UiPath Documentation
orchestrator
latest
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。
UiPath logo, featuring letters U and I in white

Orchestrator ユーザー ガイド

最終更新日時 2026年3月13日

Cloud ロボットの VPN を構成する

テナントの VPN ゲートウェイを作成すると、仮想マシン Cloud ロボットまたはサーバーレス Cloud ロボットがファイアウォールの背後にあるオンプレミスのリソースにアクセスできます。

このページでは、以下の内容について説明します。
  • ネットワーク レベルでの UiPath VPN ゲートウェイの動作。
  • CIDR 範囲、ルーティング、ファイアウォール ルール、DNS を正しく計画する方法。
  • 静的ルーティング、BGP、カスタム IPsec または IKE ポリシーなど、サイト間 VPN 接続を構成する方法。

前提条件

重要:

VPN クライアントなどのカスタム ソフトウェアを仮想マシンにインストールすると、コア サービスに干渉し、仮想マシンが使用できなくなる可能性があります。代わりに、この章の設定を使用してください。

VPN ゲートウェイを設定するには、次の要件を満たす必要があります。

  • Automation CloudTM の組織管理者である。
  • マシン - 編集権限を含む Orchestrator のロールを持っている。

  • ネットワーク管理者に必要な情報:

    • オンプレミス ネットワーク構成内にある予約済みの IP アドレス範囲 (CIDR 表記法) のリスト。構成の一環として、オンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。

    • UiPath が VPN 経由で到達するプライベート CIDR (オンプレミス ネットワーク)。
    • 各 VPN デバイスの事前共有キー (PSK)。
      重要:

      オンプレミス ネットワークのサブネットが、接続先の仮想ネットワーク サブネットと重複してはならない。

    • 互換性のある VPN デバイスを使用していて、VPN デバイスを設定する能力と知識がある。詳しくは、Azure VPN Gateway の接続用 VPN デバイスに関するこちらのページをご覧ください。既定の接続パラメーターについて詳しくは、Azure の既定のポリシーに関するこちらのドキュメントをご覧ください。
    • VPN デバイスでは、外部に公開されるパブリック IPv4 アドレスを使用する必要がある。
    • 注:

      事前共有キーは、最大 128 文字の印刷可能な ASCII 文字で構成する必要があります。

      スペース、ハイフン -、チルダ ~ は使用しないでください。

VPN ゲートウェイのワークフロー スキーマ

このスキーマでは、オンプレミス ネットワークと UiPath Cloud ロボット ネットワーク間で VPN 接続がどのように確立されているかが示されます。

VPN ゲートウェイに接続すると、仮想マシンベースの Cloud ロボット (ACR 仮想マシンプール) とサーバーレス ロボットがオンプレミス ネットワーク内の制限されたリソースにアクセスできるようになります。
図 1. VPN ゲートウェイのワークフロー スキーマ VPN ゲートウェイのワークフロー スキーマ
このフローは以下のとおりです。
  1. UiPath が到達するオンプレミスの CIDR を特定します (内部のプライベート アドレス範囲)。これらは、VPN 経由で到達可能である必要があります。

  2. ローカル ネットワークで、ACR - 仮想マシンプールの IP 範囲 (6、7) を指定して、ネットワークへのトラフィックを許可します。

  3. UiPath VPN ゲートウェイ ネットワーク (ゲートウェイ サブネット CIDR) を作成します。このネットワークは、VPN ゲートウェイ リソース(トンネル エンドポイントと BGP ピアリング)のみをホストします。
    • サポートされる最小数: /27
    • 推奨: /25 以上
    • プライベート エンドポイントには /25 以上が必要です
    • 作成後に変更することはできません
  4. UiPath によって VPN ゲートウェイ用のパブリック IP が作成されます。オンプレミスの VPN デバイスは、このパブリック IP をリモート ピアとして使用します。プロビジョニングが完了すると、BGP ピア アドレスと ASN も使用可能になります。
  5. オンプレミス VPN デバイスのパブリック IP と UiPath VPN ゲートウェイのパブリック IP の間にサイト間トンネルを作成します。
  6. ルーティングが確立されます(スタティックまたは BGP)。
    • 静的ルーティング (接続で BGP が無効): 接続でオンプレミスの CIDR を入力します。これらの範囲のみがオンプレミスにルーティングされます。
    • 動的ルーティング(接続でBGPが有効):ルートは動的に交換されます。
  7. ロボットのトラフィックは、ゲートウェイの CIDR ではなく、ロボットの CIDR から発信されます。
    • 各 ACR 仮想マシン プールの CIDR (各プールには独自の CIDR があります)。
    • 単一のサーバーレス ロボット CIDR (テナントごとに 1 つ)。
  8. オンプレミスのファイアウォール (および中間ファイアウォール) は、ロボット CIDR からオンプレミス リソースへの受信を許可し、それらのロボット CIDR (静的ルートまたは BGP) へのリターン ルーティングを確実に行う必要があります。
重要:

