Uso de Amazon CloudFront Origin Shield - Amazon CloudFront
Casos de uso para el escudo de origenElegir la región de AWS para el escudo de origenActivación del escudo de origenEstimación de los costos del escudo de origenAlta disponibilidad del escudo de origenCómo interactúa Origin Shield con otras funciones CloudFront

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon CloudFront Origin Shield

CloudFront Origin Shield es una capa adicional de la infraestructura de almacenamiento en CloudFront caché que ayuda a minimizar la carga de Origin, mejorar su disponibilidad y reducir sus costes operativos. Con el escudo de origen de CloudFront , obtiene los siguientes beneficios:

Mejor tasa de aciertos de caché

Origin Shield puede ayudar a mejorar la proporción de aciertos de caché de tu CloudFront distribución, ya que proporciona una capa adicional de almacenamiento en caché por delante de tu origen. Cuando utilizas Origin Shield, todas las solicitudes de todas las capas CloudFront de almacenamiento en caché que se envían a tu origen pasan por Origin Shield, lo que aumenta la probabilidad de que se produzca un ataque a la caché. CloudFrontpuedes recuperar cada objeto con una única solicitud de origen de Origin Shield a tu origen, y todas las demás capas de la CloudFront caché (ubicaciones de borde y cachés de borde regionales) pueden recuperar el objeto de Origin Shield.

Carga de origen reducida

El escudo de origen puede reducir aún más el número de solicitudes simultáneas que se envían a su origen para el mismo objeto. Las solicitudes de contenido que no están en la caché del escudo de origen se consolidan con otras solicitudes para el mismo objeto, por lo que solo una solicitud va a su origen. Gestionar un menor número de solicitudes en tu origen permite preservar la disponibilidad de tu origen durante los picos de tráfico o los picos de tráfico inesperados, además de reducir los costes de aspectos como el just-in-time embalaje, la transformación de imágenes y la transferencia de datos (DTO).

Mejor rendimiento de red

Cuando se habilita el escudo de origen en la región de AWS que tiene la latencia más baja a su origen, puede obtener un mejor rendimiento de red. En el caso de los orígenes de una AWS región, el tráfico de CloudFront red permanece en la CloudFront red de alto rendimiento hasta su origen. En el caso de los orígenes externosAWS, CloudFront el tráfico de CloudFront red permanece en la red hasta Origin Shield, que tiene una conexión de baja latencia con tu origen.

Se incurre en cargos adicionales por usar el escudo de origen. Para obtener más información, consulta CloudFront los precios.

Casos de uso para el escudo de origen

CloudFront Origin Shield puede resultar útil en muchos casos de uso, incluidos los siguientes:

  • Los lectores que se distribuyen en diferentes regiones geográficas

  • Orígenes que ofrecen just-in-time paquetes para la transmisión en directo o el procesamiento de on-the-fly imágenes

  • Orígenes en las instalaciones con limitaciones de capacidad o de ancho de banda

  • Cargas de trabajo que utilizan varias redes de entrega de contenido (CDN)

El escudo de origen puede no ser adecuado en otros casos, como el contenido dinámico que se remite al origen, el contenido con poca capacidad de caché o el contenido que se solicita con poca frecuencia.

En las siguientes secciones se explican los beneficios del escudo de origen para los siguientes casos de uso.

Lectores en distintas regiones geográficas

Con Amazon CloudFront, se reduce de forma inherente la carga en el origen, ya que las solicitudes que CloudFront se pueden entregar desde la memoria caché no van a su origen. Además de su red global CloudFront de ubicaciones periféricas, las cachés perimetrales regionales sirven como capa de almacenamiento en caché de nivel intermedio para proporcionar las visitas a la memoria caché y consolidar las solicitudes de origen para los espectadores de las regiones geográficas cercanas. Las solicitudes de lector se dirigen primero a una ubicación de borde de CloudFront cercana y, si el objeto no está almacenado en caché en esa ubicación, la solicitud se envía a una caché de borde regional.

