作为操作员,您可以添加或修改系统属性的值。
下表介绍了一些系统属性。作为操作员,您可以设置这些属性的值。
- 警示电子邮件
- 警示
- Bastion Orchestrator 配置
- 证书颁发机构
- 客户配置
- 数据保留
- Edge
- Edge 激活
- Edge 激活
- LAN 端 NAT 规则
- 监控
- 通知
- 密码重置和锁定
- 速率限制 API
- 远程诊断
- 安全服务边缘 (SSE)
- 分段
- 自助密码重置
- Syslog 转发
- TACACS 服务
- 双因素身份验证
- Edge 的隧道参数
- VNF 配置
- VPN
- 警告横幅
- Zscaler
系统属性 | 描述 |
---|---|
vco.alert.mail.to | 在触发警示时,将会立即向该系统属性的“值 (Value)”字段中提供的电子邮件地址列表发送通知。您可以输入多个以逗号分隔的电子邮件 ID。 如果属性不包含任何值,则不会发送通知。 该通知旨在提醒 VMware 支持/操作人员即将出现的问题,然后再通知客户。 |
vco.alert.mail.cc | 在向任何客户发送警示电子邮件时,将向该系统属性的“值 (Value)”字段中提供的电子邮件地址发送一个副本。您可以输入多个以逗号分隔的电子邮件 ID。 |
mail.* | 可以使用多个系统属性以控制警示电子邮件。您可以定义一些电子邮件参数,如 SMTP 属性、用户名、密码,等等。 |
系统属性 | 描述 |
---|---|
vco.alert.enable | 全局激活或停用为操作员和企业客户生成警示的过程。 |
vco.enterprise.alert.enable | 全局激活或停用为企业客户生成警示的过程。 |
vco.operator.alert.enable | 全局激活或停用为操作员生成警示的过程。 |
系统属性 | 描述 |
---|---|
session.options.enableBastionOrchestrator | 启用 Bastion Orchestrator 功能。 有关更多信息,请参阅《Bastion Orchestrator 配置指南》,网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html。 |
vco.bastion.private.enable | 使 Orchestrator 成为 Bastion 对的专用 Orchestrator。 |
vco.bastion.public.enable | 使 Orchestrator 成为 Bastion 对的公用 Orchestrator。 |
系统属性 | 描述 |
---|---|
edge.certificate.renewal.window | 该可选系统属性允许操作员定义一个或多个维护时段,将在此期间启用 Edge 证书续订。计划在这些时段以外的时间续订的证书将延迟,直到当前时间在某个启用的时段范围内。 启用系统属性: 要启用该系统属性,请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。在启用该系统属性时,该属性的第一部分的示例如下所示。 操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表(以逗号分隔)以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例,请参见下图。
注: 如果属性不存在,则默认值为 enabled "false"。
在定义时段属性时,请遵循以下准则:
如果缺少上述值,每个时段定义中的属性默认值如下所示:
停用系统属性: 默认情况下,将停用该系统属性,这意味着证书在过期后将自动续订。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中,“enabled”将设置为“false”。在停用该属性时,该属性的示例如下所示。 { "enabled": false, "windows": [ { 注意:该系统属性要求启用 PKI。 |
gateway.certificate.renewal.window | 该可选系统属性允许操作员定义一个或多个维护时段,将在此期间启用网关证书续订。计划在这些时段以外的时间续订的证书将延迟,直到当前时间在某个启用的时段范围内。 启用系统属性: 要启用该系统属性,请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。有关示例,请参见下图。 操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表(以逗号分隔)以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例,请参见下图。
注: 如果属性不存在,则默认值为 enabled "false"。
在定义时段属性时,请遵循以下准则:
如果缺少上述值,每个时段定义中的属性默认值如下所示:
停用系统属性: 默认情况下,将停用该系统属性,这意味着证书在过期后将自动续订。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中,“enabled”将设置为“false”。在停用该属性时,该属性的示例如下所示。 { "enabled": false, "windows": [ {
注: 该系统属性要求启用 PKI。
|
系统属性 | 描述 |
---|---|
