Z pozice operátora můžete přidat nebo upravit hodnoty systémových vlastností.

V následujících tabulkách jsou popsány některé ze systémových vlastností. Jako operátor můžete nastavit hodnoty těchto vlastností.

Tabulka 1. Výstražné e-maily
Systémová vlastnost Popis
vco.alert.mail.to

Po vyvolání výstrahy jsou okamžitě odeslána oznámení na e-mailové adresy v seznamu uvedeném v poli s hodnotou této systémové vlastnosti. Podle potřeby můžete zadat více ID e-mailu oddělených čárkami.

Pokud vlastnost žádnou hodnotu neobsahuje, oznámení se neodešle.

Oznámení slouží k upozornění pracovníků podpory / operátorů VMware na nastalé problémy ještě před oznámením výstrahy zákazníkovi.

vco.alert.mail.cc Pokud se některému ze zákazníků odešle e-mailová zpráva, její kopie bude odeslána na e-mailové adresy uvedené v poli s hodnotou této systémové vlastnosti. Podle potřeby můžete zadat více ID e-mailu oddělených čárkami.
mail.* K řízení výstražných e-mailů se používá několik systémových vlastností. Podle potřeby můžete definovat parametry e-mailu, jako jsou vlastnosti SMTP, uživatelské jméno, heslo apod.
Tabulka 2. Výstrahy (Alerts)
Systémová vlastnost Popis
vco.alert.enable Globálně aktivuje nebo deaktivuje generování výstrah pro operátory i podnikové zákazníky.
vco.enterprise.alert.enable Globálně aktivuje nebo deaktivuje generování výstrah pro podnikové zákazníky.
vco.operator.alert.enable Globálně aktivuje nebo deaktivuje generování výstrah pro operátory.
Tabulka 3. Konfigurace Orchestratoru pro Bastion
Systémová vlastnost Popis
session.options.enableBastionOrchestrator Aktivuje vlastnost systému Bastion Orchestrator.

Další informace naleznete v příručce konfigurace Bastion Orchestrator dostupné na stránce https://docs.vmware.com/cz/VMware-SD-WAN/index.html.

vco.bastion.private.enable Umožňuje systému Orchestrator být soukromým systémem Orchestrator pro dvojici Bastion.
vco.vco.vhodion.public.enable Umožňuje systému Orchestrator být veřejným systémem Orchestrator pro dvojici Bastion.
Tabulka 4. Certifikační autorita
Systémová vlastnost Popis
edge.certificate.renewal.window Tato volitelná vlastnost systému umožňuje operátorovi definovat jednu nebo více dob k provádění údržby, během nichž je povoleno obnovení certifikátu Edge. Certifikáty naplánované na obnovení mimo tyto doby budou odloženy do doby, dokud nebude aktuální čas spadat do jedné z povolených dob.

Povolení vlastnosti systému:

Chcete-li tuto vlastnost systému aktivovat, zadejte hodnotu „pravda“ (true) pro možnost „aktivováno“ (enabled) v první části textové oblasti Hodnota (Value) v dialogovém okně Změnit vlastnost systému (Modify System Property). Příklad první části této vlastnosti systému, je-li aktivována, je uveden níže.

Operátoři mohou definovat více dob, a tím určit dny a hodiny, během nichž jsou povolena obnovení Edge. Každá doba může být definována pomocí určitého dne nebo seznamu dnů (oddělené čárkami) a času zahájení a ukončení. Čas zahájení a ukončení může být zadán podle místního časového pásma Edge nebo času UTC. Příklad naleznete na obrázku níže.

Poznámka: Pokud nejsou přítomny atributy, výchozí nastavení je aktivováno („nepravda“ (false)).
Při definování atributů doby dodržujte následující pravidla:
  • Použijte časová pásma IANA, ne PDT ani PST (např. America/Los_Angeles). Více informací naleznete v části https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Pro dny použijte čas UTC (např. SAT, SUN).
    • Jsou oddělené čárkami.
    • Dny zadané třemi písmeny v angličtině.
    • Nerozlišují se malá a velká písmena.
  • Pro časy zahájení (např. 01:30) a časy ukončení (např. 05:30) použijte pouze 24hodinový vojenský formát (HH:MM).

Pokud výše uvedené hodnoty chybí, výchozí hodnoty atributů v každé definici doby jsou následující:

  • Pokud chybí položka aktivováno, výchozí hodnota = false.
  • Pokud chybí časové pásmo, výchozí hodnota = local.
  • Pokud chybí jedna z hodnot „dny“ (days) nebo časy zahájení nebo ukončení, platí tyto výchozí hodnoty:
    • Pokud chybí hodnota „dny“ (days), pro každý den v týdnu (po (mon), út (tue), st (wed), čt (thu), pá (fri), so (sat), ne (sun)) se použije začátek/konec.
    • Pokud chybí časy zahájení a ukončení, pak jakýkoli čas ve specifikovaném dni bude odpovídat (zahájení = 00:00 a ukončení = 23:59).
    • POZNÁMKA: Musí být přítomna hodnota „dny“ (days) nebo časy zahájení a ukončení. Pokud však chybějí, použijí se výše uvedené výchozí hodnoty.

