在进行混合云安全部署过程中,您需要完成创建VPC网络、配置混合云网络环境和安装安全代理(Agent)三个步骤。本文介绍完成混合云网络环境准备和安装代理的具体操作。

背景信息

常见的混合云安全统一管理部署架构如下图所示。混合云安全统一管理部署架构
说明 云安全中心混合云部署支持线下IDC服务器和第三方云服务器。

步骤一:创建VPC网络

如果您已在阿里云上创建了VPC,可以跳过该步骤。

  1. 登录专有网络管理控制台
  2. 在顶部菜单栏处,将专有网络的地域选择为您本地IDC所在地域。
  3. 专有网络页面,单击创建专有网络
  4. 创建专有网络页面,参考以下参数表格配置专有网络和交换机相关参数。创建专有网络
    参数所在区域 参数 说明
    专有网络 地域 显示要创建专有网络的地域。
    名称 输入专有网络的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    IPv4网段 填写专有网络的IPv4网段。建议将网段设置为10.0.0.0/8。
    IPv6网段 选择是否为专有网络分配IPv6网段,默认不分配IPv6网段。
    描述 输入专有网络的描述信息。
    资源组 选择专有网络所属的资源组。保持默认值default resource group即可。
    交换机 名称 输入交换机的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    可用区 选择交换机的可用区。同一专有网络内不同可用区的交换机内网互通。
    可用区资源 显示该可用区下可创建的云产品实例。
    IPv4网段 填写交换机的IPv4网段。建议将网段设置为10.0.0.0/24。
    可用IP数 显示可以使用的IP地址的数量。
    描述 输入交换机的描述信息。
  5. 单击确定
    创建完成后,可在专有网络列表查看新创建的VPC实例。

步骤二:配置网络

线下IDC内的服务器通常可以通过以下两种网络连接方式接入云安全中心:
  • 通过VPN接入

    VPN代理模式基于公网IP,通过建立Site-to-Site VPN网络连接,实现混合云网络打通。由于依赖公网,网络质量相对一般,但由于配置便捷,价格适中,为很多企业所接受。

  • 通过专线接入

    专线模式通过租用网络线路的方式,直接打通公共云与企业IDC内网,实现企业混合云组网。通常专线模式提供更好的网络质量和通道安全性,是企业客户的首选方案。

企业可以根据自身的实际情况,选择合适的网络接入方式,实现混合云网络连通。以下表格是两种网络接入方式的对比。
网络连通方式 网络通道 网络质量 价格组成 适用场景
VPN接入 互联网通道加密 一般 带宽+流量 中小规模开发测试
专线接入 独立线路 稳定 专线费用 企业生产环境组网

配置VPN代理

阿里云VPC与线下IDC或者第三方云服务VPC之间,可以通过VPN隧道的方式,在互联网上基于公网IP建立点对点的VPN连接,实现混合云网络连通。VPN代理的网络架构如下图所示。VPN代理的网络架构

