Utilisation d'Amazon CloudFront Origin Shield

CloudFront Origin Shield est une couche supplémentaire de l'infrastructure de mise en CloudFront cache qui permet de minimiser la charge de votre origine, d'améliorer sa disponibilité et de réduire ses coûts d'exploitation. Avec CloudFront Origin Shield, vous bénéficiez des avantages suivants :

Un meilleur taux d'accès au cache

Origin Shield peut contribuer à améliorer le taux de réussite du cache de votre CloudFront distribution, car il fournit une couche de mise en cache supplémentaire devant votre source d'origine. Lorsque vous utilisez Origin Shield, toutes les requêtes envoyées par toutes les couches CloudFront de mise en cache à votre origine passent par Origin Shield, ce qui augmente le risque d'accès au cache. CloudFrontpeut récupérer chaque objet avec une seule demande d'origine envoyée par Origin Shield à votre origine, et toutes les autres couches du CloudFront cache (emplacements périphériques et caches périphériques régionaux) peuvent récupérer l'objet depuis Origin Shield.

Une charge d'origine réduite

La couche Origin Shield peut réduire davantage le nombre de demandes simultanées envoyées à votre origine pour le même objet. Les demandes de contenu ne se trouvant pas dans le cache d'Origin Shield sont consolidées avec d'autres demandes liées au même objet, ce qui permet qu'une seule demande soit envoyée à votre origine. Le fait de traiter moins de demandes à l'origine peut préserver la disponibilité de votre site d'origine en cas de pic de charge ou de pic de trafic imprévu, et peut réduire les coûts liés à des éléments tels que l' just-in-timeemballage, les transformations d'images et le transfert de données sortantes (DTO).

De meilleures performances réseau

Lorsque vous activez Origin Shield dans la AWS région où la latence par rapport à votre origine est la plus faible, vous pouvez obtenir de meilleures performances réseau. Pour les origines situées dans une AWS région, le trafic CloudFront réseau reste sur le CloudFront réseau à haut débit jusqu'à votre point d'origine. Pour les origines extérieures AWS, le trafic CloudFront réseau reste sur le CloudFront réseau jusqu'à Origin Shield, qui dispose d'une connexion à faible latence avec votre point d'origine.

Vous encourez des frais supplémentaires pour l'utilisation d'Origin Shield. Pour plus d'informations, consultez la section CloudFront Tarification.

Cas d'utilisation pour Origin Shield

CloudFront Origin Shield peut être utile dans de nombreux cas d'utilisation, notamment les suivants :

• Utilisateurs répartis dans différentes régions géographiques

• Origines qui fournissent des just-in-time emballages pour la diffusion en direct ou le traitement on-the-fly d'images

• Origines sur site avec des contraintes de capacité ou de bande passante

• Charges de travail utilisant plusieurs réseaux de diffusion de contenu

Il est possible qu'Origin Shield ne soit pas adapté dans certains cas, par exemple pour du contenu dynamique transmis par proxy à l'origine, du contenu avec une mise en cache faible ou du contenu rarement demandé.

Les sections suivantes expliquent les avantages d'Origin Shield pour les cas d'utilisation suivants.

Cas d'utilisation

• Utilisateurs dans des régions géographiques différentes
• Réseaux de diffusion de contenu multiples

Utilisateurs dans des régions géographiques différentes

Avec Amazon CloudFront, vous bénéficiez par nature d'une charge réduite sur votre source, car les demandes qui CloudFront peuvent être envoyées depuis le cache ne sont pas transmises à votre origine. Outre le réseau mondial CloudFront d'emplacements périphériques, les caches périphériques régionaux servent de couche de mise en cache de niveau intermédiaire pour fournir des accès au cache et consolider les demandes d'origine pour les utilisateurs des régions géographiques voisines. Les demandes du spectateur sont d'abord acheminées vers un emplacement CloudFront périphérique proche, et si l'objet n'est pas mis en cache à cet emplacement, la demande est envoyée vers un cache périphérique régional.

