Guide de l'administrateur de Test Cloud

Étape 1. Créer la passerelle VPN​

1. Dans Test Cloud, accédez à Admin.

   Si cela n’est pas déjà fait, activez la nouvelle expérience d’administrateur à l’aide du bouton situé dans l’en-tête.

2. Dans le panneau Locataires situé à gauche, sélectionnez le locataire pour lequel vous souhaitez créer une passerelle VPN.

   La page des paramètres du locataire sélectionné s'ouvre.

3. Sélectionnez la vignette Passerelle VPN .

4. Sélectionnez Créer une passerelle pour le Locataire. Le panneau Create gateway s'ouvre

5. Dans le champ Nom (Name), saisissez un nom pour la passerelle, tel que vous souhaitez qu'il s'affiche sur la page Passerelle VPN du locataire.

6. Dans le champ Espace d'adressage du vnet de la passerelle VPN (VPN gateway vnet ), ajoutez les adresses IP que vous avez obtenues auprès de votre administrateur réseau.

   • Utiliser la notation CIDR
   • Minimum pris en charge : /27
   • Recommandé : /25 ou plus (les points de terminaison privés nécessitent /25 ou plus)
   • Ne peut pas être modifié après sa création
   Important :

   • Une fois créées, les plages Vnet pour la passerelle ou pour le pool de machines virtuelles ne peuvent plus être modifiées.
   • Même si vous affectez un bloc CIDR au réseau de passerelle VPN (par exemple, /25), le trafic provenant de pools de machines ou de modèles de machines sans serveur avec VPN activé ne provient pas de ce CIDR. Les adresses IP sources réelles utilisées pour le trafic sortant sont celles des CIDR affectées au pool de machines individuel ou au modèle sans serveur. Assurez-vous d’autoriser le trafic provenant des CIDR de vos pools de machines ou de modèles sans serveur, et non du CIDR du réseau de passerelle VPN.

7. (Facultatif) Si vous souhaitez utiliser un DNS pour cette connexion, sélectionnez Ajouter une adresse DNS , puis :

   1. Dans le champ Adresse DNS (DNS Address), ajoutez une adresse DNS.
   2. Pour ajouter des adresses DNS supplémentaires, sélectionnez Ajouter davantage pour ajouter un autre champ, puis ajoutez l'adresse à ce champ.
      Remarque :

      Vous pouvez ajouter des adresses DNS ultérieurement, après la création de la passerelle VPN, mais cela nécessite que vous redémarriez toutes les machines virtuelles connectées à la passerelle.

8. Sélectionnez Créer en bas du panneau pour créer la connexion de passerelle VPN.

   Le panneau se ferme et le statut de la passerelle VPN est Enregistrement (Provisioning).

   Une fois terminé, le statut Déployé (Deployed) s'affiche sur la carte de la passerelle.

Étape 2. Créer des modèles de robot cloud​

Cloud robots - VM​

Cloud Robots - Serverless​

Étape 3. Création de la connexion de site à site​

1. Dans votre organisation, accédez à Admin > Locataire > Passerelle VPN.

2. Sur la vignette de la passerelle, sélectionnez Ajouter une connexion.

   Le panneau Créer une connexion s’ouvre.

3. Fournissez des valeurs pour les champs suivants :

   Option	Description
   Nom de la connexion *	Donnez un nom à votre connexion.
   Clé partagée (PSK) *	Écrire une phrase ou une chaîne secrète. Vous devez vous souvenir de cette clé exacte et la fournir lorsque vous configurez la connexion sur votre appareil local.
   IP publique pour le périphérique VPN *	Indiquez l’adresse IP publique de votre périphérique VPN local. Attention : ne fournissez pas l'adresse IP publique de la passerelle VPN affichée sur la carte. Cette adresse IP de passerelle publique doit être configurée sur votre appareil local en tant que pair distant.

4. Choisissez le type de routage pour cette connexion entre Routage statique (BGP désactivé) ou Routage dynamique (BGP activé).

   Une seule passerelle VPN UiPath peut héberger un mélange de connexions BGP et non-BGP.

   1. Routage statique (BGP désactivé)

      Si BGP est désactivé sur la connexion, vous devez configurer les CIDR sur site vers lesquels UiPath doit router.

      **Espace d'adressage pour l'appareil local *** : spécifiez tous les CIDR privés sur votre réseau local qui doivent être accessibles via cette connexion. Seules ces plages sont acheminées vers votre version locale via ce tunnel.

