Основные функции Amazon CloudFront

  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Северная Америка
  • Skip Map
    List view
  • Южная Америка
  • Skip Map
    List view
  • Европа
  • Skip Map
    List view
  • Ближний Восток
  • Skip Map
    List view
  • Африка
  • Skip Map
    List view
  • Азиатско-Тихоокеанский регион
  • Skip Map
    List view
  • Австралия и Новая Зеландия
  • Skip Map
    List view

Глобальная периферийная сеть

Надежное сетевое подключение с низкой задержкой и высокой пропускной способностью

Сетевое подключение и магистраль

Узлы Amazon CloudFront с тысячами операторов связи уровней 1/2/3 по всему миру гарантируют надежное подключение ко всем основным сетям доступа для обеспечения оптимальной производительности и предусматривают сотни терабит развернутой емкости. Периферийные местоположения CloudFront легко подключаются к регионам AWS через полностью резервную магистраль сети AWS. Эта магистраль состоит из нескольких параллельных волокон 400GbE по всему миру и интерфейсов с десятками тысяч сетей для улучшения выборки исходных данных и динамического ускорения контента.

Amazon CloudFront предлагает три типа инфраструктуры для безопасной доставки контента с высокой производительностью конечным пользователям.

  • Региональные периферийные кэши (REC) CloudFront расположены в регионах AWS между веб-сервером ваших приложений, точками присутствия CloudFront (POP) и встроенными точками присутствия. У CloudFront есть 13 REC по всему миру.
  • Точки присутствия CloudFront расположены в сети AWS и работают в сетях интернет-провайдеров (ISP). CloudFront использует более 600 точек присутствия в более 100 городах более 50 стран.
  • Встроенные точки присутствия CloudFront расположены в сетях интернет-провайдеров (ISP), ближе всего к конечным зрителям. Помимо CloudFront POPS, существует более 600 встроенных POP в более чем 200 городах Северной Америки, Европы и Азии.

Подробнее об Amazon CloudFront в Китае

Безопасность

Защита от атак на уровне сети и на уровне приложений
Сервисы Amazon CloudFront, AWS Shield, Брандмауэр веб‑приложений AWS (WAF) и Amazon Route 53 работают в тесной связке друг с другом и создают гибкий многоуровневый периметр безопасности для защиты от атак различного типа, включая DDoS-атаки на уровне сети и на уровне приложений. Совместно работая в периферийном местоположении AWS, эти сервисы обеспечивают масштабируемый, надежный и высокопроизводительный периметр безопасности для ваших приложений и контента. CloudFront выступает в качестве надежного щита для приложений и инфраструктуры и является буфером, который принимает на себя все атаки и защищает от них ваши данные, важный контент, программный код и инфраструктуру. Познакомьтесь с рекомендациями по обеспечению устойчивости к DDoS-атакам при работе с AWS.

С помощью Amazon CloudFront контент, API или приложения можно использовать по протоколу HTTPS посредством последней версии протокола TLS (безопасность транспортного уровня) (TLSv1.3) для шифрования и защиты связи между клиентами средства просмотра и CloudFront. Благодаря Менеджеру сертификатов AWS (ACM) можно легко создать собственный сертификат SSL и бесплатно развернуть его в базе раздачи CloudFront. ACM автоматически продлевает сертификаты, устраняя проблемы и издержки, связанные с ручным процессом обновления. Кроме того, CloudFront предоставляет ряд оптимизаций для TLS и расширенные возможности, включая поддержку HTTPS-соединений в режиме полного моста и полумоста, технологию OCSP Stapling, билеты сеанса, технологию PFS («безопасная пересылка»), принудительное применение протокола TLS и шифрование на уровне поля.

