前往购买:云安全中心
非阿里云服务器和线下IDC服务器也可以接入云安全中心统一提供安全防护。以下为线下IDC服务器接入云安全中心的详细操作步骤。
网络流向图
操作流程
如果您需要在线下无法访问公网的IDC服务器上部署云安全中心Agent并实现在阿里云控制台统一管控线下IDC服务器,您需要按照以下流程进行操作:
- 搭建IDC内部Proxy集群,实现线下IDC服务器与公网的通信。
- 修改hosts文件或本地DNS连通Proxy集群和线下IDC内的服务器。
- 在IDC内的服务器上安装云安全中心Agent客户端,开启云安全中心对IDC服务器的安全防护。
搭建Proxy反向代理集群
云安全中心客户端通过两个域名分别连接Proxy集群中的长连接服务器和HTTP服务器。
注意 长连接代理和HTTP代理需要分别部署在不同代理服务器上,即至少需要两台服务器搭建Proxy集群。
- 配置长连接代理服务器
准备工作
- 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
说明 您可以根据IDC服务器规模来确定用于长连接的代理服务器数量。如果您的服务器数量较多,您可以准备多台用于长连接代理的服务器。
- 单击此处下载支持反向代理的Nginx版本。
操作步骤
- TCP长连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。tar -xvf nginx-1.9.0 cd nginx-1.9.0 ./configure --without-http_rewrite_module --with-stream make make install
- 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 80; proxy_timeout 20m; proxy_connect_timeout 60s; proxy_pass app; } upstream app { server jsrv.aegis.aliyun.com:80; } }
- 配置文件修改完成后,重新启动Nginx。
- 至少准备一台用于长连接代理的服务器,并确认服务器上已安装GCC和Zlib-devel。
- 配置HTTP代理服务器
准备工作
- 准备至少一台用于HTTP代理的服务器。
说明 您可以根据IDC服务器规模来确定用于HTTP代理的服务器数量。如果您的服务器数量较多,您可以准备多台用于HTTP代理的服务器。
- 单击此处下载支持反向代理的Nginx版本。
操作步骤
- HTTP连接使用四层代理。下载Nginx后,执行以下编译命令安装Nginx。执行编译命令时需要加上
--with-stream
参数。sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make install
- 在Nginx配置文件所在目录下,参考以下内容修改nginx.conf文件。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { upstream updatessl { server update.aegis.aliyun.com:443; } server { listen 443; proxy_connect_timeout 60s; proxy_pass updatessl; } upstream updatehttp { server update.aegis.aliyun.com:80; } server { listen 80; proxy_connect_timeout 60s; proxy_pass updatehttp; } }
- 配置文件修改完成后,重新启动Nginx。
- 准备至少一台用于HTTP代理的服务器。
Proxy集群连通IDC内部服务器
以下方法均可使Proxy集群连通IDC内部服务器,您可以选择其中任意一种。
- 修改线下IDC服务器的hosts文件
修改IDC服务器的hosts文件,将本地对云安全中心域名的访问转到Proxy集群。您需要在hosts文件内添加域名绑定记录,将云安全中心使用的所有域名绑定为Proxy地址。以下是您需要添加的域名绑定记录,其中xx.xx.xx.xx为IDC内服务器可访问的Proxy集群地址。
注意 jsrv相关域名对应host绑定长连接代理服务器地址;alicdn和update相关域名对应host绑定HTTP代理服务器地址。xx.xx.xx.xx jsrv.aegis.aliyun.com xx.xx.xx.xx jsrv2.aegis.aliyun.com xx.xx.xx.xx jsrv3.aegis.aliyun.com xx.xx.xx.xx jsrv4.aegis.aliyun.com xx.xx.xx.xx jsrv5.aegis.aliyun.com xx.xx.xx.xx aegis.alicdn.com xx.xx.xx.xx update.aegis.aliyun.com xx.xx.xx.xx update2.aegis.aliyun.com xx.xx.xx.xx update3.aegis.aliyun.com xx.xx.xx.xx update4.aegis.aliyun.com xx.xx.xx.xx update5.aegis.aliyun.com
- 修改线下IDC的本地DNS服务
修改线下IDC的本地DNS服务,使jsrv.aegis.aliyun.com和update.aegis.aliyun.com两个域名指向Proxy集群的地址。
IDC服务器安装云安全中心Agent
IDC服务器安装云安全中心Agent后,云安全中心才能防护您的服务器。IDC服务器必须通过安装程序(Windows)或脚本命令(Linux)安装云安全中心Agent。