- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Acerca de la licencia
- Precios unificados: marco del plan de licencias
- Flex: marco del plan de licencias
- Activar su licencia Enterprise
- Actualización y desactualización de licencias
- Migración de licencias
- Solicitar una prueba de servicio
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Pruebas en su organización
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud
Guía para administradores de Automation Cloud
Puedes crear una puerta de enlace de VPN para un tenant para que tus cloud robots de VM o cloud robots sin servidor puedan acceder a tus recursos locales que están detrás de un cortafuegos.
- Cómo funciona la puerta de enlace VPN de UiPath a nivel de red.
- Cómo planificar rangos CIDR, enrutamiento, reglas de firewall y DNS correctamente.
- Cómo configurar las conexiones VPN de sitio a sitio, incluido el enrutamiento estático, BGP y las políticas personalizadas de IPsec o IKE.
La instalación de software personalizado en tu máquina virtual, como clientes VPN, puede interferir con los servicios básicos y hacer que la máquina virtual quede inutilizable. En su lugar, utiliza la configuración de este capítulo.
Para poder configurar la puerta de enlace de VPN, debe cumplir los siguientes requisitos:
- Ser administrador de la organización en Automation CloudTM.
- Tener un rol de Orchestrator que incluya el permiso Máquinas - Editar.
-
Información requerida de su administrador de red:
-
Una lista de intervalos de direcciones IP reservadas ubicados en la configuración de tu red local en notación CIDR. Como parte de la configuración, necesitas especificar los prefijos del intervalo de direcciones IP que vamos a encaminar a tu ubicación local.
- Los CIDR privados a los que desea que UiPath llegue a través de la VPN (sus redes locales).
- Una clave precompartida (PSK) para cada dispositivo de VPN.
Importante:
Las subredes de tu red local no deben superponerse con las subredes de la red virtual a la que quieres conectarte.
- Use dispositivos VPN compatibles y tenga la capacidad y los conocimientos necesarios para configurarlos, como se describe en Acerca de los dispositivos VPN para conexiones: Puerta de enlace VPN de Azure. Para obtener más información sobre los parámetros de conexión predeterminados, consulta las Políticas predeterminadas para Azure.
- Tu dispositivo de VPN debe usar direcciones IPv4 públicas de cara al exterior.
-
Nota:
La clave precompartida debe constar de un máximo de 128 caracteres ASCII imprimibles.
No utilices espacios ni guiones-ni caracteres con tilde~.
-
Esta sección describe cómo funciona la red cuando se utiliza una puerta de enlace VPN de UiPath y por qué elegir los rangos CIDR correctos es fundamental para una configuración exitosa y preparada para el futuro.
No necesitas conocimientos profundos de redes para seguir esta sección, pero es importante leerla detenidamente antes de crear una puerta de enlace VPN.
Modelo mental
Cuando creas una puerta de enlace VPN en UiPath Automation Cloud, estás extendiendo tu red privada local a la nube de UiPath.
Esto significa:
- Su red local y las redes de UiPath Cloud Robot pasan a formar parte de un dominio de enrutamiento privado
- Los Cloud Robots acceden a tus recursos locales utilizando direcciones IP privadas
- La puerta de enlace VPN no actúa como proxy o dispositivo NAT
- Las direcciones IP de origen son importantes y deben ser enrutables en ambas direcciones
Debido a esto, los rangos CIDR deben planificarse cuidadosamente y no deben solaparse.
¿Qué es un CIDR?
Un CIDR define un rango de direcciones IP privadas.
Ejemplos:
10.10.0.0/27→ 32 direcciones IP10.10.0.0/25→ 128 direcciones IP10.10.0.0/24→ 256 direcciones IP
Un número más pequeño después de la barra significa una red más grande.
Redes involucradas en una configuración de VPN de UiPath
En una configuración VPN de UiPath, están involucrados varios rangos de red distintos, cada uno con un propósito específico:
- Red de puerta de enlace VPN
- Redes de grupos de máquinas virtuales de ACR (robots en la nube basados en máquinas virtuales)
- Red de robots sin servidor
Todas estas redes deben ser distintas y no superponerse.
Red de puerta de enlace VPN (obligatorio)
- Puntos finales del túnel VPN
- Emparejamiento BGP (si está habilitado)
La red de puerta de enlace VPN no aloja robots ni cargas de trabajo
- Tamaño mínimo admitido:
/27 - Tamaño recomendado:
/25o mayor
- Mínimo:
10.10.0.0/27 - Recomendado:
10.10.0.0/25
Esta red no se puede cambiar después de crear la puerta de enlace VPN.
- Las puertas de enlace VPN requieren una red
/27o mayor (por ejemplo,/27,/26,/25). - Los puntos finales privados solo son compatibles con
/25o redes más grandes. - Si creas una puerta de enlace de VPN con un
/27CIDR:- Todo el CIDR se dedicará a la subred de la puerta de enlace.
- Se deshabilitará la creación de puntos de conexión privados.
- Es posible que no sea posible admitir futuras funciones de red.
/25 CIDR para la red de puerta de enlace VPN.
/27 , pero debe considerarse solo heredado o de último recurso, ya que limita significativamente la expansión futura.
CIDR del grupo de máquinas virtuales de Automation Cloud Robot (VM-based cloud robots)
Cada grupo de máquinas virtuales de Automation Cloud Robot (robots en la nube basados en máquinas virtuales) se ejecuta en su propio rango de red privada.
- Estos CIDR definen las direcciones IP de origen de los robots basados en VM.
- El tráfico a tu red local se origina a partir de estos rangos.
- Cada grupo de máquinas virtuales debe tener su propio CIDR único
- No debe solaparse con:
- CIDR de puerta de enlace VPN
- Robot sin servidor CIDR
- CIDR de red local
Ejemplo:
- Puerta de enlace VPN:
10.10.0.0/25 - Grupo de máquinas virtuales de ACR 1:
10.20.0.0/24 - Grupo de máquinas virtuales de ACR 2:
10.21.0.0/24
Los cortafuegos locales deben permitir explícitamente el tráfico de los CIDR del grupo de máquinas virtuales de Automation Cloud Robot. Las rutas de retorno deben existir para que las respuestas puedan fluir de nuevo a los robots. La superposición de CIDR provocará fallos de enrutamiento que no se pueden solucionar más tarde.
Robot sin servidor CIDR (red única y compartida)
Los robots sin servidor utilizan una única red compartida por tenant y solo hay un CIDR de robot sin servidor. Esto se debe a que solo hay una plantilla de robot sin servidor, respectivamente, todas las plantillas de robot sin servidor en un tenant apuntan a la misma configuración de VPN. Todas las ejecuciones de robots sin servidor de un tenant comparten esta red.
Ejemplo:
- Robots sin servidor:
10.30.0.0/16
No se pueden crear varios CIDR de robot sin servidor.
- El CIDR elegido debe ser lo suficientemente grande.
- No debe solaparse con:
- CIDR de puerta de enlace VPN
- Cualquier CIDR del grupo de máquinas virtuales de Automation Cloud Robots
- Redes locales
Si el CIDR sin servidor se superpone con tu red local, la conectividad VPN no funcionará.
Implicaciones de firewall y enrutamiento
- CIDR del grupo de máquinas virtuales de Automation Cloud Robots
- Robot sin servidor CIDR
Los CIDR deben estar permitidos tanto en los cortafuegos locales como en cualquier dispositivo de seguridad de red intermedio.
Además, deben existir rutas inversas para que el tráfico pueda volver a UiPath. Esto se puede lograr utilizando rutas estáticas o BGP.
Mejores prácticas
Diseño mínimo recomendado:
- CIDR de puerta de enlace VPN:
/25o mayor - CIDR independientes y no superpuestos para:
- Puerta de enlace VPN
- Cada grupo de máquinas virtuales de ACR
- Robots sin servidor
- Asegúrate de que todos los CIDR de los robots sean:
- Permitido a través de firewalls locales
- Enrutable en ambas direcciones
Trata la puerta de enlace VPN de UiPath como una extensión de red, no como un dispositivo de túnel. Una planificación CIDR adecuada por adelantado evita interrupciones, casos de soporte y una nueva implementación más adelante.
Este esquema muestra cómo se establece la conexión VPN entre tu red local y las redes de UiPath Cloud Robot.
- Identifica los CIDR locales a los que quieres que llegue UiPath (tus intervalos de direcciones privadas internas). Estos son los CIDR que deben ser accesibles a través de la VPN.
-
En su red local, proporcione los rangos de IP de los grupos ACR-VM (6, 7) para permitir su tráfico en la red.
- Crea la red de puerta de enlace VPN de UiPath (subred CIDR de puerta de enlace). Esta red aloja solo los recursos de puerta de enlace VPN (puntos finales de túnel y emparejamiento BGP).
- Mínimo admitido:
/27 - Recomendado:
/25o más grande - Los puntos finales privados requieren
/25o más - No se puede cambiar después de la creación
- Mínimo admitido:
- UiPath crea una IP pública para la puerta de enlace de VPN. Tu dispositivo VPN local utiliza esta IP pública como par remoto. La dirección del par BGP y el ASN también estarán disponibles una vez que se complete el aprovisionamiento.
- Crea un túnel de sitio a sitio entre la IP pública de tu dispositivo VPN local y la IP pública de la puerta de enlace VPN de UiPath.
- Se establece el enrutamiento (estático o BGP):
- Enrutamiento estático (BGP deshabilitado en la conexión): introduces los CIDR locales en la conexión; solo esos rangos se enrutan a las instalaciones.
- Enrutamiento dinámico (BGP habilitado en la conexión): las rutas se intercambian de forma dinámica.
- El tráfico del robot se origina en los CIDR del robot, no en el CIDR de la puerta de enlace:
- Cada CIDR del grupo de máquinas virtuales de ACR (cada grupo tiene su propio CIDR).
- El CIDR único del robot sin servidor (uno por tenant).
- Tu cortafuegos local (y cualquier cortafuegos intermedio) debe permitir la entrada desde los CIDR del robot a los recursos locales y garantizar el enrutamiento de retorno a esos CIDR del robot (rutas estáticas o BGP).
La puerta de enlace VPN no realiza NAT. Los CIDR no deben superponerse y las IP de origen deben ser enrutables en ambos sentidos.