身為操作員,您可以新增或修改系統內容的值。
下表說明部分系統內容。身為操作員,您可以設定這些內容的值。
- 警示電子郵件
- 警示
- Bastion Orchestrator 組態
- 憑證授權機構
- 客戶組態
- 資料保留
- Edge
- Edge 啟用
- Edge 啟用 (Edge Activation)
- LAN 端 NAT 規則
- 監控
- 通知
- 密碼重設和鎖定
- 速率限制 API
- 遠端診斷
- 安全服務邊緣 (SSE)
- 分割
- 自助式密碼重設
- Syslog 轉送
- TACACS 服務
- 雙因素驗證
- Edge 的通道參數
- VNF 組態
- VPN
- 警告橫幅
- Zscaler
系統內容 | 說明 |
---|---|
vco.alert.mail.to | 觸發警示時,系統會立即將通知傳送至此系統內容之值欄位中提供的電子郵件地址清單。您可以輸入多個以逗號分隔的電子郵件識別碼。 如果內容不包含任何值,則不會傳送通知。 此通知的用意是要在通知客戶之前,先警示 VMware 支援/作業人員有即將發生的問題。 |
vco.alert.mail.cc | 將警示電子郵件傳送給任何客戶時,都會將複本傳送至此系統內容之值欄位中提供的電子郵件地址。您可以輸入多個以逗號分隔的電子郵件識別碼。 |
mail.* | 有多個系統內容可用來控制警示電子郵件。您可以定義電子郵件參數,例如 SMTP 內容、使用者名稱、密碼等。 |
系統內容 | 說明 |
---|---|
vco.alert.enable | 全域啟用或停用同時為操作員和企業客戶產生警示的功能。 |
vco.enterprise.alert.enable | 全域啟用或停用為企業客戶產生警示的功能。 |
vco.operator.alert.enable | 全域啟用或停用為操作員產生警示的功能。 |
系統內容 | 說明 |
---|---|
session.options.enableBastionOrchestrator | 啟用 Bastion Orchestrator 功能。 如需詳細資訊,請參閱https://docs.vmware.com/tw/VMware-SD-WAN/index.html提供的《Bastion Orchestrator 組態指南》。 |
vco.bastion.private.enable | 使 Orchestrator 成為 Bastion 配對的私人 Orchestrator。 |
vco.bastion.public.enable | 使 Orchestrator 成為 Bastion 配對的公用 Orchestrator。 |
系統內容 | 說明 |
---|---|
edge.certificate.renewal.window | 此選用系統內容允許操作員定義一或多個在其中啟用 Edge 憑證更新的維護時段。排程在時段以外用於進行更新的憑證將會延遲到目前時間落在其中一個已啟用的時段內才會進行。 啟用系統內容: 若要啟用此系統內容,請在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,針對「已啟用」輸入「true」。此系統內容第一部分啟用時的範例如下所示。 操作員可以定義多個時段,以限制在一天中啟用 Edge 更新的日期和時間。每個時段都可依一天定義,或是多天 (以逗號分隔) 且包含開始和結束時間的清單。可以相對於 Edge 的本機時區,或相對於 UTC 來指定開始時間和結束時間。請參閱下方的映像以取得範例。
備註: 如果屬性不存在,則預設值為啟用「false」。
定義時段屬性時,請遵循下列事項:
如果遺漏以上提到的值,則每個時段定義中的屬性預設值如下所示:
停用系統內容: 此系統內容依預設為停用,這表示憑證將在到期後自動更新。在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,「已啟用」將會設為「False」。此內容在停用時的範例如下所示。 { "enabled": false, "windows": [ { 附註:此系統內容需要啟用 PKI。 |
gateway.certificate.renewal.window | 此選用系統內容允許操作員定義一或多個在其中啟用閘道憑證更新的維護時段。排程在時段以外用於進行更新的憑證將會延遲到目前時間落在其中一個已啟用的時段內才會進行。 啟用系統內容: 若要啟用此系統內容,請在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,針對「已啟用」輸入「true」。請參閱下方的映像以取得範例。 操作員可以定義多個時段,以限制在一天中啟用 Edge 更新的日期和時間。每個時段都可依一天定義,或是多天 (以逗號分隔) 且包含開始和結束時間的清單。可以相對於 Edge 的本機時區,或相對於 UTC 來指定開始時間和結束時間。請參閱下方的映像以取得範例。
備註: 如果屬性不存在,則預設值為啟用「false」。
定義時段屬性時,請遵循下列事項:
如果遺漏以上提到的值,則每個時段定義中的屬性預設值如下所示:
停用系統內容: 此系統內容依預設為停用,這表示憑證將在到期後自動更新。在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,「已啟用」將會設為「False」。此內容在停用時的範例如下所示。 { "enabled": false, "windows": [ {
備註: 此系統內容需要啟用 PKI。
|
系統內容 | 說明 |
---|---|
session.options.enableServiceLicenses | 該系統內容允許操作員使用者管理True。 | 下的服務組態,並且依預設設定為
