Uso de Amazon CloudFront Origin Shield - Amazon CloudFront

Uso de Amazon CloudFront Origin Shield

CloudFront Origin Shield es una capa adicional en la infraestructura de almacenamiento en caché de CloudFront que contribuye a minimizar la carga en el origen, mejorar su disponibilidad y reducir los costos de explotación. Con CloudFront Origin Shield, obtendrá los siguientes beneficios:

Mejor tasa de aciertos de caché

Origin Shield puede contribuir a mejorar la tasa de aciertos de caché de su distribución de CloudFront, ya que proporciona una capa adicional de almacenamiento en caché delante del origen. Cuando utiliza Origin Shield, todas las solicitudes de todas las capas de almacenamiento en caché de CloudFront a su origen pasan por Origin Shield, lo que aumenta la probabilidad de que se produzca un acierto de caché. CloudFront puede recuperar cada objeto con una sola solicitud de origen desde Origin Shield al origen, y todas las demás capas de la caché de CloudFront (ubicaciones de borde y cachés de borde regionales) pueden recuperar el objeto desde Origin Shield.

Carga de origen reducida

El escudo de origen puede reducir aún más el número de solicitudes simultáneas que se envían a su origen para el mismo objeto. Las solicitudes de contenido que no están en la caché del escudo de origen se consolidan con otras solicitudes para el mismo objeto, por lo que solo una solicitud va a su origen. La gestión de menos solicitudes en su origen puede preservar la disponibilidad del origen durante las cargas máximas o picos de tráfico inesperados y puede reducir los costos de cosas como el empaquetado justo a tiempo, las transformaciones de imágenes y la transferencia de datos (DTO).

Mejor rendimiento de red

Cuando se habilita Origin Shield en la región de AWS que tiene la latencia más baja en el origen, puede obtener un mejor rendimiento de red. Para los orígenes de una región de AWS, el tráfico de red de CloudFront permanece en la red de alto rendimiento de CloudFront hasta el origen. Para los orígenes fuera de AWS, el tráfico de red de CloudFront permanece en la red de CloudFront hasta Origin Shield, que tiene una conexión de baja latencia con su origen.

Se incurre en cargos adicionales por usar el escudo de origen. Para obtener más información, consulte los Precios de CloudFront.

Casos de uso para el escudo de origen

CloudFront Origin Shield puede ser beneficioso en muchos casos de uso, incluidos los siguientes:

  • Los lectores que se distribuyen en diferentes regiones geográficas

  • Orígenes que proporcionan empaquetado justo a tiempo para streaming o procesamiento de imágenes sobre la marcha

  • Orígenes en las instalaciones con limitaciones de capacidad o de ancho de banda

  • Cargas de trabajo que utilizan varias redes de entrega de contenido (CDN)

El escudo de origen puede no ser adecuado en otros casos, como el contenido dinámico que se remite al origen, el contenido con poca capacidad de caché o el contenido que se solicita con poca frecuencia.

En las siguientes secciones se explican los beneficios del escudo de origen para los siguientes casos de uso.

Lectores en distintas regiones geográficas

Con Amazon CloudFront, obtiene de forma inherente una carga reducida en su origen porque las solicitudes que CloudFront puede atender desde la caché no van a su origen. Además de la red global de ubicaciones de borde de CloudFront, las cachés regionales de borde sirven como capa de almacenamiento en caché de nivel intermedio para proporcionar aciertos de caché y consolidar solicitudes de origen para los lectores de regiones geográficas cercanas. Las solicitudes de lector se dirigen primero a una ubicación de borde de CloudFront cercana y, si el objeto no está almacenado en caché en esa ubicación, la solicitud se envía a una caché de borde regional.

