운영자는 시스템 속성의 값을 추가하거나 수정할 수 있습니다.

다음 표에서는 일부 시스템 속성에 대해 설명합니다. 운영자는 이러한 속성에 대한 값을 설정할 수 있습니다.

표 1. 경고 이메일
시스템 속성 설명
vco.alert.mail.to

경고가 트리거되면 이 시스템 속성의 [값(Value)] 필드에 제공된 이메일 주소 목록으로 알림이 즉시 전송됩니다. 여러 이메일 ID를 쉼표로 구분하여 입력할 수 있습니다.

속성에 값이 포함되어 있지 않으면 알림이 전송되지 않습니다.

이 알림은 고객에게 알리기 전에 발생할 수 있는 문제를 VMware 지원/운영 담당자에게 경고하기 위한 것입니다.

vco.alert.mail.cc 경고 이메일이 고객에게 전송되면 이 시스템 속성의 [값(Value)] 필드에 제공된 이메일 주소로 복사본이 전송됩니다. 여러 이메일 ID를 쉼표로 구분하여 입력할 수 있습니다.
mail.* 경고 이메일을 제어하는 데 사용할 수 있는 여러 시스템 속성이 있습니다. SMTP 속성, 사용자 이름, 암호 등과 같은 이메일 매개 변수를 정의할 수 있습니다.
표 2. 경고(Alerts)
시스템 속성 설명
vco.alert.enable 운영자 및 엔터프라이즈 고객 모두를 대상으로 경고 생성을 전역적으로 활성화하거나 비활성화합니다.
vco.enterprise.alert.enable 엔터프라이즈 고객을 대상으로 경고 생성을 전역적으로 활성화하거나 비활성화합니다.
vco.operator.alert.enable 운영자를 대상으로 경고 생성을 전역적으로 활성화하거나 비활성화합니다.
표 3. 배스천 Orchestrator 구성
시스템 속성 설명
session.options.enableBastionOrchestrator 배스천 Orchestrator 기능을 사용하도록 설정합니다.

자세한 내용은 https://docs.vmware.com/kr/VMware-SD-WAN/index.html에서 사용할 수 있는 "배스천 Orchestrator 구성 가이드" 를 참조하십시오.

vco.bastion.private.enable Orchestrator가 배스천 쌍의 개인 Orchestrator가 될 수 있도록 합니다.
vco.bastion.public.enable Orchestrator가 배스천 쌍의 공용 Orchestrator가 되도록 합니다.
표 4. 인증 기관
시스템 속성 설명
edge.certificate.renewal.window 이 선택적 시스템 속성을 사용하여 운영자는 Edge 인증서 갱신이 사용하도록 설정된 하나 이상의 유지 보수 기간을 정의할 수 있습니다. 해당 기간 이외 기간에서 갱신하도록 예약된 인증서는 현재 시간이 사용하도록 설정된 기간 중 하나에 속할 때까지 지연됩니다.

시스템 속성 사용:

이 시스템 속성을 사용하도록 설정하려면 시스템 속성 수정(Modify System Property) 대화상자의 값(Value) 텍스트 영역 첫 번째 부분에서 "enabled"에 대해 "true"를 입력합니다. 이 시스템 속성의 첫 번째 부분에 대한 예는 아래와 같습니다.

운영자는 Edge 갱신을 사용하도록 설정한 날짜 및 시간을 제한하기 위해 여러 기간을 정의할 수 있습니다. 각 기간은 하루 또는 날짜 목록(쉼표로 구분)으로 정의하거나 시작 및 종료 시간으로 정의할 수 있습니다. 시작 및 종료 시간은 Edge의 현지 표준 시간대 또는 UTC를 기준으로 지정할 수 있습니다. 예제는 아래 이미지를 참조하십시오.

참고: 특성이 없으면 기본값은 "false"로 설정됩니다.
기간 특성을 정의할 때 다음을 준수하십시오.
  • PDT 또는 PST가 아닌 IANA 표준 시간대(예: America/Los_Angeles)를 사용합니다. 자세한 내용은 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones를 참조하십시오.
  • 요일(예: SAT, SUN)에 대해 UTC를 사용합니다.
    • 쉼표로 구분합니다.
    • 3자의 영문으로 구성된 요일입니다.
    • 대/소문자를 구분하지 않습니다.
  • 시작 시간(예: 01:30) 및 종료 시간(예: 05:30)으로 군대용 24시간 형식(HH:MM)만 사용합니다.

위에서 언급한 값이 누락된 경우 각 기간 정의의 특성 기본값은 다음과 같습니다.

  • Enabled가 누락된 경우 기본값은 false입니다.
  • 표준 시간대가 누락된 경우 기본값은 'local'입니다.
  • '요일' 또는 종료 및 시작 시간 중 하나가 누락된 경우 기본값은 다음과 같습니다.
    • '요일'이 누락된 경우 시작/종료는 각 요일(월, 화요일, 수요일, 목요일, 금요일, 토요일, 일요일)에 적용됩니다.
    • 종료 및 시작 시간이 누락된 경우 지정된 날짜의 일치하는 시간이 검색됩니다(start = 00:00 및 end = 23:59).
    • 참고: '요일' 또는 종료 및 시작 시간 중 하나가 있어야 합니다. 그러나 누락된 경우 기본값은 위에 표시된 것과 같습니다.

