云安全中心支持对阿里云ECS服务器、非阿里云服务器和线下IDC服务器提供安全防护。本文介绍如何将线下IDC服务器接入云安全中心。

网络流向图

网络流向图

应用场景

如果线下IDC中所有服务器都无法访问公网,或只有部分线下IDC服务器作为网络出口可以访问公网(即存在无法直接访问公网的服务器),您需要先在IDC内部搭建Proxy集群,然后再安装Agent。

说明 如果线下IDC中的所有服务器都可以访问公网,则您无需搭建Proxy集群,可直接在线下IDC服务器中手动安装Agent。具体操作,请参见手动安装Agent

操作流程

如果您需要在线下无法访问公网的IDC服务器上部署云安全中心Agent并实现在阿里云控制台统一管控线下IDC服务器,您需要按照以下流程进行操作:
  1. 搭建IDC内部Proxy集群,实现线下IDC服务器与公网的通信。
  2. 修改hosts文件、本地DNS连通Proxy集群和线下IDC内的服务器。
  3. 在IDC内的服务器上安装云安全中心Agent客户端,开启云安全中心对IDC服务器的安全防护。

搭建Proxy反向代理集群

云安全中心客户端通过两个域名分别连接Proxy集群中的长连接服务器和HTTP服务器。

重要 长连接代理和HTTP代理需要分别部署在不同代理服务器上,即至少需要两台服务器搭建Proxy集群。
  • 配置长连接代理服务器
    准备工作
    • 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
      说明 您可以根据IDC服务器规模来确定用于长连接的代理服务器数量。如果您的服务器数量较多,您可以准备多台用于长连接代理的服务器。
    • 已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本,请单击支持反向代理的Nginx版本下载。

    操作步骤

    1. TCP长连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。
      tar -xvf nginx-1.9.0
      cd nginx-1.9.0
      ./configure --without-http_rewrite_module --with-stream
      make
      make install
    2. 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
      #user  nobody;
      worker_processes  auto;
      
      error_log  logs/error.log;
      #error_log  logs/error.log  notice;
      #error_log  logs/error.log  info;
      
      #pid        logs/nginx.pid;
      
      
      events {
          use     epoll;
          worker_connections  60000;
      }
      
      
      stream {
              server {
                  listen 80;
                  proxy_timeout 20m;
                  proxy_connect_timeout 60s;
                  proxy_pass app;
              }
      
              upstream app {
                 server jsrv.aegis.aliyun.com:80;
              }
      }
    3. 配置文件修改完成后,重新启动Nginx。
  • 配置HTTP代理服务器
    准备工作
    • 准备至少一台用于HTTP代理的服务器。
      说明 您可以根据IDC服务器规模来确定用于HTTP代理的服务器数量。如果您的服务器数量较多,您可以准备多台用于HTTP代理的服务器。
    • 已下载支持反向代理的Nginx版本。下载支持反向代理的Nginx版本,请单击支持反向代理的Nginx版本下载。

    操作步骤

    1. HTTP连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上--with-stream参数。
      sudo ./configure --without-http_rewrite_module --with-stream
      sudo make
      sudo make install
    2. 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
      #user  nobody;
      worker_processes  auto;
      
      error_log  logs/error.log;
      #error_log  logs/error.log  notice;
      #error_log  logs/error.log  info;
      
      #pid        logs/nginx.pid;
      
      
      events {
          use     epoll;
          worker_connections  60000;
      }
      
      
      stream {
              upstream updatessl {
                  server update.aegis.aliyun.com:443;
              }
              server {
                  listen 443;
                  proxy_connect_timeout 60s;
                  proxy_pass updatessl;
              }
              upstream updatehttp {
                  server update.aegis.aliyun.com:80;
              }
              server {
                  listen 80;
                  proxy_connect_timeout 60s;
                  proxy_pass updatehttp;
              }
        }
    3. 配置文件修改完成后,重新启动Nginx。

Proxy集群连通IDC内部服务器

以下方法均可使Proxy集群连通IDC内部服务器,您可以选择其中任意一种。

  • 修改线下IDC服务器的hosts文件

    修改IDC服务器的hosts文件,将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录,将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录,其中xx.xx.xx.xx为IDC内服务器可访问的Proxy集群地址。

    重要 jsrv相关域名对应host绑定长连接代理服务器地址;alicdnupdate相关域名对应host绑定HTTP代理服务器地址。
    xx.xx.xx.xx jsrv.aegis.aliyun.com
    xx.xx.xx.xx jsrv2.aegis.aliyun.com
    xx.xx.xx.xx jsrv3.aegis.aliyun.com
    xx.xx.xx.xx jsrv4.aegis.aliyun.com
    xx.xx.xx.xx jsrv5.aegis.aliyun.com
    xx.xx.xx.xx aegis.alicdn.com
    xx.xx.xx.xx update.aegis.aliyun.com
    xx.xx.xx.xx update2.aegis.aliyun.com
    xx.xx.xx.xx update3.aegis.aliyun.com
    xx.xx.xx.xx update4.aegis.aliyun.com
    xx.xx.xx.xx update5.aegis.aliyun.com
  • 修改线下IDC的本地DNS服务

    修改线下IDC的本地DNS服务,使jsrv.aegis.aliyun.comupdate.aegis.aliyun.com两个域名指向Proxy集群的地址。

IDC服务器安装云安全中心Agent

IDC服务器安装云安全中心Agent后,云安全中心才能防护您的服务器。IDC服务器必须通过安装程序(Windows)或脚本命令(Linux)安装云安全中心Agent。详细操作指导,请参见手动安装Agent