Guia do usuário do Orchestrator

• Como o gateway VPN da UiPath funciona em um nível de rede.
• Como planejar intervalos de CIDR, roteamento, regras de firewall e DNS corretamente.
• Como configurar conexões VPN site a site, incluindo roteamento estático, BGP e políticas personalizadas de IPsec ou IKE.

Pré-requisitos​

• Ser um administrador da organização.
• Ter uma função no Orchestrator que inclua a permissão Máquinas - Editar.
• Informações exigidas do seu administrador de rede:
  • Uma lista de intervalos de endereços IP reservados localizados na configuração de sua rede local, em notação CIDR. Como parte da configuração você precisa especificar os prefixos do intervalo de endereços IP para os quais rotearemos sua localização local.
  • Os CIDRs privados que você deseja que a UiPath alcance pela VPN ( suas redes locais ).
  • Uma chave pré-compartilhada (PSK) para cada dispositivo VPN.
    Importante:

    As sub-redes de sua rede local não devem se sobrepor com as sub-redes da rede virtual à qual você quer se conectar.

  • Use dispositivos VPN compatíveis e tenha capacidade e conhecimento para configurá-los, conforme descrito em Sobre dispositivos VPN para conexões - Gateway do Azure VPN. Para obter detalhes sobre os parâmetros de conexão padrão, leia as Políticas padrão para o Azure.
  • Seu dispositivo VPN deve usar endereços IPv4 públicos voltados para o exterior.
  • Observação:

    A chave pré-compartilhada deve consistir em um máximo de 128 caracteres ASCII imprimíveis. Não use caracteres de espaço, hífen - ou til ~.

O esquema de fluxo de trabalho do gateway VPN​

1. Identifique os CIDRs no local que você deseja que o UiPath alcance (seus intervalos de endereços privados internos). Esses são os CIDRs que devem ser acessíveis por meio da VPN.
2. Em sua rede local, forneça os intervalos de IP dos pools do ACR-VM (6, 7) para permitir seu tráfego na rede.
3. Crie a rede do gateway VPN da UiPath (CIDR da sub-rede do gateway). Essa rede hospeda apenas os recursos do gateway da VPN ( Dos pontos de extremidade do Túnel e emparelhamento de BGP).
   • Mínimo compatível: /27
   • Recomendado: /25 ou maior
   • Pontos de extremidade privados exigem /25 ou maior
   • Não pode ser alterado após a criação
4. A UiPath cria um IP público para o Gateway da VPN. Seu dispositivo VPN no local usa esse IP público como o par remoto. O endereço de par de BGP e o ASN também estarão disponíveis quando o provisionamento for concluído.
5. Crie um túnel site a site entre o IP público do seu dispositivo VPN no local e o IP público do gateway VPN da UiPath.
6. O roteamento é estabelecido (estático ou BGP):
   • Roteamento estático (BGP desabilitado na conexão): você insere os CIDRs locais na conexão; apenas esses intervalos são roteados para o on-premises.
   • Roteamento dinâmico (BGP habilitado na conexão): as rotas são trocadas dinamicamente.
7. O tráfego do robô é originado de CIDRs do robô, não do CIDR do gateway:
   • Cada CIDR do pool de VM do ACR ( cada pool tem seu próprio CIDR ).
   • O único CIDR de Serverless Robot (um por tenant).
8. Seu firewall local (e quaisquer firewalls intermediários) deve permitir a entrada dos CIDRs do robô para os recursos no local e garantir o roteamento de retorno de volta para esses CIDRs do robô (rotas estáticas ou BGP).
   Importante:

   O Gateway da VPN não executa NAT. Os CIDRs não devem ser sobrepostos e os IPs de origem devem ser roteáveis em ambos os sentido.