Cuando los lectores se encuentran en distintas regiones geográficas, las solicitudes se pueden dirigir a través de distintas cachés de borde regionales, cada una de las cuales puede enviar una solicitud a su origen para el mismo contenido. Pero con el escudo de origen, obtiene una capa adicional de almacenamiento en caché entre las cachés de borde regionales y su origen. Todas las solicitudes de todas las cachés de borde regionales pasan por el escudo de origen, lo que reduce aún más la carga en su origen. Los siguientes diagramas lo ilustran. En los siguientes diagramas, el origen es AWS Elemental MediaPackage.

Sin escudo de origen

Sin escudo de origen, es posible que su origen reciba solicitudes duplicadas para el mismo contenido, como se muestra en el siguiente diagrama.


                    Sin CloudFront Origin Shield, el origen podría recibir solicitudes duplicadas.

Con escudo de origen

El uso del escudo de origen puede contribuir a reducir la carga sobre el origen, como se muestra en el siguiente diagrama.


                    Con CloudFront Origin Shield, el origen puede recibir menos solicitudes duplicadas.

Varias CDN

Para ofrecer eventos de vídeo en directo o contenido popular bajo demanda, puede utilizar varias redes de entrega de contenido (CDN). El uso de varias CDN puede ofrecer ciertos beneficios, pero también significa que su origen puede recibir muchas solicitudes duplicadas para el mismo contenido, cada una proveniente de CDN diferentes o diferentes ubicaciones dentro de la misma CDN. Estas solicitudes redundantes podrían afectar negativamente a la disponibilidad de su origen o conllevar costos operativos adicionales para procesos como el empaquetado justo a tiempo o la transferencia de datos (DTO) a Internet.

Al combinar Origin Shield con el uso de su distribución de CloudFront como origen para otras CDN, puede obtener los siguientes beneficios:

  • Menos solicitudes redundantes recibidas en su origen, lo que ayuda a reducir los efectos negativos del uso de varias CDN.

  • Una clave de caché común en las CDN y administración centralizada para características orientadas al origen.

  • Mejora del rendimiento de la red. El tráfico de red de otras CDN finaliza en una ubicación de borde de CloudFront cercana, lo que podría proporcionar un acierto de la caché local. Si el objeto solicitado no está en la caché de ubicación de borde, la solicitud al origen permanece en la red de CloudFront hasta Origin Shield, lo que proporciona un alto rendimiento y una baja latencia en el origen. Si el objeto solicitado está en la caché del escudo de origen, la solicitud a su origen se evita por completo.

importante

Si está interesado en utilizar Origin Shield en una arquitectura de CDN múltiple y tiene precios reducidos, contacte con nosotros o con su representante de ventas de AWS para obtener más información. Podrían aplicarse cargos adicionales.

Los siguientes diagramas muestran cómo puede ayudar esta configuración a minimizar la carga en su origen cuando se ofrecen eventos de vídeo en vivo populares con varias CDN. En los siguientes diagramas, el origen es AWS Elemental MediaPackage.

Sin escudo de origen (varias CDN)

Sin el escudo de origen, es posible que su origen reciba muchas solicitudes duplicadas para el mismo contenido, cada una proveniente de una CDN diferente, como se muestra en el siguiente diagrama.


                    Sin CloudFront Origin Shield, el origen podría recibir muchas solicitudes duplicadas, cada una proveniente de una CDN distinta.

Con escudo de origen (varias CDN)

Usar Origin Shield con CloudFront como origen para las demás CDN puede ayudar a reducir la carga en su origen, como se muestra en el siguiente diagrama.


                    Con CloudFront Origin Shield y CloudFront como origen para otras CDN, el origen recibe menos solicitudes duplicadas.

Elegir la región de AWS para Origin Shield

Amazon CloudFront ofrece Origin Shield en las regiones de AWS en las que CloudFront tiene una caché de borde regional. Al activar Origin Shield, debe elegir la región de AWS para Origin Shield. Debe elegir la región de AWS que tenga la latencia más baja en el origen. Puede usar Origin Shield con orígenes que se encuentren en una región de AWS y con orígenes que no estén en AWS.

