Automation Cloud 管理ガイド

• ネットワーク レベルでの UiPath VPN ゲートウェイの動作
• CIDR 範囲、ルーティング、ファイアウォール ルール、DNS を正しく計画する方法
• サイト間 VPN 接続を設定する方法 (静的ルーティング、BGP、カスタムの IPsec または IKE ポリシーなど)

前提条件​

• Automation Cloud の Organization Administrator である。
• マシン - 編集権限を含む Orchestrator のロールを持っている。
• 以下の必要な情報をネットワーク管理者から入手している。
  • オンプレミス ネットワーク構成内にある予約済みの IP アドレス範囲 (CIDR 表記法) のリスト。構成の一環として、オンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。
  • UiPath が VPN 経由でアクセスするプライベート CIDR (オンプレミス ネットワーク)。
  • 各 VPN デバイスの事前共有キー (PSK)。
    重要:

    オンプレミス ネットワークのサブネットが、接続先の仮想ネットワーク サブネットと重複してはならない。

  • 互換性のある VPN デバイスを使用していて、VPN デバイスを設定する能力と知識がある。詳しくは、 Azure VPN Gateway の接続用 VPN デバイスに関するこちらのページをご覧ください。既定の接続パラメーターについて詳しくは、 Azure の既定のポリシーに関するこちらのドキュメントをご覧ください。
  • VPN デバイスでは、外部に公開されるパブリック IPv4 アドレスを使用する必要がある。
  注:

  事前共有キーは、最大 128 文字の印刷可能な ASCII 文字で構成する必要があります。 スペース、ハイフン -、チルダ ~ は使用しないでください。

UiPath VPN 接続のネットワークと CIDR について​

メンタル モデル​

• オンプレミス ネットワークと UiPath Cloud ロボットのネットワークは、1 つのプライベート ルーティング ドメインの一部になります。
• Cloud ロボットは、プライベート IP アドレスを使用してオンプレミスのリソースにアクセスします。
• VPN ゲートウェイは、プロキシまたは NAT デバイスとして機能しません。
• 送信元 IP アドレスが重要であり、両方向にルーティング可能である必要があります。

CIDR とは​

• 10.10.0.0/27 → 32 個の IP アドレス
• 10.10.0.0/25 → 128 個の IP アドレス
• 10.10.0.0/24 → 256 個の IP アドレス

UiPath VPN の設定に関係するネットワーク​

• VPN ゲートウェイ ネットワーク
• ACR 仮想マシンプール ネットワーク (仮想マシンベースの Cloud ロボット)
• サーバーレス ロボット ネットワーク

VPN ゲートウェイ ネットワーク (必須)​

• VPN トンネル エンドポイント
• BGP ピアリング (有効化されている場合)

• サポートされる最小サイズ: /27
• 推奨サイズ: /25 以上

• 最小値: 10.10.0.0/27
• 推奨: 10.10.0.0/25
  重要:

  このネットワークは、VPN ゲートウェイの作成後に変更することはできません。

  • VPN ゲートウェイには、/27 以上のネットワーク (例: /27、/26、/25) が必要です。
  • プライベート エンドポイントは、/25 以上のネットワークでのみサポートされています。
  • /27 の CIDR を使用して VPN ゲートウェイを作成した場合、次のような動作になります。
    • CIDR 全体がゲートウェイ サブネット専用になります。
    • プライベート エンドポイントの作成は無効化されます。
    • 将来のネットワーク機能をサポートできなくなる可能性があります。

Automation Cloud ロボット - 仮想マシン プールの CIDR (仮想マシン ベースの Cloud ロボット)​

• これらの CIDR は、仮想マシンベースのロボットの送信元 IP アドレスを定義します。
• オンプレミス ネットワーク宛のトラフィックは、これらの範囲から発信されます。
  注:

  • 仮想マシン プールごとに専用の一意の CIDR が必要です。
  • 以下と重複してはなりません。

  • VPN ゲートウェイの CIDR
  • サーバーレス ロボットの CIDR
  • オンプレミス ネットワークの CIDR

• VPN ゲートウェイ: 10.10.0.0/25
• ACR 仮想マシン プール 1: 10.20.0.0/24
• ACR 仮想マシン プール 2: 10.21.0.0/24

サーバーレス ロボットの CIDR (単一の共有ネットワーク)​

• サーバーレス ロボット: 10.30.0.0/16
  重要:

  サーバーレス ロボットの CIDR を複数作成することはできません。

• 選択した CIDR は十分な大きさである必要があります。
• 以下と重複してはなりません。
  • VPN ゲートウェイの CIDR
  • Automation Cloud ロボット - 仮想マシン プールの任意の CIDR
  • オンプレミス ネットワーク

ファイアウォールとルーティングへの影響​

• Automation Cloud ロボット - 仮想マシン プールの CIDR
• サーバーレス ロボットの CIDR

ベスト プラクティス​

• VPN ゲートウェイの CIDR: /25 以上。
• 以下のための、重複しない独立した CIDR。
  • VPN ゲートウェイ
  • 各 ACR 仮想マシン プール
  • サーバーレス ロボット
• ロボットのすべての CIDR が以下の状態であることを確認します。
  • オンプレミス ファイアウォールの通過が許可されている
  • 両方向にルーティング可能である

VPN ゲートウェイのワークフロー スキーマ​

1. UiPath がアクセスするオンプレミスの CIDR (内部のプライベート アドレス範囲) を特定します。これらの CIDR は VPN 経由でアクセス可能である必要があります。
2. ローカル ネットワークで、ACR - 仮想マシンプールの IP 範囲 (6、7) を指定して、ネットワークへのトラフィックを許可します。
3. UiPath VPN ゲートウェイ ネットワーク (ゲートウェイのサブネット CIDR) を作成します。このネットワークは VPN ゲートウェイのリソース (トンネル エンドポイントと BGP ピアリング) のみをホストします。
   • サポートされる最小値: /27。
   • 推奨: /25 以上。
   • プライベート エンドポイントには /25 以上が必要です。
   • 作成後に変更することはできません。
4. UiPath が VPN ゲートウェイ用のパブリック IP を作成します。オンプレミス VPN デバイスは、このパブリック IP をリモート ピアとして使用します。プロビジョニングが完了すると、BGP ピア アドレスと ASN も利用できるようになります。
5. オンプレミス VPN デバイスのパブリック IP と UiPath VPN ゲートウェイのパブリック IP との間にサイト間トンネルを作成します。
6. ルーティングが確立されます (静的または BGP)。
   • 静的ルーティング (接続で BGP が無効化) の場合: 接続にオンプレミスの CIDR を入力します。これらの範囲のみがオンプレミスにルーティングされます。
   • 動的ルーティング (BGP が有効): ルートは動的に交換されます。
7. ロボットのトラフィックは、ゲートウェイの CIDR ではなく、ロボットの CIDR から発信されます。
   • ACR 仮想マシン プールの各 CIDR (プールごとに専用の CIDR があります)。
   • サーバーレス ロボットの単一の CIDR (テナントごとに 1 つ)。
8. オンプレミスのファイアウォール (およびすべての中間ファイアウォール) では、ロボットの CIDR からオンプレミス リソースへの受信を許可し、それらのロボットの CIDR への戻りルーティング (静的ルートまたは BGP) が各自に行われるようにする必要があります。
   重要:

   VPN ゲートウェイは NAT を実行しません。CIDR は重複していない必要があります。また、送信元 IP は両方向にルーティング可能である必要があります。