session.options.enableServiceLicenses | 该系统属性允许操作员用户管理True。 | 下的服务配置,并且默认情况下设置为
系统属性 | 描述 |
---|---|
retention.highResFlows.days | 该系统属性允许操作员将高分辨率流量统计数据保留配置为 1 到 90 天。 |
retention.lowResFlows.months | 该系统属性允许操作员将低分辨率流量统计数据保留配置为 1 到 365 天。 |
session.options.maxFlowstatsRetentionDays | 该属性允许操作员查询超过两周的流量统计数据。 |
retentionWeeks.enterpriseEvents | 企业事件保留期(-1 将保留期设置为允许的最长时间) |
retentionWeeks.operatorEvents | 操作员事件保留期(-1 将保留期设置为允许的最长时间) |
retentionWeeks.proxyEvents | 代理事件保留期(-1 将保留期设置为允许的最长时间) |
retentionWeeks.firewallLogs | 防火墙日志保留期(-1 将保留期设置为允许的最长时间) |
retention.linkstats.days | 链路统计信息保留期(-1 将保留期设置为允许的最长时间) |
retention.linkquality.days | 链路质量事件保留期(-1 将保留期设置为允许的最长时间) |
retention.healthstats.days | Edge 运行状况统计信息保留期(-1 将保留期设置为允许的最长时间) |
retention.pathstats.days | 路径统计信息保留期(-1 将保留期设置为允许的最长时间) |
SD-WAN 数据 | 系统属性 | 默认值 | 最大值 | 在 4.0 版之前 |
---|---|---|---|---|
企业事件 | retentionWeeks.enterpriseEvents | 40 周 | 1 年 | 40 周 |
企业警示 | 不适用 | 40 周 | 1 年 | 无策略 |
操作员事件 | retentionWeeks.operatorEvents | 40 周 | 1 年 | 40 周 |
企业代理事件 | retentionWeeks.proxyEvents | 40 周 | 1 年 | 40 周 |
防火墙日志 | retentionWeeks.firewallLogs | 不支持 | 不支持 | 40 周 |
链路统计信息 | retention.linkstats.days | 40 周 | 1 年 | 40 周 |
链路 QoE | retention.linkquality.days | 40 周 | 1 年 | 40 周 |
路径统计信息 | retention.pathstats.days | 2 周 | 2 周 | 不适用 |
流量统计信息 | retention.lowResFlows.months retention.highResFlows.days |
1 年 - 1 小时汇总 2 周 - 5 分钟 |
1 年 - 1 小时汇总 3 个月 - 5 分钟 |
1 年汇总 |
Edge 运行状况统计信息(5.0 和更高版本) | retention.healthstats.days | 1 年 | 1 年 | 不适用 |
系统属性 | 描述 |
---|---|
edge.offline.limit.sec | 如果 Orchestrator 在指定的持续时间内没有检测到来自 Edge 的检测信号,Edge 状态将变为 OFFLINE 模式。 |
edge.link.unstable.limit.sec | 如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息,链路将变为 UNSTABLE 模式。 |
edge.link.disconnected.limit.sec | 如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息,链路将断开连接。 |
edge.deadbeat.limit.days | 如果 Edge 在指定的天数内处于非活动状态,则不会考虑为该 Edge 生成警示。 |
vco.operator.alert.edgeLinkEvent.enable | 为 Edge 链路事件全局激活或停用操作员警示。 |
vco.operator.alert.edgeLiveness.enable | 为 Edge 活动状态事件全局激活或停用操作员警示。 |
系统属性 | 描述 |
---|---|
edge.activation.key.encode.enable | 将 Edge 激活电子邮件发送到站点联系人时,对激活 URL 参数进行 Base64 编码以掩盖值。 |
edge.activation.trustedIssuerReset.enable | 重置 Edge 的受信任证书颁发者列表以仅包含 Orchestrator 证书颁发机构。来自 Edge 的所有 TLS 流量受新颁发者列表限制。 |
network.public.certificate.issuer | 在将 edge.activation.trustedIssuerReset.enable 设置为 True 时,将 network.public.certificate.issuer 值设置为与 Orchestrator 服务器证书颁发者的 PEM 编码相同。除了 Orchestrator 证书颁发机构以外,该操作还会将服务器证书颁发者添加到 Edge 的受信任颁发者列表中。 |
