身為操作員,您可以新增或修改系統內容的值。

下表說明部分系統內容。身為操作員,您可以設定這些內容的值。

表 1. 警示電子郵件
系統內容 說明
vco.alert.mail.to

觸發警示時,系統會立即將通知傳送至此系統內容之值欄位中提供的電子郵件地址清單。您可以輸入多個以逗號分隔的電子郵件識別碼。

如果內容不包含任何值,則不會傳送通知。

此通知的用意是要在通知客戶之前,先警示 VMware 支援/作業人員有即將發生的問題。

vco.alert.mail.cc 將警示電子郵件傳送給任何客戶時,都會將複本傳送至此系統內容之值欄位中提供的電子郵件地址。您可以輸入多個以逗號分隔的電子郵件識別碼。
mail.* 有多個系統內容可用來控制警示電子郵件。您可以定義電子郵件參數,例如 SMTP 內容、使用者名稱、密碼等。
表 2. 警示
系統內容 說明
vco.alert.enable 全域啟用或停用同時為操作員和企業客戶產生警示的功能。
vco.enterprise.alert.enable 全域啟用或停用為企業客戶產生警示的功能。
vco.operator.alert.enable 全域啟用或停用為操作員產生警示的功能。
表 3. Bastion Orchestrator 組態
系統內容 說明
session.options.enableBastionOrchestrator 啟用 Bastion Orchestrator 功能。

如需詳細資訊,請參閱https://docs.vmware.com/tw/VMware-SD-WAN/index.html提供的《Bastion Orchestrator 組態指南》

vco.bastion.private.enable 使 Orchestrator 成為 Bastion 配對的私人 Orchestrator。
vco.bastion.public.enable 使 Orchestrator 成為 Bastion 配對的公用 Orchestrator。
表 4. 憑證授權機構
系統內容 說明
edge.certificate.renewal.window 此選用系統內容允許操作員定義一或多個在其中啟用 Edge 憑證更新的維護時段。排程在時段以外用於進行更新的憑證將會延遲到目前時間落在其中一個已啟用的時段內才會進行。

啟用系統內容:

若要啟用此系統內容,請在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,針對「已啟用」輸入「true」。此系統內容第一部分啟用時的範例如下所示。

操作員可以定義多個時段,以限制在一天中啟用 Edge 更新的日期和時間。每個時段都可依一天定義,或是多天 (以逗號分隔) 且包含開始和結束時間的清單。可以相對於 Edge 的本機時區,或相對於 UTC 來指定開始時間和結束時間。請參閱下方的映像以取得範例。

備註: 如果屬性不存在,則預設值為啟用「false」。
定義時段屬性時,請遵循下列事項:
  • 使用 IANA 時區,而非 PDT 或 PST (America/Los_Angeles) 如需詳細資訊,請參閱 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones
  • 針對天數使用 UTC (例如,SAT、SUN)。
    • 以逗號分隔。
    • 使用英文三個字母的天數。
    • 不區分大小寫。
  • 僅針對開始時間 (例如 01:30) 和結束時間 (例如 05:30) 使用軍事 24 小時時間格式 (HH:MM)。

如果遺漏以上提到的值,則每個時段定義中的屬性預設值如下所示:

  • 如果遺漏啟用項目,則預設值 = false。
  • 如果遺漏時區,預設值 =「local」。
  • 如果遺漏「天」或結束與開始時間其中之一,則預設值如下所示:
    • 如果遺漏「天」,則開始/結束會套用到一週的每一天 (週一、週二、週三、週四、週五、週六、週日)。
    • 如果遺漏結束和開始時間,則指定日期中的任何時間當都將符合 (開始 = 00:00 及結束 = 23:59)。
    • 附註:必須有「天」或結束時間和開始時間其中之一。不過,如果遺漏,則預設值將如上所示。

停用系統內容:

此系統內容依預設為停用,這表示憑證將在到期後自動更新。在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,「已啟用」將會設為「False」。此內容在停用時的範例如下所示。

