- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- 組織でのテスト
- トラブルシューティング
- Test Cloud に移行する
Test Cloud 管理ガイド
UiPath VPN ゲートウェイの BGP の設定
ボーダー ゲートウェイ プロトコル (BGP) は、オンプレミス ネットワークと UiPath VPN ゲートウェイとの間でルートを動的に交換するために使用されます。
BGP では、ルートを手動で管理する必要がなくなり接続の問題が減るため、BGP が推奨されるルーティング方法です。ただし、必須ではありません。
UiPath での BGP の動作の仕組み
BGP のサポートは VPN ゲートウェイ レベルで存在していますが、ルーティング動作は接続ごとに決定されます。1 つの UiPath VPN ゲートウェイで、BGP が有効化された接続と静的 (非 BGP) 接続を混在させてホストできます。各接続は独立して動作します。
たとえば、サイト A で BGP を使用しながらサイト B では静的ルートを使用して、両方を同じゲートウェイに接続できます。
ゲートウェイ レベルの BGP のプロパティ
ゲートウェイは、固定されたゲートウェイ ASN 65515 を公開します。BGP 機能は常にゲートウェイ上に存在します。
オンプレミス VPN デバイスが BGP をサポートしていて、ASN 65515 でピアを受け入れる必要があります。
接続レベルでのルーティング動作
VPN 接続を作成または編集する際に、その接続で BGP を使用するかどうかを明示的に選択します。BGP が無効化されている場合、静的ルーティングが使用されるため、アクセス可能にするオンプレミスの CIDR を定義する必要があります。これらの範囲のみが、トンネル経由でルーティングされます。
BGP が有効化されている場合、ルートは動的に交換されます。UiPath は ACR 仮想マシン プールのすべての CIDR とテナントのサーバーレス ロボットの CIDR をアドバタイズし、オンプレミス デバイスはそのデバイスのオンプレミス CIDR をアドバタイズします。
接続で BGP を有効にするには、オンプレミスの ASN と、オンプレミス デバイスで使用する BGP ピア アドレスを指定する必要があります。いずれかの値が指定されていないか正しくない場合、BGP セッションは確立されません。
BGP ピア IP アドレスのオプション
UiPath では、BGP ピア アドレスを定義する方法として以下の 2 つがサポートされています。
ゲートウェイのサブネット IP (既定および推奨)
既定では、VPN ゲートウェイはゲートウェイのサブネットからプライベート IP を選択します。この IP は管理ポータルの [ゲートウェイ] タイルに表示され、ゲートウェイの BGP ピア アドレスとして使用されます。オンプレミス デバイスにゲートウェイのピア IP を設定し、VPN 接続にオンプレミスのピア IP を設定します。これは最も簡単で推奨されるオプションです。
APIPA BGP アドレス (詳細)
Automatic Private IP Addressing (APIPA) を使用すると、ゲートウェイのサブネットから IP アドレスを消費することなく BGP をピアリングできます。APIPA は、オンプレミス VPN デバイスで必要な場合にのみ使用する必要があります。UiPath では、APIPA の範囲として 169.254.21.0/24 と 169.254.22.0/24 のみがサポートされています。これらの範囲外のアドレスはサポートされません。
APIPA の設定
APIPA を使用する場合、APIPA アドレスを 2 か所に設定する必要があります。VPN ゲートウェイ (ゲートウェイの APIPA アドレス) と、VPN 接続 (オンプレミスのピア APIPA アドレス) です。これら 2 つのアドレスは、バイナリを反転させたペアを形成する必要があります。UiPath では、IPv4 アドレスの最後の 2 ビットを切り替えることで、パートナーのピア アドレスを計算します。
PartnerPeer = Address XOR 0x3
PartnerPeer = Address XOR 0x3
この要件は、2 つの IP が同じ /30 の中にあり、.1 ↔ .2 としてペアになっている必要があることを意味します。
.0 ↔
.3
.0 ↔
.3
有効な例:
- ゲートウェイ:
169.254.22.2→ 接続ピア:169.254.22.1 - ゲートウェイ:
169.254.22.0→ 接続ピア:169.254.22.3
ゲートウェイ 169.254.22.2 を接続ピア 169.254.22.5 (同じ /30 の中にない) にペアリングするなど、ペアリングが無効であると BGP は確立されません。この状況では、VPN トンネルは接続されているように見えますが、ルートは交換されないことに注意してください。
APIPA を正しく設定する方法:
- VPN ゲートウェイの APIPA アドレスを選択します (例:
169.254.22.2)。 - バイナリを反転させたペアを決定します (例:
169.254.22.1)。 - ゲートウェイの APIPA アドレスを VPN ゲートウェイに設定し、反転させたピア アドレスを VPN 接続に設定します。
- オンプレミス VPN デバイスに同じピア アドレスを設定します。
いずれかの手順をスキップするか、不一致があると、BGP は失敗します。
ルーティング動作の概要
| 接続の種類 | ルートのソース | 備考 |
|---|---|---|
| BGP が有効 | 動的 (BGP) | 接続のアドレス範囲は無視されます。 |
| BGP が無効 | 静的 | ルーティングはアドレス範囲によって定義されます。 |
1 つの VPN ゲートウェイで両方の種類を同時にホストできます。
BGP の一般的な設定ミス
| 症状 | 考えられる原因 |
|---|---|
| VPN は接続されているがルートがない | オンプレミス デバイスで BGP が無効化されている |
| BGP が確立されない | ASN が一致していない |
| BGP は有効化されているがトラフィックがない | ファイアウォールでロボットの CIDR がブロックされている |
| ルートが見つからない | APIPA のペアリングが間違っている |
| トラフィックが一方向である | 戻りルートがインストールされていない |
推奨
- サポートされている場合は常に、接続ごとに BGP を使用します。
- 必要でない限り、APIPA よりもゲートウェイのサブネット IP を優先的に使用します。
- ASN と BGP のピア アドレスを再確認します。
- ロボットの CIDR がファイアウォールの通過を許可されていることを確認します。
- ルートがオンプレミス デバイスにインストールされていることを確認します。
重要なポイント
BGP は、グローバルに設定するのではなく接続ごとに設定します。APIPA では両側に、ペアになった正確な設定が必要です。このルールを理解して適用すれば、「VPN は動作しているのにトラフィックが流れない」という問題をほぼ防ぐことができます。