Deaktivovat vlastnost systému:

Tato vlastnost systému je ve výchozím nastavení deaktivována, což znamená, že se certifikát automaticky obnoví po vypršení jeho platnosti. Možnost „Aktivováno“ (Enabled) bude v první části textové oblasti Hodnota (Value) v dialogovém okně Změnit vlastnost systému (Modify System Property) nastavena na hodnotu „nepravda“ (false). Příklad této vlastnosti systému, je-li aktivována, je uveden níže.

{

"enabled": false,

"windows": [

{

POZNÁMKA: Tato vlastnost systému vyžaduje, aby byla povolena infrastruktura PKI.

gateway.certificate.renewal.window Tato volitelná vlastnost systému umožňuje operátorovi definovat jednu nebo více dob k provádění údržby, během nichž je povoleno obnovení certifikátu brány. Certifikáty naplánované na obnovení mimo tyto doby budou odloženy do doby, dokud nebude aktuální čas spadat do jedné z povolených dob.

Povolení vlastnosti systému:

Chcete-li tuto vlastnost systému aktivovat, zadejte hodnotu „pravda“ (true) pro možnost „aktivováno“ (enabled) v první části textové oblasti Hodnota (Value) v dialogovém okně Změnit vlastnost systému (Modify System Property). Příklad naleznete na obrázku níže.

Operátoři mohou definovat více dob, a tím určit dny a hodiny, během nichž jsou povolena obnovení edge. Každá doba může být definována pomocí určitého dne nebo seznamu dnů (oddělené čárkami) a času zahájení a ukončení. Čas zahájení a ukončení může být zadán podle místního časového pásma edge nebo času UTC. Příklad naleznete na obrázku níže.

Poznámka: Pokud nejsou přítomny atributy, výchozí nastavení je aktivováno („nepravda“ (false)).
Při definování atributů doby dodržujte následující pravidla:
  • Použijte časová pásma IANA, ne PDT ani PST (např. America/Los_Angeles). Více informací naleznete v části https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Pro dny použijte čas UTC (např. SAT, SUN).
    • Jsou oddělené čárkami.
    • Dny zadané třemi písmeny v angličtině.
    • Nerozlišují se malá a velká písmena.
  • Pro časy zahájení (např. 01:30) a časy ukončení (např. 05:30) použijte pouze 24hodinový vojenský formát (HH:MM).

Pokud výše uvedené hodnoty chybí, výchozí hodnoty atributů v každé definici doby jsou následující:

  • Pokud chybí položka aktivováno, výchozí hodnota = false.
  • Pokud chybí časové pásmo, výchozí hodnota = local.
  • Pokud chybí jedna z hodnot „dny“ (days) nebo časy zahájení nebo ukončení, platí tyto výchozí hodnoty:
    • Pokud chybí hodnota „dny“ (days), pro každý den v týdnu (po (mon), út (tue), st (wed), čt (thu), pá (fri), so (sat), ne (sun)) se použije začátek/konec.
    • Pokud chybí časy zahájení a ukončení, pak jakýkoli čas ve specifikovaném dni bude odpovídat (zahájení = 00:00 a ukončení = 23:59).
    • POZNÁMKA: Musí být přítomna hodnota „dny“ (days) nebo zahájení a ukončení. Pokud však chybějí, použijí se výše uvedené výchozí hodnoty.

Deaktivovat vlastnost systému:

Tato vlastnost systému je ve výchozím nastavení deaktivována, což znamená, že se certifikát automaticky obnoví po vypršení jeho platnosti. Možnost „Aktivováno“ (Enabled) bude v první části textové oblasti Hodnota (Value) v dialogovém okně Změnit vlastnost systému (Modify System Property) nastavena na hodnotu „nepravda“ (false). Příklad této vlastnosti systému, je-li aktivována, je uveden níže.