{

"enabled": false,

"windows": [

{

附註:此系統內容需要啟用 PKI。

gateway.certificate.renewal.window 此選用系統內容允許操作員定義一或多個在其中啟用閘道憑證更新的維護時段。排程在時段以外用於進行更新的憑證將會延遲到目前時間落在其中一個已啟用的時段內才會進行。

啟用系統內容:

若要啟用此系統內容,請在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,針對「已啟用」輸入「true」。請參閱下方的映像以取得範例。

操作員可以定義多個時段,以限制在一天中啟用 Edge 更新的日期和時間。每個時段都可依一天定義,或是多天 (以逗號分隔) 且包含開始和結束時間的清單。可以相對於 Edge 的本機時區,或相對於 UTC 來指定開始時間和結束時間。請參閱下方的映像以取得範例。

備註: 如果屬性不存在,則預設值為啟用「false」。
定義時段屬性時,請遵循下列事項:
  • 使用 IANA 時區,而非 PDT 或 PST (America/Los_Angeles) 如需詳細資訊,請參閱 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones
  • 針對天數使用 UTC (例如,SAT、SUN)。
    • 以逗號分隔。
    • 使用英文三個字母的天數。
    • 不區分大小寫。
  • 僅針對開始時間 (例如 01:30) 和結束時間 (例如 05:30) 使用軍事 24 小時時間格式 (HH:MM)。

如果遺漏以上提到的值,則每個時段定義中的屬性預設值如下所示:

  • 如果遺漏啟用項目,則預設值 = false。
  • 如果遺漏時區,預設值 =「local」。
  • 如果遺漏「天」或結束與開始時間其中之一,則預設值如下所示:
    • 如果遺漏「天」,則開始/結束會套用到一週的每一天 (週一、週二、週三、週四、週五、週六、週日)。
    • 如果遺漏結束和開始時間,則指定日期中的任何時間當都將符合 (開始 = 00:00 及結束 = 23:59)。
    • 附註:必須有「天」或 (結束和開始) 其中之一。不過,如果遺漏,則預設值將如上所示。

停用系統內容:

此系統內容依預設為停用,這表示憑證將在到期後自動更新。在修改系統內容 (Modify System Property) 對話方塊值 (Value) 文字區域的第一個部分中,「已啟用」將會設為「False」。此內容在停用時的範例如下所示。

{

"enabled": false,

"windows": [

{

備註: 此系統內容需要啟用 PKI。
表 5. 客戶組態
系統內容 說明
session.options.enableServiceLicenses 該系統內容允許操作員使用者管理全域設定 (Global Settings) > 客戶組態 (Customer Configuration) 下的服務組態,並且依預設設定為 True
表 6. 資料保留
系統內容 說明
retention.highResFlows.days 此系統內容可讓操作員將高解析度流量統計資料保留設定為在 1 到 90 天的任意期間內。
retention.lowResFlows.months 此系統內容可讓操作員將低解析度流量統計資料保留設定為在 1 到 365 天的任意期間內。
session.options.maxFlowstatsRetentionDays 此內容可讓操作員查詢超過兩週的流量統計資料。
retentionWeeks.enterpriseEvents 企業事件保留期間 (-1 會將保留期間設定為允許的時段上限)
retentionWeeks.operatorEvents 操作員事件保留期間 (-1 會將保留期間設定為允許的時段上限)
retentionWeeks.proxyEvents Proxy 事件保留期間 (-1 會將保留期間設定為允許的時段上限)
retentionWeeks.firewallLogs 防火牆記錄保留期間 (-1 會將保留期間設定為允許的時段上限)
retention.linkstats.days 連結統計資料保留期間 (-1 會將保留期間設定為允許的時段上限)
retention.linkquality.days 連結品質事件保留期間 (-1 會將保留期間設定為允許的時段上限)
retention.healthstats.days Edge 健全狀況統計資料保留期間 (-1 會將保留期間設定為允許的時段上限)
retention.pathstats.days 路徑統計資料保留期間 (-1 會將保留期間設定為允許的時段上限)
表 7. SD-WAN 資料保留 (SD-WAN Data Retention)
SD-WAN 資料 (SD-WAN Data) 系統內容 預設值 最大值 4.0 版以前
企業事件 retentionWeeks.enterpriseEvents 40 週 1 年 40 週
企業警示 不適用 40 週 1 年 無原則
操作員事件 retentionWeeks.operatorEvents 40 週 1 年 40 週
企業 Proxy 事件 retentionWeeks.proxyEvents 40 週 1 年 40 週
防火牆記錄 retentionWeeks.firewallLogs 不支援 不支援 40 週
連結統計資料 retention.linkstats.days 40 週 1 年 40 週
連結 QoE retention.linkquality.days 40 週 1 年 40 週
路徑統計資料 retention.pathstats.days 2 週 2 週 不適用
流量統計資料 retention.lowResFlows.months

