Hauptfunktionen von Amazon CloudFront

Zuverlässige Netzwerkkonnektivität mit geringer Latenz und hohem Durchsatz

Netzwerkkonnektivität und Backbone

Amazon CloudFront arbeitet mit Tausenden von Tier 1/2/3-Telekommunikationsanbietern auf der ganzen Welt zusammen, ist für eine optimale Leistung mit allen wichtigen Zugangsnetzwerken verbunden und verfügt über Hunderte von Terabit an bereitgestellter Kapazität. CloudFront-Edge-Standorte sind über das vollständig redundante Rückgrat des AWS-Netzwerks nahtlos mit den AWS-Regionen verbunden. Dieses Rückgrat besteht aus mehreren parallelen 400-GbE-Glasfasern auf der ganzen Welt und ist mit Zehntausenden von Netzwerken verbunden, um den Abruf von Quellen und die dynamische Inhaltsbeschleunigung zu verbessern.

Amazon CloudFront verfügt über drei Arten von Infrastrukturen, um Endbenutzern Inhalte mit hoher Leistung sicher bereitzustellen:

• CloudFront Regional Edge Caches (RECs) befinden sich innerhalb der AWS-Regionen, zwischen dem Webserver Ihrer Anwendungen und CloudFront Points of Presence (POPs) und eingebetteten Points of Presence. CloudFront hat weltweit 13 RECs.
• CloudFront Points of Presence befinden sich im AWS-Netzwerk und sind mit Netzwerken von Internetdienstanbietern (ISP) verbunden. CloudFront betreibt mehr als 600 POPs in über 100 Städten in über 50 Ländern.
• Die eingebetteten CloudFront Points of Presence befinden sich in Netzwerken von Internetdienstanbietern (ISP) den Endnutzern am nächsten. Zusätzlich zu CloudFront-POPs gibt es über 600 eingebettete POPs in über 200 Städten in Nordamerika, Europa und Asien.

Weitere Informationen zu Amazon CloudFront in China >>

Schutz vor Angriffen auf Netzwerk- und Anwendungsebene
Amazon CloudFront, AWS Shield, AWS Web Application Firewall (WAF) und Amazon Route 53 arbeiten nahtlos zusammen, um flexible, mehrschichtige Sicherheitsmaßnahmen für vielfältige Angriffstypen, darunter auch DDoS-Angriffe auf Netzwerk- und Anwendungsebene, bereitstellen zu können. Alle diese Services befinden sich auf dem AWS-Edge und bieten einen skalierbare, zuverlässige und hochleistungsfähige Sicherheitsmaßnahmen Anwendungen und Inhalte. Mit CloudFront als „Eingangstür“ zu einer Anwendung und Infrastruktur wird die primäre Angriffsfläche von kritischen Inhalten, Daten, Code und Infrastruktur abgelenkt. Weitere Informationen über Best Practices von AWS für DDoS-Resilienz.

SSL/TLS-Verschlüsselung und HTTPS
Mit Amazon CloudFront können Inhalte, APIs oder Anwendungen über HTTPS mithilfe der neuesten Version von Transport Layer Security (TLSv1.3) bereitgestellt werden, um die Kommunikation zwischen Viewer-Clients und CloudFront zu verschlüsseln und zu sichern. Mit AWS Certificate Manager (ACM) können Sie mühelos ein benutzerdefiniertes SSL-Zertifikat erstellen und kostenfrei in Ihrer CloudFront-Verteilung bereitstellen. ACM übernimmt automatisch die Zertifikatserneuerung und eliminiert so den Aufwand und die Kosten eines manuellen Erneuerungsprozesses. Zudem bietet CloudFront verschiedene TSL-Optimierungen und erweiterte Funktionen wie Full/Half-Bridge-HTTPS-Verbindungen, OCSP-Stapling, Sitzungstickets, Perfect Forward Secrecy, Durchsetzung von TLS-Protokollen sowie Verschlüsselung auf Feldebene.