系统属性 | 描述 |
---|---|
edge.link.show.limit.sec | 允许为每个 Edge 设置 Edge 链路关闭限制 (Edge Link Down Limit) 值。 |
系统属性 | 描述 |
---|---|
session.options.enableLansidePortRules | 允许在 Edge 或配置文件的内部端口 (Inside Port) 和外部端口 (Outside Port) 参数。 | 下配置
系统属性 | 描述 |
---|---|
vco.monitor.enable | 全局激活或停用企业和操作员实体状态监控。如果将“值 (Value)”设置为 False,则禁止 SASE Orchestrator 更改实体状态和触发警示。 |
vco.enterprise.monitor.enable | 全局激活或停用企业实体状态监控。 |
vco.operator.monitor.enable | 全局激活或停用操作员实体状态监控。 |
系统属性 | 描述 |
---|---|
vco.notification.enable | 全局激活或停用向操作员和企业发送警示通知。 |
vco.enterprise.notification.enable | 全局激活或取消向企业发送警示通知。 |
vco.operator.notification.enable | 全局激活或停用向操作员发送警示通知。 |
系统属性 | 描述 |
---|---|
vco.enterprise.resetPassword.token.expirySeconds | 企业用户的密码重置链接过期之前的持续时间。 |
vco.enterprise.authentication.passwordPolicy | 为客户用户定义密码强度、历史记录和过期策略。 在“值 (Value)”字段中编辑 JSON 模板以定义以下内容: strength
由于新密码与旧密码仅有 3 个字符的差异,因此将拒绝使用“sitting”作为替换“kitten”的新密码。默认值 -1 表示未启用此功能。
expiry:
history:
|
enterprise.user.lockout.defaultAttempts | 企业用户可以尝试登录的次数。如果登录失败指定的次数,将锁定帐户。 |
enterprise.user.lockout.defaultDurationSeconds | 锁定企业用户帐户的持续时间。 |
enterprise.user.lockout.enabled | 为企业登录失败激活或停用锁定选项。 |
vco.operator.resetPassword.token.expirySeconds | 操作员用户的密码重置链接过期之前的持续时间。 |
vco.operator.authentication.passwordPolicy | 为操作员用户定义密码强度、历史记录和过期策略。 在“值 (Value)”字段中编辑 JSON 模板以定义以下内容: strength
由于新密码与旧密码仅有 3 个字符的差异,因此将拒绝使用“sitting”作为替换“kitten”的新密码。默认值 -1 表示未启用此功能。
expiry:
history:
|
operator.user.lockout.defaultAttempts | 操作员用户可以尝试登录的次数。如果登录失败指定的次数,将锁定帐户。 |
operator.user.lockout.defaultDurationSeconds | 锁定操作员用户帐户的持续时间。 |
operator.user.lockout.enabled | 为操作员登录失败激活或停用锁定选项。 |
系统属性 | 描述 |
---|---|
vco.api.rateLimit.enabled | 允许操作员超级用户在系统级别激活或停用速率限制功能。默认情况下,该值为 False。
注: 不会实际启用速率限制器,即,它不会拒绝超过配置的限制的 API 请求,除非停用了
vco.api.rateLimit.mode.logOnly 设置。
|
vco.api.rateLimit.mode.logOnly | 允许操作员超级用户在 LOG_ONLY 模式下使用速率限制。如果该值设置为 True 并且超过速率限制,该选项仅记录错误并触发相应的衡量指标,从而允许客户端发出请求而不进行速率限制。 如果该值设置为 False,将使用定义的策略限制请求 API 并返回 HTTP 429。 |
vco.api.rateLimit.rules.global | 允许在 JSON 数组中定义一组由速率限制器使用的全局适用策略。默认情况下,该值为空数组。 每种类型的用户(操作员、合作伙伴和客户)最多可以每 5 秒发出 500 个请求。根据限制速率的请求的行为模式,请求数可能会发生变化。 JSON 数组包含以下参数:
Types:类型对象表示应用速率限制的不同上下文。以下是可用的不同类型对象:
Policies:通过配置以下参数,将规则添加到策略以应用于与规则匹配的请求:
Enabled:可以在 APIRateLimiterTypeObject 中包含 enabled 键以激活或停用每个类型限制。默认情况下,enabled 值为 True,即使不包含该键。您需要包含 "enabled": false 键才能停用各个类型限制。 以下示例显示一个包含默认值的示例 JSON 文件: [ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] } ]
注: 建议不要更改配置参数的默认值。
|
