カスタマーを作成した後、カスタマーがアクセスできる機能オプションと設定を行います。オペレータは、カスタマーが変更できる設定を選択できます。

新しいカスタマーを作成すると、[カスタマー設定 (Customer Configuration)] ページにリダイレクトされ、カスタマーを設定できます。次の手順に従って、オペレータ ポータルから直接 [カスタマー設定 (Customer Configuration)] ページに移動することもできます。

手順

  1. 監視および設定オプションのページで、カスタマーを選択し、上部のヘッダーで [SD-WAN (SD-WAN)] > [グローバル設定 (Global Settings)] の順にクリックします。
  2. 左側のメニューで [カスタマー設定 (Customer Configuration)] をクリックします。次のページが表示されます。
    [サービス設定 (Service Configuration)] セクションには、次の 4 つのサービスが含まれています。
    • [SD-WAN]
    • [Edge Network Intelligence]
    • [Cloud Web Security]
    • [Secure Access]

    [オンにする (Turn On)] ボタンをクリックして、各サービスを有効にします。各タイルの右上隅にある縦の省略記号をクリックして、サービスをオフするか、設定を行います。各タイルの右下隅にある [設定 (Configure)] オプションを使用して、それぞれのサービスを設定することもできます。各タイルには、設定サマリが表示されます。

    注: [オフにする (Turn off)] オプションを選択すると、確認を求めるポップアップ ウィンドウが表示されます。チェックボックスを選択し、 [サービスをオフにする (Turn Off Service)] をクリックします。
    1. [SD-WAN][設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
      オプション 説明
      ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Network Intelligence を有効化するためにも必要となります。
      デフォルトの Edge 認証 (Default Edge Authentication)

      ドロップダウン メニューから、カスタマーに関連付けられている Edge を認証するためのデフォルトのオプションを選択します。

      • [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
      • [証明書の取得 (Certificate Acquire)]:このオプションはデフォルトで選択されており、Edge にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SD-WAN Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Edge は、SD-WAN Orchestrator への認証および VCMP トンネルの確立に証明書を使用します。
        注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
      • [証明書が必要 (Certificate Required)]:Edge は PKI 証明書を使用します。オペレータは、システム プロパティ edge.certificate.renewal.window を使用して Edge の証明書更新時間枠を変更できます。
      Edge ライセンス 既存の Edge ライセンスが表示されます。[追加 (Add)] をクリックしてライセンスを追加または削除します。
      注: ライセンス タイプは、複数の Edge で使用できます。カスタマーのエディションとリージョンに合わせるため、カスタマーにすべてのタイプのライセンスへのアクセス権を付与することをお勧めします。詳細については、 新しい Orchestrator UI を使用した Edge ライセンスを参照してください。
      カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software) エンタープライズ スーパー ユーザーがエンタープライズで使用可能なソフトウェア イメージを管理できるようにする場合は、このチェックボックスをオンにします。
      オペレータ プロファイル (Operator Profile) 使用可能なドロップダウン メニューからカスタマーに関連付けるオペレータ プロファイルを選択します。このフィールドは、[カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software)] が選択されている場合は使用できません。オペレータ プロファイルの詳細については、オペレータ プロファイルの管理を参照してください。
      セグメントの最大数 (Maximum Number of Segments) 設定可能なセグメントの最大数を入力します。有効な範囲は 1 ~ 16 です。デフォルト値は [16] です。
    2. [Edge Network Intelligence][設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
      注: このオプションは、 [SD-WAN] サービスがオンになっている場合にのみ選択できます。
      オプション 説明
      ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Network Intelligence を有効化するためにも必要となります。
      分析ノード (Analytics Nodes) 分析ノードとしてプロビジョニングできる Edge の最大数を入力します。デフォルトでは、[制限なし (Unlimited)] が選択されています。
      機能アクセス (Feature Access) [自己修復 (Self Healing)] チェックボックスを選択して、Edge Network Intelligence がパフォーマンス向上のための推奨事項を提供できるようにします。
    3. [Cloud Web Security]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Cloud Web Security は、SaaS およびインターネット アプリケーションにアクセスするユーザーとインフラストラクチャを保護するクラウド ホスト型サービスです。詳細については、『VMware Cloud Web Security 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。