retention.highResFlows.days

1 年 - 1 小時彙總

2 週 - 5 分鐘

1 年 - 1 小時彙總

3 個月 - 5 分鐘

1 年,含彙總
Edge 健全狀況統計資料 (5.0 版和更新版本) retention.healthstats.days 1 年 1 年 不適用
表 8. Edge
系統內容 說明
edge.offline.limit.sec 如果 Orchestrator 未在指定的持續時間內偵測到來自 Edge 的活動訊號,則 Edge 的狀態會轉變為「離線」模式。
edge.link.unstable.limit.sec 如果 Orchestrator 未在指定的持續時間內收到連結的連結統計資料,則連結會轉變為「不穩定」模式。
edge.link.disconnected.limit.sec 如果 Orchestrator 未在指定的持續時間內收到連結的連結統計資料,則連結會中斷連線。
edge.deadbeat.limit.days 如果 Edge 處於非作用中狀態達指定的天數,則不會產生該 Edge 的警示。
vco.operator.alert.edgeLinkEvent.enable 全域啟用或停用「Edge 連結」事件的操作員警示。
vco.operator.alert.edgeLiveness.enable 全域啟用或停用「Edge 活躍性」事件的操作員警示。
表 9. Edge 啟用 (Edge Activation)
系統內容 說明
edge.activation.key.encode.enable 當 Edge 啟動電子郵件傳送至網站連絡人時,Base64 會將啟用 URL 參數編碼為不明確的值。
edge.activation.trustedIssuerReset.enable 將 Edge 的受信任憑證簽發者清單重設為僅包含 Orchestrator 憑證授權機構。來自 Edge 的所有 TLS 流量會受到新的簽發者清單所限制。
network.public.certificate.issuer 設定 network.public.certificate.issuer 的值等於 Orchestrator 伺服器憑證簽發者的 PEM 編碼,而 edge.activation.trustedIssuerReset.enable 會設定為 True。這會將伺服器憑證簽發者新增至 Edge 的受信任簽發者,以及 Orchestrator 憑證授權機構。
表 10. Edge 管理
系統內容 說明
edge.link.show.limit.sec 允許為每個 Edge 設定 Edge 連結關閉限制 (Edge Link Down Limit) 值。
表 11. LAN 端 NAT 規則
系統內容 說明
session.options.enableLansidePortRules 允許在 Edge 或設定檔的 [裝置設定 (Device Settings)] 索引標籤 > 路由和 NAT (Routing and NAT) > LAN 端 NAT 規則 (LAN-Side NAT Rules) 下設定內部連接埠 (Inside Port)外部連接埠 (Outside Port) 參數。
表 12. 監控
系統內容 說明
vco.monitor.enable 全域啟用或停用企業和操作員實體狀態的監控。將此值設定為 False,可防止 SASE Orchestrator 變更實體狀態及觸發警示。
vco.enterprise.monitor.enable 全域啟用或停用企業實體狀態的監控。
vco.operator.monitor.enable 全域啟用或停用操作員實體狀態的監控。
表 13. 通知
系統內容 說明
vco.notification.enable 全域啟用或停用將警示通知同時傳遞至操作員和企業的功能。
vco.enterprise.notification.enable 全域啟用或停用將警示通知傳遞至企業的功能。
vco.operator.notification.enable 全域啟用或停用將警示通知傳遞至操作員的功能。
表 14. 密碼重設和鎖定
系統內容 說明
vco.enterprise.resetPassword.token.expirySeconds 表示持續時間,結束之後企業使用者的密碼重設連結即到期。
vco.enterprise.authentication.passwordPolicy