vco.api.rateLimit.rules.enterprise.default | 包含应用于新创建的客户的默认企业特定策略集。客户特定的属性存储在 vco.api.rateLimit.rules.enterprise 企业属性中。 |
vco.api.rateLimit.rules.enterpriseProxy.default | 包含应用于新创建的合作伙伴的默认企业特定策略集。合作伙伴特定的属性存储在 vco.api.rateLimit.rules.enterpriseProxy 企业代理属性中。 |
有关速率限制的更多信息,请参阅速率限制 API 请求。
系统属性 | 描述 |
---|---|
network.public.address | 指定用于访问 SASE Orchestrator UI 的浏览器源地址/DNS 主机名。 |
network.portal.websocket.address | 允许设置备用 DNS 主机名/地址,以便在浏览器地址与 network.public.address 系统属性值不同时从浏览器中访问 SASE Orchestrator UI。 由于远程诊断现在使用 WebSocket 连接,要确保 Web 安全,将针对入站请求验证用于访问 Orchestrator UI 的浏览器源地址。在大多数情况下,该地址与 |
session.options.websocket.portal.idle.timeout | 允许设置浏览器 WebSocket 连接在空闲状态下保持的总时间(以秒为单位)。默认情况下,浏览器 WebSocket 连接在空闲状态下保持 300 秒。 |
系统属性 | 描述 |
---|---|
session.options.enableSseService | 为企业用户激活或停用安全服务边缘 (SSE) 功能。 |
系统属性 | 描述 |
---|---|
enterprise.capability.enableSegmentation | 为企业用户激活或停用分段功能。 |
enterprise.segments.system.maximum | 指定允许为任意企业用户启用的最大分段数。如果要在 SASE Orchestrator 上为企业用户启用 128 个分段,请确保将此系统属性的值更改为 128。 |
enterprise.segments.maximum | 指定允许为新企业用户或现有企业用户启用的最大分段数的默认值。对于所有企业用户,此默认值均为 16。
注: 此值必须小于或等于在系统属性“enterprise.segments.system.maximum”中定义的数值。
如果要为企业用户启用 128 个分段,则不建议您更改此系统属性的值。相反,您可以在客户配置 (Customer Configuration) 页面中启用客户功能 (Customer Capabilities),以配置所需数量的分段。相关说明,请参阅《VMware SD-WAN 操作员指南》(位于 VMware SD-WAN 文档中)的“配置客户功能”一节。 |
enterprise.subinterfaces.maximum | 指定可为企业用户配置的最大子接口数。默认值为 32。 |
enterprise.vlans.maximum | 指定可为企业用户配置的最大 VLAN 数。默认值为 32。 |
session.options.enableAsyncAPI | 将任一企业用户的分段规模增加到 128 个分段后,为避免 UI 超时,您可以使用此系统属性在 UI 上启用异步 API 支持。默认值为 true。 |
session.options.asyncPollingMilliSeconds | 在 UI 上指定异步 API 的轮询间隔。默认值为 5000 毫秒。 |
session.options.asyncPollingMaxCount | 指定从 UI 中对 getStatus API 发起的最大调用数。默认值为 10。 |
vco.enterprise.events.configuration.diff.enable | 激活或停用配置比较事件日志记录。当企业用户的分段数大于 4 时,将停用配置比较事件日志记录。您可以使用此系统属性启用配置比较事件日志记录。 |
系统属性 | 描述 |
---|---|
vco.enterprise.resetPassword.twoFactor.mode | 为所有企业用户定义用于密码重置身份验证第二级模式。目前,仅支持 SMS 模式。 |
vco.enterprise.resetPassword.twoFactor.required | 为企业用户密码重置激活或停用双因素身份验证。 |
vco.enterprise.selfResetPassword.enabled | 为企业用户激活或停用自助密码重置。 |
vco.enterprise.selfResetPassword.token.expirySeconds | 企业用户的自助密码重置链接过期之前的持续时间。 |
vco.operator.resetPassword.twoFactor.required | 为操作员用户密码重置激活或停用双因素身份验证。 |
vco.operator.selfResetPassword.enabled | 为操作员用户激活或停用自助密码重置。 |
vco.operator.selfResetPassword.token.expirySeconds | 操作员用户的自助密码重置链接过期之前的持续时间。 |
系统属性 | 描述 |
---|---|
log.syslog.backend | 后端服务 syslog 集成配置。 |
