En tant qu'opérateur, vous pouvez ajouter ou modifier les valeurs des propriétés système.
Les tableaux suivants décrivent certaines des propriétés système. En tant qu'opérateur, vous pouvez définir les valeurs de ces propriétés.
- E-mails d'alerte
- Alertes
- Autorité de certification
- Rétention des données
- Dispositifs Edge
- Activation du dispositif Edge (Edge Activation)
- Surveillance
- Notifications
- Réinitialisation et verrouillage du mot de passe
- API de limite de débit
- Diagnostics à distance
- Segmentation
- Réinitialisation du mot de passe en libre-service
- Authentification à deux facteurs
- Configuration VNF
- VPN
Propriété système | Description |
---|---|
vco.alert.mail.to | Lorsqu'une alerte est déclenchée, une notification est immédiatement envoyée à la liste des adresses e-mail fournies dans le champ Valeur (Value) de cette propriété système. Vous pouvez entrer plusieurs ID d'e-mail séparés par des virgules. Si la propriété ne contient aucune valeur, la notification n'est pas envoyée. La notification est conçue pour alerter le personnel en charge du support ou des opérations de VMware des problèmes imminents avant d'en informer le client. |
vco.alert.mail.cc | Lorsque des e-mails d'alerte sont envoyés à un client, une copie est envoyée aux adresses e-mail indiquées dans le champ Valeur (Value) de cette propriété système. Vous pouvez entrer plusieurs ID d'e-mail séparés par des virgules. |
mail.* | Plusieurs propriétés système sont disponibles pour contrôler les e-mails d'alerte. Vous pouvez définir les paramètres de messagerie tels que les propriétés SMTP, le nom d'utilisateur, le mot de passe, etc. |
Propriété système | Description |
---|---|
vco.alert.enable | Active ou désactive globalement la génération d'alertes pour les opérateurs et les clients d'entreprise. |
vco.enterprise.alert.enable | Active ou désactive globalement la génération d'alertes pour les clients d'entreprise. |
vco.operator.alert.enable | Active ou désactive globalement la génération d'alertes pour les opérateurs. |
Propriété système | Description |
---|---|
session.options.enableBastionOrchestrator | Active la fonctionnalité du dispositif Orchestrator de bastion. Pour plus d'informations, reportez-vous au Guide de configuration du dispositif Orchestrator de bastion disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html. |
vco.bastion.private.enable | Permet à Orchestrator d'être le dispositif Orchestrator privé de la paire de bastions. |
vco.bastion.public.enable | Permet à Orchestrator d'être le dispositif Orchestrator public de la paire de bastions. |
Propriété système | Description |
---|---|
edge.certificate.renewal.window | Cette propriété système facultative permet à l'opérateur de définir une ou plusieurs fenêtres de maintenance au cours desquelles le renouvellement du certificat du dispositif Edge est activé. Les certificats planifiés pour le renouvellement en dehors des fenêtres sont différés jusqu'à ce que l'heure actuelle s'affiche dans l'une des fenêtres activées. Activer la propriété système : Pour activer cette propriété système, entrez « true » pour « enabled » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de la première partie de cette propriété système, lorsqu'elle est activée, s'affiche ci-dessous. Les opérateurs peuvent définir plusieurs fenêtres pour limiter les jours et les heures du jour durant lesquels les renouvellements du dispositif Edge sont activés. Vous pouvez définir chaque fenêtre selon un jour ou une liste de jours (séparés par une virgule) et des heures de début et de fin. Vous pouvez spécifier les heures de début et de fin par rapport au fuseau horaire local d'un dispositif Edge ou par rapport à l'heure UTC. Reportez-vous à l'image ci-dessous à titre d'exemple.
Note : Si les attributs sont absents, la valeur par défaut est activée « false ».
Lors de la définition des attributs de fenêtres, respectez les points suivants :
Si les valeurs susmentionnées sont manquantes, les valeurs par défaut des attributs dans chaque définition de fenêtre sont les suivantes :
Désactiver la propriété système : Cette propriété système est désactivée par défaut, ce qui signifie que le certificat est renouvelé automatiquement après son expiration. Le paramètre « enabled » est défini sur « false » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de cette propriété, lorsqu'elle est désactivée, s'affiche ci-dessous. { « enabled » : false, « windows » : [ { REMARQUE : cette propriété système nécessite l'activation de PKI. |
gateway.certificate.renewal.window | Cette propriété système facultative permet à l'opérateur de définir une ou plusieurs fenêtres de maintenance au cours desquelles le renouvellement du certificat de la passerelle est activé. Les certificats planifiés pour le renouvellement en dehors des fenêtres sont différés jusqu'à ce que l'heure actuelle s'affiche dans l'une des fenêtres activées. Activer la propriété système : Pour activer cette propriété système, entrez « true » pour « enabled » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Reportez-vous à l'image ci-dessous à titre d'exemple. Les opérateurs peuvent définir plusieurs fenêtres pour limiter les jours et les heures du jour durant lesquels les renouvellements du dispositif Edge sont activés. Vous pouvez définir chaque fenêtre selon un jour ou une liste de jours (séparés par une virgule) et des heures de début et de fin. Vous pouvez spécifier les heures de début et de fin par rapport au fuseau horaire local d'un dispositif Edge ou par rapport à l'heure UTC. Reportez-vous à l'image ci-dessous à titre d'exemple.
