CloudFront 部署小指南（二十三）- 全新网站分发与安全防护固定月费套餐（Flat-rate）介绍与配置指导

在按需计费（Pay as you go）模式下，账单预测是一项挑战。即使是托管一个静态网站，也通常涉及多个服务的调用，例如 Route 53 进行 DNS 解析、S3 用于存储、CloudFront 作为 Web 服务、Certificate Manager 提供 TLS 证书、WAF 实现安全防护，以及 CloudWatch 进行日志采集。由于定价信息分布在多个页面、不同服务的计费维度不一致、缺乏足够的输入数据用于成本估算，再加上流量本身的不确定性，使得整体费用难以提前准确预估。

今天，随着网站分发与安全防护固定月费套餐（Flat-rate pricing plans）方案的正式发布，我们带来了一系列全新的定价模式功能集，包含以下功能，只需支付固定月使用费，即可得到下述服务：

• CDN（CloudFront）
• WAF 和 DDoS 防护
• 机器人管理和分析
• DNS（Amazon Route 53）
• 日志采集（Amazon CloudWatch Logs 摄取）
• TLS证书（Certificate Manager）
• 无服务器边缘计算
• 每月 Amazon S3 存储额度（credit）

一共四个级别可供用户选择：免费版Free（0 美元/月）、专业版Pro（15 美元/月）、企业版Business（200 美元/月）和高级版Premium（1000 美元/月），以满足用户不同应用程序的需求。具体各套餐的功能区别，可以参考CloudFront 开发者指南中的表格，有非常详细的对比。

方案亮点

该方案$0 即可起步，支持Amazon全球 CDN 网络（所有全球PoP结点服务）、两级缓存架构（含 Regional Cache结点）、全天候 DDoS 防护（Always-on），并从 Business（$200/月）档位起提供高级DDoS 防护（应用层防护）和 Bot 分析能力，适用于从入门项目到大规模生产环境的不同需求。无需签订年度合约或者承诺用量即可享受最优价格。

利用固定月费套餐扩展到您的业务享受流量优惠及业务提升

如果您在 Amazon公有云上运行面向互联网的业务但目前未使用 CloudFront，那么这些 CloudFront 固定月费套餐套餐可以让您的公有云出向数据传输成本更加可预测，同时提升应用程序的安全性、可用性和性能。CloudFront CDN 充当反向代理，在全球所有接入点 (PoP) 接收所有传入流量，并将缓存中未处理的请求转发到您的应用程序。当您通过 CloudFront 而非直接通过互联网提供 AWS 应用程序服务时，您的固定月费套餐套餐将涵盖数据传输成本，用量在套餐内只需支付简单的固定月费。对于超出套餐内的情况，请您参考方案与价格页面上的说明。

即使您的业务不使用缓存，也能提升所有应用程序的性能：虽然 CDN 以缓存静态内容而闻名，但 CloudFront 可以提升任何具有公共端点的应用程序的性能，无论是动态 API、复杂的 Web 应用程序还是静态网站。

动态访问的更快的连接速度：每次用户访问您的应用程序时，他们的浏览器或用户代理都需要建立安全 (TLS) 连接。如果没有 CloudFront，这意味着需要多次往返互联网才能完成加密握手。而使用 CloudFront，此过程会在距离用户最近的最佳接入点 (PoP) 进行，从而将每次请求的往返时间缩短数百毫秒（具体取决于用户和应用程序的位置）。

优化的流量：CloudFront 会保持与源服务器的持久连接，从而避免每次请求都需要建立新连接。这可以加快您的请求速度。您的用户首先连接到附近的 CloudFront PoP。如果 CloudFront 缓存无法提供响应，则应用程序的流量将通过 AWS 私有骨干网络而不是公共互联网传输。这避免了拥塞和路由问题，从而减少了请求延迟。

降低总体成本：此架构可降低整个堆栈的成本。安全规则会在流量到达您的基础设施之前，在边缘阻止不必要的流量。CloudFront 会合并重复请求，以减轻应用程序的负载。当内容可以缓存时，它将直接从 CloudFront PoP 而不是您的应用程序提供。这最终会降低您基于使用量计费的服务（例如计算、数据库和其他 AWS 服务）的成本。

应用层高强度 DDoS 防护，攻击再大也不影响额度

在新的 CloudFront 固定月费套餐方案中，DDoS 防护能力实现了全档位覆盖，无论是 免费版Free、专业版Pro、企业版Business和高级版Premium级别，都具备基础DDoS防护（Always-on），能够在全球边缘节点上持续吸收与缓解网络层攻击流量，确保业务在突发高流量事件下仍能保持稳定运行。这意味着，即使是流量极低的小型项目或个人网站，也能在 Amazon 公有云上安心托管，而不必担心因意外的扫描、探测或流量尖峰导致成本不可控。

对于需要更强安全性的业务应用，从 Business（$200/月）级别起即可获得应用层（L7）DDoS 防护能力，依托 AWS WAF 的规则引擎实现高级恶意流量识别、威胁拦截与异常行为检测，有效缓解面向应用的攻击压力。借助 CloudFront 全球分布式边缘架构，用户无需额外购买独立高防产品，即可在访问入口处实现始终在线、自动扩展的企业级防护。