為客戶使用者定義密碼強度、歷程記錄和到期原則。

在值欄位中編輯 JSON 範本,以定義下列項目:

強度 (strength)

  • minlength: 最小密碼字元長度。預設最小密碼長度為 8 個字元。
  • maxlength: 最大密碼字元長度。預設最大密碼長度為 32 個字元。
  • requireNumber: 密碼必須至少包含一個數字字元。依預設,會啟用數字要求。
  • requireLower: 密碼必須至少包含一個小寫字元。依預設,會啟用小寫要求。
  • requireUpper: 密碼必須至少包含一個大寫字元。依預設,不會啟用大寫要求。
  • requireSpecial: 密碼必須至少包含一個特殊字元 (例如,_@!)。依預設,不會啟用特殊字元要求。
  • excludeTop: 密碼不得與最常使用的密碼清單相符。預設值為 1000,表示排名前 1000 個最常用的密碼,並可設定為最多 10,000 個最常用的密碼。
  • maxRepeatingCharacters: 密碼不得包含可設定數目的重複字元。例如,如果將 maxRepeatingCharacters 設為「2」,則 Orchestrator 將拒絕任何包含 3 個或更多重複字元的密碼,如「Passwordaaa」。預設值 -1 表示未啟用此功能。
  • maxSequenceCharacters: 密碼不得包含可設定數目的連續字元。例如,如果將 maxSequenceCharacters 設定為「3」,則 Orchestrator 將拒絕任何包含 4 個或更多連續字元的密碼,如「Password1234」。預設值 -1 表示未啟用此功能。
  • disallowUsernameCharacters: 密碼不得與使用者識別碼的可設定部分相符。例如,當 disallowUsernameCharacters 設為 5 的時候,如果使用者名稱為 [email protected] 的使用者所嘗試設定的新密碼包含了「usern」或「serna」或符合該使用者名稱某一部分的任何 5 個字元的字串,則 Orchestrator 將拒絕這個新密碼。預設值 -1 表示未啟用此功能。
  • variationValidationCharacters: 新密碼與舊密碼的差異必須達到可設定的字元數。Orchestrator 使用兩個字組之間的 Levenshtein 間距來判定新密碼和舊密碼之間的差異。Levenshtein 間距是指要將一個字組更改為另一個字組所需的最少單一字元編輯 (插入、刪除或替換) 次數。
  • 如果將 variationValidationCharacters 設為 4,則新密碼和舊密碼之間的 Levenshtein 間距必須為 4 或更大。換句話說,新密碼必須與舊密碼有 4 處或更多差異。例如,如果使用的舊密碼為「kitten」,而新密碼為「sitting」,則這兩個密碼的 Levenshtein 間距為 3,因為只需進行三次編輯即可將 kitten 更改為 sitting:
    • kitten → sitten (用「s」替代「k」)
    • sitten → sittin (用「i」替代「e」)
    • sittin → sitting (在末尾插入「g」)。

由於新密碼與舊密碼僅有 3 個字元的差異,因此將拒絕使用「sitting」作為替代「kitten」的新密碼。預設值 -1 表示未啟用此功能。

到期 (expiry)
  • 啟用 (enable):將此項目設定為 true,可啟用客戶使用者密碼的自動到期功能。
  • 天數 (days):輸入在強制到期之前可使用客戶密碼的天數。
歷程記錄 (history)
  • 啟用 (enable):將此項目設定為 true,可啟用客戶使用者先前密碼的記錄。
  • 計數 (count):輸入要儲存在歷程記錄中的先前密碼數目。當客戶使用者嘗試變更密碼時,系統不允許使用者輸入已儲存在歷程記錄中的密碼。
enterprise.user.lockout.defaultAttempts 企業使用者可嘗試登入的次數。如果登入因已達到指定次數而失敗,帳戶將會遭到鎖定。
enterprise.user.lockout.defaultDurationSeconds 企業使用者帳戶遭到鎖定的持續時間。
enterprise.user.lockout.enabled 啟用或停用企業登入失敗的鎖定選項。
vco.operator.resetPassword.token.expirySeconds 表示持續時間,期間結束之後操作員使用者的密碼重設連結即到期。
vco.operator.authentication.passwordPolicy

