- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Comprendre les modèles d'authentification
- Configuration de l'intégration de Microsoft Entra ID
- Exigences de complexité du mot de passe des utilisateurs locaux
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Flex : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Mise à niveau et rétrogradation des licences
- Migration de licence
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- Test dans votre organisation
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
- Migrer vers Automation Cloud
Guide d'administration d'Automation Cloud
Vous pouvez créer une passerelle VPN pour un locataire afin que vos Cloud Robots VM ou Cloud Robots sans serveur puissent accéder à vos ressources locales qui se trouvent derrière un pare-feu.
- Comment fonctionne la passerelle VPN UiPath au niveau du réseau.
- Comment planifier correctement les plages CIDR, le routage, les règles de pare-feu et le DNS.
- Comment configurer les connexions VPN de site à site, y compris le routage statique, le protocole BGP et les stratégies IPsec ou IKE personnalisées.
L'installation de logiciels personnalisés sur votre machine virtuelle, tels que des clients VPN, peut interférer avec les services de base et rendre la machine virtuelle inutilisable. Utilisez plutôt la configuration présentée dans ce chapitre.
Pour configurer la passerelle VPN, vous devez répondre aux exigences suivantes :
- être administrateur d'organisation dans Automation CloudTM.
- Avoir un rôle Orchestrator qui inclut l'autorisation Machines - Modifier (Edit).
-
Informations requises auprès de votre administrateur réseau :
-
Une liste de plages d'adresses IP réservées situées dans la configuration de votre réseau local, en notation CIDR. Dans le cadre de la configuration, vous devez spécifier les préfixes de plage d'adresses IP que nous acheminerons vers votre emplacement sur site.
- Les CIDR privés que vous souhaitez qu’UiPath atteigne le VPN.
- Une clé pré-partagée (PSK) pour chaque périphérique VPN.
Important :
Les sous-réseaux de votre réseau local ne doivent pas chevaucher les sous-réseaux du réseau virtuel auxquels vous souhaitez vous connecter.
- Utilisez des périphériques VPN compatibles et assurez-vous de disposer de la capacité et du savoir-faire pour les configurer, comme décrit dans À propos des périphériques VPN pour les connexions - Passerelle VPN Azure. Pour plus de détails sur les paramètres de connexion par défaut, lisez les Politiques par défaut pour Azure.
- Votre appareil VPN doit utiliser des adresses IPv4 publiques externes.
-
Remarque :
La clé pré-partagée doit être composée d'un maximum de 128 caractères ASCII imprimables.
N'utilisez pas d'espace, de trait d'union-ou de tilde~.
-
Cette section décrit comment fonctionne la mise en réseau lors de l'utilisation d'une passerelle VPN UiPath, et pourquoi il est essentiel de choisir les bonnes plages CIDR pour une configuration réussie et pérenne.
Vous n'avez pas besoin de connaissances approfondies en réseau pour suivre cette section, mais il est important de le lire attentivement avant de créer une passerelle VPN.
Modèle physique
Lorsque vous créez une passerelle VPN dans UiPath Automation Cloud, vous étendez votre réseau privé local dans le Cloud UiPath.
Cela signifie :
- Votre réseau local et les réseaux de robot UiPath font partie d’un domaine de routage privé
- Les Cloud robots accèdent à vos ressources locales à l'aide d'adresses IP privées
- La passerelle VPN n’agit pas en tant que proxy ou périphérique NAT
- Les adresses IP de source sont importantes et doivent être routables dans les deux sens
Pour cette raison, les plages CIDR doivent être planifiées avec soin et ne doivent pas se superposer.
Qu’est-ce qu’un CIDR ?
Un CIDR définit une plage d’adresses IP privées.
Exemples :
10.10.0.0/27→ 32 adresses IP10.10.0.0/25→ 128 adresses IP10.10.0.0/24→ 256 adresses IP
Un nombre plus petit après la barre oblique signifie que le réseau est plus important.
Réseaux impliqués dans une configuration VPN UiPath
Dans une configuration VPN UiPath, plusieurs plages réseau distinctes sont impliquées, chacune avec un objectif spécifique :
- Réseau de la passerelle VPN
- Réseaux de machines virtuelles ACR
- Réseau de robots sans serveur
Ces réseaux doivent tous être distincts et ne se chevauchent pas.
Réseau de passerelle VPN (requis)
- Points de terminaison du tunnel VPN
- Appairage BGP (si activé)
Le réseau de la passerelle VPN n’héberge pas de robots ni de charges de travail
- Taille minimale prise en charge :
/27 - Taille recommandée :
/25ou plus
- Minimum :
10.10.0.0/27 - Conseillé:
10.10.0.0/25
Ce réseau ne peut pas être modifié après la création de la passerelle VPN.
- Les passerelles VPN nécessitent un réseau
/27ou plus important (par exemple,/27,/26,/25). - Les points de terminaison privés ne sont pris en charge que pour
/25ou les grands réseaux. - Si vous créez une passerelle VPN avec un CIDR
/27:- L’ensemble du CIDR sera dédié au sous-réseau de la passerelle.
- La création de points de terminaison privés sera désactivée.
- La prise en charge des futures fonctionnalités de mise en réseau peut devenir impossible.
/25 pour le réseau de la passerelle VPN.
