Onboard server IDC tanpa akses jaringan publik ke Security Center melalui kluster proxy, 无法访问公网的IDC服务器通过Proxy集群接入云安全中心 - Security Center

Jika server IDC Anda dapat mengakses jaringan publik, Anda dapat langsung menginstal agen Security Center. Untuk server yang tidak memiliki akses jaringan publik, Anda harus menyiapkan kluster proxy terlebih dahulu. Topik ini menjelaskan cara menggunakan kluster proxy untuk mengonboard server IDC ke Security Center.

Kasus penggunaan

Jika server IDC Anda dapat mengakses jaringan publik, Anda dapat langsung menginstal agen Security Center tanpa perlu menyiapkan kluster proxy. Untuk informasi lebih lanjut, lihat Install agent.

Jika server IDC Anda tidak dapat mengakses jaringan publik, Anda harus menyiapkan kluster proxy sebelum menginstal agen Security Center. Diagram berikut menggambarkan arsitektur tersebut.

Prosedur

Ikuti langkah-langkah berikut untuk mengonboard server IDC ke Security Center menggunakan kluster proxy:

Siapkan kluster proxy di data center Anda agar server IDC dapat berkomunikasi dengan jaringan publik.
Ubah file hosts atau konfigurasikan DNS lokal untuk membuat koneksi antara kluster proxy dan server IDC Anda.
Instal agen Security Center pada server IDC Anda agar mendapatkan perlindungan dari Security Center.

Langkah 1: Siapkan kluster reverse proxy

Agen Security Center menggunakan jsrv.aegis.aliyun.com dan update.aegis.aliyun.com untuk terhubung ke server proxy koneksi persisten dan proxy HTTP, masing-masing. Kedua proxy tersebut harus dijalankan pada server yang berbeda, sehingga Anda memerlukan minimal dua server untuk kluster proxy ini.

1. Prasyarat

Catatan

Jumlah server proxy bergantung pada skala penerapan IDC Anda. Untuk penerapan berskala besar, gunakan beberapa server proxy untuk load balancing dan high availability.

Siapkan minimal satu server untuk proxy koneksi persisten. Pastikan GCC dan zlib-devel telah diinstal di server tersebut.
Siapkan minimal satu server untuk proxy HTTP.
Unduh versi NGINX yang mendukung reverse proxy. Klik di sini untuk mengunduh versi NGINX yang kompatibel.

2. Konfigurasikan server proxy koneksi persisten

Koneksi persisten TCP menggunakan proxy Lapisan 4. Setelah Anda mengunduh NGINX, jalankan perintah berikut untuk mengompilasi dan menginstalnya. Sertakan parameter --with-stream dalam perintah configure.
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install
```

Buka direktori yang berisi file konfigurasi NGINX dan ubah file nginx.conf berdasarkan contoh kode berikut:

#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        server {
            listen 80;
            proxy_timeout 20m;
            proxy_connect_timeout 60s;
            proxy_pass app;
        }

        upstream app {
           server jsrv.aegis.aliyun.com:80;
        }
}

Setelah mengubah file konfigurasi, restart NGINX.

3. Konfigurasikan server proxy HTTP

Traffic HTTP juga diproksi pada Lapisan 4. Setelah Anda mengunduh NGINX, jalankan perintah berikut untuk mengompilasi dan menginstalnya. Sertakan parameter --with-stream dalam perintah configure.
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
sudo ./configure --without-http_rewrite_module --with-stream
sudo make
sudo make install
```

Buka direktori yang berisi file konfigurasi NGINX dan ubah file nginx.conf berdasarkan contoh kode berikut:

#user  nobody;
worker_processes  auto;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    use     epoll;
    worker_connections  60000;
}


stream {
        upstream updatessl {
            server update.aegis.aliyun.com:443;
        }
        server {
            listen 443;
            proxy_connect_timeout 60s;
            proxy_pass updatessl;
        }
        upstream updatehttp {
            server update.aegis.aliyun.com:80;
        }
        server {
            listen 80;
            proxy_connect_timeout 60s;
            proxy_pass updatehttp;
        }
  }

Setelah mengubah file konfigurasi, restart NGINX.

Langkah 2: Hubungkan kluster proxy dan server IDC

Hubungkan kluster proxy ke server IDC Anda menggunakan salah satu metode berikut.

Ubah file hosts pada server IDC

Ubah file hosts pada server IDC Anda agar permintaan nama domain Security Center diarahkan ke kluster proxy. Tambahkan catatan berikut ke file hosts. Ganti xx.xx.xx.xx dengan alamat kluster proxy yang dapat diakses dari server IDC Anda.

Penting

Ikat nama domain yang mengandung jsrv ke alamat server proxy koneksi persisten. Ikat nama domain yang mengandung alicdn dan update ke alamat server proxy HTTP.

xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com

Ubah DNS lokal

Ubah DNS lokal Anda agar nama domain jsrv.aegis.aliyun.com dan update.aegis.aliyun.com di-resolve ke alamat kluster proxy Anda.

Langkah 3: Instal agen Security Center

Security Center hanya dapat melindungi server IDC Anda setelah agen terinstal. Instal agen pada server IDC Anda menggunakan installer (untuk Windows) atau perintah skrip (untuk Linux). Untuk informasi lebih lanjut, lihat Install agent.

Dokumen terkait

Untuk memahami fitur setiap edisi Security Center, lihat Features.
Setelah server IDC Anda di-onboard, Anda dapat menggunakan fitur seperti Pemberitahuan peringatan, deteksi dan pembersihan virus, deteksi webshell, perlindungan mandiri agen, serta Pemindaian gambar kontainer untuk melindungi aset Anda. Untuk informasi lebih lanjut, lihat Configure common features (simplified).