Amazon CloudFront 是一个功能强大的全球内容分发网络(CDN),它不仅能提升网站和应用的访问速度,更是一个集高性能、强安全性和高性价比于一体的综合性应用交付平台。本文将从核心概念到高级实践,详细讲解 CloudFront 的使用方法。
在动手跟着实践之前,需要准备好你的亚马逊云服务的账号,在亚马逊云科技官网可以注册
🧐 CloudFront 核心概念解析
内容分发网络(Content Delivery Network,CDN)的核心目标是解决由于用户与服务器地理距离较远而导致的网络延迟问题。它通过在全球范围内部署大量称为边缘站点( Edge Location) 的服务器,并将网站内容缓存到这些节点。当用户请求内容时,系统会将请求引导至距离用户最近的边缘站点,从而大幅缩短数据传输路径,实现访问加速。
CloudFront 的架构主要由三个核心组件构成:
- 源站(Origin): 内容的权威来源,存储所有文件的原始版本。当边缘站点没有缓存内容时,会回源站获取最新内容。CloudFront 支持多种类型的源站,最常见的是 Amazon S3 存储桶 (适用于存放静态文件)以及自定义源站(例如 EC2 实例、负载均衡器或其他 HTTP 服务器)。
- 边缘站点( Edge Location): 是分布在全球各地的数据中心,用于缓存文件副本并直接响应用户请求。这些站点通过亚马逊云的全球私有骨干网络连接,确保了从边缘站点到源站之间的高效、稳定的数据传输。
- 分发 (Distribution): CloudFront 的核心配置单元。在创建分发时,你需要定义源站、配置基于 URL 路径的缓存行为 (Cache Behavior) ,以及设置自定义域名、SSL 证书、安全防护等。创建后,CloudFront 会分配一个唯一的域名(如
d1234.cloudfront.net)供你使用。
请求流程简述: 用户请求被路由到最近的边缘站点。如果内容存在于该站点的缓存中(缓存命中 Cache Hit ),则立即返回给用户,性能最佳。如果不存在(缓存未命中 Cache Miss),边缘站点会向源站请求内容,获取后先缓存起来,再交付给用户。
性能、安全与成本的统一
Amazon CloudFront 的核心价值在于三大支柱的深度融合:
- 卓越性能: 通过全球边缘网络缓存静态内容,并利用亚马逊云私有骨干网加速动态内容和 API 请求,实现极低延迟。
- 分层安全: 作为应用的"前门",支持免费的 HTTPS 证书、地理位置限制、签名 URL/Cookie 等访问控制,并能与 Amazon WAF (Web 应用防火墙) 和 Amazon Shield (DDoS 防护) 无缝集成。
- 成本效益: 采用按需付费模式,并提供慷慨的免费套餐。最关键的是,从任何亚马逊云源站 (如 S3, EC2) 到 CloudFront 的数据传输完全免费,你只需为从 CloudFront 传出到用户的数据付费。同时,通过缓存大大降低了源站的负载和成本。
✍️ 实践:使用 Amazon S3 和 OAC 搭建安全的静态网站加速
本章将指导你如何使用 Amazon S3 作为源站,并结合当前最佳安全实践------源访问控制 (Origin Access Control, OAC) ,来搭建一个安全的静态网站。
准备工作
首先得准备一个亚马逊云的账号才能使用它的服务。
- 打开官网:访问亚马逊云科技官网,点击右上角 "创建用户" 按钮。
- 验证邮箱:输入邮箱地址,查收验证码并完成验证。
- 设置密码:为账户设置登录密码。
- 填写个人信息:输入姓名、联系方式等基本信息。
- 绑定支付方式:使用 VISA 卡等主流信用卡 / 借记卡,完成账单信息填写。
- 身份验证:选择短信验证,地区选 "中国",接收并输入验证码。
- 选择支持计划:个人用户选 "基本支持(免费)",企业按需选择付费计划。
- 完成注册:提交后等待验证,通过后登录账户,进入管理控制台即可使用服务。
开始动手操作~
- 创建 Amazon S3 存储桶: 在 S3 控制台创建一个全局唯一的存储桶。
一个允许启用了 OAC 的 Amazon CloudFront 分发仅读访问的 S3 桶策略示例
json
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AllowCloudFrontServicePrincipalReadOnly",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::<S3 bucket name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
}
}
}
}允许启用了 OAC 的 CloudFront 分发进行读写访问的 S3 存储桶策略示例
json
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::<S3 bucket name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
}
}
}
}- 保持存储桶私有: 在"阻止公有访问权限设置"中,保持"阻止所有公有访问权限"为选中状态 。这是确保安全的关键一步,防止任何人绕过 CloudFront 直接访问你的文件。 3. 上传内容: 将你的静态网站文件(如
index.html)上传到存储桶。
安全实践:配置源访问控制 (OAC)