Zugriffskontrolle
Mit Amazon CloudFront wird der Zugriff auf Inhalte mithilfe verschiedener Funktionen beschränkt. Bei signierten URLs und signierten Cookies wird die Token-Authentifizierung unterstützt, um den Zugriff nur auf authentifizierte Viewer zu beschränken. Durch die Funktion zur geografischen Einschränkung kann verhindert werden, dass Benutzer an bestimmten geografischen Standorten auf Inhalte zugreifen, die über CloudFront verteilt werden. Mit der Funktion für Ursprungszugriffsidentität (Origin Access Identity, OAI) kann der Zugriff auf einen Amazon-S3-Bucket beschränkt werden, sodass nur über CloudFront darauf zugegriffen werden kann. Weitere Informationen.

Compliance
CloudFront-Infrastruktur (ausgenommen eingebettete CloudFront-POPs) und CloudFront-Prozesse entsprechen alle PCI-DSS Level 1, HIPAA und ISO 9001, ISO/IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 und 3), FedRAMP Moderate und mehr, um die sichere Bereitstellung vertraulicher Daten zu gewährleisten.

Origin Shield 
Bei besonders hohem Aktivitätsniveau sind Webanwendungen häufig Spitzen im Datenverkehr ausgesetzt. Durch die Verwendung von Amazon CloudFront wird das Volumen der Anwendungsursprungsanforderungen automatisch reduziert. Inhalte werden in den Edge- und regionalen Caches von CloudFront gespeichert und nur bei Bedarf von den Ursprungsorten abgerufen. Die Belastung der Anwendungsursprünge lässt sich weiter durch Verwendung von Origin Shield reduzieren, um so eine zentralisierte Caching-Schicht zu ermöglichen. Origin Shield optimiert die Cache-Trefferquoten und reduziert Anforderungen über Regionen hinweg, was zu nur einer Ursprungsanforderung pro Objekt führt. Dieser reduzierte Datenverkehr zu Ihren Ursprüngen trägt zu einer höheren Anwendungsverfügbarkeit bei.

Ermöglichen von Redundanzen für Ursprungsorte
CloudFront unterstützt mehrere Ursprungsorte für Redundanz der Backend-Architektur. Die native Origin Failover-Funktion von CloudFront bezieht automatisch Inhalte von einem Ersatzursprungsort, wenn der primäre Ursprungsort nicht verfügbar ist. Bei den mit Original Failover eingerichteten Ursprungsorten kann es sich um eine beliebige Kombination aus AWS-Ursprungsorten wie EC2-Instances und Amazon-S3-Buckets, Medienservices oder Nicht-AWS-Ursprungsorte wie einen lokalen HTTP-Server handeln. Darüber hinaus können Sie wie hier erweiterte Failover-Funktionen für den Ursprung mit CloudFront und Lambda@Edge implementieren.

CloudFront Functions

Amazon CloudFront bietet programmierbare und sichere Edge-CDN-Computing-Funktionen über AWS Lambda@Edge. CloudFront Functions ist ideal für skalierbare und latenzempfindliche Vorgänge wie HTTP-Header-Manipulationen, URL-Rewrites/Redirects und Cache-Key-Normalisierungen. Diese kurzzeitigen, unkomplizierten Operationen unterstützen den oft unvorhersehbaren und sporadischen Datenverkehr. So können beispielsweise mit CloudFront-Funktionen Anfragen auf der Grundlage des Accept-Language-Headers der eingehenden Anfrage an sprachspezifische Versionen Ihrer Website umgeleitet werden. Da diese Funktionen an allen Edge-Standorten von CloudFront ausgeführt werden, lassen sich diese bei minimaler Latenzzeit von typischerweise unter einer Millisekunde sofort auf Millionen von Anfragen pro Sekunde skalieren. Sie können auch CloudFront KeyValueStore verwenden, einen globalen Schlüsselwert-Datenspeicher mit niedriger Latenz, um Suchdaten in CloudFront-Funktionen zu speichern und abzurufen. CloudFront KeyValueStore macht CloudFront-Funktionen anpassbarer, indem unabhängige Datenaktualisierungen ermöglicht werden. 