為操作員使用者定義密碼強度、歷程記錄和到期原則。

在值欄位中編輯 JSON 範本,以定義下列項目:

強度 (strength)

  • minlength: 最小密碼字元長度。預設最小密碼長度為 8 個字元。
  • maxlength: 最大密碼字元長度。預設最大密碼長度為 32 個字元。
  • requireNumber: 密碼必須至少包含一個數字字元。依預設,會啟用數字要求。
  • requireLower: 密碼必須至少包含一個小寫字元。依預設,會啟用小寫要求。
  • requireUpper: 密碼必須至少包含一個大寫字元。依預設,不會啟用大寫要求。
  • requireSpecial: 密碼必須至少包含一個特殊字元 (例如,_@!)。依預設,不會啟用特殊字元要求。
  • excludeTop: 密碼不得與最常使用的密碼清單相符。預設值為 1000,表示排名前 1000 個最常用的密碼,並可設定為最多 10,000 個最常用的密碼。
  • maxRepeatingCharacters: 密碼不得包含可設定數目的重複字元。例如,如果將 maxRepeatingCharacters 設為「2」,則 Orchestrator 將拒絕任何包含 3 個或更多重複字元的密碼,如「Passwordaaa」。預設值 -1 表示未啟用此功能。
  • maxSequenceCharacters: 密碼不得包含可設定數目的連續字元。例如,如果將 maxSequenceCharacters 設定為「3」,則 Orchestrator 將拒絕任何包含 4 個或更多連續字元的密碼,如「Password1234」。預設值 -1 表示未啟用此功能。
  • disallowUsernameCharacters: 密碼不得與使用者識別碼的可設定部分相符。例如,當 disallowUsernameCharacters 設為 5 的時候,如果使用者名稱為 [email protected] 的使用者所嘗試設定的新密碼包含了「usern」或「serna」或符合該使用者名稱某一部分的任何 5 個字元的字串,則 Orchestrator 將拒絕這個新密碼。預設值 -1 表示未啟用此功能。
  • variationValidationCharacters: 新密碼與舊密碼的差異必須達到可設定的字元數。Orchestrator 使用兩個字組之間的 Levenshtein 間距來判定新密碼和舊密碼之間的差異。Levenshtein 間距是指要將一個字組更改為另一個字組所需的最少單一字元編輯 (插入、刪除或替換) 次數。
  • 如果將 variationValidationCharacters 設為 4,則新密碼和舊密碼之間的 Levenshtein 間距必須為 4 或更大。換句話說,新密碼必須與舊密碼有 4 處或更多差異。例如,如果使用的舊密碼為「kitten」,而新密碼為「sitting」,則這兩個密碼的 Levenshtein 間距為 3,因為只需進行三次編輯即可將 kitten 更改為 sitting:
    • kitten → sitten (用「s」替代「k」)
    • sitten → sittin (用「i」替代「e」)
    • sittin → sitting (在末尾插入「g」)。

