如何将线下IDC服务器接入云安全中心_云安全中心-阿里云帮助中心

网络流向图

应用场景

如果线下IDC中所有服务器都无法访问公网，或只有部分线下IDC服务器作为网络出口可以访问公网（即存在无法直接访问公网的服务器），您需要先在IDC内部搭建Proxy集群，然后再安装Agent。

说明如果线下IDC中的所有服务器都可以访问公网，则您无需搭建Proxy集群，可直接在线下IDC服务器中手动安装Agent。具体操作，请参见手动安装Agent。

操作流程

如果您需要在线下无法访问公网的IDC服务器上部署云安全中心Agent并实现在阿里云控制台统一管控线下IDC服务器，您需要按照以下流程进行操作：

搭建IDC内部Proxy集群，实现线下IDC服务器与公网的通信。
修改hosts文件、本地DNS连通Proxy集群和线下IDC内的服务器。
在IDC内的服务器上安装云安全中心Agent客户端，开启云安全中心对IDC服务器的安全防护。

搭建Proxy反向代理集群

云安全中心客户端通过两个域名分别连接Proxy集群中的长连接服务器和HTTP服务器。

重要长连接代理和HTTP代理需要分别部署在不同代理服务器上，即至少需要两台服务器搭建Proxy集群。

配置长连接代理服务器
准备工作
- 至少准备一台用于长连接代理的服务器，并确认服务器上已安装GCC和Zlib-devel。
  
  说明您可以根据IDC服务器规模来确定用于长连接的代理服务器数量。如果您的服务器数量较多，您可以准备多台用于长连接代理的服务器。
- 已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本，请单击支持反向代理的Nginx版本下载。
操作步骤
1. TCP长连接使用四层代理。下载Nginx后，执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。
```
tar -xvf nginx-1.9.0
cd nginx-1.9.0
./configure --without-http_rewrite_module --with-stream
make
make install
```
2. 在Nginx配置文件所在目录下，参考以下内容修改nginx.conf文件。
```
#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        server {
            listen 80;
            proxy_timeout 20m;
            proxy_connect_timeout 60s;
            proxy_pass app;
        }

        upstream app {
           server jsrv.aegis.aliyun.com:80;
        }
}
```
3. 配置文件修改完成后，重新启动Nginx。

配置HTTP代理服务器

准备工作

准备至少一台用于HTTP代理的服务器。

说明您可以根据IDC服务器规模来确定用于HTTP代理的服务器数量。如果您的服务器数量较多，您可以准备多台用于HTTP代理的服务器。
已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本，请单击支持反向代理的Nginx版本下载。

操作步骤

HTTP连接使用四层代理。下载Nginx后，执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。
```
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install
```

在Nginx配置文件所在目录下，参考以下内容修改nginx.conf文件。

#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        upstream updatessl {
            server update.aegis.aliyun.com:443;
        }
        server {
            listen 443;
            proxy_connect_timeout 60s;
            proxy_pass updatessl;
        }
        upstream updatehttp {
            server update.aegis.aliyun.com:80;
        }
        server {
            listen 80;
            proxy_connect_timeout 60s;
            proxy_pass updatehttp;
        }
  }

配置文件修改完成后，重新启动Nginx。

Proxy集群连通IDC内部服务器

以下方法均可使Proxy集群连通IDC内部服务器，您可以选择其中任意一种。

修改线下IDC服务器的hosts文件
修改IDC服务器的hosts文件，将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录，将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录，其中xx.xx.xx.xx为IDC内服务器可访问的Proxy集群地址。

重要 jsrv相关域名对应host绑定长连接代理服务器地址；alicdn和update相关域名对应host绑定HTTP代理服务器地址。
```
xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com
```
修改线下IDC的本地DNS服务
修改线下IDC的本地DNS服务，使jsrv.aegis.aliyun.com和update.aegis.aliyun.com两个域名指向Proxy集群的地址。

IDC服务器安装云安全中心Agent

IDC服务器安装云安全中心Agent后，云安全中心才能防护您的服务器。IDC服务器必须通过安装程序（Windows）或脚本命令（Linux）安装云安全中心Agent。详细操作指导，请参见手动安装Agent。