UiPath Documentation
orchestrator
latest
false
重要 :
新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Orchestrator 用户指南

上次更新日期 2026年4月17日

为 Cloud robot 配置 VPN

您可以为租户创建 VPN 网关,以便虚拟 Cloud robot无服务器 Cloud robot可以访问防火墙后的内部部署资源。

此页面介绍以下内容:

  • UiPath VPN 网关在网络级别的工作方式。
  • 如何正确规划 CIDR 范围、路由、防火墙规则和 DNS。
  • 如何配置站点到站点 VPN 连接,包括静态路由、BGP 和自定义 IPsec 或 IKE 策略。

先决条件

重要提示:

在虚拟机上安装自定义软件(例如 VPN 客户端)可能会干扰核心服务并导致虚拟机无法使用。请改用本章中的配置。

要设置 VPN 网关,您必须满足以下要求:

  • Be an organization administrator.
  • 具有包含“计算机 - 编辑”权限的 Orchestrator 角色。
  • 需网络管理员提供的信息:
    • 位于内部部署网络配置中的保留 IP 地址范围列表,采用 CIDR 表示法。 作为配置的一部分,您需要指定我们将路由到您的内部部署位置的 IP 地址范围前缀。
    • 您希望 UiPath 通过 VPN(您的本地部署网络)访问的私有 CIDR。
    • 每个 VPN 设备的预共享密钥 (PSK)。
      重要提示:

      内部部署网络的子网不得与要连接的虚拟网络子网重叠。

    • 使用兼容的 VPN 设备,并具备配置它们的能力和专业知识,如关于用于连接的 VPN 设备 - Azure VPN 网关中所述。有关默认连接参数的详细信息,请阅读Azure 的默认策略
    • 您的 VPN 设备必须使用面向外部的公共 IPv4 地址。
    • 备注:

      预共享密钥最多应包含 128 个可打印 ASCII 字符。不要使用空格、连字符-或波浪线~字符。

VPN 网关工作流架构

此架构显示了如何在本地部署网络和 UiPath Cloud Robot 网络之间建立 VPN 连接。

连接到 VPN 网关后,基于 VM 的 Cloud Robot(ACR VM 池)和 Serverless Robot 便可以访问本地部署网络中的受限资源。

图 1.VPN 网关工作流架构 VPN 网关工作流架构

具体流程如下:

  1. 确定您希望 UiPath 访问的内部部署 CIDR(您的内部私有地址范围)。这些 CIDR 必须可通过 VPN 访问。
  2. 在本地网络中,提供 ACR-VM 池的 IP 范围(6、7),以允许其流量进入网络。
  3. 创建 UiPath VPN 网关网络(网关子网 CIDR)。此网络仅托管 VPN 网关资源(隧道端点和 BGP 对等互连)。
    • 支持的最小值: /27
    • 推荐: /25或更高版本
    • 私有端点需要/25或更大
    • 创建后无法更改
  4. UiPath 为 VPN 网关创建一个公共 IP。您的本地部署 VPN 设备使用此公共 IP 作为远程对等点。配置完成后,“BGP 对等地址” 和 ASN 也将可用。
  5. 在本地 VPN 设备公共 IP 和 UiPath VPN 网关公共 IP 之间创建站点到站点隧道。
  6. 建立路由(静态或 BGP):
    • 静态路由(在连接上禁用 BGP):输入连接上的本地部署 CIDR;只有这些范围会路由到内部部署。
    • 动态路由(在连接上启用 BGP):动态交换路由。
  7. 机器人流量源自机器人 CIDR,而非网关 CIDR:
    • 每个 ACR 虚拟机池 CIDR(每个池都有自己的 CIDR)。
    • 单个 Serverless 机器人 CIDR(每个租户一个)。
  8. 您的本地部署防火墙(以及任何中间防火墙)必须允许从机器人 CIDR 到本地部署资源的入站,并确保返回路由回这些机器人 CIDR(静态路由或 BGP)。
    重要提示:

    VPN 网关不执行 NAT。CIDR 必须不重叠,并且源 IP 地址必须双向可路由。

步骤 1. 创建 VPN 网关

要为租户创建 VPN 网关,请执行以下操作:

