Orchestrator 用户指南

适用平台：

上次更新日期 2025年9月1日

为 Cloud robot 配置 VPN

您可以为租户创建 VPN 网关，以便虚拟机 Cloud robot可以访问防火墙后的本地部署资源。

先决条件

重要提示：

在虚拟机上安装自定义软件（例如 VPN 客户端）可能会干扰核心服务并导致虚拟机无法使用。请改用本章中的配置。

要设置 VPN 网关，您必须满足以下要求：

向您的网络管理员或非常了解 VPN 和网络概念的人员寻求知识或帮助。
您必须是Automation Cloud ^TM公共部门的组织管理员。
拥有包含“计算机 - 编辑”权限的 Orchestrator 角色。
要为其创建 VPN 网关的每个租户必须至少分配有 5000 个机器人单元。
来自网络管理员的信息:
- 位于内部部署网络配置中的保留 IP 地址范围列表，采用 CIDR 表示法。作为配置的一部分，您需要指定我们将路由到您的内部部署位置的 IP 地址范围前缀。
  
  重要提示：
  内部部署网络的子网不得与要连接的虚拟网络子网重叠。
- 使用兼容的 VPN 设备，并具备配置它们的能力和专业知识，如关于用于连接的 VPN 设备 - Azure VPN 网关中所述。有关默认连接参数的详细信息，请阅读 Azure 的默认策略。
- 您的 VPN 设备必须使用面向外部的公共 IPv4 地址。
- 每个 VPN 设备的预共享密钥 (PSK)。
  备注：
  预共享密钥最多应包含 128 个可打印的 ASCII 字符。
  
  不要使用空格、连字符 - 或波浪线 ~ 字符。
- 您必须以 CIDR 表示法输入单个 IP 范围，且掩码为/25 。

VPN 网关工作流架构

此架构显示了如何在本地网络和 Cloud Robot - VM 网络之间建立 VPN 连接。

连接到 VPN 网关后，您的 CR-VM 可以访问本地网络上的受限资源。

具体流程如下：

在本地网络中，设置 VPN 网关的 IP 范围 (1)。这表示内部部署网络的 IP 范围。
在本地网络中，提供 ACR-VM 池的 IP 范围（6、7），以允许其流量进入网络。
设置 VPN 网关的 IP 范围 (4)，它表示用于在云中托管 VPN 网关的基础资源。/25 是网关的必要后缀。这将告知您的本地网络，VPN 网关可能需要多达 128 个 IP 地址才能运行。
系统将为网关 (5) 创建一个公共 IP，本地网络必须以该网关为目标，才能启动连接。
您的本地网络通过站点到站点隧道连接到 VPN 网关 (3)，此时，VPN 网关以本地网络的公共 IP (2) 为目标，而本地网络则以网关的公共 IP (5) 为目标。您的内部部署资源在 VPN 网关中可用，并且任何已连接的 ACR-VM 都可以访问这些资源。
ACR-VM 池具有单独的网络。要将 ACR-VM 池连接到 VPN 网关，请为该池设置 IP 范围（6、7）。

重要提示：
请务必确保要配置 (6, 7) 的池的 IP 范围不与整个网络空间中的任何其他 IP 范围（包括您的本地网络 (1) 和 UiPath™ VPN 网关 (4) 使用的任何资源）重叠。

步骤 1. 创建 VPN 网关

要为租户创建 VPN 网关，请执行以下操作：

在Automation Cloud ^TM公共部门中，转到“管理员” 。

如果尚未启用，请使用标头中的切换开关启用“新的管理员体验”。
从左侧的“租户”面板中，选择要为其创建 VPN 网关的租户。

所选租户的“设置”页面随即打开。
选择“VPN 网关”图块。
选择“为租户创建网关” 。系统将打开“创建网关”面板
在“名称”字段中，输入要在租户的“VPN 网关”页面中显示的网关名称。
在“VPN 网关 vnet 地址空间”字段中，添加您从网络管理员处获得的 IP 地址。使用 CIDR 表示法，掩码为 /25。例如 10.0.0.0/25。
这应该是网络管理员为此虚拟网络保留的 IP 地址范围。此外，它不得与表示内部部署网络的 IP 范围或虚拟机池的 IP 范围（稍后定义）重叠。
重要提示：
- 网关或虚拟机池的 Vnet 范围一经创建，便无法修改。
- 即使您将 CIDR 块分配给 VPN 网关网络（例如 /25），来自启用 VPN 的计算机池或无服务器计算机模板的流量也不会来自此 CIDR。
  
  用于传出流量的实际源 IP 地址是分配给各个计算机池或无服务器模板的 CIDR 地址。
  
  确保允许来自计算机池或无服务器模板的 CIDR 的流量，而不是来自 VPN 网关网络的 CIDR 的流量。
（可选）如果要为此连接使用 DNS，请选择“添加 DNS 地址” ，然后：
1. 在“DNS 地址”字段中添加 DNS 地址。
2. 要添加其他 DNS 地址，请选择“添加更多” 以添加另一个字段，然后将地址添加到该字段。
  