Lorsque les utilisateurs se trouvent dans des régions géographiques différentes, les demandes peuvent être acheminées via différents caches périphériques régionaux, chacun pouvant envoyer une demande à votre origine pour le même contenu. Avec Origin Shield, vous disposez d'une couche supplémentaire de mise en cache entre les caches périphériques régionaux et votre origine. Toutes les demandes provenant de tous les caches périphériques régionaux passent par Origin Shield, réduisant encore la charge sur votre origine. Les diagrammes suivants illustrent ce concept. Dans les diagrammes suivants, l'origine est AWS Elemental MediaPackage.

Sans Origin Shield

Sans Origin Shield, votre origine peut recevoir des demandes en double pour le même contenu, comme le montre le diagramme suivant.

Avec Origin Shield

L'utilisation d'Origin Shield permet de réduire la charge sur votre origine, comme le montre le diagramme suivant.

Réseaux de diffusion de contenu multiples

Pour diffuser des événements vidéo en direct ou du contenu populaire à la demande, vous pouvez utiliser plusieurs réseaux de diffusion de contenu. L'utilisation de plusieurs réseaux de diffusion de contenu peut offrir certains avantages, mais cela signifie également que votre origine peut recevoir de nombreuses demandes en double pour le même contenu, chacune provenant de réseaux différents ou d'emplacements différents au sein du même réseau de diffusion de contenu. Ces demandes redondantes peuvent nuire à la disponibilité de votre origine ou entraîner des coûts d'exploitation supplémentaires pour des processus tels que le just-in-time conditionnement ou le transfert de données (DTO) vers Internet.

Lorsque vous associez Origin Shield à l'utilisation de votre CloudFront distribution comme point d'origine pour d'autres CDN, vous pouvez bénéficier des avantages suivants :

• Un nombre moins important de demandes redondantes reçues par votre origine, ce qui contribue à réduire les effets négatifs de l'utilisation de plusieurs réseaux de diffusion de contenu.

• Une clé de cache commune sur les réseaux de diffusion de contenu et une gestion centralisée des fonctions liées à l'origine.

• Amélioration des performances réseau Le trafic réseau provenant d'autres CDN est interrompu à un emplacement CloudFront périphérique proche, ce qui peut provoquer un accès depuis le cache local. Si l'objet demandé ne se trouve pas dans le cache de localisation périphérique, la demande envoyée à l'origine reste sur le CloudFront réseau jusqu'à Origin Shield, qui fournit un débit élevé et une faible latence à l'origine. Si l'objet demandé se trouve dans le cache d'Origin Shield, la demande à votre origine est entièrement évitée.

Important

Si vous souhaitez utiliser Origin Shield dans une architecture multi-CDN et bénéficier de tarifs réduits, contactez-nous ou contactez votre représentant AWS commercial pour plus d'informations. Des frais supplémentaires peuvent être facturés.

Les diagrammes suivants montrent comment cette configuration peut aider à réduire la charge sur votre origine lorsque vous diffusez des événements vidéo populaires en direct avec plusieurs réseaux de diffusion de contenu. Dans les diagrammes suivants, l'origine est AWS Elemental MediaPackage.

Sans Origin Shield (plusieurs réseaux de diffusion de contenu)

Sans Origin Shield, votre origine peut recevoir de nombreuses demandes en double pour le même contenu, chacune provenant d'un réseau de diffusion de contenu différent, comme indiqué dans le diagramme suivant.

Avec Origin Shield (plusieurs réseaux de diffusion de contenu)

L'utilisation d'Origin Shield, CloudFront comme origine pour vos autres CDN, peut contribuer à réduire la charge sur votre origine, comme le montre le schéma suivant.

Choisir la AWS région pour Origin Shield

Amazon CloudFront propose Origin Shield dans AWS les régions CloudFront disposant d'un cache périphérique régional. Lorsque vous activez Origin Shield, vous choisissez la AWS région pour Origin Shield. Vous devez choisir la région AWS dont la latence vers votre origine est la plus faible. Vous pouvez utiliser Origin Shield avec des origines situées dans une AWS région ou non AWS.

Pour les origines dans une région AWS

Si votre origine se trouve dans une AWS région, déterminez d'abord si votre origine se trouve dans une région dans laquelle Origin CloudFront Shield est proposé. CloudFront propose Origin Shield dans les AWS régions suivantes.