{

"enabled": false,

"windows": [

{

Poznámka: Tato vlastnost systému vyžaduje, aby byla povolena infrastruktura PKI.
Tabulka 5. Zachovávání dat
Systémová vlastnost Popis
retention.highResFlows.days Tato systémová vlastnost umožňuje operátorům konfigurovat zachovávání dat statistik toku s vysokým rozlišením v rozmezí 1 až 90 dní.
retention.lowResFlows.months Tato systémová vlastnost umožňuje operátorům konfigurovat zachovávání dat statistik toku s nízkým rozlišením v rozmezí 1 až 365 dní.
session.options.maxFlowstatsRetentionDays Tato vlastnost umožňuje operátorům vytvořit dotaz na více než dva týdny dat statistiky toku.
retentionWeeks.enterpriseEvents Doba uchování podnikových událostí (-1 nastaví uchování na maximální povolenou dobu)
retentionWeeks.operatorEvents Doba uchování událostí operátora (-1 nastaví uchování na maximální povolenou dobu)
retentionWeeks.proxyEvents Doba uchování událostí proxy (-1 nastaví uchování na maximální povolenou dobu)
retentionWeeks.firewallLogs Doba uchování protokolů brány firewall (-1 nastaví uchování na maximální povolenou dobu)
retention.linkstats.days Doba uchování statistik linky (-1 nastavuje uchování na maximální povolenou dobu)
retention.linkality.days Doba uchování událostí kvality linku (-1 nastaví uchování na maximální povolenou dobu).
retention.healthstats.days Doba uchování statistik stavu Edge (-1 nastaví uchování na maximální povolenou dobu)
retention.pathstats.days Doba uchování statistik cesty (-1 nastavuje uchování na maximální povolenou dobu).
Tabulka 6. Zachovávání dat SD-WAN
Data SD-WAN Systémová vlastnost VÝCHOZÍ Maximální Před verzí 4.0
Podnikové události retentionWeeks.enterpriseEvents 40 týdnů 1 rok 40 týdnů
Podnikové výstrahy 40 týdnů 1 rok Žádné zásady
Události operátora retentionWeeks.operatorEvents 40 týdnů 1 rok 40 týdnů
Události podnikové proxy retentionWeeks.proxyEvents 40 týdnů 1 rok 40 týdnů
Protokoly brány firewall retentionWeeks.firewallLogs Není podporováno Není podporováno 40 týdnů
Stav linek retention.linkstats.days 40 týdnů 1 rok 40 týdnů
QoE linky retention.linkality.days 40 týdnů 1 rok 40 týdnů
Stav cesty retention.pathstats.days 2 týdny 2 týdny
Statistika toku retention.lowResFlows.months

retention.highResFlows.days

1 rok – souhrn za 1 hodinu

2 týdny – 5 minut

1 rok – souhrn za 1 hodinu

3 měsíce – 5 minut

1 rok se shrnutím
Statistika stavu Edge (vydání 5.0 a novější) retention.healthstats.days 1 rok 1 rok
Tabulka 7. Edge
Systémová vlastnost Popis
edge.offline.limit.sec Pokud systém Orchestrator po zadanou dobu neobdrží prezenční signál ze zařízení Edge, režim zařízení Edge se změní na „off-line“.
edge.link.unstable.limit.sec Pokud systém Orchestrator po zadanou dobu neobdrží statistiky linky, režim linky se změní na „nestabilní“.
edge.link.disconnected.limit.sec Pokud systém Orchestrator po zadanou dobu neobdrží statistiky linky, linka bude odpojena.
edge.deadbeat.limit.days Pokud nebude zařízení Edge po uvedený počet dnů aktivní, dané zařízení Edge bude z generování výstrah vyloučeno.
vco.operator.alert.edgeLinkEvent.enable Globálně aktivuje nebo deaktivuje výstrahy operátora na události Edge Link.
vco.operator.alert.edgeLiveness.enable Globálně aktivuje nebo deaktivuje výstrahy operátora na události Edge Liveness.
Tabulka 8. Aktivace Edge
Systémová vlastnost Popis
edge.activation.key.encode.enable Kódování Base64 zakóduje parametry aktivační adresy URL tak, aby zakrylo hodnoty, když je e-mail pro aktivaci Edge odeslán na kontaktní adresu místa.
edge.activation.trustedIssuerReset.enable Resetuje seznam vystavitelů důvěryhodných certifikátů Edge, aby obsahoval pouze certifikační autoritu Orchestrator. Veškerý přenos TLS z Edge je v novém seznamu vystavitelů zakázán.
network.public.certificate.issuer Nastavte hodnotu parametru network.public.certificate.issuer tak, aby byla rovna PEM kódování vydavatele certifikátu serveru Orchestrator, když je parametr edge.activation.trustedIssuerReset.enable nastaven na hodnotu True. Tím se přidá vystavitel certifikátu serveru k důvěryhodnému vydavateli Edge, navíc k certifikační autoritě Orchestrator.
Tabulka 9. Monitorování
Systémová vlastnost Popis
vco.monitor.enable Globálně aktivuje nebo deaktivuje monitorování stavů entit podniku a operátora. Nastavením hodnoty Nepravda (False) zabráníte systému SASE Orchestrator měnit stavy entit a spouštět odesílání výstrah.
vco.enterprise.monitor.enable Globálně aktivuje nebo deaktivuje monitorování stavů entit podniku.
vco.operator.monitor.enable Globálně aktivuje nebo deaktivuje monitorování stavů entit operátora.
Tabulka 10. Oznámení
Systémová vlastnost Popis
vco.notification.enable Globálně aktivuje nebo deaktivuje doručování výstražných oznámení podnikům i operátorům.
vco.enterprise.notification.enable Globálně aktivuje nebo deaktivuje doručování výstražných oznámení podnikům.
vco.operator.notification.enable Globálně aktivuje nebo deaktivuje doručování výstražných oznámení operátorům.
Tabulka 11. Resetování hesla a uzamčení
Systémová vlastnost Popis
vco.enterprise.resetPassword.token.expirySeconds Doba, po jejímž uplynutí vyprší platnost odkazu pro resetování hesla pro podnikové uživatele.
vco.enterprise.authentication.passwordPolicy

Definuje sílu hesla, historii a zásady vypršení pro uživatele zákazníků.