Amazon CloudFront позволяет ограничить доступ к контенту с помощью ряда возможностей. Применяя подписанные URL‑адреса и подписанные файлы cookie, можно реализовать аутентификацию с использованием токенов, чтобы доступ к просмотру материалов могли получить только те пользователи, которые прошли проверку подлинности. С помощью функции географического ограничения доступ к контенту, распространяемому через CloudFront, можно разрешать или запрещать в зависимости от географического местоположения пользователей. Возможность удостоверения доступа к источнику позволяет сделать так, чтобы доступ к корзине Amazon S3 был возможен только из CloudFront. Подробнее.

Инфраструктура и процессы сервиса CloudFront (за исключением встроенных POP) обеспечивают безопасность конфиденциальных данных, полностью отвечая требованиям стандартов PCI-DSS (уровень 1), HIPAA, а также ISO 9001, ISO / IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 и 3).

Доступность

Origin Shield

Веб-приложениям часто приходится иметь дело с резким возрастанием трафика в периоды пиковой активности пользователей. При использовании Amazon CloudFront объем запросов на источник приложений автоматически уменьшается. Контент хранится в периферийных и региональных кэшах CloudFront и извлекается из источников только при необходимости. Нагрузку на источники приложений можно снизить еще больше, используя Origin Shield для активации уровня централизованного кэширования. Origin Shield оптимизирует коэффициенты попадания в кэш и объединяет региональные запросы в один запрос на источник в каждом объекте. Такое сокращение трафика к источникам способствует повышению доступности приложений.

Резервирование источников контента

CloudFront поддерживает несколько источников для обеспечения избыточности серверной архитектуры. Используя встроенную в CloudFront функцию обработки отказа источника, можно реализовать автоматическое переключение на резервный источник контента при утрате доступа к основному. Функция обработки отказа источника поддерживает любые комбинации источников AWS, будь то инстансы EC2, корзины Amazon S3, мультимедийные сервисы или источники за пределами облака AWS, например локальные HTTP-серверы. Кроме того, вы можете воспользоваться усовершенствованными возможностями обработки отказа источника с помощью CloudFront и Lambda@Edge.

Периферийные вычисления

CloudFront Functions

Сервис Amazon CloudFront обеспечивает возможности программирования и безопасных периферийных вычислений в сети доставки контента благодаря CloudFront Functions и AWS Lambda@Edge. CloudFront Functions идеально подходит для выполнения крупномасштабных и чувствительных к задержкам операций, таких как манипуляции с HTTP-заголовками, перезапись и перенаправление URL-адресов и нормализация ключей кэширования. Эти типы краткосрочных, упрощенных операций поддерживают трафик, который часто бывает непредсказуемым и рывкообразным. Например, CloudFront Functions можно использовать для перенаправления запросов к языковым версиям вашего сайта на основе заголовка Accept-Language входящего запроса. Поскольку эти функции работают во всех периферийных точках CloudFront, они могут мгновенно масштабироваться до миллионов запросов в секунду с минимальными затратами времени, обычно менее миллисекунды. Можно также использовать хранилище «ключ-значение» CloudFront (глобальное хранилище данных с ключевыми значениями и малой задержкой) для хранения и извлечения поисковых данных из функций CloudFront. Хранилище «ключ-значение» CloudFront делает функции сервиса более настраиваемыми, обеспечивая независимое обновление данных.

Lambda@Edge

AWS Lambda@Edge – это функция бессерверных вычислений общего назначения, которая удовлетворяет широкому спектру вычислительных потребностей и настроек. Lambda@Edge лучше всего подходит для операций с высокими вычислительными нагрузками. К таким операциям относятся вычисления, которые занимают больше времени (от нескольких миллисекунд до секунд), зависят от внешних сторонних библиотек, требуют интеграции с другими сервисами AWS (например, S3, DynamoDB) или требуют сетевых вызовов для обработки данных. Некоторые популярные примеры усложненного использования включают манипуляции с файлами манифеста потоковой передачи HLS, интеграцию со сторонними службами авторизации и обнаружения ботов, рендеринг на стороне сервера одностраничных приложений на периферии и т. д.