OAC 是亚马逊云当前推荐的最佳实践,用于安全地连接 CloudFront 和私有 S3 存储桶。它创建了一个经过身份验证的专有通道,只允许你指定的 CloudFront 分发访问 S3。相比于旧版的源访问身份 (OAI),OAC 在安全性和功能性上都有显著提升,例如支持 SSE-KMS 加密和所有 HTTP 方法。其核心优势是能有效防范"困惑的副手"问题,确保只有来自你特定分发的请求才被授权。
以下示例展示了允许具有 OAC 的 CloudFront 分发访问 SSE-KMS 的 KMS 密钥的 Amazon KMS 策略声明。
json
{
"Sid": "AllowCloudFrontServicePrincipalSSE-KMS",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudfront.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
}
}
}分步操作:创建 CloudFront 分发
-
导航至 CloudFront 控制台并点击"创建分发"。
-
配置源站:
- 在"源域"中,选择你的 S3 存储桶。
- 在"源访问"部分,选择 "Origin access control settings (recommended)" 并创建一个新的控制设置。
-
配置默认缓存行为:
- 查看器协议策略: 选择 "Redirect HTTP to HTTPS " ,强制使用安全连接。
- 允许的 HTTP 方法: 对于静态网站,选择 "GET, HEAD" 。
- 缓存策略: 初学者可选用亚马逊云托管的 "Managed-CachingOptimized" 策略。
-
配置分发设置:
- 级别: 选择 "Use all edge locations (best performance)" 以获得最佳全球性能。
- 默认根对象: 输入
index.html。
-
创建分发并更新 Amazon S3 存储桶策略:
- 点击"创建分发"。控制台顶部会出现一个蓝色横幅,提示你更新 Amazon S3 策略。
- 点击 "复制策略" ,然后点击链接跳转到 Amazon S3 存储桶权限页面,将复制的 JSON 策略粘贴并保存。此策略授予了你的 Amazon CloudFront 分发读取 Amazon S3 存储桶的权限。
-
等待部署完成,分发状态变为"已启用"。
验证与测试
- 通过 Amazon CloudFront 访问: 在浏览器中访问你的分发域名(如
https://d123.cloudfront.net),应能看到你的网站。 - 验证 OAC 安全性: 尝试直接访问 Amazon S3 中的文件 URL,应看到"Access Denied"错误,证明 S3 已被成功保护。
- 检查缓存状态: 使用浏览器开发者工具,查看网络请求的响应头。第一次请求时
X-Cache头应为Miss from cloudfront,刷新后应变为Hit from cloudfront,表示已从边缘缓存提供,实现了加速。
⚙️ 高级配置与性能优化
缓存策略解析
通过创建自定义缓存策略,你可以精确控制缓存行为,在性能和内容新鲜度之间找到最佳平衡。
-
TTL (Time-To-Live): 决定对象在缓存中保留的时间。CloudFront 会优先遵循源站的
Cache-Control头,但其生效时间会被限制在你设置的最小和最大 TTL 范围内。 -
缓存键 (Cache Key):
-
唯一标识缓存对象的"指纹"。缓存键越复杂(包含的请求部分越多),缓存命中率可能越低。你可以根据需求,选择性地将HTTP 标头 (Headers)、Cookie和查询字符串 (Query Strings)加入缓存键。
- 最佳实践 : 对于静态资源,缓存键应尽可能简单(不包含标头、Cookie、查询字符串),以最大化缓存命中率。
- 内容压缩: 强烈建议启用"Brotli"和"Gzip"压缩,这可以显著减小文件大小,加快加载速度并降低数据传输成本。
自定义域名与 HTTPS
为生产环境使用你自己的品牌域名是必不可少的。
- 在 ACM 中请求 SSL / TLS 证书: 亚马逊云 Certificate Manager (ACM) 提供免费的公共 SSL/TLS 证书。
- 更新 CloudFront 分发: 在分发设置的"备用域名 (CNAME)"字段中添加你的自定义域名,并在"自定义 SSL 证书"部分选择你在 ACM 创建的证书。
- 更新你的 DNS 记录: 在你的 DNS 提供商处,创建一个
CNAME记录(或在 Route 53 中创建A类型的别名记录),将你的自定义域名指向 CloudFront 分发域名。
动态内容加速
CloudFront 同样能出色地加速动态内容和 API。
-
配置自定义源站: 在创建分发时,选择你的Amazon EC2 实例或 Application Load Balancer (ALB) 作为源站。
-
配置协议: 强烈建议将"源协议策略"设置为 " HTTPS Only" ,强制 CloudFront 与你的源站之间使用加密连接。
-
调整缓存行为:
- 允许的 HTTP 方法: 选择 "GET, HEAD, OPTIONS, PUT, POST, PATCH , DELETE" 以支持所有 API 操作。
- 缓存策略: 对于 API,通常选择 "Managed-CachingDisabled" 策略或创建一个所有 TTL 均为 0 的自定义策略。务必将应用所需的