/27 est prise en charge, mais elle doit être considérée comme héritée uniquement ou depuis le dernier tri, car cela limite considérablement l’expansion future.
CIDR de pool de machines virtuelles Automation Cloud Robot
Chaque pool de machines virtuelles Automation Cloud Robot s'exécute dans sa propre plage de réseaux privés.
- Ces CIDR définissent les adresses IP source des robots basés sur les machines virtuelles.
- Le trafic vers votre réseau local provient de ces plages.
- Chaque pool de machines virtuelles doit avoir son propre CIDR unique
- Ne doit pas chevaucher :
- CIDR de la passerelle VPN
- CIDR du robot sans serveur
- CIDR du réseau local
Exemple :
- Passerelle VPN :
10.10.0.0/25 - Pool de VM ACR 1 :
10.20.0.0/24 - Pool de VM ACR 2 :
10.21.0.0/24
Les pare-feu locaux doivent autoriser explicitement le trafic provenant des CIDR du pool de machines virtuelles Automation Cloud Robot. Les routages de retour doivent exister pour que les réponses puissent être renvoyées aux robots. Le chevauchement des CIDR entraînera des échecs de routage qui ne pourront être corrigés ultérieurement.
CIDR de robot sans serveur
Les robots sans serveur utilisent un seul réseau partagé par locataire et il n’y a qu’un seul CIDR de robot sans serveur. En effet, il n'existe qu'un seul modèle de robot sans serveur, respectivement tous les modèles de robot sans serveur dans un locataire pointant vers la même configuration VPN. Toutes les exécutions de robot sans serveur d'un locataire partagent ce réseau.
Exemple :
- Robots sans serveur :
10.30.0.0/16
Vous ne pouvez pas créer plusieurs CIDR de robot sans serveur.
- Le CIDR choisi doit être suffisamment grand.
- Elle ne doit pas chevaucher :
- CIDR de la passerelle VPN
- N’importe quel CIDR de pool de machines virtuelles Automation Cloud Robots
- Réseaux locaux
Si le CIDR sans serveur chevauche le réseau de votre site, la connectivité VPN ne fonctionnera pas.
Conséquences du pare-feu et du routage
- CIDR du pool de machines virtuelles Automation Cloud Robots
- CIDR du robot sans serveur
Les CIDR doivent être autorisés à la fois dans les pare-feu locaux et tous les périphériques de sécurité réseau intermédiaires.
De plus, des routages inverses doivent exister afin que le trafic puisse revenir à UiPath. Vous pouvez procéder à l’aide de routages statiques ou de protocole BGP.
Meilleures pratiques
Conception minimale recommandée :
- CIDR de la passerelle VPN :
/25ou plus - CIDR distincts et non chevauchants pour :
- Passerelle VPN
- Chaque pool de machines virtuelles ACR
- Robots sans serveur
- Assurez-vous que tous les CIDR du robot sont :
- Autorisée via des pare-feu locaux
- Rouble dans les deux sens
Traitez la passerelle VPN UiPath comme une extension réseau, pas comme un appareil auxiliaire. Une bonne planification du CIDR en amont empêche les interruptions, les incidents d’assistance et tout redéploiement ultérieur.
Ce schéma montre comment la connexion VPN est établie entre votre réseau local et les réseaux Cloud Robot UiPath.
- Identifiez les CIDR locaux que vous souhaitez qu'UiPath atteigne. Il s’agit des CIDR qui doivent être accessibles via le VPN.
-
Dans votre réseau local, fournissez les plages de l'IP des pools de votre machine virtuelle ACR (6, 7) pour autoriser leur trafic sur le réseau.
- Créez le réseau de la passerelle VPN UiPath. Ce réseau héberge uniquement les ressources de la passerelle VPN (points de terminaison du canal et appairage BGP).
- Minimum pris en charge :
/27 - Recommandé :
/25ou plus - Les points de terminaison privés nécessitent
/25ou plus - Ne peut pas être modifié après la création
- Minimum pris en charge :
- UiPath crée une adresse IP publique pour la passerelle VPN. Votre périphérique VPN local utilise cette adresse IP publique comme pair distant. L’adresse de pair BGP et l’ASN seront également disponibles une fois l’enregistrement terminé.
- Créez un tunnel de site à site entre l’IP publique de votre périphérique VPN local et l’IP publique de la passerelle VPN UiPath.
- Le routage est établi (statique ou BGP) :
- Routage statique (BGP désactivé sur la connexion) : vous saisissez les CIDR locaux sur la connexion ; seules ces plages sont redirigées vers la version locale.
- Routage dynamique (BGP activé sur la connexion) : les routages sont échangés de façon dynamique.
- Le trafic des robots provient des CIDR des robots, et non du CIDR de la passerelle :
- Chaque CIDR de pool de machines virtuelles ACR.
- Le CIDR du robot sans serveur unique (un par locataire).
- Votre pare-feu local (et tous les pare-feux intermédiaires) doit autoriser le trafic entrant depuis les CIDR du robot vers les ressources locales et assurer le routage de retour vers ces CIDR du robot (chemins statiques ou BGP).
La passerelle VPN n'exécute pas NAT. Les CIDR ne doivent pas se chevaucher et les adresses IP source doivent être routables dans les deux sens.