Note : Si les attributs sont absents, la valeur par défaut est activée « false ».
Lors de la définition des attributs de fenêtres, respectez les points suivants :
Si les valeurs susmentionnées sont manquantes, les valeurs par défaut des attributs dans chaque définition de fenêtre sont les suivantes :
Désactiver la propriété système : Cette propriété système est désactivée par défaut, ce qui signifie que le certificat est renouvelé automatiquement après son expiration. Le paramètre « enabled » est défini sur « false » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de cette propriété, lorsqu'elle est désactivée, s'affiche ci-dessous. { « enabled » : false, « windows » : [ { REMARQUE : cette propriété système nécessite l'activation de PKI. |
Propriété système | Description |
---|---|
retention.highResFlows.days | Cette propriété système permet aux opérateurs de configurer la rétention des données de statistiques de flux haute résolution n'importe où entre 1 et 90 jours. |
retention.lowResFlows.months | Cette propriété système permet aux opérateurs de configurer la rétention des données de statistiques de flux faible résolution n'importe où entre 1 et 365 jours. |
session.options.maxFlowstatsRetentionDays | Cette propriété permet aux opérateurs d'interroger plus de deux semaines de données de statistiques de flux. |
Propriété système | Description |
---|---|
edge.offline.limit.sec | Si Orchestrator ne détecte pas de pulsation sur un dispositif Edge pendant la durée spécifiée, l'état du dispositif Edge passe en mode hors ligne. |
edge.link.unstable.limit.sec | Lorsqu'Orchestrator ne reçoit pas de statistiques de lien pour un lien pendant la durée spécifiée, le lien passe en mode instable. |
edge.link.disconnected.limit.sec | Lorsqu'Orchestrator ne reçoit pas de statistiques de lien pour un lien pendant la durée spécifiée, le lien est déconnecté. |
edge.deadbeat.limit.days | Si un dispositif Edge n'est pas actif pendant le nombre de jours spécifié, le dispositif Edge n'est pas pris en compte pour la génération des alertes. |
vco.operator.alert.edgeLinkEvent.enable | Active ou désactive globalement les alertes d'opérateur pour les événements de liaison du dispositif Edge. |
vco.operator.alert.edgeLiveness.enable | Active ou désactive globalement les alertes d'opérateur pour les événements de réactivité du dispositif Edge. |
Propriété système | Description |
---|---|
edge.activation.key.encode.enable | Base64 encode les paramètres de l'URL d'activation pour masquer les valeurs lorsque l'e-mail d'activation du dispositif Edge est envoyé au contact du site. |
edge.activation.trustedIssuerReset.enable | Réinitialise la liste d'émetteurs de certificats approuvés du dispositif Edge pour qu'elle ne contienne que l'autorité de certification Orchestrator. L'ensemble du trafic TLS à partir du dispositif Edge est limité par la nouvelle liste d'émetteurs. |
network.public.certificate.issuer | Définissez la valeur de network.public.certificate.issuer sur celle du codage PEM de l'émetteur de certificats de serveur Orchestrator, lorsque edge.activation.trustedIssuerReset.enable est défini sur Vrai (True). Cette action ajoute l'émetteur de certificats de serveur à l'émetteur approuvé du dispositif Edge, en plus de l'autorité de certification Orchestrator. |
Propriété système | Description |
---|---|
vco.monitor.enable | Active ou désactive globalement la surveillance des états des entités d'entreprise et d'opérateur. Définir la valeur sur False empêche SD-WAN Orchestrator de modifier les états d'entité et de déclencher des alertes. |
vco.enterprise.monitor.enable | Active ou désactive globalement la surveillance des états des entités d'entreprise. |
vco.operator.monitor.enable | Active ou désactive globalement la surveillance des états d'entité d'opérateur. |
Propriété système | Description |
---|---|
vco.notification.enable | Active ou désactive globalement la remise des notifications d'alerte à l'opérateur et aux entreprises. |
vco.enterprise.notification.enable | Active ou désactive globalement la remise des notifications d'alerte aux entreprises. |
vco.operator.notification.enable | Active ou désactive globalement la remise des notifications d'alerte à l'opérateur. |
Propriété système | Description |
---|---|
vco.enterprise.resetPassword.token.expirySeconds | Durée après laquelle le lien de réinitialisation du mot de passe pour un utilisateur d'entreprise expire. |
