オペレータは、システム プロパティの値の追加や変更ができます。
次の表に、システム プロパティの一部を記載します。オペレータは、これらのプロパティの値を設定できます。
- アラート メール
- アラート (Alerts)
- 認証局
- データ保持
- Edge
- Edge アクティベーション
- 監視
- 通知
- パスワードのリセットとロックアウト
- API のレート制限
- リモート診断
- セグメント
- セルフサービス パスワード リセット
- 2 要素認証
- 仮想ネットワーク機能 (VNF) 設定
- VPN
| システム プロパティ | 説明 |
|---|---|
| vco.alert.mail.to | アラートがトリガーされると、このシステム プロパティの [値 (Value)] フィールドに記載されているリストのメール アドレスに、すぐに通知が送信されます。複数の E メール ID をカンマ区切りで入力できます。 このプロパティに値が含まれていない場合、通知は送信されません。 この通知は、カスタマーに通知する前に、差し迫った問題のアラートを VMware サポート/運用担当者に送信することを目的としています。 |
| vco.alert.mail.cc | アラート メールがどのカスタマーに送信される場合でも、このシステム プロパティの [値 (Value)] フィールドに記載されているメール アドレスにコピーが送信されます。複数の E メール ID をカンマ区切りで入力できます。 |
| mail.* | アラート メールを制御するために使用できるシステム プロパティは複数あります。SMTP プロパティ、ユーザー名、パスワードなどの E メール パラメータを定義できます。 |
| システム プロパティ | 説明 |
|---|---|
| vco.alert.enable | オペレータとエンタープライズ カスタマーの両方のアラート生成をグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.enterprise.alert.enable | エンタープライズ カスタマーのアラート生成をグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.operator.alert.enable | オペレータのアラート生成をグローバルにアクティベーションするか、アクティベーション解除します。 |
| システム プロパティ | 説明 |
|---|---|
| session.options.enableBastionOrchestrator | Bastion Orchestrator の機能を有効にします。 詳細については、『Bastion Orchestrator 設定ガイド』を参照してください。この文書はhttps://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで入手できます。 |
| vco.bastion.private.enable | Orchestrator を Bastion ペアのプライベート Orchestrator にすることができます。 |
| vco.bastion.public.enable | Orchestrator を Bastion ペアのパブリック Orchestrator にすることができます。 |
| システム プロパティ | 説明 |
|---|---|
| edge.certificate.renewal.window | このオプションのシステム プロパティにより、オペレータは、Edge 証明書の更新が有効となる 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。 システム プロパティを有効にする: このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。このシステム プロパティが有効になっているときの最初の部分の例を次に示します。 オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。
注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。
システム プロパティのアクティベーション解除 このシステム プロパティはデフォルトでアクティベーション解除されています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティをアクティベーション解除した場合の例を次に示します。 { "enabled": false, "windows": [ { 注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。 |
| gateway.certificate.renewal.window | このオプションのシステム プロパティにより、オペレータは、Gateway 証明書の更新が有効な 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。 システム プロパティを有効にする: このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。例については、次の図を参照してください。 オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日、または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。
注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。
システム プロパティのアクティベーション解除 このシステム プロパティはデフォルトでアクティベーション解除されています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティをアクティベーション解除した場合の例を次に示します。 { "enabled": false, "windows": [ { 注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。 |
| システム プロパティ | 説明 |
|---|---|
| retention.highResFlows.days | このシステム プロパティにより、オペレータは、高解像度のフロー統計情報のデータ保持を 1 ~ 90 日の間で設定できます。 |
| retention.lowResFlows.months | このシステム プロパティにより、オペレータは、低解像度のフロー統計情報のデータ保持を 1 ~ 365 日の間で設定できます。 |
| session.options.maxFlowstatsRetentionDays | このプロパティにより、オペレータは 2 週間を超えるフロー統計情報のデータをクエリできます。 |
| システム プロパティ | 説明 |
|---|---|
| edge.offline.limit.sec | 指定の期間に Edge からのハートビートが Orchestrator で検出されない場合、Edge の状態は OFFLINE モードに移行されます。 |
| edge.link.unstable.limit.sec | 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは UNSTABLE モードに移行されます。 |
