CloudFront

글로벌 콘텐츠 전송 네트워크

개요

CloudFront 아키텍처 예시

Geo Restriction(지리적 제한)

Signed URL, Signed Cookies(서명된 URL, 서명된 쿠키)

WAF, Shield

OAI(Origin Access Identity)

개요

https://aws.amazon.com/ko/cloudfront/features/?whats-new-cloudfront.sort-by=item.additionalFields.postDateTime&whats-new-cloudfront.sort-order=desc

•

콘텐츠 전송 네트워크 서비스(CDN)

•

오리진 서버로부터 지역적으로 분산되어있는 캐시 서버로 콘텐츠 분배

◦

오리진 : S3 버킷 또는 HTTP 서버 (ALB 나 EC2 인스턴스)

•

전세계에 배포된 200개 이상의 엣지 로케이션을 이용하여 콘텐츠 전송

•

엣지 로케이션은 데이터를 임시 저장할 수 있는 캐싱 기능이 있음

•

AWS Certificate Manager, Route 53, S3등과 통합

CloudFront 아키텍처 예시

CloudFront 주요기능

정적/동적 콘텐츠 딜리버리

•

정적 콘텐츠, 동적 콘텐츠가 존재함에 따라 CloudFront는 캐시 동작을 최적화하여 제공

오리진 Selection

•

단일 배포에서 여러 오리진을 구성하여 콘텐츠 처리 가능

•

경로 패턴을 분석하여 오리진 대상의 콘텐츠 분산 가능

오리진 그룹을 통한 Failover

•

오리진 그룹 내 기본 오리진과 보조 오리진을 구성하여 기본 오리진에서 응답할 수 없으면 자동으로 보조 오리진으로 변환하여 Failover를 유지

SSL 지원

•

콘텐츠에 대해 SSL/TLS를 통해 전송할 수 있으며, 고급 SSL 기능을 자동으로 활성화 가능

액세스 제어

•

서명된 URL과 서명된 쿠키를 사용하면 토큰 인증을 지원하여 인증된 최종 사용자만 액세스할 수 있도록 제한 가능

Geo Restriction(지리적 제한)

•

특정 국가에서의 콘텐츠 액세스를 제한 하는 기능

•

법률적인 사항으로 국가별로 저작권이 다른 경우에 사용가능

옵션

•

화이트리스트 (Whitelist): 리스트에 있는 국가만 액세스 허용하고 나머지는 모두 거부

•

블랙리스트 (Blacklist): 리스트에 있는 국가만 액세스 거부하고 나머지는 모두 허용

Signed URL, Signed Cookies(서명된 URL, 서명된 쿠키)

•

서명된 URL 또는 쿠키를 이용해서 콘텐츠에 접속하는 기능

•

URL 또는 쿠키에는 콘텐츠만료기간 , 액세스가능한 IP 주소를 저장할 수 있음

•

유료콘텐츠나 보안을 위해 콘텐츠의 유효 만료 기간을 지정해야 하는 경우 사용

•

서명된 URL 은 1 개의 파일에 1 개의 서명만 저장 (1 개의 파일 접속을 위한 URL)

•

서명된 쿠키는 하나의 쿠키로 여러 개의 파일 접속 가능

WAF, Shield

•

AWS Web Application Firewall, Shield 와 결합해 DDoS 방어 기능을 함

OAI(Origin Access Identity)

•

S3 버킷은 OAI(Origin Access Identity) 를 통해 S3 버킷의 엑세스를 클라우드 프론트를 통해서만 하도록 할 수 있음

[실습]

OAI 생성 후 cloudfront의 원본과 연결할 때 정책추가 체크

•

아래의 정책이 원본S3에 자동으로 적용

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EYEHEONBZBMCN"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::hbeen-s3-cloudfront/*"
        }
    ]
}
JSON
복사

S3의 퍼블릭 엑세스 차단 적용

필드레벨 암호화

•

신용카드 번호와 같이 사용자가 제출한 데이터를 안전하게 오리진 서버로 업로드할 수 있게 해주는 기능

•

PUT/POST 요청이 오리진으로 전달되기 전에 엣지로케이션에서 비대칭 암호화 키를 사용하여 데이터를 추가로 암호화

•

데이터는 프라이빗 키를 가진 애플리케이션만 복호화 가능

비용 효율성

•

일반 요금과 약정 트래픽 개별 요금 제공

•

AWS 클라우드 서비스와 오리진에서 CloudFront 간의 무료 데이터 전송 가능

•

S3, EC2, ELB와 같은 AWS 서비스를 오리진으로 사용하는 경우, 오리진에서 CloudFront 엣지 로케이션으로 전송되는 데이터에 대해서는 요금이 청구되지 않음

Labmbda@Edge

•

CloudFront를 통해 전달되는 콘텐츠를 사용자 지정하는 함수를 실행할 수 있게 해주는 AWS Lambda가 확장된 컴퓨팅 서비스

•

Node.js 또는 Python 함수를 작성한 후 사용자와 가까운 엣지 로케이션에서 해당 함수 실행

•

다음과 같은 CloudFront 이벤트가 발생할 때 Lamda 함수 실행

◦

CloudFront가 최종 사용자의 요청을 수신할 때

◦

CloudFront가 오리진에 요청을 전달하기 전

◦

CloudFront가 오리진의 응답을 수신할 때

◦

CloudFront가 최종 사용자에게 응답을 반환하기 전

•

예시

◦

A/B 테스트를 위해 사이트의 다양한 버전을 볼 수 있도록 쿠키를 검사하고 URL을 다시 작성

◦

User-Agent 헤더를 확인하여 사용중인 디바이스를 기반으로 디바이스 화면 크기에 따라 다른 이미지 반환

◦

최종 사용자 요청 또는 오리진 요청 이벤트가 발생할 때 HTTP 응답 생성

◦

데이터 전송 비용을 줄이기 위해 사용자에게 전송되는 파일을 압축

참고

•

CloudFront 설정 후 최초 접근 시 오리진으로 콘텐츠를 받는 작업이 필요

•

헤더 내 X-Cahce 필드 값 : ‘Miss from cloudfront’ → 콘텐츠 응답을 엣지 로케이션이 아닌 오리진을 통해 응답을 주었다는 의미

•

헤더 내 X-Cahce 필드 값 : ‘Hit from cloudfront’ → 콘텐츠 응답을 엣지 로케이션이 응답을 주었다는 의미

로깅

•

로그를 같은 리전의 S3에 출력 가능