[AWS] Developer Associate #7 CloudFront

CDN이란?

• CDN(Content Delivery Network)은 사용자와 물리적으로 가까운 곳에 캐시 서버를 운영하여 컨텐츠를 빠르게 전송하는 캐싱 기술입니다.
• CDN은 클라이언트와 서버 간에 중개 서버(intermediary servers)를 두어 latency를 줄이고 통신 과정에서 delay를 줄이는 것이 목적입니다.
• CDN을 사용하면 사용자는 지리적으로 가까운 CDN 서버에서 저장된 콘텐츠를 제공받게 됩니다.
• CDN은 데이터 사용량이 많은 애플리케이션의 웹 페이지 로드 속도를 높이는 서버 네트워크로 콘텐츠 전송 네트워크 또는 콘텐츠 배포 네트워크를 의미하기도 합니다.
• AWS는 CDN 서비스로 CloudFront를 제공합니다.

CloudFront란?

• Cloud Front는 AWS의 CDN 서비스로 Edge Location이라고 불리는 데이터 센터의 네트워크를 통해 컨텐츠를 전달합니다.
• Edge Location은 실제 데이터가 캐싱되는 장치입니다.
• CloudFront를 사용하는 경우에 사용자가 콘텐츠를 요청하면 지연 시간이 가장 낮은 Edge Location으로 요청이 라우팅되어 성능이 향상됩니다.
• Origin은 컨텐츠가 저장되는 위치이며 CloudFront가 사용자가 제공할 데이터를 가져오는 곳입니다.
• Origin은 S3, ALB, Lambda function URL, EC2, Custom Origin(HTTP), MediaSotre, MediaPackage가 가능합니다.
• Distribution은 CloudFront를 통해 컨텐츠를 제공하기 위한 설정을 포함하는 논리적 단위입니다.
• Distribution은 CloudFront에 파일을 가져올 Origin과 동작하는 방법을 알려주는 설정입니다.
• Distribution은 Origin, Cache Behavior 등으로 구성되고 1개의 Distribution은 최대 25개의 Origin을 조합하여 지정할 수 있습니다.
• Distribution을 생성하면 d111111abcdef8.cloudfront.net과 같은 도메인이 할당됩니다.

CloudFront - Origin

• CloudFront는 Origin으로 S3 Bucket, S3 Object Lambda, S3 Access Point를 사용할 수 있습니다.
• 사용자가 자주 접근하는 객체는 CloudFront를 사용하는 것이 효율적입니다. CloudFront는 S3에 비해 데이터 전송 가격이 저렴하고 사용자와 더 가까운 곳에 저장되어 지연시간이 줄어들기 때문입니다.
• CloudFront는 S3 origin에 인증된 요청을 전송하는 방법으로 Origin Access Control(OAC)와 Origin Access Identity(OAI)를 제공합니다. OAC를 사용하는 것이 best practice입니다.
• CloudFront는 Origin으로 Internet-facing ALB를 사용할 수 있습니다. (Internal ALB는 Origin으로 사용할 수 없습니다.)
• 사용자가 CloudFront를 우회하여 ALB에 접근하는 걸 막기 위해서 AWS-managed prefix를 ALB의 SG에 등록하거나 ALB가 특정 HTTP 헤더를 포함한 요청만 응답하도록 구성할 수 있습니다.
• CloudFront는 Origin으로 EC2, Custom Origin, Lambda function URL을 사용할 수 있습니다.
• Custom Origin은 Public DNS 이름이 있는 HTTP(S) 웹 서버입니다.
• S3 Static website endpoint도 Custom origin으로 간주됩니다.
• Lambda function URL은 Lambda function을 위한 전용 HTTPS endpoint입니다.

