Orchestrator 用户指南
为 Cloud robot 配置 VPN
您可以为租户创建 VPN 网关,以便虚拟机 Cloud robot可以访问防火墙后的本地部署资源。
要设置 VPN 网关,您必须满足以下要求:
- 向您的网络管理员或非常了解 VPN 和网络概念的人员寻求知识或帮助。
- 您必须是 Automation Cloud™ 中的组织管理员。
- 拥有包含“计算机 - 编辑”权限的 Orchestrator 角色。
- 要为其创建 VPN 网关的每个租户必须至少分配有 5000 个机器人单元。
-
来自网络管理员的信息:
-
位于内部部署网络配置中的保留 IP 地址范围列表,采用 CIDR 表示法。 作为配置的一部分,您需要指定我们将路由到您的内部部署位置的 IP 地址范围前缀。
重要提示:内部部署网络的子网不得与要连接的虚拟网络子网重叠。
- 使用兼容的 VPN 设备,并具备配置它们的能力和专业知识,如关于用于连接的 VPN 设备 - Azure VPN 网关中所述。有关默认连接参数的详细信息,请阅读 Azure 的默认策略。
-
您的 VPN 设备必须使用面向外部的公共 IPv4 地址。
- 每个 VPN 设备的预共享密钥 (PSK)。
备注:
预共享密钥最多应包含 128 个可打印的 ASCII 字符。
不要使用空格、连字符-
或波浪线~
字符。 - 您必须以 CIDR 表示法输入单个 IP 范围,且掩码为
/25
。
-
此架构显示了如何在本地网络和 Cloud Robot - VM 网络之间建立 VPN 连接。
-
在本地网络中,设置 VPN 网关的 IP 范围 (1)。这表示内部部署网络的 IP 范围。
-
在本地网络中,提供 ACR-VM 池的 IP 范围(6、7),以允许其流量进入网络。
-
设置 VPN 网关的 IP 范围 (4),它表示用于在云中托管 VPN 网关的基础资源。
/25
是网关的必要后缀。这将告知您的本地网络,VPN 网关可能需要多达 128 个 IP 地址才能运行。 -
系统将为网关 (5) 创建一个公共 IP,本地网络必须以该网关为目标,才能启动连接。
-
您的本地网络通过站点到站点隧道连接到 VPN 网关 (3),此时,VPN 网关以本地网络的公共 IP (2) 为目标,而本地网络则以网关的公共 IP (5) 为目标。您的内部部署资源在 VPN 网关中可用,并且任何已连接的 ACR-VM 都可以访问这些资源。
-
ACR-VM 池具有单独的网络。要将 ACR-VM 池连接到 VPN 网关,请为该池设置 IP 范围(6、7)。
重要提示:请务必确保要配置 (6, 7) 的池的 IP 范围不与整个网络空间中的任何其他 IP 范围(包括您的本地网络 (1) 和 UiPath™ VPN 网关 (4) 使用的任何资源)重叠。
要为租户创建 VPN 网关,请执行以下操作:
面板将关闭,VPN 网关状态为“正在配置”。部署网关最多可能需要 45 分钟才能完成。
完成后,网关的卡上将显示“已部署”状态。
云机器人模板的 Vnet 是在创建每个模板时创建的。
Cloud Robot - VM :在 Orchestrator 中,按照创建 Cloud Robot 池中 的说明创建一个或多个 Cloud Robot - VM 。在设置过程中,请确保选择“连接 VPN 网关”选项。
对于每个池,您可以从“计算机”>“管理 Cloud Robot - VM”页面监控 VPN 状态。
现有 Cloud 机器人 - 虚拟机池无法连接到 VPN 网关。 您必须创建新的。
此外,对于设置为连接到租户 VPN 网关的池,您可以选择编辑池并关闭“启用 VPN 集成”开关以断开池的连接。断开连接后,您将无法将池重新连接到 VPN 网关。
要将 VPN 网关配置为连接到 VPN 设备,请执行以下操作:
面板将关闭,新连接将显示在“连接”页面上。
当“连接状态”列显示“已连接”时,该连接便可使用。
如要添加更多连接,请在“连接”页面上,单击右侧表格上方的“创建连接”。
租户的 VPN 网关将自动在与租户所在区域相同的区域中创建,您无法更改该区域。
切换到其他区域
如果 VPN 网关已存在,并且您选择将租户移动到其他区域,则可以:
- 继续使用旧区域中的网关,或
- 删除现有的 VPN 网关,然后在租户的当前区域中创建一个新的 VPN 网关。
如果禁用具有 VPN 网关的租户,您将有 60 天的宽限期,然后您将无法访问 VPN 设备。 60 天后,您的 VPN 网关将从租户中永久删除。
如果您在 60 天内重新启用租户,则不会删除您的 VPN 网关并可供使用。