brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Dec 17. 2020

525. AWS CDN서비스 CloudFront

<1>  CloudFront 개요

<2>  Cloud Front는 ACM 과 같이 사용가능

<3>  CloudFront에지에  이미 포함되어 있는  AWS Shield Standard

<4>  CloudFront는   Dynamic 컨텐츠 배달이 가능하다.

<5>  CloudFront 장점과 제공 방식

<6>  CloudFront  비용

<7>  CloudFront  람다 에지

<8>  CloudFront 보안

<9>  Route53

<10> Global  Accelerator



<1> CloudFront 개요


1

CDN서비스

AWS WAF , Shield와 연계 됨.

Lambda@Edge Compute 로 에지단에서 처리가 가능하다.

다양한 보안 기능이  들어있다.

비용 효율적인 옵션이 들어 있다.


2

Network Acceleration (TCP Optimization) 지원

Latency Based Routing 으로 기본 제공한다.  

가장 응답시간이 짧은것.


3

오리진으로 가능한것  ?

EC2

S3

Custom server 


4

아키텍처

User-------->  Cloud Front에문의 -----------> 오리진에서 받아옴



5

Offloading  


Edge Caches로    2차로 중간에서 한번 보관하고 있다.


아키텍처

클라이언트----------- Edge Caches  -------- 오리진


Edge Caches는 12개, 서울에도 1개가 있다.



6

비용발생?

사용하는 만큼만 비용 발생

CloudFront는 자동 확장된다.



7

하나의 서비스, 많은 Case 사용가능.


Static / Dynamic 웹사이트 컨텐츠 제공

파일 전송

큰 파일 전송

비디오 스트리밍을 지원한다.


8

캐쉬 무효화 가능하다. ???

수동으로 캐쉬 삭제가 가능하다.

와일드카드 (*) 로    15개 패스까지 적용가능하다.

와일드카드 (*) 사용시 개별 오브 젝트에 대한 제한은 없다.

1분정도 소요 된다.


9

CloudFront Logs and Reports 


Client ------- CloudFront ------ Reporting (콘솔) 

                                                  ------ Real time 모니터링 (CloudWatch)

                                                   ----- Access Logs (s3 저장)


10 

HTTP와 HTTPS 제공 ?


HTTP와 HTTPS 제공한다. 같은 플랫폼에서 제공한다.

HTTP와 HTTPS   전송 비용은   동일하다


*.cloudfront.net 으로 할경우 비용이 발생하지 않는다.


고객 도메인 (SNI or Dedicate IP) 은 일정 비용이 발생한다.


// SNI는 어떤 리퀘스트가 들어올때 도메인 이름을 포함해서 들어오는 경우를 SNI라 한다.




<2>  Cloud Front는 ACM 과 같이 사용가능


1

Cloud Front와 연계해 사용할수 있다.


2

Client ----------https --------Cloudfront------http/https ---- origin

성능이 중요하면 http로 사용한다.





<3>  CloudFront에지에  이미 포함되어 있는  AWS Shield Standard


1

AWS Shield Standard 는 에지에 탑재 되어 있다.


2

ddos --------->  blackwatch-----------cloudfrotn/route53 ------- vpc



3

L7공격을 막기위해 WAF를 같이 사용한다.


IP Lists/ SQL Injection / XSS / Hrader and Query string match 차단 가능


4

추가 보안 기능 ?


커스템 해더 로 제한

IP GEO 제한

Signed URL / Cookie 로 제한

S3 Origin Access Identity  로  CF와 S3와 인증으로 Access할수 있도록 설정이 가능하다.




<4>  CloudFront는   Dynamic 컨텐츠 배달이 가능하다.


1

Path pattern maching기능



커스텀 --------- CloudFront  ----------- /images/*.jpg인경우는 오리진A  ,    /down/*.php   오리진B로 할수도 있다.


Staic , Dynamic  컨텐츠



2

행동탭

Mimimum TTL ,  Max , Default를 지정할 수 있다.




<5> CloudFront 장점과 제공 방식


1

장점 ?

RTT 줄여 준다.


2

Half 브리지 방식 ?

https ------------- cloud front ------- http 로 제공 가능


3

Full 브리지 방식  ?

https ------------- cloud front ------- https  로 제공 가능




<6> CloudFront  비용


1

데이터 전송 비용 Out 

요청 비용

Dedicate IP 고객 인증서 사용시 비용 (SNI 는 무료)

무효화 처리 비용


2

클라우드 프론트는  용량을  예약하여 비용 할인을 받을수 있다.

CFRC 


11테라 사용중인데  10테라는 계속 사용하겠다고 예약하면  할인 받을수있다.




<7> CloudFront  람다 에지


1

클라우드 프론트에   람다를 트리거해서 사용하는 법


클라우드 프론트에  람다 함수의 이벤트 타입을 선택 ------- 람다 동작 처리함.


2

node.js로 된 코드로  처리가능한 Lambda#Edge 가 가능한 것?   

해더를 바꾼다던지

인증

https 리다이렉션

a/b test

access control


3

람다 > blud print 에서  cloudfront 블루 프린트로 사용하면 쉽다.




<8>  CloudFront 보안


범위 2가지 ?

Access-Control  엔세스 제어

Encrypted Connections   암호화




<9> Route53


1

Zone Apex 통합?

ELB , S3, CloudFront(CDN) 사용 가능.


2

비용?

도메인 수량

DNS Query에 대한 응답 횟수




<10> Global  Accelerator


글로벌 리전에 서비스를 만들었을때  싱글 엔드포인트로 서비스하게 하는것.


https://brunch.co.kr/@topasvga/1336



감사합니다.






매거진의 이전글 524. AWS 보안, AWS Artifact
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari