Tính năng chính của Amazon CloudFront

  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Bắc Mỹ
  • Skip Map
    List view
  • Nam Mỹ
  • Skip Map
    List view
  • Châu Âu
  • Skip Map
    List view
  • Trung Đông
  • Skip Map
    List view
  • Châu Phi
  • Skip Map
    List view
  • Châu Á Thái Bình Dương
  • Skip Map
    List view
  • Úc và New Zealand
  • Skip Map
    List view

Mạng biên toàn cầu

Khả năng kết nối mạng đáng tin cậy, độ trễ thấp và thông lượng cao

Trục chính và khả năng kết nối mạng

Amazon CloudFront kết nối ngang hàng với hàng nghìn nhà mạng viễn thông Bậc 1/2/3 trên toàn cầu, được kết nối tốt với tất cả các mạng truy cập chính cho hiệu năng tối ưu và có hàng trăm terabit công suất được triển khai. Các vị trí biên của CloudFront được kết nối liền mạch với Khu vực AWS thông qua mạng trục chính có dự phòng đầy đủ của AWS. Trục này bao gồm nhiều sợi quang 400GbE song song trên toàn cầu và giao diện với hàng chục nghìn mạng để cải thiện tác vụ nạp gốc và tăng tốc nội dung động.

Amazon CloudFront có ba loại cơ sở hạ tầng để phân phối nội dung một cách bảo mật với hiệu suất cao cho người dùng cuối:

  • Bộ nhớ đệm ẩn biên khu vực (REC) CloudFront được đặt trong Khu vực AWS, giữa máy chủ web của ứng dụng và Điểm hiện diện (POP) CloudFront và Điểm hiện diện được nhúng. CloudFront có 13 REC trên toàn cầu.
  • Điểm hiện diện CloudFront được đặt trong mạng AWS và ngang hàng với các mạng của nhà cung cấp dịch vụ Internet (ISP). CloudFront có hơn 600 POP trong hơn 100 thành phố tại hơn 50 quốc gia.
  • Điểm hiện diện được nhúng của CloudFront được đặt trong mạng của nhà cung cấp dịch vụ Internet (ISP) gần người xem cuối nhất. Ngoài các POP của CloudFront, có hơn 600 POP được nhúng tại hơn 200 thành phố ở Bắc Mỹ, Châu Âu và Châu Á.

Tìm hiểu thêm về Amazon CloudFront ở Trung Quốc

Bảo mật

Bảo vệ chống tấn công lớp mạng và ứng dụng
Amazon CloudFront, AWS Shield, Tường lửa ứng dụng web (WAF) của AWS và Amazon Route 53 kết hợp liền mạch với nhau để tạo một vành đai bảo mật theo lớp linh hoạt giúp bảo vệ chống lại nhiều kiểu tấn công khác nhau, bao gồm tấn công DDoS lớp mạng và ứng dụng. Tất cả các dịch vụ này cùng nằm ở biên AWS và tạo ra một vành đai bảo mật có quy mô linh hoạt, tin cậy và có hiệu năng cao cho các ứng dụng và nội dung. Sử dụng CloudFront làm “cửa trước” dẫn vào ứng dụng và cơ sở hạ tầng, bề mặt tấn công chính sẽ bị loại khỏi nội dung, dữ liệu, mã và cơ sở hạ tầng quan trọng. Tìm hiểu thêm về Biện pháp tốt nhất của AWS cho Khả năng chống chịu DDoS.

Với Amazon CloudFront, nội dung, API hoặc các ứng dụng có thể được phân phối qua HTTPS bằng cách sử dụng phiên bản Bảo mật lớp vận chuyển (TLSv1.3) mới nhất để mã hóa và bảo mật giao tiếp giữa ứng dụng máy khách của người xem và CloudFront. Có thể dùng Trình quản lý chứng chỉ của AWS (ACM) để dễ dàng tạo chứng chỉ SSL tùy chỉnh và triển khai miễn phí cho phân phối CloudFront. ACM tự động xử lý việc gia hạn chứng chỉ, loại bỏ toàn bộ chi phí và phí tổn của quy trình gia hạn thủ công. Ngoài ra, CloudFront còn cung cấp một số chức năng nâng cao và tối ưu hóa TLS, chẳng hạn như kết nối HTTPS toàn cầu/nửa cầu, ghim giao thức trạng thái OCSP, Phiếu phiên, Bí mật chuyển tiếp hoàn hảo, Thực thi giao thức TLS và Mã hóa các trường dữ liệu cụ thể.

