オペレータは、システム プロパティの値の追加や変更ができます。

次の表に、システム プロパティの一部を記載します。オペレータは、これらのプロパティの値を設定できます。

表 1. アラート メール
システム プロパティ 説明
vco.alert.mail.to

アラートがトリガーされると、このシステム プロパティの [値 (Value)] フィールドに記載されているリストのメール アドレスに、すぐに通知が送信されます。複数の E メール ID をカンマ区切りで入力できます。

このプロパティに値が含まれていない場合、通知は送信されません。

この通知は、カスタマーに通知する前に、差し迫った問題のアラートを VMware サポート/運用担当者に送信することを目的としています。

vco.alert.mail.cc アラート メールがどのカスタマーに送信される場合でも、このシステム プロパティの [値 (Value)] フィールドに記載されているメール アドレスにコピーが送信されます。複数の E メール ID をカンマ区切りで入力できます。
mail.* アラート メールを制御するために使用できるシステム プロパティは複数あります。SMTP プロパティ、ユーザー名、パスワードなどの E メール パラメータを定義できます。
表 2. アラート (Alerts)
システム プロパティ 説明
vco.alert.enable オペレータとエンタープライズ カスタマーの両方のアラート生成をグローバルに有効にするか、無効にします。
vco.enterprise.alert.enable エンタープライズ カスタマーのアラート生成をグローバルに有効にするか、無効にします。
vco.operator.alert.enable オペレータのアラート生成をグローバルに有効にするか、無効にします。
表 3. Bastion Orchestrator 設定
システム プロパティ 説明
session.options.enableBastionOrchestrator Bastion Orchestrator の機能を有効にします。

詳細については、『Bastion Orchestrator 設定ガイド』を参照してください。この文書はhttps://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで入手できます。

vco.bastion.private.enable Orchestrator を Bastion ペアのプライベート Orchestrator にすることができます。
vco.bastion.public.enable Orchestrator を Bastion ペアのパブリック Orchestrator にすることができます。
表 4. 認証局
システム プロパティ 説明
edge.certificate.renewal.window このオプションのシステム プロパティにより、オペレータは、Edge 証明書の更新が有効となる 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。

システム プロパティを有効にする:

このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。このシステム プロパティが有効になっているときの最初の部分の例を次に示します。

オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。

注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
  • PDT または PST ではなく IANA タイム ゾーンを使用します(例:America/Los_Angeles)。詳細については、https://en.wikipedia.org/wiki/List_of_tz_database_time_zonesを参照してください。
  • 曜日には UTC を使用します(例:SAT、SUN)。
    • コンマで区切ります。
    • 曜日は英字 3 文字です。
    • 大文字と小文字は区別されません。
  • 開始時刻(例:01:30)や終了時刻(例:05:30)には、ミリタリータイムの 24 時間形式 (HH: MM) のみを使用します。

上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。

  • 「enabled」を指定しない場合、デフォルト値は「false」になります。
  • 「timezone」を指定しない場合、デフォルト値は「local」になります。
  • [days] または終了および開始時刻のいずれかを指定しない場合、デフォルトは次のようになります。
    • [days] を指定しない場合、開始/終了は各曜日(「mon」、「tue」、「wed」、「thu」、「fri」、「sat」、「sun」)に適用されます。
    • 終了および開始時刻のいずれかを指定しない場合、指定した日の任意の時間が一致します(開始時刻は「00:00」で終了時刻は「23:59」)。
    • 注:[days] または終了および開始時刻のいずれかが存在する必要があります。ただし、指定しない場合は、デフォルトで上記のようになります。

システム プロパティの無効化

このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。

{

"enabled": false,

"windows": [

{

注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。

gateway.certificate.renewal.window このオプションのシステム プロパティにより、オペレータは、Gateway 証明書の更新が有効な 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。

システム プロパティを有効にする:

このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。例については、次の図を参照してください。

オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日、または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。

