代理接入
針對無法直接連接到云安全中心服務(wù)端的線下IDC(Internet Data Center)機房、混合云、阿里云VPC(Virtual Private Cloud)等業(yè)務(wù)場景,您可以通過設(shè)置代理服務(wù)器,將無法連接公網(wǎng)的服務(wù)器(包括主機、容器)接入云安全中心進行防護。本文介紹通過代理方式將服務(wù)器接入云安全中心。
適用場景
無法直連云安全中心的阿里云VPC
如果您的阿里云VPC做了較多訪問限制,無法直接連接云安全中心服務(wù)端,您可以選擇代理接入的方式,將云服務(wù)器ECS接入云安全中心進行防護。
線下IDC機房
混合云
使用限制
僅Linux服務(wù)器可以作為代理服務(wù)器。
通過代理服務(wù)器接入云安全中心的服務(wù)器支持云安全中心的大部分功能,但不支持使用以下表格中的功能。云安全中心支持的完整功能特性詳情,請參見功能特性。
功能模塊
功能
資產(chǎn)中心
風(fēng)險治理
防護配置
系統(tǒng)配置
準備工作
準備一臺或多臺可以連接公網(wǎng)的服務(wù)器作為代理服務(wù)器,且代理服務(wù)器滿足以下條件:
已預(yù)留足夠的網(wǎng)絡(luò)帶寬。每接入一臺服務(wù)器,代理服務(wù)器需要預(yù)留10 Kbit/s的帶寬。例如,您需要在代理服務(wù)器下接入50臺服務(wù)器時,該代理服務(wù)器需要預(yù)留500 Kbit/s的帶寬。
代理服務(wù)器已對需要連接的主機或容器開放80、443、8080端口。
如果您選擇多臺服務(wù)器作為代理,推薦您使用域名接入,請確保您已申請代理服務(wù)器域名,并且域名可以解析為代理服務(wù)器的IP地址、負載均衡IP或VIP(虛擬IP地址)。
重要單臺8核 16 GB的代理服務(wù)器最多支持接入6000臺主機或容器,請根據(jù)實際業(yè)務(wù)需要,合理準備代理服務(wù)器規(guī)格和數(shù)量。
如果您未使用域名的方式接入,例如使用公網(wǎng)IP和云安全中心服務(wù)端連通,出于連接穩(wěn)定性考慮,推薦您使用多臺服務(wù)器搭建代理集群。
混合云場景,已打通第三方云服務(wù)器和阿里云VPC的網(wǎng)絡(luò)連接。
步驟一:創(chuàng)建代理集群
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在頁簽,單擊新建集群。
在新建集群對話框,配置集群名稱、通訊地址和備注信息,并單擊確定。
通訊地址:輸入代理服務(wù)器的IP地址或域名。組建集群后,集群中的主機或容器會通過代理服務(wù)器的通訊地址連接代理服務(wù)器。
重要通訊地址設(shè)置為代理服務(wù)器的IP地址時,您只能設(shè)置一臺代理服務(wù)器。建議在需要接入的主機或容器數(shù)量較少(例如僅需要接入5臺)時使用該方式。
需要設(shè)置多臺代理服務(wù)器時,推薦您使用域名作為通訊地址,并且確保域名能被解析為代理服務(wù)器的IP地址、負載均衡IP或VIP(虛擬IP地址)。
創(chuàng)建集群后,集群名稱和通訊地址不可修改,建議您輸入有實際含義的集群名稱以及可訪問的通訊地址。
步驟二:部署代理服務(wù)器
在頁簽,在目標集群的操作列單擊部署代理。
在部署代理服務(wù)器面板,選擇部署模式并進行相應(yīng)配置。
如果代理服務(wù)器已經(jīng)安裝云安全中心Agent并且Agent在線,您可以選擇快速部署代理。如果代理服務(wù)器中未安裝云安全中心Agent,您需要在代理服務(wù)器中手動部署代理。
快速部署
選擇快速部署方式時,您需要在資產(chǎn)列表選擇需要作為代理服務(wù)器的Linux服務(wù)器,然后單擊確定。
手動部署