Para los orígenes de una región de AWS

Si su origen se encuentra en una región de AWS, determine primero si su origen se encuentra en una región en la que CloudFront ofrece Origin Shield. CloudFront ofrece Origin Shield en las siguientes regiones de AWS.

  • EE. UU. Este (Ohio) (us-east-2)

  • EE. UU. Este (Norte de Virginia) (us-east-1)

  • EE. UU. Oeste (Oregón) (us-west-2)

  • Asia-Pacífico (Mumbai) (ap-south-1)

  • Asia-Pacífico (Seúl) (ap-northeast-2)

  • Asia-Pacífico (Singapur) (ap-southeast-1)

  • Asia-Pacífico (Sídney) (ap-southeast-2)

  • Asia-Pacífico (Tokio) (ap-northeast-1)

  • UE (Fráncfort) (eu-central-1)

  • UE (Irlanda) (eu-west-1)

  • UE (Londres) (eu-west-2)

  • América del Sur (São Paulo) (sa-east-1)

Si su origen se encuentra en una región de AWS en la que CloudFront ofrece Origin Shield

Si el origen se encuentra en una región de AWS en la que CloudFront ofrece Origin Shield (véase la lista anterior), habilite Origin Shield en la misma región que su origen.

Si su origen no se encuentra en una región de AWS en la que CloudFront ofrece Origin Shield

Si el origen no se encuentra en una región de AWS en la que CloudFront ofrece Origin Shield, consulte la siguiente tabla para determinar en qué región debe habilitar Origin Shield.

Si su origen está en...

Habilite el escudo de origen en...

EE. UU. Oeste (Norte de California): us-west-1

EE. UU. Oeste (Oregón) (us-west-2)

África (Ciudad del Cabo): af-south-1

UE (Irlanda) (eu-west-1)

Asia-Pacífico (Hong Kong): ap-east-1

Asia-Pacífico (Singapur) (ap-southeast-1)

Canadá (Central): ca-central-1

EE. UU. Este (Norte de Virginia) (us-east-1)

Europa (Milán): eu-south-1

UE (Fráncfort) (eu-central-1)

Europa (París): eu-west-3

UE (Londres) (eu-west-2)

Europa (Estocolmo): eu-north-1

UE (Londres) (eu-west-2)

Medio Oriente (Baréin): me-south-1

Asia-Pacífico (Mumbai) (ap-south-1)

Para orígenes fuera de AWS

Puede utilizar Origin Shield con un origen que esté en las instalaciones o que no esté en una región de AWS. En este caso, habilite Origin Shield en la región de AWS que tenga la latencia más baja en su origen. Si no está seguro de qué región de AWS tiene la latencia más baja en su origen, puede utilizar las siguientes sugerencias para ayudarle a tomar una decisión.

  • Puede consultar la tabla anterior para obtener una aproximación de la región de AWS que podría tener la menor latencia en su origen, en función de la ubicación geográfica de su origen.

  • Puede lanzar instancias Amazon EC2 en algunas regiones de AWS distintas que estén geográficamente próximas a su origen y ejecutar algunas pruebas utilizando ping para medir las latencias de red típicas entre esas regiones y su origen.

Activación del escudo de origen

Puede habilitar el escudo de origen para mejorar su tasa de aciertos de caché, reducir la carga en el origen y ayudar a mejorar el rendimiento. Para habilitar Origin Shield, cambie la configuración de origen de una distribución de CloudFront. El escudo de origen es una propiedad del origen. Para cada origen de sus distribuciones de CloudFront, puede habilitar Origin Shield por separado en cualquier región de AWS que ofrezca el mejor rendimiento para dicho origen.

Puede habilitar Origin Shield en la consola de CloudFront, con AWS CloudFormation o con la API de CloudFront.