注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
  • PDT または PST ではなく IANA タイム ゾーンを使用します(例:America/Los_Angeles)。詳細については、https://en.wikipedia.org/wiki/List_of_tz_database_time_zonesを参照してください。
  • 曜日には UTC を使用します(例:SAT、SUN)。
    • コンマで区切ります。
    • 曜日は英字 3 文字です。
    • 大文字と小文字は区別されません。
  • 開始時刻(例:01:30)や終了時刻(例:05:30)には、ミリタリータイムの 24 時間形式 (HH: MM) のみを使用します。

上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。

  • 「enabled」を指定しない場合、デフォルト値は「false」になります。
  • 「timezone」を指定しない場合、デフォルト値は「local」になります。
  • [days] または終了および開始時刻のいずれかを指定しない場合、デフォルトは次のようになります。
    • [days] を指定しない場合、開始/終了は各曜日(「mon」、「tue」、「wed」、「thu」、「fri」、「sat」、「sun」)に適用されます。
    • 終了および開始時刻のいずれかを指定しない場合、指定した日の任意の時間が一致します(開始時刻は「00:00」で終了時刻は「23:59」)。
    • 注:[days] または(終了および開始)のいずれかが存在する必要があります。ただし、指定しない場合は、デフォルトで上記のようになります。

システム プロパティの無効化

このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。

{

"enabled": false,

"windows": [

{

注: このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。
表 5. データ保持
システム プロパティ 説明
retention.highResFlows.days このシステム プロパティにより、オペレータは、高解像度のフロー統計情報のデータ保持を 1 ~ 90 日の間で設定できます。
retention.lowResFlows.months このシステム プロパティにより、オペレータは、低解像度のフロー統計情報のデータ保持を 1 ~ 365 日の間で設定できます。
session.options.maxFlowstatsRetentionDays このプロパティにより、オペレータは 2 週間を超えるフロー統計情報のデータをクエリできます。
retentionWeeks.enterpriseEvents エンタープライズ イベントの保持期間(-1 は保持期間を許可される最大期間に設定します)
retentionWeeks.operatorEvents オペレータ イベントの保持期間(-1 は保持期間を許可される最大期間に設定します)
retentionWeeks.proxyEvents プロキシ イベントの保持期間(-1 は保持期間を許可される最大期間に設定します)
retentionWeeks.firewallLogs ファイアウォール ログの保持期間(-1 は保持期間を許可される最大期間に設定します)
retention.linkstats.days リンク統計情報の保持期間(-1 は保持期間を許可される最大期間に設定します)
retention.linkquality.days リンク品質イベントの保持期間(-1 は保持期間を許可される最大期間に設定します)
retention.healthstats.days Edge の健全性統計情報の保持期間(-1 は保持期間を許可される最大期間に設定します)
retention.pathstats.days パス統計情報の保持期間(-1 は保持期間を許可される最大期間に設定します)
表 6. SD-WAN データ保持
SD-WAN データ システム プロパティ デフォルト 最大値 4.0 より前のリリース
エンタープライズ イベント retentionWeeks.enterpriseEvents 40 週間 1 年間 40 週間
エンタープライズ アラート 該当なし 40 週間 1 年間 ポリシーなし
オペレータ イベント retentionWeeks.operatorEvents 40 週間 1 年間 40 週間
エンタープライズ プロキシ イベント retentionWeeks.proxyEvents 40 週間 1 年間 40 週間
ファイアウォールのログ retentionWeeks.firewallLogs 非サポート 非サポート 40 週間
リンク統計情報 retention.linkstats.days 40 週間 1 年間 40 週間
リンク QoE retention.linkquality.days 40 週間 1 年間 40 週間
パス統計情報 retention.pathstats.days 2 週間 2 週間 該当なし
フロー統計情報 retention.lowResFlows.months