選擇手動部署方式時,您需要根據(jù)頁面信息,復(fù)制手動部署命令,然后使用管理員賬號登錄代理服務(wù)器,在命令行中執(zhí)行手動部署命令。
完成部署約五分鐘后,您即可在頁簽查看代理服務(wù)器的在線狀態(tài)。
部署代理服務(wù)器后,如果代理服務(wù)器未安裝云安全中心Agent,該服務(wù)器只具有代理服務(wù)的能力,無法使用云安全中心提供的安全防護能力(例如漏洞檢測、基線檢查等)。如需使用云安全中心防護代理服務(wù)器,您需要為代理服務(wù)器安裝云安全中心Agent。具體操作,請參見安裝客戶端。
步驟三:接入客戶端到代理集群
創(chuàng)建集群并完成代理服務(wù)器部署后,您可以將服務(wù)器作為客戶端添加到代理集群,實現(xiàn)服務(wù)器通過代理接入云安全中心防護。
單臺8核 16 GB的代理服務(wù)器最多支持接入6000臺主機或容器。
無論您是通過選擇服務(wù)器直接接入或通過安裝命令接入時,每批次最多只能接入500臺主機,且每批次的間隔時間需大于一分鐘。
在頁簽,在目標集群的操作列單擊接入客戶端。
在接入客戶端面板,選擇接入模式并進行相應(yīng)配置。
如果需要接入的服務(wù)器已安裝云安全中心Agent并且Agent在線,您可以通過選擇服務(wù)器直接接入。如果需要接入的服務(wù)器未安裝云安全中心Agent,您需要通過安裝命令手動接入。
通過選擇服務(wù)器直接接入
在資產(chǎn)列表中,選擇需要接入的服務(wù)器,單擊確定。
通過安裝命令手動接入
單擊前往生成安裝命令。
在頁簽,單擊新增安裝命令。
在新增安裝命令對話框,配置相關(guān)參數(shù),并單擊確定。
配置項
說明
過期時間
安裝命令過期的時間。
服務(wù)商
服務(wù)器所屬的服務(wù)提供商。
默認分組
服務(wù)器在云安全中心主機資產(chǎn)列表中的分組。
操作系統(tǒng)
服務(wù)器的操作系統(tǒng)。
制作鏡像系統(tǒng)
是否為服務(wù)器制作鏡像,保持默認選項否。
代理選擇
選擇自建代理集群,并選擇需要接入的代理集群。
在安裝命令列表,查看并復(fù)制安裝命令。
使用有管理員權(quán)限的賬號登錄需要接入集群的服務(wù)器,根據(jù)服務(wù)器的操作系統(tǒng)類型,執(zhí)行安裝命令。
完成安裝五分鐘后,您可以單擊代理集群的已連接客戶端列的數(shù)字查看通過代理連接的服務(wù)器列表。
(可選)步驟四:配置代理集群策略
云安全中心默認將代理服務(wù)器采集的數(shù)據(jù)回流至云安全中心服務(wù)端,并且不限制回流帶寬和數(shù)據(jù)傳輸頻率。如果需要修改數(shù)據(jù)傳輸方式,或限制回流帶寬和數(shù)據(jù)傳輸頻率,您可以參考以下步驟操作。
在頁簽,在目標集群的操作列單擊代理設(shè)置。
在代理設(shè)置對話框,完成相關(guān)配置,并單擊確定。
數(shù)據(jù)傳輸方式支持選擇回流至管理中心和不回流并緩存到指定目錄。
傳輸方式
說明
回流至管理中心
表示將數(shù)據(jù)傳輸至云安全中心服務(wù)端做風(fēng)險排查和威脅檢測。
選擇該方式時,您可以手動設(shè)置代理服務(wù)器和云安全中心服務(wù)端通信的帶寬和頻率。可選項:
不限制:表示不限制代理服務(wù)器和云安全中心服務(wù)端通信使用的帶寬或頻率。
自定義:根據(jù)實際使用情況,設(shè)置代理服務(wù)器和云安全中心服務(wù)端通信使用的帶寬或頻率。
重要建議您按照代理使用的帶寬和通信相關(guān)進程不超過資源總量60%的原則,分別設(shè)置帶寬控制和頻率控制參數(shù)。
不回流并緩存到指定目錄
在您的業(yè)務(wù)網(wǎng)絡(luò)(云下IDC、專有網(wǎng)絡(luò)等)中完成指定數(shù)據(jù)類型的風(fēng)險排查和威脅檢測。
