UiPath Documentation
orchestrator
latest
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。
UiPath logo, featuring letters U and I in white

Orchestrator ユーザー ガイド

最終更新日時 2026年4月30日

Cloud ロボットの VPN を構成する

テナントの VPN ゲートウェイを作成すると、仮想マシン Cloud ロボットまたはサーバーレス Cloud ロボットがファイアウォールの背後にあるオンプレミスのリソースにアクセスできます。

このページでは以下の内容について説明します。

  • ネットワーク レベルでの UiPath VPN ゲートウェイの動作
  • CIDR 範囲、ルーティング、ファイアウォール ルール、DNS を正しく計画する方法
  • サイト間 VPN 接続を設定する方法 (静的ルーティング、BGP、カスタムの IPsec または IKE ポリシーなど)

前提条件

重要:

VPN クライアントなどのカスタム ソフトウェアを仮想マシンにインストールすると、コア サービスに干渉し、仮想マシンが使用できなくなる可能性があります。代わりに、この章の設定を使用してください。

VPN ゲートウェイを設定するには、次の要件を満たす必要があります。

  • 組織管理者である。
  • マシン - 編集権限を含む Orchestrator のロールを持っている。
  • 以下の必要な情報をネットワーク管理者から入手している。
    • オンプレミス ネットワーク構成内にある予約済みの IP アドレス範囲 (CIDR 表記法) のリスト。構成の一環として、オンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。
    • UiPath が VPN 経由でアクセスするプライベート CIDR (オンプレミス ネットワーク)。
    • 各 VPN デバイスの事前共有キー (PSK)。
      重要:

      オンプレミス ネットワークのサブネットが、接続先の仮想ネットワーク サブネットと重複してはならない。

    • 互換性のある VPN デバイスを使用していて、VPN デバイスを設定する能力と知識がある。詳しくは、 Azure VPN Gateway の接続用 VPN デバイスに関するこちらのページをご覧ください。既定の接続パラメーターについて詳しくは、 Azure の既定のポリシーに関するこちらのドキュメントをご覧ください。
    • VPN デバイスでは、外部に公開されるパブリック IPv4 アドレスを使用する必要がある。
    • 注:

      事前共有キーは、最大 128 文字の印刷可能な ASCII 文字で構成する必要があります。 スペース、ハイフン -、チルダ ~ は使用しないでください。

VPN ゲートウェイのワークフロー スキーマ

このスキーマでは、オンプレミス ネットワークと UiPath Cloud ロボットのネットワーク間で VPN 接続がどのように確立されているかが示されます。

VPN ゲートウェイに接続すると、仮想マシンベースの Cloud ロボット (ACR 仮想マシン プール) とサーバーレス ロボットはオンプレミス ネットワーク内の制限されたリソースにアクセスできるようになります。

図 1.VPN ゲートウェイのワークフロー スキーマ VPN ゲートウェイのワークフロー スキーマ

このフローは以下のとおりです。

  1. UiPath がアクセスするオンプレミスの CIDR (内部のプライベート アドレス範囲) を特定します。これらの CIDR は VPN 経由でアクセス可能である必要があります。
  2. ローカル ネットワークで、ACR - 仮想マシンプールの IP 範囲 (6、7) を指定して、ネットワークへのトラフィックを許可します。
  3. UiPath VPN ゲートウェイ ネットワーク (ゲートウェイのサブネット CIDR) を作成します。このネットワークは VPN ゲートウェイのリソース (トンネル エンドポイントと BGP ピアリング) のみをホストします。
    • サポートされる最小値: /27
    • 推奨: /25 以上。
    • プライベート エンドポイントには /25 以上が必要です。
    • 作成後に変更することはできません。
  4. UiPath が VPN ゲートウェイ用のパブリック IP を作成します。オンプレミス VPN デバイスは、このパブリック IP をリモート ピアとして使用します。プロビジョニングが完了すると、BGP ピア アドレスと ASN も利用できるようになります。
  5. オンプレミス VPN デバイスのパブリック IP と UiPath VPN ゲートウェイのパブリック IP との間にサイト間トンネルを作成します。
  6. ルーティングが確立されます (静的または BGP)。
    • 静的ルーティング (接続で BGP が無効化) の場合: 接続にオンプレミスの CIDR を入力します。これらの範囲のみがオンプレミスにルーティングされます。
    • 動的ルーティング (BGP が有効): ルートは動的に交換されます。
  7. ロボットのトラフィックは、ゲートウェイの CIDR ではなく、ロボットの CIDR から発信されます。
    • ACR 仮想マシン プールの各 CIDR (プールごとに専用の CIDR があります)。
    • サーバーレス ロボットの単一の CIDR (テナントごとに 1 つ)。
  8. オンプレミスのファイアウォール (およびすべての中間ファイアウォール) では、ロボットの CIDR からオンプレミス リソースへの受信を許可し、それらのロボットの CIDR への戻りルーティング (静的ルートまたは BGP) が各自に行われるようにする必要があります。
    重要:

    VPN ゲートウェイは NAT を実行しません。CIDR は重複していない必要があります。また、送信元 IP は両方向にルーティング可能である必要があります。

手順 1. VPN ゲートウェイを作成する

テナントの VPN ゲートウェイを作成するには、以下の手順を実行します。

  1. [管理] に移動します。

新しい管理エクスペリエンスがまだ有効化されていない場合は、ヘッダーのトグルを使用して有効化します。

  1. 左側の [ テナント ] パネルから、VPN ゲートウェイを作成するテナントを選択します。

選択したテナントの設定ページが開きます。

  1. [VPN ゲートウェイ] タイルを選択します。
  2. [ テナントのゲートウェイを作成] を選択します。[ ゲートウェイの作成 ] パネルが開きます
  3. [名前] フィールドに、テナントの [VPN ゲートウェイ] ページに表示するゲートウェイの名前を入力します。
  4. [VPN Gateway vnet のアドレス空間] フィールドに、ネットワーク管理者から入手した IP アドレスを追加します。
    • CIDR 表記法を使用します。
    • サポートされる最小値: /27
    • 推奨: /25 以上 (プライベート エンドポイントには /25 以上が必要です)。
    • 作成後に変更することはできません。
重要:
  • ゲートウェイまたは仮想マシン プールの Vnet 範囲は、一度作成すると変更できません。
  • VPN ゲートウェイ ネットワーク (/25 など) に CIDR ブロックを割り当てても、VPN が有効化されたマシン プールまたはサーバーレス マシン テンプレートからのトラフィックは、この CIDR からは発生しません。 送信トラフィックに使用される実際の送信元 IP アドレスは、個々のマシン プールまたはサーバーレス テンプレートに割り当てられた CIDR の IP アドレスです。 VPN ゲートウェイ ネットワークの CIDR からのトラフィックではなく、マシン プールまたはサーバーレス テンプレートの CIDR からのトラフィックを許可するようにしてください。
  1. (任意) この接続に DNS を使用する場合は、[DNS アドレスを追加] を選択してから、以下を行います。
    1. [DNS アドレス] フィールドに DNS アドレスを追加します。
    2. DNS アドレスを追加するには、[さらに追加] を選択してフィールドをもう 1 つ追加し、そのフィールドにアドレスを追加します。
      注:

      VPN ゲートウェイを作成した後に DNS アドレスを追加することはできますが、ゲートウェイに接続されているすべての仮想マシンを再起動する必要があります。

  2. パネル下部の [作成] を選択して VPN ゲートウェイ接続を作成します。

パネルが閉じ、VPN ゲートウェイのステータスが [プロビジョニング中] になります。

完了すると、[デプロイ済み] のステータスがゲートウェイのカードに表示されます。

注:

ステータスが [失敗] の場合は、ゲートウェイを削除し、前述の手順に従って再作成します。

手順 2. Cloud ロボット テンプレートを作成する

注:

この手順を実行する前に、VPN ゲートウェイに [デプロイ済み ] のステータスが表示されている必要があります。

Cloud ロボット テンプレートの Vnet は、各テンプレートの作成時に作成されます。

Cloud ロボット - 仮想マシン

Orchestrator で、「Cloud ロボット プールを作成する」の手順に従って Cloud ロボット - 仮想マシン プールを 1 つ以上作成します。設定時に、必ず [VPN ゲートウェイを接続] オプションを選択してください。

各プールについて、[マシン] > [Cloud ロボット - 仮想マシンを管理] ページから VPN ステータスを監視できます。

注:

既存の Cloud ロボット - 仮想マシン プールは、この VPN ゲートウェイに接続できません。新しいプールを作成する必要があります。 さらに、テナントの VPN ゲートウェイに接続するよう設定されたプールでは、プールを編集して、[VPN ゲートウェイを有効化] トグルをオフにしてプールを切断することができます。切断したプールを VPN ゲートウェイに再接続することはできません。

Cloud ロボット - サーバーレス

Orchestrator で、「 Automation Cloud™ ロボット - サーバーレス 」の手順に従って Cloud ロボット - サーバーレス テンプレートを編集または作成します。設定時に、必ず [ ネットワーク設定 ] ページのオプションを設定してください。