Úpravou šablony JSON v poli s hodnotami můžete definovat následující:

strength

  • minlength: Minimální délka znaků hesla. Výchozí minimální délka hesla je 8 znaků.
  • maxlength: Maximální délka znaků hesla. Výchozí maximální délka hesla je 32 znaků.
  • requireNumber: Heslo musí obsahovat nejméně jeden numerický znak. Numerický požadavek je ve výchozím nastavení aktivován.
  • requireLower: Heslo musí obsahovat alespoň jedno malé písmeno. Požadavek na malá písmena je ve výchozím nastavení aktivován.
  • requireUpper: Heslo musí obsahovat alespoň jedno velké písmeno. Ve výchozím nastavení není aktivován požadavek na velké písmeno.
  • requireSpecial: Heslo musí obsahovat nejméně jeden speciální znak (například _@!). Požadavek na speciální znaky není ve výchozím nastavení aktivován.
  • excludeTop: Heslo nesmí odpovídat seznamu nejpoužívanějších hesel. Výchozí hodnota je 1 000, představuje 1 000 nejpoužívanějších hesel a je možné nakonfigurovat maximálně 10 000 nejčastěji používaných hesel.
  • maxRepeatingCharacters: Heslo nesmí obsahovat konfigurovatelný počet opakujících se znaků. Pokud je například hodnota maxRepeatingCharacters nastavena na hodnotu „2“, Orchestrator zamítne jakékoli heslo se 3 nebo více opakujícími se znaky, jako je „Passwordaaa“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • maxSequenceCharacters: Heslo nesmí obsahovat konfigurovatelný počet sekvenčních znaků. Pokud je například funkce maxSequenceCharacters nastavena na hodnotu „3“, Orchestrator zamítne jakékoli heslo, ve kterým se po sobě nachází 4 nebo více znaků, jako je například „Password1234“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • disallowUsernameCharacters: Heslo se nesmí shodovat s konfigurovatelnou částí ID uživatele. Pokud je například možnost disallowUsernameCharacters nastavena na hodnotu 5, uživatel s uživatelským jménem [email protected] se pokusí nakonfigurovat nové heslo, které zahrnuje „usern“ nebo „serna“ nebo jakýkoli pětimístný řetězec, který odpovídá části uživatelského jména uživatele, může toto nové heslo Orchestrator zamítnout. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • variationValidationCharacters: Nové heslo se musí lišit od starého hesla o konfigurovatelný počet znaků. Orchestrator používá vzdálenost Levenshtein mezi dvěma slovy k určení odchylek mezi novým a starým heslem. Vzdálenost Levenshtein je minimální počet úprav jednoho znaku (vkládání, odstraňování nebo nahrazení) požadovaných pro změnu jednoho slova na jiné. 
  • Pokud je variationValidationCharacters nastaveno na 4, musí být vzdálenost Levenshtein mezi novým a starým heslem 4 nebo vyšší. Jinými slovy, nové heslo musí mít 4 nebo více odchylek ze starého hesla. Například, pokud bylo staré používané heslo „kitten“ a nové heslo je „sitting“, vzdálenost Levenshtein pro tyto je 3, protože změna kitten na sitting vyžaduje pouze tři úpravy:
    • kitten → sitten (nahrazení „s“ za „k“)
    • sitten → sittin (nahrazení „i“ za „e“)
    • sittin → sitting (vložení „g“ na konec).

Vzhledem k tomu, že se nové heslo liší pouze podle 3 znaků od starého, „sitting“ bude zamítnuto jako nové heslo k nahrazení „kitten“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.

vypršení platnosti (expiry):
  • povolit (enable): Nastavením hodnoty pravda (true) povolíte automatické vypršení platnosti hesel pro uživatele typu zákazník.
  • dny (days): Zadejte počet dní, po které může být heslo zákazníka použito před vynuceným vypršením platnosti.
historie (history):
  • povolit (enable): Nastavením hodnoty pravda (true) povolíte ukládání předchozích hesel uživatelů typu zákazník.
  • počet (count): zadejte počet předchozích hesel, která mají být v historii uložena. Když se uživatel zákazníka pokusí změnit heslo, systém mu neumožní zadat heslo, které je již uloženo v historii.
enterprise.user.lockout.defaultAttempts Kolikrát se může podnikový uživatel pokusit o přihlášení. Pokud nebude přihlášení úspěšné ani po zadaném počtu, účet bude uzamčen.
enterprise.user.lockout.defaultDurationSeconds Doba, po kterou bude účet podnikového uživatele uzamčen.
enterprise.user.lockout.enabled Aktivuje nebo deaktivuje možnost uzamčení pro selhání podnikového přihlášení.
vco.operator.resetPassword.token.expirySeconds Doba, po jejímž uplynutí vyprší platnost odkazu pro resetování hesla uživatelů typu operátor.
vco.operator.authentication.passwordPolicy

Definuje sílu hesla, historii a zásady vypršení pro uživatele typu operátor.