Lambda@Edge

AWS Lambda@Edge ist eine universelle serverlose Funktion, die eine Vielzahl von Datenverarbeitunganforderungen und -anpassungen unterstützt. Lambda@Edge eignet sich am besten für rechenintensive Operationen. Dies können Berechnungen sein, deren Abschluss länger dauert (einige Millisekunden bis Sekunden), die von externen Bibliotheken von Drittanbietern abhängig sind, die Integration mit anderen AWS-Services (z. B. S3, DynamoDB) erfordern oder Netzwerkaufrufe für die Datenverarbeitung erfordern. Zu den gängigen erweiterten Anwendungsfällen gehören die Manipulation von HLS-Streaming-Manifesten, die Integration in Autorisierungs- und Bot-Erkennungsdienste von Drittanbietern, das serverseitige Rendern (SSR) von Single-Page-Apps (SPA) am Edge und vieles mehr. Weitere Informationen >>

Echtzeit-Metriken
Amazon CloudFront ist in Amazon CloudWatch integriert und veröffentlicht automatisch sechs Betriebsmetriken pro Verteilung, die in einer Reihe von Diagrammen in der CloudFront-Konsole angezeigt werden. Zusätzliche granulare Metriken sind durch einfaches Klicken auf die Konsole oder über API verfügbar.

Standard- und Echtzeitprotokollierung
CloudFront bietet zwei Möglichkeiten zum Protokollieren der von Ihren Verteilungen gelieferten Anforderungen: Standardprotokolle und Echtzeitprotokolle. Standardprotokolle werden an den Amazon-S3-Bucket Ihrer Wahl geliefert (Protokolldatensätze werden innerhalb von Minuten nach einer Viewer-Anfrage geliefert). Wenn aktiviert, veröffentlicht CloudFront automatisch detaillierte Protokollinformationen in einem erweiterten W3C-Format in einem von Ihnen festgelegten Amazon-S3-Bucket. CloudFront-Echtzeitprotokolle werden an den Datenstream Ihrer Wahl in Amazon Kinesis Data Streams geliefert (Protokollaufzeichnungen werden innerhalb von Sekunden nach einer Viewer-Anfrage geliefert). Sie können die Abtastrate für Ihre Echtzeitprotokolle wählen, d. h. den Prozentsatz der Anfragen, für die Sie Echtzeitprotokollaufzeichnungen erhalten möchten. Weitere Informationen zu den CloudFront-Protokollierungsfunktionen finden Sie hier.

Schnelle Änderungsweitergabe und Invalidierungen
CloudFront ermöglicht eine schnelle Weitergabe von Änderungen und Invalidierungen innerhalb weniger Minuten. In der Regel werden Änderungen innerhalb weniger Minuten an den Edge weitergegeben, und die Invalidierungszeiten liegen unter zwei Minuten.

APIs und DevOps-Tools mit vollem Funktionsumfang
Amazon CloudFront bietet Entwicklern eineAPI mit vollem Funktionsumfang für die Erstellung, Konfiguration und Wartung Ihrer CloudFront-Verteilungen. Zudem können Entwickler auf eine Reihe von Tools wie AWS CloudFormation, CodeDeploy, CodeCommit und AWS SDKs zugreifen, um Workloads mit Amazon CloudFront zu konfigurieren und bereitzustellen.

Edge-Verhaltensweisen
Für Ihre CloudFront-Verteilung können mehrere Verhaltensweisen konfiguriert werden. Diese regeln, wie CloudFront Ihre Anfragen verarbeitet und welche Funktionen angewendet werden. Passen Sie das Verhalten von CloudFront an, z. B. wie CloudFront zwischengespeichert wird, wie CloudFront mit Ihrem Ursprung kommuniziert, welche Header und Metadaten an Ihren Ursprung weitergeleitet werden, erstellen Sie Inhaltsvarianten mit flexibler Cache-Schlüsselmanipulation, wählen Sie Komprimierungsmodi aus, welche Header zu Ihren HTTP-Antworten hinzugefügt werden und vieles mehr. Dank integrierter Geräterkennung kann CloudFront den Gerätetyp (Desktop, Tablet, Smart TV oder Mobilgerät) erkennen und diese Informationen in Form neuer HTTP-Header an Ihre Anwendung übermitteln, um Inhaltsvarianten oder andere Antworten mühelos anpassen zu können. Amazon CloudFront kann auch den Standort des anfordernden Benutzers auf Landesebene bestimmen und so die Antwort weiter anpassen.