시스템 속성 비활성화:

이 시스템 속성은 기본적으로 비활성화됩니다. 즉, 인증서가 만료된 후 자동으로 갱신됩니다. 시스템 속성 수정(Modify System Property) 대화상자의 값(Value) 텍스트 영역 첫 번째 부분에서 "enabled"를 "false"로 설정합니다. 이 속성을 비활성화할 경우의 예는 다음과 같습니다.

{

"enabled": false,

"windows": [

{

참고: 이 시스템 속성을 사용하려면 PKI를 사용하도록 설정해야 합니다.

gateway.certificate.renewal.window 이 선택적 시스템 속성을 사용하여 운영자는 게이트웨이 인증서 갱신이 사용하도록 설정된 동안 하나 이상의 유지 보수 기간을 정의할 수 있습니다. 해당 기간 이외 기간에서 갱신하도록 예약된 인증서는 현재 시간이 사용하도록 설정된 기간 중 하나에 속할 때까지 지연됩니다.

시스템 속성 사용:

이 시스템 속성을 사용하도록 설정하려면 시스템 속성 수정(Modify System Property) 대화상자의 값(Value) 텍스트 영역 첫 번째 부분에서 "enabled"에 대해 "true"를 입력합니다. 예제는 아래 이미지를 참조하십시오.

운영자는 Edge 갱신을 사용하도록 설정한 날짜 및 시간을 제한하기 위해 여러 기간을 정의할 수 있습니다. 각 기간은 하루 또는 날짜 목록(쉼표로 구분)으로 정의하거나 시작 및 종료 시간으로 정의할 수 있습니다. 시작 및 종료 시간은 Edge의 현지 표준 시간대 또는 UTC를 기준으로 지정할 수 있습니다. 예제는 아래 이미지를 참조하십시오.

참고: 특성이 없으면 기본값은 "false"로 설정됩니다.
기간 특성을 정의할 때 다음을 준수하십시오.
  • PDT 또는 PST가 아닌 IANA 표준 시간대(예: America/Los_Angeles)를 사용합니다. 자세한 내용은 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones를 참조하십시오.
  • 요일(예: SAT, SUN)에 대해 UTC를 사용합니다.
    • 쉼표로 구분합니다.
    • 3자의 영문으로 구성된 요일입니다.
    • 대/소문자를 구분하지 않습니다.
  • 시작 시간(예: 01:30) 및 종료 시간(예: 05:30)으로 군대용 24시간 형식(HH:MM)만 사용합니다.

위에서 언급한 값이 누락된 경우 각 기간 정의의 특성 기본값은 다음과 같습니다.

  • Enabled가 누락된 경우 기본값은 false입니다.
  • 표준 시간대가 누락된 경우 기본값은 'local'입니다.
  • '요일' 또는 종료 및 시작 시간 중 하나가 누락된 경우 기본값은 다음과 같습니다.
    • '요일'이 누락된 경우 시작/종료는 각 요일(월, 화요일, 수요일, 목요일, 금요일, 토요일, 일요일)에 적용됩니다.
    • 종료 및 시작 시간이 누락된 경우 지정된 날짜의 일치하는 시간이 검색됩니다(start = 00:00 및 end = 23:59).
    • 참고: '요일' 또는 종료 및 시작 시간 중 하나가 있어야 합니다. 그러나 누락된 경우 기본값은 위에 표시된 것과 같습니다.

시스템 속성 비활성화:

이 시스템 속성은 기본적으로 비활성화됩니다. 즉, 인증서가 만료된 후 자동으로 갱신됩니다. 시스템 속성 수정(Modify System Property) 대화상자의 값(Value) 텍스트 영역 첫 번째 부분에서 "enabled"를 "false"로 설정합니다. 이 속성을 비활성화할 경우의 예는 다음과 같습니다.

