产品订购
服务器安全卫士(原生版)、网页防篡改(原生版)属于平台级产品,不区分资源池,进入产品订购页正常购买防护配额即可纳管二类节点区域的资产。
支持纳管的区域
支持纳管的二类节点区域如下,根据主机所在区域选择不同的纳管方案:
方案一:通过VPC终端节点安装Agent
创建终端节点
在需要安装服务器安全卫士(原生版)或网页防篡改(原生版)Agent的主机所在的VPC中创建终端节点。
-
选择主机所在的资源池,进入VPC终端节点管理控制台。
-
在需要安装服务器安全卫士(原生版)或网页防篡改(原生版)Agent的主机所在的VPC中创建终端节点。
示例:
创建终端节点参数说明:
参数 说明 区域
选择主机所在的区域。 服务类型
选择“按名称查找服务”。 服务名称
请参见下述“终端节点服务名称”列表,获取对应区域的服务名称。 虚拟私有云
选择待安装Agent的主机所在VPC的名称。 子网
根据实际情况自动填写。 IPv4地址 可以选择自动分配IP地址,或手动指定IP地址,为需要安装Agent的主机提供服务的IP。 终端节点服务名称:
资源池大区 资源池名称 终端节点服务名称 华东地区 上海4 cn-sh1.44a01abc-3fa6-4ac6-9444-43181dc20139
杭州(AZ1)/杭州(AZ2) cn-hz1.b4c2cdb9-5b74-4f0b-a323-70e0c0637b23
苏州(AZ1)/苏州(AZ2)/苏州(AZ3) cn-jssz1.ctcss.a3a55793-cfed-42bd-9f2f-9a0cf513d215
芜湖 cn-ahwh1.2368a9c5-4fba-4058-8c4f-288599af47e6
华南地区 长沙2 cn-hncs1.39dc6f84-6a3d-4a7f-82f9-b5810ec83733 武汉2
cn-hbwh1.a8cded11-bc2f-460c-ac6c-b70818dff444
福州(AZ1)/福州(AZ2) cn-fz1.f892afa6-05c4-402d-948f-32b377b39c4d
深圳 cn-sz1.5de5e030-9644-4c5b-b764-0f97f520ab00
西北地区 西安2(AZ1)/西安2(AZ2)/西安2(AZ3) cn-snxy1.f9a99aa3-5bf8-4b17-acce-cb6019fe74c6
乌鲁木齐 cn-xjcj1.35b01e6d-420e-4c94-9472-7e281792c4ea
兰州 cn-gslz1.80129d9f-074f-49d7-84ee-9c76dafbf35b
西宁 cn-qhxn1.040b1a6c-0524-4979-a0d3-d373f39230ea
西南地区 贵州 cn-gz1.68bf9153-0996-409a-a475-923834f86a09
成都3 cn-sccd1.9d84fe68-b3ce-46ea-8344-edb0e88397e8
北方地区 郑州 cn-hazz1.09353e17-7be4-424d-84dd-65dcc94d15a4
内蒙3 cn-nmhh1.c1e55989-e719-4b50-ab7e-9a21526ac637
Agent安装
登录控制台
-
登录服务器安全卫士(原生版)或网页防篡改(原生版)控制台。
-
在左侧导航栏,选择“资产管理 > 服务器列表”,单击“安装Agent”。
Linux主机安装Agent
-
切换到“Linux系统”选项卡。
-
复制“云外主机”安装命令,将安装命令中的ctcssextap.ctyun.cn替换成VPC内指定终端节点提供服务的IP。
注意需要复制客户自己页面的命令后修改关键地址,请勿直接复制控制台或文档中的命令进行执行,否则可能导致Agent安装失败。
-
在Linux云主机中,以管理员权限执行修改后的安装命令进行安装。
Windows主机安装Agent
-
切换到“Windows系统”选项卡。
-
复制“云外主机”安装命令,将安装命令中的ctcssextap.ctyun.cn替换成VPC内指定终端节点提供服务的IP。
注意需要复制客户自己页面的命令后修改关键地址,请勿直接复制控制台或文档中的命令进行执行,否则可能导致Agent安装失败。
-
在Windows云主机中打开PowerShell(按
win + R
组合键打开运行,输入powershell
执行)。 -
在打开的PowerShell控制台以管理员权限执行安装命令进行安装。
控制台查看
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“资产管理 > 服务器列表”,在服务器列表页面查看纳管的资产是否存在。
-
查看资产防护状态是否正常。
-
对需要防护的服务器切换版本,绑定企业版配额。
方案二:通过接入公网安装Agent
前提条件
云外主机通过公网接入服务器安全卫士(原生版)控制台或网页防篡改(原生版)控制台,请确保:
- 待纳管的云主机均可以正常连通ctcssextap.ctyun.cn的5661、5662、16463三个端口。
- 接入的所有公网IP都需要提交官网工单给天翼云安全卫士的后台人员添加IP白名单,否则可能导致安装Agent失败。
接入方式
支持公网直连和代理方式两种接入方式,使用场景区别如下:
接入方式 使用场景 公网直连