Cuando los lectores se encuentran en distintas regiones geográficas, las solicitudes se pueden dirigir a través de distintas cachés de borde regionales, cada una de las cuales puede enviar una solicitud a su origen para el mismo contenido. Pero con el escudo de origen, obtiene una capa adicional de almacenamiento en caché entre las cachés de borde regionales y su origen. Todas las solicitudes de todas las cachés de borde regionales pasan por el escudo de origen, lo que reduce aún más la carga en su origen. Los siguientes diagramas lo ilustran. En los siguientes diagramas, el origen es AWS Elemental MediaPackage.

Sin escudo de origen

Sin escudo de origen, es posible que su origen reciba solicitudes duplicadas para el mismo contenido, como se muestra en el siguiente diagrama.

Sin CloudFront Origin Shield, el origen podría recibir solicitudes duplicadas.

Con escudo de origen

El uso del escudo de origen puede contribuir a reducir la carga sobre el origen, como se muestra en el siguiente diagrama.

Con CloudFront Origin Shield, el origen puede recibir menos solicitudes duplicadas.

Varias CDN

Para ofrecer eventos de vídeo en directo o contenido popular bajo demanda, puede utilizar varias redes de entrega de contenido (CDN). El uso de varias CDN puede ofrecer ciertos beneficios, pero también significa que su origen puede recibir muchas solicitudes duplicadas para el mismo contenido, cada una proveniente de CDN diferentes o diferentes ubicaciones dentro de la misma CDN. Estas solicitudes redundantes pueden afectar negativamente a la disponibilidad de tu dispositivo de origen o provocar costes operativos adicionales en procesos como el just-in-time empaquetado o la transferencia de datos (DTO) a Internet.

Si combinas Origin Shield con el uso de tu CloudFront distribución como origen de otras CDN, obtendrás las siguientes ventajas:

  • Menos solicitudes redundantes recibidas en su origen, lo que ayuda a reducir los efectos negativos del uso de varias CDN.

  • Una clave de caché común en las CDN y administración centralizada para características orientadas al origen.

  • Mejora del rendimiento de la red. El tráfico de red de otras CDN termina en una ubicación CloudFront perimetral cercana, lo que podría afectar a la memoria caché local. Si el objeto solicitado no está en la caché de ubicación de borde, la solicitud al origen permanece en la CloudFront red hasta Origin Shield, lo que proporciona un alto rendimiento y una baja latencia al origen. Si el objeto solicitado está en la caché del escudo de origen, la solicitud a su origen se evita por completo.

importante

Si le interesa utilizar el escudo de origen en una arquitectura de CDN múltiples y tiene precios reducidos, contacte con nosotros o con su representante de ventas de AWS para obtener más información. Podrían aplicarse cargos adicionales.

Los siguientes diagramas muestran cómo puede ayudar esta configuración a minimizar la carga en su origen cuando se ofrecen eventos de vídeo en vivo populares con varias CDN. En los siguientes diagramas, el origen es AWS Elemental MediaPackage.

Sin escudo de origen (varias CDN)

Sin el escudo de origen, es posible que su origen reciba muchas solicitudes duplicadas para el mismo contenido, cada una proveniente de una CDN diferente, como se muestra en el siguiente diagrama.

Sin CloudFront Origin Shield, el origen podría recibir muchas solicitudes duplicadas, cada una de ellas procedente de una CDN diferente.

Con escudo de origen (varias CDN)

El uso de Origin Shield, CloudFront como origen para tus otras CDN, puede ayudarte a reducir la carga en tu origen, como se muestra en el siguiente diagrama.

Con CloudFront Origin Shield, y CloudFront como origen de otras CDN, el origen recibe menos solicitudes duplicadas.

Elegir la región de AWS para el escudo de origen

Amazon CloudFront ofrece Origin Shield en AWS las regiones en las CloudFront que tiene una caché perimetral regional. Al activar el escudo de origen, elija la región de AWS para el Escudo de origen. Debe elegir la región de AWS que tenga la latencia más baja a su origen. Puede utilizar el escudo de origen con orígenes que se encuentren en una región de AWS y con orígenes que no estén en AWS.