{

"enabled": false,

"windows": [

{

참고: 이 시스템 속성을 사용하려면 PKI를 사용하도록 설정해야 합니다.
표 5. 데이터 보존
시스템 속성 설명
retention.highResFlows.days 이 시스템 속성을 사용하여 운영자는 1~90일 기간에 언제든지 고해상도 흐름 통계 데이터 보존을 구성할 수 있습니다.
retention.lowResFlows.months 이 시스템 속성을 사용하여 운영자는 1~365일 기간에 언제든지 저해상도 흐름 통계 데이터 보존을 구성할 수 있습니다.
session.options.maxFlowstatsRetentionDays 이 속성을 사용하여 운영자는 2주보다 많은 흐름 통계 데이터를 쿼리할 수 있습니다.
retentionWeeks.enterpriseEvents 엔터프라이즈 이벤트 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retentionWeeks.operatorEvents 운영자 이벤트 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retentionWeeks.proxyEvents 프록시 이벤트 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retentionWeeks.firewallLogs 방화벽 로그 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retention.linkstats.days 링크 상태 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retention.linkquality.days 링크 품질 이벤트 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retention.healthstats.days Edge 상태 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
retention.pathstats.days 경로 상태 보존 기간(-1은 보존을 허용되는 최대 기간으로 설정함)
표 6. SD-WAN 데이터 보존
SD-WAN 데이터 시스템 속성 기본값 최대 4.0 릴리스 이전
엔터프라이즈 이벤트 retentionWeeks.enterpriseEvents 40주 1년 40주
엔터프라이즈 경고 해당 없음 40주 1년 정책 없음
운영자 이벤트 retentionWeeks.operatorEvents 40주 1년 40주
엔터프라이즈 프록시 이벤트 retentionWeeks.proxyEvents 40주 1년 40주
방화벽 로그 retentionWeeks.firewallLogs 지원되지 않음 지원되지 않음 40주
링크 통계 retention.linkstats.days 40주 1년 40주
QoE 연결 retention.linkquality.days 40주 1년 40주
경로 통계 retention.pathstats.days 2주 2주 해당 없음
흐름 통계 retention.lowResFlows.months

retention.highResFlows.days

1년~1시간 롤업

2주~5분

1년~1시간 롤업

3개월~5분

롤업 포함 1년
Edge 상태 통계(릴리스 5.0 이상) retention.healthstats.days 1년 1년 해당 없음
표 7. Edge
시스템 속성 설명
edge.offline.limit.sec Orchestrator가 지정된 기간에 Edge에서 하트비트를 감지하지 못하면 Edge의 상태가 오프라인 모드로 전환됩니다.
edge.link.unstable.limit.sec Orchestrator가 지정된 기간에 링크에 대한 링크 통계를 수신하지 못하면 링크가 불안정 모드로 전환됩니다.
edge.link.disconnected.limit.sec Orchestrator가 지정된 기간에 링크에 대한 링크 통계를 수신하지 못하면 링크 연결이 끊어집니다.
edge.deadbeat.limit.days 지정된 일수 동안 Edge가 활성화되어 있지 않으면 Edge는 경고 생성에 고려되지 않습니다.
vco.operator.alert.edgeLinkEvent.enable Edge 링크 이벤트를 대상으로 운영자 경고를 전역적으로 활성화하거나 비활성화합니다.
vco.operator.alert.edgeLiveness.enable Edge 작동 이벤트를 대상으로 운영자 경고를 전역적으로 활성화하거나 비활성화합니다.
표 8. Edge 활성화
시스템 속성 설명
edge.activation.key.encode.enable Base64는 Edge 활성화 이메일이 사이트 담당자에게 전송될 때 활성화 URL 매개 변수를 모호한 값으로 인코딩합니다.
edge.activation.trustedIssuerReset.enable Orchestrator CA(인증 기관)만 포함하도록 Edge의 신뢰할 수 있는 인증서 발급자 목록을 재설정합니다. Edge의 모든 TLS 트래픽은 새 발급자 목록으로 제한됩니다.
network.public.certificate.issuer edge.activation.trustedIssuerReset.enable이 True로 설정되어 있을 때 network.public.certificate.issuer의 값을 Orchestrator 서버 인증서 발급자의 PEM 인코딩과 동일하게 설정합니다. 이렇게 하면 Orchestrator CA(인증 기관) 외에도 Edge의 신뢰할 수 있는 발급자에 서버 인증서 발급자가 추가됩니다.
표 9. 모니터링
시스템 속성 설명
vco.monitor.enable 엔터프라이즈 및 운영자 엔티티 상태의 모니터링을 전역적으로 활성화하거나 비활성화합니다. 이 값을 False로 설정하면 SASE Orchestrator에서 엔티티 상태를 변경하거나 경고를 트리거할 수 없습니다.
vco.enterprise.monitor.enable 엔터프라이즈 엔티티 상태의 모니터링을 전역적으로 활성화하거나 비활성화합니다.
vco.operator.monitor.enable 운영자 엔티티 상태의 모니터링을 전역적으로 활성화하거나 비활성화합니다.
표 10. 알림
시스템 속성 설명
vco.notification.enable 운영자 및 엔터프라이즈 모두를 대상으로 경고 알림 전달을 전역적으로 활성화하거나 비활성화합니다.
vco.enterprise.notification.enable 엔터프라이즈를 대상으로 경고 알림 전달을 전역적으로 활성화하거나 비활성화합니다.
vco.operator.notification.enable 운영자를 대상으로 경고 알림 전달을 전역적으로 활성화하거나 비활성화합니다.
표 11. 암호 재설정 및 잠금
시스템 속성 설명
vco.enterprise.resetPassword.token.expirySeconds 엔터프라이즈 사용자에 대한 암호 재설정 링크가 만료되는 기간입니다.
vco.enterprise.authentication.passwordPolicy

고객 사용자를 대상으로 암호 강도, 기록 및 만료 정책을 정의합니다.