由於新密碼與舊密碼僅有 3 個字元的差異,因此將拒絕使用「sitting」作為替代「kitten」的新密碼。預設值 -1 表示未啟用此功能。

到期 (expiry)
  • 啟用 (enable):將此項目設定為 true,可啟用操作員使用者密碼的自動到期。
  • 天數 (days):輸入在強制到期之前可使用操作員密碼的天數。
歷程記錄 (history)
  • 啟用:將此項目設定為 true,可啟用操作員使用者先前密碼的記錄。
  • 計數 (count):輸入要儲存在歷程記錄中的先前密碼數目。當操作員使用者嘗試變更密碼時,系統不允許使用者輸入已儲存在歷程記錄中的密碼。
operator.user.lockout.defaultAttempts 操作員使用者可嘗試登入的次數。如果登入因已達到指定次數而失敗,帳戶將會遭到鎖定。
operator.user.lockout.defaultDurationSeconds 操作員使用者帳戶遭到鎖定的持續時間。
operator.user.lockout.enabled 啟用或停用操作員登入失敗的鎖定選項。
表 15. 速率限制 API
系統內容 說明
vco.api.rateLimit.enabled 允許操作員超級使用者啟用或停用系統層級的速率限制功能。依預設,此值為 False
備註: 速率限制器未正式啟用,亦即,它不會拒絕超過所設定限制的 API 要求,除非 vco.api.rateLimit.mode.logOnly 設定已停用。
vco.api.rateLimit.mode.logOnly

允許操作員超級使用者在 LOG_ONLY 模式下使用速率限制。當該值設為 True 且速率限制超過時,此選項只會記錄錯誤,並觸發個別的度量,以允許用戶端在不受速率限制的情況下提出要求。

當此值設定為 False 時,系統會使用定義的原則限制要求 API,並傳回 HTTP 429。

vco.api.rateLimit.rules.global

允許在 JSON 陣列中定義一組由速率限制器所使用的全域適用原則。依預設,此值為空白陣列。

每種類型的使用者 (操作員、合作夥伴和客戶) 可在每 5 秒內提出最多 500 個要求。要求的數目可能會根據速率限制要求的行為模式進行變更。

JSON 陣列包含下列參數:

類型 (Types):類型物件代表套用速率限制的不同內容。以下是可用的不同類型物件:
  • SYSTEM:指定所有使用者共用的全域限制。
  • OPERATOR_USER:可對所有操作員使用者進行的一般設定限制。
  • ENTERPRISE_USER:可對所有企業使用者進行的一般設定限制。
  • MSP_USER:可對所有 MSP 使用者進行的一般設定限制。
  • ENTERPRISE:可在企業的所有使用者之間共用、且適用於網路中所有企業的限制。
  • PROXY:可在 Proxy 的所有使用者之間共用、且適用於所有 Proxy 的限制。
原則 (Policies):透過設定下列參數,將規則新增至原則,以套用符合規則的要求:
  • 符合 (Match):輸入要相符的要求類型:
    • 所有 (All):對符合其中一個類型物件的所有要求進行速率限制。
    • METHOD:對符合指定方法名稱的所有要求進行速率限制。
    • METHOD_PREFIX:對符合指定方法群組的所有要求進行速率限制。
  • 規則 (Rules):輸入下列參數的值:
    • maxConcurrent:可同時執行的工作數目。
    • reservoir:限制器停止執行工作之前可以執行的工作數目。
    • reservoirRefreshAmount:在使用 reservoirRefreshInterval 時,對 reservoir 所要設定的值。
    • reservoirRefreshInterval:針對 reservoirRefreshInterval 的每毫秒,reservoir 值將自動更新為 reservoirRefreshAmount 的值。reservoirRefreshInterval 值應為 250 的倍數 (叢集化為 5000)。

已啟用 (Enabled):您可以透過在 APIRateLimiterTypeObject 中包含 已啟用 (enabled) 的金鑰,來啟用或停用每個類型限制。依預設,已啟用 (enabled) 的值為 True,即使該金鑰不包含在內。您需要包含 "enabled": false 金鑰,以停用個別類型限制。

下列範例顯示包含預設值的 JSON 檔案範例:

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
備註: 建議不要變更組態參數的預設值。
vco.api.rateLimit.rules.enterprise.default 包含適用於新建立客戶的預設企業特定原則集。客戶特定內容會儲存在企業內容 vco.api.rateLimit.rules.enterprise 中。
vco.api.rateLimit.rules.enterpriseProxy.default 包含適用於新建立合作夥伴的預設企業特定原則集。合作夥伴特定內容會儲存在企業 Proxy 內容 vco.api.rateLimit.rules.enterpriseProxy 中。