retention.highResFlows.days

1 年間:1 時間のロールアップ

2 週間:5 分

1 年間:1 時間のロールアップ

3 か月:5 分

1 年間(ロールアップあり)
Edge の健全性統計情報(リリース 5.0 以降) retention.healthstats.days 1 年間 1 年間 該当なし
表 7. Edge
システム プロパティ 説明
edge.offline.limit.sec 指定の期間に Edge からのハートビートが Orchestrator で検出されない場合、Edge の状態は OFFLINE モードに移行されます。
edge.link.unstable.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは UNSTABLE モードに移行されます。
edge.link.disconnected.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは切断されます。
edge.deadbeat.limit.days 指定した日数の間 Edge がアクティブでない場合、Edge はアラートの生成で考慮されません。
vco.operator.alert.edgeLinkEvent.enable Edge Link イベントのオペレータ アラートをグローバルに有効にするか、無効にします。
vco.operator.alert.edgeLiveness.enable Edge Liveness イベントのオペレータ アラートをグローバルに有効にするか、無効にします。
表 8. Edge アクティベーション
システム プロパティ 説明
edge.activation.key.encode.enable Edge のアクティベーション メールがサイトの連絡先に送信されるときに、Base64 はアクティベーション URL パラメータを不明瞭な値にエンコードします。
edge.activation.trustedIssuerReset.enable Orchestrator 認証局のみが含まれるように、Edge の信頼されている証明書発行者リストをリセットします。Edge からのすべての TLS トラフィックは、新しい発行者リストによって制限されます。
network.public.certificate.issuer [edge.activation.trustedIssuerReset.enable] が True に設定されている場合、[network.public.certificate.issuer] の値を Orchestrator サーバ証明書の発行者の PEM エンコーディングと等しくなるように設定します。これにより、Orchestrator 認証局に加えて、サーバ証明書の発行者が Edge の信頼された発行者に追加されます。
表 9. 監視
システム プロパティ 説明
vco.monitor.enable エンタープライズおよびオペレータ エンティティの状態の監視をグローバルに有効にするか、無効にします。値を [False] に設定すると、SASE Orchestrator ではエンティティの状態を変更したりアラートをトリガーしたりすることができなくなります。
vco.enterprise.monitor.enable エンタープライズ エンティティの状態の監視をグローバルに有効にするか、無効にします。
vco.operator.monitor.enable オペレータ エンティティの状態の監視をグローバルに有効にするか、無効にします。
表 10. 通知
システム プロパティ 説明
vco.notification.enable オペレータとエンタープライズの両方へのアラート通知の配信をグローバルに有効にするか、無効にします。
vco.enterprise.notification.enable エンタープライズへのアラート通知の配信をグローバルに有効にするか、無効にします。
vco.operator.notification.enable オペレータへのアラート通知の配信をグローバルに有効にするか、無効にします。
表 11. パスワードのリセットとロックアウト
システム プロパティ 説明
vco.enterprise.resetPassword.token.expirySeconds エンタープライズ ユーザーのパスワード リセット リンクの有効期限が切れるまでの期間。
vco.enterprise.authentication.passwordPolicy

カスタマー ユーザーのパスワード強度、履歴、有効期限ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。

[強度]

