Mạng biên toàn cầu

Khả năng kết nối mạng đáng tin cậy, độ trễ thấp và thông lượng cao

Trục chính và khả năng kết nối mạng

Amazon CloudFront kết nối ngang hàng với hàng nghìn nhà mạng viễn thông Bậc 1/2/3 trên toàn cầu, được kết nối tốt với tất cả các mạng truy cập chính cho hiệu năng tối ưu và có hàng trăm terabit công suất được triển khai. Các vị trí biên của CloudFront được kết nối liền mạch với Khu vực AWS thông qua mạng trục chính có dự phòng đầy đủ của AWS. Trục này bao gồm nhiều sợi quang 400GbE song song trên toàn cầu và giao diện với hàng chục nghìn mạng để cải thiện tác vụ nạp gốc và tăng tốc nội dung động.

Amazon CloudFront có ba loại cơ sở hạ tầng để phân phối nội dung một cách bảo mật với hiệu suất cao cho người dùng cuối:

  • Bộ nhớ đệm ẩn biên khu vực (REC) CloudFront được đặt trong Khu vực AWS, giữa máy chủ web của ứng dụng và Điểm hiện diện (POP) CloudFront và Điểm hiện diện được nhúng. CloudFront có 13 REC trên toàn cầu.
  • Điểm hiện diện CloudFront được đặt trong mạng AWS và ngang hàng với các mạng của nhà cung cấp dịch vụ Internet (ISP). CloudFront có hơn 600 POP trong hơn 100 thành phố tại hơn 50 quốc gia.
  • Điểm hiện diện được nhúng của CloudFront được đặt trong mạng của nhà cung cấp dịch vụ Internet (ISP) gần người xem cuối nhất. Ngoài các POP của CloudFront, có hơn 600 POP được nhúng tại hơn 200 thành phố ở Bắc Mỹ, Châu Âu và Châu Á.

Tìm hiểu thêm về Amazon CloudFront ở Trung Quốc. >>

Bảo mật

Bảo vệ chống tấn công lớp mạng và ứng dụng
Amazon CloudFront, AWS Shield, AWS Web Application Firewall (WAF) và Amazon Route 53 kết hợp liền mạch với nhau để tạo một vành đai bảo mật theo lớp linh hoạt giúp bảo vệ chống lại nhiều kiểu tấn công khác nhau, bao gồm tấn công DDoS lớp mạng và ứng dụng. Tất cả các dịch vụ này cùng nằm ở biên AWS và tạo ra một vành đai bảo mật có quy mô linh hoạt, tin cậy và có hiệu năng cao cho các ứng dụng và nội dung. Sử dụng CloudFront làm “cửa trước” dẫn vào ứng dụng và cơ sở hạ tầng, bề mặt tấn công chính sẽ bị loại khỏi nội dung, dữ liệu, mã và cơ sở hạ tầng quan trọng. Tìm hiểu thêm về Biện pháp tốt nhất của AWS cho Khả năng chống chịu DDoS.

Mã hóa SSL/TLS và HTTPS
Với Amazon CloudFront, nội dung, API hoặc các ứng dụng có thể được phân phối qua HTTPS bằng cách sử dụng phiên bản Bảo mật lớp vận chuyển (TLSv1.3) mới nhất để mã hóa và bảo mật giao tiếp giữa ứng dụng khách của người xem và CloudFront. Có thể dùng AWS Certificate Manager (ACM) để dễ dàng tạo chứng chỉ SSL tùy chỉnh và triển khai miễn phí cho phân phối CloudFront. ACM tự động xử lý việc gia hạn chứng chỉ, loại bỏ chi phí chung và phí tổn của quy trình gia hạn thủ công. Ngoài ra, CloudFront còn cung cấp một số chức năng nâng cao và tối ưu hóa TLS, chẳng hạn như kết nối HTTPS toàn cầu/nửa cầu, OCSP stapling, Phiếu phiên, Perfect Forward Secrecy, Thực thi giao thức TLS và Mã hóa cấp trường.

Kiểm soát truy cập
Với Amazon CloudFront, chỉ có thể truy cập nội dung thông qua một số chức năng. Với URL được ký và Cookie được ký, tính năng Xác thực mã thông báo sẽ được hỗ trợ để giới hạn chỉ người xem đã xác thực mới có thể truy cập. Thông qua chức năng giới hạn địa lý, người dùng ở một số vị trí địa lý cụ thể có thể bị ngăn truy cập vào nội dung được phân phối thông qua CloudFront. Với tính năng Origin Access Identity (OAI), quyền truy cập có thể bị giới hạn ở vùng lưu trữ Amazon S3, từ đó, chỉ có thể truy cập vùng lưu trữ từ CloudFront. Tìm hiểu thêm.