Úpravou šablony JSON v poli s hodnotami můžete definovat následující:

strength

  • minlength: Minimální délka znaků hesla. Výchozí minimální délka hesla je 8 znaků.
  • maxlength: Maximální délka znaků hesla. Výchozí maximální délka hesla je 32 znaků.
  • requireNumber: Heslo musí obsahovat nejméně jeden numerický znak. Numerický požadavek je ve výchozím nastavení aktivován.
  • requireLower: Heslo musí obsahovat alespoň jedno malé písmeno. Požadavek na malá písmena je ve výchozím nastavení aktivován.
  • requireUpper: Heslo musí obsahovat alespoň jedno velké písmeno. Ve výchozím nastavení není aktivován požadavek na velké písmeno.
  • requireSpecial: Heslo musí obsahovat nejméně jeden speciální znak (například _@!). Požadavek na speciální znaky není ve výchozím nastavení aktivován.
  • excludeTop: Heslo nesmí odpovídat seznamu nejpoužívanějších hesel. Výchozí hodnota je 1 000, představuje 1 000 nejpoužívanějších hesel a je možné nakonfigurovat maximálně 10 000 nejčastěji používaných hesel.
  • maxRepeatingCharacters: Heslo nesmí obsahovat konfigurovatelný počet opakujících se znaků. Pokud je například hodnota maxRepeatingCharacters nastavena na hodnotu „2“, Orchestrator zamítne jakékoli heslo se 3 nebo více opakujícími se znaky, jako je „Passwordaaa“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • maxSequenceCharacters: Heslo nesmí obsahovat konfigurovatelný počet sekvenčních znaků. Pokud je například funkce maxSequenceCharacters nastavena na hodnotu „3“, Orchestrator zamítne jakékoli heslo, ve kterým se po sobě nachází 4 nebo více znaků, jako je například „Password1234“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • disallowUsernameCharacters: Heslo se nesmí shodovat s konfigurovatelnou částí ID uživatele. Pokud je například možnost disallowUsernameCharacters nastavena na hodnotu 5, uživatel s uživatelským jménem [email protected] se pokusí nakonfigurovat nové heslo, které zahrnuje „usern“ nebo „serna“ nebo jakýkoli pětimístný řetězec, který odpovídá části uživatelského jména uživatele, může toto nové heslo Orchestrator zamítnout. Výchozí hodnota -1 znamená, že tato funkce není aktivována.
  • variationValidationCharacters: Nové heslo se musí lišit od starého hesla o konfigurovatelný počet znaků. Orchestrator používá vzdálenost Levenshtein mezi dvěma slovy k určení odchylek mezi novým a starým heslem. Vzdálenost Levenshtein je minimální počet úprav jednoho znaku (vkládání, odstraňování nebo nahrazení) požadovaných pro změnu jednoho slova na jiné. 
  • Pokud je variationValidationCharacters nastaveno na 4, musí být vzdálenost Levenshtein mezi novým a starým heslem 4 nebo vyšší. Jinými slovy, nové heslo musí mít 4 nebo více odchylek ze starého hesla. Například, pokud bylo staré používané heslo „kitten“ a nové heslo je „sitting“, vzdálenost Levenshtein pro tyto je 3, protože změna kitten na sitting vyžaduje pouze tři úpravy:
    • kitten → sitten (nahrazení „s“ za „k“)
    • sitten → sittin (nahrazení „i“ za „e“)
    • sittin → sitting (vložení „g“ na konec).

Vzhledem k tomu, že se nové heslo liší pouze podle 3 znaků od starého, „sitting“ bude zamítnuto jako nové heslo k nahrazení „kitten“. Výchozí hodnota -1 znamená, že tato funkce není aktivována.

vypršení platnosti (expiry):
  • povolit (enable): nastavením pravdivé hodnoty true povolíte automatické vypršení platnosti hesel pro uživatele typu operátor.
  • dny (days): Zadejte počet dní, po které může být heslo operátora použito před vynuceným vypršením platnosti.
historie (history):
  • povolit (enable): nastavením pravdivé hodnoty true povolíte ukládání předchozích hesel uživatelů typu operátor.
  • počet (count): zadejte počet předchozích hesel, která mají být v historii uložena. Když se operátor pokusí změnit heslo, systém mu neumožní zadat heslo, které je již uloženo v historii.
operator.user.lockout.defaultAttempts Kolikrát se může uživatel typu operátor pokusit o přihlášení. Pokud nebude přihlášení úspěšné ani po zadaném počtu, účet bude uzamčen.
operator.user.lockout.defaultDurationSeconds Doba, po kterou bude účet uživatele typu operátor uzamčen.
operator.user.lockout.enabled Aktivuje nebo deaktivuje možnost uzamčení pro selhání přihlášení operátora.
Tabulka 12. Rozhraní API pro rate limit
Systémová vlastnost Popis
vco.api.rateLimit.enabled Umožňuje primárním uživatelům typu operátor aktivovat nebo deaktivovat rate limit na úrovni systému. Ve výchozím nastavení je použita hodnota nepravda (false).
Poznámka: Omezovač četnosti ve skutečnosti není aktivován, to znamená, že nezamítne požadavky rozhraní API, které překračují konfigurované limity, pokud není deaktivováno nastavení vco.api.rateLimit.mode.logOnly.
vco.api.rateLimit.mode.logOnly

