無法訪問公網的IDC伺服器通過Proxy叢集接入Security Center - Security Center

您可以將線下IDC伺服器接入Security Center，使用Security Center務進行安全防護，以提升IDC伺服器的安全性和防禦能力。如果IDC伺服器可以訪問公網，您可以直接在IDC伺服器安裝Security Center用戶端；如果IDC伺服器無法訪問公網，則您可以通過Proxy叢集方式將IDC伺服器接入Security Center。本文介紹如何將IDC伺服器通過Proxy叢集方式接入Security Center。

應用情境

如果線下IDC的所有伺服器都可以訪問公網，則您無需搭建Proxy叢集，可直接在IDC伺服器中手動安裝Security Center用戶端。具體操作，請參見手動安裝。

如果線下IDC中所有伺服器都無法訪問公網，或只有部分線下IDC伺服器作為網路出口可以訪問公網（即存在無法直接存取公網的伺服器），您需要先在IDC內部搭建Proxy叢集，然後再安裝Security Center用戶端，如下圖所示。

操作流程

通過Proxy叢集將IDC伺服器接入Security Center的操作流程如下：

在IDC內部搭建一個Proxy叢集，實現IDC伺服器與公網的通訊。
修改hosts檔案或配置本地DNS，連通Proxy叢集和IDC伺服器。
在IDC伺服器上安裝Security Center用戶端，開啟Security Center對IDC伺服器的安全防護。

步驟一：搭建Proxy反向 Proxy叢集

Security Center用戶端分別通過jsrv.aegis.aliyun.com網域名稱和update.aegis.aliyun.com網域名稱串連Proxy叢集中的長串連伺服器和HTTP伺服器。長串連代理和HTTP代理需要分別部署在不同Proxy 伺服器，因此，至少需要兩台伺服器用於搭建Proxy叢集。

1. 準備工作

說明

您可以根據IDC伺服器規模來確定用於長串連和HTTP代理的伺服器數量。如果您的伺服器數量較多，您可以準備多台用於代理的伺服器，以確保負載平衡和高可用性。

至少準備一台用於長串連代理的伺服器，並確認伺服器上已安裝GCC和Zlib-devel。
至少準備一台用於HTTP代理的伺服器。
已下載支援反向 Proxy的Nginx版本。點擊下載反向 Proxy的Nginx版本

2. 配置長串連Proxy 伺服器

TCP長串連使用四層代理。下載Nginx後，執行以下編譯命令安裝Nginx。執行編譯命令時需要加上--with-stream參數。
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install
```

進入Nginx設定檔所在的目錄，參考以下內容修改nginx.conf檔案。

#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        server {
            listen 80;
            proxy_timeout 20m;
            proxy_connect_timeout 60s;
            proxy_pass app;
        }

        upstream app {
           server jsrv.aegis.aliyun.com:80;
        }
}

設定檔修改完成後，重新啟動Nginx。

3. 配置HTTPProxy 伺服器

HTTP串連使用四層代理。下載Nginx後，執行以下編譯命令安裝Nginx。執行編譯命令時需要加上--with-stream參數。
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install
```

進入Nginx設定檔所在的目錄，參考以下內容修改nginx.conf檔案。

#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        upstream updatessl {
            server update.aegis.aliyun.com:443;
        }
        server {
            listen 443;
            proxy_connect_timeout 60s;
            proxy_pass updatessl;
        }
        upstream updatehttp {
            server update.aegis.aliyun.com:80;
        }
        server {
            listen 80;
            proxy_connect_timeout 60s;
            proxy_pass updatehttp;
        }
  }

設定檔修改完成後，重新啟動Nginx。

步驟二：Proxy叢集連通IDC內部伺服器

以下方法均可使Proxy叢集連通IDC內部伺服器，您可以選擇其中任意一種。

修改線下IDC伺服器的hosts檔案

修改IDC伺服器的hosts檔案，將本地對Security Center網域名稱的訪問轉到Proxy叢集。您需要在hosts檔案內添加網域名稱綁定記錄，將Security Center使用的所有網域名稱綁定為Proxy地址。以下是您需要添加的網域名稱綁定記錄，其中xx.xx.xx.xx需要替換為IDC內伺服器可訪問的Proxy叢集地址。

重要

jsrv相關網域名稱對應host綁定長串連Proxy 伺服器地址；alicdn和update相關網域名稱對應host綁定HTTPProxy 伺服器地址。

xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com

修改線下IDC的本地DNS服務

修改線下IDC的本地DNS服務，使jsrv.aegis.aliyun.com和update.aegis.aliyun.com網域名稱指向Proxy叢集的地址。

步驟三：在IDC伺服器安裝Security Center用戶端

IDC伺服器安裝Security Center用戶端後，Security Center才能防護您的伺服器。IDC伺服器必須通過安裝程式（Windows）或指令碼命令（Linux）安裝Security Center用戶端。詳細操作指導，請參見手動安裝。

Security Center：IDC伺服器通過Proxy叢集接入Security Center