- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- Ai Trust Layer
- 外部应用程序
- 通知
- 日志记录
- 在您的组织中进行测试
- 故障排除
- 迁移到 Test Cloud
Test Cloud 管理员指南
配置步骤
步骤 1. 创建 VPN 网关
要为租户创建 VPN 网关,请执行以下操作:
-
在 Test Cloud 中,转到“管理员” 。
如果尚未启用,请使用标头中的切换开关启用“新的管理员体验”。
-
从左侧的“租户”面板中,选择要为其创建 VPN 网关的租户。
所选租户的“设置”页面随即打开。
-
选择“VPN 网关”图块。
-
选择“为租户创建网关” 。系统将打开“创建网关”面板
-
在“名称” 字段中,键入要在租户的“ VPN 网关” 页面中显示的网关名称。
-
在“ VPN 网关 vnet 的地址空间”字段中,添加从网络管理员处获得的 IP 地址。
- 使用 CIDR 表示法
- 支持的最小值:
/27 - 建议:
/25或更大(私有端点需要/25或更大) - 创建后无法修改
重要提示:- 网关或虚拟机池的 Vnet 范围一经创建,便无法修改。
- 即使您将 CIDR 块分配给 VPN 网关网络(例如
/25),来自启用了 VPN 的计算机池或无服务器计算机模板的流量也不会源自此 CIDR。用于传出流量的实际源 IP 地址是分配给单个计算机池或无服务器模板的 CIDR 的源 IP 地址。确保允许来自计算机池或无服务器模板的 CIDR 的流量,而不是来自 VPN 网关网络的 CIDR 的流量。
-
(可选)如果要为此连接使用 DNS,请选择“添加 DNS 地址” ,然后:
- 在“DNS 地址”字段中添加 DNS 地址。
- 要添加其他 DNS 地址,请选择“添加更多” 以添加另一个字段,然后将地址添加到该字段。
备注:
您可以稍后在创建 VPN 网关后添加 DNS 地址,但这需要重新启动连接到网关的所有虚拟机。
-
选择面板底部的“创建” ,以创建 VPN 网关连接。
面板将关闭,VPN 网关状态为“正在配置”。
完成后,网关的卡上将显示“已部署”状态。
如果状态为失败,请删除网关,然后按照前述说明重新创建。
步骤 2. 创建云机器人模板
VPN 网关必须显示“已部署”状态,才能执行此步骤。
云机器人模板的 Vnet 是在创建每个模板时创建的。
Cloud 机器人 - VM
在 Orchestrator 中,按照创建 Cloud Robot 池中的说明创建一个或多个 Cloud Robot - VM 池。在设置期间,务必选择“连接 VPN 网关”选项。
对于每个池,您可以从“计算机” >“管理 Cloud Robot - 虚拟机” 页面监控VPN 状态。
现有的 Cloud Robot - VM 池无法连接到 VPN 网关。您必须新建。此外,对于设置为连接到租户 VPN 网关的池,您可以选择编辑池并关闭“启用 VPN 集成”开关以断开池的连接。断开连接后,您将无法将池重新连接到 VPN 网关。
Cloud Robots - Serverless
在 Orchestrator 中,按照 Automation Cloud robot - Serverless 中的说明编辑或创建 Cloud Robot - Serverless 模板。在设置过程中,请确保在“网络配置”页面上配置选项。
步骤 3. 创建站点到站点连接
部署 VPN 网关后,您现在可以将本地部署网络连接到该网关。
网关卡片显示公共 IP 地址,这是隧道配置的基本信息。
要将 VPN 网关配置为连接到 VPN 设备,请执行以下操作:
-
在您的组织中,转到“管理员” > “租户” > “VPN 网关” 。
-
在网关图块上,选择“添加连接” 。
将打开“创建连接”面板。
-
为以下字段提供值:
选项 描述 连接名称 * 为您的连接命名。 共享密钥 (PSK)* 写入密码短语或字符串。您需要记住这个确切的密钥,并在本地部署设备上配置连接时提供。 VPN 设备的公共 IP* 提供本地 VPN 设备的公共 IP 地址。重要提示:请勿提供卡片上显示的 VPN 网关的公共 IP 地址。必须在本地设备上将该网关公共 IP 配置为远程对等点。 -
为此连接选择路由类型,可选择静态路由(禁用 BGP)或动态路由(启用 BGP)。
单个 UiPath VPN 网关可以同时托管 BGP 和非 BGP 连接。
-
静态路由(禁用 BGP)
