AWS IP アドレスの範囲 - AWS 全般のリファレンス
ここで公開されており、更新もされる。
AWS IP アドレスの範囲 - AWS 全般のリファレンス
ここで公開されており、更新もされる。
[AWS Black Belt Online Seminar] Amazon VPC Advanced 資料及び QA 公開 | Amazon Web Services ブログ
・IF型のVPCエンドポイントのこと
・対応してるAWSサービスにインターネット経由せずVPCからアクセスできる
上記の機能は、PrivateLinkが発表される前からあった。
・接続先がAWSサービスだけでなく、ユーザーのリソースも定義できるようになった。
例) 別VPCにあるNLBはGLB等
ユーザー定義が可能になりPrivateLinkとしてサービス化した感じ。
勘違いかもだけど、ひとまずこの考えとする。
IF型エンドポイントは
・実態はENI
・なのでサブネットに接続する
・なので冗長化検討必要
・Cloudfrontの機能
・ユーザーに近いリージョンのエッジキャッシュでLamda関数を実行。※Cloudfron単体で出来ない処理を実現。
より近いエッジロケーションではない!
・実行タイミングは以下4か所
①ViewerRequest→②OriginRequest→③OriginResponse→④ViewerResponse
①・②、③・④の間に、エッジキャッシュ処理がある。キャッシュ前後どちらで処理するかを制御できる。
・ ヘッダ加工
HSTSヘッダ付与等
・ 画像サイズ変換
UAに応じてサイズ変換等
・レスポンス返却
・検索エンジン最適化
アクセス元がBotの場合、別コンテンツ返却
・データ暗号化
AWS KMSと連携しコンテンツの全体 or 一部を暗号化できる。
・A/Bテスト
クライアント側は意識せず、接続先を分けることでパターン別の評価ができる。
※そもそもA/Bテストとは?
ABテストとは2つのものを比較するテストです。Webマーケティングでよく使われる。
https://www.profuture.co.jp/mk/column/11571
・ユーザー認証認可、優先順位付け
Lamda@Edgeと同様に、Cloudfronイベントをトリガにコード実行できる。
No | 項目 | Lamda@Edge | Cloudfron Function |
---|---|---|---|
1 | 実行場所 | リージョンのエッジキャッシュ | エッジロケーション |
2 | ランタイム | Node.js、Python | JavaScriptのみ |
3 | 最大実行時間 | 数秒 実行タイミングにより異なる。Viewerトリガーの場合、5秒。 |
1ミリ秒未満 |
4 | 最大メモリ | 数MB 実行タイミングにより異なる。Viewerトリガーの場合、1MB。 |
10KB |
→上記の通り、Cloudfron Functionは良い近い所で実行できるが、簡単な処理向け。
以下を実現するCDN
・高い安全性
・高い性能
・プログラム可能
・ユーザーを一番近いエッジロケーションに誘導 ※低レイテンシで判断。EDNS Client Subnet情報も利用。
・エッジサーバでコンテンツキャッシュ
・AWS WAF、AWS Shield連携しセキュリティ対策
・AWS Certficate Manager(ACM)の証明書利用
Webブラウザ等のクライアント
・リクエストパスパターン毎にキャッシュTTL設定
・サーバレスポンスにCache-Control:no-cache、no-store、privateディレクティブを付けた場合、CloudFrontでキャッシュされない。
設定ミスると以下のようなトラブル事例もあり。
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして | メルカリエンジニアリング
・標準で「cloudfront.net」ドメイン証明書
・独自ドメイン証明書も利用可能。以下のCNAMEレコード登録が必要
独自ドメインFQDN → cloudfront.netドメインFQDN
※ディストリビューション設定の以下に"独自ドメインFQDN"を設定する必要あり。これを設定しないとCloudfrontは"cloudfront.netドメインFQDN"の証明書を提示してくる。
関連情報
CloudFront の無効なリクエストのエラーを解決する
代替ドメイン名 (CNAME) を追加することによるカスタム URL の使用 - Amazon CloudFront
・クライアント→Cloudfront間
HTTP or HTTPS/Redirect HTTP to HTTPS/HTTPS Only
・Cloudfront→オリジン間
HTTPS Only/Match Viewer(Viewer→Cloudfronと同じプロトコル利用)
URLもしくは、Cookieにコンテンツへの資格情報を含めて認証OKの場合にアクセスを許可する機能
公開鍵認証で認証をする。
アプリケーションで認証し、認証OKの場合にURLもしくはCookieに秘密鍵で暗号化したデータを含め、Cloudfrontは公開鍵で復号できれば認証OKの判断をする。