| edge.link.disconnected.limit.sec | 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは切断されます。 |
| edge.deadbeat.limit.days | 指定した日数の間 Edge がアクティブでない場合、Edge はアラートの生成で考慮されません。 |
| vco.operator.alert.edgeLinkEvent.enable | Edge Link イベントのオペレータ アラートをグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.operator.alert.edgeLiveness.enable | Edge Liveness イベントのオペレータ アラートをグローバルにアクティベーションするか、アクティベーション解除します。 |
| システム プロパティ | 説明 |
|---|---|
| edge.activation.key.encode.enable | Edge のアクティベーション メールがサイトの連絡先に送信されるときに、Base64 はアクティベーション URL パラメータを不明瞭な値にエンコードします。 |
| edge.activation.trustedIssuerReset.enable | Orchestrator 認証局のみが含まれるように、Edge の信頼されている証明書発行者リストをリセットします。Edge からのすべての TLS トラフィックは、新しい発行者リストによって制限されます。 |
| network.public.certificate.issuer | [edge.activation.trustedIssuerReset.enable] が True に設定されている場合、[network.public.certificate.issuer] の値を Orchestrator サーバ証明書の発行者の PEM エンコーディングと等しくなるように設定します。これにより、Orchestrator 認証局に加えて、サーバ証明書の発行者が Edge の信頼された発行者に追加されます。 |
| システム プロパティ | 説明 |
|---|---|
| vco.monitor.enable | エンタープライズおよびオペレータ エンティティの状態の監視をグローバルにアクティベーションするか、アクティベーション解除します。値を [False] に設定すると、SD-WAN Orchestrator ではエンティティの状態を変更したりアラートをトリガーしたりすることができなくなります。 |
| vco.enterprise.monitor.enable | エンタープライズ エンティティの状態の監視をグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.operator.monitor.enable | オペレータ エンティティの状態の監視をグローバルにアクティベーションするか、アクティベーション解除します。 |
| システム プロパティ | 説明 |
|---|---|
| vco.notification.enable | オペレータとエンタープライズの両方へのアラート通知の配信をグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.enterprise.notification.enable | エンタープライズへのアラート通知の配信をグローバルにアクティベーションするか、アクティベーション解除します。 |
| vco.operator.notification.enable | オペレータへのアラート通知の配信をグローバルにアクティベーションするか、アクティベーション解除します。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.resetPassword.token.expirySeconds | エンタープライズ ユーザーのパスワード リセット リンクの有効期限が切れるまでの期間。 |
| vco.enterprise.authentication.passwordPolicy | カスタマー ユーザーのパスワード強度、履歴、有効期限ポリシーを定義します。 [値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。 [強度]
新しいパスワードは古いパスワードから 3 文字しか変わらないため、「kitten」を置き換えるための新しいパスワードとして「sitting」は拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。
[expiry]:
[history]:
|
| enterprise.user.lockout.defaultAttempts | エンタープライズ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。 |
| enterprise.user.lockout.defaultDurationSeconds | エンタープライズ ユーザー アカウントがロックされる期間。 |
| enterprise.user.lockout.enabled | エンタープライズのログイン失敗のロックアウト オプションをアクティベーションするか、アクティベーション解除します。 |
| vco.operator.resetPassword.token.expirySeconds | オペレータ ユーザーのパスワード リセット リンクが期限切れになるまでの期間。 |
| vco.operator.authentication.passwordPolicy | オペレータ ユーザーのパスワード強度、履歴、有効期限ポリシーを定義します。 [値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。 [強度]
新しいパスワードは古いパスワードから 3 文字しか変わらないため、「kitten」を置き換えるための新しいパスワードとして「sitting」は拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。
[expiry]:
[history]:
|
| operator.user.lockout.defaultAttempts | オペレータ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。 |
| operator.user.lockout.defaultDurationSeconds | オペレータ ユーザー アカウントがロックされる期間。 |
| operator.user.lockout.enabled | オペレータのログイン失敗のロックアウト オプションをアクティベーションするか、アクティベーション解除します。 |
| システム プロパティ | 説明 |
|---|---|
| vco.api.rateLimit.enabled | オペレータ スーパー ユーザーがシステム レベルでレート制限機能をアクティベーションしたりアクティベーション解除したりできるようにします。デフォルトでは、値は「[False]」です。
注: レートリミッタは完全には有効化されていません。つまり、
[vco.api.rateLimit.mode.logOnly] 設定がアクティベーション解除されていない限り、設定された制限を超える API リクエストを拒否しません。
