カスタマーを作成した後、カスタマーがアクセスできる機能オプションと設定を行います。オペレータは、カスタマーが変更できる設定を選択できます。
新しいカスタマーを作成すると、[カスタマー設定 (Customer Configuration)] ページにリダイレクトされ、カスタマーを設定できます。次の手順に従って、オペレータ ポータルから直接 [カスタマー設定 (Customer Configuration)] ページに移動することもできます。
手順
- 監視および設定オプションのページで、カスタマーを選択し、上部のヘッダーで [SD-WAN (SD-WAN)] > [グローバル設定 (Global Settings)] の順にクリックします。
- 左側のメニューで [カスタマー設定 (Customer Configuration)] をクリックします。次のページが表示されます。
[サービス設定 (Service Configuration)] セクションには次のサービスがあります。
- [SD-WAN]
- [Edge Network Intelligence]
- [Cloud Web Security]
- [Secure Access]
- [クラウド ハブ (Cloud Hub)]
[オンにする (Turn On)] ボタンをクリックして、各サービスを有効にします。各タイルの右上隅にある縦の省略記号をクリックして、そのサービスをオフにするか設定します。各タイルの右下隅にある [設定 (Configure)] オプションを使用して、それぞれのサービスを設定することもできます。各タイルには、設定サマリが表示されます。
注: [オフにする (Turn off)] オプションを選択すると、確認を求めるポップアップ ウィンドウが表示されます。チェックボックスを選択し、 [サービスをオフにする (Turn Off Service)] をクリックします。- [SD-WAN]:[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
オプション 説明 ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Network Intelligence を有効化するためにも必要となります。 デフォルトの Edge 認証 (Default Edge Authentication) ドロップダウン メニューから、カスタマーに関連付けられている Edge を認証するためのデフォルトのオプションを選択します。
- [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
- [証明書の取得 (Certificate Acquire)]:このオプションはデフォルトで選択されており、Edge にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SASE Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Edge は、SASE Orchestrator への認証および VCMP トンネルの確立に証明書を使用します。
注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
- [証明書が必要 (Certificate Required)]:Edge は PKI 証明書を使用します。オペレータは、システム プロパティ
edge.certificate.renewal.window
を使用して Edge の証明書更新時間枠を変更できます。
Edge ライセンス 既存の Edge ライセンスが表示されます。[追加 (Add)] をクリックしてライセンスを追加または削除します。 注: ライセンス タイプは、複数の Edge で使用できます。カスタマーのエディションとリージョンに合わせるため、カスタマーにすべてのタイプのライセンスへのアクセス権を付与することをお勧めします。詳細については、 Edge ライセンスを参照してください。カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software) エンタープライズ スーパー ユーザーがエンタープライズで使用可能なソフトウェア イメージを管理できるようにする場合は、このチェックボックスをオンにします。詳細については、『VMware SD-WAN 管理ガイド』のトピック「Edge イメージ管理」を参照してください。 オペレータ プロファイル (Operator Profile) 使用可能なドロップダウン メニューからカスタマーに関連付けるオペレータ プロファイルを選択します。このフィールドは、[カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software)] が選択されている場合は使用できません。オペレータ プロファイルの詳細については、オペレータ プロファイルの管理を参照してください。 セグメントの最大数 (Maximum Number of Segments) 設定可能なセグメントの最大数を入力します。有効な範囲は 1 ~ 16 です。デフォルト値は [16] です。 - [Edge Network Intelligence]:[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
注: このオプションは、 [SD-WAN] サービスがオンになっている場合にのみ選択できます。
