AWS CloudFront

CloudFront란 CDN 서비스로 컨텐츠 전송 네트워크(Content Delivery Network)를 의미한다. 이것은 웹사이트의 컨텐츠를 서로 다른 엣지 로케이션에 미리 캐싱하여 읽기 성능을 높이는 방법이다. 컨텐츠가 네트워크 전체에 캐싱되므로 전세계 사용자들이 낮은 레이턴시로 접근할 수 있어서 사용자 경험을 증대시킬 수 있으며 컨텐츠가 분산되어 있기 때문에 DDoS 공격으로부터 보호 받을 수 있다.

현재 CloudFront는 전세계에 있는 총 216개의 엣지 로케이션을 통해 구성되어 있고 AWS는 지속적으로 엣지 로케이켠을 추가하고 있다. 해당 주소를 통해 들어가면 전세계에 있는 AWS의 엣지와 엣지 캐시 분포를 볼 수 있다.

https://aws.amazon.com/ko/cloudfront/features/?nc=sc&loc=2

CloudFront의 원본 제공 방식(OAC : Orgin Access Control)

S3 bucket

• CloudFront를 통해 파일을 분산하고 캐싱하며 버킷에는 CloudFront만 접근할 수 있도록 보장한다.
• 이를 가능하능 하게 하는 것이 OAC라 불리는 원본 제공 방식(Orgin Access Control)로 기존의 OAI를 대체한다.
• CloudFront를 통해 버킷에 데이터를 보내는 방법을 Ingress라고 하며 또 다른 원본 제공 방식으로 HTTP 백엔드와 같은 사용자 정의 원본을 쓸 수 있다. 예시로 애플리케이션 로드 밸런서(ALB), EC2 인스턴스 또는 S3 웹사이트가 있다. 단, S3 웹사이트의 경우 버킷을 활성화해서 정적 웹 사이트로 설정해야 한다. 그외의 다른 HTTP 백엔드도 가능하다.

CloudFront vs S3 Cross Region Replication

CloudFront는 전세계의 엣지 네트워크를 이용하여 파일들이 캐싱되어 전세계를 대상으로 한 정적 컨텐츠를 사용하고자 할 때 용이하다. 그리고 교차 리전 복제는 복제를 원하는 각 리전에 이 설정이 되어있어야 하므로 전 세계를 대상으로 한 것은 아니라고 볼 수 있다. 즉, 캐싱이 되지 않고 또한 읽기 전용으로만 설정 가능하다. 교차 리전 복제는 일부 리전을 대상으로 동적 콘텐츠를 낮은 지연 시간으로 제공하고자 할 때 유용하다고 볼 수 있다. 두 서비스는 사용하는 목적이 다르다고 결론 지을 수 있다.

ALB 또는 EC2 인스턴스에서의 CloudFront

CloudFront는 사용자 지정 HTTP 백엔드에도 접근할 수 있다. 여기에는 EC2 인스턴스나 ALB도 포함된다.

EC2 인스턴스를 통해 HTTP 백엔드를 개발할 때 사용자들이 CloudFront를 통해 접근하기를 원한다면 사용자들은 CloudFront의 엣지 로케이션에 접근하여 EC2 인스턴스에 요청을 보내게 된다. 그렇기 때문에 이 둘은 모두 퍼블릭으로 설정되어야 한다. 만약, 퍼블릭으로 설정되지 않는다면 CloudFront는 가상 프라이빗 클라우드가 없기 때문에 EC2 인스턴스에 접근할 수 없게 된다. 또한 엣지 로케이션의 모든 공용 IP가 EC2에 접근할 수 있어야 되기 때문에 보안 그룹을 설정해야 한다.

ALB는 EC2 인스턴스와 마찬가지로 퍼블릭으로 설정되어야하지만 백엔드의 EC2 인스턴스는 로드 밸런서와 인스턴스간에 가상 프라이빗 네트워크가 설정되어 있기 때문에 프라이빗 설정을 사용해도 무방하다. 단순히 EC2 인스턴스의 보안 그룹이 로드 밸런서를 허용하도록 설정만 하면 된다. 또한 사용자는 엣지 로케이션으로 접근하기 떄문에 애플리케이션의 공용 IP가 로드 밸런서의 보안 그룹 정책에 허용이 되어 있어야 한다.

CloudFront 지리적 제한

CloudFront를 통하여 배포판에 접근할 수 있는 사용자를 국가에 따라 제한할 수 있다. 허용 목록을 설정하여 접근 승인 국가를 정의하고 차단 목록을 설정하여 접근 금지 국가 목록을 설정할 수 있다. 국가는 GeoIP 데이터베이스를 통하여 사용자의 IP를 해당 국가에 매핑하는 방식으로 결정된다.

지리적 제한을 사용하는 사례로는 콘텐츠에 대한 접근을 제어하기 위한 저작권 법에 의해 사용된다.

요금(Pricing)과 가격 등급(Price Classes)

CloudFront의 엣지 로케이션은 전 세계에 고루 분포에 있기 때문에 엣지 로케이션마다 데이터를 전송하는 비용이 다르다. 요금 표는 다음과 같다.

가격 등급(Price Classes)

비용 절감을 위해 CloudFront를 분산할 전 세계의 엣지 로케이션 수를 줄이는 방법이 있다. 여기에는 세가지 가격 등급이 있다.