使い分けは、コンテンツが単一ファイルの場合はURL、複数ファイルある場合はCookie
仕組みの詳細は以下参照
署名付き URL の使用 - Amazon CloudFront
署名付き Cookie の使用 - Amazon CloudFront
オリジンに直接アクセス不可にし、Cloudfron経由のみ許可する
※S3のみ。
複数オリジンを作成し、片系異常時に正常系にフェイルオーバする機能
特定の国からのアクセスを制限する機能
利用するエッジロケーションを制限
Amazon EventBridge (Amazon CloudWatch Events)
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Queue Service (Amazon SQS)
Amazon EC2
Amazon EC2 Auto Scaling
AWS Lambda
Amazon Elastic Container Registry (Amazon ECR)
Amazon Elastic Container Service (Amazon ECS)
Amazon Elastic Kubernetes Service (Amazon EKS)
AWS Fargate
AWS Auto Scaling
AWS CLI
AWS CloudFormation
AWS CloudTrail
Amazon CloudWatch
AWS Config
AWS Control Tower
AWS Management Console
AWS Organizations
AWS Personal Health Dashboard
AWS Trusted Advisor
AWS Well-Architected Tool
ネットワークとコンテンツ配信
Amazon API Gateway
AWS App Mesh
AWS Client VPN
AWS Cloud Map
Amazon CloudFront
AWS Direct Connect
Elastic Load Balancing
AWS Global Accelerator
AWS PrivateLink
Amazon Route 53
AWS Site-to-Site VPN
AWS Transit Gateway
Amazon VPC
AWS Firewall Manager
AWS Identity and Access Management (IAM)
AWS Network Firewall
AWS Resource Access Manager (AWS RAM)
AWS Shield
AWS WAF
Amazon API Gateway
Amazon EventBridge (Amazon CloudWatch Events)
AWS Fargate
AWS Lambda
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Queue Service (Amazon SQS)
Amazon Simple Storage Service (Amazon S3)
https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf
Building a Scalable and Secure Multi-VPC AWS Network Infrastructure - Building a Scalable and Secure Multi-VPC AWS Network Infrastructure
Amazon Virtual Private Cloud Connectivity Options - Amazon Virtual Private Cloud Connectivity Options
https://d1.awsstatic.com/whitepapers/ja_JP/Security/DDoS_White_Paper.pdf
https://d1.awsstatic.com/whitepapers/ja_JP/Intro_to_HPC_on_AWS.pdf
よくある質問 - Amazon VPC | AWS
よくある質問 - AWS Direct Connect | AWS
よくある質問 - Amazon Route 53 | AWS
よくある質問 - Amazon CloudFront | AWS
よくある質問 - Elastic Load Balancing | AWS
Elastic Load Balancing の仕組み - Elastic Load Balancing
上記URLより引用
クロスゾーン負荷分散のデフォルト値は以下URL参照
dev.classmethod.jp
参考
https://www.google.com/amp/s/knowledge.sakura.ad.jp/7734/%3famp=1
転送最適化を実現
ストリーム
一コネで複数リクエスト、レスポンス
優先処理
サーバプッシュ
バイナリ転送