選擇該方式時,相關(guān)日志默認存儲在代理服務(wù)器的/usr/local/aegis/proxy/log/export.log文件,您可以手動修改緩存目錄。
說明緩存目錄最大支持存儲10 GB。當(dāng)實際存儲容量超過10 GB時,系統(tǒng)將循環(huán)覆蓋最早存儲的日志。
相關(guān)操作
查看代理集群信息
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在頁簽,您可以進行以下操作。
查看集群基本信息
支持查看代理集群名稱、通訊地址、已連接客戶端個數(shù)、集群狀態(tài)等信息。集群會存在以下狀態(tài):
在線:該集群至少有一臺代理服務(wù)器的代理服務(wù)器為在線狀態(tài)。
離線:該集群下無代理服務(wù)器或所有代理服務(wù)器均為離線狀態(tài)。
查看代理服務(wù)器列表
在目標集群的服務(wù)器信息列單擊
圖標,查看代理服務(wù)器列表信息。將鼠標移動至目標代理服務(wù)器的資產(chǎn)信息處,可查看該代理服務(wù)器基本信息,其中客戶端狀態(tài)為云安全中心Agent的在線狀態(tài)。
查看已連接客戶端列表
在目標集群的已連接客戶端列單擊對應(yīng)的數(shù)字,可查看已接入的服務(wù)器列表。支持查看服務(wù)器的資產(chǎn)信息、分組、系統(tǒng)類型、服務(wù)商和地域、標簽和客戶端狀態(tài)。
刪除集群
如果不再需要云安全中心防護通過代理方式接入的服務(wù)器,您需要按照以下操作,依次刪除接入的客戶端、代理服務(wù)器和代理集群。
從代理集群中刪除已接入的服務(wù)器。
在頁簽,在目標集群的操作列單擊接入客戶端。
在接入客戶端面板,取消選中所有已接入的服務(wù)器,并單擊確定。
通過該操作您可以解除該代理集群綁定的所有服務(wù)器,不會卸載服務(wù)器中安裝的云安全中心Agent。如果需要卸載服務(wù)器中的云安全中心Agent,您可以在服務(wù)器中執(zhí)行命令卸載。具體操作,請參見使用命令卸載客戶端。
卸載代理服務(wù)器。
僅當(dāng)代理服務(wù)器為離線狀態(tài)時,才可執(zhí)行刪除操作,因此您需要先通過關(guān)閉aegis代理進程使代理服務(wù)器離線。
使用管理員賬號登錄代理服務(wù)器,參考以下命令,關(guān)閉aegis代理進程。
ps -ef | grep aegis kill PID # /usr/local/aegis/proxy/SasClientProxy進程對應(yīng)的PID說明如果提示沒有權(quán)限關(guān)閉進程,您需要先關(guān)閉客戶端自保護,具體操作,請參見客戶端能力配置。
在頁簽,在目標集群的服務(wù)器信息列單擊
圖標。在服務(wù)器信息面板,依次在所有代理服務(wù)器操作列單擊刪除。
刪除代理集群的所有代理服務(wù)器后,在代理集群操作列單擊刪除,刪除該代理集群。
升級代理版本
為了提供更好的接入服務(wù),云安全中心會不斷升級代理服務(wù)器的版本,您可以根據(jù)需要升級代理服務(wù)器版本。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在頁簽,在目標集群的服務(wù)器信息列單擊
圖標。在服務(wù)器信息面板,在目標代理服務(wù)器的操作列單擊升級。
如果升級置灰,表示當(dāng)前代理服務(wù)器的代理版本已經(jīng)是最新版或者云安全中心Agent離線。如果云安全中心Agent離線,您需要排查Agent離線原因,確保Agent在線后再執(zhí)行升級操作。排查Agent離線的具體操作,請參見客戶端離線排查。