Para habilitar el escudo de origen para un origen existente (consola)

  1. Inicie sesión en la consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/home.

  2. Elija la distribución que tiene el origen que desea actualizar.

  3. Seleccione la pestaña Origins and Origin Groups (Orígenes y Grupos de orígenes).

  4. Elija el origen que desea actualizar y, a continuación, seleccione Edit (Editar).

  5. En Enable Origin Shield (Activar escudo de origen), elija Yes (Sí).

  6. En Origin Shield Region (Región de Origin Shield), elija la región de AWS donde desea habilitar Origin Shield. Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para Origin Shield.

  7. En la parte inferior de la página, elija Yes, Edit (Sí, editar).

Cuando el estado de distribución esté Deployed (Implementado), el escudo de origen estará listo. Esto lleva unos minutos.

Para habilitar el escudo de origen para un nuevo origen (consola)

  1. Inicie sesión en la consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/home.

  2. Para crear el nuevo origen en una distribución existente, haga lo siguiente:

    1. Elija la distribución en la que desea crear el origen.

    2. Elija Create Origin (Crear origen), y, a continuación, continúe con el paso 3.

    Para crear el nuevo origen en una nueva distribución, haga lo siguiente:

    1. Seleccione Create Distribution (Crear distribución).

    2. En la sección Web elija Get Started (Comenzar). En la sección Origin Settings (Configuración de origen) complete los siguientes pasos, comenzando por el paso 3.

  3. En Enable Origin Shield (Activar escudo de origen), elija Yes (Sí).

  4. En Origin Shield Region (Región de Origin Shield), elija la región de AWS donde desea habilitar Origin Shield. Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para Origin Shield.

    Si va a crear una nueva distribución, siga configurando la distribución utilizando los demás parámetros de la página. Para obtener más información, consulte Valores que deben especificarse al crear o actualizar una distribución.

  5. Asegúrese de guardar los cambios seleccionando Create (Crear) (para un nuevo origen en una distribución existente) o Create Distribution (Crear distribución) (para un nuevo origen en una nueva distribución).

Cuando el estado de distribución esté Deployed (Implementado), el escudo de origen estará listo. Esto lleva unos minutos.

Para habilitar Origin Shield con AWS CloudFormation, utilice la propiedad OriginShield en el tipo de propiedad Origin en un recurso AWS::CloudFront::Distribution. Puede agregar la propiedad OriginShield a un Origin existente o incluirla al crear un nuevo Origin.

En el siguiente ejemplo se muestra la sintaxis, en formato YAML, para habilitar OriginShield en la región EE. UU. Oeste (Oregón) (us-west-2). Para obtener ayuda para elegir una región, consulte Elegir la región de AWS para Origin Shield. En este ejemplo se muestra solo el tipo de propiedad Origin, no todo el recurso AWS::CloudFront::Distribution.

Origins: - DomainName: 3ae97e9482b0d011.mediapackage.us-west-2.amazonaws.com Id: Example-EMP-3ae97e9482b0d011 OriginShield: Enabled: true OriginShieldRegion: us-west-2 CustomOriginConfig: OriginProtocolPolicy: match-viewer OriginSSLProtocols: TLSv1

Para obtener más información, consulte AWS።CloudFront።Distribution Origin en la sección de referencia de recursos y propiedades de la Guía del usuario de AWS CloudFormation.

Para habilitar Origin Shield con la API de CloudFront mediante los SDK de AWS o la interfaz de línea de comandos de AWS (CLI de AWS), utilice el tipo OriginShield. Se especifica OriginShield en un Origin, en una DistributionConfig. Para obtener información sobre el tipo OriginShield, consulte la siguiente información en la Referencia de la API de Amazon CloudFront.

La sintaxis específica para usar estos tipos y operaciones varía en función del SDK, de la CLI o cliente de API. Para obtener más información, consulte la documentación de referencia de su SDK, CLI o cliente.

Estimación de los costos del escudo de origen

Se acumulan cargos por escudo de origen en función del número de solicitudes que van al escudo de origen como capa incremental.