Para los orígenes de una región de AWS

Si tu origen se encuentra en una AWS región, primero determina si tu origen se encuentra en una región en la que se CloudFront ofrece Origin Shield. CloudFront ofrece Origin Shield en las siguientes AWS regiones.

  • EE. UU. Este (Ohio) – us-east-2

  • Este de EE. UU. (Norte de Virginia) – us-east-1

  • Oeste de EE. UU. (Oregón) – us-west-2

  • Asia-Pacífico (Bombay) – ap-south-1

  • Asia-Pacífico (Seúl) (ap-northeast-2)

  • Asia Pacífico (Singapur) – ap-southeast-1

  • Asia-Pacífico (Sídney) – ap-southeast-2

  • Asia-Pacífico (Tokio) – ap-northeast-1

  • Europa (Fráncfort) – eu-central-1

  • Europa (Irlanda) – eu-west-1

  • Europa (Londres) – eu-west-2

  • América del Sur (São Paulo) – sa-east-1

Si tu origen se encuentra en una AWS región en la que se CloudFront ofrece Origin Shield

Si tu origen se encuentra en una AWS región en la que se CloudFront ofrece Origin Shield (consulta la lista anterior), activa Origin Shield en la misma región que tu origen.

Si su origen no se encuentra en una región de AWS en la que CloudFront ofrezca escudo de origen

Si tu origen no se encuentra en una AWS región en la que se CloudFront ofrezca Origin Shield, consulta la siguiente tabla para determinar en qué región debes activar Origin Shield.

Si su origen está en...

Habilite el escudo de origen en...

EE.UU. Oeste (Norte de California) – us-west-1

EE.UU. Oeste (Oregón) – us-west-2

África (Ciudad del Cab) – af-south-1

Europa (Irlanda) – eu-west-1

Asia-Pacífico (Hong Kon) – ap-east-1

Asia Pacífico (Singapur) – ap-southeast-1

Canadá (Centra) – ca-central-1

EE.UU. Este (Norte de Virginia) – us-east-1

Europa (Milá) – eu-south-1

UE (Fráncfort) – eu-central-1

Europa (Parí) – eu-west-3

UE (Londres) – eu-west-2

Europa (Estocolm) – eu-north-1

UE (Londres) – eu-west-2

Medio Oriente (Baréi) – me-south-1

Asia-Pacífico (Mumbai) – ap-south-1

Para orígenes fuera de AWS

Puede utilizar el escudo de origen con un origen en las instalaciones o que no esté en una región de AWS. En este caso, habilite el escudo de origen en la región de AWS que tenga la latencia más baja para su origen. Si no está seguro de qué región de AWS tiene la latencia más baja para su origen, puede utilizar las siguientes sugerencias para ayudarle a tomar una decisión.

  • Puede consultar la tabla anterior para obtener una aproximación de la región de AWS que podría tener la menor latencia para su origen, en función de la ubicación geográfica de su origen.

  • Puede lanzar instancias Amazon EC2 en diferentes regiones de AWS que estén geográficamente próximas a su origen y ejecutar algunas pruebas utilizando ping para medir las latencias de red típicas entre esas regiones y el origen.

Activación del escudo de origen

Puede habilitar el escudo de origen para mejorar su tasa de aciertos de caché, reducir la carga en el origen y ayudar a mejorar el rendimiento. Para activar Origin Shield, cambia la configuración de origen de una CloudFront distribución. El escudo de origen es una propiedad del origen. Para cada origen de tus CloudFront distribuciones, puedes activar Origin Shield por separado en la AWS región que ofrezca el mejor rendimiento para ese origen.

Puedes activar Origin Shield en la CloudFront consolaAWS CloudFormation, con o con la CloudFront API.

