1. Content Delivery Network (CDN) Overview
- CDN 역할: 콘텐츠를 캐시하여 읽기 성능 개선, 사용자 경험 향상.
- Edge Location: 전 세계에 216개 PoP(Point of Presence) 제공.
- 추가 기능:
- DDoS 보호 (AWS Shield 및 WAF 통합).
2. CloudFront – Origins
CloudFront는 다양한 Origin에서 데이터를 가져오고 Edge Location에 캐시합니다.
Origin 종류
- S3 Bucket:
- 파일 배포 및 캐싱.
- OAC (Origin Access Control)로 보안 강화 (OAI 대체).
- CloudFront를 S3로 파일 업로드의 Ingress로 사용 가능.
- Custom Origin (HTTP):
- Application Load Balancer (ALB), EC2 인스턴스, S3 정적 웹사이트, 기타 HTTP 백엔드.
3. CloudFront vs. S3 Cross Region Replication
| 기능 | CloudFront | S3 Cross Region Replication |
|---|---|---|
| 네트워크 | 글로벌 Edge 네트워크 | 각 리전별 설정 필요 |
| 캐싱 | TTL에 따라 캐시 관리 (예: 하루) | 실시간 업데이트 |
| 목적 | 정적 콘텐츠의 글로벌 배포 | 동적 콘텐츠의 저지연 지역 배포 |
| 특징 | 읽기 성능 향상 및 글로벌 캐싱 | 읽기 전용, 동기화된 데이터 보장 |
CloudFront – ALB or EC2 as an origin
4. CloudFront Geo Restriction
- 특정 국가의 사용자만 콘텐츠 접근 허용 또는 차단 가능.
- Allowlist: 승인된 국가만 접근 허용.
- Blocklist: 금지된 국가의 접근 차단.
- 국가 정보는 Geo-IP 데이터베이스를 통해 확인.
5. CloudFront Pricing and Price Classes
Pricing
- 데이터 출력 비용은 Edge Location마다 다름.
Price Classes
- 비용 절감을 위해 Edge Location 수를 줄일 수 있음.
- Price Class All: 모든 리전 포함 – 최고 성능.
- Price Class 200: 대부분의 리전 포함 – 고비용 리전 제외.
- Price Class 100: 가장 저렴한 리전만 포함.
6. CloudFront Cache Invalidation
- TTL이 만료되기 전 캐시를 강제로 새로고침 가능.
- Invalidation 방법:
- 전체 캐시 삭제 (
*). - 특정 경로 캐시 삭제 (
/images/*).
- 전체 캐시 삭제 (
7. AWS Global Accelerator
특징
- AWS 내부 네트워크를 활용해 애플리케이션에 빠르게 라우팅.
- 2개의 Anycast IP 생성 → Edge Location으로 트래픽 전송 후 애플리케이션으로 전달.
- Works with Elastic IP, EC2 instances, ALB, NLB, public or private
사용 사례
- TCP/UDP 기반 애플리케이션:
- 게임(UDP), IoT(MQTT), VoIP.
- 고정 IP 필요 HTTP 애플리케이션:
- 빠른 리전 장애 조치 (1분 내 Failover).
- HealthCheck
- 보안:
- 외부 IP 2개만 허용 필요.
- AWS Shield로 DDoS 보호.
8. CloudFront vs. AWS Global Accelerator
| 기능 | CloudFront | AWS Global Accelerator |
|---|---|---|
| 사용 목적 | 캐시 가능한 콘텐츠(이미지, 비디오), 동적 콘텐츠(API 가속화) | TCP/UDP 애플리케이션, 고정 IP가 필요한 HTTP, 빠른 장애 조치 |
| 배포 위치 | 콘텐츠가 Edge Location에서 제공됨 | Edge Location에서 애플리케이션으로 트래픽 프록시 |
| 비HTTP 사용 사례 | 지원하지 않음 | IoT, 게임(UDP), VoIP 등 비HTTP 사용 사례에 적합 |
| 장애 조치 | 캐시 TTL 만료 후 새로 고침 | 1분 내 빠른 리전 Failover |
9. Unicast IP vs. Anycast IP
- Unicast IP:
- 하나의 서버가 하나의 IP를 가짐.
- Anycast IP:
- 여러 서버가 동일한 IP를 가지며, 클라이언트는 가장 가까운 서버로 라우팅됨.
요약
| 항목 | 설명 |
|---|---|
| CloudFront | 글로벌 콘텐츠 배포, 정적 및 동적 콘텐츠 캐싱, Geo Restriction으로 지역 접근 제어 가능. |
| AWS Global Accelerator | 비HTTP 사용 사례, TCP/UDP 가속화, 빠른 장애 조치, 고정 IP 제공. |
| Cache Invalidation | TTL을 무시하고 캐시를 강제로 새로 고침 가능. |
| Geo Restriction | 국가 기반으로 콘텐츠 접근 허용/차단 가능. |
- 이 정책은 S3 버킷과 CloudFront 간의 연결을 설정하여, CloudFront Origin Access Identity(OAI)를 통해서만 S3 버킷 콘텐츠에 접근할 수 있도록 허용합니다.
- Principal:
- 액세스를 허가받을 주체를 정의합니다. 여기서는 CloudFront Origin Identity Canonical User ID로 설정되어 있습니다.
- CloudFront OAI를 통해 요청이 들어오는 경우에만 이 정책이 적용됩니다.
CloudFront Origin Access Identity (OAI)란?
- CloudFront에서 S3 버킷의 콘텐츠를 읽기 위해 사용하는 가상 사용자입니다.
- OAI를 사용하면, S3 버킷이 CloudFront의 요청만 허용하도록 제한할 수 있습니다.
- 이로 인해 외부에서 S3에 직접 접근할 수 없게 되어 보안이 강화됩니다.