VPN ゲートウェイは NAT を実行しません。CIDR は重複していない必要があり、送信元 IP は双方向にルーティング可能である必要があります。

手順 1. VPN ゲートウェイを作成する

テナントの VPN ゲートウェイを作成するには、以下の手順を実行します。

  1. Automation CloudTM[管理] に移動します。

    新しい管理エクスペリエンスがまだ有効化されていない場合は、ヘッダーのトグルを使用して有効化します。

  2. 左側の [ テナント ] パネルから、VPN ゲートウェイを作成するテナントを選択します。

    選択したテナントの設定ページが開きます。

  3. [VPN ゲートウェイ] タイルを選択します。
  4. [ テナントのゲートウェイを作成] を選択します。[ゲートウェイを作成] パネルが開きます
  5. [名前] フィールドに、テナントの [VPN ゲートウェイ] ページに表示するゲートウェイの名前を入力します。
  6. [VPN Gateway vnet のアドレス空間] フィールドに、ネットワーク管理者から入手した IP アドレスを追加します。
    • CIDR 表記法を使用します。
    • サポートされる最小数: /27
    • 推奨: /25 以上 (プライベート エンドポイントには /25 以上が必要です)。
    • 作成後に変更することはできません。
    重要:
    • ゲートウェイまたは仮想マシン プールの Vnet 範囲は、一度作成すると変更できません。
    • VPN ゲートウェイ ネットワーク (/25 など) に CIDR ブロックを割り当てても、VPN が有効化されたマシン プールまたはサーバーレス マシン テンプレートからのトラフィックは、この CIDR からは発生しません。

      送信トラフィックに使用される実際の送信元 IP アドレスは、個々のマシン プールまたはサーバーレス テンプレートに割り当てられた CIDR の IP アドレスです。

      VPN ゲートウェイ ネットワークの CIDR からのトラフィックではなく、マシン プールまたはサーバーレス テンプレートの CIDR からのトラフィックを許可するようにしてください。

  7. (任意) この接続に DNS を使用する場合は、[DNS アドレスを追加] を選択してから、以下を行います。
    1. [DNS アドレス] フィールドに DNS アドレスを追加します。
    2. DNS アドレスを追加するには、[さらに追加] を選択してフィールドをもう 1 つ追加し、そのフィールドにアドレスを追加します。
      注: VPN ゲートウェイを作成した後に DNS アドレスを追加することはできますが、ゲートウェイに接続されているすべての仮想マシンを再起動する必要があります。
  8. パネル下部の [作成] を選択して VPN ゲートウェイ接続を作成します。

パネルが閉じ、VPN ゲートウェイのステータスが [プロビジョニング中] になります。

完了すると、[デプロイ済み] のステータスがゲートウェイのカードに表示されます。

注: ステータスが [失敗] の場合は、ゲートウェイを削除し、前述の手順に従って再作成します。

手順 2. Cloud ロボット テンプレートを作成する

注: この手順を実行する前に、VPN ゲートウェイに [デプロイ済み] のステータスが表示されている必要があります。

Cloud ロボット テンプレートの Vnet は、各テンプレートの作成時に作成されます。

Cloud ロボット - 仮想マシン

Orchestrator で、「Cloud ロボット プールを作成する」の手順に従って Cloud ロボット - 仮想マシン プールを 1 つ以上作成します。設定時に、必ず [VPN ゲートウェイを接続] オプションを選択してください。

各プールについて、[マシン] > [Cloud ロボット - 仮想マシンを管理] ページから VPN ステータスを監視できます。

注:

既存の Cloud ロボット - 仮想マシン プールは、この VPN ゲートウェイに接続できません。新しいプールを作成する必要があります。

さらに、テナントの VPN ゲートウェイに接続するよう設定されたプールでは、プールを編集して、[VPN ゲートウェイを有効化] トグルをオフにしてプールを切断することができます。切断したプールを VPN ゲートウェイに再接続することはできません。

Cloud ロボット - サーバーレス

Orchestrator で、「Automation Cloud™ ロボット - サーバーレス」の手順に従って Cloud ロボット - サーバーレス テンプレートを編集または作成します。設定時に、必ず [ネットワーク構成] ページのオプションを設定してください。