如需速率限制的詳細資訊,請參閱速率限制 API 要求

表 16. 遠端診斷
系統內容 說明
network.public.address 指定用來存取 SASE Orchestrator UI 的瀏覽器原始位址/DNS 主機名稱。
network.portal.websocket.address 如果瀏覽器位址與 network.public.address 系統內容的值不同,則允許設定替代 DNS 主機名稱/位址,以從瀏覽器存取 SASE Orchestrator UI。

由於遠端診斷現在會使用 WebSocket 連線,為確保 Web 安全性,用於存取 Orchestrator UI 的瀏覽器來源位址已針對傳入要求進行驗證。在大多數情況下,此位址與 network.public.address 系統內容相同。在少數情況下,可以使用與 network.public.address 系統內容中所設定值不同的其他 DNS 主機名稱/位址來存取 Orchestrator UI。在這種情況下,您可以將此系統內容設定為替代 DNS 主機名稱/位址。依預設,未設定此值。

session.options.websocket.portal.idle.timeout 允許設定瀏覽器 WebSocket 連線在閒置狀態中處於作用中狀態的時間總計 (以秒為單位)。依預設,瀏覽器 WebSocket 連線在閒置狀態中會處於作用狀態 300 秒。
表 17. 安全服務邊緣 (SSE)
系統內容 說明
session.options.enableSseService 為企業使用者啟用或停用安全服務邊緣 (SSE) 功能。
表 18. 分割
系統內容 說明
enterprise.capability.enableSegmentation 啟用或停用企業使用者的分割功能。
enterprise.segments.system.maximum 指定任何企業使用者允許的區段數上限。如果您想要為企業使用者在 SASE Orchestrator 上啟用 128 個區段,請確保將此系統內容的值變更為 128。
enterprise.segments.maximum 指定針對新的或現有企業使用者允許的區段數上限的預設值。任何企業使用者的預設值為 16。
備註: 此值必須小於或等於系統內容 enterprise.segments.system.maximum 中定義的數目。
如果您想要為企業使用者啟用 128 個區段,則不建議變更此系統內容的值。您可以改為在客戶組態 (Customer Configuration) 頁面中啟用客戶功能 (Customer Capabilities),以設定所需的區段數。如需指示,請參閱 VMware SD-WAN 說明文件中所提供的《VMware SD-WAN 操作員指南》中的〈設定客戶功能〉一節。
enterprise.subinterfaces.maximum 指定可為企業使用者設定的子介面數目上限。預設值為 32。
enterprise.vlans.maximum 指定可為企業使用者設定的 VLAN 數目上限。預設值為 32。
session.options.enableAsyncAPI 當任何企業使用者的區段規模增加至 128 個區段時,若要避免 UI 發生逾時,您可以使用此系統內容在 UI 上啟用非同步 API 支援。預設值為 true。
session.options.asyncPollingMilliSeconds 指定 UI 上非同步 API 的輪詢間隔。預設值為 5000 毫秒。
session.options.asyncPollingMaxCount 指定從 UI 取得狀態 API 的呼叫數目上限。預設值為 10。
vco.enterprise.events.configuration.diff.enable 啟動或停用組態差異事件記錄。當企業使用者的區段數大於 4 時,將停用組態差異事件記錄。您可以使用此系統內容來啟用組態差異事件記錄。
表 19. 自助式密碼重設
系統內容 說明
vco.enterprise.resetPassword.twoFactor.mode 為所有企業使用者定義第二層密碼重設驗證的模式。目前僅支援 SMS 模式。
vco.enterprise.resetPassword.twoFactor.required 為企業使用者的密碼重設啟用或停用雙因素驗證。
vco.enterprise.selfResetPassword.enabled 啟用或停用企業使用者的自助服務密碼重設。
vco.enterprise.selfResetPassword.token.expirySeconds 表示持續時間,期間結束之後企業使用者的自助式密碼重設連結即到期。
vco.operator.resetPassword.twoFactor.required 為操作員使用者的密碼重設啟用或停用雙因素驗證。
vco.operator.selfResetPassword.enabled 啟用或停用操作員使用者的自助服務密碼重設。
vco.operator.selfResetPassword.token.expirySeconds 表示持續時間,期間結束之後操作員使用者的自助式密碼重設連結即到期。
表 20. Syslog 轉送
系統內容 說明