待接入的服务器较少(小于等于3台)。
所有服务器均可以直通公网ctcssextap.ctyun.cn地址。
所有服务器的出口公网IP都唯一固定(由于这些IP需要提供给服务端配置IP白名单,所以需要保证唯一固定)。
代理方式 如果待接入的服务器较多(大于3台),或者只有部分(至少一台)服务器能连通公网,建议通过代理方式接入。
公网直连
直接为服务器安装部署服务器安全卫士(原生版)的Agent。
代理方式
使用能连通公网的服务器(配置最低2C4G)作为代理,其他服务器通过代理做转发,这种方式只需将作为代理的这些服务器IP加白即可,且运维成本较低。
- 代理可以使用所在云平台自身的NAT网关功能(具体可以参考对应平台NAT网关产品的相关文档)。
- 也可以使用自建的四层负载均衡(传输层TCP负载)服务代理ctcssextap.ctyun.cn域名的5661、5662、16463三个端口,待接入的服务器通过配置hosts解析将ctcssextap.ctyun.cn解析到代理服务器地址即可。此处代理服务器出公网的IP也需要保证唯一固定不变。
如下分别提供了基于开源nginx和haproxy实现四层网络代理的配置文件参考:
基于nginx代理的配置参考:
worker_processes auto;
user nginx;
events {
worker_connections 10240;
}
stream {
upstream ctcss_5661 {
server ctcssextap.ctyun.cn:5661;
}
upstream ctcss_5662 {
server ctcssextap.ctyun.cn:5662;
}
upstream ctcss_16463 {
server ctcssextap.ctyun.cn:16463;
}
server {
listen 5661;
proxy_pass ctcss_5661;
}
server {
listen 5662;
proxy_pass ctcss_5662;
}
server {
listen 16463;
proxy_pass ctcss_16463;
}
}
基于haproxy代理的配置参考:
global
log 127.0.0.1 local2
pidfile /var/run/haproxy.pid
maxconn 500000
user haproxy
group haproxy
daemon
nbproc 6
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/8
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 8h
timeout server 8h
timeout http-keep-alive 10s
timeout check 10s
maxconn 400000
listen socket_server
bind *:5661
mode tcp
option tcpka
balance roundrobin
server socket_server ctcssextap.ctyun.cn:5661 check inter 3000 rise 2 maxconn 250000 fall 3
listen update_server
bind *:5662
mode tcp
option tcpka
balance roundrobin
server update_server ctcssextap.ctyun.cn:5662 check inter 3000 rise 2 maxconn 25000 fall 3
listen es_server
bind *:16463
mode tcp
option tcpka
balance roundrobin
server es_server ctcssextap.ctyun.cn:16463 check inter 3000 rise 2 maxconn 250000 fall 3
Agent安装
登录控制台
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“资产管理 > 服务器列表”,单击“安装Agent”。
Linux主机安装Agent
- 复制“云外主机”安装命令。
- 在Linux云主机中以管理员权限执行安装命令进行安装。
Windows主机安装Agent
- 复制“云外主机”安装命令。
- 在Windows云主机中打开PowerShell(按
win + R
组合键打开运行,输入powershell
执行)。 - 在打开的PowerShell控制台以管理员权限执行安装命令进行安装。
控制台查看
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“资产管理 > 服务器列表”,在服务器列表页面查看纳管的资产是否存在。
-
查看资产防护状态是否正常。
-
对需要防护的服务器切换版本,绑定企业版配额。
常见问题解答
Q:能ping通ctcssextap.ctyun.cn,但是执行Agent安装命令立即退出,Agent安装没有成功。
A:服务器的公网IP需要加白,如果没有加白,请提交官网工单给天翼云安全卫士的后台人员添加IP白名单。