  1. 转到“管理员”。

如果尚未启用,请使用标头中的切换开关启用“新的管理员体验”。

  1. 从左侧的“租户”面板中,选择要为其创建 VPN 网关的租户。

所选租户的“设置”页面随即打开。

  1. 选择“VPN 网关”图块。
  2. 选择“为租户创建网关” 。系统将打开“创建网关”面板
  3. 在“名称” 字段中,键入要在租户的“ VPN 网关” 页面中显示的网关名称。
  4. 在“ VPN 网关 vnet 的地址空间”字段中,添加从网络管理员处获得的 IP 地址。
    • 使用 CIDR 表示法
    • 支持的最小值: /27
    • 建议:/25 或更大(私有端点需要 /25 或更大)
    • 创建后无法修改
重要提示:
  • 网关或虚拟机池的 Vnet 范围一经创建,便无法修改。
  • 即使您将 CIDR 块分配给 VPN 网关网络(例如/25 ),来自启用了 VPN 的计算机池或无服务器计算机模板的流量也不会源自此 CIDR。用于传出流量的实际源 IP 地址是分配给单个计算机池或无服务器模板的 CIDR 的源 IP 地址。确保允许来自计算机池或无服务器模板的 CIDR 的流量,而不是来自 VPN 网关网络的 CIDR 的流量。
  1. (可选)如果要为此连接使用 DNS,请选择“添加 DNS 地址” ,然后:
    1. 在“DNS 地址”字段中添加 DNS 地址。
    2. 要添加其他 DNS 地址,请选择“添加更多” 以添加另一个字段,然后将地址添加到该字段。
      备注:

      您可以稍后在创建 VPN 网关后添加 DNS 地址,但这需要重新启动连接到网关的所有虚拟机。

  2. 选择面板底部的“创建” ,以创建 VPN 网关连接。

面板将关闭,VPN 网关状态为“正在配置”。

完成后,网关的卡上将显示“已部署”状态。

备注:

如果状态为失败,请删除网关,然后按照前述说明重新创建。

步骤 2. 创建云机器人模板

备注:

VPN 网关必须显示“已部署”状态,才能执行此步骤。

云机器人模板的 Vnet 是在创建每个模板时创建的。

Cloud 机器人 - VM

在 Orchestrator 中,按照创建 Cloud Robot 池中的说明创建一个或多个 Cloud Robot - VM 池。在设置期间,务必选择“连接 VPN 网关”选项。

对于每个池,您可以从“计算机” >“管理 Cloud Robot - 虚拟机” 页面监控VPN 状态

备注:

现有的 Cloud Robot - VM 池无法连接到 VPN 网关。您必须新建。此外,对于设置为连接到租户 VPN 网关的池,您可以选择编辑池并关闭“启用 VPN 集成”开关以断开池的连接。断开连接后,您将无法将池重新连接到 VPN 网关。

Cloud Robots - Serverless

In Orchestrator, edit or create Cloud robot - Serverless templates, following the instructions in Automation Cloud™ robots - Serverless . During setup, make sure to configure options on the Network Configuration page.

步骤 3. 创建站点到站点连接

部署 VPN 网关后,您现在可以将本地部署网络连接到该网关。

网关卡片显示公共 IP 地址,这是隧道配置的基本信息。

要将 VPN 网关配置为连接到 VPN 设备,请执行以下操作:

  1. 在您的组织中,转到“管理员” > “租户” > “VPN 网关”
  2. 在网关图块上,选择“添加连接”

将打开“创建连接”面板。

  1. 为以下字段提供值:

    选项描述
    连接名称为您的连接命名。
    Shared key (PSK)写入密码短语或字符串。您需要记住这个确切的密钥,并在本地部署设备上配置连接时提供。
    Public IP for the VPN device提供本地 VPN 设备的公共 IP 地址。重要提示:请勿提供卡片上显示的 VPN 网关的公共 IP 地址。必须在本地设备上将该网关公共 IP 配置为远程对等点。

  2. Choose the routing type for this connection between Static routing (BGP disabled) or Dynamic routing (BGP enabled). A single UiPath VPN gateway can host a mix of BGP and non-BGP connections.

    1. 静态路由(禁用 BGP)

如果在连接上禁用 BGP,则必须配置 UiPath 应路由到哪些本地 CIDR。

本地部署设备的地址空间:指定本地部署网络上必须可通过此连接访问的所有私有 CIDR。只有这些范围会通过此隧道路由到内部部署。

备注:

如果您在网关上配置了 DNS 服务器 IP 地址,请确保这些 DNS IP 属于此处定义的本地部署 CIDR 之一(因此网关可以通过隧道访问它们)。

  1. 动态路由(启用 BGP)

如果在连接上启用 BGP:

  • 路由是动态交换的。
  • UiPath 通告:
    • 所有 ACR VM 池 CIDR
    • 无服务器机器人 CIDR
  • 您的本地部署设备通告其本地部署 CIDR。

为以下字段提供值:

  • 本地部署 ASN :本地部署 VPN 设备使用的 ASN。
  • BGP 对等地址:本地部署设备用于 BGP 对等互连的 IP 地址。

如果值缺失或不正确,则 BGP 将不会建立。

  1. (可选)可以为 IPSec/IKE 策略定义自定义配置。使用本节内容确保与本地部署 VPN 设备所需的特定安全设置兼容,或实施根据组织需求量身定制的高级安全策略。为此,请打开“自定义 IPSec/IKE 策略”开关。
备注:

仅支持 IKEv2。

  1. 对于IKE 第 1 阶段,提供以下字段的值:

Encryption * : Provide the matching encryption method for the initial secure key exchange (IKE Phase 1). This must be identical to the UiPath Gateway setting (for example, AES-256, GCMAES).

