系统属性列表

作为操作员，您可以添加或修改系统属性的值。

下表介绍了一些系统属性。作为操作员，您可以设置这些属性的值。

警示电子邮件
警示
证书颁发机构
数据保留
Edge
Edge 激活
监控
通知
密码重置和锁定
速率限制 API
远程诊断
自助密码重置
双因素身份验证
VNF 配置
VPN

表 1. 警示电子邮件
系统属性	描述
vco.alert.mail.to	在触发警示时，将会立即向该系统属性的“值 (Value)”字段中提供的电子邮件地址列表发送通知。您可以输入多个以逗号分隔的电子邮件 ID。如果属性不包含任何值，则不会发送通知。该通知旨在提醒 VMware 支持/操作人员即将出现的问题，然后再通知客户。
vco.alert.mail.cc	在向任何客户发送警示电子邮件时，将向该系统属性的“值 (Value)”字段中提供的电子邮件地址发送一个副本。您可以输入多个以逗号分隔的电子邮件 ID。
mail.*	可以使用多个系统属性以控制警示电子邮件。您可以定义一些电子邮件参数，如 SMTP 属性、用户名、密码，等等。

表 2. 警示
系统属性	描述
vco.alert.enable	全局启用或禁用为操作员和企业客户生成警示的过程。
vco.enterprise.alert.enable	全局启用或禁用为企业客户生成警示的过程。
vco.operator.alert.enable	全局启用或禁用为操作员生成警示的过程。

表 3. 证书颁发机构
系统属性	描述
edge.certificate.renewal.window	该可选系统属性允许操作员定义一个或多个维护时段，将在此期间启用 Edge 证书续订。计划在这些时段以外的时间续订的证书将延迟，直到当前时间在某个启用的时段范围内。启用系统属性：要启用该系统属性，请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。在启用该系统属性时，该属性的第一部分的示例如下所示。操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表（以逗号分隔）以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例，请参见下图。注：如果属性不存在，则默认值为 enabled "false"。在定义时段属性时，请遵循以下准则：使用 IANA 时区，而不是 PDT 或 PST（例如 America/Los_Angeles）。有关更多信息，请参阅 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones。在日期中使用 UTC（例如，SAT、SUN）。以逗号分隔。使用三个字母表示日期（英文）。不区分大小写。开始时间（例如 01:30）和结束时间（例如 05:30）仅使用 24 小时制时间格式 (HH:MM)。如果缺少上述值，每个时段定义中的属性默认值如下所示：如果缺少 enabled，则默认值为 false。如果缺少 timezone，则默认值为“local”。如果缺少“days”或结束和开始时间之一，则默认值如下所示：如果缺少“days”，则将 start/end 应用于每个星期（mon、tue、wed、thu、fri、sat、sun）。如果缺少结束和开始时间，则指定日期中的任何时间都会匹配（start = 00:00 和 end = 23:59）。注意：“days”或结束和开始时间之一必须存在。不过，如果缺少这些值，则使用上面所示的默认值。禁用系统属性：默认情况下，将禁用该系统属性，这意味着在过期后自动续订证书。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中，“enabled”将设置为“false”。在禁用该属性时，该属性的示例如下所示。 { "enabled": false, "windows": [ { 注意：该系统属性要求启用 PKI。
gateway.certificate.renewal.window	该可选系统属性允许操作员定义一个或多个维护时段，将在此期间启用网关证书续订。计划在这些时段以外的时间续订的证书将延迟，直到当前时间在某个启用的时段范围内。启用系统属性：要启用该系统属性，请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。有关示例，请参见下图。操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表（以逗号分隔）以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例，请参见下图。注：如果属性不存在，则默认值为 enabled "false"。在定义时段属性时，请遵循以下准则：使用 IANA 时区，而不是 PDT 或 PST（例如 America/Los_Angeles）。有关更多信息，请参阅 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones。在日期中使用 UTC（例如，SAT、SUN）。以逗号分隔。使用三个字母表示日期（英文）。不区分大小写。开始时间（例如 01:30）和结束时间（例如 05:30）仅使用 24 小时制时间格式 (HH:MM)。如果缺少上述值，每个时段定义中的属性默认值如下所示：如果缺少 enabled，则默认值为 false。如果缺少 timezone，则默认值为“local”。如果缺少“days”或结束和开始时间之一，则默认值如下所示：如果缺少“days”，则将 start/end 应用于每个星期（mon、tue、wed、thu、fri、sat、sun）。如果缺少结束和开始时间，则指定日期中的任何时间都会匹配（start = 00:00 和 end = 23:59）。注意：“days”或结束和开始时间之一必须存在。不过，如果缺少这些值，则使用上面所示的默认值。禁用系统属性：默认情况下，将禁用该系统属性，这意味着在过期后自动续订证书。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中，“enabled”将设置为“false”。在禁用该属性时，该属性的示例如下所示。 { "enabled": false, "windows": [ { 注意：该系统属性要求启用 PKI。

