データセンター内のサーバーをSecurity centerに追加して、サーバーをセキュリティリスクから保護できます。 サーバーにインターネット経由でアクセスできる場合は、サーバーにSecurity Centerエージェントをインストールすることで、サーバーをSecurity Centerに追加できます。 インターネット経由でサーバーにアクセスできない場合は、プロキシクラスターを使用してサーバーをSecurity Centerに追加できます。 このトピックでは、プロキシクラスターを使用して、データセンターのサーバーをSecurity centerに追加する方法について説明します。
シナリオ
データセンター内のすべてのサーバーにインターネット経由でアクセスできる場合は、プロキシクラスターを構築する必要はありません。 サーバーを保護するには、手動でSecurity Centerエージェントをサーバーにインストールします。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。
データセンター内のすべてのサーバーまたは特定のサーバーにインターネット経由でアクセスできない場合は、データセンターにプロキシクラスターを構築してから、Security centerエージェントをインストールする必要があります。
手順
プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加するには、次の操作を実行します。
サーバーとインターネット間の接続を有効にするために、データセンターにプロキシクラスターを構築します。
プロキシクラスターとサーバー間の接続を有効にするために、データセンター内のサーバーのhostsファイルを変更するか、ドメインネームシステム (DNS) 設定を構成します。
セキュリティセンターエージェントをサーバーにインストールして保護します。
手順1: プロキシクラスターの構築
Security Centerエージェントは、jsrv.aegis.aliyun.comエンドポイントとupdate.aegis.aliyun.comエンドポイントを使用して、永続接続をサポートするサーバーとプロキシクラスター内のHTTPサーバーに接続します。 永続接続とHTTPプロキシは、異なるサーバーにデプロイする必要があります。 したがって、プロキシクラスターを構築するには、少なくとも2つのサーバーを指定する必要があります。
1. 準備
データセンター内のサーバーの数に基づいて、永続接続とHTTPプロキシをデプロイするサーバーの数を指定できます。 データセンターに多数のサーバーが存在する場合、負荷分散と高可用性を確保するために、プロキシ展開用に複数のサーバーを指定することを推奨します。
永続接続プロキシをデプロイするサーバーを少なくとも1つ指定します。 GNUコンパイラコレクション (GCC) とzlib-develがサーバーにインストールされていることを確認します。
HTTPプロキシをデプロイするサーバーを少なくとも1つ指定します。
リバースプロキシをサポートする特定のバージョンのNGINXをダウンロードします。 ここをクリックしてNGINXをダウンロードします。
2. 永続接続プロキシをデプロイするようにサーバーを構成する
TCP永続接続は、レイヤ4プロキシを使用する。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、
-- with-stream
パラメーターを追加する必要があります。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 80; proxy_timeout 20m; proxy_connect_timeout 60s; proxy_pass app; } upstream app { server jsrv.aegis.aliyun.com:80; } }
nginx.confファイルを変更した後、NGINXを再起動します。
3。 HTTPプロキシをデプロイするようにサーバーを構成する
HTTP接続はレイヤー4プロキシを使用します。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、
-- with-stream
パラメーターを追加する必要があります。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { upstream updatessl { server update.aegis.aliyun.com:443; } server { listen 443; proxy_connect_timeout 60s; proxy_pass updatessl; } upstream updatehttp { server update.aegis.aliyun.com:80; } server { listen 80; proxy_connect_timeout 60s; proxy_pass updatehttp; } }
nginx.confファイルを変更した後、NGINXを再起動します。
手順2: プロキシクラスターをデータセンターのサーバーに接続する
次のいずれかの方法を選択して、プロキシクラスターをデータセンターのサーバーに接続します。
各サーバーのhostsファイルの変更
各サーバーのhostsファイルを変更して、サーバーからSecurity Centerのエンドポイントに開始されたアクセス要求をプロキシクラスターに転送します。 Security Centerのエンドポイントをhostsファイル内のプロキシクラスターのIPアドレスにバインドする必要があります。 次の例では、xx.xx.xx.xxを、構築したプロキシクラスターのIPアドレスに置き換えます。
jsrvを含むエンドポイントを、永続接続プロキシがデプロイされているサーバーのIPアドレスにバインドします。 alicdnおよびupdateを含むエンドポイントを、HTTPプロキシがデプロイされているサーバーのIPアドレスにバインドします。
xx.xx.xx.x x jsrv.aegis.aliyun.com
xx.xx.xx.x x jsrv2.aegis.aliyun.com
xx.xx.xx.x x jsrv3.aegis.aliyun.com
xx.xx.xx.x x jsrv4.aegis.aliyun.com
xx.xx.xx.x x jsrv5.aegis.aliyun.com
xx.xx.xx.x x aegis.alicdn.com
xx.xx.xx.x x update.aegis.aliyun.com
xx.xx.xx.x x update2.aegis.aliyun.com
xx.xx.xx.x x update3.aegis.aliyun.com
xx.xx.xx.x x update4.aegis.aliyun.com
xx.xx.xx.x x update5.aegis.aliyun.com
データセンターのサーバーのDNS設定の変更
データセンターのサーバーのDNS設定を変更して、jsrv.aegis.aliyun.comとjsrv.aegis.aliyun.comエンドポイントをプロキシクラスターのIPアドレスにマッピングします。
手順3: データセンターのサーバーにSecurity Centerエージェントをインストールする
Security Centerは、サーバーにSecurity centerエージェントをインストールした後にのみ、データセンター内のサーバーを保護できます。 WindowsサーバーにSecurity Centerエージェントをインストールするには、Security Centerエージェントのインストールパッケージをダウンロードします。 LinuxサーバーにSecurity Centerエージェントをインストールするには、コマンドを実行します。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。
関連ドキュメント
Security Centerでサポートされている機能は、エディションによって異なります。 詳細については、「関数と機能」をご参照ください。
データセンターのサーバーをSecurity centerに追加した後、Security Centerの機能を使用してサーバーを保護できます。 この機能には、アラート通知、ウイルスの検出と削除、Webシェルの検出、クライアント保護、およびコンテナーイメージスキャンが含まれます。 詳細については、「共通機能の設定 (簡易) 」をご参照ください。