vco.enterprise.authentication.passwordPolicy | Définit le niveau de sécurité, l'historique et la stratégie d'expiration des mots de passe pour les utilisateurs clients. Modifiez le modèle JSON dans le champ Valeur (Value) pour définir les éléments suivants : strength
Étant donné que le nouveau mot de passe ne varie que de 3 caractères par rapport à l'ancien, le mot de passe « sitting » est rejeté comme nouveau mot de passe pour remplacer « kitten ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
expiration (expiry) :
historique (history) :
|
enterprise.user.lockout.defaultAttempts | Nombre de fois que l'utilisateur d'entreprise peut essayer de se connecter. Si la connexion échoue pendant le nombre de fois spécifié, le compte est verrouillé. |
enterprise.user.lockout.defaultDurationSeconds | Durée de verrouillage du compte d'utilisateur d'entreprise. |
enterprise.user.lockout.enabled | Active ou désactive l'option de verrouillage pour les échecs de connexion de l'entreprise. |
vco.operator.resetPassword.token.expirySeconds | Durée après laquelle le lien de réinitialisation du mot de passe pour un utilisateur opérateur expire. |
vco.operator.authentication.passwordPolicy | Définit le niveau de sécurité, l'historique et la stratégie d'expiration des mots de passe pour les utilisateurs opérateurs. Modifiez le modèle JSON dans le champ Valeur (Value) pour définir les éléments suivants : strength
Étant donné que le nouveau mot de passe ne varie que de 3 caractères par rapport à l'ancien, le mot de passe « sitting » est rejeté comme nouveau mot de passe pour remplacer « kitten ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
expiration (expiry) :
historique (history) :
|
operator.user.lockout.defaultAttempts | Nombre de fois que l'utilisateur opérateur peut essayer de se connecter. Si la connexion échoue pendant le nombre de fois spécifié, le compte est verrouillé. |
operator.user.lockout.defaultDurationSeconds | Durée de verrouillage du compte de l'utilisateur opérateur. |
operator.user.lockout.enabled | Active ou désactive l'option de verrouillage pour les échecs de connexion de l'opérateur. |
Propriété système | Description |
---|---|
vco.api.rateLimit.enabled | Autorise les super utilisateurs opérateurs à activer ou désactiver la fonctionnalité de limite de débit au niveau du système. Par défaut, cette valeur est définie sur Faux (False).
Note : Le limiteur de débit n'est pas réellement activé, c'est-à-dire qu'il ne rejette pas les demandes d'API qui dépassent les limites configurées, sauf si le paramètre
vco.api.rateLimit.mode.logOnly est désactivé.
|
vco.api.rateLimit.mode.logOnly | Permet au super utilisateur opérateur d'utiliser la limite de débit dans un mode LOG_ONLY. Lorsque la valeur est définie sur Vrai (True) et si une limite de débit est dépassée, cette option journalise uniquement l'erreur et déclenche des mesures correspondantes permettant aux clients d'effectuer des demandes sans limite de débit. Lorsque la valeur est définie sur Faux (False), l'API de demande est limitée par des stratégies définies et HTTP 429 est renvoyé. |
vco.api.rateLimit.rules.global | Permet de définir un ensemble de stratégies applicables globalement utilisées par le limiteur de débit dans un tableau JSON. Par défaut, la valeur est un tableau vide. Chaque type d'utilisateur (opérateur, partenaire et client) peut effectuer jusqu'à 500 demandes toutes les 5 secondes. Le nombre de demandes est soumis à une modification en fonction du modèle de comportement des demandes limitées du débit. Le tableau JSON comporte les paramètres suivants :
Types : les objets de type représentent des contextes différents dans lesquels les limites de débit sont appliquées. Vous trouverez ci-après les différents objets de type disponibles :
Stratégies (Policies) : ajoutez des règles aux stratégies pour appliquer les demandes qui correspondent à la règle, en configurant les paramètres suivants :
Activé (Enabled) : vous pouvez activer ou désactiver chaque type de limite en incluant la clé enabled dans APIRateLimiterTypeObject. Par défaut, la valeur du paramètre enabled est Vrai (True), même si la clé n'est pas incluse. Vous devez inclure la clé "enabled": false pour désactiver les limites de type individuelles. L'exemple suivant montre un exemple de fichier JSON avec les valeurs par défaut : [ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] } ]
Note : Il est recommandé de ne pas modifier les valeurs par défaut des paramètres de configuration.
