代理接入

针对无法直接连接到云安全中心服务端的线下IDC(Internet Data Center)机房、混合云、阿里云VPC(Virtual Private Cloud)等业务场景,您可以通过设置代理服务器,将无法连接公网的服务器(包括主机、容器)接入云安全中心进行防护。本文介绍通过代理方式将服务器接入云安全中心。

适用场景

无法直连云安全中心的阿里云VPC

如果您的阿里云VPC做了较多访问限制,无法直接连接云安全中心服务端,您可以选择代理接入的方式,将云服务器ECS接入云安全中心进行防护。

image

线下IDC机房

image

混合云

image

使用限制

准备工作

  • 准备一台或多台可以连接公网的服务器作为代理服务器,且代理服务器满足以下条件:

    • 已预留足够的网络带宽。每接入一台服务器,代理服务器需要预留10 Kbit/s的带宽。例如,您需要在代理服务器下接入50台服务器时,该代理服务器需要预留500 Kbit/s的带宽。

    • 代理服务器已对需要连接的主机或容器开放80、443、8080端口。

    • 如果您选择多台服务器作为代理,推荐您使用域名接入,请确保您已申请代理服务器域名,并且域名可以解析为代理服务器的IP地址、负载均衡IP或VIP(虚拟IP地址)。

    重要
    • 单台8核 16 GB的代理服务器最多支持接入6000台主机或容器,请根据实际业务需要,合理准备代理服务器规格和数量。

    • 如果您未使用域名的方式接入,例如使用公网IP和云安全中心服务端连通,出于连接稳定性考虑,推荐您使用多台服务器搭建代理集群。

  • 混合云场景,已打通第三方云服务器和阿里云VPC的网络连接。

步骤一:创建代理集群

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 客户端 > 代理接入页签,单击新建集群

  4. 新建集群对话框,配置集群名称、通讯地址和备注信息,并单击确定

    通讯地址:输入代理服务器的IP地址或域名。组建集群后,集群中的主机或容器会通过代理服务器的通讯地址连接代理服务器。

    重要
    • 通讯地址设置为代理服务器的IP地址时,您只能设置一台代理服务器。建议在需要接入的主机或容器数量较少(例如仅需要接入5台)时使用该方式。

    • 需要设置多台代理服务器时,推荐您使用域名作为通讯地址,并且确保域名能被解析为代理服务器的IP地址、负载均衡IP或VIP(虚拟IP地址)。

    • 创建集群后,集群名称和通讯地址不可修改,建议您输入有实际含义的集群名称以及可访问的通讯地址。

步骤二:部署代理服务器

  1. 客户端 > 代理接入页签,在目标集群的操作列单击部署代理

  2. 部署代理服务器面板,选择部署模式并进行相应配置。

    如果代理服务器已经安装云安全中心Agent并且Agent在线,您可以选择快速部署代理。如果代理服务器中未安装云安全中心Agent,您需要在代理服务器中手动部署代理。

    • 快速部署

      选择快速部署方式时,您需要在资产列表选择需要作为代理服务器的Linux服务器,然后单击确定

    • 手动部署

      选择手动部署方式时,您需要根据页面信息,复制手动部署命令,然后使用管理员账号登录代理服务器,在命令行中执行手动部署命令。

    完成部署约五分钟后,您即可在客户端 > 代理接入页签查看代理服务器的在线状态。

    image.png

说明

部署代理服务器后,如果代理服务器未安装云安全中心Agent,该服务器只具有代理服务的能力,无法使用云安全中心提供的安全防护能力(例如漏洞检测、基线检查等)。如需使用云安全中心防护代理服务器,您需要为代理服务器安装云安全中心Agent。具体操作,请参见安装客户端

步骤三:接入客户端到代理集群

创建集群并完成代理服务器部署后,您可以将服务器作为客户端添加到代理集群,实现服务器通过代理接入云安全中心防护。

重要
  • 单台8核 16 GB的代理服务器最多支持接入6000台主机或容器

  • 无论您是通过选择服务器直接接入或通过安装命令接入时,每批次最多只能接入500台主机,且每批次的间隔时间需大于一分钟。

  1. 客户端 > 代理接入页签,在目标集群的操作列单击接入客户端

  2. 接入客户端面板,选择接入模式并进行相应配置。

    如果需要接入的服务器已安装云安全中心Agent并且Agent在线,您可以通过选择服务器直接接入。如果需要接入的服务器未安装云安全中心Agent,您需要通过安装命令手动接入。