[값(Value)] 필드에서 JSON 템플릿을 편집하여 다음을 정의합니다.

strength

  • minlength: 최소 암호 문자 길이입니다. 기본 최소 암호 길이는 8자입니다.
  • maxlength: 최대 암호 문자 길이입니다. 기본 최대 암호 길이는 32자입니다.
  • requireNumber: 암호는 하나 이상의 숫자를 포함해야 합니다. 숫자 요구 사항은 기본적으로 사용하도록 설정됩니다.
  • requireLower: 암호는 하나 이상의 소문자를 포함해야 합니다. 소문자 요구 사항은 기본적으로 사용하도록 설정됩니다.
  • requireUpper: 암호는 하나 이상의 대문자를 포함해야 합니다. 대문자 요구 사항은 기본적으로 사용하도록 설정되지 않습니다.
  • requireSpecial: 암호에는 하나 이상의 특수 문자(예: _@!)가 포함되어야 합니다. 특수 문자 요구 사항은 기본적으로 사용하도록 설정되지 않습니다.
  • excludeTop: 암호는 자주 사용하는 암호 목록과 일치하지 않아야 합니다. 기본값은 가장 많이 사용되는 상위 1000개의 암호를 나타내는 1000이며, 가장 많이 사용되는 암호를 최대 10,000개 구성할 수 있습니다.
  • maxRepeatingCharacters: 암호에는 구성 가능한 수의 반복 문자를 포함할 수 없습니다. 예를 들어 maxRepeatingCharacters가 ‘2’로 설정되면 Orchestrator는 “Passwordaaa”와 같이 3개 이상의 반복 문자가 포함된 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • maxSequenceCharacters: 암호에는 구성 가능한 수의 순차적 문자를 포함할 수 없습니다. 예를 들어 maxSequenceCharacters가 ‘3’으로 설정된 경우 Orchestrator는 “Password1234”와 같이 4자 이상 순차적 문자가 포함된 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • disallowUsernameCharacters: 암호는 사용자 ID의 구성 가능한 부분과 일치하지 않아야 합니다. 예를 들어, disallowUsernameCharacters가 5로 설정된 경우 사용자 이름이 [email protected]인 사용자가 'usern'이나 'serna' 또는 사용자 이름의 섹션과 일치하는 다른 5자 문자열을 포함하는 새 암호를 구성하려고 하면 Orchestrator에서 새 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • variationValidationCharacters: 새 암호는 구성 가능한 문자 수만큼 이전 암호와 달라야 합니다. Orchestrator는 두 단어 사이의 Levenshtein 거리를 사용하여 새 암호와 이전 암호 간의 차이를 확인합니다. Levenshtein 거리는 한 단어를 다른 단어로 변경하는 데 필요한 단일 문자 편집(삽입, 삭제 또는 대체)의 최소 횟수입니다.
  • variationValidationCharacters가 4로 설정된 경우 새 암호와 이전 암호 간의 Levenshtein 거리가 4 이상이어야 합니다. 즉, 새 암호는 이전 암호에서 4자리 이상이 달라야 합니다. 예를 들어, 사용된 이전 암호가 "kitten"이고 새 암호가 "sitting"인 경우, kitten을 sitting으로 변경하려면 세 번만 편집하면 되므로 Levenshtein 거리는 3입니다.
    • kitten →sitten("k" 대신 "s"로 대체)
    • sitten → sittin("e" 대신 "i"로 대체)
    • sittin → sitting(마지막에 "g" 삽입).

새 암호는 이전 암호와 3자만 차이가 나므로 “sitting”은 “kitten”을 대체하는 새 암호로 사용할 수 없습니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.

expiry:
  • enable: 고객 사용자 암호의 자동 만료를 사용하도록 설정하려면 true로 설정합니다.
  • days: 강제 만료 전에 고객 암호를 사용할 수 있는 일수를 입력합니다.
history:
  • enable: 고객 사용자의 이전 암호 기록을 사용하도록 설정하려면 true로 설정합니다.
  • count: 기록에 저장할 이전 암호 수를 입력합니다. 고객 사용자가 암호를 변경하려고 하면 시스템에서 사용자가 기록에 이미 저장된 암호를 입력하도록 허용되지 않습니다.
enterprise.user.lockout.defaultAttempts 엔터프라이즈 사용자가 로그인을 시도할 수 있는 횟수입니다. 지정된 횟수만큼 로그인이 실패하면 계정이 잠깁니다.
enterprise.user.lockout.defaultDurationSeconds 엔터프라이즈 사용자 계정이 잠기는 기간입니다.
enterprise.user.lockout.enabled 엔터프라이즈 로그인 실패 시 잠금 옵션을 활성화하거나 비활성화합니다.
vco.operator.resetPassword.token.expirySeconds 운영자 사용자에 대한 암호 재설정 링크가 만료되는 기간입니다.
vco.operator.authentication.passwordPolicy

운영자 사용자에 대한 암호 강도, 기록 및 만료 정책을 정의합니다.