Para las solicitudes dinámicas (no almacenables en caché) que se envían como proxy al origen, el escudo de origen es siempre una capa incremental. Las solicitudes dinámicas utilizan los siguientes métodos HTTP: PUT, POST, PATCH y DELETE.

Para calcular los cargos del escudo de origen para solicitudes dinámicas, utilice la siguiente fórmula:

Número total de solicitudes dinámicas x cargo de escudo de origen por 10 000 solicitudes / 10 000

Para las solicitudes que se pueden almacenar en caché (métodos HTTP GET, HEAD y OPTIONS), el escudo de origen es a veces una capa incremental. Al activar Origin Shield, debe elegir la región de AWS para Origin Shield. Para las solicitudes que van naturalmente a la caché de borde regional en la misma región que el escudo de origen, el escudo de origen no es una capa incremental. No acumula cargos del escudo de origen por estas solicitudes. Para las solicitudes que van a una caché de borde regional en una región diferente del escudo de origen y, a continuación, a escudo de origen, escudo de origen es una capa incremental. Se acumulan cargos del escudo de origen por estas solicitudes.

Para calcular los cargos del escudo de origen para solicitudes que se pueden almacenar en caché, utilice la siguiente fórmula:

Número total de solicitudes que se pueden almacenar en caché x (1: tasa de aciertos de caché) x porcentaje de solicitudes que van a Origin Shield desde una caché de borde regional en una región diferente x cargo de Origin Shield por 10 000 solicitudes / 10 000

Para obtener más información sobre el cargo por cada 10 000 solicitudes de Origin Shield, consulte Precios de CloudFront.

Alta disponibilidad del escudo de origen

Origin Shield utiliza las cachés regionales de borde de Amazon CloudFront. Cada una de estas cachés de borde se crea en una región de AWS usando al menos tres zonas de disponibilidad con flotas de instancias Amazon EC2 de escalado automático. Las conexiones originadas en las ubicaciones de CloudFront hacia Origin Shield también usan el seguimiento activo de errores en cada solicitud para direccionar automáticamente la solicitud a una ubicación de Origin Shield secundaria si la principal no está disponible.

Cómo interactúa Origin Shield con otras características de CloudFront

En las secciones siguientes se explica cómo interactúa Origin Shield con otras características de CloudFront.

Registro de Origin Shield y CloudFront

Para ver cuándo ha gestionado una solicitud el escudo de origen, debe habilitar una de las siguientes opciones:

Los aciertos de caché de Origin Shield se muestran como OriginShieldHit en el campo x-edge-detailed-result-type de los registros de CloudFront. Origin Shield utiliza las cachés regionales de borde de Amazon CloudFront. Si una solicitud se dirige desde una ubicación de borde de CloudFront a la caché de borde regional que actúa como Origin Shield, se notifica como un Hit en los registros, no como un OriginShieldHit.

Escudo de origen y grupos de origen

Origin Shield es compatible con los grupos de orígenes de CloudFront. Dado que el escudo de origen es una propiedad del origen, las solicitudes siempre viajan a través del escudo de origen para cada origen, incluso cuando el origen forma parte de un grupo de origen. Para una solicitud determinada, CloudFront dirige la solicitud al origen principal en el grupo de origen a través de la instancia de Origin Shield del origen principal. Si esa solicitud devuelve un error (según los criterios de conmutación por error del grupo de orígenes), CloudFront dirige la solicitud al origen secundario a través de la instancia de Origin Shield del origen secundario.

Escudo de origen y Lambda@Edge

Origin Shield no afecta a la funcionalidad de las funciones de Lambda @Edge, pero puede afectar a la región de AWS donde se ejecutan esas funciones. Cuando utiliza Origin Shield con Lambda@Edge, los desencadenadores orientados al origen (solicitud de origen y respuesta de origen) se ejecutan en la región de AWS donde está habilitado Origin Shield. Los desencadenadores orientados al lector no se ven afectados.