Tuân thủ
Tất cả cơ sở hạ tầng và quy trình của CloudFront (ngoại trừ các POP được nhúng của CloudFront) đều tuân thủ PCI-DSS Cấp 1, HIPAA và ISO 9001, ISO/IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 và 3), FedRAMP Moderate, v.v. để bảo đảm phân phối dữ liệu nhạy cảm một cách bảo mật.

Độ sẵn sàng

Origin Shield 
Các ứng dụng web thường phải đối mặt với việc tăng lưu lượng đột biến vào thời điểm hoạt động cao điểm. Khi sử dụng Amazon CloudFront, khối lượng yêu cầu từ nguồn ứng dụng sẽ tự động giảm. Nội dung được lưu ở bộ nhớ đệm khu vực và biên của CloudFront và chỉ được tải từ vị trí nguồn nếu cần. Có thể giảm thêm tải tại vị trí nguồn ứng dụng bằng cách sử dụng Origin Shield để kích hoạt lớp bộ nhớ đệm tập trung. Origin Shield tối ưu hóa tỷ lệ truy cập bộ nhớ đệm và thu gọn yêu cầu trên các khu vực, dẫn đến chỉ có một yêu cầu gốc cho mỗi đối tượng. Việc giảm lưu lượng truy cập đến vị trí nguồn sẽ giúp tăng tính khả dụng cho các ứng dụng của bạn.

Cho phép dự phòng vị trí nguồn

CloudFront hỗ trợ nhiều vị trí nguồn để dự phòng kiến trúc backend. Chức năng chuyển đổi dự phòng nguồn riêng của CloudFront sẽ tự động phân phối nội dung từ vị trí nguồn sao lưu khi vị trí nguồn chính không khả dụng. Các vị trí nguồn được thiết lập với chuyển đổi dự phòng nguồn có thể là bất kỳ tổ hợp nào bao gồm các vị trí nguồn AWS như phiên bản EC2, vùng lưu trữ Amazon S3 hoặc Media Services hay các vị trí nguồn không thuộc AWS như máy chủ HTTP tại chỗ. Ngoài ra, bạn có thể triển khai các chức năng chuyển đổi dự phòng nguồn nâng cao với CloudFront và Lambda@Edge như ở đây.

Điện toán biên

Các chức năng của CloudFront

Amazon CloudFront cung cấp các chức năng điện toán biên CDN có thể lập trình và bảo mật thông qua CloudFront Functions và AWS Lambda@Edge. CloudFront Functions rất phù hợp cho các hoạt động ở quy mô lớn và có yêu cầu cao về độ trễ như thao tác với tiêu đề HTTP, viết lại/chuyển hướng URL và chuẩn hóa đệm-khóa. Những loại hoạt động nhẹ, chạy trong thời gian ngắn này hỗ trợ lưu lượng truy cập thường không thể đoán trước và tăng đột biến. Ví dụ: bạn có thể sử dụng CloudFront Functions để chuyển hướng yêu cầu đến các phiên bản ngôn ngữ cụ thể của trang web của bạn dựa trên tiêu đề Chấp nhận ngôn ngữ của yêu cầu đến. Do những hàm này thực thi tại tất cả vị trí biên của CloudFront, chúng có thể ngay tức thì tăng quy mô lên hàng triệu yêu cầu mỗi giây với độ trễ thấp nhất, thường là dưới 1 mili giây. Bạn cũng có thể sử dụng CloudFront KeyValueStore, một kho dữ liệu khóa giá trị toàn cầu có độ trễ thấp để lưu trữ và truy xuất dữ liệu tra cứu từ bên trong Các chức năng của CloudFront. CloudFront KeyValueStore giúp bạn tùy chỉnh Các chức năng của CloudFront dễ dàng hơn bằng cách cho phép cập nhật dữ liệu độc lập. 

