Test Cloud 管理员指南

1. 在 Test Cloud 中，转到“管理员”。

   如果尚未启用，请使用标头中的切换开关启用“新的管理员体验”。

2. 从左侧的“租户”面板中，选择要为其创建 VPN 网关的租户。

   所选租户的“设置”页面随即打开。

3. 选择“VPN 网关”图块。

4. Select Create gateway for Tenant. The Create gateway panel opens.

5. 在“名称” 字段中，键入要在租户的“ VPN 网关” 页面中显示的网关名称。

6. 在“ VPN 网关 vnet 的地址空间”字段中，添加从网络管理员处获得的 IP 地址。

   • 使用 CIDR 表示法
   • 支持的最小值： /27
   • 建议：/25 或更大（私有端点需要 /25 或更大）
   • 创建后无法修改
   重要提示：

   • 网关或虚拟机池的 Vnet 范围一经创建，便无法修改。

   • 即使您将 CIDR 块分配给 VPN 网关网络（例如 /25），来自启用 VPN 的计算机池或无服务器计算机模板的流量也不会来自此 CIDR。

   用于传出流量的实际源 IP 地址是分配给各个计算机池或无服务器模板的 CIDR 地址。

   确保允许来自计算机池或无服务器模板的 CIDR 的流量，而不是来自 VPN 网关网络的 CIDR 的流量。

7. （可选）如果要为此连接使用 DNS，请选择“添加 DNS 地址” ，然后：

   1. 在“DNS 地址”字段中添加 DNS 地址。
   2. 要添加其他 DNS 地址，请选择“添加更多” 以添加另一个字段，然后将地址添加到该字段。
      备注：

      您可以稍后在创建 VPN 网关后添加 DNS 地址，但这需要重新启动连接到网关的所有虚拟机。

8. 选择面板底部的“创建” ，以创建 VPN 网关连接。

   面板将关闭，VPN 网关状态为“正在配置”。

   完成后，网关的卡上将显示“已部署”状态。

Cloud 机器人 - VM​

Cloud Robots - Serverless​

1. 在您的组织中，转到“管理员” > “租户” > “VPN 网关” 。

2. 在网关图块上，选择“添加连接” 。

   将打开“创建连接”面板。

3. 为以下字段提供值：

   选项	描述
   连接名称 *	为您的连接命名。
   共享密钥 (PSK)*	写入密码短语或字符串。您需要记住这个确切的密钥，并在本地部署设备上配置连接时提供。
   VPN 设备的公共 IP*	提供本地 VPN 设备的公共 IP 地址。重要提示：请勿提供卡片上显示的 VPN 网关的公共 IP 地址。必须在本地设备上将该网关公共 IP 配置为远程对等点。

4. 为此连接选择路由类型，可选择静态路由（禁用 BGP）或动态路由（启用 BGP）。

   单个 UiPath VPN 网关可以同时托管 BGP 和非 BGP 连接。

   1. 静态路由（禁用 BGP）

      如果在连接上禁用 BGP，则必须配置 UiPath 应路由到哪些本地 CIDR。

      **本地设备 ***的地址空间：指定本地网络上必须可通过此连接访问的所有私有 CIDR。只有这些范围会通过此隧道路由到内部部署。

      备注：

      如果您在网关上配置了 DNS 服务器 IP 地址，请确保这些 DNS IP 属于此处定义的本地部署 CIDR 之一（因此网关可以通过隧道访问它们）。

   2. 动态路由（启用 BGP）

      如果在连接上启用 BGP：

      • 路由是动态交换的。
      • UiPath 通告：
        • 所有 ACR VM 池 CIDR
        • 无服务器机器人 CIDR
      • 您的本地部署设备通告其本地部署 CIDR。

      为以下字段提供值：

      • 本地部署 ASN ：本地部署 VPN 设备使用的 ASN。
      • BGP 对等地址：本地部署设备用于 BGP 对等互连的 IP 地址。

      如果值缺失或不正确，则 BGP 将不会建立。

5. （可选）可以为 IPSec/IKE 策略定义自定义配置。使用本节内容确保与本地部署 VPN 设备所需的特定安全设置兼容，或实施根据组织需求量身定制的高级安全策略。为此，请打开“自定义 IPSec/IKE 策略”开关。

   备注：

   仅支持 IKEv2。

   1. 对于IKE 第 1 阶段，提供以下字段的值：

      • 加密：为初始安全密钥交换（IKE 第 1 阶段）提供匹配的加密方法。此值必须与 UiPath 网关设置相同（例如 AES-256、GCMAES）。

        可能的值：GCMAES256、GCMAES128、AES256、AES192、AES128

      • 完整性：为初始 IKE 第 1 阶段通信提供匹配的数据完整性检查（例如 SHA-256、SHA-512）。此参数必须与 UiPath 网关相符。

        可能的值: SHA384、SHA256、SHA1、MD5

      • RH 组（可选） ：为 IKE 第 1 阶段中的安全密钥交换提供匹配的 Diffie-Hellman (RH) 组（例如，组 14、组 19）。此参数必须与 UiPath 网关相符。

        可能的值：“RHGroup24”、“ECP384”、“ECP256”、“RHGroup14”、“RHGroup2048”、“RHGroup2”、“RHGroup1”、“无”

   2. 对于IKE 第 2 阶段 (IPSec) ，请提供以下字段的值：

      • “IPsec 加密”（ IPSec 第 2 阶段）：为 VPN 隧道（IPSec 第 2 阶段）内的数据流量提供匹配的加密方法（例如 AES-256、3DES）。此参数必须与 UiPath 网关相符。

        可能的值：GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无

      • “IPsec 完整性” （IPSec 第 2 阶段）：为 VPN 隧道（IPSec 第 2 阶段）内的流量提供匹配的数据完整性检查（例如 SHA-256、SHA-512）。此参数必须与 UiPath 网关相符。

        可能的值：GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5

      • PFS 组（可选） ：如果在 UiPath 网关上启用了，则为 IPSec 第 2 阶段提供匹配的完全前向保密 (PFS) 组（例如，组 14、组 19）。如果一侧使用 PFS，则另一侧应匹配或禁用它。

        可能的值：PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无

      • IPSec SA 生存期，以千字节为单位：提供活动安全连接（IKE 和 IPSec）的持续时间。这些是本地设置；匹配不是严格要求，但建议使用类似的值以保持一致性。

        可能的值: 最小值 1,024，默认值 10,2400,000

      • IPsec SA 有效期: 提供活动安全连接（IKE 和 IPSec）的持续时间。这些是本地设置；匹配不是严格要求，但建议使用类似的值以保持一致性。

        可能的值：最小值 300，默认值 27,000

6. 选择“添加连接” 。配置完成后，连接状态可能需要一些时间才能更新为已连接。

   面板将关闭，新连接将显示在“连接”页面上。 当“连接状态”列显示“已连接”时，该连接便可使用。

   “已连接”状态表示预共享密钥 (PSK)、对等公共 Internet 协议 (IP) 地址和 IPSec/IKE 策略参数已正确配置，并且存在加密隧道。