      Remarque :

      Si vous avez configuré les adresses IP de serveur DNS sur la passerelle, assurez-vous que ces IP DNS appartiennent à l’un des CIDR sur site définis ici (afin que la passerelle puisse les atteindre via le tunnel).

   2. Routage dynamique (BGP activé)

      Si BGP est activé sur la connexion :

      • Les itinéraires sont échangés dynamiquement.
      • UiPath annonce :
        • Tous les CIDR du pool ACR VM
        • CIDR du robot sans serveur
      • Votre périphérique sur site annonce ses CIDR sur site.

      Fournissez des valeurs pour les champs suivants :

      • ASN local: l’ASN utilisé par votre périphérique VPN local.
      • Adresse de pair BGP: l’adresse IP utilisée par votre appareil local pour le pairage BGP.

      Si l'une ou l'autre valeur est manquante ou incorrecte, BGP ne s'établira pas.

5. Vous pouvez si vous le souhaitez définir des configurations personnalisées pour la stratégie IPSec/IKE. Utilisez cette section pour garantir la compatibilité avec les paramètres de sécurité spécifiques requis par votre périphérique VPN local, ou pour mettre en œuvre des politiques de sécurité avancées adaptées aux besoins de votre organisation. Pour ce faire, activez la bascule Politique IPSec/IKE .

   Remarque :

   Seul IKEv2 est pris en charge.

   1. Pour la phase 1 IKE, fournissez des valeurs pour les champs suivants :

      Chiffrement: fournissez la méthode de chiffrement correspondante pour l'échange de clés sécurisé initial (Phase 1 IKE). Elle doit être identique au paramètre UiPath Gateway (par exemple, AES-256, GCMAES).

      Valeurs possibles : GCMAES256, GCMAES128, AES256, AES192, AES128

      Intégrité: fournissez le contrôle d'intégrité des données correspondant pour la communication IKE de phase 1 initiale (par exemple, SHA-256, SHA-512). Cela doit correspondre à la passerelle UiPath.

      Valeurs possibles : SHA384, SHA256, SHA1, MD5

      Groupe HD: fournissez le groupe Diffie-Hellman (HD) correspondant pour l'échange de clés sécurisé dans la phase 1 IKE (par exemple, Groupe 14, Groupe 19. Cela doit correspondre à la passerelle UiPath.

      Valeurs possibles : DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None

   2. Pour la phase 2 IKE (IPSec), fournissez des valeurs pour les champs suivants :

      Chiffrement IPsec: fournissez la méthode de chiffrement correspondante pour le trafic de données dans le tunnel VPN (IPSec Phase 2) (par exemple, AES-256, 3DES). Cela doit correspondre à la passerelle UiPath.

      Valeurs possibles : GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Aucune

      Intégrité IPSec: fournissez le contrôle d'intégrité des données correspondant pour le trafic dans le tunnel VPN (IPSec Phase 2) (par exemple, SHA-256, SHA-512). Cela doit correspondre à la passerelle UiPath.

      Valeurs possibles : GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

      Groupe PFS: fournissez le groupe Détails sur le transfert de données (PFS) correspondant pour la phase 2 d'IPSec, s'il est activé sur la passerelle UiPath (par exemple, Groupe 14, Groupe 19). Si un côté utilise PFS, l'autre doit le correspondre ou le désactiver.

      Valeurs possibles : PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Aucune

      Durée de vie de l'IPSec SA en kilooctets: indique la durée des connexions sécurisées actives (IKE et IPSec). Il s'agit de paramètres locaux ; la correspondance n’est pas strictement nécessaire, mais des valeurs similaires sont recommandées pour plus de cohérence.

      Valeurs possibles : 1 024 minimum, 10 2400 000 par défaut

      Durée de vie de l'IPsec SA en secondes: indiquez la durée des connexions sécurisées actives (IKE et IPSec). Il s'agit de paramètres locaux ; la correspondance n’est pas strictement nécessaire, mais des valeurs similaires sont recommandées pour plus de cohérence.

      Valeurs possibles : 300 minimum, 27 000 par défaut

6. Sélectionnez Ajouter une connexion. Une fois la configuration terminée, le statut de la connexion peut prendre un certain temps pour passer à Connecté.

   Le panneau se ferme et la nouvelle connexion s'affiche sur la page Connexions (Connexions). La connexion est prête à être utilisée lorsque la colonne Statut de la connexion (Connection status) affiche Connecté (Connected).

   Un statut Connecté signifie que la clé pré-partagée (PSK), l'adresse IP publique (IP) pair et les paramètres de politique IPSec/IKE sont correctement configurés et qu'il existe un tunnel chiffré.