IPSec-VPN可以对流量进行加密传输,保证通信过程中的信息安全。VPN接入配置简便价格适中,推荐中小型企业或进行POC测试的用户使用该方案。

您可以参考以下步骤创建IPSec-VPN连接。创建IPSec VPN连接步骤
注意 由于第三方云可能不支持手工配置100.64.0.0/10网段路由到VPN网关,当前VPN代理配置方案不适用部分第三方云。
  1. 创建VPN网关。
    1. 登录VPN网关管理控制台
    2. VPN网关页面,单击创建VPN网关
    3. 在购买页面,参考以下表格中的参数说明,配置相关参数。VPN购买页面
      参数 说明
      实例名称 输入VPN网关的实例名称。
      地域和可用区 选择VPN网关的地域。您需要确保VPN网关的地域和VPC的地域相同。
      网关类型 选择VPN网关的类型。选择普通型即可。
      VPC 选择步骤一:创建VPC网络中创建的VPC或已有的VPC。
      指定交换机 选择是否指定VPN网关所属的交换机。取值:
      • :不指定VPN网关所属的交换机,VPN网关创建在VPC内的任意一个交换机下。
      • :指定VPN网关所属的交换机,VPN网关会创建在指定的交换机下。
      带宽规格 选择VPN网关的带宽规格。
      IPsec-VPN 选择开启,开启IPsec-VPN功能。
      SSL-VPN 选择关闭,关闭SSL-VPN功能。
      计费周期 选择购买时长,可选择1个月。
    4. 单击立即购买,选中服务协议并完成支付。
    5. 支付成功页面,单击管理控制台
      您可以在VPN网关实例列表中查看新创建的VPN实例。
  2. 创建用户网关。
    1. 在左侧导航栏,选择VPN > 用户网关
    2. 单击创建用户网关
    3. 创建用户网关面板,参考以下表格中的参数说明,配置相关参数。创建用户网关
      参数 说明
      名称 输入用户网关的名称。
      IP地址 输入第三方云VPN网关的IP地址。
      自治系统号 VPC要连接的本地数据中心网关设备的自治系统号。
      说明 VPN网关启用BGP路由时,才需要配置该项。
      描述 输入用户网关的描述。
    4. 单击确定
      创建完成后,在用户网关列表可以查看新创建的用户网关。
  3. 创建IPsec连接。
    1. 在左侧导航栏,选择VPN > IPsec连接
    2. 单击创建IPsec连接
    3. 创建IPsec连接页面,参考以下表格中的参数说明,配置相关参数。
      参数类型 参数 说明
      基本信息 名称 输入IPsec连接的名称。
      VPN网关 选择已创建的VPN网关。
      用户网关 选择已创建的用户网关。
      路由模式 选择目的路由模式
      立即生效 选择是否立即生效。取值:
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
      预共享密钥 用于IPsec VPN网关与用户网关之间的身份认证。默认情况下会随机生成,也可以手动指定密钥。
      高级配置:IKE配置 版本 选择IKE协议的版本。推荐选择ikev2
      协商模式 选择写上模式。推荐选择main(主模式,协商过程安全性高)。
      加密算法 选择第一阶段协商使用的加密算法。推荐选择aes256
      认证算法 选择第一阶段协商使用的认证算法。推荐选择sha1
      DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。推荐选择group1
      SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为86400秒。
      LocalId 作为IPsec VPN网关的标识,用于第一阶段的协商。默认为当前选取的VPN网关公网IP地址。
      RemoteId 作为用户网关的标识,用于第一阶段的协商。默认为当前选取的用户网关公网IP地址。
      高级配置:IPsec配置 加密算法 选择第二阶段协商使用的认证算法。推荐选择aes256
      认证算法 选择第二阶段协商使用的认证算法。推荐选择sha1
      DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。推荐选择group1
      SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为86400秒。
      DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。使用默认配置即可。
      NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。使用默认配置即可。
      说明 BGP配置健康检查默认为关闭状态,使用默认配置即可。
    4. 单击确定
    5. 创建成功对话框,单击确定,发布VPN路由。
    6. IPsec连接页面,单击新创建的IPsec连接名称。
    7. 单击策略路由表页签。
    8. 单击策略路由表操作列的发布
  4. 创建对端网关。
    在第三方云的私有网络中,创建对端网关。将对端地址设置为阿里云的公网IP47.111.79.211,如下图所示(第三方云以腾讯云为例)。创建对端网关
    创建成功后的对端网络如下图所示。创建成功后的对端网络
  5. 创建VPN通道。
    在第三方云上创建VPN通道。以下步骤以在腾讯云上的操作为例,介绍创建VPN通道的具体过程。
    1. 登录私有网络控制台
    2. 在左侧导航栏,选择VPN连接 > VPN通道
    3. VPN通道页面,单击新建
    4. 新建VPN通道对话框中,配置VPN通道的基本信息。
      您可以参考下图配置VPN通道的基本信息。新建VPN通道基本信息配置
    5. 单击下一步
    6. 配置SPD策略。配置SPD策略
    7. 单击下一步
    8. 填写IKE配置。填写IKE配置
    9. 填写IPSec配置并单击保存IPSec配置
  6. 发布对端网段路由。
    在第三方云的私有网络中,把对端(阿里云侧100.100.0.0/16)网段通过策略路由,指定到VPN上,如下图所示。创建VPN通道
  7. 验证VPN连接状态。
    1. 登录VPN网关管理控制台
    2. 在左侧导航栏,选择VPN > IPsec连接
    3. IPsec连接页面,查看新创建的IPsec连接的连接状态是否正常。
      可根据连接状态判断VPN连接是否正常。
      • VPN连接正常:连接状态显示第二阶段协商成功
      • VPN连接正常:连接状态显示第一阶段协商失败第二阶段协商失败。协商失败的处理方法,请参见IPsec连接常见问题