    • 通过选择服务器直接接入

      在资产列表中,选择需要接入的服务器,单击确定

    • 通过安装命令手动接入

      1. 单击前往生成安装命令

      2. 客户端 > 安装命令页签,单击新增安装命令

      3. 新增安装命令对话框,配置相关参数,并单击确定

        配置项

        说明

        过期时间

        安装命令过期的时间。

        服务商

        服务器所属的服务提供商。

        默认分组

        服务器在云安全中心主机资产列表中的分组。

        操作系统

        服务器的操作系统。

        制作镜像系统

        是否为服务器制作镜像,保持默认选项

        代理选择

        选择自建代理集群,并选择需要接入的代理集群。

      4. 在安装命令列表,查看并复制安装命令。代理接入命令

      5. 使用有管理员权限的账号登录需要接入集群的服务器,根据服务器的操作系统类型,执行安装命令。

        完成安装五分钟后,您可以单击代理集群的已连接客户端列的数字查看通过代理连接的服务器列表。

(可选)步骤四:配置代理集群策略

云安全中心默认将代理服务器采集的数据回流至云安全中心服务端,并且不限制回流带宽和数据传输频率。如果需要修改数据传输方式,或限制回流带宽和数据传输频率,您可以参考以下步骤操作。

  1. 客户端 > 代理接入页签,在目标集群的操作列单击代理设置

  2. 代理设置对话框,完成相关配置,并单击确定

    数据传输方式支持选择回流至管理中心不回流并缓存到指定目录

    传输方式

    说明

    回流至管理中心

    表示将数据传输至云安全中心服务端做风险排查和威胁检测。

    选择该方式时,您可以手动设置代理服务器和云安全中心服务端通信的带宽和频率。可选项:

    • 不限制:表示不限制代理服务器和云安全中心服务端通信使用的带宽或频率。

    • 自定义:根据实际使用情况,设置代理服务器和云安全中心服务端通信使用的带宽或频率。

    重要

    建议您按照代理使用的带宽和通信相关进程不超过资源总量60%的原则,分别设置带宽控制和频率控制参数。

    不回流并缓存到指定目录

    在您的业务网络(云下IDC、专有网络等)中完成指定数据类型的风险排查和威胁检测。

    选择该方式时,相关日志默认存储在代理服务器的/usr/local/aegis/proxy/log/export.log文件,您可以手动修改缓存目录。

    说明

    缓存目录最大支持存储10 GB。当实际存储容量超过10 GB时,系统将循环覆盖最早存储的日志。

相关操作

查看代理集群信息

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 客户端 > 代理接入页签,您可以进行以下操作。

    • 查看集群基本信息

      支持查看代理集群名称、通讯地址、已连接客户端个数、集群状态等信息。集群会存在以下状态:

      • 在线:该集群至少有一台代理服务器的代理服务器为在线状态。

      • 离线:该集群下无代理服务器或所有代理服务器均为离线状态。

    • 查看代理服务器列表

      在目标集群的服务器信息列单击服务器图标图标,查看代理服务器列表信息。将鼠标移动至目标代理服务器的资产信息处,可查看该代理服务器基本信息,其中客户端状态云安全中心Agent的在线状态。代理服务器列表

    • 查看已连接客户端列表

      在目标集群的已连接客户端列单击对应的数字,可查看已接入的服务器列表。支持查看服务器的资产信息、分组、系统类型、服务商和地域、标签和客户端状态。

      image.png

删除集群

如果不再需要云安全中心防护通过代理方式接入的服务器,您需要按照以下操作,依次删除接入的客户端、代理服务器和代理集群。

  1. 从代理集群中删除已接入的服务器。

    1. 客户端 > 代理接入页签,在目标集群的操作列单击接入客户端

    2. 接入客户端面板,取消选中所有已接入的服务器,并单击确定

    通过该操作您可以解除该代理集群绑定的所有服务器,不会卸载服务器中安装的云安全中心Agent。如果需要卸载服务器中的云安全中心Agent,您可以在服务器中执行命令卸载。具体操作,请参见使用命令卸载客户端

  2. 卸载代理服务器。

    仅当代理服务器为离线状态时,才可执行删除操作,因此您需要先通过关闭aegis代理进程使代理服务器离线。

    1. 使用管理员账号登录代理服务器,参考以下命令,关闭aegis代理进程。

      ps -ef | grep aegis
      kill PID	# /usr/local/aegis/proxy/SasClientProxy进程对应的PID
      说明

      如果提示没有权限关闭进程,您需要先关闭客户端自保护,具体操作,请参见客户端能力配置

    2. 客户端 > 代理接入页签,在目标集群的服务器信息列单击服务器图标图标。

    3. 服务器信息面板,依次在所有代理服务器操作列单击删除

      image.png

  3. 删除代理集群的所有代理服务器后,在代理集群操作列单击删除,删除该代理集群。

升级代理版本

为了提供更好的接入服务,云安全中心会不断升级代理服务器的版本,您可以根据需要升级代理服务器版本。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 客户端 > 代理接入页签,在目标集群的服务器信息列单击服务器图标图标。

  4. 服务器信息面板,在目标代理服务器的操作列单击升级

    如果升级置灰,表示当前代理服务器的代理版本已经是最新版或者云安全中心Agent离线。如果云安全中心Agent离线,您需要排查Agent离线原因,确保Agent在线后再执行升级操作。排查Agent离线的具体操作,请参见客户端离线排查