      必要なエディションを選択し、[更新 (Update)] をクリックします。[Standard Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化の機能が含まれます。[Advanced Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化と制御、インライン DLP の可視化と制御の機能が含まれます。

    4. [Secure Access]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Secure Access ソリューションにより、VMware SD-WANWorkspace ONE サービスが組み合わせられて、世界中のマネージド サービス ノードのネットワークを介して、一貫性のある、最適化されたセキュアなクラウド アプリケーション アクセスが提供されます。詳細については、『VMware Secure Access 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。

      PoP の最大数を入力し、[更新 (Update)] をクリックします。

  3. [カスタマー設定 (Customer Configuration)] ページで使用できる追加の設定は次のとおりです。
    オプション 説明
    グローバル
    ユーザー契約書の表示 (User Agreement Display) ドロップダウン メニューから次のいずれかを選択します。
    • 継承
    • 上書きして非表示
    • 上書きして表示
    注:
    このフィールドは、システム プロパティ session.options.enableUserAgreements[True] に設定されている場合にのみ使用可能です。
    機能アクセス (Feature Access) 選択した機能へアクセスできるようにします。次のリストのチェック ボックスを 1 つ以上オンにし、当該カスタマーに対してそれらの機能を有効にします。
    • [エンタープライズ認証 (Enterprise Auth)]:デフォルトでは、オペレータのみがエンタープライズの 2 要素認証を有効または無効にできます。このチェック ボックスをオンにすると、エンタープライズ管理者は 2 要素認証を自分で設定できます。このオプションは、Single Sign On (SSO) のアクティベーションとアクティベーションの解除も制御します。
    • [プレミアム サービスの有効化 (Enable Premium Service)]:デフォルトでは、このオプションが選択されています。プレミアム サービスは、SD-WAN の動的マルチパス最適化 (DMPO) のコア部分であるオンデマンド修正機能を指します。DMPO は、SD-WAN Gateway を通過するすべてのトラフィックに使用されます。プレミアム サービス (Premium Service) が選択されている場合、Gateway は高レベルの WAN リンク ジッターまたは損失の影響を受けるカスタマー トラフィックに正方向エラー修正 (FEC) を使用します。これは、高品質の WAN リンクにはステアリングできません。プレミアム サービスが選択されていない場合でも、トラフィックは SD-WAN Gateway を通過し、継続的な監視、動的アプリケーション ステアリング、安全なトラフィック転送などの DMPO の他のコンポーネントのメリットを活用できます。ただし、高レベルの WAN リンク ジッターまたは損失の影響を受けるトラフィックは、Gateway によるエラー修正のメリットはありません。詳細については、『VMware SD-WAN 管理ガイド』のトピック「動的マルチパス最適化 (DMPO)」を参照してください。
    • [ロールのカスタマイズ (Role Customization)]:エンタープライズ スーパー ユーザーが他のエンタープライズ ユーザーのロール権限をカスタマイズできるようにします。
    カスタマーへの管理の委任 (Delegate Management To Customer) カスタマーが選択したプロパティの設定を変更できるようにします。次の 2 つのプロパティは常にカスタマーに対して表示されます。
    • [CoS マッピングの有効化 (Enable CoS Mapping)]:ビジネス ポリシーの設定時に CoS マッピングを設定できるようにします。
    • [サービスのレート制限を有効化 (Enable Service Rate Limiting)]:ビジネス ポリシーでサービスのレート制限を行えるようにします。
    Gateway プール (Gateway Pool)
    現在の Gateway プール (Current Gateway Pool) ドロップダウン メニューから Gateway プールを選択します。
    このプールの Gateway (Gateways in this Pool) 現在のプール内の Gateway の詳細が表示されます。
    パートナー ハンドオフ (Partner Hand Off) このオプションを有効にすると、[ハンドオフの設定 (Configure Hand Off)] セクションが表示されます。詳細については、ハンドオフの設定を参照してください。