log.syslog.portal | 门户服务 syslog 集成配置。 |
log.syslog.upload | 上载服务 syslog 集成配置。 |
log.syslog.lastFetchedCRL.backend | 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。 |
log.syslog.lastFetchedCRL.portal | 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。 |
log.syslog.lastFetchedCRL.upload | 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。 |
系统属性 | 描述 |
---|---|
session.options.enableTACACS | 为企业用户激活或停用 TACACS 服务。 |
系统属性 | 描述 |
---|---|
vco.enterprise.authentication.twoFactor.enable | 为企业用户激活或停用双因素身份验证。 |
vco.enterprise.authentication.twoFactor.mode | 为企业用户定义第二级身份验证模式。目前,仅支持将 SMS 作为第二级身份验证模式。 |
vco.enterprise.authentication.twoFactor.require | 将双因素身份验证定义为企业用户的强制身份验证。 |
vco.operator.authentication.twoFactor.enable | 为操作员用户激活或停用双因素身份验证。 |
vco.operator.authentication.twoFactor.mode | 为操作员用户定义第二级身份验证模式。目前,仅支持将 SMS 作为第二级身份验证模式。 |
vco.operator.authentication.twoFactor.require | 将双因素身份验证定义为操作员用户的强制身份验证。 |
系统属性 | 描述 |
---|---|
session.options.enableNsdPkiIPv6Config | 激活证书 (Certificate) 身份验证模式和 IPv6 本地标识类型。 |
系统属性 | 描述 |
---|---|
edge.vnf.extraImageInfos | 定义 VNF 映像的属性。
您可以在
值 (Value) 字段中为 VNF 映像输入以下信息(采用 JSON 格式):
[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" } ]
Check Point 防火墙映像的 JSON 文件示例:
[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" } ]
Fortinet 防火墙映像的 JSON 文件示例:
[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" } ] |
edge.vnf.metric.record.limit | 定义要在数据库中存储的记录数。 |
enterprise.capability.edgeVnfs.enable | 允许在支持的 Edge 型号上部署 VNF。 |
enterprise.capability.edgeVnfs.securityVnf.checkPoint | 激活 Check Point 网络防火墙 VNF。 |
enterprise.capability.edgeVnfs.securityVnf.fortinet | 激活 Fortinet 网络防火墙 VNF。 |
enterprise.capability.edgeVnfs.securityVnf.paloAlto | 激活 Palo Alto Networks 防火墙 VNF。 |
session.options.enableVnf | 激活 VNF 功能。 |
vco.operator.alert.edgeVnfEvent.enable | 为 Edge VNF 事件全局激活或停用操作员警示。 |
vco.operator.alert.edgeVnfInsertionEvent.enable | 为 Edge VNF 插入事件全局激活或停用操作员警示。 |
edge.vnf.extraImageInfos | 允许选择 Check Point VNF 映像。 |
系统属性 | 描述 |
---|---|
vpn.disconnect.wait.sec | 系统在断开连接 VPN 隧道之前等待的时间间隔。 |
vpn.reconnect.wait.sec | 系统在重新连接 VPN 隧道之前等待的时间间隔。 |
系统属性 | 描述 |
---|---|
login.warning.banner.message | 通过使用该可选系统属性,操作员可以配置和显示有关使用 SASE Orchestrator 的安全管理员指定的建议通知和同意警告消息。在用户登录之前,将在 SASE Orchestrator 中显示该警告消息。 有关如何配置该系统属性的说明,请参阅为 SD-WAN Orchestrator 配置建议通知和同意警告消息。 |
系统属性 | 描述 |
---|---|
session.options.enableZscalerProfileAutomation | 启用以在配置文件级别配置 Zscaler 设置。 |