CloudFront - Orgin Group

• 고가용성이 필요한 경우 Origin Group을 사용하여 Origin fail-over를 구성할 수 있습니다.
• Origin Group은 Primary origin과 Secondary origin으로 구성됩니다.
• Primary origin이 fail-over를 위해 설정한 HTTP status code를 반환하는 경우 또는 Primary origin에 연결에 실패하거나 응답이 너무 오래 걸리는 경우에 CloudFront는 Secondary origin으로 라우팅합니다.

Cache Key와 Cache Policy

• Cache Key는 Cache에 존재하는 객체를 유일하게 식별하는 값으로 CloudFront는 Cache Key로 Cache Hit인지 Cache Miss 인지 결정합니다.
• Default cache key는 CloudFront distribution의 domain name과 요청 URL 경로로 구성됩니다.
• Cache Policy를 사용하여 Cache key에 HTTP 헤더, cookie, query string 등을 포함시켜 Custom cache key를 만들 수 있습니다.
• Custom cache key를 잘못 지정하게 되면 중복된 객체를 캐싱하고 cache hit 비율을 낮추고 origin request 수를 늘리는 등의 문제가 발생할 수 있습니다. User-agent 또는 사용자별 session id 등을 cache key에 포함시키면 안 됩니다.
• Cache Policy는 일반적인 사례에 적합한 Managed policy와 Custom policy를 제공합니다.

CloudFront Cache behavior와 Invalidation

• Cache behavior를 설정하여 URL 경로 패턴에 따라서 다양한 Origin을 지정할 수 있습니다.
• Cache behavior는 Path pattern, Origin 또는 Origin group, 사용자가 요청하는 프로토콜, 허용되는 HTTP 메서드 등을 지정할 수 있습니다.
• Path pattern과 순서를 잘못 정의하면 사용자에게 원치 않는 데이터를 제공할 수 있으므로 주의 깊게 정의해야 합니다.
• 여러개의 behavior가 있는 경우 기본 패턴(*)은 항상 마지막으로 처리됩니다.
• Invalidation을 사용하면 캐시가 만료되기 전에 캐싱 된 콘텐츠를 삭제하여 콘텐츠를 갱신할 수 있습니다.
  Invalidation은 비용이 발생합니다.

CloudFront Signed Cookie/URL

• Signed URL과 Signed cookie를 사용하면 비공개 컨텐츠를 제공할 수 있습니다.
• 애플리케이션 설치 파일과 같은 개별 파일에 대한 액세스를 제공하려는 경우에는 Signed URL을 사용하는 것이 좋습니다.
• 여러 개의 파일에 대한 액세스를 제공하려는 경우에는 Signed cookie를 사용하는 것이 좋습니다.
• Signed Cookie/URL을 만드려면 signer가 필요합니다. signer는 CloudFront에서 만든 신뢰할 수 있는 key group이거나 CloudFront key pair가 포함된 AWS account입니다. 신뢰할 수 있는 key group을 사용하는 것이 좋습니다.

CloudFront Geo restriction

• Geo restriction(또는 Geo Blocking)는 사용자의 지리적 위치에 따라 CloudFront로 접근할 사용자를 제한할 수 있습니다.
• Allow list를 지정하여 허용할 국가를 지정하거나 Block list를 지정하여 차단할 국가를 지정할 수 있습니다.
• CloudFront의 geographic restriction을 사용하거나 third-party geolocation service를 사용하여 제한할 수 있습니다.
• 사용자의 위치를 확인할 수 없는 경우 CloudFront는 요청한 컨텐츠를 제공합니다.

CloudFront Logging

• CloudFront는 Standard log(access log) 또는 Real-time log 방식으로 request logging이 가능합니다.
• Standard log는 S3로 전달되고 Real-time log는 Kinesis Data Stream으로 전달됩니다.
• Standard log와 Real-time log는 best-effor에 기반하여 전송하며 로그 레코드가 누락되거나 한참 뒤에 적재될 수 도 있습니다.
• CloudFront request log를 모두 분석하기 보다는 컨텐츠에 대한 request 특성을 이해하는데 사용하기를 권장합니다.