表 4. 数据保留
系统属性	描述
retention.highResFlows.days	该系统属性允许操作员将高分辨率流量统计数据保留配置为 1 到 90 天。
retention.lowResFlows.months	该系统属性允许操作员将低分辨率流量统计数据保留配置为 1 到 365 天。
session.options.maxFlowstatsRetentionDays	该属性允许操作员查询超过两周的流量统计数据。

表 5. Edge
系统属性	描述
edge.offline.limit.sec	如果 Orchestrator 在指定的持续时间内没有检测到来自 Edge 的检测信号，Edge 状态将变为 OFFLINE 模式。
edge.link.unstable.limit.sec	如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息，链路将变为 UNSTABLE 模式。
edge.link.disconnected.limit.sec	如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息，链路将断开连接。
edge.deadbeat.limit.days	如果 Edge 在指定的天数内处于非活动状态，则不会考虑为该 Edge 生成警示。
vco.operator.alert.edgeLinkEvent.enable	为 Edge 链路事件全局启用或禁用操作员警示。
vco.operator.alert.edgeLiveness.enable	为 Edge 活动状态事件全局启用或禁用操作员警示。

表 6. Edge 激活
系统属性	描述
edge.activation.key.encode.enable	将 Edge 激活电子邮件发送到站点联系人时，对激活 URL 参数进行 Base64 编码以掩盖值。
edge.activation.trustedIssuerReset.enable	重置 Edge 的受信任证书颁发者列表以仅包含 Orchestrator 证书颁发机构。来自 Edge 的所有 TLS 流量受新颁发者列表限制。
network.public.certificate.issuer	在将 edge.activation.trustedIssuerReset.enable 设置为 True 时，将 network.public.certificate.issuer 值设置为与 Orchestrator 服务器证书颁发者的 PEM 编码相同。除了 Orchestrator 证书颁发机构以外，该操作还会将服务器证书颁发者添加到 Edge 的受信任颁发者列表中。

表 7. 监控
系统属性	描述
vco.monitor.enable	全局启用或禁用企业和操作员实体状态监控。如果将“值 (Value)”设置为 False，则禁止 SD-WAN Orchestrator 更改实体状态和触发警示。
vco.enterprise.monitor.enable	全局启用或禁用企业实体状态监控。
vco.operator.monitor.enable	全局启用或禁用操作员实体状态监控。

表 8. 通知
系统属性	描述
vco.notification.enable	全局允许或禁止向操作员和企业发送警示通知。
vco.enterprise.notification.enable	全局允许或禁止向企业发送警示通知。
vco.operator.notification.enable	全局允许或禁止向操作员发送警示通知。

表 9. 密码重置和锁定
系统属性	描述
vco.enterprise.resetPassword.token.expirySeconds	企业用户的密码重置链接过期之前的持续时间。
vco.enterprise.authentication.passwordPolicy	定义企业用户的密码过期和密码历史记录策略。在“值 (Value)”字段中编辑 JSON 模板以定义以下内容： expiry： enable：将该项设置为 true 以启用企业用户密码自动过期。 days：输入在强制过期之前可以使用企业密码的天数。 history： enable：将该项设置为 true 以允许记录企业用户的以前密码。 count：输入要在历史记录中保存的以前密码数。在企业用户尝试更改密码时，系统不允许用户输入已保存在历史记录中的密码。
enterprise.user.lockout.defaultAttempts	企业用户可以尝试登录的次数。如果登录失败指定的次数，将锁定帐户。
enterprise.user.lockout.defaultDurationSeconds	锁定企业用户帐户的持续时间。
enterprise.user.lockout.enabled	为企业登录失败启用或禁用锁定选项。
vco.operator.resetPassword.token.expirySeconds	操作员用户的密码重置链接过期之前的持续时间。
vco.operator.authentication.passwordPolicy	定义操作员用户的密码过期和密码历史记录策略。在“值 (Value)”字段中编辑 JSON 模板以定义以下内容： expiry： enable：将该项设置为 true 以启用操作员用户密码自动过期。 days：输入在强制过期之前可以使用操作员密码的天数。 history： enable：将该项设置为 true 以允许记录操作员用户的以前密码。 count：输入要在历史记录中保存的以前密码数。在操作员用户尝试更改密码时，系统不允许用户输入已保存在历史记录中的密码。
operator.user.lockout.defaultAttempts	操作员用户可以尝试登录的次数。如果登录失败指定的次数，将锁定帐户。
operator.user.lockout.defaultDurationSeconds	锁定操作员用户帐户的持续时间。
operator.user.lockout.enabled	为操作员登录失败启用或禁用锁定选项。