配置专线接入

您可以通过专线方式直接打通内网。专线方式打通的内网质量和安全性更好。以下是专线方式的网络架构图。专线方式网络架构图

专线网络的架构一般为:IDC----VPN----VBR----CEN----VPC,IDC与阿里云BGP对接,在IDC到VPN段的网络配置请参考上文配置VPN代理。

您在IDC下的任意设备上执行telnet jsrv2.aegis.aliyun.com 443/80telnet update2.aegis.aliyun.com 443/80,telnet成功建立连接,说明正常访问。IDC和云安全中心连通性测试

如果不能正常访问,使用以下方案进行排查。

用tracert寻找,首先客户内网要进行路由宣告,确保100.100.0.0/16的可以在内网走通,边界VBR需要添加100.100.0.0/16的路由。以下是具体操作步骤。

  1. 登录云企业网管理控制台
  2. 单击云企业网实例名称。
  3. 在该云企业网详细信息页面,单击云服务页签。
  4. 单击设置云服务
  5. 设置云服务面板,参考以下参数表格配置相关参数。设置云服务
    参数 说明
    云服务IP或地址段 输入云服务的IP地址或地址段。您需要输入100.100.0.0/16(云安全中心的地址段)。
    服务所在地 选择云安全中心服务所在地域。您需要选择华北2(北京)
    服务VPC 选择线下IDC使用的专有网络VPC。
    访问所在地 选择需要访问该云服务的VBR或CCN所在的地域。
    描述 输入云服务的描述信息。
  6. 单击确定

步骤三:验证网络连通性

验证网络连通性时,你需要分别验证服务器和外网、云安全中心服务的连通性。

验证服务器外网连通性

查看您的服务器是否可以访问外网,一般情况下您的服务器应该无法访问外网。

  1. 登录服务器。
    如果您的服务器是IDC服务器,可以通过本地终端登录服务器;如果是第三方的云服务器,可以通过控制台的VNC登录服务器。
  2. 执行ping www.aliyun.com命令。
    查看服务器是否能访问公网。VPN接入和专线接入只确保您的服务器和云安全中心服务之间的网络连通性,不会打通您服务器和公网之间的网络连接。您的服务器不能访问公网为正常的验证结果。以下截图是以第三方云上的服务器为例。该服务器没有公网地址,无法访问外网。外网连通性示例

验证第三方云服务器与云安全中心服务之间的连通性

正常情况下,第三方的云服务器通过内网可以直接访问云安全中心服务,这是建立IPsec VPN的目的。请参考以下步骤验证您的服务器是否可以正常访问云安全中心服务。

  1. 登录服务器。
    如果您的服务器是IDC服务器,可以通过本地终端登录服务器;如果是第三方的云服务器,可以通过控制台的VNC登录服务器。
  2. 执行yum install -y telnet安装telnet。
  3. 执行以下telnet命令验证服务器是否可以通过内网访问云安全中心服务。
    telnet jsrv2.aegis.aliyun.com 443/80
    
    telnet update2.aegis.aliyun.com 443/80
    验证服务器是否可以正常访问云安全中心服务

    jsrv2.aegis.aliyun.comupdate2.aegis.aliyun.com都是内网地址的域名。telnet能建立连接,说明可以正常访问。

  4. 执行telnet jsrv.aegis.aliyun.com 443/80命令验证服务器是否可以通过外网访问云安全中心服务。验证服务器是否可以访问云安全中心公网地址
    jsrv.aegis.aliyun.com是公网地址的域名。Telnet不能建立连接,说明服务器不能访问公网的域名,符合预期。

云安全中心域名说明

jsrv2.aegis.aliyun.com对应的A记录(IP地址记录)是内网地址,发布到了对外的DNS上,便于Agent访问云安全中心服务。可以通过nslookup命令来查看。您可以参考以下步骤查看jsrv2.aegis.aliyun.com对应的A记录和NS记录(域名服务器记录)。