[값(Value)] 필드에서 JSON 템플릿을 편집하여 다음을 정의합니다.

strength

  • minlength: 최소 암호 문자 길이입니다. 기본 최소 암호 길이는 8자입니다.
  • maxlength: 최대 암호 문자 길이입니다. 기본 최대 암호 길이는 32자입니다.
  • requireNumber: 암호는 하나 이상의 숫자를 포함해야 합니다. 숫자 요구 사항은 기본적으로 사용하도록 설정됩니다.
  • requireLower: 암호는 하나 이상의 소문자를 포함해야 합니다. 소문자 요구 사항은 기본적으로 사용하도록 설정됩니다.
  • requireUpper: 암호는 하나 이상의 대문자를 포함해야 합니다. 대문자 요구 사항은 기본적으로 사용하도록 설정되지 않습니다.
  • requireSpecial: 암호에는 하나 이상의 특수 문자(예: _@!)가 포함되어야 합니다. 특수 문자 요구 사항은 기본적으로 사용하도록 설정되지 않습니다.
  • excludeTop: 암호는 자주 사용하는 암호 목록과 일치하지 않아야 합니다. 기본값은 가장 많이 사용되는 상위 1000개의 암호를 나타내는 1000이며, 가장 많이 사용되는 암호를 최대 10,000개 구성할 수 있습니다.
  • maxRepeatingCharacters: 암호에는 구성 가능한 수의 반복 문자를 포함할 수 없습니다. 예를 들어 maxRepeatingCharacters가 ‘2’로 설정되면 Orchestrator는 “Passwordaaa”와 같이 3개 이상의 반복 문자가 포함된 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • maxSequenceCharacters: 암호에는 구성 가능한 수의 순차적 문자를 포함할 수 없습니다. 예를 들어 maxSequenceCharacters가 ‘3’으로 설정된 경우 Orchestrator는 “Password1234”와 같이 4자 이상 순차적 문자가 포함된 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • disallowUsernameCharacters: 암호는 사용자 ID의 구성 가능한 부분과 일치하지 않아야 합니다. 예를 들어, disallowUsernameCharacters가 5로 설정된 경우 사용자 이름이 [email protected]인 사용자가 'usern'이나 'serna' 또는 사용자 이름의 섹션과 일치하는 다른 5자 문자열을 포함하는 새 암호를 구성하려고 하면 Orchestrator에서 새 암호를 거부합니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.
  • variationValidationCharacters: 새 암호는 구성 가능한 문자 수만큼 이전 암호와 달라야 합니다. Orchestrator는 두 단어 사이의 Levenshtein 거리를 사용하여 새 암호와 이전 암호 간의 차이를 확인합니다. Levenshtein 거리는 한 단어를 다른 단어로 변경하는 데 필요한 단일 문자 편집(삽입, 삭제 또는 대체)의 최소 횟수입니다.
  • variationValidationCharacters가 4로 설정된 경우 새 암호와 이전 암호 간의 Levenshtein 거리가 4 이상이어야 합니다. 즉, 새 암호는 이전 암호에서 4자리 이상이 달라야 합니다. 예를 들어, 사용된 이전 암호가 "kitten"이고 새 암호가 "sitting"인 경우, kitten을 sitting으로 변경하려면 세 번만 편집하면 되므로 Levenshtein 거리는 3입니다.
    • kitten →sitten("k" 대신 "s"로 대체)
    • sitten → sittin("e" 대신 "i"로 대체)
    • sittin → sitting(마지막에 "g" 삽입).

새 암호는 이전 암호와 3자만 차이가 나므로 “sitting”은 “kitten”을 대체하는 새 암호로 사용할 수 없습니다. 기본값 -1은 이 기능이 사용되지 않음을 나타냅니다.

expiry:
  • enable: 운영자 사용자 암호의 자동 만료를 사용하도록 설정하려면 true로 설정합니다.
  • days: 강제 만료 전에 운영자 암호를 사용할 수 있는 일수를 입력합니다.
history:
  • enable: 운영자 사용자의 이전 암호 기록을 사용하도록 설정하려면 true로 설정합니다.
  • count: 기록에 저장할 이전 암호 수를 입력합니다. 운영자 사용자가 암호를 변경하려고 하면 시스템에서 사용자는 기록에 이미 저장된 암호를 입력하도록 허용되지 않습니다.
operator.user.lockout.defaultAttempts 운영자 사용자가 로그인을 시도할 수 있는 횟수입니다. 지정된 횟수만큼 로그인이 실패하면 계정이 잠깁니다.
operator.user.lockout.defaultDurationSeconds 운영자 사용자 계정이 잠기는 기간입니다.
operator.user.lockout.enabled 운영자 로그인 실패 시 잠금 옵션을 활성화하거나 비활성화합니다.
표 12. API 속도 제한
시스템 속성 설명
vco.api.rateLimit.enabled 운영자 수퍼유저는 시스템 수준에서 속도 제한 기능을 활성화하거나 비활성화할 수 있습니다. 기본적으로 이 값은 False입니다.
참고: 속도 제한이 실제로는 사용하도록 설정되지 않습니다. 즉, vco.api.rateLimit.mode.logOnly 설정을 비활성화하기만 하면 구성된 제한을 초과하는 API 요청이 거부되지 않습니다.
vco.api.rateLimit.mode.logOnly

운영자 슈퍼유저는 LOG_ONLY 모드에서 속도 제한을 사용할 수 있습니다. 값이 True로 설정되고 속도 제한이 초과되면 이 옵션은 오류만 기록하고 각 메트릭을 발생시켜 클라이언트가 속도 제한 없이 요청을 수행하도록 합니다.

