針對無法直接連接到云安全中心服務端的線下IDC(Internet Data Center)機房、混合云、阿里云VPC(Virtual Private Cloud)等業務場景,您可以通過設置代理服務器,將無法連接公網的服務器(包括主機、容器)接入云安全中心進行防護。本文介紹通過代理方式將服務器接入云安全中心。
適用場景
無法直連云安全中心的阿里云VPC
如果您的阿里云VPC做了較多訪問限制,無法直接連接云安全中心服務端,您可以選擇代理接入的方式,將云服務器ECS接入云安全中心進行防護。
線下IDC機房
混合云
使用限制
僅Linux服務器可以作為代理服務器。
通過代理服務器接入云安全中心的服務器支持云安全中心的大部分功能,但不支持使用以下表格中的功能。云安全中心支持的完整功能特性詳情,請參見功能特性。
準備工作
準備一臺或多臺可以連接公網的服務器作為代理服務器,且代理服務器滿足以下條件:
已預留足夠的網絡帶寬。每接入一臺服務器,代理服務器需要預留10 Kbit/s的帶寬。例如,您需要在代理服務器下接入50臺服務器時,該代理服務器需要預留500 Kbit/s的帶寬。
代理服務器已對需要連接的主機或容器開放80、443、8080端口。
如果您選擇多臺服務器作為代理,推薦您使用域名接入,請確保您已申請代理服務器域名,并且域名可以解析為代理服務器的IP地址、負載均衡IP或VIP(虛擬IP地址)。
重要單臺8核 16 GB的代理服務器最多支持接入6000臺主機或容器,請根據實際業務需要,合理準備代理服務器規格和數量。
如果您未使用域名的方式接入,例如使用公網IP和云安全中心服務端連通,出于連接穩定性考慮,推薦您使用多臺服務器搭建代理集群。
混合云場景,已打通第三方云服務器和阿里云VPC的網絡連接。
步驟一:創建代理集群
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在頁簽,單擊新建集群。
在新建集群對話框,配置集群名稱、通訊地址和備注信息,并單擊確定。
通訊地址:輸入代理服務器的IP地址或域名。組建集群后,集群中的主機或容器會通過代理服務器的通訊地址連接代理服務器。
重要通訊地址設置為代理服務器的IP地址時,您只能設置一臺代理服務器。建議在需要接入的主機或容器數量較少(例如僅需要接入5臺)時使用該方式。
需要設置多臺代理服務器時,推薦您使用域名作為通訊地址,并且確保域名能被解析為代理服務器的IP地址、負載均衡IP或VIP(虛擬IP地址)。
創建集群后,集群名稱和通訊地址不可修改,建議您輸入有實際含義的集群名稱以及可訪問的通訊地址。
步驟二:部署代理服務器
在頁簽,在目標集群的操作列單擊部署代理。
在部署代理服務器面板,選擇部署模式并進行相應配置。
如果代理服務器已經安裝云安全中心Agent并且Agent在線,您可以選擇快速部署代理。如果代理服務器中未安裝云安全中心Agent,您需要在代理服務器中手動部署代理。
快速部署
選擇快速部署方式時,您需要在資產列表選擇需要作為代理服務器的Linux服務器,然后單擊確定。
手動部署
選擇手動部署方式時,您需要根據頁面信息,復制手動部署命令,然后使用管理員賬號登錄代理服務器,在命令行中執行手動部署命令。
完成部署約五分鐘后,您即可在頁簽查看代理服務器的在線狀態。
部署代理服務器后,如果代理服務器未安裝云安全中心Agent,該服務器只具有代理服務的能力,無法使用云安全中心提供的安全防護能力(例如漏洞檢測、基線檢查等)。如需使用云安全中心防護代理服務器,您需要為代理服務器安裝云安全中心Agent。具體操作,請參見安裝客戶端。
步驟三:接入客戶端到代理集群
創建集群并完成代理服務器部署后,您可以將服務器作為客戶端添加到代理集群,實現服務器通過代理接入云安全中心防護。
單臺8核 16 GB的代理服務器最多支持接入6000臺主機或容器。
無論您是通過選擇服務器直接接入或通過安裝命令接入時,每批次最多只能接入500臺主機,且每批次的間隔時間需大于一分鐘。
在頁簽,在目標集群的操作列單擊接入客戶端。
在接入客戶端面板,選擇接入模式并進行相應配置。
如果需要接入的服務器已安裝云安全中心Agent并且Agent在線,您可以通過選擇服務器直接接入。如果需要接入的服務器未安裝云安全中心Agent,您需要通過安裝命令手動接入。
通過選擇服務器直接接入
在資產列表中,選擇需要接入的服務器,單擊確定。
通過安裝命令手動接入
單擊前往生成安裝命令。
在頁簽,單擊新增安裝命令。
在新增安裝命令對話框,配置相關參數,并單擊確定。
配置項
說明
過期時間
安裝命令過期的時間。
服務商
服務器所屬的服務提供商。