如果在连接上禁用 BGP,则必须配置 UiPath 应路由到哪些本地 CIDR。
**本地设备 ***的地址空间:指定本地网络上必须可通过此连接访问的所有私有 CIDR。只有这些范围会通过此隧道路由到内部部署。
备注:如果您在网关上配置了 DNS 服务器 IP 地址,请确保这些 DNS IP 属于此处定义的本地部署 CIDR 之一(因此网关可以通过隧道访问它们)。
-
动态路由(启用 BGP)
如果在连接上启用 BGP:
- 路由是动态交换的。
- UiPath 通告:
- 所有 ACR VM 池 CIDR
- 无服务器机器人 CIDR
- 您的本地部署设备通告其本地部署 CIDR。
为以下字段提供值:
- 本地部署 ASN :本地部署 VPN 设备使用的 ASN。
- BGP 对等地址:本地部署设备用于 BGP 对等互连的 IP 地址。
如果值缺失或不正确,则 BGP 将不会建立。
-
-
(可选)可以为 IPSec/IKE 策略定义自定义配置。使用本节内容确保与本地部署 VPN 设备所需的特定安全设置兼容,或实施根据组织需求量身定制的高级安全策略。为此,请打开“自定义 IPSec/IKE 策略”开关。
备注:仅支持 IKEv2。
-
对于IKE 第 1 阶段,提供以下字段的值:
加密:为初始安全密钥交换(IKE 第 1 阶段)提供匹配的加密方法。此值必须与 UiPath 网关设置相同(例如 AES-256、GCMAES)。
可能的值:GCMAES256、GCMAES128、AES256、AES192、AES128
完整性:为初始 IKE 第 1 阶段通信提供匹配的数据完整性检查(例如 SHA-256、SHA-512)。此参数必须与 UiPath 网关相符。
可能的值: SHA384、SHA256、SHA1、MD5
RH 组(可选) :为 IKE 第 1 阶段中的安全密钥交换提供匹配的 Diffie-Hellman (RH) 组(例如,组 14、组 19)。此参数必须与 UiPath 网关相符。
可能的值:“RHGroup24”、“ECP384”、“ECP256”、“RHGroup14”、“RHGroup2048”、“RHGroup2”、“RHGroup1”、“无”
-
对于IKE 第 2 阶段 (IPSec) ,请提供以下字段的值:
“IPsec 加密”( IPSec 第 2 阶段):为 VPN 隧道(IPSec 第 2 阶段)内的数据流量提供匹配的加密方法(例如 AES-256、3DES)。此参数必须与 UiPath 网关相符。
可能的值:GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无
“IPsec 完整性” (IPSec 第 2 阶段):为 VPN 隧道(IPSec 第 2 阶段)内的流量提供匹配的数据完整性检查(例如 SHA-256、SHA-512)。此参数必须与 UiPath 网关相符。
可能的值:GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 组(可选) :如果在 UiPath 网关上启用了,则为 IPSec 第 2 阶段提供匹配的完全前向保密 (PFS) 组(例如,组 14、组 19)。如果一侧使用 PFS,则另一侧应匹配或禁用它。
可能的值:PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无
IPSec SA 生存期,以千字节为单位:提供活动安全连接(IKE 和 IPSec)的持续时间。这些是本地设置;匹配不是严格要求,但建议使用类似的值以保持一致性。
可能的值: 最小值 1,024,默认值 10,2400,000
IPsec SA 有效期: 提供活动安全连接(IKE 和 IPSec)的持续时间。这些是本地设置;匹配不是严格要求,但建议使用类似的值以保持一致性。
可能的值:最小值 300,默认值 27,000
-
-
选择“添加连接” 。配置完成后,连接状态可能需要一些时间才能更新为已连接。
面板将关闭,新连接将显示在“连接”页面上。 当“连接状态”列显示“已连接”时,该连接便可使用。
“已连接”状态表示预共享密钥 (PSK)、对等公共 Internet 协议 (IP) 地址和 IPSec/IKE 策略参数已正确配置,并且存在加密隧道。
如果连接状态为连接失败,则必须删除连接(> 删除),然后重新创建。
要添加更多连接,请在“连接”页面上选择“创建连接” 。
您最多可以添加 25 个连接。