- 基本情報
- ベスト プラクティス
- テナント
- Cloud ロボット
- Cloud robots overview
- Cloud ロボットの VPN を構成する
- ExpressRoute 接続を構成する
- ライブ ストリーミングとリモート制御
- Automation Suite ロボット
- フォルダー コンテキスト
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- インデックス
- キュー
- アセット
- コネクション
- ビジネス ルール
- ストレージ バケット
- MCP サーバー
- Orchestrator のテスト
- リソース カタログ サービス
- Integrations
- トラブルシューティング
Orchestrator ユーザー ガイド
Cloud ロボットの VPN を構成する
テナントの VPN ゲートウェイを作成すると、仮想マシン Cloud ロボットまたはサーバーレス Cloud ロボットがファイアウォールの背後にあるオンプレミスのリソースにアクセスできます。
このページでは以下の内容について説明します。
- ネットワーク レベルでの UiPath VPN ゲートウェイの動作
- CIDR 範囲、ルーティング、ファイアウォール ルール、DNS を正しく計画する方法
- サイト間 VPN 接続を設定する方法 (静的ルーティング、BGP、カスタムの IPsec または IKE ポリシーなど)
前提条件
VPN クライアントなどのカスタム ソフトウェアを仮想マシンにインストールすると、コア サービスに干渉し、仮想マシンが使用できなくなる可能性があります。代わりに、この章の設定を使用してください。
VPN ゲートウェイを設定するには、次の要件を満たす必要があります。
- Be an organization administrator.
- マシン - 編集権限を含む Orchestrator のロールを持っている。
- 以下の必要な情報をネットワーク管理者から入手している。
- オンプレミス ネットワーク構成内にある予約済みの IP アドレス範囲 (CIDR 表記法) のリスト。構成の一環として、オンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。
- UiPath が VPN 経由でアクセスするプライベート CIDR (オンプレミス ネットワーク)。
- 各 VPN デバイスの事前共有キー (PSK)。
重要:
オンプレミス ネットワークのサブネットが、接続先の仮想ネットワーク サブネットと重複してはならない。
- 互換性のある VPN デバイスを使用していて、VPN デバイスを設定する能力と知識がある。詳しくは、 Azure VPN Gateway の接続用 VPN デバイスに関するこちらのページをご覧ください。既定の接続パラメーターについて詳しくは、 Azure の既定のポリシーに関するこちらのドキュメントをご覧ください。
- VPN デバイスでは、外部に公開されるパブリック IPv4 アドレスを使用する必要がある。
-
注:
事前共有キーは、最大 128 文字の印刷可能な ASCII 文字で構成する必要があります。 スペース、ハイフン
-、チルダ~は使用しないでください。
VPN ゲートウェイのワークフロー スキーマ
このスキーマでは、オンプレミス ネットワークと UiPath Cloud ロボットのネットワーク間で VPN 接続がどのように確立されているかが示されます。
VPN ゲートウェイに接続すると、仮想マシンベースの Cloud ロボット (ACR 仮想マシン プール) とサーバーレス ロボットはオンプレミス ネットワーク内の制限されたリソースにアクセスできるようになります。
図 1.VPN ゲートウェイのワークフロー スキーマ 
このフローは以下のとおりです。
- UiPath がアクセスするオンプレミスの CIDR (内部のプライベート アドレス範囲) を特定します。これらの CIDR は VPN 経由でアクセス可能である必要があります。
- ローカル ネットワークで、ACR - 仮想マシンプールの IP 範囲 (6、7) を指定して、ネットワークへのトラフィックを許可します。
- UiPath VPN ゲートウェイ ネットワーク (ゲートウェイのサブネット CIDR) を作成します。このネットワークは VPN ゲートウェイのリソース (トンネル エンドポイントと BGP ピアリング) のみをホストします。
- サポートされる最小値:
/27。 - 推奨:
/25以上。 - プライベート エンドポイントには
/25以上が必要です。 - 作成後に変更することはできません。
- サポートされる最小値:
- UiPath が VPN ゲートウェイ用のパブリック IP を作成します。オンプレミス VPN デバイスは、このパブリック IP をリモート ピアとして使用します。プロビジョニングが完了すると、BGP ピア アドレスと ASN も利用できるようになります。
- オンプレミス VPN デバイスのパブリック IP と UiPath VPN ゲートウェイのパブリック IP との間にサイト間トンネルを作成します。
- ルーティングが確立されます (静的または BGP)。
- 静的ルーティング (接続で BGP が無効化) の場合: 接続にオンプレミスの CIDR を入力します。これらの範囲のみがオンプレミスにルーティングされます。