  • [minlength:]パスワードの最小文字数。デフォルトの最小パスワード長は 8 文字です。
  • [maxlength:]パスワードの最大文字数。デフォルトの最大パスワード長は 32 文字です。
  • [requireNumber:]パスワードには少なくとも 1 つの数字を含める必要があります。数字の要件はデフォルトで有効になっています。
  • [requireLower:]パスワードには少なくとも 1 つの小文字を含める必要があります。小文字の要件はデフォルトで有効になっています。
  • [requireUpper:]パスワードには少なくとも 1 つの大文字を含む必要があります。大文字の要件はデフォルトでは有効になっていません。
  • [requireSpecial:]パスワードには少なくとも 1 つの特殊文字(_@! など)を含める必要があります。特殊文字の要件は、デフォルトでは有効になっていません。
  • [excludeTop:]最も使用されているパスワードのリストと一致しないパスワードにする必要があります。デフォルト値は 1000 で、最も使用されているパスワードのトップ 1,000 件を表し、最も使用されているパスワードの最大数を 10,000 に設定できます。
  • [maxRepeatingCharacters:]パスワード内の繰り返し文字数は設定可能な数以下にする必要があります。たとえば、maxRepeatingCharacters が「2」に設定されている場合、Orchestrator は「Passwordaaa」のような 3 文字以上の繰り返し文字を含むパスワードを拒否します。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [maxSequenceCharacters:]パスワード内の連続する文字数は設定可能な数以下にする必要があります。たとえば、maxSequenceCharacters が「3」に設定されている場合、Orchestrator は「Password1234」のように連続する 4 文字以上のパスワードを拒否します。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [disallowUsernameCharacters:] パスワードは、ユーザー ID の設定可能な部分と一致しないようにする必要があります。たとえば、disallowUsernameCharacters が「5」に設定されている場合、ユーザー名 [email protected] のユーザーが「usern」または「serna」、またはユーザーのユーザー名のセクションと一致する 5 文字の文字列を含む新しいパスワードを設定しようとすると、その新しいパスワードは Orchestrator によって拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [variationValidationCharacters:]新しいパスワードには、古いパスワードと異なる文字を設定可能な文字数含める必要があります。Orchestrator は、新しいパスワードと古いパスワードの違いを判断するために、2 つの単語間のレーベンシュタイン距離を使用します。レーベンシュタイン距離は、1 つの単語を別の単語に変更するために必要な 1 文字の編集(挿入、削除、または置換)の最小回数です。
  • variationValidationCharacters が「4」に設定されている場合、新しいパスワードと古いパスワードの間のレーベンシュタイン距離が 4 以上である必要があります。つまり、新しいパスワードは、古いパスワードから文字単位の変更を 4 回以上行ったものである必要があります。たとえば、使用していた古いパスワードが「kitten」で、新しいパスワードが「sitting」の場合、これらのパスワードのレーベンシュタイン距離は 3 になります。これは、「kitten」を「sitting」に変更するのに 3 回の編集しか必要としないためです。
    • kitten → sitten (「k」を「s」に置き換え)
    • sitten → sittin (「e」を「i」に置き換え)
    • sittin → sitting (末尾に「g」を挿入)。

新しいパスワードは古いパスワードから 3 文字しか変わらないため、「kitten」を置き換えるための新しいパスワードとして「sitting」は拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。

[expiry]
  • [enable]:これを [true] に設定して、カスタマー ユーザー パスワードの自動的な有効期限切れを有効にします。
  • [days]:カスタマー パスワードを使用する日数を入力します。これを過ぎると、有効期限が強制的に切れます。
[history]
  • [enable]:これを [true] に設定して、カスタマー ユーザーのこれまでのパスワードの記録を有効にします。
  • [count]:履歴に保存するこれまでのパスワードの数を入力します。カスタマー ユーザーがパスワードを変更しようとしても、システムでは履歴にすでに保存されているパスワードの入力をユーザーに許可しません。
enterprise.user.lockout.defaultAttempts エンタープライズ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。
enterprise.user.lockout.defaultDurationSeconds エンタープライズ ユーザー アカウントがロックされる期間。
enterprise.user.lockout.enabled エンタープライズのログイン失敗のロックアウト オプションを有効にするか、無効にします。
vco.operator.resetPassword.token.expirySeconds オペレータ ユーザーのパスワード リセット リンクが期限切れになるまでの期間。
vco.operator.authentication.passwordPolicy

オペレータ ユーザーのパスワード強度、履歴、有効期限ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。

[強度]