系統內容 | 說明 |
---|---|
retention.highResFlows.days | 此系統內容可讓操作員將高解析度流量統計資料保留設定為在 1 到 90 天的任意期間內。 |
retention.lowResFlows.months | 此系統內容可讓操作員將低解析度流量統計資料保留設定為在 1 到 365 天的任意期間內。 |
session.options.maxFlowstatsRetentionDays | 此內容可讓操作員查詢超過兩週的流量統計資料。 |
retentionWeeks.enterpriseEvents | 企業事件保留期間 (-1 會將保留期間設定為允許的時段上限) |
retentionWeeks.operatorEvents | 操作員事件保留期間 (-1 會將保留期間設定為允許的時段上限) |
retentionWeeks.proxyEvents | Proxy 事件保留期間 (-1 會將保留期間設定為允許的時段上限) |
retentionWeeks.firewallLogs | 防火牆記錄保留期間 (-1 會將保留期間設定為允許的時段上限) |
retention.linkstats.days | 連結統計資料保留期間 (-1 會將保留期間設定為允許的時段上限) |
retention.linkquality.days | 連結品質事件保留期間 (-1 會將保留期間設定為允許的時段上限) |
retention.healthstats.days | Edge 健全狀況統計資料保留期間 (-1 會將保留期間設定為允許的時段上限) |
retention.pathstats.days | 路徑統計資料保留期間 (-1 會將保留期間設定為允許的時段上限) |
SD-WAN 資料 (SD-WAN Data) | 系統內容 | 預設值 | 最大值 | 4.0 版以前 |
---|---|---|---|---|
企業事件 | retentionWeeks.enterpriseEvents | 40 週 | 1 年 | 40 週 |
企業警示 | 不適用 | 40 週 | 1 年 | 無原則 |
操作員事件 | retentionWeeks.operatorEvents | 40 週 | 1 年 | 40 週 |
企業 Proxy 事件 | retentionWeeks.proxyEvents | 40 週 | 1 年 | 40 週 |
防火牆記錄 | retentionWeeks.firewallLogs | 不支援 | 不支援 | 40 週 |
連結統計資料 | retention.linkstats.days | 40 週 | 1 年 | 40 週 |
連結 QoE | retention.linkquality.days | 40 週 | 1 年 | 40 週 |
路徑統計資料 | retention.pathstats.days | 2 週 | 2 週 | 不適用 |
流量統計資料 | retention.lowResFlows.months retention.highResFlows.days |
1 年 - 1 小時彙總 2 週 - 5 分鐘 |
1 年 - 1 小時彙總 3 個月 - 5 分鐘 |
1 年,含彙總 |
Edge 健全狀況統計資料 (5.0 版和更新版本) | retention.healthstats.days | 1 年 | 1 年 | 不適用 |
系統內容 | 說明 |
---|---|
edge.offline.limit.sec | 如果 Orchestrator 未在指定的持續時間內偵測到來自 Edge 的活動訊號,則 Edge 的狀態會轉變為「離線」模式。 |
edge.link.unstable.limit.sec | 如果 Orchestrator 未在指定的持續時間內收到連結的連結統計資料,則連結會轉變為「不穩定」模式。 |
edge.link.disconnected.limit.sec | 如果 Orchestrator 未在指定的持續時間內收到連結的連結統計資料,則連結會中斷連線。 |
edge.deadbeat.limit.days | 如果 Edge 處於非作用中狀態達指定的天數,則不會產生該 Edge 的警示。 |
vco.operator.alert.edgeLinkEvent.enable | 全域啟用或停用「Edge 連結」事件的操作員警示。 |
vco.operator.alert.edgeLiveness.enable | 全域啟用或停用「Edge 活躍性」事件的操作員警示。 |
系統內容 | 說明 |
---|---|
edge.activation.key.encode.enable | 當 Edge 啟動電子郵件傳送至網站連絡人時,Base64 會將啟用 URL 參數編碼為不明確的值。 |
edge.activation.trustedIssuerReset.enable | 將 Edge 的受信任憑證簽發者清單重設為僅包含 Orchestrator 憑證授權機構。來自 Edge 的所有 TLS 流量會受到新的簽發者清單所限制。 |
network.public.certificate.issuer | 設定 network.public.certificate.issuer 的值等於 Orchestrator 伺服器憑證簽發者的 PEM 編碼,而 edge.activation.trustedIssuerReset.enable 會設定為 True。這會將伺服器憑證簽發者新增至 Edge 的受信任簽發者,以及 Orchestrator 憑證授權機構。 |
系統內容 | 說明 |
---|---|