|
vco.api.rateLimit.rules.enterprise.default | Comprend l'ensemble par défaut de stratégies spécifiques à l'entreprise appliquées aux clients récemment créés. Les propriétés spécifiques au client sont stockées dans la propriété vco.api.rateLimit.rules.enterprise d'entreprise. |
vco.api.rateLimit.rules.enterpriseProxy.default | Comprend l'ensemble par défaut de stratégies spécifiques à l'entreprise appliquées aux partenaires récemment créés. Les propriétés spécifiques au partenaire sont stockées dans la propriété vco.api.rateLimit.rules.enterpriseProxy de proxy d'entreprise. |
Pour plus d'informations sur la limite du débit, reportez-vous à la section Demandes d'API de limite de débit.
Propriété système | Description |
---|---|
network.public.address | Spécifie l'adresse d'origine du navigateur/le nom d'hôte DNS qui est utilisé(e) pour accéder à l'interface utilisateur de SD-WAN Orchestrator. |
network.portal.websocket.address | Permet de définir un(e) autre nom d'hôte DNS/adresse pour accéder à l'interface utilisateur de SD-WAN Orchestrator à partir d'un navigateur, si l'adresse du navigateur n'est pas la même que la valeur de la propriété système network.public.address . Comme les diagnostics à distance utilisent désormais une connexion WebSocket, pour garantir la sécurité Web, l'adresse d'origine du navigateur qui est utilisée pour accéder à l'interface utilisateur d'Orchestrator est validée pour les demandes entrantes. Dans la plupart des cas, cette adresse est identique à la propriété système |
session.options.websocket.portal.idle.timeout | Permet de définir la durée totale (en secondes) pendant laquelle la connexion WebSocket du navigateur reste active même si elle ne présente aucune activité. Par défaut, la connexion du navigateur WebSocket reste active pendant 300 secondes même si elle ne présente aucune activité. |
Propriété système | Description |
---|---|
enterprise.capability.enableSegmentation | Active ou désactive la capacité de segmentation pour les utilisateurs d'entreprise. |
enterprise.segments.system.maximum | Spécifie le nombre maximal de segments autorisés pour tout utilisateur d'entreprise. Assurez-vous que vous modifiez la valeur de cette propriété système sur 128 si vous souhaitez activer 128 segments sur SD-WAN Orchestrator pour un utilisateur d'entreprise. |
enterprise.segments.maximum | Spécifie la valeur par défaut du nombre maximal de segments autorisés pour un nouvel utilisateur d'entreprise ou l'utilisateur actuel. La valeur par défaut de tout utilisateur d'entreprise est de 16.
Note : Cette valeur doit être inférieure ou égale au nombre défini dans la propriété système, enterprise.segments.system.maximum.
Il n'est pas recommandé de modifier la valeur de cette propriété système si vous souhaitez activer 128 segments pour un utilisateur d'entreprise. Au lieu de cela, vous pouvez activer Capacités du client (Customer Capabilities) dans Configuration du client (Customer Configuration) pour configurer le nombre de segments requis. Pour obtenir des instructions, reportez-vous à la section « Configurer les capacités des clients » du Guide de l'opérateur de VMware SD-WAN disponible dans la Documentation de VMware SD-WAN. |
enterprise.subinterfaces.maximum | Spécifie le nombre maximal de sous-interfaces qui peuvent être configurées pour un utilisateur d'entreprise. La valeur par défaut est de 32. |
enterprise.vlans.maximum | Spécifie le nombre maximal de réseaux VLAN qui peuvent être configurés pour un utilisateur d'entreprise. La valeur par défaut est de 32. |
session.options.enableAsyncAPI | Lorsque l'échelle de segment est augmentée à 128 segments pour tout utilisateur d'entreprise, vous pouvez activer la prise en charge des API asynchrones sur l'interface utilisateur à l'aide de cette propriété système pour éviter les délais d'expiration de l'interface utilisateur. La valeur par défaut est true. |
session.options.asyncPollingMilliSeconds | Spécifie l'intervalle d'interrogation des API asynchrones sur l'interface utilisateur. La valeur par défaut est de 5 000 millisecondes. |
session.options.asyncPollingMaxCount | Spécifie le nombre maximal d'appels vers l'API getStatus à partir de l'interface utilisateur. La valeur par défaut est de 10. |