- 動的ルーティング (BGP が有効): ルートは動的に交換されます。
- ロボットのトラフィックは、ゲートウェイの CIDR ではなく、ロボットの CIDR から発信されます。
- ACR 仮想マシン プールの各 CIDR (プールごとに専用の CIDR があります)。
- サーバーレス ロボットの単一の CIDR (テナントごとに 1 つ)。
- オンプレミスのファイアウォール (およびすべての中間ファイアウォール) では、ロボットの CIDR からオンプレミス リソースへの受信を許可し、それらのロボットの CIDR への戻りルーティング (静的ルートまたは BGP) が各自に行われるようにする必要があります。
重要:
VPN ゲートウェイは NAT を実行しません。CIDR は重複していない必要があります。また、送信元 IP は両方向にルーティング可能である必要があります。
手順 1. VPN ゲートウェイを作成する
テナントの VPN ゲートウェイを作成するには、以下の手順を実行します。
- [管理] に移動します。
新しい管理エクスペリエンスがまだ有効化されていない場合は、ヘッダーのトグルを使用して有効化します。
- 左側の [ テナント ] パネルから、VPN ゲートウェイを作成するテナントを選択します。
選択したテナントの設定ページが開きます。
- [VPN ゲートウェイ] タイルを選択します。
- [ テナントのゲートウェイを作成] を選択します。[ ゲートウェイの作成 ] パネルが開きます
- [名前] フィールドに、テナントの [VPN ゲートウェイ] ページに表示するゲートウェイの名前を入力します。
- [VPN Gateway vnet のアドレス空間] フィールドに、ネットワーク管理者から入手した IP アドレスを追加します。
- CIDR 表記法を使用します。
- サポートされる最小値:
/27。 - 推奨:
/25以上 (プライベート エンドポイントには/25以上が必要です)。 - 作成後に変更することはできません。
- ゲートウェイまたは仮想マシン プールの Vnet 範囲は、一度作成すると変更できません。
- VPN ゲートウェイ ネットワーク (
/25など) に CIDR ブロックを割り当てても、VPN が有効化されたマシン プールまたはサーバーレス マシン テンプレートからのトラフィックは、この CIDR からは発生しません。 送信トラフィックに使用される実際の送信元 IP アドレスは、個々のマシン プールまたはサーバーレス テンプレートに割り当てられた CIDR の IP アドレスです。 VPN ゲートウェイ ネットワークの CIDR からのトラフィックではなく、マシン プールまたはサーバーレス テンプレートの CIDR からのトラフィックを許可するようにしてください。
- (任意) この接続に DNS を使用する場合は、[DNS アドレスを追加] を選択してから、以下を行います。
- [DNS アドレス] フィールドに DNS アドレスを追加します。
- DNS アドレスを追加するには、[さらに追加] を選択してフィールドをもう 1 つ追加し、そのフィールドにアドレスを追加します。
注:
VPN ゲートウェイを作成した後に DNS アドレスを追加することはできますが、ゲートウェイに接続されているすべての仮想マシンを再起動する必要があります。
- パネル下部の [作成] を選択して VPN ゲートウェイ接続を作成します。
パネルが閉じ、VPN ゲートウェイのステータスが [プロビジョニング中] になります。
完了すると、[デプロイ済み] のステータスがゲートウェイのカードに表示されます。
ステータスが [失敗] の場合は、ゲートウェイを削除し、前述の手順に従って再作成します。
手順 2. Cloud ロボット テンプレートを作成する
この手順を実行する前に、VPN ゲートウェイに [デプロイ済み ] のステータスが表示されている必要があります。
Cloud ロボット テンプレートの Vnet は、各テンプレートの作成時に作成されます。
Cloud ロボット - 仮想マシン
Orchestrator で、「Cloud ロボット プールを作成する」の手順に従って Cloud ロボット - 仮想マシン プールを 1 つ以上作成します。設定時に、必ず [VPN ゲートウェイを接続] オプションを選択してください。
各プールについて、[マシン] > [Cloud ロボット - 仮想マシンを管理] ページから VPN ステータスを監視できます。
既存の Cloud ロボット - 仮想マシン プールは、この VPN ゲートウェイに接続できません。新しいプールを作成する必要があります。 さらに、テナントの VPN ゲートウェイに接続するよう設定されたプールでは、プールを編集して、[VPN ゲートウェイを有効化] トグルをオフにしてプールを切断することができます。切断したプールを VPN ゲートウェイに再接続することはできません。
Cloud ロボット - サーバーレス
In Orchestrator, edit or create Cloud robot - Serverless templates, following the instructions in Automation Cloud™ robots - Serverless . During setup, make sure to configure options on the Network Configuration page.