表 10. 速率限制 API
系统属性	描述
vco.api.rateLimit.enabled	允许操作员超级用户在系统级别启用或禁用速率限制功能。默认情况下，该值为 False。注：不会实际启用速率限制器，即，它不会拒绝超过配置的限制的 API 请求，除非禁用了 vco.api.rateLimit.mode.logOnly 设置。
vco.api.rateLimit.mode.logOnly	允许操作员超级用户在 LOG_ONLY 模式下使用速率限制。如果该值设置为 True 并且超过速率限制，该选项仅记录错误并触发相应的衡量指标，从而允许客户端发出请求而不进行速率限制。如果该值设置为 False，将使用定义的策略限制请求 API 并返回 HTTP 429。
vco.api.rateLimit.rules.global	允许在 JSON 数组中定义一组由速率限制器使用的全局适用策略。默认情况下，该值为空数组。每种类型的用户（操作员、合作伙伴和客户）最多可以每 5 秒发出 500 个请求。根据限制速率的请求的行为模式，请求数可能会发生变化。 JSON 数组包含以下参数： Types：类型对象表示应用速率限制的不同上下文。以下是可用的不同类型对象： SYSTEM：指定由所有用户共享的全局限制。 OPERATOR_USER：通常可以为所有操作员用户设置的限制。 ENTERPRISE_USER：通常可以为所有企业用户设置的限制。 MSP_USER：通常可以为所有 MSP 用户设置的限制。 ENTERPRISE：可以在所有企业用户之间共享的限制，它适用于网络中的所有企业。 PROXY：可以在所有代理用户之间共享的限制，它适用于所有代理。 Policies：通过配置以下参数，将规则添加到策略以应用于与规则匹配的请求： Match：输入要匹配的请求类型： All：限制与某个类型对象匹配的所有请求的速率。 METHOD：限制与指定的方法名称匹配的所有请求的速率。 METHOD_PREFIX：限制与指定的方法组匹配的所有请求的速率。 Rules：输入以下参数的值： maxConcurrent：可以同时执行的作业数。 reservoir：在限制器停止执行作业之前可以执行的作业数。 reservoirRefreshAmount：在使用 reservoirRefreshInterval 时为 reservoir 设置的值。 reservoirRefreshInterval：对于 reservoirRefreshInterval 的每毫秒，reservoir 值将自动更新为 reservoirRefreshAmount 值。reservoirRefreshInterval 值应为 250 的倍数（群集为 5000）。 enabled：可以在 APIRateLimiterTypeObject 中包含 enabled 键以启用或禁用每个类型限制。默认情况下，enabled 值为 True，即使不包含该键。您需要包含 "enabled": false 键才能禁用各个类型限制。以下示例显示一个包含默认值的示例 JSON 文件： [ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] } ] 注：建议不要更改配置参数的默认值。
vco.api.rateLimit.rules.enterprise.default	包含应用于新创建的客户的默认企业特定策略集。客户特定的属性存储在 vco.api.rateLimit.rules.enterprise 企业属性中。
vco.api.rateLimit.rules.enterpriseProxy.default	包含应用于新创建的合作伙伴的默认企业特定策略集。合作伙伴特定的属性存储在 vco.api.rateLimit.rules.enterpriseProxy 企业代理属性中。