可能的值:GCMAES256、GCMAES128、AES256、AES192、AES128

Integrity * : Provide the matching data integrity check for the initial IKE Phase 1 communication (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

可能的值: SHA384、SHA256、SHA1、MD5

DH Group * : Provide the matching Diffie-Hellman (DH) group for the secure key exchange in IKE Phase 1 (for example, Group 14, Group 19). This must match the UiPath Gateway.

可能的值:“RHGroup24”、“ECP384”、“ECP256”、“RHGroup14”、“RHGroup2048”、“RHGroup2”、“RHGroup1”、“无”

  1. 对于IKE 第 2 阶段 (IPSec) ,请提供以下字段的值:

IPsec Encryption * : Provide the matching encryption method for data traffic within the VPN tunnel (IPSec Phase 2) (for example, AES-256, 3DES). This must match the UiPath Gateway.

可能的值:GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无

IPsec Integrity * : Provide the matching data integrity check for traffic within the VPN tunnel (IPSec Phase 2) (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

可能的值:GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5

PFS Group * : Provide the matching Perfect Forward Secrecy (PFS) group for IPSec Phase 2, if enabled on the UiPath Gateway (for example, Group 14, Group 19). If one side uses PFS, the other should match or disable it.

可能的值:PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无

IPSec SA lifetime in Kilobytes * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

可能的值: 最小值 1,024,默认值 10,2400,000

IPsec SA lifetime in seconds * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

可能的值:最小值 300,默认值 27,000

  1. 选择“添加连接” 。配置完成后,连接状态可能需要一些时间才能更新为已连接

面板将关闭,新连接将显示在“连接”页面上。 当“连接状态”列显示“已连接”时,该连接便可使用。

“已连接”状态表示预共享密钥 (PSK)、对等公共 Internet 协议 (IP) 地址和 IPSec/IKE 策略参数已正确配置,并且存在加密隧道。

备注:

如果连接状态为连接失败,则必须删除连接(> 删除),然后重新创建。

要添加更多连接,请在“连接”页面上选择“创建连接”

备注:

您最多可以添加 25 个连接。

步骤 4. 设置 VPN 设备

您的网络管理员现在可以:

  1. 从内部部署网络设置 VPN 设备。

PSK 必须与为步骤 3 中创建的连接指定的 PSK 匹配。

  1. 将用于为云机器人模板配置 VPN 网关和 Vnet 的地址空间添加到网络的允许列表中。

For a list of supported VPN devices and for RouteBased configuration instructions, refer to About VPN devices for connections - Azure VPN Gateway in the Microsoft documentation.

常见问题

数据驻留

租户的 VPN 网关将自动在与租户所在区域相同的区域中创建,您无法更改该区域。

切换到其他区域

如果 VPN 网关已存在,并且您选择将租户移动到其他区域,则可以:

  • 继续使用旧区域中的网关,或
  • 删除现有的 VPN 网关,然后在租户的当前区域中创建一个新的 VPN 网关。

数据保留

如果禁用具有 VPN 网关的租户,您将有 60 天的宽限期,然后您将无法访问 VPN 设备。 60 天后,您的 VPN 网关将从租户中永久删除。

如果您在 60 天内重新启用租户,则不会删除您的 VPN 网关并可供使用。

许可证过期

如果您的 Robot Unit 已过期,则在您无法访问 VPN 设备之前,您有 60 天的宽限期。60 天后,系统将从您的租户中永久删除您的 VPN 网关。

排除 VPN 连接故障

If a connection is Connected, but you cannot access the resources, check:

  • Address Space Configuration — Ensure defined address spaces on both ends are correct and non-overlapping for proper routing.
  • DNS Resolution — Confirm the gateway and connected devices resolve necessary domain names. Verify DNS server configurations and reachability.
  • Firewall Rules - Review firewall rules on both the gateway and on-premises network; ensure traffic flows on required ports and protocols within defined address spaces.

此页面有帮助吗?

连接

需要帮助? 支持

想要了解详细内容? UiPath Academy

有问题? UiPath 论坛

保持更新