オプション 説明 ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Network Intelligence を有効化するためにも必要となります。 分析ノード (Analytics Nodes) 分析ノードとしてプロビジョニングできる Edge の最大数を入力します。デフォルトでは、[制限なし (Unlimited)] が選択されています。 機能アクセス (Feature Access) [自己修復 (Self Healing)] チェックボックスを選択して、Edge Network Intelligence がパフォーマンス向上のための推奨事項を提供できるようにします。 - [Cloud Web Security]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Cloud Web Security は、SaaS およびインターネット アプリケーションにアクセスするユーザーとインフラストラクチャを保護するクラウド ホスト型サービスです。詳細については、『VMware Cloud Web Security 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。
必要なエディションを選択し、[更新 (Update)] をクリックします。[Standard Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化の機能が含まれます。[Advanced Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化と制御、インライン DLP の可視化と制御の機能が含まれます。
- [Secure Access]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Secure Access ソリューションにより、VMware SD-WAN と Workspace ONE サービスが組み合わせられて、世界中のマネージド サービス ノードのネットワークを介して、一貫性のある、最適化されたセキュアなクラウド アプリケーション アクセスが提供されます。詳細については、『VMware Secure Access 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。
PoP の最大数を入力し、[更新 (Update)] をクリックします。
- [クラウド ハブ (Cloud Hub)]:このサービスから MCS(マルチクラウド サービス)アカウントにアクセスできます。詳細については、『SD-WAN 管理ガイド』のトピック「Azure vWAN Hub での NVA の CloudHub の自動展開」を参照してください。
- [カスタマー設定 (Customer Configuration)] ページで使用できる追加の設定は次のとおりです。
オプション 説明 グローバル ユーザー契約書の表示 (User Agreement Display) ドロップダウン メニューから次のいずれかを選択します。 - 継承
- 上書きして非表示
- 上書きして表示
注:このフィールドは、システム プロパティsession.options.enableUserAgreements
が [True] に設定されている場合にのみ使用可能です。機能アクセス (Feature Access) 選択した機能へアクセスできるようにします。次のリストのチェック ボックスを 1 つ以上オンにし、当該カスタマーに対してそれらの機能を有効にします。 - [エンタープライズ認証 (Enterprise Auth)]:デフォルトでは、オペレータのみがエンタープライズの 2 要素認証を有効または無効にできます。このチェック ボックスをオンにすると、エンタープライズ管理者は 2 要素認証を自分で設定できます。このオプションは、Single Sign On (SSO) のアクティベーションとアクティベーションの解除も制御します。
- [プレミアム サービスの有効化 (Enable Premium Service)]:デフォルトでは、このオプションが選択されています。プレミアム サービスは、SD-WAN の動的マルチパス最適化 (DMPO) のコア部分であるオンデマンド修正機能を指します。DMPO は、SD-WAN Gateway を通過するすべてのトラフィックに使用されます。プレミアム サービス (Premium Service) が選択されている場合、Gateway は高レベルの WAN リンク ジッターまたは損失の影響を受けるカスタマー トラフィックに正方向エラー修正 (FEC) を使用します。これは、高品質の WAN リンクにはステアリングできません。プレミアム サービスが選択されていない場合でも、トラフィックは SD-WAN Gateway を通過し、継続的な監視、動的アプリケーション ステアリング、安全なトラフィック転送などの DMPO の他のコンポーネントのメリットを活用できます。ただし、高レベルの WAN リンク ジッターまたは損失の影響を受けるトラフィックは、Gateway によるエラー修正のメリットはありません。詳細については、『VMware SD-WAN 管理ガイド』のトピック「動的マルチパス最適化 (DMPO)」を参照してください。
- [ロールのカスタマイズ (Role Customization)]:エンタープライズ スーパー ユーザーが他のエンタープライズ ユーザーのロール権限をカスタマイズできるようにします。
- [ルートのバックトラック (Route Backtracking)]: デバイスでプレフィックス長の順に最適なルートを選択するのを許可します。
- [製品内のコンテキスト ヘルプ パネル (In-product Contextual Help Panel)]:Orchestrator 内で統合されている「製品内ヘルプ」パネルへアクセスできるようにします。この機能はデフォルトで無効になっています。オペレータは、エンタープライズ カスタマーに対してこのオプションを有効にする必要があります。