  注意：您可以稍后在创建 VPN 网关后添加 DNS 地址，但该操作需要重新启动连接到网关的所有虚拟机。
选择面板底部的“创建”以创建 VPN 网关连接。

注意：如果当前租户未分配至少 5000 个 Robot Units，则无法创建网关。

面板将关闭，VPN 网关状态为“正在配置”。部署网关最多可能需要 45 分钟才能完成。

完成后，网关的卡上将显示“已部署”状态。

注意：如果状态为失败，请删除网关，然后按照先前的说明重新创建网关。

步骤 2. 创建云机器人模板

注意：VPN 网关必须显示“已部署”状态，才能执行此步骤。

云机器人模板的 Vnet 是在创建每个模板时创建的。

Cloud Robot - VM ：在 Orchestrator 中，按照创建 Cloud Robot 池中的说明创建一个或多个 Cloud Robot - VM 。在设置过程中，请确保选择“连接 VPN 网关”选项。

对于每个池，您可以从“计算机”>“管理 Cloud Robot - VM”页面监控 VPN 状态。

备注：

现有 Cloud 机器人 - 虚拟机池无法连接到 VPN 网关。您必须创建新的。

此外，对于设置为连接到租户 VPN 网关的池，您可以选择编辑池并关闭“启用 VPN 集成”开关以断开池的连接。断开连接后，您将无法将池重新连接到 VPN 网关。

步骤 3. 创建站点到站点连接

部署 VPN 网关后，您现在可以将本地部署网络连接到该网关。

网关卡显示公共 IP 地址，这是隧道连接的基本信息。

要将 VPN 网关配置为连接到 VPN 设备，请执行以下操作：

在Automation Cloud ^TM公共部门中，转到“管理员” > “租户” > “VPN 网关” 。
在网关图块上，选择“添加连接” 。

“创建连接”面板将在页面右侧打开。

为以下字段提供值：

选项	描述
连接名称 *	为您的连接命名。
共享密钥 (PSK)*	写入密码短语或字符串。您需要记住这个确切的密钥，并在本地部署设备上配置连接时提供。
VPN 设备的公共 IP*	提供本地部署 VPN 设备的公共 IP 地址。重要提示：请勿提供卡片上显示的 VPN 网关的公共 IP 地址。需要在您的本地部署设备上配置该地址。
本地部署设备的地址空间*	指定内部部署网络中需要通过此连接进行通信的所有私有 IP 地址范围。由于网关不支持边界网关协议 (BGP)，因此需要手动配置。如果已为网关指定了 DNS 服务器 IP 地址，请确保该地址属于您在此处定义的私有 IP 地址范围之一。

（可选）可以为 IPSec/IKE 策略定义自定义配置。使用本部分可确保与本地部署 VPN 设备所需的特定安全设置兼容，或实施根据组织需求量身定制的高级安全策略。为此，请打开“自定义 IPSec/IKE 策略”开关。

注意：仅支持 IKEv2。
1. 对于IKE 第 1 阶段，提供以下字段的值：
  
  加密方式 *
  
  为初始安全密钥交换（IKE 第 1 阶段）提供匹配的加密方法。此参数必须与 UiPath 网关设置相同（例如 AES-256、GCMAES）。
  
  可能的值：GCMAES256、GCMAES128、AES256、AES192、AES128
  
  完整性 *
  
  为初始 IKE 第 1 阶段通信提供匹配的数据完整性检查（例如 SHA-256、SHA-512）。这必须与 UiPath 网关匹配。
  
  可能的值: SHA384、SHA256、SHA1、MD5
  
  DH 组 *
  
  为 IKE 第 1 阶段中的安全密钥交换提供匹配的 Diffie-Hellman (DH) 组（例如，组 14、组 19）。这必须与 UiPath 网关匹配。
  
  可能的值：“RHGroup24”、“ECP384”、“ECP256”、“RHGroup14”、“RHGroup2048”、“RHGroup2”、“RHGroup1”、“无”
2. 对于IKE 第 2 阶段 (IPSec) ，请提供以下字段的值：
  
  IPsec 加密 *
  
  为 VPN 隧道（IPSec 第 2 阶段）内的数据流量提供匹配的加密方法（例如 AES-256、3DES）。这必须与 UiPath 网关匹配。
  
  可能的值：GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无
  
  IPsec 完整性 *
  
  为 VPN 隧道（IPSec 第 2 阶段）内的流量提供匹配的数据完整性检查（例如 SHA-256、SHA-512）。这必须与 UiPath 网关匹配。
  
  可能的值：GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
  
  PFS 组*
  
  如果在 UiPath 网关上启用，请为 IPSec 第 2 阶段提供匹配的完全向前保密 (PFS) 组（例如，组 14、组 19）。如果一侧使用 PFS，则另一侧应匹配或禁用它。
  
  可能的值：PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无
  
  IPSec SA 有效期 (以千字节为单位)*
  
  提供处于活动状态的安全连接（IKE 和 IPSec）的持续时间。这些为本地设置；匹配不是严格要求，但建议使用类似的值以保持一致性。
  
  可能的值: 最小值 1,024，默认值 10,2400,000
  
  IPsec SA 有效期 (以秒为单位)*
  
  提供处于活动状态的安全连接（IKE 和 IPSec）的持续时间。这些为本地设置；匹配不是严格要求，但建议使用类似的值以保持一致性。
  
  可能的值：最小值 300，默认值 27,000
选择“添加连接” 。配置完成后，连接状态可能需要一些时间才能更新为“已连接” 。