• US East (Ohio) – us-east-2

• US East (N. Virginia) – us-east-1

• US West (Oregon) – us-west-2

• Asia Pacific (Mumbai) – ap-south-1

• Asie-Pacifique (Séoul) – ap-northeast-2

• Asia Pacific (Singapore) – ap-southeast-1

• Asie-Pacifique (Sydney) – ap-southeast-2

• Asie-Pacifique (Tokyo) – ap-northeast-1

• Europe (Frankfurt) – eu-central-1

• Europe (Ireland) – eu-west-1

• Europe (London) – eu-west-2

• South America (São Paulo) – sa-east-1

Si votre origine se trouve dans une AWS région CloudFront proposant Origin Shield

Si votre origine se trouve dans une AWS région qui CloudFront propose Origin Shield (voir la liste précédente), activez Origin Shield dans la même région que votre origine.

Si votre origine ne se trouve pas dans une AWS région CloudFront proposant Origin Shield

Si votre origine ne se trouve pas dans une AWS région CloudFront proposant Origin Shield, consultez le tableau suivant pour déterminer dans quelle région activer Origin Shield.

Si votre origine est dans...	Activer Origin Shield dans ...
US West (N. California) – us-west-1	US West (Oregon) – us-west-2
Africa (Cape Town) – af-south-1	Europe (Ireland) – eu-west-1
Asia Pacific (Hong Kong) – ap-east-1	Asia Pacific (Singapore) – ap-southeast-1
Canada (Central) – ca-central-1	US East (N. Virginia) – us-east-1
Europe (Milan) – eu-south-1	Europe (Frankfurt) – eu-central-1
Europe (Paris) – eu-west-3	Europe (London) – eu-west-2
Europe (Stockholm) – eu-north-1	Europe (London) – eu-west-2
Middle East (Bahrain) – me-south-1	Asia Pacific (Mumbai) – ap-south-1

Pour les origines en dehors de AWS

Vous pouvez utiliser Origin Shield avec une origine sur site ou ne se trouvant pas dans une région AWS . Dans ce cas, activez Origin Shield dans la AWS région où la latence par rapport à votre origine est la plus faible. Si vous ne savez pas quelle AWS région présente la latence la plus faible par rapport à votre point d'origine, vous pouvez utiliser les suggestions suivantes pour vous aider à prendre une décision.

• Vous pouvez consulter le tableau précédent pour avoir une idée de la région AWS pouvant présenter la latence la plus faible vers votre origine, en fonction de l'emplacement géographique de votre origine.

• Vous pouvez lancer des instances Amazon EC2 dans différentes AWS régions géographiquement proches de votre origine et effectuer des tests ping pour mesurer les latences réseau typiques entre ces régions et votre origine.

Activation d'Origin Shield

Vous pouvez activer Origin Shield pour améliorer votre taux d'accès au cache, réduire la charge sur votre origine et améliorer les performances. Pour activer Origin Shield, modifiez les paramètres d'origine dans une CloudFront distribution. Origin Shield est une propriété de l'origine. Pour chaque origine de vos CloudFront distributions, vous pouvez activer Origin Shield séparément dans AWS la région offrant les meilleures performances pour cette origine.

Vous pouvez activer Origin Shield dans la CloudFront console AWS CloudFormation, avec ou avec l' CloudFrontAPI.

Console

Pour activer Origin Shield pour une origine existante (console)

1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Choisissez la distribution contenant l'origine à mettre à jour.

3. Choisissez l'onglet Origins and Origin Groups (Origines et groupes d'origine).

4. Choisissez l'origine à mettre à jour, puis choisissez Edit (Modifier).

5. Pour Enable Origin Shield (Activer Origin Shield), choisissez Yes (Oui).

6. Pour Origin Shield Region, choisissez la AWS région dans laquelle vous souhaitez activer Origin Shield. Pour obtenir de l'aide sur le choix d'une région, veuillez consulter Choisir la AWS région pour Origin Shield.

7. Au bas de la page, choisissez Oui, modifier.

Lorsque le statut de votre distribution est Deployed (Déployée), Origin Shield est prêt. Cela prend quelques minutes.