값이 False로 설정되면 요청 API가 정의된 정책으로 제한되고 HTTP 429가 반환됩니다.

vco.api.rateLimit.rules.global

속도 제한에 사용되는 전역적으로 적용되는 정책 집합을 JSON 어레이로 정의할 수 있습니다. 기본적으로 이 값은 빈 배열입니다.

각 사용자 유형(운영자, 파트너 및 고객)은 5초마다 최대 500개의 요청을 수행할 수 있습니다. 요청 수는 속도 제한 요청의 동작 패턴을 기준으로 변경될 수 있습니다.

JSON 배열은 다음 매개 변수로 구성됩니다.

유형: 유형 개체는 속도 제한이 적용되는 다른 컨텍스트를 나타냅니다. 다음은 사용할 수 있는 다양한 유형의 개체입니다.
  • SYSTEM: 모든 사용자가 공유하는 글로벌 제한을 지정합니다.
  • OPERATOR_USER: 모든 운영자 사용자에 대해 일반적으로 설정할 수 있는 제한입니다.
  • ENTERPRISE_USER: 모든 엔터프라이즈 사용자에 대해 일반적으로 설정할 수 있는 제한입니다.
  • MSP_USER: 모든 MSP 사용자에 대해 일반적으로 설정할 수 있는 제한입니다.
  • ENTERPRISE: 엔터프라이즈의 모든 사용자 간에 공유할 수 있는 제한으로, 네트워크의 모든 엔터프라이즈에 적용됩니다.
  • PROXY: 프록시의 모든 사용자 간에 공유할 수 있는 제한으로, 모든 프록시에 적용됩니다.
Policies: 다음 매개 변수를 구성하여 규칙과 일치하는 요청을 적용하는 정책에 규칙을 추가합니다.
  • Match: 일치시킬 요청 유형을 입력합니다.
    • All: 개체 유형 중 하나와 일치하는 모든 요청의 속도를 제한합니다.
    • METHOD: 지정된 메서드 이름과 일치하는 모든 요청의 속도를 제한합니다.
    • METHOD_PREFIX: 지정된 메서드 그룹과 일치하는 모든 요청의 속도를 제한합니다.
  • Rules: 다음 매개 변수에 대한 값을 입력하십시오.
    • maxConcurrent: 동시에 수행할 수 있는 작업 수입니다.
    • reservoir: 제한으로 인해 작업 수행을 중지되기 전에 수행할 수 있는 작업 수입니다.
    • reservoirRefreshAmount: reservoirRefreshInterval을 사용 중일 때 reservoir로 설정할 값입니다.
    • reservoirRefreshInterval: 밀리초 간격의 reservoirRefreshInterval마다 reservoir 값이 자동으로 reservoirRefreshAmount 값으로 업데이트됩니다. reservoirRefreshInterval 값은 250의 배수여야 합니다(클러스터링의 경우 5000).

Enabled: APIRateLimiterTypeObjectEnabled 키를 포함하여 각 유형 제한을 활성화하거나 비활성화할 수 있습니다. 기본적으로 enabled 값은 키가 포함되지 않은 경우에도 True입니다. 개별 유형 제한을 비활성화하려면 "enabled": false 키를 포함해야 합니다.

다음 예에서는 기본 값을 포함하는 샘플 JSON 파일을 보여 줍니다.

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
참고: 구성 매개 변수의 기본값은 변경하지 않는 것이 좋습니다.
vco.api.rateLimit.rules.enterprise.default 새로 생성된 고객에게 적용 되는 엔터프라이즈별 정책의 기본 집합으로 구성됩니다. 고객 특정 속성은 엔터프라이즈 속성 vco.api.rateLimit.rules.enterprise에 저장됩니다.
vco.api.rateLimit.rules.enterpriseProxy.default 새로 생성된 파트너에 적용되는 엔터프라이즈 별 정책의 기본 집합으로 구성됩니다. 파트너 특정 속성은 엔터프라이즈 프록시 속성 vco.api.rateLimit.rules.enterpriseProxy에 저장됩니다.

속도 제한에 대한 자세한 내용은 API 요청 속도 제한을 참조하십시오.

표 13. 원격 진단
시스템 속성 설명
network.public.address SASE Orchestrator UI에 액세스하는 데 사용되는 브라우저 원본 주소/DNS 호스트 이름을 지정합니다.
network.portal.websocket.address 브라우저 주소가 network.public.address 시스템 속성의 값과 같지 않은 경우 브라우저에서 SASE Orchestrator UI에 액세스하도록 대체 DNS 호스트 이름/주소를 설정할 수 있습니다.

원격 진단은 이제 WebSocket 연결을 사용하기 때문에 웹 보안을 보장하기 위해 수신 요청에 대해 Orchestrator UI에 액세스하는 데 사용되는 브라우저 원본 주소가 검증됩니다. 대부분의 경우 이 주소는 network.public.address 시스템 속성과 동일합니다. 드문 시나리오에서 network.public.address 시스템 속성에 설정된 값과 같지 않은 다른 DNS 호스트 이름/주소를 사용하여 Orchestrator UI에 액세스할 수 있습니다. 이러한 경우에는 이 시스템 속성을 대체 DNS 호스트 이름/주소로 설정할 수 있습니다. 기본적으로 이 값은 설정되지 않습니다.

session.options.websocket.portal.idle.timeout 브라우저 WebSocket 연결이 유휴 상태에서 활성 상태인 총 시간(초)을 설정할 수 있습니다. 기본적으로 브라우저 WebSocket 연결은 유휴 상태에서 300초 동안 활성 상태를 유지합니다.
표 14. 세분화
시스템 속성 설명
enterprise.capability.enableSegmentation 엔터프라이즈 사용자의 세분화 기능을 활성화하거나 비활성화합니다.
enterprise.segments.system.maximum 엔터프라이즈 사용자에게 허용되는 최대 세그먼트 수를 지정합니다. 엔터프라이즈 사용자에 대한 SASE Orchestrator에서 128개 세그먼트를 사용하도록 설정하려면 이 시스템 속성의 값을 128로 변경해야 합니다.
enterprise.segments.maximum 새 엔터프라이즈 사용자 또는 기존 엔터프라이즈 사용자에게 허용되는 최대 세그먼트 수의 기본값을 지정합니다. 엔터프라이즈 사용자의 기본값은 16입니다.
참고: 이 값은 시스템 속성 enterprise.segments.system.maximum에 정의된 수보다 작거나 같아야 합니다.
엔터프라이즈 사용자에 대해 128개 세그먼트를 사용하도록 설정하려면 이 시스템 속성의 값을 변경하지 않는 것이 좋습니다. 대신, 고객 구성(Customer Configuration) 페이지에서 고객 기능(Customer Capabilities)을 사용하도록 설정하여 필요한 세그먼트 수를 구성할 수 있습니다. 자세한 내용은 VMware SD-WAN 설명서에서 사용할 수 있는 VMware SD-WAN 운영자 가이드의 “고객 기능 구성” 섹션을 참조하십시오.
enterprise.subinterfaces.maximum 엔터프라이즈 사용자에 대해 구성할 수 있는 하위 인터페이스의 최대 수를 지정합니다. 기본값은 32입니다.
enterprise.vlans.maximum 엔터프라이즈 사용자에 대해 구성할 수 있는 VLAN의 최대 수를 지정합니다. 기본값은 32입니다.
session.options.enableAsyncAPI 모든 엔터프라이즈 사용자에 대해 세그먼트 스케일을 128개 세그먼트로 늘릴 경우 UI 시간 초과를 방지하기 위해 이 시스템 속성을 사용하여 UI에서 비동기 API 지원을 사용하도록 설정할 수 있습니다. 기본값은 true입니다.
session.options.asyncPollingMilliSeconds UI에서 비동기 API에 대한 폴링 간격을 지정합니다. 기본값은 5000밀리초입니다.
session.options.asyncPollingMaxCount UI에서 getStatus API에 대한 최대 호출 수를 지정합니다. 기본값은 10입니다.
vco.enterprise.events.configuration.diff.enable 구성 diff 이벤트 로깅을 활성화하거나 비활성화합니다. 엔터프라이즈 사용자에 대한 세그먼트 수가 4보다 커질 때마다 구성 diff 이벤트 로깅이 비활성화됩니다. 이 시스템 속성을 사용하여 구성 diff 이벤트 로깅을 사용하도록 설정할 수 있습니다.
표 15. 셀프 서비스 암호 재설정
시스템 속성 설명
vco.enterprise.resetPassword.twoFactor.mode 모든 엔터프라이즈 사용자에 대해 두 번째 암호 재설정 인증 수준에 대한 모드를 정의합니다. 현재는 SMS 모드만 지원됩니다.
vco.enterprise.resetPassword.twoFactor.required 엔터프라이즈 사용자의 암호 재설정을 위해 2단계 인증을 활성화하거나 비활성화합니다.
vco.enterprise.selfResetPassword.enabled 엔터프라이즈 사용자의 셀프 서비스 암호 재설정을 활성화하거나 비활성화합니다.
vco.enterprise.selfResetPassword.token.expirySeconds 엔터프라이즈 사용자에 대한 셀프 서비스 암호 재설정 링크가 만료되는 기간입니다.
vco.operator.resetPassword.twoFactor.required 운영자 사용자의 암호 재설정을 위해 2단계 인증을 활성화하거나 비활성화합니다.
vco.operator.selfResetPassword.enabled 운영자 사용자의 셀프 서비스 암호 재설정을 활성화하거나 비활성화합니다.
vco.operator.selfResetPassword.token.expirySeconds 운영자 사용자에 대한 셀프 서비스 암호 재설정 링크가 만료되는 기간입니다.