Lambda@Edge

AWS Lambda@Edge là một tính năng điện toán phi máy chủ đa dụng hỗ trợ một loạt nhu cầu điện toán và tùy chỉnh. Lambda@Edge phù hợp nhất với các hoạt động tính toán chuyên sâu. Quá trình tính toán này có thể cần thêm thời gian để hoàn thành (vài mili giây đến vài giây), dùng thành phần phụ thuộc trên các thư viện bên ngoài của bên thứ ba, yêu cầu tích hợp với các dịch vụ AWS khác (ví dụ: S3, DynamoDB) hoặc cần thực hiện lệnh gọi qua mạng để xử lý dữ liệu. Một số trường hợp sử dụng nâng cao phổ biến bao gồm thao tác kê khai phát trực tiếp HLS, tích hợp với các dịch vụ phát hiện bot và ủy quyền của bên thứ 3, kết xuất phía máy chủ (SSR) của các ứng dụng một trang (SPA) tại biên, v.v. Tìm hiểu thêm. >>

Ghi nhật ký và chỉ số theo thời gian thực

Chỉ số theo thời gian thực
Amazon CloudFront được tích hợp với Amazon CloudWatch và tự động phát hành 6 chỉ số hoạt động cho mỗi lần phân phối, chỉ số được hiển thị theo bộ biểu đồ trong bảng điều khiển CloudFront. Ngoài ra, bạn có thể xem các chỉ số chi tiết chỉ bằng một lượt nhấp vào bảng điều khiển hoặc qua API.

Ghi nhật ký tiêu chuẩn và theo thời gian thực
CloudFront mang đến 2 cách để ghi nhật ký yêu cầu gửi từ hoạt động phân phối của bạn: Ghi nhật ký tiêu chuẩn và Ghi nhật ký theo thời gian thực. Nhật ký tiêu chuẩn được gửi đến vùng lưu trữ Amazon S3 mà bạn chọn (bản ghi nhật ký sẽ được gửi đi trong vòng vài phút sau khi nhận được yêu cầu của người xem). Khi được bật, CloudFront sẽ tự động phát hành thông tin nhật ký chi tiết ở định dạng mở rộng W3C vào vùng lưu trữ Amazon S3 mà bạn chỉ định. Nhật ký theo thời gian thực của CloudFront được gửi đến luồng dữ liệu bạn chọn trong Amazon Kinesis Data Streams (bản ghi dữ liệu được gửi đi trong vòng vài giây kể từ khi nhận được yêu cầu của người xem). Bạn có thể chọn tỷ lệ lấy mẫu cho nhật ký theo thời gian thực của mình—đó là phần trăm số yêu cầu mà bạn muốn nhận được bản ghi nhật ký theo thời gian thực. Tìm hiểu thêm về các chức năng ghi nhật ký của CloudFront ở đây.

Thân thiện với DevOps

Lan truyền thay đổi nhanh chóng và vô hiệu hóa
CloudFront cung cấp khả năng lan truyền thay đổi nhanh chóng và vô hiệu hóa trong vòng vài phút. Thông thường, các thay đổi được lan truyền đến biên sau vài phút còn thời gian vô hiệu hóa là không đến hai phút.

API đầy đủ tính năng và Công cụ dành cho DevOps
Amazon CloudFront cung cấp cho nhà phát triển API đầy đủ tính năng để tạo, định cấu hình và duy trì phân phối CloudFront. Ngoài ra, nhà phát triển được truy cập một số công cụ như AWS CloudFormation, CodeDeploy, CodeCommit và SDK AWS để định cấu hình và triển khai khối lượng công việc bằng Amazon CloudFront.

Hành vi biên
Phân phối CloudFront được định cấu hình với nhiều hành vi giúp kiểm soát cách CloudFront sẽ xử lý yêu cầu và những tính năng được áp dụng. Tùy chỉnh các hành vi CloudFront, chẳng hạn như cách CloudFront lưu vào bộ nhớ đệm, cách CloudFront giao tiếp với nguồn của bạn, tiêu đề và siêu dữ liệu nào được chuyển tiếp đến nguồn của bạn, tạo các biến thể nội dung bằng thao tác khóa trên bộ nhớ đệm linh hoạt, lựa chọn các chế độ nén, phần tiêu đề nào được thêm vào phản hồi HTTP của bạn, v.v. Với tính năng phát hiện thiết bị tích hợp sẵn, CloudFront có thể phát hiện loại thiết bị (Máy tính bàn, Máy tính bảng, Tivi thông minh hoặc Thiết bị di động) rồi gửi thông tin đó dưới dạng Tiêu đề HTTP mới đến ứng dụng của bạn để dễ dàng thích nghi biến thể nội dung hoặc các phản hồi khác. Amazon CloudFront cũng có thể phát hiện vị trí cấp quốc gia của người dùng yêu cầu để tùy chỉnh thêm phản hồi.