Authorization标头等信息转发到源站。
缓存刷新策略,缓存失效
当你需要立即从 Amazon CloudFront 缓存中移除旧内容时,可以使用缓存失效 (Cache Invalidation) 功能。
- 操作步骤: 在Amazon CloudFront 控制台的"失效"选项卡中,输入你想移除的文件路径(支持
*通配符)并创建失效请求。 - 成本: 每月前 1,000 个失效路径免费,超出部分需付费。
- 最佳实践 - 文件版本控制: 对于计划内的更新,更好的做法是使用文件版本控制 。即在文件名中包含版本标识符(如
app.v2.js)。这种方法无额外成本,更新即时,且易于回滚,是比缓存失效更健壮、更经济的策略。
🔐 安全架构
端到端加密,强制实施 HTTPS
实现端到端加密需同时保护两个区段:用户到 AmazonCloudFront,以及 AmazonCloudFront 到源站。
- 保护"查看器到 Amazon CloudFront": 在分发的"行为"设置中,将"查看器协议策略"设置为 "Redirect HTTP to HTTPS " 。
- 保护" Amazon CloudFront 到源站": 在"源"设置中,将"源协议策略"设置为 " HTTPS Only" 。
内容访问控制
-
地理限制 (Geo-Restriction): 允许或禁止来自特定国家/地区的用户访问你的内容,适用于有版权限制的场景。
-
签名 URL 和签名 Cookie:
-
用于保护私有内容(如付费用户专享内容)。你的应用程序会生成一个带有过期时间等策略的加密签名。
- 签名 URL : 适用于分发单个文件。
- 签名 Cookie : 适用于需要让用户访问多个受限文件的情况。
应用层防护,集成 Amazon WAF
CloudFront 与亚马逊云 Web Application Firewall (WAF) 的无缝集成,使其能够在网络边缘抵御 SQL 注入、跨站脚本 (XSS) 等常见 Web 攻击。
-
核心优势: 在 CloudFront 边缘部署 WAF,可以在恶意请求到达你的源站之前就将其拦截,极大地减小了攻击面,并节省了源站的处理资源和成本。
-
集成步骤:
- 在 Amazon WAF 控制台的 "Global (CloudFront)" 区域创建一个 Web ACL。
- 向 Web ACL 添加规则。强烈建议从亚马逊云托管规则集(如
AWSManagedRulesCommonRuleSet)开始,它们可以提供对 OWASP Top 10 威胁的覊础防护。 - 将创建的 Web ACL 关联到你的 CloudFront 分发。
💰 成本管理与监控运维
Amazon CloudFront 模型对比
Amazon CloudFront 的成本主要由以下几部分构成:
- 数据传出到互联网: 成本的主要部分,按从边缘站点传输到用户的数量计费,费率因地区而异。
- HTTP/ HTTPS 请求费用: 按请求数量计费。
- 源站数据传入: 从亚马逊云源站(S3, EC2 等)到 CloudFront 的数据传入完全免费。
- 其他费用: 如缓存失效请求、Lambda@Edge 调用等。
亚马逊云提供永久免费套餐,每月包括 1TB 的数据传出和 1000 万次请求。
成本优化:选择合适的💰等级
💰等级 (Price Class) 允许你通过排除数据传输费率较高的边缘区域来优化成本。
| 💰等级 | 包含的区域 | 排除的区域 | 理想用例 |
|---|---|---|---|
| All (默认) | 所有区域 | 无 | 面向全球用户,追求最佳性能。 |
| 200 | 北美、欧洲、亚洲、中东、非洲 | 澳大利亚、南美洲 | 用户主要分布在北美、欧洲和亚洲。 |
| 100 | 仅北美和欧洲 | 亚洲、澳、南美、中东、非洲 | 用户群体明确集中在北美和欧洲。 |
监控与故障排查
- Amazon CloudWatch 指标: CloudFront 自动向 CloudWatch 推送关键性能指标,如
Requests、CacheHitRate(缓存命中率)和5xxErrorRate(源站错误率)。你可以基于这些指标创建警报,例如当5xxErrorRate升高时发出通知。 - 标准访问日志 (Access Logs): 你可以将包含每个请求详细信息(如客户端 IP、URL、
X-Cache状态)的日志记录到 S3 存储桶中,用于深度分析和故障排查。
验证缓存行为,解读 X-Cache 响应头
X-Cache 响应头是调试缓存行为最直接的工具:
X-Cache: Hit from cloudfront: 理想状态,表示内容由边缘缓存直接提供。X-Cache: Miss from cloudfront: 缓存中不存在该内容,CloudFront 已从源站获取。首次访问正常,但频繁出现 Miss 可能意味着缓存策略配置不当。X-Cache: RefreshHit from cloudfront: 内容已过期,CloudFront 向源站验证后(如源站返回 304 Not Modified),从缓存提供更新后的内容。X-Cache: Error from cloudfront: CloudFront 处理请求时出错,通常指向源站或网络连接问题。
以上就是本文的全部内容啦。最后提醒一下各位工友,如果后续不再使用相关服务,别忘了在控制台关闭,避免超出免费额度产生费用~