手順 3. サイト間接続を作成する

VPN ゲートウェイをデプロイしたら、オンプレミス ネットワークをゲートウェイに接続できます。

ゲートウェイ カードにパブリック IP アドレスが表示されます。これはトンネルの構成に不可欠な情報です。

VPN ゲートウェイを設定して VPN デバイスに接続するには、以下の手順を実行します。

  1. Automation CloudTM で、[管理] > テナント > [VPN ゲートウェイ] に移動します。
  2. ゲートウェイのタイルで、[接続を追加] を選択します。

    [接続を作成] パネルが開きます。

  3. 次のフィールドに値を指定します。
    オプション説明

    コネクション名 *

    コネクションの名前を入力します。

    共有キー (PSK) *

    秘密のフレーズまたは文字列を書き込みます。この正確なキーを覚えておき、オンプレミス デバイスで接続を設定するときに指定する必要があります。

    VPN デバイスのパブリック IP *

    オンプレミス VPN デバイスのパブリック IP アドレスを指定します。重要: カードに表示されている VPN ゲートウェイのパブリック IP アドレスは指定しないでください。そのゲートウェイのパブリック IP は、オンプレミス デバイスでリモート ピアとして構成する必要があります。

  4. この接続のルーティングの種類を [Static routing (BGP disabled)] または [Dynamic routing (BGP enabled)] から選択します。
    1 つの UiPath VPN ゲートウェイで、BGP 接続と非 BGP 接続を混在させてホストできます。
    1. Static routing (BGP disabled)
      接続で BGP が無効化されている場合は、UiPath のルーティング先のオンプレミス CIDR を構成する必要があります。

      オンプレミス デバイスのアドレス空間 *: この接続を介してアクセスできる必要がある、オンプレミス ネットワーク上のすべてのプライベート CIDR を指定します。これらの範囲のみが、このトンネル経由でオンプレミスにルーティングされます。

      注:

      ゲートウェイに DNS サーバーの IP アドレスを構成した場合は、その DNS IP がここで定義されているいずれかのオンプレミス CIDR の範囲内にあることを確認してください (これにより、ゲートウェイはトンネル経由でそれらの IP にアクセスできます)。

    2. Dynamic routing (BGP enabled)
      接続で BGP が有効化されている場合は、以下の動作になります。
      • ルートは動的に交換されます。
      • UiPath は以下をアドバタイズします。
        • ACR 仮想マシン プールのすべての CIDR
        • サーバーレス ロボットの CIDR
      • オンプレミス デバイスはそのオンプレミス CIDR をアドバタイズします。
      次のフィールドに値を指定します。
      • On-premises ASN: オンプレミス VPN デバイスで使用される ASN です。
      • BGP ピア アドレス: オンプレミス デバイスで BGP ピアリングに使用される IP アドレスです。

      いずれかの値が指定されていないか正しくない場合、BGP は確立されません。

  5. オプションで、IPSec/IKE ポリシーのカスタム設定を定義できます。このセクションは、オンプレミスの VPN デバイスに必要な特定のセキュリティ設定との互換性を確保したり、組織のニーズに合わせた高度なセキュリティ ポリシーを実装したりする場合に使用します。これを行うには、[ カスタム IPSec/IKE ポリシー ] トグルをオンにします。
    注: IKEv2 のみがサポートされています。
    1. IKE フェーズ 1 では、次のフィールドに値を指定します。
      暗号化*

      最初のセキュア キー交換 (IKE フェーズ 1) に一致する暗号化方式を指定します。これは、UiPath ゲートウェイの設定 (AES-256、GCMAES など) と同じである必要があります。

      設定可能な値: GCMAES256、GCMAES128、AES256、AES192、AES128

      整合性*

      最初の IKE フェーズ 1 通信 (SHA-256、SHA-512 など) の照合データ整合性チェックを提供します。これは、UiPath ゲートウェイと一致する必要があります。

      設定可能な値: SHA384、SHA256、SHA1、MD5

      DHグループ *

      IKE フェーズ 1 のセキュア キー交換に一致する Diffie-Hellman(DH)グループ(グループ 14、グループ 19 など)を指定します。これは、UiPath ゲートウェイと一致する必要があります。

      可能な値: DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None

    2. IKE フェーズ 2 (IPSec) の場合は、次のフィールドに値を指定します。
      IPsec 暗号化 *

      VPN トンネル(IPSec フェーズ 2)内のデータ トラフィックに一致する暗号化方式を指定します(AES-256、3DES など)。これは、UiPath ゲートウェイと一致する必要があります。

