Amazon CloudFront 主要特色
全球邊緣網路
可靠、低延遲和高輸送量網路連線能力
網路連線能力與骨幹
Amazon CloudFront 在全球擁有數千家 1/2/3 級電信業者,與所有主要存取網路的連線良好,可實現最佳效能,且具有數百 TB 的部署容量。CloudFront 邊緣節點透過完全冗餘的 AWS 網路骨幹無縫連接至 AWS 區域。此骨幹由遍佈全球的多條 400GbE 平行光纖組成,且連結成千上萬的網路,可改善來源擷取和動態內容加速。
Amazon CloudFront 具有三種類型的基礎設施,可安全地向最終使用者交付高效能內容:
- CloudFront 區域節點快取 (REC) 位於 AWS 區域內,在應用程式的 Web 伺服器與 CloudFront 連接點 (POP) 和內嵌連接點之間。CloudFront 在全球具有 13 個 REC。
- CloudFront 連接點位於 AWS 網路內,並與網際網路服務供應商 (ISP) 網路對等。CloudFront 在 50 多個國家/地區的 100 多個城市擁有 600 多個 POP。
- CloudFront 內嵌連接點位於網際網路服務供應商 (ISP) 網路內,距離最終檢視者最近。除了 CloudFront POP 之外,還有遍佈北美洲、歐洲和亞洲 200 多個城市的 600 多個內嵌 POP。
安全性
針對網路和應用程式層級的攻擊提供保護
Amazon CloudFront、AWS Shield、AWS Web 應用程式防火牆 (WAF)、Amazon Route 53 緊密合作,建立靈活的分層安全周邊設施,抵禦多種類型的攻擊,包括網路和應用程式層級的 DDoS 攻擊。所有這些服務都在 AWS 節點共存,為您的應用程式和內容提供可擴展、可靠、高效能的安全周邊設施。有了 CloudFront 做為應用程式和基礎設施的「前門」,等於讓主要攻擊面遠離關鍵內容、資料、程式碼、基礎設施。進一步了解 AWS 遭遇 DDoS 備援的最佳實務做法。
SSL/TLS 加密和 HTTPS
藉由 Amazon CloudFront,可使用最新版本的 Transport Layer Security (TLSv1.3) 透過 HTTPS 交付內容、API 或應用程式,以加密和保護檢視者用戶端與 CloudFront 之間的通訊。您可以使用 AWS Certificate Manager (ACM) 輕鬆建立自訂 SSL 憑證,並免費部署到您的 CloudFront 分發。ACM 會自動處理憑證續約,免除手動續約程序的負擔和成本。此外,CloudFront 提供許多 TLS 最佳化和進階功能,例如全橋/半橋 HTTPS 連線、OCSP 裝訂、工作階段票證、完美遠期保密、TLS 通訊協定強制執行、欄位層級加密。
存取控制
借助 Amazon CloudFront,您可以利用許多功能限制內容存取。使用簽章的 URL 和簽章的 Cookie,可以支援字符身分驗證,限制只有經過身份驗證的檢視者可以存取。透過地理限制功能,您可以防止特定地理位置的使用者,存取您透過 CloudFront 所分發的內容。使用原始存取身分 (OAI) 功能,您可以限制只能從 CloudFront 存取 Amazon S3 儲存貯體。進一步了解。
合規
CloudFront 基礎設施 (CloudFront 內嵌 POP 除外) 和程序全都符合 PCI-DSS Level 1、HIPAA 以及 ISO 9001、ISO/IEC 27001:2013、27017:2015、27018:2019、SOC (1、2 和 3)、FedRAMP Moderate 等的規範,可確保交付敏感資料時的安全。
可用性
Origin Shield
Web 應用程式通常需要在活動高峰期間應付流量高峰。透過使用 Amazon CloudFront,會自動減少應用程式來源請求的數量。內容會儲存在 CloudFront 邊緣和區域快取,且在需要時僅從原始伺服器擷取。可透過使用 Origin Shield 啟用集中式快取層,來進一步降低應用程式原始伺服器的負載。Origin Shield 可最佳化快取命中比例並摺疊跨區域的請求,以便每個物件只有一個來源請求。這可降低原始伺服器的流量,有助於提高您應用程式的可用性。
啟用原始伺服器的備援
CloudFront 支援多個原始伺服器用於後端架構備援。CloudFront 的本機原始伺服器容錯移轉功能,在無法使用您的主要原始伺服器時自動從備用的原始伺服器提供內容。您為原始伺服器容錯移轉所設定的原始伺服器,可以是 AWS 原始伺服器 (如 EC2 執行個體、Amazon S3 儲存貯體或媒體服務) 或非 AWS 原始伺服器 (如內部部署 HTTP 伺服器) 的任意組合。此外,您可以使用 CloudFront 和 Lambda@Edge 實作進階原始容錯移轉功能,如下所示。
邊緣運算
CloudFront Functions
Amazon CloudFront 透過 CloudFront Function 和 AWS Lambda@Edge 提供可程式設計且安全的邊緣 CDN 運算功能。CloudFront Functions 完美適用於大規模且具有延遲敏感性運作的功能,例如 HTTP 標頭操作、重新編寫/重新導向 URL 及快取金鑰標準化等。這些短期執行、輕量型運作的功能類型,常常用來支援無法預測且突增的流量。例如,您可以使用 CloudFront Functions,依據傳入請求的 Accept-Language 標頭,將請求重新導入您所在網站的特定語言版本。因為這些功能會在所有 CloudFront 的邊緣節點上執行,他們可立刻以最少延遲負擔 (通常短於一毫秒) 方式,將規模擴大至每秒數百萬個請求。 您還可使用 CloudFront KeyValueStore,這是一個全域、低延遲鍵值資料儲存,可從 CloudFront Functions 內存放和擷取查詢資料。CloudFront KeyValueStore 讓 CloudFront Functions 能夠支援獨立的資料更新,使其可自訂功能進一步提升。