log.syslog.backend 後端服務 Syslog 整合組態。
log.syslog.portal 入口網站服務 Syslog 整合組態。
log.syslog.upload 上傳服務 Syslog 整合組態。
log.syslog.lastFetchedCRL.backend 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。
log.syslog.lastFetchedCRL.portal 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。
log.syslog.lastFetchedCRL.upload 將上次更新的 CRL 保留成服務 Syslog 的 PEM 格式字串,並定期更新。
表 21. TACACS 服務
系統內容 說明
session.options.enableTACACS 啟用或停用企業使用者的 TACACS 服務。
表 22. 雙因素驗證
系統內容 說明
vco.enterprise.authentication.twoFactor.enable 啟用或停用企業使用者的雙因素驗證。
vco.enterprise.authentication.twoFactor.mode 為企業使用者定義第二層驗證的模式。目前僅支援以 SMS 作為第二層驗證模式。
vco.enterprise.authentication.twoFactor.require 將雙因素驗證定義為企業使用者的必要驗證。
vco.operator.authentication.twoFactor.enable 啟用或停用操作員使用者的雙因素驗證。
vco.operator.authentication.twoFactor.mode 為操作員使用者定義第二層驗證的模式。目前僅支援以 SMS 作為第二層驗證模式。
vco.operator.authentication.twoFactor.require 將雙因素驗證定義為操作員使用者的必要驗證。
表 23. Edge 的通道參數
系統內容 說明
session.options.enableNsdPkiIPv6Config 啟用憑證 (Certificate) 驗證模式和 IPv6 本機識別類型。
表 24. VNF 組態
系統內容 說明
edge.vnf.extraImageInfos 定義 VNF 映像的內容。
您可以在 值 (Value) 欄位中,以 JSON 格式輸入 VNF 映像的下列資訊:
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Check Point 防火牆映像的 JSON 檔案範例:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Fortinet 防火牆映像的 JSON 檔案範例:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit 定義要儲存在資料庫中的記錄數目。
enterprise.capability.edgeVnfs.enable 允許在支援的 Edge 型號上進行 VNF 部署。
enterprise.capability.edgeVnfs.securityVnf.checkPoint 啟用 Check Point 網路防火牆 VNF。
enterprise.capability.edgeVnfs.securityVnf.fortinet 啟用 Fortinet 網路防火牆 VNF。
enterprise.capability.edgeVnfs.securityVnf.paloAlto 啟用 Palo Alto Networks 防火牆 VNF。
session.options.enableVnf 啟用 VNF 功能。
vco.operator.alert.edgeVnfEvent.enable 全域啟用或停用 Edge VNF 事件的操作員警示。
vco.operator.alert.edgeVnfInsertionEvent.enable 全域啟用或停用 Edge VNF 插入事件的操作員警示。
edge.vnf.extraImageInfos 允許選取 Check Point VNF 映像。
表 25. VPN
系統內容 說明
vpn.disconnect.wait.sec 系統在中斷 VPN 通道連線之前所等待的時間間隔。
vpn.reconnect.wait.sec 系統在重新連線 VPN 通道之前所等待的時間間隔。
表 26. 警告橫幅
系統內容 說明
login.warning.banner.message 這個選用系統內容可讓操作員設定及顯示安全管理員指定的建議通知和同意警告訊息,以指出關於 SASE Orchestrator 的使用權。在使用者登入之前,會在 SASE Orchestrator 中顯示該警告訊息。

有關如何設定該系統內容的指示,請參閱為 SD-WAN Orchestrator 設定建議通知和同意警告訊息

表 27. Zscaler
系統內容 說明
session.options.enableZscalerProfileAutomation 啟用以在設定檔層級進行 Zscaler 設定。