Với Amazon CloudFront, chỉ có thể truy cập nội dung thông qua một số chức năng. Với URL được ký và Cookie được ký, tính năng Xác thực mã thông báo sẽ được hỗ trợ để giới hạn chỉ người xem đã xác thực mới có thể truy cập. Thông qua chức năng giới hạn địa lý, người dùng ở một số vị trí địa lý cụ thể có thể bị ngăn truy cập vào nội dung được phân phối thông qua CloudFront. Với tính năng Origin Access Identity (OAI), quyền truy cập có thể bị giới hạn ở vùng lưu trữ Amazon S3, từ đó, chỉ có thể truy cập vùng lưu trữ từ CloudFront. Tìm hiểu thêm.

Tất cả cơ sở hạ tầng và quy trình của CloudFront (ngoại trừ các POP được nhúng của CloudFront) đều tuân thủ PCI-DSS Cấp 1, HIPAA và ISO 9001, ISO/IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 và 3), FedRAMP Moderate, v.v. để bảo đảm phân phối dữ liệu nhạy cảm một cách bảo mật.

Độ sẵn sàng

Origin Shield

Các ứng dụng web thường phải đối mặt với việc tăng lưu lượng đột biến vào thời điểm hoạt động cao điểm. Khi sử dụng Amazon CloudFront, khối lượng yêu cầu từ nguồn ứng dụng sẽ tự động giảm. Nội dung được lưu ở bộ nhớ đệm khu vực và biên của CloudFront và chỉ được tải từ vị trí nguồn nếu cần. Có thể giảm thêm tải tại vị trí nguồn ứng dụng bằng cách sử dụng Origin Shield để kích hoạt lớp bộ nhớ đệm tập trung. Origin Shield tối ưu hóa tỷ lệ truy cập bộ nhớ đệm và thu gọn yêu cầu trên các khu vực, dẫn đến chỉ có một yêu cầu gốc cho mỗi đối tượng. Việc giảm lưu lượng truy cập đến vị trí nguồn sẽ giúp tăng tính khả dụng cho các ứng dụng của bạn.

Bật tính năng dự phòng vị trí nguồn

CloudFront hỗ trợ nhiều vị trí nguồn để dự phòng kiến trúc backend. Chức năng chuyển đổi dự phòng nguồn riêng của CloudFront sẽ tự động phân phối nội dung từ vị trí nguồn sao lưu khi vị trí nguồn chính không khả dụng. Các vị trí nguồn được thiết lập với chuyển đổi dự phòng nguồn có thể là bất kỳ tổ hợp nào bao gồm các vị trí nguồn AWS như phiên bản EC2, vùng lưu trữ Amazon S3 hoặc Media Services hay các vị trí nguồn không thuộc AWS như máy chủ HTTP tại chỗ. Ngoài ra, bạn có thể triển khai các chức năng chuyển đổi dự phòng nguồn nâng cao với CloudFront và Lambda@Edge.

Điện toán biên

Các chức năng của CloudFront

Amazon CloudFront cung cấp các chức năng điện toán biên CDN có thể lập trình và bảo mật thông qua CloudFront Functions và AWS Lambda@Edge. CloudFront Functions rất phù hợp cho các hoạt động ở quy mô lớn và có yêu cầu cao về độ trễ như thao tác với tiêu đề HTTP, viết lại/chuyển hướng URL và chuẩn hóa đệm-khóa. Những loại hoạt động nhẹ, chạy trong thời gian ngắn này hỗ trợ lưu lượng truy cập thường không thể đoán trước và tăng đột biến. Ví dụ: bạn có thể sử dụng CloudFront Functions để chuyển hướng yêu cầu đến các phiên bản ngôn ngữ cụ thể của trang web của bạn dựa trên tiêu đề Chấp nhận ngôn ngữ của yêu cầu đến. Do những hàm này thực thi tại tất cả vị trí biên của CloudFront, chúng có thể ngay tức thì tăng quy mô lên hàng triệu yêu cầu mỗi giây với độ trễ thấp nhất, thường là dưới 1 mili giây. Bạn cũng có thể sử dụng CloudFront KeyValueStore, một kho dữ liệu khóa giá trị toàn cầu có độ trễ thấp để lưu trữ và truy xuất dữ liệu tra cứu từ bên trong Các chức năng của CloudFront. CloudFront KeyValueStore giúp bạn tùy chỉnh Các chức năng của CloudFront dễ dàng hơn bằng cách cho phép cập nhật dữ liệu độc lập.

