云安全中心支持对阿里云ECS服务器、非阿里云服务器和线下IDC服务器提供安全防护。本文介绍如何将线下IDC服务器接入云安全中心。
网络流向图

应用场景
如果线下IDC中所有服务器都无法访问公网,或只有部分线下IDC服务器作为网络出口可以访问公网(即存在无法直接访问公网的服务器),您需要先在IDC内部搭建Proxy集群,然后再安装Agent。
说明 如果线下IDC中的所有服务器都可以访问公网,则您无需搭建Proxy集群,可直接在线下IDC服务器中手动安装Agent。具体操作,请参见手动安装Agent。
操作流程
如果您需要在线下无法访问公网的IDC服务器上部署云安全中心Agent并实现在阿里云控制台统一管控线下IDC服务器,您需要按照以下流程进行操作:
- 搭建IDC内部Proxy集群,实现线下IDC服务器与公网的通信。
- 修改hosts文件、本地DNS连通Proxy集群和线下IDC内的服务器。
- 在IDC内的服务器上安装云安全中心Agent客户端,开启云安全中心对IDC服务器的安全防护。
搭建Proxy反向代理集群
云安全中心客户端通过两个域名分别连接Proxy集群中的长连接服务器和HTTP服务器。
重要 长连接代理和HTTP代理需要分别部署在不同代理服务器上,即至少需要两台服务器搭建Proxy集群。
- 配置长连接代理服务器准备工作
- 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
说明 您可以根据IDC服务器规模来确定用于长连接的代理服务器数量。如果您的服务器数量较多,您可以准备多台用于长连接代理的服务器。
- 已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本,请单击支持反向代理的Nginx版本下载。
操作步骤
- TCP长连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。tar -xvf nginx-1.9.0 cd nginx-1.9.0 ./configure --without-http_rewrite_module --with-stream make make install
- 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 80; proxy_timeout 20m; proxy_connect_timeout 60s; proxy_pass app; } upstream app { server jsrv.aegis.aliyun.com:80; } }
- 配置文件修改完成后,重新启动Nginx。
- 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
- 配置HTTP代理服务器准备工作
- 准备至少一台用于HTTP代理的服务器。
说明 您可以根据IDC服务器规模来确定用于HTTP代理的服务器数量。如果您的服务器数量较多,您可以准备多台用于HTTP代理的服务器。
- 已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本,请单击支持反向代理的Nginx版本下载。
操作步骤
- HTTP连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
- 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { upstream updatessl { server update.aegis.aliyun.com:443; } server { listen 443; proxy_connect_timeout 60s; proxy_pass updatessl; } upstream updatehttp { server update.aegis.aliyun.com:80; } server { listen 80; proxy_connect_timeout 60s; proxy_pass updatehttp; } }
- 配置文件修改完成后,重新启动Nginx。
- 准备至少一台用于HTTP代理的服务器。
Proxy集群连通IDC内部服务器
以下方法均可使Proxy集群连通IDC内部服务器,您可以选择其中任意一种。
- 修改线下IDC服务器的hosts文件
修改IDC服务器的hosts文件,将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录,将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录,其中xx.xx.xx.xx为IDC内服务器可访问的Proxy集群地址。
重要 jsrv相关域名对应host绑定长连接代理服务器地址;alicdn和update相关域名对应host绑定HTTP代理服务器地址。xx.xx.xx.xx jsrv.aegis.aliyun.com xx.xx.xx.xx jsrv2.aegis.aliyun.com xx.xx.xx.xx jsrv3.aegis.aliyun.com xx.xx.xx.xx jsrv4.aegis.aliyun.com xx.xx.xx.xx jsrv5.aegis.aliyun.com xx.xx.xx.xx aegis.alicdn.com xx.xx.xx.xx update.aegis.aliyun.com xx.xx.xx.xx update2.aegis.aliyun.com xx.xx.xx.xx update3.aegis.aliyun.com xx.xx.xx.xx update4.aegis.aliyun.com xx.xx.xx.xx update5.aegis.aliyun.com
- 修改线下IDC的本地DNS服务
修改线下IDC的本地DNS服务,使jsrv.aegis.aliyun.com和update.aegis.aliyun.com两个域名指向Proxy集群的地址。
IDC服务器安装云安全中心Agent
IDC服务器安装云安全中心Agent后,云安全中心才能防护您的服务器。IDC服务器必须通过安装程序(Windows)或脚本命令(Linux)安装云安全中心Agent。详细操作指导,请参见手动安装Agent。