手順 3. サイト間接続を作成する

VPN ゲートウェイをデプロイしたら、オンプレミス ネットワークをゲートウェイに接続できます。

ゲートウェイ カードにパブリック IP アドレスが表示されます。これはトンネルの構成に不可欠な情報です。

VPN ゲートウェイを設定して VPN デバイスに接続するには、以下の手順を実行します。

  1. 組織で [管理] > [テナント] > [VPN ゲートウェイ] に移動します。
  2. ゲートウェイのタイルで、[接続を追加] を選択します。

[接続を作成] パネルが開きます。

  1. 次のフィールドに値を指定します。

    オプション説明
    コネクション名コネクションの名前を入力します。
    共有キー (PSK)秘密のフレーズまたは文字列を書き込みます。この正確なキーを覚えておき、オンプレミス デバイスで接続を設定するときに指定する必要があります。
    VPN デバイスのパブリック IPオンプレミス VPN デバイスのパブリック IP アドレスを指定します。重要: カードに表示されている VPN ゲートウェイのパブリック IP アドレスは指定しないでください。そのゲートウェイのパブリック IP は、オンプレミス デバイスでリモート ピアとして構成する必要があります。

  2. この接続のルーティングの種類を [Static routing (BGP disabled)] または [Dynamic routing (BGP enabled)] から選択します。 1 つの UiPath VPN ゲートウェイで、BGP 接続と非 BGP 接続を混在させてホストできます。

    1. Static routing (BGP disabled)

接続で BGP が無効化されている場合は、UiPath のルーティング先のオンプレミス CIDR を構成する必要があります。

オンプレミス デバイスのアドレス空間: この接続を介して到達可能である必要がある、オンプレミス ネットワーク上のプライベート CIDR をすべて指定します。これらの範囲のみが、このトンネル経由でオンプレミスにルーティングされます。

注:

ゲートウェイに DNS サーバーの IP アドレスを構成した場合は、その DNS IP がここで定義されているいずれかのオンプレミス CIDR の範囲内にあることを確認してください (これにより、ゲートウェイはトンネル経由でそれらの IP にアクセスできます)。

  1. Dynamic routing (BGP enabled)

接続で BGP が有効化されている場合は、以下の動作になります。

  • ルートは動的に交換されます。
  • UiPath は以下をアドバタイズします。
    • ACR 仮想マシン プールのすべての CIDR
    • サーバーレス ロボットの CIDR
  • オンプレミス デバイスはそのオンプレミス CIDR をアドバタイズします。

次のフィールドに値を指定します。

  • On-premises ASN: オンプレミス VPN デバイスで使用される ASN です。
  • BGP ピア アドレス: オンプレミス デバイスで BGP ピアリングに使用される IP アドレスです。

いずれかの値が指定されていないか正しくない場合、BGP は確立されません。

  1. 必要に応じて、IPSec/IKE ポリシーのカスタム設定を定義できます。このセクションを使用して、オンプレミス VPN デバイスで必要な特定のセキュリティ設定との相互運用性を確保したり、組織のニーズに合った高度なセキュリティ ポリシーを実装したりすることができます。これを行うには、[カスタム IPSec/IKE ポリシー] トグルをオンにします。
注:

IKEv2 のみがサポートされています。

  1. IKE フェーズ 1 では、以下のフィールドに値を指定します。

暗号化 * :最初のセキュア キー交換(IKE フェーズ 1)に一致する暗号化方式を指定します。これは、UiPath ゲートウェイの設定と同じである必要があります (例: AES-256、GCMAES)。

設定可能な値: GCMAES256、GCMAES128、AES256、AES192、AES128

整合性 * :最初の IKE フェーズ 1 通信(SHA-256、SHA-512 など)に一致するデータ整合性チェックを提供します。これは、UiPath ゲートウェイと一致する必要があります。

設定可能な値: SHA384、SHA256、SHA1、MD5

DH グループ * :IKE フェーズ 1 のセキュア キー交換に一致する Diffie-Hellman(DH)グループ(グループ 14、グループ 19 など)を指定します。これは、UiPath ゲートウェイと一致する必要があります。

可能な値: DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None

  1. [IKE フェーズ 2 (IPSec)] で、以下のフィールドに値を指定します。

IPsec 暗号化 * :VPN トンネル内のデータ トラフィックに一致する暗号化方式(IPSec フェーズ 2)(AES-256、3DES など)を提供します。これは、UiPath ゲートウェイと一致する必要があります。

