- Introdução
- Segurança de dados e conformidade
- Organizações
- Autenticação e segurança
- Licenciamento
- Sobre as licenças
- Preço unificado: estrutura do plano de licenciamento
- Flex: estrutura do plano de licenciamento
- Ativar sua licença Enterprise
- Fazendo o upgrade e downgrade de licenças
- Migração de licença
- Solicitando uma Avaliação de Serviço
- Atribuição de Licenças a Tenants
- Atribuição de licenças aos usuários
- Desalocando licenças de usuário
- Monitoring license allocation
- Atribuição excessiva de licenças
- Notificações de licenciamento
- Gerenciamento de Licenças de Usuário
- Tenants e serviços
- Contas e funções
- Testes em sua organização
- AI Trust Layer
- Aplicativos Externos
- Notificações
- Geração de logs
- Solução de problemas
- Migraçlão para o Automation Cloud
Guia de administração do Automation Cloud
Você pode criar um gateway VPN para um tenant de forma que seus VM Cloud Robots ou Serverless Cloud Robots possam acessar seus recursos locais que estão atrás de um firewall.
- Como o gateway VPN da UiPath funciona em um nível de rede.
- Como planejar intervalos de CIDR, roteamento, regras de firewall e DNS corretamente.
- Como configurar conexões VPN site a site, incluindo roteamento estático, BGP e políticas personalizadas de IPsec ou IKE.
A instalação de software personalizado em sua VM, como clientes VPN, pode interferir com os serviços básicos e tornar a VM inutilizável. Em vez disso, use a configuração neste capítulo.
Para configurar o gateway VPN, você deve atender aos seguintes requisitos:
- Seja um administrador da organização no Automation CloudTM.
- Ter uma função no Orchestrator que inclua a permissão Máquinas - Editar.
-
Informações exigidas do seu administrador de rede:
-
Uma lista de intervalos de endereços IP reservados localizados na configuração de sua rede local, em notação CIDR. Como parte da configuração você precisa especificar os prefixos do intervalo de endereços IP para os quais rotearemos sua localização local.
- Os CIDRs privados que você deseja que a UiPath alcance pela VPN ( suas redes locais ).
- Uma chave pré-compartilhada (PSK) para cada dispositivo VPN.
Importante:
As sub-redes de sua rede local não devem se sobrepor com as sub-redes da rede virtual à qual você quer se conectar.
- Use dispositivos VPN compatíveis e tenha capacidade e conhecimento para configurá-los, conforme descrito em Sobre dispositivos VPN para conexões - Gateway do Azure VPN. Para obter detalhes sobre os parâmetros de conexão padrão, leia as políticas padrão para o Azure.
- Seu dispositivo VPN deve usar endereços IPv4 públicos voltados para o exterior.
-
Observação:
A chave pré-compartilhada deve consistir em um máximo de 128 caracteres ASCII imprimíveis.
Não use caracteres de espaço, hífen-ou til~.
-
Esta seção descreve como a rede funciona ao usar um Gateway VPN da UiPath e por que escolher os intervalos CIDR corretos é fundamental para uma configuração bem-sucedida e pronta para o futuro.
Você não precisa de um conhecimento profundo de rede para seguir esta seção, mas é importante lê-lo cuidadosamente antes de criar um gateway VPN.
Modelo usuários
Ao criar um gateway VPN no UiPath Automation Cloud, você está estendendo sua rede local privada para a UiPath Cloud.
Isso significa:
- Sua rede local e as redes do UiPath Cloud Robots se tornam parte de um domínio de roteamento privado
- Os Cloud Robots acessam seus recursos no local usando endereços IP privados
- O Gateway da VPN não funciona como um proxy ou dispositivo NAT
- Os endereços IP de origem são importantes e devem ser roteáveis nas duas direções
Por isso, os intervalos do CIDR devem ser planejados cuidadosamente e não devem se sobrepor.
O que é CIDR?
Um CIDR define um intervalo de endereços IP privados.
Exemplos:
10.10.0.0/27→ 32 endereços IP10.10.0.0/25→ 128 endereços IP10.10.0.0/24→ 256 endereços IP
Um número menor após a barra significa uma rede maior.
Redes envolvidas em uma configuração do UiPath VPN
Em uma configuração da UiPath VPN, vários intervalos de rede distintos estão envolvidos, cada um com uma finalidade específica:
- Rede do gateway VPN
- Redes de pools de VMs ACR (Cloud Robots baseados em VM)
- Rede de Serverless Robots
Essas redes devem ser distintas e não sobrepostas.
Rede do gateway VPN (obrigatório)
- Pontos de extremidade do Túnel VPN
- Pares de BGP (se habilitado)
A rede do gateway VPN não hospeda robôs ou cargas de trabalho
- Tamanho mínimo compatível:
/27 - Tamanho recomendado:
/25ou maior
- Mínimo:
10.10.0.0/27 - Recomendado:
10.10.0.0/25
Esta rede não pode ser alterada após a criação do Gateway de VPN.
- Os gateways VPN exigem uma rede
/27ou maior (por exemplo,/27,/26,/25). - Pontos de extremidade privados são compatíveis apenas com redes
/25ou maiores. - Se você criar um gateway VPN com um CIDR
/27:- Todo o CIDR será dedicado à sub-rede do gateway.
