IDC服务器通过Proxy集群接入云安全中心

您可以将线下IDC服务器接入云安全中心,使用云安全中心服务进行安全防护,以提升IDC服务器的安全性和防御能力。如果IDC服务器可以访问公网,您可以直接在IDC服务器安装云安全中心客户端;如果IDC服务器无法访问公网,则您可以通过Proxy集群方式将IDC服务器接入云安全中心。本文介绍如何将IDC服务器通过Proxy集群方式接入云安全中心。

应用场景

如果线下IDC的所有服务器都可以访问公网,则您无需搭建Proxy集群,可直接在IDC服务器中手动安装云安全中心客户端。具体操作,请参见手动安装

如果线下IDC中所有服务器都无法访问公网,或只有部分线下IDC服务器作为网络出口可以访问公网(即存在无法直接访问公网的服务器),您需要先在IDC内部搭建Proxy集群,然后再安装云安全中心客户端,如下图所示。

image

操作流程

通过Proxy集群将IDC服务器接入云安全中心的操作流程如下:

  1. IDC内部搭建一个Proxy集群,实现IDC服务器与公网的通信。

  2. 修改hosts文件或配置本地DNS,连通Proxy集群和IDC服务器。

  3. IDC服务器上安装云安全中心客户端,开启云安全中心对IDC服务器的安全防护。

步骤一:搭建Proxy反向代理集群

云安全中心客户端分别通过jsrv.aegis.aliyun.com域名和update.aegis.aliyun.com域名连接Proxy集群中的长连接服务器和HTTP服务器。长连接代理和HTTP代理需要分别部署在不同代理服务器,因此,至少需要两台服务器用于搭建Proxy集群。

1. 准备工作

说明

您可以根据IDC服务器规模来确定用于长连接和HTTP代理的服务器数量。如果您的服务器数量较多,您可以准备多台用于代理的服务器,以确保负载均衡和高可用性。

  • 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCCZlib-devel。

  • 至少准备一台用于HTTP代理的服务器。

  • 已下载支持反向代理的Nginx版本。点击下载反向代理的Nginx版本

2. 配置长连接代理服务器

  1. TCP长连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。

    tar -xvf nginx-1.9.0.tar.gz
    cd nginx-1.9.0
    sudo ./configure --without-http_rewrite_module --with-stream
    sudo make
    sudo make install
  2. 进入Nginx配置文件所在的目录,参考以下内容修改nginx.conf文件。

    #user  nobody;
    worker_processes  auto;
    
    error_log  logs/error.log;
    #error_log  logs/error.log  notice;
    #error_log  logs/error.log  info;
    
    #pid        logs/nginx.pid;
    
    
    events {
        use     epoll;
        worker_connections  60000;
    }
    
    
    stream {
            server {
                listen 80;
                proxy_timeout 20m;
                proxy_connect_timeout 60s;
                proxy_pass app;
            }
    
            upstream app {
               server jsrv.aegis.aliyun.com:80;
            }
    }
  3. 配置文件修改完成后,重新启动Nginx。

3. 配置HTTP代理服务器

  1. HTTP连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。

    tar -xvf nginx-1.9.0.tar.gz
    cd nginx-1.9.0
    sudo ./configure --without-http_rewrite_module --with-stream
    sudo make
    sudo make install
  2. 进入Nginx配置文件所在的目录,参考以下内容修改nginx.conf文件。

    #user  nobody;
    worker_processes  auto;
    
    error_log  logs/error.log;
    #error_log  logs/error.log  notice;
    #error_log  logs/error.log  info;
    
    #pid        logs/nginx.pid;
    
    
    events {
        use     epoll;
        worker_connections  60000;
    }
    
    
    stream {
            upstream updatessl {
                server update.aegis.aliyun.com:443;
            }
            server {
                listen 443;
                proxy_connect_timeout 60s;
                proxy_pass updatessl;
            }
            upstream updatehttp {
                server update.aegis.aliyun.com:80;
            }
            server {
                listen 80;
                proxy_connect_timeout 60s;
                proxy_pass updatehttp;
            }
      }
  3. 配置文件修改完成后,重新启动Nginx。

步骤二:Proxy集群连通IDC内部服务器

以下方法均可使Proxy集群连通IDC内部服务器,您可以选择其中任意一种。

修改线下IDC服务器的hosts文件

修改IDC服务器的hosts文件,将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录,将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录,其中xx.xx.xx.xx需要替换为IDC内服务器可访问的Proxy集群地址。

重要

jsrv相关域名对应host绑定长连接代理服务器地址;alicdnupdate相关域名对应host绑定HTTP代理服务器地址。

xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com

修改线下IDC的本地DNS服务

修改线下IDC的本地DNS服务,使jsrv.aegis.aliyun.comupdate.aegis.aliyun.com域名指向Proxy集群的地址。

步骤三:在IDC服务器安装云安全中心客户端

IDC服务器安装云安全中心客户端后,云安全中心才能防护您的服务器。IDC服务器必须通过安装程序(Windows)或脚本命令(Linux)安装云安全中心客户端。详细操作指导,请参见手动安装

相关文档

  • 您可以查看不同云安全中心版本提供的防护能力,以便您更好地使用云安全中心进行安全防护。具体内容,请参见功能特性

  • IDC服务器接入云安全中心后,您可以使用云安全中心提供的告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等功能,保护资产安全。具体操作,请参见常用功能配置(精简版)