IDC サーバーがパブリックネットワークにアクセスできる場合は、Security Center エージェントを直接インストールできます。パブリックネットワークにアクセスできないサーバーの場合は、まずプロキシクラスターをセットアップする必要があります。このトピックでは、プロキシクラスターを使用して IDC サーバーを Security Center にオンボードする方法について説明します。
ユースケース
IDC サーバーがパブリックネットワークにアクセスできる場合は、プロキシクラスターをセットアップせずに Security Center エージェントを直接インストールできます。詳細については、「エージェントのインストール」をご参照ください。
IDC サーバーがパブリックネットワークにアクセスできない場合は、Security Center エージェントをインストールする前にプロキシクラスターをセットアップする必要があります。次の図は、このアーキテクチャを示しています。
手順
プロキシクラスターを使用して IDC サーバーを Security Center にオンボードするには、次の手順に従ってください。
データセンターにプロキシクラスターをセットアップし、IDC サーバーとパブリックネットワーク間の通信を有効にします。
hosts ファイルを編集するか、ローカル DNS を設定して、プロキシクラスターと IDC サーバー間の接続を確立します。
IDC サーバーに Security Center エージェントをインストールして、Security Center による保護を有効にします。
手順 1:リバースプロキシクラスターのセットアップ
Security Center エージェントは、それぞれ jsrv.aegis.aliyun.com と update.aegis.aliyun.com を使用して、永続的な接続サーバーと HTTP プロキシサーバーに接続します。2 つのプロキシは異なるサーバーで実行する必要があるため、プロキシクラスターには少なくとも 2 台のサーバーが必要です。
1. 前提条件
プロキシサーバーの数は、IDC デプロイの規模によって異なります。大規模なデプロイの場合は、負荷分散と高可用性のために複数のプロキシサーバーを使用します。
永続的な接続プロキシ用に少なくとも 1 台のサーバーを準備してください。そのサーバーに GCC と zlib-devel がインストールされていることを確認してください。
HTTP プロキシ用に少なくとも 1 台のサーバーを準備してください。
リバースプロキシをサポートする NGINX のバージョンをダウンロードしてください。互換性のある NGINX バージョンをダウンロードするには、ここをクリックしてください。
2. 永続的な接続プロキシサーバーの設定
TCP の永続的な接続では、レイヤー 4 プロキシを使用します。NGINX をダウンロードした後、次のコマンドを実行してコンパイルとインストールを行ってください。configure コマンドに
--with-streamパラメーターを含めてください。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make installNGINX の設定ファイルが含まれているディレクトリに移動し、次のサンプルコードに基づいて nginx.conf ファイルを編集してください。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 80; proxy_timeout 20m; proxy_connect_timeout 60s; proxy_pass app; } upstream app { server jsrv.aegis.aliyun.com:80; } }設定ファイルを編集した後、NGINX を再起動してください。
3. HTTP プロキシサーバーの設定
HTTP トラフィックもレイヤー 4 でプロキシされます。NGINX をダウンロードした後、次のコマンドを実行してコンパイルとインストールを行ってください。configure コマンドに
--with-streamパラメーターを含めてください。tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 sudo ./configure --without-http_rewrite_module --with-stream sudo make sudo make installNGINX の設定ファイルが含まれているディレクトリに移動し、次のサンプルコードに基づいて nginx.conf ファイルを編集してください。
#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { upstream updatessl { server update.aegis.aliyun.com:443; } server { listen 443; proxy_connect_timeout 60s; proxy_pass updatessl; } upstream updatehttp { server update.aegis.aliyun.com:80; } server { listen 80; proxy_connect_timeout 60s; proxy_pass updatehttp; } }設定ファイルを編集した後、NGINX を再起動してください。
手順 2:プロキシクラスターと IDC サーバーの接続
次のいずれかの方法を使用して、プロキシクラスターを IDC サーバーに接続してください。
IDC サーバー上の hosts ファイルの編集
IDC サーバー上の hosts ファイルを編集して、Security Center のドメイン名リクエストをプロキシクラスターにルーティングしてください。次のレコードを hosts ファイルに追加してください。xx.xx.xx.xx を IDC サーバーからアクセス可能なプロキシクラスターのアドレスに置き換えてください。
jsrv を含むドメイン名は永続的な接続プロキシサーバーのアドレスにバインドし、alicdn および update を含むドメイン名は HTTP プロキシサーバーのアドレスにバインドしてください。
xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
yy.yy.yy.yy aegis.alicdn.com
yy.yy.yy.yy update.aegis.aliyun.com
yy.yy.yy.yy update2.aegis.aliyun.com
yy.yy.yy.yy update3.aegis.aliyun.com
yy.yy.yy.yy update4.aegis.aliyun.com
yy.yy.yy.yy update5.aegis.aliyun.comローカル DNS の編集
ローカル DNS を編集して、jsrv.aegis.aliyun.com および update.aegis.aliyun.com ドメイン名をプロキシクラスターのアドレスに解決してください。
手順 3:Security Center エージェントのインストール
Security Center は、エージェントがインストールされた後にのみ IDC サーバーを保護します。インストーラー (Windows の場合) またはスクリプトコマンド (Linux の場合) を使用して、IDC サーバーにエージェントをインストールしてください。詳細については、「エージェントのインストール」をご参照ください。
関連ドキュメント
各 Security Center Edition の機能については、「機能」をご参照ください。
IDC サーバーをオンボードした後、アラート通知、ウイルス検出と駆除、Web シェル検出、エージェントの自己保護、コンテナイメージスキャンなどの機能を使用して資産を保護できます。詳細については、「一般的な機能の設定 (簡易版)」をご参照ください。