- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
Test Cloud 管理员指南
为 Cloud robot 配置 VPN
功能可用性取决于您使用的云平台。有关详细信息,请参阅功能可用性页面。
您可以为租户创建 VPN 网关,以便虚拟 Cloud robot或无服务器 Cloud robot可以访问防火墙后的内部部署资源。
此页面介绍以下内容:
- UiPath VPN 网关在网络级别的工作方式。
- 如何正确规划 CIDR 范围、路由、防火墙规则和 DNS。
- 如何配置站点到站点 VPN 连接,包括静态路由、BGP 和自定义 IPsec 或 IKE 策略。
先决条件
在虚拟机上安装自定义软件(例如 VPN 客户端)可能会干扰核心服务并导致虚拟机无法使用。请改用本章中的配置。
要设置 VPN 网关,您必须满足以下要求:
- 您必须是 Test Cloud 中的组织管理员。
- 具有包含“计算机 - 编辑”权限的 Orchestrator 角色。
- 需网络管理员提供的信息:
- 位于内部部署网络配置中的保留 IP 地址范围列表,采用 CIDR 表示法。 作为配置的一部分,您需要指定我们将路由到您的内部部署位置的 IP 地址范围前缀。
- 您希望 UiPath 通过 VPN(您的本地部署网络)访问的私有 CIDR。
- 每个 VPN 设备的预共享密钥 (PSK)。
重要提示:
内部部署网络的子网不得与要连接的虚拟网络子网重叠。
- 使用兼容的 VPN 设备,并具备配置它们的能力和专业知识,如关于用于连接的 VPN 设备 - Azure VPN 网关中所述。有关默认连接参数的详细信息,请阅读Azure 的默认策略。
- 您的 VPN 设备必须使用面向外部的公共 IPv4 地址。
备注:预共享密钥最多应包含 128 个可打印 ASCII 字符。不要使用空格、连字符
-或波浪线~字符。
了解 UiPath VPN 连接的网络和 CIDR
本节介绍使用 UiPath VPN 网关时网络的工作方式,以及为何选择正确的 CIDR 范围对于成功且面向未来的设置至关重要。
您并不需要具备深入的网络知识才能理解本部分,但在创建 VPN 网关之前仔细阅读本部分是很重要的。
心智能力模型
在 UiPath Test Cloud 中创建 VPN 网关时,您会将私有本地网络扩展到 UiPath 云。
这意味着:
- 您的本地网络和 UiPath Cloud Robot 网络成为一个私有路由域的一部分
- Cloud Robots 使用私有 IP 地址访问您的内部部署资源
- VPN 网关不充当代理或 NAT 设备
- 源 IP 地址很重要,必须可双向路由
因此,必须仔细规划 CIDR 范围,并且不得重叠。
什么是 CIDR?
CIDR 定义一系列私有 IP 地址。
示例:
10.10.0.0/27→ 32 个 IP 地址10.10.0.0/25→ 128 个 IP 地址10.10.0.0/24→ 256 个 IP 地址
斜杠后的数字越小意味着网络越大。
UiPath VPN 设置中涉及的网络
在 UiPath VPN 配置中,涉及多个不同的网络范围,每个网络范围都有特定目的:
- VPN 网关网络
- ACR 虚拟机池网络(基于虚拟机的 Cloud Robot)
- Serverless Robot 网络
这些网络必须各不相同且不重叠。
VPN 网关网络(必需)
此 CIDR 定义部署 VPN 网关的子网。它用于:
- VPN 隧道端点
- BGP 对等互连(如果已启用)
VPN 网关网络不托管机器人或工作负载
规格要求:
- 支持的最小尺寸:
/27 - 建议大小:
/25或更大
示例:
- 最小值:
10.10.0.0/27 - 建议:
10.10.0.0/25重要提示:创建 VPN 网关后,无法更改此网络。
- VPN 网关需要
/27或更大的网络(例如/27、/26、/25)。 - 私有端点仅支持
/25或更大的网络。 - 如果您创建具有
/27CIDR 的 VPN 网关:- 整个 CIDR 将专用于网关子网。
- 将禁用私有端点创建。
- 可能无法支持未来的网络功能。
- VPN 网关需要
建议一律始终为 VPN 网关网络使用至少/25个 CIDR。
支持使用/27 ,但应将其视为仅限旧版或最后的手段,因为它大大限制了未来的扩展。
Automation Cloud Robot VM 池 CIDR(基于 VM 的 Cloud Robot)
每个 Automation Cloud Robot VM 池(基于虚拟机的 Cloud Robot)都在其自己的专用网络范围中运行。