Etapa 1. Criar o gateway VPN​

1. Acesse Admin.

2. No painel Tenants no lado esquerdo, selecione o tenant para o qual você deseja criar um gateway VPN.

3. Selecione o bloco Gateway VPN .
4. Selecione Criar gateway para tenant. O painel Criar gateway se abre
5. No campo Nome, digite um nome para o gateway, como você gostaria que fosse exibido na página Gateway VPN do tenant.
6. No campo Espaço do endereço para vnet gateway VPN, adicione os endereços IP que você obteve de seu administrador de rede.
   • Usar notação CIDR
   • Mínimo compatível: /27
   • Recomendado: /25 ou maior (os pontos de extremidade privados exigem /25 ou maior)
   • Não pode ser modificado após a criação

7. (Opcional) Se você quiser usar um DNS para essa conexão, selecione Adicionar endereço DNS e, então:
   1. No campo Endereço DNS, adicione um endereço DNS.
   2. Para adicionar mais endereços DNS, selecione Adicionar mais para adicionar outro campo e, então, adicione o endereço àquele campo.
      Observação:

      Você pode adicionar endereços DNS posteriormente, depois que o gateway VPN for criado, mas isso requer que você reinicie todas as VMs conectadas ao gateway.

8. Selecione Criar na parte inferior do painel para criar a conexão do gateway VPN.

Etapa 2. Criar modelos do Cloud Robot​

Cloud robots - VM​

Cloud Robots - Serverless​

Etapa 3. Criando a conexão site a site​

1. Em sua organização, acesse Admin > Tenant > Gateway VPN.
2. No bloco para o gateway, selecione Adicionar conexão.

3. Forneça valores para os seguintes campos:

   Opção	Description
   Nome da Conexão	Forneça um nome para sua conexão.
   Chave compartilhada (PSK)	Escreva uma frase ou string secreta. Você precisa lembrar dessa chave exata e fornecê-la quando configurar a conexão no seu dispositivo no local.
   IP público para o dispositivo de VPN	Forneça o endereço IP público do seu dispositivo VPN no local. Importante: não forneça o endereço IP público do gateway VPN mostrado no cartão. Esse IP público do gateway deve ser configurado no seu dispositivo no local como o par remoto.

4. Escolha o tipo de roteamento para essa conexão entre Roteamento estático (BGP desabilitado) ou Roteamento dinâmico (BGP habilitado). Um único gateway VPN UiPath pode hospedar uma mistura de conexões BGP e não BGP.

   1. Roteamento estático (BGP desabilitado)

2. Roteamento dinâmico (BGP habilitado)

• As rotas são trocadas dinamicamente.
• UiPath anuncia:
  • Todos os CIDRs do pool de VMs ACR
  • O CIDR do robô sem servidor
• Seu dispositivo local anuncia seus CIDRs locais.

• ASN no local: o ASN usado pelo seu dispositivo VPN no local.
• Endereço de par de BGP: o endereço IP usado por seu dispositivo no local para o emparelhamento de BGP.

5. Opcionalmente, você pode definir configurações personalizadas para a política IPSec/IKE. Use esta seção para garantir a compatibilidade com as configurações de segurança específicas exigidas pelo seu dispositivo VPN no local ou para implementar políticas de segurança avançadas personalizadas para as necessidades de sua organização. Para fazer isso, ative a alternância Política IPSec personalizada/IKE .

1. Para o IKE Fase 1, forneça valores para os seguintes campos:

2. Para o IKE Fase 2 (IPSec), forneça valores para os seguintes campos:

6. Selecione Adicionar conexão. Após a configuração ser concluída, pode levar algum tempo para que o status da conexão seja atualizado para Conectado.

Etapa 4. Configurando dispositivos VPN​

1. Configure seu dispositivo VPN a partir de sua rede local.

2. Adicione os espaços dos endereços usados para configurar o gateway VPN e Vnets para modelos de Cloud Robots à lista de permissão de sua rede.

Perguntas frequentes​

Residência de dados​

Mudando para uma região diferente​

• continuar a usar o gateway na região antiga ou
• excluir o gateway VPN existente e criar um novo, que é criado na região atual do tenant.

Retenção de dados​

Vencimento da licença​

Solução de problemas de conexões VPN​

• Configuração do espaço de endereço — Certifique-se de que os espaços de endereço definidos em ambas as extremidades estejam corretos e não sobrepostos para roteamento adequado.
• Resolução de DNS — Confirme que o gateway e os dispositivos conectados resolvem os nomes de domínio necessários. Verifique as configurações e a acessibilidade do servidor DNS.
• Regras do firewall - Revise as regras do firewall no gateway e na rede local; garantir que o tráfego flua nas portas e protocolos necessários dentro de espaços de endereço definidos.