應用場景

如果線下IDC的所有服務器都可以訪問公網，則您無需搭建Proxy集群，可直接在IDC服務器中手動安裝云安全中心客戶端。具體操作，請參見手動安裝。

如果線下IDC中所有服務器都無法訪問公網，或只有部分線下IDC服務器作為網絡出口可以訪問公網（即存在無法直接訪問公網的服務器），您需要先在IDC內部搭建Proxy集群，然后再安裝云安全中心客戶端，如下圖所示。

操作流程

通過Proxy集群將IDC服務器接入云安全中心的操作流程如下：

1. 在IDC內部搭建一個Proxy集群，實現IDC服務器與公網的通信。

2. 修改hosts文件或配置本地DNS，連通Proxy集群和IDC服務器。

3. 在IDC服務器上安裝云安全中心客戶端，開啟云安全中心對IDC服務器的安全防護。

步驟一：搭建Proxy反向代理集群

云安全中心客戶端分別通過jsrv.aegis.aliyun.com域名和update.aegis.aliyun.com域名連接Proxy集群中的長連接服務器和HTTP服務器。長連接代理和HTTP代理需要分別部署在不同代理服務器，因此，至少需要兩臺服務器用于搭建Proxy集群。

1. 準備工作

• 至少準備一臺用于長連接代理的服務器，并確認服務器上已安裝GCC和Zlib-devel。

• 至少準備一臺用于HTTP代理的服務器。

• 已下載支持反向代理的Nginx版本。點擊下載反向代理的Nginx版本

2. 配置長連接代理服務器

1. TCP長連接使用四層代理。下載Nginx后，執行以下編譯命令安裝Nginx。執行編譯命令時需要加上--with-stream參數。

   tar -xvf nginx-1.9.0.tar.gz
   cd nginx-1.9.0
   sudo ./configure --without-http_rewrite_module --with-stream
   sudo make
   sudo make install

2. 進入Nginx配置文件所在的目錄，參考以下內容修改nginx.conf文件。

   #user  nobody;
   worker_processes  auto;
   
   error_log  logs/error.log;
   #error_log  logs/error.log  notice;
   #error_log  logs/error.log  info;
   
   #pid        logs/nginx.pid;
   
   
   events {
       use     epoll;
       worker_connections  60000;
   }
   
   
   stream {
           server {
               listen 80;
               proxy_timeout 20m;
               proxy_connect_timeout 60s;
               proxy_pass app;
           }
   
           upstream app {
              server jsrv.aegis.aliyun.com:80;
           }
   }

3. 配置文件修改完成后，重新啟動Nginx。

3. 配置HTTP代理服務器

1. HTTP連接使用四層代理。下載Nginx后，執行以下編譯命令安裝Nginx。執行編譯命令時需要加上--with-stream參數。

   tar -xvf nginx-1.9.0.tar.gz
   cd nginx-1.9.0
   sudo ./configure --without-http_rewrite_module --with-stream
   sudo make
   sudo make install

2. 進入Nginx配置文件所在的目錄，參考以下內容修改nginx.conf文件。

   #user  nobody;
   worker_processes  auto;
   
   error_log  logs/error.log;
   #error_log  logs/error.log  notice;
   #error_log  logs/error.log  info;
   
   #pid        logs/nginx.pid;
   
   
   events {
       use     epoll;
       worker_connections  60000;
   }
   
   
   stream {
           upstream updatessl {
               server update.aegis.aliyun.com:443;
           }
           server {
               listen 443;
               proxy_connect_timeout 60s;
               proxy_pass updatessl;
           }
           upstream updatehttp {
               server update.aegis.aliyun.com:80;
           }
           server {
               listen 80;
               proxy_connect_timeout 60s;
               proxy_pass updatehttp;
           }
     }

3. 配置文件修改完成后，重新啟動Nginx。

步驟二：Proxy集群連通IDC內部服務器

以下方法均可使Proxy集群連通IDC內部服務器，您可以選擇其中任意一種。

修改線下IDC服務器的hosts文件

修改IDC服務器的hosts文件，將本地對云安全中心域名的訪問轉到Proxy集群。您需要在hosts文件內添加域名綁定記錄，將云安全中心使用的所有域名綁定為Proxy地址。以下是您需要添加的域名綁定記錄，其中xx.xx.xx.xx需要替換為IDC內服務器可訪問的Proxy集群地址。

xx.xx.xx.xx jsrv.aegis.aliyun.com
xx.xx.xx.xx jsrv2.aegis.aliyun.com
xx.xx.xx.xx jsrv3.aegis.aliyun.com
xx.xx.xx.xx jsrv4.aegis.aliyun.com
xx.xx.xx.xx jsrv5.aegis.aliyun.com
xx.xx.xx.xx aegis.alicdn.com
xx.xx.xx.xx update.aegis.aliyun.com
xx.xx.xx.xx update2.aegis.aliyun.com
xx.xx.xx.xx update3.aegis.aliyun.com
xx.xx.xx.xx update4.aegis.aliyun.com
xx.xx.xx.xx update5.aegis.aliyun.com

修改線下IDC的本地DNS服務

修改線下IDC的本地DNS服務，使jsrv.aegis.aliyun.com和update.aegis.aliyun.com域名指向Proxy集群的地址。

步驟三：在IDC服務器安裝云安全中心客戶端

IDC服務器安裝云安全中心客戶端后，云安全中心才能防護您的服務器。IDC服務器必須通過安裝程序（Windows）或腳本命令（Linux）安裝云安全中心客戶端。詳細操作指導，請參見手動安裝。

相關文檔

• 您可以查看不同云安全中心版本提供的防護能力，以便您更好地使用云安全中心進行安全防護。具體內容，請參見功能特性。

• 將IDC服務器接入云安全中心后，您可以使用云安全中心提供的告警通知、病毒查殺、網站后門查殺、客戶端自保護、鏡像安全掃描等功能，保護資產安全。具體操作，請參見常用功能配置（精簡版）。