手順 3. サイト間接続を作成する
VPN ゲートウェイをデプロイしたら、オンプレミス ネットワークをゲートウェイに接続できます。
ゲートウェイ カードにパブリック IP アドレスが表示されます。これはトンネルの構成に不可欠な情報です。
VPN ゲートウェイを設定して VPN デバイスに接続するには、以下の手順を実行します。
- 組織で [ 管理 ] > [テナント ] > VPN ゲートウェイに移動します。
- ゲートウェイのタイルで、[接続を追加] を選択します。
[接続を作成] パネルが開きます。
-
次のフィールドに値を指定します。
オプション 説明 コネクション名 コネクションの名前を入力します。 Shared key (PSK) 秘密のフレーズまたは文字列を書き込みます。この正確なキーを覚えておき、オンプレミス デバイスで接続を設定するときに指定する必要があります。 Public IP for the VPN device オンプレミス VPN デバイスのパブリック IP アドレスを指定します。重要: カードに表示されている VPN ゲートウェイのパブリック IP アドレスは指定しないでください。そのゲートウェイのパブリック IP は、オンプレミス デバイスでリモート ピアとして構成する必要があります。 -
Choose the routing type for this connection between Static routing (BGP disabled) or Dynamic routing (BGP enabled). A single UiPath VPN gateway can host a mix of BGP and non-BGP connections.
- Static routing (BGP disabled)
接続で BGP が無効化されている場合は、UiPath のルーティング先のオンプレミス CIDR を構成する必要があります。
オンプレミス デバイスのアドレス空間: この接続を介して到達可能である必要がある、オンプレミス ネットワーク上のプライベート CIDR をすべて指定します。これらの範囲のみが、このトンネル経由でオンプレミスにルーティングされます。
ゲートウェイに DNS サーバーの IP アドレスを構成した場合は、その DNS IP がここで定義されているいずれかのオンプレミス CIDR の範囲内にあることを確認してください (これにより、ゲートウェイはトンネル経由でそれらの IP にアクセスできます)。
- Dynamic routing (BGP enabled)
接続で BGP が有効化されている場合は、以下の動作になります。
- ルートは動的に交換されます。
- UiPath は以下をアドバタイズします。
- ACR 仮想マシン プールのすべての CIDR
- サーバーレス ロボットの CIDR
- オンプレミス デバイスはそのオンプレミス CIDR をアドバタイズします。
次のフィールドに値を指定します。
- On-premises ASN: オンプレミス VPN デバイスで使用される ASN です。
- BGP ピア アドレス: オンプレミス デバイスで BGP ピアリングに使用される IP アドレスです。
いずれかの値が指定されていないか正しくない場合、BGP は確立されません。
- 必要に応じて、IPSec/IKE ポリシーのカスタム構成を定義できます。このセクションは、オンプレミス VPN デバイスに必要な特定のセキュリティ設定との互換性を確保したり、組織のニーズに合わせた高度なセキュリティ ポリシーを実装したりする場合に使用します。これを行うには、[ カスタム IPSec/IKE ポリシー ] トグルをオンにします。
IKEv2 のみがサポートされています。
- IKE フェーズ 1 では、以下のフィールドに値を指定します。
Encryption * : Provide the matching encryption method for the initial secure key exchange (IKE Phase 1). This must be identical to the UiPath Gateway setting (for example, AES-256, GCMAES).