  1. 执行yum install -y bind-utils命令安装nslookup。
  2. 执行nslookup jsrv2.aegis.aliyun.com命令,查询A记录和NS记录。

步骤四:安装云安全中心Agent

您可以参考以下步骤为您的IDC服务器安装Agent。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击设置
  3. 设置页面,单击安装/卸载插件页签。
  4. 单击客户端安装指南页签。
  5. 客户端安装指南页签中,单击新增安装命令
    客户端安装指南页面查为您提供4条默认命令。如果您无需生成命令镜像或不需要应用该命令的服务器自动添加到指定的资产分组中,您可以直接使用该默认命令安装到服务器中。
  6. 新增安装命令对话框中,设置该安装命令的基本信息。
    您可以通过新增安装命令,实现以下两个目的:
    • 创建命令镜像,使用该命令镜像批量预装到服务器中。
    • 为新增的安装命令绑定资产分组,后续使用该命令安装Agent插件的服务器会自动加到该资产分组中。
    说明 如果您使用云安全中心提供的默认命令安装到客户端中,您可以跳过本步骤。
    安装命令的配置项说明如下:
    配置项 说明
    过期时间 该命令过期的时间。
    服务商 服务器所属的服务提供商。
    默认分组 该安装命令生效的服务器分组。
    操作系统 命令应用的操作系统类型。可选操作系统类型为Windows、Linux、Windows 2003。
    制作镜像系统 是否需要制作镜像文件。可选项说明:
    • 选择:云安全中心会创建命令的镜像文件,您无需在每台服务器中重复执行Agent安装命令,就可批量预装到其他服务器中。
      说明 在服务器中运行了该镜像命令后,将仅下载Agent文件,不启动Agent进程。如果您需要对该服务器进行防护,必须重启服务器,Agent进程才能启动,该服务器才能受到云安全中心的防护。
    • 选择:直接生成安装命令。
  7. 单击确定,生成一条Agent安装命令,并复制该命令。
    您可以在客户端安装指南页签中,查看创建的Agent安装命令。
  8. 使用有管理员权限的账号登录需要安装Agent的服务器。
    根据服务器的操作类型不同,执行安装命令的界面有所不同:
    • Windows系统:在命令提示符(CMD)中,执行步骤7中复制的安装命令,即可完成Agent文件的下载及安装。
    • Linux系统:在服务器的命令行界面,执行步骤7中已复制的安装命令,即可完成Agent文件的下载及安装。
    注意 该安装命令包含从阿里云站点下载最新的Agent插件,如您使用的是非阿里云服务器请确认您的服务器已连接公网。
    Agent插件安装完成约五分钟后,您即可在云安全中心管理控制台中查看您服务器的客户端在线情况:
    • 阿里云服务器客户端会从关闭变成开启
    • 非阿里云服务器将会被添加至您的服务器列表中。
      注意 由于网络环境的原因,非阿里云服务器安装Agent后服务器信息同步可能会出现延迟,导致云安全中心控制台资产中心页面不会及时展示服务器的信息。这种情况下,您需要在资产中心服务器页签下单击同步最新资产,将该服务器的信息手动同步到资产中心。

安装Agent后,您可以参照以下步骤验证Agent是否已成功安装。

  1. 检查您服务器上云安全中心Agent的AliYunDunAliYunDunUpdate进程是否正常运行。云安全中心Agent进程说明,请参见Agent说明
  2. 在您的服务器上执行以下telnet命令,检查您的服务器是否能正常连通云安全中心服务器。
    说明 确保您的服务器同时能够连通至少一个jsrv和一个update服务域名。jsrv域名用来下发指令(例如漏洞扫描、病毒检测等),update域名用来下载和更新Agent插件。
    • telnet jsrv.aegis.aliyun.com 443/80
    • telnet jsrv2.aegis.aliyun.com 443/80
    • telnet jsrv3.aegis.aliyun.com 443/80
    • telnet update.aegis.aliyun.com 443/80
    • telnet update2.aegis.aliyun.com 443/80
    • telnet update3.aegis.aliyun.com 443/80

如果某个服务器无需云安全中心防护,您可以在云安全中心控制台卸载Agent。具体操作,请参见卸载Agent