|
| vco.api.rateLimit.mode.logOnly | オペレータ スーパー ユーザーが [LOG_ONLY] モードでレート制限を使用できるようにします。値が [True] に設定され、レート制限を超えると、このオプションはエラーのみを記録し、それぞれのメトリックを起動して、クライアントがレート制限なしで要求を実行することを許可します。 値が [False] に設定されている場合、要求 API が定義されたポリシーによって制限され、HTTP 429 が返されます。 |
| vco.api.rateLimit.rules.global | JSON 配列で、レートリミッタによって使用されるグローバルに適用可能なポリシーのセットを定義できます。デフォルトでは、値は空の配列です。 各タイプのユーザー(オペレータ、パートナー、およびカスタマー)は、5 秒ごとに最大 500 の要求を実行できます。要求の数は、レート制限された要求の動作パターンに基づいて変更される場合があります。 JSON 配列は次のパラメータで構成されます。
[Types]:type オブジェクトは、レート制限が適用されるさまざまなコンテキストを表します。使用可能な type オブジェクトは次のとおりです。
[Policies]:ルールをポリシーに追加して、ルールに一致する要求を適用します。次のパラメータを設定します。
[Enabled]:各タイプの制限をアクティベーションしたりアクティベーション解除したりするには [APIRateLimiterTypeObject] に [enabled] キーを含めます。デフォルトでは、キーが含まれていない場合でも、[enabled] の値は「True」になります。個々のタイプの制限をアクティベーション解除するには、["enabled": false] キーを含める必要があります。 次の例は、デフォルト値の JSON ファイルのサンプルを示しています。 [
{
"type": "OPERATOR_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
},
{
"type": "MSP_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
},
{
"type": "ENTERPRISE_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
}
]
注: 設定パラメータのデフォルト値を変更しないことをお勧めします。
|
| vco.api.rateLimit.rules.enterprise.default | 新しく作成されたカスタマーに適用されるエンタープライズ固有のポリシーのデフォルト セットを設定します。カスタマー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterprise] に保存されます。 |
| vco.api.rateLimit.rules.enterpriseProxy.default | 新しく作成されたパートナーに適用されるエンタープライズ固有のポリシーのデフォルト セットを設定します。パートナー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterpriseProxy] に保存されます。 |
レート制限の詳細については、API 要求のレート制限を参照してください。
| システム プロパティ | 説明 |
|---|---|
| network.public.address | SD-WAN Orchestrator UI にアクセスするために使用されるブラウザ オリジン アドレス/DNS ホスト名を指定します。 |
| network.portal.websocket.address | ブラウザのアドレスが network.public.address システム プロパティの値と一致していない場合、ブラウザから SD-WAN Orchestrator UI にアクセスする代替の DNS ホスト名/アドレスを設定できます。 リモート診断で WebSocket 接続が使用されるようになったため、Web セキュリティを確保するために、Orchestrator UI へのアクセスに使用されるブラウザ オリジン アドレスが、受信要求に対して検証されます。ほとんどの場合、このアドレスは |
| session.options.websocket.portal.idle.timeout | アイドル状態のブラウザ WebSocket 接続がアクティブを維持する合計時間(秒単位)を設定できます。デフォルトでは、ブラウザの WebSocket 接続はアイドル状態で 300 秒間アクティブです。 |
| システム プロパティ | 説明 |
|---|---|
| enterprise.capability.enableSegmentation | エンタープライズ ユーザーのセグメント機能をアクティベーションするか、アクティベーション解除します。 |
| enterprise.segments.system.maximum | エンタープライズ ユーザーに許可されるセグメントの最大数を指定します。エンタープライズ ユーザーに対して SD-WAN Orchestrator で 128 セグメントを有効にする場合は、このシステム プロパティの値を 128 に変更してください。 |
| enterprise.segments.maximum | 新規または既存のエンタープライズ ユーザーに許可されるセグメントの最大数のデフォルト値を指定します。エンタープライズ ユーザーのデフォルト値は 16 です。
注: この値は、システム プロパティ enterprise.segments.system.maximum で定義されている数値以下である必要があります。
エンタープライズ ユーザーに対して 128 セグメントを有効にする場合は、このシステム プロパティの値を変更することは推奨されません。代わりに、[カスタマー設定 (Customer Configuration)] ページで [カスタマーの機能 (Customer Capabilities)] を有効にして、必要な数のセグメントを設定できます。手順については、『VMware SD-WAN オペレータ ガイド』の「カスタマー機能の設定」セクションを参照してください。この文書は、VMware SD-WAN のドキュメントで入手できます。 |
| enterprise.subinterfaces.maximum | エンタープライズ ユーザーに設定できるサブインターフェイスの最大数を指定します。デフォルト値は 32 です。 |
| enterprise.vlans.maximum | エンタープライズ ユーザーに設定できる VLAN の最大数を指定します。デフォルト値は 32 です。 |
| session.options.enableAsyncAPI | エンタープライズ ユーザーのセグメント スケールを 128 セグメントに増やすと、UI タイムアウトを防ぐために、このシステム プロパティを使用して UI で非同期 API サポートを有効にできます。デフォルト値は true です。 |
| session.options.asyncPollingMilliSeconds | UI での非同期 API のポーリング間隔を指定します。デフォルト値は 5000 ミリ秒です。 |