  • [minlength:]パスワードの最小文字数。デフォルトの最小パスワード長は 8 文字です。
  • [maxlength:]パスワードの最大文字数。デフォルトの最大パスワード長は 32 文字です。
  • [requireNumber:]パスワードには少なくとも 1 つの数字を含める必要があります。数字の要件はデフォルトで有効になっています。
  • [requireLower:]パスワードには少なくとも 1 つの小文字を含める必要があります。小文字の要件はデフォルトで有効になっています。
  • [requireUpper:]パスワードには少なくとも 1 つの大文字を含む必要があります。大文字の要件はデフォルトでは有効になっていません。
  • [requireSpecial:]パスワードには少なくとも 1 つの特殊文字(_@! など)を含める必要があります。特殊文字の要件は、デフォルトでは有効になっていません。
  • [excludeTop:]最も使用されているパスワードのリストと一致しないパスワードにする必要があります。デフォルト値は 1000 で、最も使用されているパスワードのトップ 1,000 件を表し、最も使用されているパスワードの最大数を 10,000 に設定できます。
  • [maxRepeatingCharacters:]パスワード内の繰り返し文字数は設定可能な数以下にする必要があります。たとえば、maxRepeatingCharacters が「2」に設定されている場合、Orchestrator は「Passwordaaa」のような 3 文字以上の繰り返し文字を含むパスワードを拒否します。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [maxSequenceCharacters:]パスワード内の連続する文字数は設定可能な数以下にする必要があります。たとえば、maxSequenceCharacters が「3」に設定されている場合、Orchestrator は「Password1234」のように連続する 4 文字以上のパスワードを拒否します。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [disallowUsernameCharacters:] パスワードは、ユーザー ID の設定可能な部分と一致しないようにする必要があります。たとえば、disallowUsernameCharacters が「5」に設定されている場合、ユーザー名 [email protected] のユーザーが「usern」または「serna」、またはユーザーのユーザー名のセクションと一致する 5 文字の文字列を含む新しいパスワードを設定しようとすると、その新しいパスワードは Orchestrator によって拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。
  • [variationValidationCharacters:]新しいパスワードには、古いパスワードと異なる文字を設定可能な文字数含める必要があります。Orchestrator は、新しいパスワードと古いパスワードの違いを判断するために、2 つの単語間のレーベンシュタイン距離を使用します。レーベンシュタイン距離は、1 つの単語を別の単語に変更するために必要な 1 文字の編集(挿入、削除、または置換)の最小回数です。
  • variationValidationCharacters が「4」に設定されている場合、新しいパスワードと古いパスワードの間のレーベンシュタイン距離が 4 以上である必要があります。つまり、新しいパスワードは、古いパスワードから文字単位の変更を 4 回以上行ったものである必要があります。たとえば、使用していた古いパスワードが「kitten」で、新しいパスワードが「sitting」の場合、これらのパスワードのレーベンシュタイン距離は 3 になります。これは、「kitten」を「sitting」に変更するのに 3 回の編集しか必要としないためです。
    • kitten → sitten (「k」を「s」に置き換え)
    • sitten → sittin (「e」を「i」に置き換え)
    • sittin → sitting (末尾に「g」を挿入)。

新しいパスワードは古いパスワードから 3 文字しか変わらないため、「kitten」を置き換えるための新しいパスワードとして「sitting」は拒否されます。デフォルト値の -1 は、この機能が有効になっていないことを示します。

[expiry]
  • [enable]:これを [true] に設定して、オペレータ ユーザー パスワードの自動的な有効期限切れを有効にします。
  • [days]:オペレータ パスワードを使用する日数を入力します。これを過ぎると、有効期限が強制的に切れます。
[history]
  • [enable]:これを [true] に設定して、オペレータ ユーザーのこれまでのパスワードの記録を有効にします。
  • [count]:履歴に保存するこれまでのパスワードの数を入力します。オペレータ ユーザーがパスワードを変更しようとしても、システムでは履歴にすでに保存されているパスワードの入力をユーザーに許可しません。
operator.user.lockout.defaultAttempts オペレータ ユーザーがログインを試行できる回数ログインを指定の回数失敗すると、アカウントはロックされます。
operator.user.lockout.defaultDurationSeconds オペレータ ユーザー アカウントがロックされる期間。
operator.user.lockout.enabled オペレータのログイン失敗のロックアウト オプションを有効にするか、無効にします。
表 12. API のレート制限
システム プロパティ 説明
vco.api.rateLimit.enabled オペレータ スーパー ユーザーがシステム レベルでレート制限機能を有効にしたり無効にしたりできるようにします。デフォルトでは、値は「[False]」です。
注: レートリミッタは完全には有効になっていません。つまり、 [vco.api.rateLimit.mode.logOnly] 設定が無効になっていない限り、設定された制限を超える API リクエストを拒否しません。
vco.api.rateLimit.mode.logOnly