Umožňuje primárnímu uživateli typu operátor používat rate limit v režimu LOG_ONLY. Pokud je nastavena hodnota „pravda“ (true) a rate limit je překročen, tato možnost zaprotokoluje pouze chybu a aktivuje příslušnou metriku, což klientům umožní vytvořit požadavky bez omezení četnosti.

Pokud je nastavena hodnota nepravda (false), rozhraní API požadavku je omezeno podle definovaných zásad a je vrácen stav HTTP 429.

vco.api.rateLimit.rules.global

Umožňuje definovat sadu globálně použitelných zásad používaných omezovačem četnosti v poli JSON. Ve výchozím nastavení se používá hodnota prázdného pole.

Každý typ uživatele (operátor, partner a zákazník) může každých 5 sekund vytvořit až 500 požadavků. Počet požadavků se může změnit na základě vzoru chování požadavků s omezenou četností.

Pole JSON se skládá z následujících parametrů:

Typy (Types): Objekty typu představují různé kontexty, ve kterých jsou rate limity uplatněny. Následují různé dostupné typy objektů:
  • SYSTEM: Určuje globální limit, který je sdílen všemi uživateli.
  • OPERATOR_USER: Limit, který může být obecně nastaven pro všechny uživatele typu operátor.
  • ENTERPRISE_USER: Limit, který může být obecně nastaven pro všechny podnikové uživatele.
  • MSP_USER: Limit, který může být obecně nastaven pro všechny uživatele MSP.
  • ENTERPRISE: Limit, který může být sdílen mezi všemi uživateli podniku a platí pro všechny podniky v síti.
  • PROXY: Limit, který může být sdílen mezi všemi uživateli proxy serveru a platí pro všechny proxy servery.
Zásady (Policies): Přidáním pravidel do zásad můžete použít požadavky, které odpovídají danému pravidlu. K tomu stačí nakonfigurovat následující parametry:
  • Shoda (Match): Zadejte typ požadavků, které mají být nalezeny jako odpovídající:
    • Vše (All): Použije rate limit na všechny požadavky shodující se s jedním z typů objektů.
    • METHOD: Použije rate limit na všechny požadavky shodující se se specifikovaným názvem metody.
    • METHOD_PREFIX: Použije rate limit na všechny požadavky shodující se specifikovanou skupinou metod.
  • Pravidla (Rules): Zadejte hodnoty pro následující parametry:
    • maxConcurrent: Počet úloh, které mohou být provedeny ve stejné době.
    • zásobník (reservoir): Počet úloh, které mohou být provedeny předtím, než omezovač zastaví provádění úloh.
    • reservoirRefreshAmount: Hodnota pro nastavení zásobníku, když se používá hodnota reservoirRefreshInterval.
    • reservoirRefreshInterval: Za každou milisekundu reservoirRefreshInterval se hodnota zásobníku (reservoir) automaticky aktualizuje na hodnotu reservoirRefreshAmount. Hodnota reservoirRefreshInterval musí být násobkem 250 (5000 pro seskupení).

Aktivováno (Enabled): Každý typ limitu může být aktivován nebo deaktivován tak, že přidáte do parametru APIRateLimiterTypeObject klíč Aktivováno (Enabled). Ve výchozím nastavení se pro aktivováno (enabled) použije hodnota „pravda“ (true), a to i v případě, že klíč nebyl přidán. Chcete-li deaktivovat jednotlivé limity typů, je nutno přidat klíč "enabled": false.

Následující příklad ukazuje soubor JSON s výchozími hodnotami:

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
Poznámka: Doporučujeme neměnit výchozí hodnoty konfiguračních parametrů.
vco.api.rateLimit.rules.enterprise.default Zahrnuje výchozí sadu pravidel řízení použitou na nově vytvořené zákazníky. Vlastnosti zákazníka jsou uloženy ve vlastnosti podniku vco.api.rateLimit.rules.enterprise.
vco.api.rateLimit.rules.enterpriseProxy.default Zahrnuje výchozí sadu pravidel řízení použitou na nově vytvořené partnery. Vlastnosti partnera jsou uloženy ve vlastnosti proxy serveru podniku vco.api.rateLimit.rules.enterpriseProxy.

Další informace o omezování četnosti naleznete v tématu Omezení četnosti pro požadavky rozhraní API.

