跳至主要内容

Amazon CloudFront 文档

Amazon CloudFront 是一种内容分发网络(CDN)服务,旨在以低延迟和高传输速度安全地向全球客户交付数据、视频、应用程序和 API。CloudFront 提供安全功能,例如领域级加密和 HTTPS 支持,与 AWS Shield、AWS Web 应用防火墙和 Amazon Route 53 集成,以防止多种类型的攻击,包括网络和应用层 DDoS 攻击。这些服务共存于边缘网络站点,可通过 AWS 网络主干网进行全球扩展和连接。CloudFront 可用于 Amazon S3、Amazon EC2 和 Elastic Load Balancing 等 AWS 源以及自定义 HTTP 源。您可以使用 CloudFront Functions 和 AWS Lambda@Edge 通过 CloudFront 自定义内容交付。

网络连接和主干网

Amazon CloudFront 在全球拥有第 1/2/3 层电信运营商,与主要接入网络连接,并具有数百 TB 的部署容量。CloudFront 边缘站点通过 AWS 网络主干网与 AWS 区域连接,其包括全球多个冗余的并行光纤链路,还与第三方网络连接以改善来源获取和动态内容加速。

为了以较低的延迟向最终用户分发内容,Amazon CloudFront 使用了一个包含 600 多个接入点和 13 个区域边缘缓存的全球网络,该网络覆盖 50 个国家/地区的 100 多个城市。

安全性

针对网络和应用层攻击的保护 – Amazon CloudFront、AWS Shield、AWS Web Application Firewall(WAF)和 Amazon Route 53 协作,创建了分层安全边界来抵御多种类型的攻击,包括网络和应用层 DDoS 攻击。所有这些服务共同位于 AWS 边缘站点,旨在为应用程序和内容提供可扩展的、可靠的且高性能的安全边界。通过将 CloudFront 用作您的应用程序和基础设施的“前门”,可使主要攻击面远离关键内容、数据、代码和基础设施。

SSL/TLS 加密和 HTTPS – 通过 Amazon CloudFront,可使用传输层安全通过 HTTPS 交付内容、API 或应用程序,以加密查看器客户端与 CloudFront 之间的通信并确保其安全性。AWS Certificate Manager(ACM)可用于创建自定义 SSL 证书并将证书部署到 CloudFront 分配中。此外,CloudFront 还提供了许多 TLS 优化和高级功能,如全/半桥接 HTTPS 连接、OCSP 装订、会话票证、TLS 协议实施、字段级加密和完全向前保密性功能。

访问控制 – 通过大量功能来限制对您的内容的访问。借助签名 URL 或签名 Cookie,您可以支持令牌身份验证以仅允许经过身份验证的查看者进行访问。CloudFront 的地理限制功能可用于阻止 CloudFront 根据与请求客户端的 IP 地址关联的地理区域分发内容。您可利用来源访问身份(OAI)功能限制对 Amazon S3 存储桶源的访问权限,使其只能从 CloudFront 访问。

合规性 – CloudFront 基础设施和流程旨在符合 PCI-DSS 1 级、HIPAA、ISO 9001、ISO/IEC 27001:2013、27017:2015、27018:2019、SOC(1、2 和 3)和 FedRAMP Moderate。

可用性

Origin Shield – Origin Shield 通过跨区域整合对象请求来降低缓存命中频率。

为源启用冗余 – CloudFront 支持多个源以实现后端架构冗余。CloudFront 的原生来源失效转移功能旨在在主源不可用时自动从备份源提供内容。CloudFront 的来源失效转移功能支持 AWS 源的组合,例如 EC2 实例 Amazon S3 存储桶和媒体服务,或非 AWS 源的组合,例如本地 HTTP 服务器。此外,您可以使用 Lambda@Edge 实现来源失效转移功能。

边缘计算

CloudFront Functions – Amazon CloudFront 通过 CloudFront Functions 和 AWS Lambda@Edge 提供可编程和安全的边缘 CDN 计算功能。CloudFront Functions 可用于高扩展和延迟敏感型操作,如 HTTP 标头操作、URL 重写/重定向和缓存密钥标准化。

Lambda@Edge – AWS Lambda@Edge 是一种通用的无服务器计算特性,支持广泛的计算需求和定制。Lambda@Edge 专为计算密集型操作而设计,包括需要几毫秒到几秒钟才能完成的计算、依赖外部第三方库的计算、与其他 AWS 服务(例如 S3、DynamoDB)集成的计算,以及进行网络调用以用于数据处理的计算。

实时指标和日志记录

实时指标 – Amazon CloudFront 集成了 Amazon CloudWatch,并自动发布每个发行版的运营指标,这些指标在 CloudFront 控制台的一组图表中显示。其他指标可通过控制台或 CloudFront API 获得。

标准和实时日志记录 – 启用后,CloudFront 会自动将 W3C 扩展格式的 CloudFront 请求日志发布到您指定的 Amazon S3 存储桶中。您还可以将 CloudFront 配置为根据您指定的采样率向 Amazon Kinesis Data Streams 传送 CloudFront 请求的实时日志。

用于 DevOps

快速更改传播和失效 – CloudFront 旨在在几分钟内传播您的更改并执行失效请求。

API 和 DevOps 工具 – CloudFront 提供了一个用于创建、配置和维护 CloudFront 发行版的 API。开发人员还可以使用开发人员工具,例如 AWS CloudFormation、CodeDeploy、CodeCommit 和 AWS SDK,来配置和部署其 CloudFront 工作负载。

边缘行为 – CloudFront 提供了配置请求处理方式的选项,包括自定义转发到源的标头和元数据、使用缓存密钥操作创建内容变体、自定义 HTTP 响应标头以及支持各种压缩模式。利用内置的设备检测功能,CloudFront 可以检测客户端设备类型(台式机、平板电脑、智能电视或移动设备),然后以新 HTTP 标头的形式将该信息传递给应用程序,以便启用内容变体或其他自定义响应。Amazon CloudFront 还可以检测发起请求用户 IP 地址的国家/地区级位置,以便进一步自定义响应。

持续部署 – CloudFront 提供了部署两个独立但相同的环境的选项,这些环境可以集成到您的持续集成和交付(CI/CD)管道中,这样您就可以在不更改域名系统(DNS)的情况下逐步推出版本。此外,您还可以通过监控标准和实时日志对比更改的效果,并在更改对服务产生负面影响时恢复到之前的配置。

其他信息

有关服务控制、安全特征和功能的更多信息,包括有关存储、检索、修改、限制和删除数据的信息(如适用),请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言,这些其他信息并不构成此文档的一部分。