CloudFront CDN #

CloudFront核心特点：
├── 全球边缘网络
│   ├── 450+边缘节点
│   ├── 13个区域边缘缓存
│   └── 覆盖47个国家
│
├── 高性能
│   ├── 低延迟
│   ├── 高传输速度
│   └── 智能路由
│
├── 多源站支持
│   ├── S3
│   ├── ELB
│   ├── EC2
│   └── 自定义源站
│
├── 安全特性
│   ├── HTTPS支持
│   ├── AWS Shield
│   ├── AWS WAF
│   └── 私有内容保护
│
└── 与AWS服务集成
    ├── S3
    ├── Lambda@Edge
    └── Route53

分发类型：
├── Web分发
│   ├── 静态和动态内容
│   ├── 网站加速
│   └── API加速
│
└── RTMP分发
    ├── 流媒体
    └── 已弃用（建议使用Web分发）

aws cloudfront create-distribution \
    --origin-domain-name mybucket.s3.amazonaws.com \
    --default-root-object index.html

分发配置项：
├── 源站设置
│   ├── 源站域名
│   ├── 协议策略
│   └── 自定义头
│
├── 默认缓存行为
│   ├── 路径模式
│   ├── 查看器协议策略
│   ├── 缓存策略
│   └── 源站请求策略
│
├── 价格级别
│   ├── 全部边缘节点
│   ├── 主要区域
│   └── 仅北美/欧洲
│
└── 其他设置
    ├── 备用域名（CNAME）
    ├── 自定义SSL证书
    └── 默认根对象

源站类型：
├── S3存储桶
│   ├── 静态内容
│   ├── 可配置OAI
│   └── 静态网站托管
│
├── 自定义源站
│   ├── ELB
│   ├── EC2实例
│   ├── 其他Web服务器
│   └── HTTP/HTTPS协议
│
└── MediaPackage
    └── 视频流

S3源站配置：
├── 源站域名
│   └── bucket-name.s3.amazonaws.com
│
├── OAI（源站访问身份）
│   └── 限制S3访问
│
├── 源站路径
│   └── 指定S3目录
│
└── 源站协议策略
    └── HTTP Only或Match Viewer

自定义源站配置：
├── 源站域名
│   └── example.com或ELB域名
│
├── 协议策略
│   ├── HTTP Only
│   ├── HTTPS Only
│   └── Match Viewer
│
├── HTTP端口
│   └── 默认80
│
├── HTTPS端口
│   └── 默认443
│
└── 超时设置
    ├── 连接超时
    └── 响应超时

缓存策略配置：
├── TTL设置
│   ├── 默认TTL
│   ├── 最小TTL
│   └── 最大TTL
│
├── 缓存键设置
│   ├── 查询字符串
│   ├── Cookie
│   └── 请求头
│
└── 压缩
    └── Gzip压缩

查询字符串缓存选项：
├── 不缓存
│   └── 忽略所有查询字符串
│
├── 缓存所有
│   └── 缓存所有查询字符串
│
└── 白名单
    └── 仅缓存指定参数

aws cloudfront create-invalidation \
    --distribution-id E1234567890ABC \
    --paths "/*" "/images/*"

{
    "PathPattern": "/images/*",
    "TargetOriginId": "my-s3-origin",
    "ViewerProtocolPolicy": "redirect-to-https",
    "CachePolicyId": "658327ea-f89d-4fab-a63d-7e88639e58f6",
    "Compress": true
}

HTTPS配置：
├── 查看器协议策略
│   ├── 允许HTTP和HTTPS
│   ├── 重定向到HTTPS
│   └── 仅HTTPS
│
├── SSL证书
│   ├── CloudFront默认证书
│   └── 自定义证书（ACM）
│
└── 源站协议策略
    ├── HTTP Only
    ├── HTTPS Only
    └── Match Viewer

签名URL/Cookie用途：
├── 限制访问私有内容
├── 设置过期时间
├── 限制IP地址
└── 限制访问时间

import boto3
from botocore.signers import CloudFrontSigner
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import hashes

def rsa_signer(message):
    with open('private_key.pem', 'rb') as key_file:
        private_key = serialization.load_pem_private_key(
            key_file.read(),
            password=None,
            backend=default_backend()
        )
    return private_key.sign(message, padding.PKCS1v15(), hashes.SHA1())

cloudfront_signer = CloudFrontSigner('KEY_ID', rsa_signer)

url = cloudfront_signer.generate_presigned_url(
    'https://d123456.cloudfront.net/private/video.mp4',
    date_less_than=datetime(2024, 12, 31)
)

WAF功能：
├── Web请求过滤
├── IP地址过滤
├── 地理位置限制
├── 速率限制
└── 自定义规则

Shield保护：
├── Shield Standard
│   ├── 免费自动启用
│   └── 基础DDoS防护
│
└── Shield Advanced
    ├── 付费服务
    ├── 高级DDoS防护
    ├── 成本保护
    └── 专门支持团队

Lambda@Edge特点：
├── 在边缘节点运行Lambda
├── 修改请求和响应
├── 低延迟处理
├── 支持Node.js和Python
└── 触发点：
    ├── 查看器请求
    ├── 查看器响应
    ├── 源站请求
    └── 源站响应

export const handler = async (event) => {
    const request = event.Records[0].cf.request;
    
    if (request.uri.endsWith('/')) {
        request.uri += 'index.html';
    }
    
    return request;
};

使用场景：
├── URL重写
├── A/B测试
├── 用户认证
├── 响应头修改
├── 动态内容生成
└── 地理位置路由

访问日志配置：
├── 启用访问日志
├── 选择S3存储桶
├── 设置日志前缀
└── 分析日志数据

实时日志特点：
├── 实时发送到Kinesis
├── 毫秒级延迟
├── 详细日志信息
└── 用于实时监控

性能建议：
├── 合理设置缓存TTL
├── 启用压缩
├── 使用HTTP/2
├── 优化查询字符串缓存
├── 使用Lambda@Edge优化请求
└── 选择合适的价格级别

安全建议：
├── 强制HTTPS
├── 使用签名URL保护内容
├── 集成WAF
├── 启用Shield
├── 使用OAI保护S3
└── 设置安全响应头

成本优化建议：
├── 优化缓存命中率
├── 合理设置TTL
├── 选择合适的价格级别
├── 压缩内容
├── 删除未使用的分发
└── 监控数据传输量