Lambda@Edge

AWS Lambda@Edge là một tính năng điện toán phi máy chủ đa dụng hỗ trợ nhiều nhu cầu điện toán và tùy chỉnh. Lambda@Edge phù hợp nhất với các hoạt động tính toán chuyên sâu. Quá trình tính toán này có thể cần thêm thời gian để hoàn thành (vài mili giây đến vài giây), dùng thành phần phụ thuộc trên các thư viện bên ngoài của bên thứ ba, yêu cầu tích hợp với các dịch vụ AWS khác (ví dụ: S3, DynamoDB) hoặc cần thực hiện lệnh gọi qua mạng để xử lý dữ liệu. Một số trường hợp sử dụng nâng cao phổ biến bao gồm thao tác kê khai phát trực tiếp HLS, tích hợp với các dịch vụ phát hiện bot và ủy quyền của bên thứ 3, kết xuất phía máy chủ (SSR) của các ứng dụng một trang (SPA) tại biên, v.v.

Ghi nhật ký và chỉ số theo thời gian thực

Chỉ số theo thời gian thực

Amazon CloudFront được tích hợp với Amazon CloudWatch và tự động phát hành sáu chỉ số hoạt động cho mỗi lần phân phối, chỉ số được hiển thị theo bộ biểu đồ trong bảng điều khiển CloudFront. Ngoài ra, bạn có thể xem các chỉ số chi tiết hiện có chỉ bằng một lượt nhấp vào bảng điều khiển hoặc qua API.

Ghi nhật ký tiêu chuẩn và theo thời gian thực

CloudFront mang đến 2 cách để ghi nhật ký yêu cầu gửi từ hoạt động phân phối của bạn: Ghi nhật ký tiêu chuẩn và Ghi nhật ký theo thời gian thực. Nhật ký tiêu chuẩn được gửi đến vùng lưu trữ Amazon S3 mà bạn chọn (bản ghi nhật ký sẽ được gửi đi trong vòng vài phút sau khi nhận được yêu cầu của người xem). Khi được bật, CloudFront sẽ tự động phát hành thông tin nhật ký chi tiết ở định dạng mở rộng W3C vào vùng lưu trữ Amazon S3 mà bạn chỉ định. Nhật ký theo thời gian thực của CloudFront được gửi đến luồng dữ liệu bạn chọn trong Amazon Kinesis Data Streams (bản ghi dữ liệu được gửi đi trong vòng vài giây kể từ khi nhận được yêu cầu của người xem). Bạn có thể chọn tỷ lệ lấy mẫu cho nhật ký theo thời gian thực của mình—đó là phần trăm số yêu cầu mà bạn muốn nhận được bản ghi nhật ký theo thời gian thực.

Thân thiện với DevOps

CloudFront cung cấp khả năng lan truyền thay đổi nhanh chóng và vô hiệu hóa chỉ trong vài phút. Thông thường, các thay đổi được lan truyền đến biên chỉ trong vài phút, còn thời gian vô hiệu hóa là không đến hai phút

Amazon CloudFront cung cấp cho nhà phát triển API đầy đủ tính năng để tạo, cấu hình và duy trì phân phối CloudFront. Ngoài ra, nhà phát triển được truy cập một số công cụ như AWS CloudFormation, CodeDeploy, CodeCommit và SDK AWS để định cấu hình và triển khai khối lượng công việc bằng Amazon CloudFront.

Phân phối CloudFront được cấu hình với nhiều hành vi giúp kiểm soát cách CloudFront sẽ xử lý yêu cầu và những tính năng được áp dụng. Tùy chỉnh các hành vi CloudFront, chẳng hạn như cách CloudFront lưu vào bộ nhớ đệm, cách CloudFront giao tiếp với nguồn của bạn, tiêu đề và siêu dữ liệu nào được chuyển tiếp đến nguồn của bạn, tạo các biến thể nội dung bằng thao tác khóa trên bộ nhớ đệm linh hoạt, lựa chọn các chế độ nén, phần tiêu đề nào được thêm vào phản hồi HTTP của bạn, v.v. Với tính năng phát hiện thiết bị tích hợp sẵn, CloudFront có thể phát hiện loại thiết bị (Máy tính bàn, Máy tính bảng, Tivi thông minh hoặc Thiết bị di động) rồi gửi thông tin đó dưới dạng Tiêu đề HTTP mới đến ứng dụng của bạn để dễ dàng thích nghi biến thể nội dung hoặc các phản hồi khác. Amazon CloudFront cũng có thể phát hiện vị trí cấp quốc gia của người dùng yêu cầu để tùy chỉnh thêm phản hồi.