    セキュリティ ポリシー (Security Policy)
    ハッシュ (Hash) デフォルトでは、AES-GCM は認証済みの暗号化アルゴリズムであるため、VPN ヘッダーに認証アルゴリズムが設定されていません。[GCM を無効にする (Turn off GCM)] チェックボックスをオンにすると、ドロップダウン メニューから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    暗号化 (Encryption) データを暗号化するアルゴリズムのキー サイズとして [AES 128] または [AES 256] のいずれかを選択します。デフォルトの暗号化アルゴリズム モードは [AES 128] です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。デフォルト値である DH グループ [14] を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。
    GCM を無効にする (Turn off GCM) [ハッシュ (Hash)] を有効にして、VPN ヘッダーの認証アルゴリズムを選択するには、このチェックボックスをオンにします。
    IPsec SA の有効期間 (分) (IPSec SA Lifetime Time(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は [480] 分です。
    注: IPsec に低い有効期間値(10 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。
    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1,440 分です。デフォルト値は [1,440] 分です。
    注: IKE の有効期間に低い値(30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。
    セキュアなデフォルト ルートの上書き (Secure Default Route Override) このチェックボックスをオンにすると、Partner Gateway からのセキュアなデフォルト ルート(スタティック ルートまたは BGP ルート)に一致するトラフィックの宛先を、ビジネス ポリシーを使用して上書きできるようになります。
    注: Edge でセキュア ルーティングを有効にする方法の詳細については、 パートナー ハンドオフの設定を参照してください。ビジネス ポリシー ルールのネットワーク サービスの設定の詳細については、 『VMware SD-WAN 管理ガイド』の「ビジネス ポリシー ルールのネットワーク サービスの設定」を参照してください。この文書は VMware SD-WAN ドキュメントで入手できます。
    Edge ネットワーク機能の仮想化 (Edge Network Function Virtualization)
    Edge NFV このオプションをオンにすると、Edge に VNF をデプロイする機能が有効になります。Edge に 1 つ以上の VNF をデプロイした後は、このオプションを無効にすることはできません。
    セキュリティ VNF (Security VNFs) 関連するチェックボックスを選択して、対応するセキュリティ VNF を Edge に展開します。
    SD-WAN 設定 (SD-WAN Settings)
    OFC のコスト計算 (OFC Cost Calculation) 必要なチェックボックスを選択します。
    • [分散コスト計算 (Distributed Cost Calculation)]:ルート コスト計算を Edge/Gateway に分散するには、このチェックボックスをオンにします。
      注: このオプションは、バージョン 3.4.0 以降の Edge/Gateway でのみ使用できます。
    • [NSD ポリシーの使用 (Use NSD Policy)]:このチェックボックスをオンにして、Edge/Gateway へのルート コスト計算に NSD ポリシーを使用します。
      注: このオプションは、バージョン 4.2.0 以降の Edge/Gateway でのみ使用できます。
    フロー パス計算ごとに複数の DSCP タグ (Multiple-DSCP tags per Flow Path Calculation) フロー ルックアップの一部として DSCP 値を含める場合は、このチェックボックスをオンにします。
    注: このフィールドは、システム プロパティ session.options.enableFlowParametersConfig[True] に設定されている場合にのみ使用可能です。
    機能アクセス (Feature Access) [ステートフル ファイアウォール (Stateful Firewall)] チェックボックスを選択して、エンタープライズ Edge で有効になっているステートフル ファイアウォール設定を上書きします。
  4. [変更の保存 (Save Changes)] をクリックします。
    注: [セキュリティ ポリシー (Security Policy)] 設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。