更重要的是，DDoS 攻击所产生的流量不会计入固定月费套餐方案的使用量额度。无论攻击规模大小、持续时间长短，恶意流量均不会消耗您的配额，也不会导致任何额外账单。这意味着，在遭遇攻击时，用户不必担心因恶意流量突增而快速耗尽使用限额，或在关键时刻承担不可预期的成本压力。

方案的运作方式

在控制台上可以随时加入，升级，降级和退出套餐服务，用户自主修改控制。

每个 CloudFront 套餐都包含清晰公开的使用限额，旨在确保该级别的最佳性能。免费套餐每月支持 100 万次请求和 100 GB 数据传输量（每个 AWS 账户最多可拥有三个免费套餐）。所有付费套餐均包含高达 50 TB的数据传输量，请求限额逐级递增：专业版每月 1000 万（10 million）次请求，商务版每月 1.25 亿（125 million）次请求，高级版每月 5 亿（500 million）次请求。每个账户最多可拥有 100 个套餐。您可以随时升级以获得更多功能和更高的使用限额。

如果您超出限额，性能可能会有所下降，但不会产生超额费用。我们会在您接近限额的 50%、80% 和 100% 时通知您，您也可以随时在控制台中监控使用情况。

套餐让您可以根据所需的请求量来灵活控制使用限额。被阻止的请求和 DDoS 攻击不会占用您的限额，从而确保您的应用程序免受威胁不会影响性能或成本。您还可以配置安全规则，将不需要的流量排除在限额之外，比如阻止来自特定国家/地区或具有特定特征的请求。

方案的部署配置方法

每个套餐都包含一个 CloudFront 分发（Distribution），只需一个域名，即可将基本功能和服务整合到一个固定月费套餐中。Flat-rate固定月费套餐与CloudFront 分发是1:1的对应关系，一个CloudFront 分发可以对应一个Flat-rate固定月费套餐计划，不可以叠加使用套餐。

创建Flat-rate固定月费套餐支持的CloudFront 分发

在控制台上点击创建创建分发，在下述页面中选择您需要针对这个CloudFront 分发的固定月费套餐。点击下一步，继续按照配置CloudFront 分发的一般方法做配置。注意：Flat-rate对应的套餐不支持的功能将会在配置控制台中显示为灰色。

点击下一步，在安全配置页面上， 可以选择直接开启7层的DDoS防护（如果套餐中包含），默认的WAF安全功能不需要额外配置就已经配置成功，对于套餐中包含的功能有蓝色的标签提示。

对于套餐中不包含的功能， 有灰色标签提示，如下图：

修改套餐级别和查看套餐的使用情况或者退出套餐转位按需计费（Pay as you go）模式

点击CloudFront分发（Distribution）中的管理计划（Manage Plan），可以看见该分发的使用额度情况， 可以点击修改计划（Change Plan）来升级或降级套餐计划，升级套餐及时生效，降级套餐在下一个服务周期生效。如果您需要返回按需计费模式（pay as you go），可以点击取消计划（Cancel Plan），如下图。

用户可以把与这个CloudFront分发相关的Route53 Host zone和Key value store在当前页面关联到这个CloudFront分发（Distribution），从而享受Flat-rate的固定月费套餐计划的覆盖。

在CloudFront控制台中查看默认配置的WAF规则以及修改WAF规则

IpReputationList,CommonRuleSet,KnownBadInputsRuleSet 这三个WAF托管规则，已经在创建Flat-rate的CloudFront分发时配置好了，如果选择Business套餐及以上，DDoS的防护功能也已经在创建步骤中配置。查看位置：CloudFront Distribution-> Security tab -> Manage protection -> 下拉框点击Manage Rule，如下图：

用户可以根据需要点击添加规则（Add Rule）进一步添加和修改规则或者修改规则顺序。

订购计费周期说明

计费时机：

• 新加入套餐：立即按当前计费周期计费（加入套餐的当月不满一个月按照天数比例计费，满一个自然月按照固定月费套餐计费）
• 升级套餐：立即生效，费用按天数按比例计算
• 降级套餐：在下一个计费周期开始生效
• 取消套餐转回按需计费：在下一个计费周期开始生效
• 计费周期：所有计费周期都在自然月末结束

举例：12月2号开始订购Premium套餐，开启套餐的当月按照当月的日期比例预估费用为$967.74，如当月15号点击取消订购转入按需计费（pay as you go）模式，会在下个月也就是1月1日（UTC时间）生效，如果您在生效前决定继续使用当前套餐，可以在生效日期前 1 小时在“管理套餐”视图中取消已安排的更改，继续使用当前的Flat-rate月费套餐。

总结

固定月费套餐方案的推出，使 CloudFront 成为全球少数能够将内容分发、安全防护、DNS 与监控能力真正整合为统一月费模型的云服务。对于需要全球分发、移动端加速、互动式 Web 应用、电商、游戏发行与 API 服务等业务的客户而言，这一模式不仅降低了运营成本的不确定性，也显著简化了架构管理与预算流程。

*前述特定亚马逊云科技生成式人工智能相关的服务目前在亚马逊云科技海外区域可用。亚马逊云科技中国区域相关云服务由西云数据和光环新网运营，具体信息以中国区域官网为准。

本篇作者

AWS 架构师中心： 云端创新的引领者 探索 AWS 架构师中心，获取经实战验证的最佳实践与架构指南，助您高效构建安全、可靠的云上应用