Die kontinuierliche Bereitstellung mit CloudFront bietet Ihnen ein hohes Maß an Sicherheit bei der Bereitstellung. Sie können jetzt zwei getrennte, aber identische Umgebungen bereitstellen – eine blaue und eine grüne – und eine einfache Integration in Ihre Continuous-Integration-and-Delivery-Pipelines (CI/CD) mit der Möglichkeit des schrittweisen Rollouts von Versionen ohne Änderungen am Domain Name System (DNS) ermöglichen. Es stellt sicher, dass Ihr Betrachter eine konsistente Erfahrung durch Sitzungsgebundenheit erhält, indem es die Betrachtersitzung an dieselbe Umgebung bindet. Außerdem können Sie die Leistung Ihrer Änderungen durch die Überwachung von Standard- und Echtzeitprotokollen vergleichen und schnell zur vorherigen Konfiguration zurückkehren, wenn sich eine Änderung negativ auf einen Service auswirkt. Typische Anwendungsfälle für diese Funktion sind die Prüfung auf Abwärtskompatibilität, die Überprüfung nach der Bereitstellung und die Validierung neuer Funktionen mit einer kleineren Gruppe von Betrachtern. Weitere Informationen >>

Preisoptionen für jede Nutzungsstufe
CloudFront bietet personalisierbare Preisoptionen, darunter Pay-as-you-go, das CloudFront-Sicherheitssparpaket und individuelle Preise. Das Pay-as-you-go-Preismodell ist einfach und es entsehen keine Vorabkosten. Wenn Sie auf der Suche nach einem Preisnachlass sind, empfehlen wir Ihnen das CloudFront-Sicherheitssparpaket, mit dem Sie bis zu 30 % Ihrer CloudFront-Rechnung im Austausch für eine monatliche Ausgabenverpflichtung bei einer Laufzeit von 1 Jahr sparen können. Das Sparpaket beinhaltet auch die kostenlose Nutzung von AWS WAF bis zu 10 % der monatlich festgelegten Ausgaben. Für Kunden, die bereit sind, bestimmte Mindest-Traffic-Verpflichtungen einzugehen (typischerweise 10 TB/Monat oder höher), bieten wir auch zusätzliche Rabatte mit Private-Committed-Preisen.
Weitere Informationen über die Preise von Amazon CloudFront.

Kostenloser Datentransfer zwischen AWS Cloud-Services und Amazon CloudFront für Abrufe vom Ursprungsserver
Wenn AWS-Ursprünge wie Amazon S3, Amazon EC2 oder Elastic Load Balancing verwendet werden, fallen keine Gebühren für Daten an, die von Ursprüngen zu CloudFront-Edge-Standorten übertragen werden (diese Art der Datenübertragung wird als Abruf vom Ursprungsserver bezeichnet). Weitere Informationen über alle Funktionen von Amazon CloudFront finden Sie im Amazon CloudFront Developer Guide.

Reduzieren Sie die Betriebskosten von Ursprüngen
Nicht alle Ursprünge sind gleich, und einige beinhalten möglicherweise Prozesse wie Just-in-Time-Verpackungen, die pro GB rechenintensiver sind als das Abrufen von Inhalten aus dem Speicher. CloudFront stellt bereits regionale Edge-Caches ohne zusätzliche Kosten zur Verfügung, um die betriebliche Belastung Ihrer Ursprünge zu reduzieren und die Betriebskosten zu senken. Mit Origin Shield können Sie die Kosten der Ursprünge weiter senken, indem Sie die Anzahl der Ursprungsabrufe minimieren. Origin Shield bietet zentrales Caching, um die Cache-Trefferquoten zu optimieren und Anforderungen über Regionen hinweg zu reduzieren, was zu nur einer Ursprungsanforderung pro Objekt führt.

Weitere Informationen >>

Alle Amazon CloudFront-Ankündigungen anzeigen >>