設定可能な値: GCMAES256、GCMAES128、AES256、AES192、AES128
Integrity * : Provide the matching data integrity check for the initial IKE Phase 1 communication (for example, SHA-256, SHA-512). This must match the UiPath Gateway.
設定可能な値: SHA384、SHA256、SHA1、MD5
DH Group * : Provide the matching Diffie-Hellman (DH) group for the secure key exchange in IKE Phase 1 (for example, Group 14, Group 19). This must match the UiPath Gateway.
可能な値: DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None
- IKE フェーズ 2 (IPSec) の場合は、次のフィールドに値を指定します。
IPsec Encryption * : Provide the matching encryption method for data traffic within the VPN tunnel (IPSec Phase 2) (for example, AES-256, 3DES). This must match the UiPath Gateway.
設定可能な値: GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、None
IPsec Integrity * : Provide the matching data integrity check for traffic within the VPN tunnel (IPSec Phase 2) (for example, SHA-256, SHA-512). This must match the UiPath Gateway.
設定可能な値: GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS Group * : Provide the matching Perfect Forward Secrecy (PFS) group for IPSec Phase 2, if enabled on the UiPath Gateway (for example, Group 14, Group 19). If one side uses PFS, the other should match or disable it.
可能な値: PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし
IPSec SA lifetime in Kilobytes * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.
設定可能な値: 最小値 1,024、既定値 10,2400,000
IPsec SA lifetime in seconds * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.
設定可能な値: 最小 300、既定値 27,000
- [ コネクションを追加] を選択します。設定が完了してから、接続ステータスが [接続済み] に更新されるまでに時間がかかる場合があります。
パネルが閉じ、新しい接続が [接続] ページに表示されます。 [接続ステータス] 列に [接続済み] と表示されている場合、接続を使用できます。
接続済みステータスは、事前共有キー(PSK)、ピアパブリックインターネットプロトコル(IP)アドレス、およびIPSec/IKEポリシーパラメータが正しく設定され、暗号化されたトンネルが存在することを意味します。
接続ステータスが [接続失敗] の場合は、接続を削除して再度作成する必要があります。
接続をさらに追加するには、[ 接続 ] ページで [ 接続を作成] を選択します。
最大 25 個のコネクションを追加できます。
手順 4. VPN デバイスを設定する
これでネットワーク管理者が以下の操作を行えるようになります。
- オンプレミス ネットワークから VPN デバイスを設定します。
PSK は、手順 3 で作成した接続に指定した値と一致する必要があります。
- Cloud ロボット テンプレートの VPN ゲートウェイと Vnet を設定するために使用したアドレス空間をネットワークの許可リストに追加します。
For a list of supported VPN devices and for RouteBased configuration instructions, refer to About VPN devices for connections - Azure VPN Gateway in the Microsoft documentation.
よくある質問
データ所在地
テナントの VPN ゲートウェイは自動的にテナントのリージョンと同じリージョンに作成され、リージョンを変更することはできません。
別のリージョンに切り替える
VPN ゲートウェイが既に存在している場合に、テナントを別のリージョンに移動するときは、次のいずれかを実行できます。
- ゲートウェイを古いリージョンで使用し続ける。
- 既存の VPN ゲートウェイを削除し、新しい VPN ゲートウェイを作成する。これはテナントの現在のリージョンに作成されます。
データ保持
VPN ゲートウェイが設定されているテナントを無効化した場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。
60 日以内にテナントを再度有効化すれば、VPN ゲートウェイは削除されずに利用できます。
ライセンスの有効期限
ロボット ユニットの有効期限が切れている場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。
VPN 接続をトラブルシューティングする
If a connection is Connected, but you cannot access the resources, check:
- Address Space Configuration — Ensure defined address spaces on both ends are correct and non-overlapping for proper routing.
- DNS Resolution — Confirm the gateway and connected devices resolve necessary domain names. Verify DNS server configurations and reachability.
- Firewall Rules - Review firewall rules on both the gateway and on-premises network; ensure traffic flows on required ports and protocols within defined address spaces.