オペレータ スーパー ユーザーが [LOG_ONLY] モードでレート制限を使用できるようにします。値が [True] に設定され、レート制限を超えると、このオプションはエラーのみを記録し、それぞれのメトリックを起動して、クライアントがレート制限なしで要求を実行することを許可します。

値が [False] に設定されている場合、要求 API が定義されたポリシーによって制限され、HTTP 429 が返されます。

vco.api.rateLimit.rules.global

JSON 配列で、レートリミッタによって使用されるグローバルに適用可能なポリシーのセットを定義できます。デフォルトでは、値は空の配列です。

各タイプのユーザー(オペレータ、パートナー、およびカスタマー)は、5 秒ごとに最大 500 の要求を実行できます。要求の数は、レート制限された要求の動作パターンに基づいて変更される場合があります。

JSON 配列は次のパラメータで構成されます。

[Types]:type オブジェクトは、レート制限が適用されるさまざまなコンテキストを表します。使用可能な type オブジェクトは次のとおりです。
  • [SYSTEM]:すべてのユーザーによって共有されるグローバル制限を指定します。
  • [OPERATOR_USER]:すべてのオペレータ ユーザーについて一般に設定できる制限。
  • [ENTERPRISE_USER]:すべてのエンタープライズ ユーザーについて一般に設定できる制限。
  • [MSP_USER]:すべての MSP ユーザーについて一般に設定できる制限。
  • [ENTERPRISE]:エンタープライズのすべてのユーザー間で共有でき、ネットワーク内のすべてのエンタープライズに適用できる制限。
  • [PROXY]:プロキシのすべてのユーザー間で共有でき、すべてのプロキシに適用できる制限。
[Policies]:ルールをポリシーに追加して、ルールに一致する要求を適用します。次のパラメータを設定します。
  • [Match]:一致する要求のタイプを入力します。
    • [All]:type オブジェクトのいずれかに一致するすべての要求をレート制限します。
    • [METHOD]:指定されたメソッド名に一致するすべての要求をレート制限します。
    • [METHOD_PREFIX]:指定されたメソッド グループに一致するすべての要求をレート制限します。
  • [Rules]:次のパラメータの値を入力します。
    • [maxConcurrent]:同時に実行できるジョブの数。
    • [reservoir]:リミッタがジョブの実行を停止するまでに実行できるジョブ数。
    • [reservoirRefreshAmount][reservoirRefreshInterval] を使用しているときにリザーバに設定する値。
    • [reservoirRefreshInterval][reservoirRefreshInterval] のミリ秒ごとに [reservoir] 値が自動的に [reservoirRefreshAmount] の値に更新されます。[reservoirRefreshInterval] の値は、250(クラスタリングの場合は 5000)の倍数にする必要があります。

[Enabled]:各タイプの制限を有効にしたり無効にしたりするには [APIRateLimiterTypeObject][enabled] キーを含めます。デフォルトでは、キーが含まれていない場合でも、[enabled] の値は「True」になります。個々のタイプの制限を無効にするには、["enabled": false] キーを含める必要があります。

次の例は、デフォルト値の JSON ファイルのサンプルを示しています。

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
注: 設定パラメータのデフォルト値を変更しないことをお勧めします。
vco.api.rateLimit.rules.enterprise.default 新しく作成されたカスタマーに適用されるエンタープライズ固有のポリシーのデフォルト セットを設定します。カスタマー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterprise] に保存されます。
vco.api.rateLimit.rules.enterpriseProxy.default 新しく作成されたパートナーに適用されるエンタープライズ固有のポリシーのデフォルト セットを設定します。パートナー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterpriseProxy] に保存されます。

レート制限の詳細については、API 要求のレート制限を参照してください。

表 13. リモート診断
システム プロパティ 説明
network.public.address SASE Orchestrator UI にアクセスするために使用されるブラウザ オリジン アドレス/DNS ホスト名を指定します。
network.portal.websocket.address ブラウザのアドレスが network.public.address システム プロパティの値と一致していない場合、ブラウザから SASE Orchestrator UI にアクセスする代替の DNS ホスト名/アドレスを設定できます。