- 这些 CIDR 定义基于虚拟机的机器人的源 IP 地址。
- 本地部署网络的流量源自这些范围。
备注:
- 每个虚拟机池必须有自己唯一的 CIDR(CIDR)
- 不得与以下内容重叠:
- VPN 网关 CIDR
- 无服务器机器人 CIDR(适用于 SSH)
- 本地网络 CIDR
示例:
- VPN 网关:
10.10.0.0/25 - ACR 虚拟机池 1:
10.20.0.0/24 - ACR 虚拟机池 2:
10.21.0.0/24
本地部署防火墙必须明确允许来自 Automation Cloud Robot 虚拟机池 CIDR 的流量。返回路由必须存在,以便响应可以流回机器人。重叠的 CIDR 将导致以后无法修复的路由故障。
Serverless Robot CIDR(单个共享网络)
Serverless Robot 每个租户使用一个共享网络,并且只有一个 Serverless Robot CIDR。这是因为只有一个 Serverless Robot 模板,租户中的所有 Serverless Robot 模板分别指向相同的 VPN 配置。租户的所有 Serverless Robot 执行共享此网络。
示例:
- Serverless Robot:
10.30.0.0/16重要提示:您无法创建多个 Serverless Robot CIDR。
由于不能有多个无服务器机器人 CIDR:
- 您选择的 CIDR 必须足够大。
- 不得与以下内容重叠:
- VPN 网关 CIDR
- 任何 Automation Cloud Robots VM 池 CIDR
- 本地部署网络
如果无服务器 CIDR 与您的本地部署网络重叠,则 VPN 连接将不起作用。
防火墙和路由影响
由于 VPN 网关不执行 NAT,因此到本地部署系统的流量将来自机器人 CIDR:
- Automation Cloud Robot VM 池 CIDR
- 无服务器机器人 CIDR(适用于 SSH)
必须在本地部署防火墙和任何中间网络安全设备中都允许 CIDR。
此外,必须存在反向路由,以便流量可以返回到 UiPath。这可以使用静态路由或 BGP 来实现。
最佳实践
建议的最低设计:
- VPN 网关 CIDR:
/25或更高版本 - 为以下内容提供单独的不重叠的 CIDR:
- VPN 网关
- 每个 ACR 虚拟机池
- 无服务器机器人
- 确保所有机器人 CIDR 满足以下条件:
- 允许通过内部部署防火墙
- 可双向路由
将 UiPath VPN 网关视为网络扩展,而不是隧道设备。预先正确的 CIDR 规划可防止中断、支持案例和后续重新部署。
VPN 网关工作流架构
此架构显示了如何在本地部署网络和 UiPath Cloud Robot 网络之间建立 VPN 连接。
连接到 VPN 网关后,基于 VM 的 Cloud Robot(ACR VM 池)和 Serverless Robot 便可以访问本地部署网络中的受限资源。
图 1.VPN 网关工作流架构 
具体流程如下:
- 确定您希望 UiPath 访问的内部部署 CIDR(您的内部私有地址范围)。这些 CIDR 必须可通过 VPN 访问。
- 在本地网络中,提供 ACR-VM 池的 IP 范围(6、7),以允许其流量进入网络。
- 创建 UiPath VPN 网关网络(网关子网 CIDR)。此网络仅托管 VPN 网关资源(隧道端点和 BGP 对等互连)。
- 支持的最小值:
/27 - 推荐:
/25或更高版本 - 私有端点需要
/25或更大 - 创建后无法更改
- 支持的最小值:
- UiPath 为 VPN 网关创建一个公共 IP。您的本地部署 VPN 设备使用此公共 IP 作为远程对等点。配置完成后,“BGP 对等地址” 和 ASN 也将可用。
- 在本地 VPN 设备公共 IP 和 UiPath VPN 网关公共 IP 之间创建站点到站点隧道。
- 建立路由(静态或 BGP):
- 静态路由(在连接上禁用 BGP):输入连接上的本地部署 CIDR;只有这些范围会路由到内部部署。
- 动态路由(在连接上启用 BGP):动态交换路由。
- 机器人流量源自机器人 CIDR,而非网关 CIDR:
- 每个 ACR 虚拟机池 CIDR(每个池都有自己的 CIDR)。
- 单个 Serverless 机器人 CIDR(每个租户一个)。
- 您的本地部署防火墙(以及任何中间防火墙)必须允许从机器人 CIDR 到本地部署资源的入站,并确保返回路由回这些机器人 CIDR(静态路由或 BGP)。
重要提示:
VPN 网关不执行 NAT。CIDR 必须不重叠,并且源 IP 地址必须双向可路由。