edge.link.show.limit.sec | 允許為每個 Edge 設定 Edge 連結關閉限制 (Edge Link Down Limit) 值。 |
系統內容 | 說明 |
---|---|
session.options.enableLansidePortRules | 允許在 Edge 或設定檔的 內部連接埠 (Inside Port) 和外部連接埠 (Outside Port) 參數。 | 下設定
系統內容 | 說明 |
---|---|
vco.monitor.enable | 全域啟用或停用企業和操作員實體狀態的監控。將此值設定為 False,可防止 SASE Orchestrator 變更實體狀態及觸發警示。 |
vco.enterprise.monitor.enable | 全域啟用或停用企業實體狀態的監控。 |
vco.operator.monitor.enable | 全域啟用或停用操作員實體狀態的監控。 |
系統內容 | 說明 |
---|---|
vco.notification.enable | 全域啟用或停用將警示通知同時傳遞至操作員和企業的功能。 |
vco.enterprise.notification.enable | 全域啟用或停用將警示通知傳遞至企業的功能。 |
vco.operator.notification.enable | 全域啟用或停用將警示通知傳遞至操作員的功能。 |
系統內容 | 說明 |
---|---|
vco.enterprise.resetPassword.token.expirySeconds | 表示持續時間,結束之後企業使用者的密碼重設連結即到期。 |
vco.enterprise.authentication.passwordPolicy | 為客戶使用者定義密碼強度、歷程記錄和到期原則。 在值欄位中編輯 JSON 範本,以定義下列項目: 強度 (strength)
由於新密碼與舊密碼僅有 3 個字元的差異,因此將拒絕使用「sitting」作為替代「kitten」的新密碼。預設值 -1 表示未啟用此功能。
到期 (expiry):
歷程記錄 (history):
|
enterprise.user.lockout.defaultAttempts | 企業使用者可嘗試登入的次數。如果登入因已達到指定次數而失敗,帳戶將會遭到鎖定。 |
enterprise.user.lockout.defaultDurationSeconds | 企業使用者帳戶遭到鎖定的持續時間。 |
enterprise.user.lockout.enabled | 啟用或停用企業登入失敗的鎖定選項。 |
vco.operator.resetPassword.token.expirySeconds | 表示持續時間,期間結束之後操作員使用者的密碼重設連結即到期。 |
vco.operator.authentication.passwordPolicy | 為操作員使用者定義密碼強度、歷程記錄和到期原則。 在值欄位中編輯 JSON 範本,以定義下列項目: 強度 (strength)
由於新密碼與舊密碼僅有 3 個字元的差異,因此將拒絕使用「sitting」作為替代「kitten」的新密碼。預設值 -1 表示未啟用此功能。
到期 (expiry):
歷程記錄 (history):
|
operator.user.lockout.defaultAttempts | 操作員使用者可嘗試登入的次數。如果登入因已達到指定次數而失敗,帳戶將會遭到鎖定。 |
operator.user.lockout.defaultDurationSeconds | 操作員使用者帳戶遭到鎖定的持續時間。 |
operator.user.lockout.enabled | 啟用或停用操作員登入失敗的鎖定選項。 |
系統內容 | 說明 |
---|---|
vco.api.rateLimit.enabled | 允許操作員超級使用者啟用或停用系統層級的速率限制功能。依預設,此值為 False。
備註: 速率限制器未正式啟用,亦即,它不會拒絕超過所設定限制的 API 要求,除非
vco.api.rateLimit.mode.logOnly 設定已停用。
|
vco.api.rateLimit.mode.logOnly | 允許操作員超級使用者在 LOG_ONLY 模式下使用速率限制。當該值設為 True 且速率限制超過時,此選項只會記錄錯誤,並觸發個別的度量,以允許用戶端在不受速率限制的情況下提出要求。 當此值設定為 False 時,系統會使用定義的原則限制要求 API,並傳回 HTTP 429。 |
vco.api.rateLimit.rules.global | 允許在 JSON 陣列中定義一組由速率限制器所使用的全域適用原則。依預設,此值為空白陣列。 每種類型的使用者 (操作員、合作夥伴和客戶) 可在每 5 秒內提出最多 500 個要求。要求的數目可能會根據速率限制要求的行為模式進行變更。 JSON 陣列包含下列參數:
類型 (Types):類型物件代表套用速率限制的不同內容。以下是可用的不同類型物件:
原則 (Policies):透過設定下列參數,將規則新增至原則,以套用符合規則的要求:
已啟用 (Enabled):您可以透過在 APIRateLimiterTypeObject 中包含 已啟用 (enabled) 的金鑰,來啟用或停用每個類型限制。依預設,已啟用 (enabled) 的值為 True,即使該金鑰不包含在內。您需要包含 "enabled": false 金鑰,以停用個別類型限制。 下列範例顯示包含預設值的 JSON 檔案範例: [ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] } ]