1. Price Class All : 최상의 성능을 제공하며 비용이 많이든다.
2. Price Class 200 : 대부분의 리전을 사용할 수 있지만 가장 비싼 리전은 제외된다.
3. Price Class 100 : 가장 저렴한 리전만 사용할 수 있다.
   

캐시 무효화

CloudFront 엣지 로케이션은 우리가 백엔드 오리진을 업데이트 할 때 업데이트 사항을 알 수 없다. CloudFront의 캐시가 TTL(Time To Live)가 만료되면 백엔드 오리진으로부터 업데이트 된 콘텐츠를 받게 된다. 하지만 최대한 빨리 업데이트 된 새로운 콘텐츠를 받고 싶을 때 전체 또는 일부의 캐시를 새로고침해서 캐시에 있는 TTL을 모두 제거할 수 있다. 이를 위해서 CloudFront 무효화를 실행해야 한다.

CloudFront 캐시 무효화는 별표(*)로 시작하는 파일이나 /image/*와 같은 특정 경로를 무효화할 수 있다. 특정 이미지를 가져오는 index.html이 있고 S3에 이미지를 수정하고 싶다면 두 가지 경로의 캐시를 무효화 해야한다. index.html 파일과 이미지 파일 모두 경로를 무효화 하면 된다. 여기서 index.html을 무효화하는 방법은 /index.html을 무효화 하면 되고 엣지 로케이션의 캐시에 있는 모든 이미지를 무효화하는 /image/* 경로로 무효화하면 된다. 그렇게 하면 CloudFront는 캐시에서 파일을 지웠기 때문에 다시 엣지 로케이션에 CloudFront가 요펑을 보내면 캐시에 파일이 없다는 것을 알고 업데이트 된 새로운 파일을 캐시에 저장할 것이다.

AWS Global Accelerator

만약 우리가 만든 애플리케이션이 글로벌 사용자들이 직접 접근하려고 할 때, 우리의 애플리케이션은 오직 한 리전에 배치되어 있기 때문에 사용자들은 애플리케이션에 공용 인터넷을 통해 접근하면 많은 라우터를 거치게 된다. 라우터를 거치는 동안 수 많은 홉으로 인해 상당한 지연이 발생할 수 있다. 따라서 지연 시간을 최소화하기 위해 AWS 네트워크를 통하는 것이 좋다. 이를 위해 AWS Global Accelerator를 사용한다.

Global Accelerator는 Anycast IP 개념을 사용한다. 애플리케이션을 라우팅하기 위해 AWS 글로벌 네트워크를 활용한다. 사용자들은 전 세계에 걸쳐 있지만 가장 가까운 엣지 로케이션과 통신하여 훨씬 안정적이고 지연 시간이 적은 내부 사설 AWS 네트워크를 거쳐 ALB로 곧바로 연결되게 한다. 전 세계의 사용자들에게 두 개의 고정 IP 주소를 제공할 수 있다는 점에서 매우 특이하다.

Global accelerator는 탄력적 IP, EC2 인스턴스, ALB, NLB와 함께 작동하며 공용일수도 사설일수도 있다. 네트워크를 거치기 때문에 안정적인 성능을 보여준다. 지능형 라우팅으로 지연시간이 가장 짧은 엣지 로케이션으로 연결되며 장애가 발생할 경우 신속한 리전 장애 조치가 이루어진다. 아무것도 캐시하지 않기때문에 클라이언트 캐시와도 무관하다.

Unicast IP VS Anycast IP

Unicast IP는 하나의 서버가 하나의 IP주소를 가지는 개념으로 클라이언트가 두 개의 서버와 통신할때 각각의 IP를 참조하여 연결한다. 반면 Anycast IP는 모든 서버가 하나의 동일한 IP주소를 가지며 클라이언트는 가장 가까운 서버로 라우팅한다.

Health Check(상태 확인)

Global accelerator가 애플리케이션에 대해 상태 확인을 실행하며 한 리전에 있는 한 ALB에 대해 상태 확인이 실패하면 자동화 된 장애 조치가 1분 안에 정상 엔드 포인트로 실행된다. 상태 확인으로 인해 재해 복구에 특히 뛰어나다.

Global Accelerator VS CloudFront

Global Accelerator와 CloudFront 둘 다 글로벌 네트워크를 사용하고 둘다 AWS의 엣지 로케이션을 사용한다는 점에서는 동일하며 DDoS 보호를 위해 둘 다 AWS Shield와 통합된다.

그러나 CloudFront는 이미지나 비디오처럼 캐시 가능한 내용과 API 가속 및 동적 사이트 전달 같은 동적 내요 모두에 성능을 향상시킨다. 그리고 엣지 로케이션으로부터 제공되며 엣지 로케이션은 가끔 한 번씩 오리진으로부터 내용을 가져온다.

반면, Global Accelerator는 TCP나 UDP상 다양한 애플리케이션 성능을 향상시킨다. 패킷은 엣지 로케이션으로 부터 하나 이상의 AWS 리전에서 실행되는 애플리케이션으로 프록시된다. 이 경우 모든 요청이 애플리케이션 쪽으로 전달되며 캐싱은 되지 않는다. 게임이나 IoT 또는 Voice over IP같은 비 HTTP를 사용하는 경우 매우 유용하며 결정적이고 신속한 리전 장애 조치가 필요할 때도 유용하다.