Amazon CloudFront 关键功能
全球边缘网络
可靠、低延迟和高吞吐量网络连接
网络连接和主干网
Amazon CloudFront 在全球拥有数以千计的第 1/2/3 层电信运营商,与所有主要接入网络连接良好,可实现最佳性能,并具有数百 TB 的部署容量。CloudFront 边缘站点通过完全冗余的 AWS 网络骨干无缝连接到 AWS 区域。该主干网由遍布全球的多条 400GbE 并行光纤组成,并与数以万计的网络连接,以改进原始数据获取和动态内容加速。
Amazon CloudFront 有三种类型的基础设施,可以安全地向最终用户提供高性能的内容:
- CloudFront 区域边缘缓存(REC)位于 AWS 区域内应用程序的 Web 服务器与 CloudFront 入网点(POP)和嵌入式入网点之间。CloudFront 在全球拥有 13 个 REC。
- CloudFront 入网点位于 AWS 网络内,与互联网服务提供商(ISP)网络对等连接。CloudFront 在 50 多个国家/地区的 100 多个城市拥有 600 多个节点。
- CloudFront 嵌入式入网点位于互联网服务提供商(ISP)网络内,距离最终查看者最近。除了 CloudFront POP 之外,还有遍布北美、欧洲和亚洲 200 多个城市的 600 多个嵌入式 POP。
安全性
针对网络和应用层攻击的保护
Amazon CloudFront、AWS Shield、AWS Web 应用程序防火墙(WAF)和 Amazon Route 53 无缝协作,创建了灵活的分层安全边界来抵御多种类型的攻击,包括网络和应用层 DDoS 攻击。所有这些服务共同位于 AWS 边缘站点,为应用程序和内容提供了可扩展的、可靠的且高性能的安全边界。通过将 CloudFront 用作您的应用程序和基础设施的“前门”,可使主要攻击面远离关键内容、数据、代码和基础设施。了解有关实现 DDoS 弹性的 AWS 最佳实践的更多信息。
SSL/TLS 加密和 HTTPS
使用 Amazon CloudFront,可以使用最新版本的传输层安全(TLSv1.3)通过 HTTPS 传递内容、API 或应用程序,以加密和保护查看器客户端与 CloudFront 之间的通信。您可以使用 AWS Certificate Manager (ACM) 轻松创建自定义 SSL 证书并免费部署到您的 CloudFront 分配。ACM 会自动处理证书续订,消除了由手动续订流程产生的开销和成本。此外,CloudFront 还提供了许多 TLS 优化和高级功能,如全/半桥接 HTTPS 连接、OCSP Stapling、会话票证、完整转发安全性、TLS 协议实施和字段级加密。
访问控制
利用 Amazon CloudFront,您可以通过大量功能来限制对您的内容的访问。借助签名 URL 或签名 Cookie,您可以支持令牌身份验证以仅允许经过身份验证的查看者进行访问。通过地理限制功能,用户可以阻止特定地理位置的用户访问通过 CloudFront 分发的内容。利用来源访问标识 (OAI) 功能,您可以仅允许通过 CloudFront 访问 Amazon S3 存储桶。了解更多。
合规性
CloudFront 基础设施(不包括 CloudFront 嵌入式 POP)和流程都符合 PCI-DSS 第 1 级、HIPAA 和 ISO 9001、ISO/IEC 27001:2013、27017:2015、27018:2019、SOC(1、2 和 3)及 FedRAMP Moderate 等,确保安全交付最敏感的数据。
可用性
Origin Shield
Web 应用程序通常需要在活动高峰期间应对流量峰值。通过使用 Amazon CloudFront,将自动减少应用程序来源请求的量。内容将储存在 CloudFront 的边缘和区域缓存中,并且只有在需要时才会从来源获取。通过使用 Origin Shield 来启用集中式缓存层,可以进一步减少应用程序起源的负载。Origin Shield 优化缓存命中率,并跨区域折叠请求,导致每个对象只有一个来源请求。这减少了来源上的工作负载,从而帮助您提高应用程序的可用性。
为源启用冗余
CloudFront 为后端架构冗余支持多个来源。借助于 CloudFront 的本机源故障转移功能,可以在主源不可用时自动从备份源提供内容。使用源故障转移设置的源可以是 AWS 源(如 EC2 实例、Amazon S3 存储桶或 Media Services)或非 AWS 源(如本地 HTTP 服务器)的任意组合。此外,您可以在这里通过 CloudFront 和 Lambda@Edge 实施高级的来源失效转移功能。
边缘计算
CloudFront Functions
Amazon CloudFront 通过 CloudFront Functions 和 AWS Lambda@Edge 提供可编程和安全的边缘 CDN 计算功能。CloudFront Functions 是高扩展和延迟敏感型操作的理想之选,如 HTTP 标头操作、URL 重写/重定向和缓存密钥标准化。这些类型的轻量级短时间运行操作支持的流量通常是不可预测的和激增的。例如,您可以使用 CloudFront Functions 根据传入请求的 Accept-Language 标头来将请求重定向至网站特定语言版本。由于这些函数在所有 CloudFront 边缘站点执行,因此,它们可以立即扩展为每秒数百万个请求,并且延迟最小,通常在一毫秒以下。 还可以使用 CloudFront KeyValueStore,这是一种全球性的低延迟键值数据存储,用于存储和检索来自 CloudFront Functions 的查询数据。CloudFront KeyValueStore 允许独立更新数据,使 CloudFront 函数更具可定制性