Triển khai liên tục

Việc triển khai liên tục bằng CloudFront giúp bạn có được cấp độ an toàn cao khi triển khai. Giờ đây, bạn có thể triển khai hai môi trường riêng biệt nhưng giống hệt nhau – xanh lam và xanh lục, đồng thời cho phép tích hợp đơn giản vào các quy trình tích hợp và phân phối liên tục (CI/CD) với khả năng dần dần cho ra mắt các bản phát hành mà không có bất kỳ thay đổi nào về hệ thống tên miền (DNS). Điều này đảm bảo rằng người xem của bạn có được trải nghiệm nhất quán thông qua độ cố định của phiên bằng cách liên kết phiên của người xem với cùng một môi trường. Ngoài ra, bạn có thể so sánh hiệu suất của các thay đổi bằng cách theo dõi nhật ký tiêu chuẩn và theo thời gian thực, đồng thời nhanh chóng hoàn nguyên về cấu hình trước đó khi thay đổi tác động tiêu cực đến dịch vụ. Các trường hợp sử dụng điển hình cho tính năng này bao gồm kiểm tra tính tương thích ngược, xác minh sau khi triển khai và xác thực các tính năng mới với một nhóm người xem nhỏ hơn. Tìm hiểu thêm >>

 

Tiết kiệm chi phí

Các tùy chọn định giá cho từng cấp độ sử dụng
CloudFront mang đến các lựa chọn giá được cá nhân hóa bao gồm thanh toán theo mức sử dụng, Amazon CloudFront Security Savings Bundle và giá tùy chỉnh. Định giá thanh toán theo mức sử dụng rất đơn giản và không cần phí trả trước. Nếu bạn muốn nhận được chiết khấu, gói CloudFront Security Savings giúp bạn tiết kiệm đến 30% hóa đơn CloudFront để đổi lấy cam kết chi tiêu hàng tháng trong thời hạn 1 năm. Gói tiết kiệm này cũng bao gồm mức sử dụng AWS WAF miễn phí lên đến 10% chi tiêu cam kết hàng tháng. Đối với các khách hàng sẵn sàng đưa ra cam kết lưu lượng truy cập tối thiểu nhất định (thường từ 10 TB/tháng trở lên), chúng tôi cũng áp dụng các chiết khấu bổ sung đi kèm với giá cam kết riêng.
Tìm hiểu thêm về cách định giá Amazon CloudFront.

Truyền dữ liệu miễn phí giữa dịch vụ đám mây AWS và Amazon CloudFront cho các tác vụ tải nạp gốc
Nếu dùng các vị trí nguồn của AWS như Amazon S3, Amazon EC2 hay Elastic Load Balancing, bạn sẽ không cần trả phí cho dữ liệu truyền từ vị trí nguồn sang Vị trí biên CloudFront (kiểu truyền dữ liệu này còn được gọi là tải nạp gốc). Để tìm hiểu thêm về tất cả các tính năng của Amazon CloudFront và cách thức định cấu hình, vui lòng tham khảo Hướng dẫn dành cho nhà phát triển Amazon CloudFront.

Giảm chi phí vận hành gốc
Không phải tất cả các vị trí nguồn đều giống nhau và một số có thể liên quan đến các quy trình như đóng gói tức thời có chi phí tính toán trên mỗi GB đắt hơn so với việc tải nạp nội dung từ bộ nhớ. CloudFront cung cấp miễn phí các bộ nhớ đệm biên khu vực nhằm giảm gánh nặng vận hành đối với các vị trí nguồn và giảm chi phí vận hành. Có thể giảm thêm chi phí liên quan đến vị trí nguồn bằng cách sử dụng Origin Shield để giảm thiểu số lượng tác vụ tải gốc. Origin Shield cung cấp bộ nhớ đệm tập trung để tối ưu hóa tỷ lệ truy cập vào bộ nhớ đệm và thu gọn yêu cầu giữa các khu vực, dẫn đến chỉ có một yêu cầu gốc cho mỗi đối tượng.

Tìm hiểu thêm >>

Thông tin mới

  • Ngày
1
Tìm hiểu thêm về giá của Amazon CloudFront

Trong khuôn khổ của Bậc sử dụng miễn phí của AWS, bạn được quyền bắt đầu sử dụng Amazon CloudFront miễn phí. Sau khi đăng ký, khách hàng mới của AWS sẽ được nhận 50 GB dữ liệu truyền ra và 2.000.000 yêu cầu HTTP và HTTPS mỗi tháng trong một năm.

Tìm hiểu thêm 
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS. 

Đăng ký 
Bắt đầu dựng với AWS

Hãy làm theo Hướng dẫn bắt đầu của chúng tôi để bắt đầu tác vụ phân phối bằng Amazon CloudFront đầu tiên của bạn chỉ trong vài cú nhấp chuột.

Bắt đầu