- [Orchestrator のファイアウォールのログ作成を有効にする (Enable Firewall logging to Orchestrator) ]:デフォルトでは、Edge からファイアウォールのログを Orchestrator に送信することはできません。Edge からファイアウォールのログを Orchestrator に送信できるようにするには、このチェック ボックスをオンにします。
- [カスタマイズ可能な QoE (Customizable QoE)]:カスタマーが Edge のアプリケーション カテゴリ (音声、ビデオ、トランザクション) の最小/最大遅延しきい値を設定できるようにします。
- [従来の Orchestrator ユーザー インターフェイスの有効化 (Enable Classic Orchestrator UI)]:カスタマーが Angular Orchestrator ユーザー インターフェイスから従来の Orchestrator ユーザー インターフェイスに切り替えられるようにします。このオプションは、システム プロパティ
session.options.enableClassicOrchestrator
が [True] に設定されている場合にのみ使用可能です。
カスタマーへの管理の委任 (Delegate Management To Customer) カスタマーが選択したプロパティの設定を変更できるようにします。次の 2 つのプロパティは常にカスタマーに対して表示されます。 - [CoS マッピングの有効化 (Enable CoS Mapping)]:ビジネス ポリシーの設定時に CoS マッピングを設定できるようにします。
- [サービスのレート制限を有効化 (Enable Service Rate Limiting)]:ビジネス ポリシーでサービスのレート制限を行えるようにします。
Gateway プール (Gateway Pool) 現在の Gateway プール (Current Gateway Pool) 選択したカスタマーに関連付けられている現在の Gateway プールを表示します。必要に応じて、ドロップダウン メニューにある別の Gateway プールを選択できます。[変更の保存 (Save Changes)] をクリックして保存します。 このプールの Gateway (Gateways in this Pool) 現在のプール内の Gateway の詳細が表示されます。 パートナー ハンドオフ (Partner Hand Off) [Gateway プール (Gateway Pool)] オプションを有効にすると、[ハンドオフの設定 (Configure Hand Off)] セクションが表示されます。Gateway プールにある Gateway に Partner Gateway ロールが割り当てられている場合は、その Gateway をパートナーにハンドオフすることができます。詳細については、パートナー ハンドオフの設定を参照してください。 セキュリティ ポリシー (Security Policy) ハッシュ (Hash) デフォルトでは、AES-GCM は認証済みの暗号化アルゴリズムであるため、VPN ヘッダーに認証アルゴリズムが設定されていません。[GCM を無効にする (Turn off GCM)] チェックボックスをオンにすると、ドロップダウン メニューから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。 - SHA 1
- SHA 256
- SHA 384
- SHA 512
暗号化 (Encryption) データを暗号化するアルゴリズムのキー サイズとして [AES 128] または [AES 256] のいずれかを選択します。デフォルトの暗号化アルゴリズム モードは [AES 128] です。 DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされる DH グループは、2、5、14、15、16、19、20、および 21 です。DH グループ 19、20、および 21 は、リリース 5.2.0 以降で使用できます。 注: デフォルト値である DH グループ [14] を使用することをお勧めします。PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされる PFS グループは、2、5、14、15、16、19、20、および 21 です。PFS グループ 19、20、および 21 は、リリース 5.2.0 以降で使用できます。デフォルトでは、PFS は無効になっています。 GCM を無効にする (Turn off GCM) [ハッシュ (Hash)] を有効にして、VPN ヘッダーの認証アルゴリズムを選択するには、このチェックボックスをオンにします。 IPsec SA の有効期間 (分) (IPSec SA Lifetime Time(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は [480] 分です。 注: IPsec に低い有効期間値(10 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1,440 分です。デフォルト値は [1,440] 分です。 注: IKE の有効期間に低い値(30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。セキュアなデフォルト ルートの上書き (Secure Default Route Override) このチェックボックスをオンにすると、Partner Gateway からのセキュアなデフォルト ルート(スタティック ルートまたは BGP ルート)に一致するトラフィックの宛先を、ビジネス ポリシーを使用して上書きできるようになります。 [Edge ネットワーク機能の仮想化 (Edge Network Function Virtualization)]:Edge で NFV を有効にできるようにし、カスタマーがサービスの準備ができた Edge プラットフォームにサードパーティの VNF をデプロイできるようにします。現在、サービスの準備ができた Edge プラットフォーム モデルは、520v と 840 です。オペレータ ユーザーが [Edge NFV] を有効にすると、カスタマーは VNF と VNF ライセンスをネットワーク サービスで設定してデプロイできるようになります。 Edge NFV このオプションをオンにすると、Edge に VNF をデプロイする機能が有効になります。Edge に 1 つ以上の VNF をデプロイした後は、このオプションを無効にすることはできません。 セキュリティ VNF (Security VNFs) 関連するチェックボックスを選択して、対応するセキュリティ VNF を Edge に展開します。詳細については、『VMware SD-WAN 管理ガイド』のトピック「セキュリティ VNF」を参照してください。 SD-WAN 設定 (SD-WAN Settings) OFC のコスト計算 (OFC Cost Calculation) 必要なチェックボックスを選択します。 - [分散コスト計算 (Distributed Cost Calculation)]:ルート コスト計算を Edge/Gateway に分散するには、このチェックボックスをオンにします。
注: このオプションは、バージョン 3.4.0 以降の Edge/Gateway でのみ使用できます。 [分散コスト計算 (Distributed Cost Calculation)] を有効にした後に、エンタープライズ ポータルの [SD-WAN] サービスで [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)]に移動してルートを更新することをお勧めします。詳細については、 分散コスト計算の設定を参照してください。
- [NSD ポリシーの使用 (Use NSD Policy)]:このチェックボックスをオンにして、Edge/Gateway へのルート コスト計算に NSD ポリシーを使用します。
注: このオプションは、バージョン 4.2.0 以降の Edge/Gateway でのみ使用できます。
フロー パス計算ごとに複数の DSCP タグ (Multiple-DSCP tags per Flow Path Calculation) この機能を使用するのは、元のユーザー トラフィックが別のトンネル (GRE/IPsec) にカプセル化されており、DSCP ラベルが新しい IP ヘッダーに保存されている場合です。この機能では、DSCP タグが複数ある単一のフロー (同じ送信元/宛先)のパス計算を有効にし、パスの差別化をフローの DSCP 値に基づいて行います。 [フロー ルックアップに DSCP 値を含める (Include DSCP value as part of flow lookup)] チェック ボックスをオンにして、DSCP 値をフロー ルックアップとパス計算の一部にします。詳細については、フローごとに複数の DSCP ラベルを使用したパス計算の設定を参照してください。
注: このフィールドは、システム プロパティsession.options.enableFlowParametersConfig
が [True] に設定されている場合にのみ使用可能です。機能アクセス (Feature Access) ステートフル ファイアウォール [ステートフル ファイアウォール (Stateful Firewall)] チェックボックスを選択して、エンタープライズ Edge で有効になっているステートフル ファイアウォール設定を上書きします。 拡張ファイアウォール サービス (EFS) [拡張ファイアウォール サービス (Enhanced Firewall Services)] チェック ボックスをオンにして、VMware SASE Orchestrator のファイアウォール機能を使用した拡張ファイアウォール サービス (EFS) を有効にします。 注: 拡張ファイアウォール サービス (EFS) を機能させるには、Edge のバージョンが 5.2.0.0 にアップグレードされていることを確実にします。注: このオプションをオフにすると、ユーザー インターフェイスの EFS 機能のみが無効になります。既存のカスタマーの EFS 機能を無効にするには、まずエンタープライズ ポータルの SD-WAN サービスで、 [設定 (Configure)] > [プロファイル/Edge (Profiles/Edges)] > [ファイアウォール (Firewall)] > [拡張ファイアウォール サービス (Enhanced Firewall Services)] に移動して EFS 機能を無効にしてから、[グローバル設定 (Global Settings)] で該当するチェック ボックスをオフにする必要があります。拡張ファイアウォール サービス (EFS) ポリシー ルールの設定の詳細については、『VMware SD-WAN 管理ガイド』のトピック「拡張ファイアウォール サービス (EFS) の設定」を参照してください。 - [変更の保存 (Save Changes)] をクリックします。
注: [セキュリティ ポリシー (Security Policy)] 設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。