備註: 建議不要變更組態參數的預設值。
|
vco.api.rateLimit.rules.enterprise.default | 包含適用於新建立客戶的預設企業特定原則集。客戶特定內容會儲存在企業內容 vco.api.rateLimit.rules.enterprise 中。 |
vco.api.rateLimit.rules.enterpriseProxy.default | 包含適用於新建立合作夥伴的預設企業特定原則集。合作夥伴特定內容會儲存在企業 Proxy 內容 vco.api.rateLimit.rules.enterpriseProxy 中。 |
如需速率限制的詳細資訊,請參閱速率限制 API 要求。
系統內容 | 說明 |
---|---|
network.public.address | 指定用來存取 SASE Orchestrator UI 的瀏覽器原始位址/DNS 主機名稱。 |
network.portal.websocket.address | 如果瀏覽器位址與 network.public.address 系統內容的值不同,則允許設定替代 DNS 主機名稱/位址,以從瀏覽器存取 SASE Orchestrator UI。 由於遠端診斷現在會使用 WebSocket 連線,為確保 Web 安全性,用於存取 Orchestrator UI 的瀏覽器來源位址已針對傳入要求進行驗證。在大多數情況下,此位址與 |
session.options.websocket.portal.idle.timeout | 允許設定瀏覽器 WebSocket 連線在閒置狀態中處於作用中狀態的時間總計 (以秒為單位)。依預設,瀏覽器 WebSocket 連線在閒置狀態中會處於作用狀態 300 秒。 |
系統內容 | 說明 |
---|---|
session.options.enableSseService | 為企業使用者啟用或停用安全服務邊緣 (SSE) 功能。 |
系統內容 | 說明 |
---|---|
enterprise.capability.enableSegmentation | 啟用或停用企業使用者的分割功能。 |
enterprise.segments.system.maximum | 指定任何企業使用者允許的區段數上限。如果您想要為企業使用者在 SASE Orchestrator 上啟用 128 個區段,請確保將此系統內容的值變更為 128。 |
enterprise.segments.maximum | 指定針對新的或現有企業使用者允許的區段數上限的預設值。任何企業使用者的預設值為 16。
備註: 此值必須小於或等於系統內容 enterprise.segments.system.maximum 中定義的數目。
如果您想要為企業使用者啟用 128 個區段,則不建議變更此系統內容的值。您可以改為在客戶組態 (Customer Configuration) 頁面中啟用客戶功能 (Customer Capabilities),以設定所需的區段數。如需指示,請參閱 VMware SD-WAN 說明文件中所提供的《VMware SD-WAN 操作員指南》中的〈設定客戶功能〉一節。 |
enterprise.subinterfaces.maximum | 指定可為企業使用者設定的子介面數目上限。預設值為 32。 |
enterprise.vlans.maximum | 指定可為企業使用者設定的 VLAN 數目上限。預設值為 32。 |
session.options.enableAsyncAPI | 當任何企業使用者的區段規模增加至 128 個區段時,若要避免 UI 發生逾時,您可以使用此系統內容在 UI 上啟用非同步 API 支援。預設值為 true。 |
session.options.asyncPollingMilliSeconds | 指定 UI 上非同步 API 的輪詢間隔。預設值為 5000 毫秒。 |
session.options.asyncPollingMaxCount | 指定從 UI 取得狀態 API 的呼叫數目上限。預設值為 10。 |
vco.enterprise.events.configuration.diff.enable | 啟動或停用組態差異事件記錄。當企業使用者的區段數大於 4 時,將停用組態差異事件記錄。您可以使用此系統內容來啟用組態差異事件記錄。 |
系統內容 | 說明 |
---|---|
vco.enterprise.resetPassword.twoFactor.mode | 為所有企業使用者定義第二層密碼重設驗證的模式。目前僅支援 SMS 模式。 |
vco.enterprise.resetPassword.twoFactor.required | 為企業使用者的密碼重設啟用或停用雙因素驗證。 |
vco.enterprise.selfResetPassword.enabled | 啟用或停用企業使用者的自助服務密碼重設。 |
vco.enterprise.selfResetPassword.token.expirySeconds | 表示持續時間,期間結束之後企業使用者的自助式密碼重設連結即到期。 |
vco.operator.resetPassword.twoFactor.required | 為操作員使用者的密碼重設啟用或停用雙因素驗證。 |
vco.operator.selfResetPassword.enabled | 啟用或停用操作員使用者的自助服務密碼重設。 |
vco.operator.selfResetPassword.token.expirySeconds | 表示持續時間,期間結束之後操作員使用者的自助式密碼重設連結即到期。 |