Lambda@Edge
AWS Lambda@Edge 是一項供一般用途使用的無伺服器運算功能,支援廣泛的運算需求與自訂項。Lambda@Edge 最適合運算密集型操作。這可能是需要較長時間才能完成的運算 (數毫秒到數秒),依賴外部第三方程式庫,需要與其他 AWS 服務 (例如,S3、DynamoDB) 整合,或需要網路叫用來處理資料。一些熱門進階使用案例包括 HLS 串流資訊清單操作、與第三方授權和機器人偵測服務整合、邊緣單頁應用程式 (SPA) 的伺服器端轉譯 (SSR) 等。進一步了解。>>
即時指標和記錄
即時指標
Amazon CloudFront 已與 Amazon CloudWatch 整合,且會自動為每個分發發佈 6 個操作指標,這些指標以一組圖形顯示在 CloudFront 主控台中。此外,只需簡單按一下主控台或透過 API 即可取得精細指標。
標準和即時記錄
CloudFront 提供了兩種方法來記錄從您的分發傳遞的請求:標準日誌和即時日誌。標準日誌將傳遞至您選擇的 Amazon S3 儲存貯體 (日誌記錄在檢視者請求後幾分鐘內傳遞)。啟用 CloudFront 後,即可以 W3C 延伸格式將詳細的日誌資訊自動發佈至您指定的 Amazon S3 儲存貯體。CloudFront 即時日誌將傳遞至您在 Amazon Kinesis Data Streams 中選擇的資料串流 (日誌記錄在檢視者請求後幾秒鐘內傳遞)。您可以為即時日誌選擇取樣率,即要接收即時日誌記錄的請求百分比。在此處進一步了解 CloudFront 記錄功能。
支援 DevOps
快速變更傳播和失效
CloudFront 可在幾分鐘內提供快速變更傳播和失效。通常,變更會在幾分鐘內傳播至邊緣,且在不到兩分鐘的時間失效。
功能完整的 API 和 DevOps 工具
Amazon CloudFront 為開發人員提供功能完整的 API,可建立、設定、維護 CloudFront 分發。此外,開發人員可以使用 AWS CloudFormation、CodeDeploy、CodeCommit、AWS 開發套件等多種工具,以設定和部署其 Amazon CloudFront 工作負載。
邊緣行為
您的 CloudFront 分佈可以設定多種行為,這些行為可以控制 CloudFront 如何處理您的請求以及將套用哪些功能。自訂 CloudFront 行為,例如:CloudFront 如何快取、CloudFront 如何與原始伺服器通訊、哪些標頭和中繼資料轉送到原始伺服器、使用靈活的快取金鑰操作建立內容變體、選擇壓縮模式、將哪些標頭新增到 HTTP 回應等。利用內建的裝置偵測,CloudFront 可以偵測裝置類型 (桌上型電腦、平板電腦、智慧型電視或行動裝置),並將該資訊以新的 HTTP 標頭形式傳遞給您的應用程式,使其更容易因應內容變體或其他回應。Amazon CloudFront 也可以偵測請求使用者的國家/地區層級位置,以利進一步自訂回應。
持續部署
使用 CloudFront 持續部署可為您提供高水準的部署安全性。您現在可以部署兩個獨立但相同的環境 (藍色和綠色),並能夠簡易整合至持續整合和交付 (CI/CD) 管道中,且能夠逐步推出版本,而無需變更任何網域名稱系統 (DNS)。其透過將檢視器工作階段繫結至相同環境,確保您的檢視器透過工作階段黏性獲得一致的體驗。此外,您可以透過監控標準和即時日誌來比較變更的效能,並在變更對服務產生負面影響時快速恢復至先前的組態。此功能的典型使用案例包括檢查向後相容性、部署後驗證以及使用一小部分檢視器驗證新功能。進一步了解 >>
經濟實惠
每個用量層級的定價選項
CloudFront 提供可個人化的定價選項,包括依用量計費、CloudFront 安全節省服務包,以及自訂定價。依用量計費的定價簡單且無預付費。如果您在尋找折扣,CloudFront 安全節省服務包客協助您以 1 年期的每月支出承諾換取 CloudFront 帳單最高節省 30%。節省服務包還包含免費的 AWS WAF 用量,高達 10% 的每月承諾支出。至於願意承諾特定最低流量 (通常 10 TB/月或更高) 的客戶,我們也提供私有承諾定價的額外折扣。
進一步了解 Amazon CloudFront 定價。
AWS 雲端服務和 Amazon CloudFront 之間原始伺服器擷取的資料傳輸免費
若使用 Amazon S3、Amazon EC2 或 Elastic Load Balancing 之類的 AWS 原始伺服器,則無須為從原始伺服器傳輸至 CloudFront 邊緣節點的任何資料付費 (這種類型的資料傳輸稱為原始伺服器擷取)。若要進一步了解 Amazon CloudFront 的所有功能以及如何設定,請參閱 Amazon CloudFront 開發人員指南。
減少原始伺服器營運費用
並非所有的原始伺服器都相同,有些可能涉及即時封裝之類的程序,與從儲存擷取內容相比,每 GB 的運算成本極高。CloudFront 提供區域邊緣快取,且無須額外的費用,能減輕原始伺服器的操作負擔和降低操作成本。使用 Origin Shield 將原始伺服器擷取次數降至最低,可進一步降低原始伺服器相關的成本。Origin Shield 提供集中式快取來最佳化快取命中比例和摺疊跨區域的請求,以便每個物件只有一個原始伺服器請求。