| session.options.asyncPollingMaxCount | UI から getStatus API を呼び出す最大回数を指定します。デフォルト値は 10 です。 |
| vco.enterprise.events.configuration.diff.enable | 設定の差分イベント ログをアクティベーションするか、アクティベーション解除します。エンタープライズ ユーザーのセグメント数が 4 を超えると、設定の差分イベント ログが無効になります。このシステム プロパティを使用して、設定の差分イベント ログを有効にできます。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.resetPassword.twoFactor.mode | すべてのエンタープライズ ユーザーのパスワード リセット認証の第 2 レベルのモードを定義します。現在、SMS モードのみがサポートされています。 |
| vco.enterprise.resetPassword.twoFactor.required | エンタープライズ ユーザーのパスワード リセットの 2 要素認証をアクティベーションするか、アクティベーション解除します。 |
| vco.enterprise.selfResetPassword.enabled | エンタープライズ ユーザーのセルフサービス パスワード リセットをアクティベーションするか、アクティベーション解除します。 |
| vco.enterprise.selfResetPassword.token.expirySeconds | エンタープライズ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。 |
| vco.operator.resetPassword.twoFactor.required | オペレータ ユーザーのパスワード リセットの 2 要素認証をアクティベーションするか、アクティベーション解除します。 |
| vco.operator.selfResetPassword.enabled | オペレータ ユーザーのセルフサービス パスワード リセットをアクティベーションするか、アクティベーション解除します。 |
| vco.operator.selfResetPassword.token.expirySeconds | オペレータ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.authentication.twoFactor.enable | エンタープライズ ユーザーの 2 要素認証をアクティベーションするか、アクティベーション解除します。 |
| vco.enterprise.authentication.twoFactor.mode | エンタープライズ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。 |
| vco.enterprise.authentication.twoFactor.require | エンタープライズ ユーザーに対する 2 要素認証を必須と定義します。 |
| vco.operator.authentication.twoFactor.enable | オペレータ ユーザーの 2 要素認証をアクティベーションするか、アクティベーション解除します。 |
| vco.operator.authentication.twoFactor.mode | オペレータ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。 |
| vco.operator.authentication.twoFactor.require | オペレータ ユーザーに対する 2 要素認証を必須と定義します。 |
| システム プロパティ | 説明 |
|---|---|
| edge.vnf.extraImageInfos | 仮想ネットワーク機能 (VNF) イメージのプロパティを定義します。
[値 (Value)] フィールドに、仮想ネットワーク機能 (VNF) イメージに関する次の情報を JSON 形式で入力できます。
[
{
"vendor": "Vendor Name",
"version": "VNF Image Version",
"checksum": "VNF Checksum Value",
"checksumType": "VNF Checksum Type"
}
]
Check Point ファイアウォール イメージの JSON ファイルの例:
[
{
"vendor": "checkPoint",
"version": "r80.40_no_workaround_46",
"checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
"checksumType": "sha-1"
}
]
Fortinet ファイアウォール イメージの JSON ファイルの例:
[
{
"vendor": "fortinet",
"version": "624",
"checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
"checksumType": "sha-1"
}
]
|
| edge.vnf.metric.record.limit | データベースに格納されるレコードの数を定義します。 |
| enterprise.capability.edgeVnfs.enable | サポートされている Edge モデルで仮想ネットワーク機能 (VNF) のデプロイを有効にします。 |
| enterprise.capability.edgeVnfs.securityVnf.checkPoint | Check Point Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| enterprise.capability.edgeVnfs.securityVnf.fortinet | Fortinet Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| enterprise.capability.edgeVnfs.securityVnf.paloAlto | Palo Alto Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| session.options.enableVnf | 仮想ネットワーク機能 (VNF) を有効にします |
| vco.operator.alert.edgeVnfEvent.enable | Edge の仮想ネットワーク機能 (VNF) イベントのオペレータ アラートをグローバルにアクティベーションするか、アクティベーション解除します |
| vco.operator.alert.edgeVnfInsertionEvent.enable | Edge の仮想ネットワーク機能 (VNF) 挿入イベントのオペレータ アラートをグローバルにアクティベーションするか、アクティベーション解除します |
| システム プロパティ | 説明 |
|---|---|
| vpn.disconnect.wait.sec | システムが VPN トンネルを切断するまで待機する時間間隔。 |
| vpn.reconnect.wait.sec | システムが VPN トンネルを再接続するまで待機する時間間隔。 |