Console
Para habilitar el escudo de origen para un origen existente (consola)

  1. Inicia sesión en AWS Management Console y abre la CloudFront consola enhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Elija la distribución que tiene el origen que desea actualizar.

  3. Seleccione la pestaña Origins and Origin Groups (Orígenes y Grupos de orígenes).

  4. Elija el origen que desea actualizar y, a continuación, seleccione Edit (Editar).

  5. En Enable Origin Shield (Activar escudo de origen), elija Yes (Sí).

  6. En Origin Shield Region (Región de escudo de origen), elija la región de AWS donde desea activar el escudo de origen. Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para el escudo de origen.

  7. En la parte inferior de la página, elija Yes, Edit (Sí, editar).

Cuando el estado de distribución esté Deployed (Implementado), el escudo de origen estará listo. Esto lleva unos minutos.

Para habilitar el escudo de origen para un nuevo origen (consola)

  1. Inicie sesión en AWS Management Console y abra la CloudFront consola enhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Para crear el nuevo origen en una distribución existente, haga lo siguiente:

    1. Elija la distribución en la que desea crear el origen.

    2. Elija Create Origin (Crear origen), y, a continuación, continúe con el paso 3.

    Para crear el nuevo origen en una nueva distribución, haga lo siguiente:

    1. Seleccione Create Distribution (Crear distribución).

    2. En la sección Web elija Get Started (Comenzar). En la sección Origin Settings (Configuración de origen) complete los siguientes pasos, comenzando por el paso 3.

  3. En Enable Origin Shield (Activar escudo de origen), elija Yes (Sí).

  4. En Origin Shield Region (Región de escudo de origen), elija la región de AWS donde desea activar el escudo de origen. Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para el escudo de origen.

    Si va a crear una nueva distribución, siga configurando la distribución utilizando los demás parámetros de la página. Para obtener más información, consulte Valores que deben especificarse al crear o actualizar una distribución.

  5. Asegúrese de guardar los cambios seleccionando Create (Crear) (para un nuevo origen en una distribución existente) o Create Distribution (Crear distribución) (para un nuevo origen en una nueva distribución).

Cuando el estado de distribución esté Deployed (Implementado), el escudo de origen estará listo. Esto lleva unos minutos.

AWS CloudFormation

Para habilitar el escudo de origen con AWS CloudFormation, utilice la propiedad OriginShield en el tipo de propiedad Origin en un recurso AWS::CloudFront::Distribution. Puede agregar la propiedad OriginShield a un Origin existente o incluirla al crear un nuevo Origin.

En el siguiente ejemplo se muestra la sintaxis, en formato YAML, para habilitar OriginShield en la región EE. UU. Oeste (Oregón) (us-west-2). Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para el escudo de origen. En este ejemplo se muestra solo el tipo de propiedad Origin, no todo el recurso AWS::CloudFront::Distribution.

Origins:
- DomainName: 3ae97e9482b0d011.mediapackage.us-west-2.amazonaws.com
  Id: Example-EMP-3ae97e9482b0d011
  OriginShield:
    Enabled: true
    OriginShieldRegion: us-west-2
  CustomOriginConfig:
    OriginProtocolPolicy: match-viewer
    OriginSSLProtocols: TLSv1

Para obtener más información, consulta AWS::CloudFront::Distribution Origin en la sección de referencia de recursos y propiedades de la Guía del AWS CloudFormation usuario.

API

Para habilitar Origin Shield con la CloudFront API mediante AWS los SDK o AWS Command Line Interface (AWS CLI), usa el OriginShield tipo. Se especifica OriginShield en un Origin, en una DistributionConfig. Para obtener información sobre el OriginShield tipo, consulta la siguiente información en la Amazon CloudFront API Reference.

La sintaxis específica para usar estos tipos y operaciones varía en función del SDK, de la CLI o cliente de API. Para obtener más información, consulte la documentación de referencia de su SDK, CLI o cliente.

Estimación de los costos del escudo de origen

Se acumulan cargos por escudo de origen en función del número de solicitudes que van al escudo de origen como capa incremental.