有关速率限制的更多信息，请参阅速率限制 API 请求。

表 11. 远程诊断
系统属性	描述
network.public.address	指定用于访问 SD-WAN Orchestrator UI 的浏览器源地址/DNS 主机名。
network.portal.websocket.address	允许设置备用 DNS 主机名/地址，以便在浏览器地址与 `network.public.address` 系统属性值不同时从浏览器中访问 SD-WAN Orchestrator UI。由于远程诊断现在使用 WebSocket 连接，要确保 Web 安全，将针对入站请求验证用于访问 Orchestrator UI 的浏览器源地址。在大多数情况下，该地址与 `network.public.address` 系统属性相同。在极少数情况下，可以使用与 `network.public.address` 系统属性中设置的值不同的其他 DNS 主机名/地址以访问 Orchestrator UI。在这些情况下，您可以将该系统属性设置为备用 DNS 主机名/地址。默认情况下，不会设置该值。
session.options.websocket.portal.idle.timeout	允许设置浏览器 WebSocket 连接在空闲状态下保持的总时间（以秒为单位）。默认情况下，浏览器 WebSocket 连接在空闲状态下保持 300 秒。

表 12. 自助密码重置
系统属性	描述
vco.enterprise.resetPassword.twoFactor.mode	为所有企业用户定义用于密码重置身份验证第二级模式。目前，仅支持 SMS 模式。
vco.enterprise.resetPassword.twoFactor.required	为企业用户密码重置启用或禁用双因素身份验证。
vco.enterprise.selfResetPassword.enabled	为企业用户启用或禁用自助密码重置。
vco.enterprise.selfResetPassword.token.expirySeconds	企业用户的自助密码重置链接过期之前的持续时间。
vco.operator.resetPassword.twoFactor.required	为操作员用户密码重置启用或禁用双因素身份验证。
vco.operator.selfResetPassword.enabled	为操作员用户启用或禁用自助密码重置。
vco.operator.selfResetPassword.token.expirySeconds	操作员用户的自助密码重置链接过期之前的持续时间。

表 13. 双因素身份验证
系统属性	描述
vco.enterprise.authentication.twoFactor.enable	为企业用户启用或禁用双因素身份验证。
vco.enterprise.authentication.twoFactor.mode	为企业用户定义第二级身份验证模式。目前，仅支持将 SMS 作为第二级身份验证模式。
vco.enterprise.authentication.twoFactor.require	将双因素身份验证定义为企业用户的强制身份验证。
vco.operator.authentication.twoFactor.enable	为操作员用户启用或禁用双因素身份验证。
vco.operator.authentication.twoFactor.mode	为操作员用户定义第二级身份验证模式。目前，仅支持将 SMS 作为第二级身份验证模式。
vco.operator.authentication.twoFactor.require	将双因素身份验证定义为操作员用户的强制身份验证。

表 14. VNF 配置
系统属性	描述
edge.vnf.extraImageInfos	定义 VNF 映像的属性。您可以在值 (Value) 字段中为 VNF 映像输入以下信息（采用 JSON 格式）： [ { "vendor": "`供应商名称`", "version": "`VNF 映像版本`", "checksum": "`VNF 校验和值`", "checksumType": "`VNF 校验和类型`" } ] Check Point 防火墙映像的 JSON 文件示例： [ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" } ] Fortinet 防火墙映像的 JSON 文件示例： [ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" } ]
edge.vnf.metric.record.limit	定义要存储在数据库中的记录数
enterprise.capability.edgeVnfs.enable	在支持的 Edge 型号上启用 VNF 部署。
enterprise.capability.edgeVnfs.securityVnf.checkPoint	启用 Check Point 网络防火墙 VNF
enterprise.capability.edgeVnfs.securityVnf.fortinet	启用 Fortinet 网络防火墙 VNF
enterprise.capability.edgeVnfs.securityVnf.paloAlto	启用 Palo Alto Networks 网络防火墙 VNF
session.options.enableVnf	启用 VNF 功能
vco.operator.alert.edgeVnfEvent.enable	为 Edge VNF 事件全局启用或禁用操作员警示。
vco.operator.alert.edgeVnfInsertionEvent.enable	为 Edge VNF 插入事件全局启用或禁用操作员警示。

表 15. VPN
系统属性	描述
vpn.disconnect.wait.sec	系统在断开连接 VPN 隧道之前等待的时间间隔。
vpn.reconnect.wait.sec	系统在重新连接 VPN 隧道之前等待的时间间隔。