すべてのプロダクト
Search

このプロダクト

    Security Center:プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加する

    ドキュメントセンター

    Security Center:プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加する

    最終更新日:Jul 22, 2024

    データセンター内のサーバーをSecurity centerに追加して、サーバーをセキュリティリスクから保護できます。 サーバーにインターネット経由でアクセスできる場合は、サーバーにSecurity Centerエージェントをインストールすることで、サーバーをSecurity Centerに追加できます。 インターネット経由でサーバーにアクセスできない場合は、プロキシクラスターを使用してサーバーをSecurity Centerに追加できます。 このトピックでは、プロキシクラスターを使用して、データセンターのサーバーをSecurity centerに追加する方法について説明します。

    シナリオ

    データセンター内のすべてのサーバーにインターネット経由でアクセスできる場合は、プロキシクラスターを構築する必要はありません。 サーバーを保護するには、手動でSecurity Centerエージェントをサーバーにインストールします。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。

    データセンター内のすべてのサーバーまたは特定のサーバーにインターネット経由でアクセスできない場合は、データセンターにプロキシクラスターを構築してから、Security centerエージェントをインストールする必要があります。

    image

    手順

    プロキシクラスターを使用してデータセンター内のサーバーをSecurity centerに追加するには、次の操作を実行します。

    1. サーバーとインターネット間の接続を有効にするために、データセンターにプロキシクラスターを構築します。

    2. プロキシクラスターとサーバー間の接続を有効にするために、データセンター内のサーバーのhostsファイルを変更するか、ドメインネームシステム (DNS) 設定を構成します。

    3. セキュリティセンターエージェントをサーバーにインストールして保護します。

    手順1: プロキシクラスターの構築

    Security Centerエージェントは、jsrv.aegis.aliyun.comエンドポイントとupdate.aegis.aliyun.comエンドポイントを使用して、永続接続をサポートするサーバーとプロキシクラスター内のHTTPサーバーに接続します。 永続接続とHTTPプロキシは、異なるサーバーにデプロイする必要があります。 したがって、プロキシクラスターを構築するには、少なくとも2つのサーバーを指定する必要があります。

    1. 準備

    説明

    データセンター内のサーバーの数に基づいて、永続接続とHTTPプロキシをデプロイするサーバーの数を指定できます。 データセンターに多数のサーバーが存在する場合、負荷分散と高可用性を確保するために、プロキシ展開用に複数のサーバーを指定することを推奨します。

    • 永続接続プロキシをデプロイするサーバーを少なくとも1つ指定します。 GNUコンパイラコレクション (GCC) とzlib-develがサーバーにインストールされていることを確認します。

    • HTTPプロキシをデプロイするサーバーを少なくとも1つ指定します。

    • リバースプロキシをサポートする特定のバージョンのNGINXをダウンロードします。 ここをクリックしてNGINXをダウンロードします。

    2. 永続接続プロキシをデプロイするようにサーバーを構成する

    1. TCP永続接続は、レイヤ4プロキシを使用する。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、-- with-streamパラメーターを追加する必要があります。 

      tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install

    2. nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。 

      #user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        server {
            listen 80;
            proxy_timeout 20m;
            proxy_connect_timeout 60s;
            proxy_pass app;
        }

        upstream app {
           server jsrv.aegis.aliyun.com:80;
        }
}

    3. nginx.confファイルを変更した後、NGINXを再起動します。

    3。 HTTPプロキシをデプロイするようにサーバーを構成する

    1. HTTP接続はレイヤー4プロキシを使用します。 NGINXをダウンロードした後、次のコンパイルコマンドを実行してNGINXをインストールします。 コンパイルコマンドを実行する前に、-- with-streamパラメーターを追加する必要があります。 

      tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install

    2. nginx.conf設定ファイルのディレクトリに移動し、次のコードに基づいてファイルを変更します。 

      #user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        upstream updatessl {
            server update.aegis.aliyun.com:443;
        }
        server {
            listen 443;
            proxy_connect_timeout 60s;
            proxy_pass updatessl;
        }
        upstream updatehttp {
            server update.aegis.aliyun.com:80;
        }
        server {
            listen 80;
            proxy_connect_timeout 60s;
            proxy_pass updatehttp;
        }
  }

    3. nginx.confファイルを変更した後、NGINXを再起動します。

    手順2: プロキシクラスターをデータセンターのサーバーに接続する

    次のいずれかの方法を選択して、プロキシクラスターをデータセンターのサーバーに接続します。

    各サーバーのhostsファイルの変更

    各サーバーのhostsファイルを変更して、サーバーからSecurity Centerのエンドポイントに開始されたアクセス要求をプロキシクラスターに転送します。 Security Centerのエンドポイントをhostsファイル内のプロキシクラスターのIPアドレスにバインドする必要があります。 次の例では、xx.xx.xx.xxを、構築したプロキシクラスターのIPアドレスに置き換えます。

    重要

    jsrvを含むエンドポイントを、永続接続プロキシがデプロイされているサーバーのIPアドレスにバインドします。 alicdnおよびupdateを含むエンドポイントを、HTTPプロキシがデプロイされているサーバーのIPアドレスにバインドします。 

    xx.xx.xx.x x jsrv.aegis.aliyun.com
xx.xx.xx.x x jsrv2.aegis.aliyun.com
xx.xx.xx.x x jsrv3.aegis.aliyun.com
xx.xx.xx.x x jsrv4.aegis.aliyun.com
xx.xx.xx.x x jsrv5.aegis.aliyun.com
xx.xx.xx.x x aegis.alicdn.com
xx.xx.xx.x x update.aegis.aliyun.com
xx.xx.xx.x x update2.aegis.aliyun.com
xx.xx.xx.x x update3.aegis.aliyun.com
xx.xx.xx.x x update4.aegis.aliyun.com
xx.xx.xx.x x update5.aegis.aliyun.com

    データセンターのサーバーのDNS設定の変更

    データセンターのサーバーのDNS設定を変更して、jsrv.aegis.aliyun.comjsrv.aegis.aliyun.comエンドポイントをプロキシクラスターのIPアドレスにマッピングします。

    手順3: データセンターのサーバーにSecurity Centerエージェントをインストールする

    Security Centerは、サーバーにSecurity centerエージェントをインストールした後にのみ、データセンター内のサーバーを保護できます。 WindowsサーバーにSecurity Centerエージェントをインストールするには、Security Centerエージェントのインストールパッケージをダウンロードします。 LinuxサーバーにSecurity Centerエージェントをインストールするには、コマンドを実行します。 詳細については、「Security Centerエージェントの手動インストール」をご参照ください。

    関連ドキュメント

    • Security Centerでサポートされている機能は、エディションによって異なります。 詳細については、「関数と機能」をご参照ください。

    • データセンターのサーバーをSecurity centerに追加した後、Security Centerの機能を使用してサーバーを保護できます。 この機能には、アラート通知、ウイルスの検出と削除、Webシェルの検出、クライアント保護、およびコンテナーイメージスキャンが含まれます。 詳細については、「共通機能の設定 (簡易) 」をご参照ください。