Pour activer Origin Shield pour une nouvelle origine (console)

1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Pour créer la nouvelle origine dans une distribution existante, procédez comme suit :

   1. Choisissez la distribution dans laquelle vous souhaitez créer l'origine.

   2. Choisissez Créer une origine, puis passez à l'étape 3.

   Pour créer la nouvelle origine dans une nouvelle distribution, procédez comme suit :

   1. Choisissez Create Distribution.

   2. Dans la section Web choisissez Mise en route. Dans la section Paramètres d'origine procédez comme suit, en commençant par l'étape 3.

3. Pour Enable Origin Shield (Activer Origin Shield), choisissez Yes (Oui).

4. Pour Origin Shield Region, choisissez la AWS région dans laquelle vous souhaitez activer Origin Shield. Pour obtenir de l'aide sur le choix d'une région, veuillez consulter Choisir la AWS région pour Origin Shield.

   Si vous créez une nouvelle distribution, continuez à configurer votre distribution en utilisant les autres paramètres de la page. Pour de plus amples informations, veuillez consulter Référence des paramètres de distribution.

5. N'oubliez pas d'enregistrer vos modifications en choisissant Créer (pour une nouvelle origine dans une distribution existante) ou Créer une distribution (pour une nouvelle origine dans une nouvelle distribution).

Lorsque le statut de votre distribution est Deployed (Déployée), Origin Shield est prêt. Cela prend quelques minutes.

AWS CloudFormation

Pour activer Origin Shield avec AWS CloudFormation, utilisez la OriginShield propriété dans le type de Origin propriété d'une AWS::CloudFront::Distribution ressource. Vous pouvez ajouter la propriété OriginShield à un type de propriété Origin existant, ou l'inclure lorsque vous créez un nouveau type de propriété Origin.

L'exemple suivant présente la syntaxe, au format YAML, pour l'activation d'OriginShield dans la région USA Ouest (Oregon) (us-west-2). Pour obtenir de l'aide sur le choix d'une région, veuillez consulter Choisir la AWS région pour Origin Shield. Cet exemple montre uniquement le type de propriété Origin, et non l'ensemble de la ressource AWS::CloudFront::Distribution.

Origins:
- DomainName: 3ae97e9482b0d011.mediapackage.us-west-2.amazonaws.com
  Id: Example-EMP-3ae97e9482b0d011
  OriginShield:
    Enabled: true
    OriginShieldRegion: us-west-2
  CustomOriginConfig:
    OriginProtocolPolicy: match-viewer
    OriginSSLProtocols: TLSv1

Pour plus d'informations, consultez AWS::CloudFront::Distribution Origin dans la section de référence des ressources et des propriétés du Guide de AWS CloudFormation l'utilisateur.

API

Pour activer Origin Shield avec l' CloudFront API à l'aide AWS des SDK ou AWS Command Line Interface (AWS CLI), utilisez le OriginShield type. Vous spécifiez OriginShield dans un type Origin, dans un typeDistributionConfig. Pour plus d'informations sur le OriginShield type, consultez les informations suivantes dans le Amazon CloudFront API Reference.

• OriginShield(type)

• Origin (type)

• DistributionConfig(type)

• UpdateDistribution(opération)

• CreateDistribution(opération)

La syntaxe spécifique pour l'utilisation de ces types et opérations varie en fonction du client SDK, CLI ou de l'API. Pour de plus amples informations, veuillez consulter la documentation de référence de votre kit SDK, CLI ou client.

Estimation des frais liés à Origin Shield

Les frais liés à Origin Shield augmentent en fonction du nombre de demandes adressées à Origin Shield en tant que couche incrémentielle.

Pour les demandes dynamiques (ne pouvant pas être mises en cache) qui sont transmises par proxy à l'origine, Origin Shield est toujours une couche incrémentielle. Les requêtes dynamiques utilisent les méthodes HTTP PUTPOST,PATCH, etDELETE.

GETet les HEAD demandes dont le paramètre de durée de vie (TTL) est inférieur à 3 600 secondes sont considérées comme des demandes dynamiques. En outre, GET les HEAD demandes dont la mise en cache est désactivée sont également considérées comme des demandes dynamiques.