リモート診断で WebSocket 接続が使用されるようになったため、Web セキュリティを確保するために、Orchestrator UI へのアクセスに使用されるブラウザ オリジン アドレスが、受信要求に対して検証されます。ほとんどの場合、このアドレスは network.public.address システム プロパティと同じです。まれに、network.public.address システム プロパティに設定されている値とは異なる別の DNS ホスト名/アドレスを使用して Orchestrator UI にアクセスできることがあります。このような場合は、このシステム プロパティを代替の DNS ホスト名/アドレスに設定できます。デフォルトでは、この値は設定されていません。

session.options.websocket.portal.idle.timeout アイドル状態のブラウザ WebSocket 接続がアクティブを維持する合計時間(秒単位)を設定できます。デフォルトでは、ブラウザの WebSocket 接続はアイドル状態で 300 秒間アクティブです。
表 14. セグメント
システム プロパティ 説明
enterprise.capability.enableSegmentation エンタープライズ ユーザーのセグメント機能を有効にするか、無効にします。
enterprise.segments.system.maximum エンタープライズ ユーザーに許可されるセグメントの最大数を指定します。エンタープライズ ユーザーに対して SASE Orchestrator で 128 セグメントを有効にする場合は、このシステム プロパティの値を 128 に変更してください。
enterprise.segments.maximum 新規または既存のエンタープライズ ユーザーに許可されるセグメントの最大数のデフォルト値を指定します。エンタープライズ ユーザーのデフォルト値は 16 です。
注: この値は、システム プロパティ enterprise.segments.system.maximum で定義されている数値以下である必要があります。
エンタープライズ ユーザーに対して 128 セグメントを有効にする場合は、このシステム プロパティの値を変更することは推奨されません。代わりに、[カスタマー設定 (Customer Configuration)] ページで [カスタマーの機能 (Customer Capabilities)] を有効にして、必要な数のセグメントを設定できます。手順については、『VMware SD-WAN オペレータ ガイド』の「カスタマー機能の設定」セクションを参照してください。この文書は、VMware SD-WAN のドキュメントで入手できます。
enterprise.subinterfaces.maximum エンタープライズ ユーザーに設定できるサブインターフェイスの最大数を指定します。デフォルト値は 32 です。
enterprise.vlans.maximum エンタープライズ ユーザーに設定できる VLAN の最大数を指定します。デフォルト値は 32 です。
session.options.enableAsyncAPI エンタープライズ ユーザーのセグメント スケールを 128 セグメントに増やすと、UI タイムアウトを防ぐために、このシステム プロパティを使用して UI で非同期 API サポートを有効にできます。デフォルト値は true です。
session.options.asyncPollingMilliSeconds UI での非同期 API のポーリング間隔を指定します。デフォルト値は 5000 ミリ秒です。
session.options.asyncPollingMaxCount UI から getStatus API を呼び出す最大回数を指定します。デフォルト値は 10 です。
vco.enterprise.events.configuration.diff.enable 設定の差分イベント ログを有効にするか、無効にします。エンタープライズ ユーザーのセグメント数が 4 を超えると、設定の差分イベント ログが無効になります。このシステム プロパティを使用して、設定の差分イベント ログを有効にできます。
表 15. セルフサービス パスワード リセット
システム プロパティ 説明
vco.enterprise.resetPassword.twoFactor.mode すべてのエンタープライズ ユーザーのパスワード リセット認証の第 2 レベルのモードを定義します。現在、SMS モードのみがサポートされています。
vco.enterprise.resetPassword.twoFactor.required エンタープライズ ユーザーのパスワード リセットの 2 要素認証を有効にするか、無効にします。
vco.enterprise.selfResetPassword.enabled エンタープライズ ユーザーのセルフサービス パスワード リセットを有効にするか、無効にします。
vco.enterprise.selfResetPassword.token.expirySeconds エンタープライズ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。
vco.operator.resetPassword.twoFactor.required オペレータ ユーザーのパスワード リセットの 2 要素認証を有効にするか、無効にします。
vco.operator.selfResetPassword.enabled オペレータ ユーザーのセルフサービス パスワード リセットを有効にするか、無効にします。
vco.operator.selfResetPassword.token.expirySeconds オペレータ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。
表 16. Syslog 転送
システム プロパティ 説明
log.syslog.backend バックエンド サービスの Syslog 統合設定。
