AWS SAA - CloudFront & Global Accelerator

CloudFront & Global Accelerator

CloudFront

AWS의 컨텐츠 전달 네트워크, 즉 CDN 이다.

컨텐츠를 엣지에 캐싱하면서 읽기 작업의 퍼포먼스를 향상시키는 서비스이다.

또한, WAF 와 Shield와 연계하여 DDoS 보안을 제공한다.

인증서를 로드하여 외부 HTTPS 엔드 포인트를 제공한다.

S3 as Origin

• 전 세계에 파일을 배포하고 엣지에서 캐시할 때 흔히 볼 수 있는 패턴이다.
• 오리진 엑세스 신분 (OAI) 으로 CloudFront와 S3 Bucket 사이의 보안을 강화해준다.
• CloudFront를 세계 어디서든 파일을 S3에 업로드할 입구처럼 사용할 수 있다.

Custom Origin (HTTP)

• Application Load Balancer
• EC2 instance
• S3 static website
• Any HTTP backend

Geo Restriction

분산 액세스에 제한을 둘 수 있다.

Whitelist / Blacklist를 통해 접근이 가능한 / 불가능한 그룹을 정의할 수 있다.

CloudFront Signed URL / Cookies

CloudFront Distribution을 비공개로 만들기 위해서는 Signed URL 이나 Signed Cookies 를 사용할 수 있다.

• URL 이 언제 만료되는지
• 어떠한 IP 범위가 데이터 접근이 가능한지
• Trusted signers (어떤 AWS 계정이 이러한 서명된 URL을 만들 수 있는지)

Signed URL : 개별 파일에 대한 권한을 준다.

Signed Cookies : 다수의 파일에 대한 권한을 준다.

Pricing Classes

• Price Class All
  • 모든 리전에 대한 엣지 로케이션이 활성화
• Price Class 200
  • 비용이 과도한 곳을 제외한 대부분의 리전에 대한 엣지 로케이션이 활성화
• Price Class 100
  • 비용이 저렴한 리전에 대한 엣지 로케이션을 사용

Multiple Origins

컨텐츠 타입에 따라 다양한 종류의 오리진으로 라우팅되는 기능

Origin Groups

고가용성을 유지하기 위해 failover 기능을 오리진 그룹으로 넣은 것

Primary Origin과 Secondary Origin으로 나뉘게 된다.

Field Level Encryption

어플리케이션 스택을 통해 민감한 정보를 보호하는 기능

HTTPS 사용과 더불어 추가적인 보안을 더해 준다.

AWS Global Accelerator

어플리케이션을 배포했을 때, 전 세계의 다양한 사용자들은 호스트 서버로 연결하기 위해 높은 위험도와 긴 지연시간을 가진다.

따라서, 이를 위해 최대한 빠르게 AWS의 라우팅 네트워크 망으로 들어오게 함으로서 개선할 수 있다.

• 어플리케이션을 라우팅하기 위해 AWS 내부 글로벌 네트워크를 활용한다.
• 두 개의 Anycast IP가 어플리케이션을 위해 생성된다.
• 애니캐스트 IP 는 사용자와 가장 가까운 엣지 로케이션으로 트래픽을 직접 전송한다.

Elastic IP, EC2 instance, ALB, NLB 와 함께 작동한다.

Health Check를 통해서 재해 복구에 더욱 뛰어나다

두 개의 화이트리스트 Anycast IP만 제공되니 보안 측면에서 더욱 뛰어나다.

AWS Shield 를 이용해서 DDoS 보안 또한 제공된다.