표 16. Syslog 전달
시스템 속성 설명
log.syslog.backend 백엔드 서비스 syslog 통합 구성입니다.
log.syslog.portal 포털 서비스 syslog 통합 구성입니다.
log.syslog.upload 서비스 syslog 통합 구성을 업로드합니다.
log.syslog.lastFetchedCRL.backend 마지막으로 업데이트된 CRL을 서비스 syslog에 대한 PEM 형식 문자열로 유지하고 정기적으로 업데이트합니다.
log.syslog.lastFetchedCRL.portal 마지막으로 업데이트된 CRL을 서비스 syslog에 대한 PEM 형식 문자열로 유지하고 정기적으로 업데이트합니다.
log.syslog.lastFetchedCRL.upload 마지막으로 업데이트된 CRL을 서비스 syslog에 대한 PEM 형식 문자열로 유지하고 정기적으로 업데이트합니다.
표 17. TACACS 서비스
시스템 속성 설명
session.options.enableTACACS 엔터프라이즈 사용자의 TACACS 서비스를 활성화하거나 비활성화합니다.
표 18. 2 요소 인증
시스템 속성 설명
vco.enterprise.authentication.twoFactor.enable 엔터프라이즈 사용자의 2단계 인증을 활성화하거나 비활성화합니다.
vco.enterprise.authentication.twoFactor.mode 엔터프라이즈 사용자에 대한 두 번째 수준 인증 모드를 정의합니다. 현재 SMS만 두 번째 수준 인증 모드로 지원됩니다.
vco.enterprise.authentication.twoFactor.require 2 요소 인증을 엔터프라이즈 사용자에 대해 필수로 정의합니다.
vco.operator.authentication.twoFactor.enable 운영자 사용자의 2단계 인증을 활성화하거나 비활성화합니다.
vco.operator.authentication.twoFactor.mode 운영자 사용자에 대한 두 번째 수준 인증 모드를 정의합니다. 현재 SMS만 두 번째 수준 인증 모드로 지원됩니다.
vco.operator.authentication.twoFactor.require 2 요소 인증을 운영자 사용자에 대해 필수로 정의합니다.
표 19. VNF 구성
시스템 속성 설명
edge.vnf.extraImageInfos VNF 이미지의 속성을 정의합니다.
값(Value) 필드에 VNF 이미지에 대한 다음 정보를 JSON 형식으로 입력할 수 있습니다.
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Check Point 방화벽 이미지에 대한 JSON 파일의 예:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Fortinet 방화벽 이미지에 대한 os JSON 파일의 예:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit 데이터베이스에 저장될 레코드 수를 정의합니다.
enterprise.capability.edgeVnfs.enable 지원되는 Edge 모델에서 VNF 배포를 사용하도록 설정합니다.
enterprise.capability.edgeVnfs.securityVnf.checkPoint Check Point 네트워크 방화벽 VNF를 사용하도록 설정합니다.
enterprise.capability.edgeVnfs.securityVnf.fortinet Fortinet Networks 방화벽 VNF 사용
enterprise.capability.edgeVnfs.securityVnf.paloAlto Palo Alto Networks 방화벽 VNF 사용
session.options.enableVnf VNF 기능 사용
vco.operator.alert.edgeVnfEvent.enable Edge VNF 이벤트에 운영자 경고를 전역적으로 활성화하거나 비활성화합니다.
vco.operator.alert.edgeVnfInsertionEvent.enable Edge VNF 삽입 이벤트에 운영자 경고를 전역적으로 활성화하거나 비활성화합니다.
표 20. VPN
시스템 속성 설명
vpn.disconnect.wait.sec VPN 터널의 연결을 끊기 전에 시스템이 대기하는 시간 간격입니다.
vpn.reconnect.wait.sec VPN 터널을 다시 연결하기 전에 시스템이 대기하는 시간 간격입니다.
표 21. 주의 배너
시스템 속성 설명
login.warning.banner.message 이 선택적 시스템 속성을 사용하여 운영자는 SASE Orchestrator 사용에 관한 보안 관리자 지정 권고 알림 및 동의 경고 메시지를 구성하고 표시할 수 있습니다. 경고 메시지는 사용자가 로그인하기 전에 SASE Orchestrator에 표시됩니다.

이 시스템 속성을 구성하는 방법에 대한 지침은 SD-WAN Orchestrator에 대한 권고 알림 및 동의 주의 메시지 구성을 참조하십시오.

표 22. Zscaler
시스템 속성 설명
session.options.enableZscalerProfileAutomation 프로필 수준에서 Zscaler 설정을 구성할 수 있습니다.