系統內容 | 說明 |
---|---|
log.syslog.backend | 後端服務 Syslog 整合組態。 |
log.syslog.portal | 入口網站服務 Syslog 整合組態。 |
log.syslog.upload | 上傳服務 Syslog 整合組態。 |
log.syslog.lastFetchedCRL.backend | 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。 |
log.syslog.lastFetchedCRL.portal | 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。 |
log.syslog.lastFetchedCRL.upload | 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。 |
系統內容 | 說明 |
---|---|
session.options.enableTACACS | 啟用或停用企業使用者的 TACACS 服務。 |
系統內容 | 說明 |
---|---|
vco.enterprise.authentication.twoFactor.enable | 啟用或停用企業使用者的雙因素驗證。 |
vco.enterprise.authentication.twoFactor.mode | 為企業使用者定義第二層驗證的模式。目前僅支援以 SMS 作為第二層驗證模式。 |
vco.enterprise.authentication.twoFactor.require | 將雙因素驗證定義為企業使用者的必要驗證。 |
vco.operator.authentication.twoFactor.enable | 啟用或停用操作員使用者的雙因素驗證。 |
vco.operator.authentication.twoFactor.mode | 為操作員使用者定義第二層驗證的模式。目前僅支援以 SMS 作為第二層驗證模式。 |
vco.operator.authentication.twoFactor.require | 將雙因素驗證定義為操作員使用者的必要驗證。 |
系統內容 | 說明 |
---|---|
session.options.enableNsdPkiIPv6Config | 啟用憑證 (Certificate) 驗證模式和 IPv6 本機識別類型。 |
系統內容 | 說明 |
---|---|
edge.vnf.extraImageInfos | 定義 VNF 映像的內容。
您可以在
值 (Value) 欄位中,以 JSON 格式輸入 VNF 映像的下列資訊:
[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" } ]
Check Point 防火牆映像的 JSON 檔案範例:
[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" } ]
Fortinet 防火牆映像的 JSON 檔案範例:
[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" } ] |
edge.vnf.metric.record.limit | 定義要儲存在資料庫中的記錄數目。 |
enterprise.capability.edgeVnfs.enable | 允許在支援的 Edge 型號上進行 VNF 部署。 |
enterprise.capability.edgeVnfs.securityVnf.checkPoint | 啟用 Check Point 網路防火牆 VNF。 |
enterprise.capability.edgeVnfs.securityVnf.fortinet | 啟用 Fortinet 網路防火牆 VNF。 |
enterprise.capability.edgeVnfs.securityVnf.paloAlto | 啟用 Palo Alto Networks 防火牆 VNF。 |
session.options.enableVnf | 啟用 VNF 功能。 |
vco.operator.alert.edgeVnfEvent.enable | 全域啟用或停用 Edge VNF 事件的操作員警示。 |
vco.operator.alert.edgeVnfInsertionEvent.enable | 全域啟用或停用 Edge VNF 插入事件的操作員警示。 |
edge.vnf.extraImageInfos | 允許選取 Check Point VNF 映像。 |
系統內容 | 說明 |
---|---|
vpn.disconnect.wait.sec | 系統在中斷 VPN 通道連線之前所等待的時間間隔。 |
vpn.reconnect.wait.sec | 系統在重新連線 VPN 通道之前所等待的時間間隔。 |
系統內容 | 說明 |
---|---|
login.warning.banner.message | 這個選用系統內容可讓操作員設定及顯示安全管理員指定的建議通知和同意警告訊息,以指出關於 SASE Orchestrator 的使用權。在使用者登入之前,會在 SASE Orchestrator 中顯示該警告訊息。 有關如何設定該系統內容的指示,請參閱為 SD-WAN Orchestrator 設定建議通知和同意警告訊息。 |
系統內容 | 說明 |
---|---|
session.options.enableZscalerProfileAutomation | 啟用以在設定檔層級進行 Zscaler 設定。 |