Lambda@Edge
AWS Lambda@Edge 是一种通用的无服务器计算特性,支持广泛的计算需求和定制。Lambda@Edge 最适合计算密集型操作。这可能是需要更长的时间来完成的计算(几毫秒到几秒),需要依赖于外部第三方库,需要与其他 AWS 服务(例如 S3、DynamoDB)集成,或者需要网络调用来进行数据处理。一些流行的高级用例包括 HLS 流清单操作、与第三方授权和自动程序检测服务的集成、单页应用程序 (SPA) 的服务器端渲染 (SSR) 等等。了解更多。>>
实时指标和日志记录
实时指标
Amazon CloudFront 集成了 Amazon CloudWatch,并自动发布每个发行版的 6 个运营指标,这些指标在 CloudFront 控制台的一组图表中显示。此外,只需单击控制台或通过 API 就能使用精细指标。
标准和实时日志记录
CloudFront 提供了两种方式,用于记录从您的分发中发送的请求:标准日志和实时日志。系统将 CloudFront 标准日志发送至您选择的 Amazon S3 存储桶(在查看器请求后的几分钟内就会发送日志记录)。启用后,CloudFront 将自动以 W3C 扩展格式将详细日志信息写入您指定的 Amazon S3 存储桶。系统将 CloudFront 实时日志发送到 Amazon Kinesis Data Streams 中您选择的数据流中(在查看器请求后的几秒钟内就会发送日志记录)。您可以选择实时日志的采样率 — 即希望接收实时日志记录的请求的百分比。单击此处了解更多关于 CloudFront 日志记录功能。
适用于开发运维
快速更改传播和失效
CloudFront 可在几分钟内提供快速更改传播和失效功能。通常来说,更改传播至边缘只需几分钟,而失效只需两分钟不到。
功能完备的 API 和开发运维工具
Amazon CloudFront 为开发人员提供了一系列功能完备的 API 来创建、配置和维护您的 CloudFront 分配。此外,开发人员还有权访问大量工具,如 AWS CloudFormation、CodeDeploy、CodeCommit 和 AWS 开发工具包,以使用 Amazon CloudFront 配置和部署其工作负载。
边缘行为
您的 CloudFront 分配可以配置多种行为,这些行为将控制 CloudFront 处理请求的方式以及将应用的功能。自定义 CloudFront 行为,例如:CloudFront 的缓存方式;CloudFront 与您的源通信的方式;转发到您的源的标头和元数据;利用灵活的缓存键操作来创建内容变体;选择压缩模式;添加到您的 HTTP 响应的标头等。利用内置的设备检测功能,CloudFront 可以检测设备类型(台式机、平板电脑、智能电视或移动设备),然后以新 HTTP 标头的形式将该信息传递给应用程序,以便轻松地调整内容变体或其他响应。Amazon CloudFront 还可以检测请求用户的国家/地区级位置,以便进一步自定义响应。
持续部署
CloudFront 的持续部署为您提供了高级别的部署安全性。现在,您可以部署两个独立但相同的环境(蓝色和绿色),轻松集成到持续集成和交付 (CI/CD) 管道,从而能够逐步推出版本,而无需更改任何域名系统 (DNS)。此功能可以将查看器会话绑定到同一环境,从而确保查看器通过会话粘性获得一致体验。此外,您还可以通过监控标准和实时日志对比更改的效果,并在更改对服务产生负面影响时快速恢复到之前的配置。此功能的典型使用案例包括检查向后兼容性、部署后验证,以及使用少数几个查看器验证新功能。了解更多 >>
经济高效
每个使用级别的定价选项
CloudFront 提供个性化的定价选项,包括按实际使用量付费、CloudFront Security Savings Bundle 和自定义定价。按实际使用量付费很简单,无任何前期费用。如果您正在寻求折扣,CloudFront Security Savings Bundle 可帮助您最多节省 30% 的 CloudFront 费用,但您需要承诺为期一年的月度消费。该 Savings Bundle 还包含免费的 AWS WAF 使用量,最高可达您每月承诺消费的 10%。对于希望做出特定最低流量承诺(通常为每月 10 TB 或更高)的客户,我们还在私有承诺定价的基础上提供额外折扣。
了解有关 Amazon CloudFront 定价的更多信息。
AWS Cloud 服务和 Amazon CloudFront 之间针对来源获取的免费数据传输
如果您使用 AWS 源,例如 Amazon S3、Amazon EC2 或 Elastic Load Balancing,则无需为从源传输到 CloudFront 边缘站点的任何数据付费(我们将这种类型的数据传输称之为来源获取)。要了解有关所有 Amazon CloudFront 功能以及如何配置这些功能的更多信息,请参阅 Amazon CloudFront 开发人员指南。
降低来源运营成本
并非所有来源都是相同的,有些来源可能涉及即时打包等过程,每 GB 的计算成本比从存储中获取内容要高。CloudFront 已免费提供区域性边缘缓存,以降低源上的运维负担和减少运营成本。可以使用 Origin Shield 进一步降低与来源相关的成本,从而最大程度地减少源获取的次数。Origin Shield 提供了集中的缓存,以优化缓存命中率和跨区域的崩溃请求,从而导致每个对象只有一个源请求。