log.syslog.portal ポータル サービスの Syslog 統合設定。
log.syslog.upload サービスの Syslog 統合設定をアップロードします。
log.syslog.lastFetchedCRL.backend 最後に更新された CRL をサービス Syslog の PEM 形式の文字列として保持し、定期的に更新します。
log.syslog.lastFetchedCRL.portal 最後に更新された CRL をサービス Syslog の PEM 形式の文字列として保持し、定期的に更新します。
log.syslog.lastFetchedCRL.upload 最後に更新された CRL をサービス Syslog の PEM 形式の文字列として保持し、定期的に更新します。
表 17. TACACS サービス
システム プロパティ 説明
session.options.enableTACACS エンタープライズ ユーザーの TACACS サービスを有効または無効にします。
表 18. 2 要素認証
システム プロパティ 説明
vco.enterprise.authentication.twoFactor.enable エンタープライズ ユーザーの 2 要素認証を有効にするか、無効にします。
vco.enterprise.authentication.twoFactor.mode エンタープライズ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。
vco.enterprise.authentication.twoFactor.require エンタープライズ ユーザーに対する 2 要素認証を必須と定義します。
vco.operator.authentication.twoFactor.enable オペレータ ユーザーの 2 要素認証を有効にするか、無効にします。
vco.operator.authentication.twoFactor.mode オペレータ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。
vco.operator.authentication.twoFactor.require オペレータ ユーザーに対する 2 要素認証を必須と定義します。
表 19. 仮想ネットワーク機能 (VNF) の設定
システム プロパティ 説明
edge.vnf.extraImageInfos 仮想ネットワーク機能 (VNF) イメージのプロパティを定義します。
[値 (Value)] フィールドに、仮想ネットワーク機能 (VNF) イメージに関する次の情報を JSON 形式で入力できます。
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Check Point ファイアウォール イメージの JSON ファイルの例:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Fortinet ファイアウォール イメージの JSON ファイルの例:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit データベースに格納されるレコードの数を定義します。
enterprise.capability.edgeVnfs.enable サポートされている Edge モデルで仮想ネットワーク機能 (VNF) のデプロイを有効にします。
enterprise.capability.edgeVnfs.securityVnf.checkPoint Check Point Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
enterprise.capability.edgeVnfs.securityVnf.fortinet Fortinet Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
enterprise.capability.edgeVnfs.securityVnf.paloAlto Palo Alto Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
session.options.enableVnf 仮想ネットワーク機能 (VNF) を有効にします
vco.operator.alert.edgeVnfEvent.enable Edge の仮想ネットワーク機能 (VNF) イベントのオペレータ アラートをグローバルに有効にするか、無効にします
vco.operator.alert.edgeVnfInsertionEvent.enable Edge の仮想ネットワーク機能 (VNF) 挿入イベントのオペレータ アラートをグローバルに有効にするか、無効にします
表 20. VPN
システム プロパティ 説明
vpn.disconnect.wait.sec システムが VPN トンネルを切断するまで待機する時間間隔。
vpn.reconnect.wait.sec システムが VPN トンネルを再接続するまで待機する時間間隔。
表 21. 警告バナー
システム プロパティ 説明
login.warning.banner.message このオプションのシステム プロパティを使用して、オペレータは、セキュリティ管理者が指定したアドバイザリ通知と、SASE Orchestrator の使用に関する同意警告メッセージを設定して表示できます。警告メッセージは、ユーザー ログインの前に SASE Orchestrator に表示されます。

このシステム プロパティを設定する方法については、SD-WAN Orchestrator のアドバイザリ通知と同意警告メッセージの設定を参照してください。

表 22. Zscaler
システム プロパティ 説明
session.options.enableZscalerProfileAutomation Zscaler 設定をプロファイル レベルで行うことができるようにします。