Tabulka 13. Vzdálená diagnostika
Systémová vlastnost Popis
network.public.address Specifikuje adresu původu prohlížeče / název hostitele DNS, který se používá pro přístup k uživatelskému rozhraní nástroje SASE Orchestrator.
network.portal.websocket.address Umožňuje nastavit alternativní název hostitele DNS / adresu pro přístup k uživatelskému rozhraní nástroje SASE Orchestrator z prohlížeče, pokud adresa prohlížeče není stejná jako hodnota systémové vlastnosti network.public.address.

Protože vzdálená diagnostika nyní používá připojení WebSocket, pro zajištění zabezpečení webu je počáteční adresa prohlížeče, která se používá pro přístup k uživatelskému rozhraní nástroje Orchestrator, ověřena na příchozí požadavky. Ve většině případů je tato adresa stejná jako systémová vlastnost network.public.address. Ve výjimečných případech lze přistupovat k uživatelskému rozhraní nástroje Orchestrator za pomoci jiného názvu hostitele nebo adresy DNS, která se liší od hodnoty nastavené v systémové vlastnosti network.public.address. V takových případech můžete tuto systémovou vlastnost nastavit na alternativní název hostitele / adresu DNS. Ve výchozím nastavení není tato hodnota nastavena.

session.options.websocket.portal.idle.timeout Umožňuje nastavit celkovou dobu (v sekundách), po kterou je připojení WebSocket prohlížeče aktivní v klidovém stavu. Ve výchozím nastavení je připojení WebSocket prohlížeče aktivní po dobu 300 sekund v klidovém stavu.
Tabulka 14. Segmentace
Systémová vlastnost Popis
enterprise.capability.enableSegmentation Aktivuje nebo deaktivuje schopnost segmentace pro podnikové uživatele.
enterprise.segments.system.maximum Určuje maximální počet segmentů povolených pro libovolného podnikového uživatele. Ujistěte se, že změníte hodnotu této systémové vlastnosti na 128, pokud chcete v systému SASE Orchestrator aktivovat 128 segmentů pro podnikového uživatele.
enterprise.segments.maximum Určuje výchozí hodnotu pro maximální počet segmentů povolených pro nového nebo existujícího podnikového uživatele. Výchozí hodnota pro libovolného podnikového uživatele je 16.
Poznámka: Tato hodnota musí být menší nebo rovna počtu definovaném ve vlastnosti systému enterprise.segments.system.maximum.
Nedoporučujeme měnit hodnotu této vlastnosti systému, pokud chcete aktivovat 128 segmentů pro podnikového uživatele. Místo toho můžete aktivovat Možnosti zákazníka (Customer Capabilities) na stránce Konfigurace zákazníka (Customer Configuration) pro konfiguraci požadovaného počtu segmentů. Pokyny naleznete v části „Konfigurace možností zákazníka“ v Průvodci operátora sítí VMware SD-WAN dostupném na stránce VMware SD-WAN Dokumentace.
enterprise.subinterfaces.maximum Určuje maximální počet podřízených rozhraní, které lze nakonfigurovat pro podnikového uživatele. Výchozí hodnota je 32.
enterprise.vlans.maximum Určuje maximální počet sítí VLAN, které lze nakonfigurovat pro podnikového uživatele. Výchozí hodnota je 32.
session.options.enableAsyncAPI Pokud je rozsah segmentů pro libovolného podnikového uživatele zvýšen na 128 segmentů, můžete pomocí této vlastnosti systému povolit podporu asynchronních rozhraní API v uživatelském rozhraní, abyste zabránili vypršení časového limitu uživatelského rozhraní. Výchozí hodnota je True.
session.options.asyncPollingMilliSeconds Určuje interval dotazování pro asynchronní rozhraní API v uživatelském rozhraní. Výchozí hodnota je 5000 milisekund.
session.options.asyncPollingMaxCount Určuje maximální počet volání pro získání stavu rozhraní API z uživatelského rozhraní. Výchozí hodnota je 10.
vco.enterprise.events.configuration.diff.enable Aktivuje nebo deaktivuje protokolování událostí rozdílů v konfiguraci. Pokud je počet segmentů pro podnikového uživatele vyšší než 4, protokolování událostí rozdílu v konfiguraci bude deaktivováno. Pomocí této vlastnosti systému můžete aktivovat protokolování událostí rozdílů v konfiguraci.
Tabulka 15. Samoobslužné resetování hesla
Systémová vlastnost Popis
vco.enterprise.resetPassword.twoFactor.mode Definuje režim druhé úrovně autentizace při resetování hesla pro všechny podnikové uživatele. V současné době je podporován pouze režim zaslání SMS zprávy.
vco.enterprise.resetPassword.twoFactor.required Aktivuje nebo deaktivuje dvojúrovňovou autentizaci resetování hesla pro podnikové uživatele.
vco.enterprise.selfResetPassword.enabled Aktivuje nebo deaktivuje samoobslužné resetování hesla pro podnikové uživatele.
vco.enterprise.selfResetPassword.token.expirySeconds Doba, po jejímž uplynutí vyprší platnost odkazu pro samoobslužné resetování hesla pro podnikové uživatele.
