindung aktiviert ist:

      • Routen werden dynamisch ausgetauscht.
      • UiPath wirbt:
        • CIDRs aller ACR-VM-Pool.
        • Das CIDR des serverlosen Roboters
      • Ihr lokales Gerät gibt seine lokalen CIDRs an.

      Geben Sie Werte für die folgenden Felder an:

      • Lokale ASN: Die ASN, die von Ihrem lokalen VPN-Gerät verwendet wird.
      • BGP-Peer-Adresse: Die IP-Adresse, die von Ihrem lokalen Gerät für BGP-Peering verwendet wird.

      Wenn einer der Werte fehlt oder falsch ist, wird BGP nicht eingerichtet.

5. Optional können Sie benutzerdefinierte Konfigurationen für die IPsec/IKE-Richtlinie definieren. Verwenden Sie diesen Abschnitt, um die Kompatibilität mit den spezifischen Sicherheitseinstellungen sicherzustellen, die von Ihrem lokalen VPN-Gerät benötigt werden, oder um erweiterte Sicherheitsrichtlinien zu implementieren, die auf die Anforderungen Ihrer Organisation zugeschnitten sind. Aktivieren Sie dazu den Umschalter Benutzerdefinierte IPsec/IKE-Richtlinie .

   Hinweis:

   Nur IKEv2 wird unterstützt.

   1. Geben Sie für IKE-Phase 1 Werte für die folgenden Felder an:

      Verschlüsselung: Geben Sie die passende Verschlüsselungsmethode für den ersten sicheren Schlüsselaustausch an (IKE-Phase 1). Dieser muss identisch mit der Einstellung des UiPath-Gateways sein (z. B. AES-256, GCMAES).

      Mögliche Werte: GCMAES256, GCMAES128, AES256, AES192, AES128

      Integrität: Geben Sie die übereinstimmende Datenintegritätsprüfung für die anfängliche Kommunikation der IKE-Phase 1 an (z. B. SHA-256, SHA-512). Dieses muss mit dem UiPath Gateway übereinstimmen.

      Mögliche Werte: SHA384, SHA256, SHA1, MD5

      MH-Gruppe: Geben Sie die übereinstimmende Diffie-Hellman-Gruppe (PH) für den sicheren Schlüsselaustausch in IKE-Phase 1 an (z. B. Gruppe 14, Gruppe 19). Dieses muss mit dem UiPath Gateway übereinstimmen.

      Mögliche Werte: dhGruppe24, ECP384, ECP256, Domänennamen14, Domänenname2048, Domänenname, Domänenname, Keine

   2. Geben Sie für IKE-Phase 2 (IPsec) Werte für die folgenden Felder an:

      IPsec-Verschlüsselung: Geben Sie die passende Verschlüsselungsmethode für den Datenverkehr innerhalb des VPN-Tunnels (IPSec-Phase 2) an (z. B. AES-256, 3DES). Dieses muss mit dem UiPath Gateway übereinstimmen.

      Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Keine

      IPsec-Integrität: Stellen Sie die übereinstimmende Datenintegritätsprüfung für den Datenverkehr innerhalb des VPN-Tunnels (IPsec-Phase 2) bereit (z. B. SHA-256, SHA-512). Dieses muss mit dem UiPath Gateway übereinstimmen.

      Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

      PFS-Gruppe: Geben Sie die passende PFS-Gruppe für IPsec-Phase 2 an, wenn dies auf dem UiPath-Gateway aktiviert ist (z. B. Gruppe 14, Gruppe 19). Wenn eine Seite PFS verwendet, sollte die andere es übereinstimmen oder deaktivieren.

      Mögliche Werte: PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Keine

      IPsec-SA-Lebensdauer in Kilobyte: Geben Sie die Dauer für aktive sichere Verbindungen (IKE und IPsec) an. Dies sind lokale Einstellungen. Ein Abgleich ist nicht unbedingt erforderlich, aber ähnliche Werte werden für die Konsistenz empfohlen.

      Mögliche Werte: Minimum 1.024, Standard 10.2400.000

      IPsec-SA-Lebensdauer in Sekunden: Geben Sie die Dauer für aktive sichere Verbindungen (IKE und IPsec) an. Dies sind lokale Einstellungen. Ein Abgleich ist nicht unbedingt erforderlich, aber ähnliche Werte werden für die Konsistenz empfohlen.

      Mögliche Werte: Minimum 300, Standard 27.000

6. Wählen Sie Verbindung hinzufügen aus. Sobald die Konfiguration abgeschlossen ist, kann es einige Zeit dauern, bis der Verbindungsstatus zu Verbunden aktualisiert wird.

   Der Bereich wird geschlossen und die neue Verbindung wird auf der Seite Verbindungen angezeigt. Die Verbindung kann verwendet werden, wenn in der Spalte Verbindungsstatus Verbunden angezeigt wird.

   Der Status Verbunden bedeutet, dass der vorab freigegebene Schlüssel (PSK), die Public Internet Protocol (IP)-Peer-Adresse und die IPsec/IKE-Richtlinie korrekt konfiguriert sind und ein verschlüsselter Kanal vorhanden ist.