設定可能な値: GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、None

IPsec 整合性 * :VPN トンネル内のトラフィック(IPSec フェーズ 2)(SHA-256、SHA-512 など)に一致するデータ整合性チェックを提供します。これは、UiPath ゲートウェイと一致する必要があります。

設定可能な値: GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5

PFS グループ * : UiPath ゲートウェイで IPSec フェーズ 2 が有効な場合 (グループ 14、グループ 19 など)、一致する Perfect Forward Secrecy (PFS) グループを指定します。一方が PFS を使用する場合、もう一方の側は PFS を一致させるか、無効にする必要があります。

可能な値: PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし

IPSec SA ライフタイム (キロバイト単位) * : アクティブなセキュリティで保護された接続 (IKE および IPSec) の期間を指定します。これらはローカル設定です。一致は厳密には必須ではありませんが、一貫性を保つために同様の値を使用することをお勧めします。

設定可能な値: 最小値 1,024、既定値 10,2400,000

IPsec SA ライフタイム (秒単位) * :アクティブなセキュア接続(IKE および IPSec)の期間を指定します。これらはローカル設定です。一致は厳密には必須ではありませんが、一貫性を保つために同様の値を使用することをお勧めします。

設定可能な値: 最小 300、既定値 27,000

  1. [コネクションを追加] を選択します。設定の完了後、接続ステータスが [接続済み] に更新されるまでに時間がかかる場合があります。

パネルが閉じ、新しい接続が [接続] ページに表示されます。 [接続ステータス] 列に [接続済み] と表示されている場合、接続を使用できます。

[接続済み] のステータスは、事前共有キー (PSK)、ピアのパブリック インターネット プロトコル (IP) アドレス、および IPSec/IKE ポリシーのパラメーターが正しく設定されていて、暗号化されたトンネルが存在していることを意味します。

注:

接続ステータスが [接続失敗] の場合は、接続を削除して再度作成する必要があります。

接続をさらに追加するには、[ 接続 ] ページで [ 接続を作成] を選択します。

注:

最大 25 個のコネクションを追加できます。

手順 4. VPN デバイスを設定する

これでネットワーク管理者が以下の操作を行えるようになります。

  1. オンプレミス ネットワークから VPN デバイスを設定します。

PSK は、手順 3 で作成した接続に指定した値と一致する必要があります。

  1. Cloud ロボット テンプレートの VPN ゲートウェイと Vnet を設定するために使用したアドレス空間をネットワークの許可リストに追加します。

サポートされている VPN デバイスのリストとルートベースの設定手順については、 Azure VPN Gateway の接続用 VPN デバイスに関する Microsoft ドキュメントのページをご覧ください。

よくある質問

データ所在地

テナントの VPN ゲートウェイは自動的にテナントのリージョンと同じリージョンに作成され、リージョンを変更することはできません。

別のリージョンに切り替える

VPN ゲートウェイが既に存在している場合に、テナントを別のリージョンに移動するときは、次のいずれかを実行できます。

  • ゲートウェイを古いリージョンで使用し続ける。
  • 既存の VPN ゲートウェイを削除し、新しい VPN ゲートウェイを作成する。これはテナントの現在のリージョンに作成されます。

データ保持

VPN ゲートウェイが設定されているテナントを無効化した場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。

60 日以内にテナントを再度有効化すれば、VPN ゲートウェイは削除されずに利用できます。

ライセンスの有効期限

ロボット ユニットの有効期限が切れている場合、VPN デバイスへのアクセスが失われるまでに 60 日間の猶予期間が与えられます。60 日を過ぎると、VPN ゲートウェイはテナントから完全に削除されます。

VPN 接続をトラブルシューティングする

接続が「接続済み」であるのにリソースにアクセスできない場合は、以下を確認してください。

  • アドレス空間の設定: 両端で定義されたアドレス空間が正しく、重複しておらず、適切にルーティングできることを確認します。
  • DNS 解決: ゲートウェイおよび接続されているデバイスで、必要なドメイン名が解決されることを確認します。DNS サーバーの構成と、DNS サーバーがアクセス可能であることを確認します。
  • ファイアウォール ルール - ゲートウェイとオンプレミス ネットワークの両方のファイアウォール ルールを確認します。定義されたアドレス空間内の必要なポートおよびプロトコルでのトラフィック フローを確認します。

このページは役に立ちましたか?

接続

ヘルプ リソース サポート

学習する UiPath アカデミー

質問する UiPath フォーラム

最新情報を取得