Para las solicitudes dinámicas (no almacenables en caché) que se envían como proxy al origen, el escudo de origen es siempre una capa incremental. Las solicitudes dinámicas utilizan los siguientes métodos HTTP: PUT, POST, PATCH y DELETE.

Para calcular los cargos del escudo de origen para solicitudes dinámicas, utilice la siguiente fórmula:

Número total de solicitudes dinámicas x cargo de escudo de origen por 10 000 solicitudes / 10 000

Para las solicitudes que se pueden almacenar en caché (métodos HTTP GET, HEAD y OPTIONS), el escudo de origen es a veces una capa incremental. Al activar el escudo de origen, elija la región de AWS para el Escudo de origen. Para las solicitudes que van naturalmente a la caché de borde regional en la misma región que el escudo de origen, el escudo de origen no es una capa incremental. No acumula cargos del escudo de origen por estas solicitudes. Para las solicitudes que van a una caché de borde regional en una región diferente del escudo de origen y, a continuación, a escudo de origen, escudo de origen es una capa incremental. Se acumulan cargos del escudo de origen por estas solicitudes.

Para calcular los cargos del escudo de origen para solicitudes que se pueden almacenar en caché, utilice la siguiente fórmula:

Número total de solicitudes que se pueden almacenar en caché x (1: tasa de aciertos de caché) x porcentaje de solicitudes que van a Origin Shield desde una caché de borde regional en una región diferente x cargo de Origin Shield por 10 000 solicitudes / 10 000

Para obtener más información sobre el cargo por cada 10 000 solicitudes del escudo de origen, consulte Precios de CloudFront .

Alta disponibilidad del escudo de origen

Origin Shield aprovecha las cachés perimetrales regionales CloudFront de Amazon. Cada una de estas cachés de borde se crea en una región de AWS usando al menos tres zonas de disponibilidad con flotas de instancias Amazon EC2 de escalado automático. Las conexiones desde CloudFront ubicaciones a Origin Shield también utilizan el seguimiento de errores activo para cada solicitud para redirigir automáticamente la solicitud a una ubicación de Origin Shield secundaria si la ubicación principal de Origin Shield no está disponible.

Cómo interactúa Origin Shield con otras funciones CloudFront

En las secciones siguientes se explica cómo interactúa el escudo de origen con otras características de CloudFront.

Origin Shield y CloudFront registro

Para ver cuándo ha gestionado una solicitud el escudo de origen, debe habilitar una de las siguientes opciones:

Las visitas a la caché de Origin Shield aparecen como OriginShieldHit en el x-edge-detailed-result-type campo de CloudFront los registros. Origin Shield aprovecha las cachés perimetrales regionales CloudFront de Amazon. Si una solicitud se enruta desde una ubicación de CloudFront borde a la caché de borde regional que actúa como Origin Shield, se registra como Hit en los registros, no comoOriginShieldHit.

Escudo de origen y grupos de origen

El escudo de origen es compatible con grupos de origen de CloudFront . Dado que el escudo de origen es una propiedad del origen, las solicitudes siempre viajan a través del escudo de origen para cada origen, incluso cuando el origen forma parte de un grupo de origen. Para una solicitud determinada, CloudFront dirige la solicitud al origen principal del grupo de orígenes a través del Origin Shield del origen principal. Si esa solicitud falla (de acuerdo con los criterios de conmutación por error del grupo de origen), CloudFront dirige la solicitud al origen secundario a través del Origin Shield del origen secundario.

Escudo de origen y Lambda@Edge

El escudo de origen no afecta a la funcionalidad de las funciones de Lambda @Edge pero puede afectar a la región de AWS donde se ejecutan esas funciones. Cuando utiliza el escudo de origen con Lambda @Edge, los desencadenadores orientados al origen (solicitud de origen y respuesta de origen) se ejecutan en la región de AWS donde está habilitado el escudo de origen. Los desencadenadores orientados al lector no se ven afectados.