Pour estimer vos frais liés à Origin Shield pour les demandes dynamiques, utilisez la formule suivante :

Nombre total de demandes dynamiques x frais Origin Shield pour 10 000 demandes / 10 000

Pour les requêtes non dynamiques utilisant les méthodes HTTP, et GET HEADOPTIONS, Origin Shield est parfois une couche incrémentielle. Lorsque vous activez Origin Shield, vous choisissez Origin Shield. Région AWS Pour les demandes qui sont naturellement dirigées vers le cache périphérique régional de la même région qu'Origin Shield, Origin Shield n'est pas une couche incrémentielle. Ces demandes ne vous sont pas facturées par Origin Shield. Pour les demandes qui sont envoyées vers un cache périphérique régional dans une région différente de celle d'Origin Shield, puis vers Origin Shield, Origin Shield est une couche incrémentielle. Des frais Origin Shield supplémentaires seront facturés pour ces demandes.

Pour estimer vos frais liés à Origin Shield pour les demandes pouvant être mises en cache, utilisez la formule suivante :

Nombre total de demandes pouvant être mises en cache x (1 – taux d'accès au cache) x pourcentage de demandes allant à Origin Shield à partir d'un cache périphérique régional dans une autre région x frais Origin Shield pour 10 000 demandes / 10 000

Pour plus d'informations sur le tarif pour 10 000 demandes pour Origin Shield, consultez la section CloudFront Tarification.

Haute disponibilité d'Origin Shield

Origin Shield tire parti de la fonctionnalité de caches périphériques CloudFront régionaux. Chacun de ces caches périphériques est créé dans une AWS région utilisant au moins trois zones de disponibilité avec des flottes d'instances Amazon EC2 auto-scalables. Les connexions entre les CloudFront sites et Origin Shield utilisent également le suivi actif des erreurs pour chaque demande afin d'acheminer automatiquement la demande vers un site Origin Shield secondaire si le site Origin Shield principal n'est pas disponible.

Comment Origin Shield interagit avec les autres fonctionnalités CloudFront

Les sections suivantes expliquent comment Origin Shield interagit avec les autres CloudFront fonctionnalités.

Origin Shield et CloudFront journalisation

Pour connaître le moment où Origin Shield a traité une demande, vous devez activer l'une des options suivantes :

• CloudFront journaux standard (journaux d'accès). Les journaux standard sont fournis gratuitement.

• CloudFront journaux en temps réel. Des frais supplémentaires sont liés à l'utilisation des journaux en temps réel. Consultez les CloudFront tarifs Amazon.

Les accès au cache provenant d'Origin Shield apparaissent comme OriginShieldHit x-edge-detailed-result-type sur le terrain dans CloudFront les journaux. Origin Shield exploite les CloudFront caches périphériques régionaux d'Amazon. Si une demande est acheminée depuis un emplacement CloudFront périphérique vers le cache périphérique régional qui agit en tant qu'Origin Shield, elle est signalée comme un Hit dans les journaux, et non comme unOriginShieldHit.

Origin Shield et groupes d'origines

Origin Shield est compatible avec les groupes CloudFront d'origine. Origin Shield étant une propriété de l'origine, les demandes passent toujours par Origin Shield pour chaque origine, même lorsque l'origine fait partie d'un groupe d'origines. Pour une demande donnée, CloudFront achemine la demande vers l'origine principale du groupe d'origine via le Origin Shield de l'origine principale. Si cette demande échoue (selon les critères de basculement du groupe d'origine), CloudFront achemine la demande vers l'origine secondaire via le Origin Shield de l'origine secondaire.

Origin Shield et Lambda@Edge

Origin Shield n'a pas d'impact sur l'exécution des fonctions de Lambda@Edge, mais peut affecter la région AWS dans laquelle ces fonctions s'exécutent.

Lorsque vous utilisez Origin Shield avec Lambda @Edge, les déclencheurs orientés vers l'origine (demande d'origine et réponse d'origine) s'exécutent dans la région AWS où Origin Shield est activé. Si l'emplacement Origin Shield principal n'est pas disponible et CloudFront achemine les demandes vers un emplacement Origin Shield secondaire, les déclencheurs Lambda @Edge orientés vers l'origine seront également déplacés pour utiliser l'emplacement secondaire d'Origin Shield.

Les déclencheurs liés à l'utilisateur ne sont pas affectés.