vco.enterprise.events.configuration.diff.enable | Active ou désactive la journalisation des événements diff de configuration. Chaque fois que le nombre de segments d'un utilisateur d'entreprise est supérieur à 4, la journalisation des événements diff de configuration est désactivée. Vous pouvez activer la journalisation des événements diff de configuration à l'aide de cette propriété système. |
Propriété système | Description |
---|---|
vco.enterprise.resetPassword.twoFactor.mode | Définit le mode de l'authentification de second niveau de la réinitialisation du mot de passe pour tous les utilisateurs d'entreprise. Actuellement, seul le mode SMS est pris en charge. |
vco.enterprise.resetPassword.twoFactor.required | Active ou désactive l'authentification à deux facteurs pour la réinitialisation du mot de passe des utilisateurs d'entreprise. |
vco.enterprise.selfResetPassword.enabled | Active ou désactive la réinitialisation du mot de passe en libre-service pour les utilisateurs d'entreprise. |
vco.enterprise.selfResetPassword.token.expirySeconds | Durée après laquelle le lien de réinitialisation du mot de passe en libre-service pour un utilisateur d'entreprise expire. |
vco.operator.resetPassword.twoFactor.required | Active ou désactive l'authentification à deux facteurs pour la réinitialisation du mot de passe des utilisateurs opérateurs. |
vco.operator.selfResetPassword.enabled | Active ou désactive la réinitialisation du mot de passe en libre-service pour les utilisateurs opérateurs. |
vco.operator.selfResetPassword.token.expirySeconds | Durée après laquelle le lien de réinitialisation du mot de passe en libre-service pour un utilisateur opérateur expire. |
Propriété système | Description |
---|---|
vco.enterprise.authentication.twoFactor.enable | Active ou désactive l'authentification à deux facteurs pour les utilisateurs d'entreprise. |
vco.enterprise.authentication.twoFactor.mode | Définit le mode de l'authentification de second niveau pour les utilisateurs d'entreprise. Actuellement, seul SMS est pris en charge en tant que mode d'authentification de second niveau. |
vco.enterprise.authentication.twoFactor.require | Définit l'authentification à deux facteurs comme obligatoire pour les utilisateurs d'entreprise. |
vco.operator.authentication.twoFactor.enable | Active ou désactive l'authentification à deux facteurs pour les utilisateurs opérateurs. |
vco.operator.authentication.twoFactor.mode | Définit le mode de l'authentification de second niveau pour les utilisateurs opérateurs. Actuellement, seul SMS est pris en charge en tant que mode d'authentification de second niveau. |
vco.operator.authentication.twoFactor.require | Définit l'authentification à deux facteurs comme obligatoire pour les utilisateurs opérateurs. |
Propriété système | Description |
---|---|
edge.vnf.extraImageInfos | Définit les propriétés d'une image VNF.
Vous pouvez entrer les informations suivantes pour une image VNF, au format JSON dans le champ
Valeur (Value) :
[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" } ]
Exemple de fichier JSON pour l'image de pare-feu Check Point :
[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" } ]
Exemple de fichier JSON de système d'exploitation pour l'image de pare-feu Fortinet :
[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" } ] |
edge.vnf.metric.record.limit | Définit le nombre d'enregistrements à stocker dans la base de données |
enterprise.capability.edgeVnfs.enable | Active le déploiement de VNF sur les modèles d'Edge pris en charge. |
enterprise.capability.edgeVnfs.securityVnf.checkPoint | Active la VNF du pare-feu de réseaux Check Point |
enterprise.capability.edgeVnfs.securityVnf.fortinet | Active la VNF du pare-feu de réseaux Fortinet |
enterprise.capability.edgeVnfs.securityVnf.paloAlto | Active la VNF du pare-feu de Palo Alto Networks |
session.options.enableVnf | Active la fonctionnalité VNF |
vco.operator.alert.edgeVnfEvent.enable | Active ou désactive globalement les alertes d'opérateur pour les événements VNF des dispositifs Edge |
vco.operator.alert.edgeVnfInsertionEvent.enable | Active ou désactive globalement les alertes d'opérateur pour les événements d'insertion de la VNF des dispositifs Edge |
Propriété système | Description |
---|---|
vpn.disconnect.wait.sec | Intervalle de temps pendant lequel le système doit attendre avant de déconnecter un tunnel VPN. |
vpn.reconnect.wait.sec | Intervalle de temps pendant lequel le système doit attendre avant de reconnecter un tunnel VPN. |