vco.operator.resetPassword.twoFactor.required Aktivuje nebo deaktivuje dvojúrovňovou autentizaci resetování hesla pro uživatele typu operátor.
vco.operator.selfResetPassword.enabled Aktivuje nebo deaktivuje samoobslužné resetování hesla pro uživatele typu operátor.
vco.operator.selfResetPassword.token.expirySeconds Doba, po jejímž uplynutí vyprší platnost odkazu pro samoobslužné resetování hesla uživatele typu operátor.
Tabulka 16. Předávání syslogu
Systémová vlastnost Popis
log.syslog.backend Konfigurace integrace syslogu back-endové služby.
log.syslog.portal Konfigurace integrace syslogu portálové služby.
log.syslog.upload Nahrát konfiguraci integrace syslogu služby.
log.syslog.lastFetchedCRL.backend Udržuje poslední aktualizovaný seznam CRL jako řetězec formátovaný v PEM pro protokol syslog služby a pravidelně aktualizován.
log.syslog.lastFetchedCRL.portal. Udržuje poslední aktualizovaný seznam CRL jako řetězec formátovaný v PEM pro protokol syslog služby a pravidelně aktualizován.
log.syslog.lastFetchedCRL.upload Udržuje poslední aktualizovaný seznam CRL ve formátu řetězce PEM pro protokol syslog služby a pravidelně aktualizován.
Tabulka 17. Služby TACACS
Systémová vlastnost Popis
session.options.enableTACACS Aktivuje nebo deaktivuje služby TACACS pro podnikové uživatele.
Tabulka 18. Dvojúrovňová autentizace
Systémová vlastnost Popis
vco.enterprise.authentication.twoFactor.enable Aktivuje nebo deaktivuje dvojúrovňovou autentizaci pro podnikové uživatele.
vco.enterprise.authentication.twoFactor.mode Definuje režim druhé úrovně autentizace pro podnikové uživatele. V současné době je pro druhou úroveň autentizace podporován pouze režim zaslání SMS zprávy.
vco.enterprise.authentication.twoFactor.require Definuje dvojúrovňovou autentizaci jako povinný proces pro podnikové uživatele.
vco.operator.authentication.twoFactor.enable Aktivuje nebo deaktivuje dvojúrovňovou autentizaci pro uživatele typu operátor.
vco.operator.authentication.twoFactor.mode Definuje režim druhé úrovně autentizace pro uživatele typu operátor. V současné době je pro druhou úroveň autentizace podporován pouze režim zaslání SMS zprávy.
vco.operator.authentication.twoFactor.require Definuje dvojúrovňovou autentizaci jako povinný proces pro uživatele typu operátor.
Tabulka 19. Konfigurace VNF
Systémová vlastnost Popis
edge.vnf.extraImageInfos Definuje vlastnosti bitové kopie VNF.
Pro bitové kopie VNF můžete zadat následující informace ve formátu JSON do pole Hodnota (Value):
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Příklad souboru JSON pro bitovou kopii brány firewall Check Point:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Příklad souboru JSON OS pro bitovou kopii brány firewall Fortinet:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit Definuje počet záznamů, které mají být uloženy v databázi.
enterprise.capability.edgeVnfs.enable Aktivuje zavádění VNF v podporovaných modelech Edge.
enterprise.capability.edgeVnfs.securityVnf.checkPoint Aktivuje VNF síťové brány firewall Check Point.
enterprise.capability.edgeVnfs.securityVnf.fortinet Aktivuje VNF síťové brány firewall Fortinet.
enterprise.capability.edgeVnfs.securityVnf.paloAlto Aktivujte VNF síťové brány firewall pro Palo Alto Networks
session.options.enableVnf Aktivuje funkci VNF.
vco.operator.alert.edgeVnfEvent.enable Globálně aktivuje nebo deaktivuje výstrahy operátora pro události Edge VNF.
vco.operator.alert.edgeVnfInsertionEvent.enable Globálně aktivuje nebo deaktivuje výstrahy operátora pro události vložení Edge VNF.
Tabulka 20. VPN
Systémová vlastnost Popis
vpn.disconnect.wait.sec Časový interval, po který bude systém čekat před odpojením tunelového propojení VPN.
vpn.reconnect.wait.sec Časový interval, po který bude systém čekat před opětovným navázáním tunelového propojení VPN.
Tabulka 21. Banner s upozorněním
Systémová vlastnost Popis
login.warning.banner.message Tato volitelná vlastnost systému umožňuje operátorovi konfigurovat a zobrazovat informační oznámení o používání SASE Orchestrator specifikované administrátorem zabezpečení a upozornění na souhlas. Před přihlášením uživatele se na SASE Orchestrator zobrazí upozornění.

Pokyny ke konfiguraci této vlastnosti systému naleznete v tématu Konfigurovat oznámení o schválení a upozornění na souhlas pro systém SD-WAN Orchestrator.

Tabulka 22. Zscaler
Systémová vlastnost Popis
session.options.enableZscalerProfileAutomation Umožňuje konfiguraci nastavení Zscaler na úrovni profilu.