      設定可能な値: GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、None

      IPsec の整合性 *

      VPN トンネル(IPSec フェーズ 2)内のトラフィック(SHA-256、SHA-512 など)に一致するデータ整合性チェックを提供します。これは、UiPath ゲートウェイと一致する必要があります。

      設定可能な値: GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5

      PFSグループ *

      UiPath ゲートウェイで IPSec フェーズ 2 が有効化されている場合は、対応する Perfect Forward Secrecy (PFS) グループを指定します (例: グループ 14、グループ 19)。一方の側で PFS が使用されている場合は、もう一方の側で PFS を一致させるか、無効にする必要があります。

      可能な値: PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし

      IPSec SA の有効期間 (キロバイト単位) *

      アクティブなセキュリティで保護された接続 (IKE および IPSec) の期間を指定します。これらはローカル設定です。一致は厳密には必須ではありませんが、一貫性を保つために類似した値を推奨します。

      設定可能な値: 最小値 1,024、既定値 10,2400,000

      IPsec SA ライフタイム (秒単位)*

      アクティブなセキュリティで保護された接続 (IKE および IPSec) の期間を指定します。これらはローカル設定です。一致は厳密には必須ではありませんが、一貫性を保つために類似した値を推奨します。

      設定可能な値: 最小 300、既定値 27,000

  6. [ コネクションを追加] を選択します。設定が完了した後、接続ステータスが [接続済み] に更新されるまで時間がかかる場合があります。

パネルが閉じ、新しい接続が [接続] ページに表示されます。 [接続ステータス] 列に [接続済み] と表示されている場合、接続を使用できます。

[接続済み(Connected)] ステータスは、事前共有キー(PSK)、ピアのパブリック インターネット プロトコル(IP)アドレス、および IPSec/IKE ポリシー パラメータが正しく設定され、暗号化されたトンネルが存在することを意味します。

手記: 接続ステータスが [接続失敗] の場合は、接続を削除して再度作成する必要があります。

さらにコネクションを追加するには、[ コネクション] ページで [ コネクションを作成] を選択します。

注: 最大で 25 個の接続を追加できます。

手順 4. VPN デバイスを設定する

これでネットワーク管理者が以下の操作を行えるようになります。

  1. オンプレミス ネットワークから VPN デバイスを設定します。

    PSK は、手順 3 で作成した接続に指定した値と一致する必要があります。

  2. Cloud ロボット テンプレートの VPN ゲートウェイと Vnet を設定するために使用したアドレス空間をネットワークの許可リストに追加します。

サポートされている VPN デバイスのリストとルートベースの設定手順については、Azure VPN Gateway の接続用 VPN デバイスに関する Microsoft ドキュメントのページをご覧ください。

よくある質問

データ所在地

テナントの VPN ゲートウェイは自動的にテナントのリージョンと同じリージョンに作成され、リージョンを変更することはできません。

別のリージョンに切り替える

VPN ゲートウェイが既に存在している場合に、テナントを別のリージョンに移動するときは、次のいずれかを実行できます。

  • ゲートウェイを古いリージョンで使用し続ける。
  • 既存の VPN ゲートウェイを削除し、新しい VPN ゲートウェイを作成する。これはテナントの現在のリージョンに作成されます。

データ保持

VPN ゲートウェイが設定されているテナントを無効化した場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。

60 日以内にテナントを再度有効化すれば、VPN ゲートウェイは削除されずに利用できます。

ライセンスの有効期限

ロボット ユニットの有効期限が切れている場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。

VPN 接続をトラブルシューティングする

接続が「接続済み」であるのにリソースにアクセスできない場合は、以下を確認してください。

  • アドレス空間の設定: 両端で定義されたアドレス空間が正しく、重複しておらず、適切にルーティングできることを確認します。

  • DNS 解決: ゲートウェイおよび接続されているデバイスで、必要なドメイン名が解決されることを確認します。DNS サーバーの構成と、DNS サーバーがアクセス可能であることを確認します。

  • ファイアウォール ルール: ゲートウェイとオンプレミス ネットワークの両方のファイアウォール ルールを確認します。また、定義されたアドレス空間内で、必要なポートおよびプロトコル上でのトラフィック フローを確認します。

このページは役に立ちましたか?

接続

ヘルプ リソース サポート

学習する UiPath アカデミー

質問する UiPath フォーラム

最新情報を取得