您可以将线下IDC服务器接入云安全中心,使用云安全中心务进行安全防护,以提升IDC服务器的安全性和防御能力。如果IDC服务器可以访问公网,您可以直接在IDC服务器安装云安全中心客户端;如果IDC服务器无法访问公网,则您可以通过Proxy集群方式将IDC服务器接入云安全中心。本文介绍如何将IDC服务器通过Proxy集群方式接入云安全中心。
应用场景
如果线下IDC的所有服务器都可以访问公网,则您无需搭建Proxy集群,可直接在IDC服务器中手动安装云安全中心客户端。具体操作,请参见手动安装。
如果线下IDC中所有服务器都无法访问公网,或只有部分线下IDC服务器作为网络出口可以访问公网(即存在无法直接访问公网的服务器),您需要先在IDC内部搭建Proxy集群,然后再安装云安全中心客户端,如下图所示。
操作流程
通过Proxy集群将IDC服务器接入云安全中心的操作流程如下:
在IDC内部搭建一个Proxy集群,实现IDC服务器与公网的通信。
修改hosts文件或配置本地DNS,连通Proxy集群和IDC服务器。
在IDC服务器上安装云安全中心客户端,开启云安全中心对IDC服务器的安全防护。
步骤一:搭建Proxy反向代理集群
云安全中心客户端分别通过jsrv.aegis.aliyun.com域名和update.aegis.aliyun.com域名连接Proxy集群中的长连接服务器和HTTP服务器。长连接代理和HTTP代理需要分别部署在不同代理服务器,因此,至少需要两台服务器用于搭建Proxy集群。
1. 准备工作
您可以根据IDC服务器规模来确定用于长连接和HTTP代理的服务器数量。如果您的服务器数量较多,您可以准备多台用于代理的服务器,以确保负载均衡和高可用性。
至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
至少准备一台用于HTTP代理的服务器。
已下载支持反向代理的Nginx版本。点击下载反向代理的Nginx版本
2. 配置长连接代理服务器
TCP长连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
进入Nginx配置文件所在的目录,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 80; proxy_timeout 20m; proxy_connect_timeout 60s; proxy_pass app; } upstream app { server jsrv.aegis.aliyun.com:80; } }
配置文件修改完成后,重新启动Nginx。
3. 配置HTTP代理服务器
HTTP连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
进入Nginx配置文件所在的目录,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { upstream updatessl { server update.aegis.aliyun.com:443; } server { listen 443; proxy_connect_timeout 60s; proxy_pass updatessl; } upstream updatehttp { server update.aegis.aliyun.com:80; } server { listen 80; proxy_connect_timeout 60s; proxy_pass updatehttp; } }
配置文件修改完成后,重新启动Nginx。
步骤二:Proxy集群连通IDC内部服务器
以下方法均可使Proxy集群连通IDC内部服务器,您可以选择其中任意一种。
修改线下IDC服务器的hosts文件
修改IDC服务器的hosts文件,将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录,将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录,其中xx.xx.xx.xx需要替换为IDC内服务器可访问的Proxy集群地址。
jsrv相关域名对应host绑定长连接代理服务器地址;alicdn和update相关域名对应host绑定HTTP代理服务器地址。
xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com
修改线下IDC的本地DNS服务
修改线下IDC的本地DNS服务,使jsrv.aegis.aliyun.com和update.aegis.aliyun.com域名指向Proxy集群的地址。
步骤三:在IDC服务器安装云安全中心客户端
IDC服务器安装云安全中心客户端后,云安全中心才能防护您的服务器。IDC服务器必须通过安装程序(Windows)或脚本命令(Linux)安装云安全中心客户端。详细操作指导,请参见手动安装。
相关文档
您可以查看不同云安全中心版本提供的防护能力,以便您更好地使用云安全中心进行安全防护。具体内容,请参见功能特性。
将IDC服务器接入云安全中心后,您可以使用云安全中心提供的告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等功能,保护资产安全。具体操作,请参见常用功能配置(精简版)。