- A criação de ponto de extremidade privado será desabilitada.
- Pode ser impossível oferecer suporte a funcionalidades de rede futuras.
/25 para a rede do gateway VPN.
/27 é compatível, mas deve ser considerado apenas legado ou último recurso, pois limita significativamente a expansão futura.
CIDRs do pool de VMs do Automation Cloud Robots (robôs de nuvem baseados em VM)
Cada pool de VMs do Automation Cloud Robot (Cloud Robots baseado em VM) é executado em seu próprio intervalo de rede privada.
- Esses CIDRs definem os endereços IP de origem dos robôs baseados em VM.
- O tráfego para sua rede local é originado desses intervalos.
- Cada pool de VMs deve ter seu próprio CIDR exclusivo
- Não deve se sobrepor com:
- CIDR do gateway VPN
- CIDR do Serverless Robot
- CIDRs de rede no local
Exemplo:
- Gateway VPN:
10.10.0.0/25 - Pool de VM do ACR 1:
10.20.0.0/24 - Pool de VM do ACR 2:
10.21.0.0/24
Os firewalls locais devem permitir explicitamente o tráfego dos CIDRs do pool de VMs do Automation Cloud Robots. Rotas de retorno devem existir para que as respostas possam fluir de volta para os robôs. A sobreposição de CIDRs causará falhas de roteamento que não podem ser corrigidas posteriormente.
CIDR de Serverless Robots (rede única, compartilhada)
Os Serverless Robots usam uma única rede compartilhada por tenant e há apenas um CIDR de Serverless Robot. Isso ocorre porque há apenas um modelo de Serverless Robot, respectivamente todos os modelos de Serverless Robot em um ponto de tenant para a mesma configuração de VPN. Todas as execuções de Serverless Robots de um tenant compartilham essa rede.
Exemplo:
- Robôs sem servidor:
10.30.0.0/16
Você não pode criar vários CIDRs de Serverless Robots.
- O CIDR escolhido deve ser grande o suficiente.
- Não deve se sobrepor com:
- CIDR do gateway VPN
- Qualquer CIDR do pool de VMs do Automation Cloud Robots
- Redes locais
Se o CIDR sem servidor se sobrepor com sua rede local, a conectividade VPN não funcionará.
Implicações de firewall e roteamento
- CIDRs do pool de VMs do Automation Cloud Robots
- CIDR do Serverless Robot
Os CIDRs devem ser permitidos nos firewalls locais e em quaisquer dispositivos de segurança de rede intermediários.
Além disso, deve existir rotas reversas para que o tráfego possa retornar à UiPath. Isso pode ser conseguido usando rotas estáticas ou BGP.
Melhores práticas
Design mínimo recomendado:
- CIDR do gateway VPN:
/25ou maior - CIDRs separados, não sobrepostos para:
- Gateway da VPN
- Cada pool de VMs ACR
- Serverless robots
- Certifique-se de que todos os CIDRs do robô estejam:
- Permitido por meio de firewalls locais
- Roteável em ambas as direções
Trate o gateway VPN da UiPath como uma extensão de rede, não um dispositivo de túnel. O planejamento adequado do CIDR com antecedência evita interrupções, casos de suporte e a reimplantação posterior.
Esse esquema mostra como a conexão VPN é estabelecida entre sua rede local e as redes do UiPath Cloud Robots.
- Identifique os CIDRs no local que você deseja que o UiPath alcance (seus intervalos de endereços privados internos). Esses são os CIDRs que devem ser acessíveis por meio da VPN.
-
Em sua rede local, forneça os intervalos de IP dos pools do ACR-VM (6, 7) para permitir seu tráfego na rede.
- Crie a rede do gateway VPN da UiPath (CIDR da sub-rede do gateway). Essa rede hospeda apenas os recursos do gateway da VPN ( Dos pontos de extremidade do Túnel e emparelhamento de BGP).
- Mínimo compatível:
/27 - Recomendado:
/25ou maior - Pontos de extremidade privados exigem
/25ou maior - Não pode ser alterado após a criação
- Mínimo compatível:
- A UiPath cria um IP público para o Gateway da VPN. Seu dispositivo VPN no local usa esse IP público como o par remoto. O endereço de par de BGP e o ASN também estarão disponíveis quando o provisionamento for concluído.
- Crie um túnel site a site entre o IP público do seu dispositivo VPN no local e o IP público do gateway VPN da UiPath.
- O roteamento é estabelecido (estático ou BGP):
- Roteamento estático (BGP desabilitado na conexão): você insere os CIDRs locais na conexão; apenas esses intervalos são roteados para o on-premises.
- Roteamento dinâmico (BGP habilitado na conexão): as rotas são trocadas dinamicamente.
- O tráfego do robô é originado de CIDRs do robô, não do CIDR do gateway:
- Cada CIDR do pool de VM do ACR ( cada pool tem seu próprio CIDR ).
- O único CIDR de Serverless Robot (um por tenant).
- Seu firewall local (e quaisquer firewalls intermediários) deve permitir a entrada dos CIDRs do robô para os recursos no local e garantir o roteamento de retorno de volta para esses CIDRs do robô (rotas estáticas ou BGP).
O Gateway da VPN não executa NAT. Os CIDRs não devem ser sobrepostos e os IPs de origem devem ser roteáveis em ambos os sentido.