默認分組
服務器在云安全中心主機資產列表中的分組。
操作系統
服務器的操作系統。
制作鏡像系統
是否為服務器制作鏡像,保持默認選項否。
代理選擇
選擇自建代理集群,并選擇需要接入的代理集群。
在安裝命令列表,查看并復制安裝命令。
使用有管理員權限的賬號登錄需要接入集群的服務器,根據服務器的操作系統類型,執行安裝命令。
完成安裝五分鐘后,您可以單擊代理集群的已連接客戶端列的數字查看通過代理連接的服務器列表。
(可選)步驟四:配置代理集群策略
云安全中心默認將代理服務器采集的數據回流至云安全中心服務端,并且不限制回流帶寬和數據傳輸頻率。如果需要修改數據傳輸方式,或限制回流帶寬和數據傳輸頻率,您可以參考以下步驟操作。
在頁簽,在目標集群的操作列單擊代理設置。
在代理設置對話框,完成相關配置,并單擊確定。
數據傳輸方式支持選擇回流至管理中心和不回流并緩存到指定目錄。
傳輸方式
說明
回流至管理中心
表示將數據傳輸至云安全中心服務端做風險排查和威脅檢測。
選擇該方式時,您可以手動設置代理服務器和云安全中心服務端通信的帶寬和頻率。可選項:
不限制:表示不限制代理服務器和云安全中心服務端通信使用的帶寬或頻率。
自定義:根據實際使用情況,設置代理服務器和云安全中心服務端通信使用的帶寬或頻率。
重要建議您按照代理使用的帶寬和通信相關進程不超過資源總量60%的原則,分別設置帶寬控制和頻率控制參數。
不回流并緩存到指定目錄
在您的業務網絡(云下IDC、專有網絡等)中完成指定數據類型的風險排查和威脅檢測。
選擇該方式時,相關日志默認存儲在代理服務器的/usr/local/aegis/proxy/log/export.log文件,您可以手動修改緩存目錄。
說明緩存目錄最大支持存儲10 GB。當實際存儲容量超過10 GB時,系統將循環覆蓋最早存儲的日志。
相關操作
查看代理集群信息
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在頁簽,您可以進行以下操作。
查看集群基本信息
支持查看代理集群名稱、通訊地址、已連接客戶端個數、集群狀態等信息。集群會存在以下狀態:
在線:該集群至少有一臺代理服務器的代理服務器為在線狀態。
離線:該集群下無代理服務器或所有代理服務器均為離線狀態。
查看代理服務器列表
在目標集群的服務器信息列單擊
圖標,查看代理服務器列表信息。將鼠標移動至目標代理服務器的資產信息處,可查看該代理服務器基本信息,其中客戶端狀態為云安全中心Agent的在線狀態。
查看已連接客戶端列表
在目標集群的已連接客戶端列單擊對應的數字,可查看已接入的服務器列表。支持查看服務器的資產信息、分組、系統類型、服務商和地域、標簽和客戶端狀態。
刪除集群
如果不再需要云安全中心防護通過代理方式接入的服務器,您需要按照以下操作,依次刪除接入的客戶端、代理服務器和代理集群。
從代理集群中刪除已接入的服務器。
在頁簽,在目標集群的操作列單擊接入客戶端。
在接入客戶端面板,取消選中所有已接入的服務器,并單擊確定。
通過該操作您可以解除該代理集群綁定的所有服務器,不會卸載服務器中安裝的云安全中心Agent。如果需要卸載服務器中的云安全中心Agent,您可以在服務器中執行命令卸載。具體操作,請參見使用命令卸載客戶端。
卸載代理服務器。
僅當代理服務器為離線狀態時,才可執行刪除操作,因此您需要先通過關閉aegis代理進程使代理服務器離線。
使用管理員賬號登錄代理服務器,參考以下命令,關閉aegis代理進程。
ps -ef | grep aegis kill PID # /usr/local/aegis/proxy/SasClientProxy進程對應的PID說明如果提示沒有權限關閉進程,您需要先關閉客戶端自保護,具體操作,請參見客戶端能力配置。
在頁簽,在目標集群的服務器信息列單擊
圖標。在服務器信息面板,依次在所有代理服務器操作列單擊刪除。
刪除代理集群的所有代理服務器后,在代理集群操作列單擊刪除,刪除該代理集群。
升級代理版本
為了提供更好的接入服務,云安全中心會不斷升級代理服務器的版本,您可以根據需要升級代理服務器版本。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在頁簽,在目標集群的服務器信息列單擊
圖標。在服務器信息面板,在目標代理服務器的操作列單擊升級。
如果升級置灰,表示當前代理服務器的代理版本已經是最新版或者云安全中心Agent離線。如果云安全中心Agent離線,您需要排查Agent離線原因,確保Agent在線后再執行升級操作。排查Agent離線的具體操作,請參見客戶端離線排查。