すべてのプロダクト
Search
ドキュメントセンター

Security Center:プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加する

最終更新日:Jul 22, 2024

データセンター内のサーバーをSecurity centerに追加して、サーバーをセキュリティリスクから保護できます。 サーバーにインターネット経由でアクセスできる場合は、サーバーにSecurity Centerエージェントをインストールすることで、サーバーをSecurity Centerに追加できます。 インターネット経由でサーバーにアクセスできない場合は、プロキシクラスターを使用してサーバーをSecurity Centerに追加できます。 このトピックでは、プロキシクラスターを使用して、データセンターのサーバーをSecurity centerに追加する方法について説明します。

シナリオ

データセンター内のすべてのサーバーにインターネット経由でアクセスできる場合は、プロキシクラスターを構築する必要はありません。 サーバーを保護するには、手動でSecurity Centerエージェントをサーバーにインストールします。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。

データセンター内のすべてのサーバーまたは特定のサーバーにインターネット経由でアクセスできない場合は、データセンターにプロキシクラスターを構築してから、Security centerエージェントをインストールする必要があります。

image

手順

プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加するには、次の操作を実行します。

  1. サーバーとインターネット間の接続を有効にするために、データセンターにプロキシクラスターを構築します。

  2. プロキシクラスターとサーバー間の接続を有効にするために、データセンター内のサーバーのhostsファイルを変更するか、ドメインネームシステム (DNS) 設定を構成します。

  3. セキュリティセンターエージェントをサーバーにインストールして保護します。

手順1: プロキシクラスターの構築

Security Centerエージェントは、jsrv.aegis.aliyun.comエンドポイントとupdate.aegis.aliyun.comエンドポイントを使用して、永続接続をサポートするサーバーとプロキシクラスター内のHTTPサーバーに接続します。 永続接続とHTTPプロキシは、異なるサーバーにデプロイする必要があります。 したがって、プロキシクラスターを構築するには、少なくとも2つのサーバーを指定する必要があります。

1. 準備

説明

データセンター内のサーバーの数に基づいて、永続接続とHTTPプロキシをデプロイするサーバーの数を指定できます。 データセンターに多数のサーバーが存在する場合、負荷分散と高可用性を確保するために、プロキシ展開用に複数のサーバーを指定することを推奨します。

  • 永続接続プロキシをデプロイするサーバーを少なくとも1つ指定します。 GNUコンパイラコレクション (GCC) とzlib-develがサーバーにインストールされていることを確認します。

  • HTTPプロキシをデプロイするサーバーを少なくとも1つ指定します。

  • リバースプロキシをサポートする特定のバージョンのNGINXをダウンロードします。 ここをクリックしてNGINXをダウンロードします。

2. 永続接続プロキシをデプロイするようにサーバーを構成する

  1. TCP永続接続は、レイヤ4プロキシを使用する。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、-- with-streamパラメーターを追加する必要があります。

    tar -xvf nginx-1.9.0.tar.gz
    cd nginx-1.9.0
    sudo ./configure --without-http_rewrite_module --with-stream
    sudo make
    sudo make install
  2. nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。

    #user  nobody;
    worker_processes  auto;
    
    error_log  logs/error.log;
    #error_log  logs/error.log  notice;
    #error_log  logs/error.log  info;
    
    #pid        logs/nginx.pid;
    
    
    events {
        use     epoll;
        worker_connections  60000;
    }
    
    
    stream {
            server {
                listen 80;
                proxy_timeout 20m;
                proxy_connect_timeout 60s;
                proxy_pass app;
            }
    
            upstream app {
               server jsrv.aegis.aliyun.com:80;
            }
    }
  3. nginx.confファイルを変更した後、NGINXを再起動します。

3。 HTTPプロキシをデプロイするようにサーバーを構成する

  1. HTTP接続はレイヤー4プロキシを使用します。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、-- with-streamパラメーターを追加する必要があります。

    tar -xvf nginx-1.9.0.tar.gz
    cd nginx-1.9.0
    sudo ./configure --without-http_rewrite_module --with-stream
    sudo make
    sudo make install
  2. nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。

    #user  nobody;
    worker_processes  auto;
    
    error_log  logs/error.log;
    #error_log  logs/error.log  notice;
    #error_log  logs/error.log  info;
    
    #pid        logs/nginx.pid;
    
    
    events {
        use     epoll;
        worker_connections  60000;
    }
    
    
    stream {
            upstream updatessl {
                server update.aegis.aliyun.com:443;
            }
            server {
                listen 443;
                proxy_connect_timeout 60s;
                proxy_pass updatessl;
            }
            upstream updatehttp {
                server update.aegis.aliyun.com:80;
            }
            server {
                listen 80;
                proxy_connect_timeout 60s;
                proxy_pass updatehttp;
            }
      }
  3. nginx.confファイルを変更した後、NGINXを再起動します。

手順2: プロキシクラスターをデータセンターのサーバーに接続する

次のいずれかの方法を選択して、プロキシクラスターをデータセンターのサーバーに接続します。

各サーバーのhostsファイルの変更

各サーバーのhostsファイルを変更して、サーバーからSecurity Centerのエンドポイントに開始されたアクセス要求をプロキシクラスターに転送します。 Security Centerのエンドポイントをhostsファイル内のプロキシクラスターのIPアドレスにバインドする必要があります。 次の例では、xx.xx.xx.xxを、構築したプロキシクラスターのIPアドレスに置き換えます。

重要

jsrvを含むエンドポイントを、永続接続プロキシがデプロイされているサーバーのIPアドレスにバインドします。 alicdnおよびupdateを含むエンドポイントを、HTTPプロキシがデプロイされているサーバーのIPアドレスにバインドします。

xx.xx.xx.x x jsrv.aegis.aliyun.com
xx.xx.xx.x x jsrv2.aegis.aliyun.com
xx.xx.xx.x x jsrv3.aegis.aliyun.com
xx.xx.xx.x x jsrv4.aegis.aliyun.com
xx.xx.xx.x x jsrv5.aegis.aliyun.com
xx.xx.xx.x x aegis.alicdn.com
xx.xx.xx.x x update.aegis.aliyun.com
xx.xx.xx.x x update2.aegis.aliyun.com
xx.xx.xx.x x update3.aegis.aliyun.com
xx.xx.xx.x x update4.aegis.aliyun.com
xx.xx.xx.x x update5.aegis.aliyun.com 

データセンターのサーバーのDNS設定の変更

データセンターのサーバーのDNS設定を変更して、jsrv.aegis.aliyun.comjsrv.aegis.aliyun.comエンドポイントをプロキシクラスターのIPアドレスにマッピングします。

手順3: データセンターのサーバーにSecurity Centerエージェントをインストールする

Security Centerは、サーバーにSecurity centerエージェントをインストールした後にのみ、データセンター内のサーバーを保護できます。 WindowsサーバーにSecurity Centerエージェントをインストールするには、Security Centerエージェントのインストールパッケージをダウンロードします。 LinuxサーバーにSecurity Centerエージェントをインストールするには、コマンドを実行します。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。

関連ドキュメント

  • Security Centerでサポートされている機能は、エディションによって異なります。 詳細については、「関数と機能」をご参照ください。

  • データセンターのサーバーをSecurity centerに追加した後、Security Centerの機能を使用してサーバーを保護できます。 この機能には、アラート通知、ウイルスの検出と削除、Webシェルの検出、クライアント保護、およびコンテナーイメージスキャンが含まれます。 詳細については、「共通機能の設定 (簡易) 」をご参照ください。