[AWS] CloudFront 실습

S3 버킷 새로운 버킷 만들기

AWS 리전 : 현재 있는 지역에서 조금 멀리 떨어져 있는 곳으로 선택

eg. 미국 동부 오하이오 혹은 서부 오레곤 지역

버킷 이름 : awslearner-cloudfront-practice

객체 소유권 : ACL 활성화됨 체크

객체 소유권 : 버킷 소유자 선호

 

이 버킷의 퍼블릭 액세스 차단 설정 : 

모든 퍼블릭 액세스 차단 : 체크 해제

그 이외 : default

 

 

버킷 만들기 click

 

 

 

 

---

버킷에 사진 업로드하기

 

사진을 올리는 이유는 다른 지역에 있는 버킷에 들어있는 사진을 여는 과정을 확인해보기 위해서.

예를들면 사는 곳은 한국인데 버킷지역이 미국으로 되어 있다면?

권한 : 

ACL(액세스 제어 목록)

미리 정의된 ACL : 

퍼블릭 읽기 액세스 권한 부여 선택

⭢ 버킷 레벨뿐만 아니라 오브젝트 레벨에서도 Public 권한이 생기는 것 (바람직한 방법 X 보안이슈)

실제 프로덕션에서는 이 파일을 업로드 및 삭제할 수 있는 권한을 지닌 사람, 파일 읽기만 가능한 사람. 이런식으로 사용자와 그룹을 따로 나눠서 관리해야하는 것

 

 

 

 

 

업로드 Click

 

 

 

 

객체 URL click

 

 

이미지가 로딩되는 과정에서 약간의 버퍼링

⮕ 버킷의 리젼과 살고있는 지역이랑 가깝다면 속도는 빨랐을 것이다. 

지역이 달라도 업로드, 다운로드 속도를 향상시킬수있는 방법은? Clouldfront CDN

---

 

CloudFront 대시보드로 들어가준다

 

새로운 CloudFront 배포 생성 click

여기서 배포 : 새로운 분산 네트워크를 하나 만든다는 뜻

 

Cloudfront 배포 생성

 

원본

Origin domain : S3 버킷 뿐만아니라 ELB 다양한 오리진을 선택할 수 있다.

아까 만들어준 S3 버킷을 찾아서 선택해준다. ⭢ 그러면 자동으로 이름이 입력이 된다.

Origin path - optional : 선택사항. 복잡한 폴더 구조로 이루어져있는 버킷 안에서 특정 폴더만 선택해서 사용하고 싶을 때 정의

 

공개 : 제한을 두지 않고 아무나 네트워크에 접근 권한이 생기게 된다.

버킷 또한 퍼블락 액세스가 차단이 되어있어야한다. 보안적인 측면에서 바람직 X 옵션

원본 액세스 제어 설정(권장) : 버킷 안에 있는 콘텐츠는 클라우드 프론트를 통해서만 접근 가능

Legacy access identities : OAI라고 불리는 원본 액세스 id를 사용해서 버킷에 접근한다

OAI? 클라우드 프론트에 존재하는 가상 유저. 컨텐츠 접근 권한을 가지고 있다.

새 OAI 생성 버튼을 누르게 되면, 이미 OAI 이름이 정의가 되어서 나온다.

버킷 정책 : 읽기 권한을 사용자에게 부여할지 안할지에 대한 권한을 묻는 것

예, 버킷 정책 업데이트 선택

오리진으로 보내는 요청에 사용자 지정 헤드를 추가할 때 필요하다. 필요없음으로 PASS

Enable Origin Shield : 원본의 부하를 줄이고 가형성을 보호하는데 도움이 추가되는 캐싱 계층이라 설명이 되어있음.

캐시 적정률 샹상을 통해서 더 효울적인 콘텐츠 로딩을 위해 사용되어 질 수 있다. 그렇지만 사용시 추가 요금 발생 default는 아니오

기본 캐시 동작

경로 패턴 : 사용자가 변경 불가

기본값(*) : 여기서 *는 정규 표현식 값중 하나. 모든 것을 의미

자동으로 객체 압축 : 컨텐츠를 오리진으로 보낼 때 압축해서 보낼지 아닐지에 대한 여부 

HTTP 헤더중 하나인 Accept-Encoding 헤더에 지정된 대로 뷰어가 지원하는 경우에만 파일을 압축합니다.

뷰어

뷰어 프로토콜 정책 : 

HTTP란? HyperText Transfer Protocol의 약자

HTTPS의 S는 Secure의 약자. 안전한. HTTP보다 보안적인 측면에서 뛰어나다.

Redirect HTTP to HTTPS 선택

요청이 HTTP로 올지 HTTPS로올지 모르며 두 종류의 요청이 오더라도 모두 HTTPS로 규결시킬 수 있는 방법인 두 번째 옵션을 사용하자는 것

첫번째 옵션은 HTTP를 허용하고 있고

세번째 옵션은 HTTP를 거부하고 있다.

 

 

허용된 HTTP 방법 :

API 요청을 할 때 발생할 수 있는 GET HEAD와 같은 상활 중 무엇을 허용할지를 묻는 것

디폴트로 선택된 GET, HEAD 선택

 

뷰어 액세스 제한 : No 선택

Yes할 경우 클라우드 프론트에 서명된 URL 또는 서명된 쿠키를 사용해야함

이는 EC2 인스턴스에 접속할 때 썻던 PEM 파일과 비슷한 개념. 액세스 권한을 부여받은 사용자만 콘텐츠에 접근할 있게 하는 것.

캐시 키 및 원본 요청

AWS에서는 캐시 정책과 오리진 요청 정책 사용을 권장하고 있지만, Legacy cache 사용할 수도 있다.

본 실습에서는 권장하고 있는 첫번째 옵션 선택

 

 

캐시 정책 : 현재 캐시 정책에 대해 자세히 알고 싶다면 정책 보기 클릭

Managed-CachingOptimized에 대한 세부 정보를 볼 수 있다.

최소 TTL(초)은 1초

최대 TTL(초)는 31536000 (365일 1년)

기본 TTL(초)은 86400 (24시간)

 

압축방식은 Gzip 또는 Brotli를 지원하고 있다.

 

함수 연결 - 선택 사항

클라우드 프론트를 사용할 때 일어날 수 있는 다양한 상황에서 클라우드 프론트 함수 및 람다 엣지 이 둘 중 하나를 사용할 수 있다.

개발자가 구현한 코드에 근거하여 이벤트가 발생할 경우 이 함수를 실행하라는 것

함수에 ARN을 넣고 함수를 사용할 수 있다.

 

웹 애플리케이션 방화벽(WAF)

설정

가격 분류 : 이옵션에 따라 엣지 로케이션이 얼마나 많이 전 세계에 생성될지 결정된다.

엣지 로케이션이 많아질수록 속도는 비약적으로 향상될 것. 단점 :  추가 비용 발생

전 세계 사용자들을 위해서라면 첫 번째 옵션을 사용하는 것이 맞으나 실습이므로 최선의 비용으로 클라우드 프론트를 구축할 것이므로 두번째 혹은 세번째 옵션을 사용할 것 ⭢ 본실습 두번째 옵션 선택

대체 도메인 이름(CNAME) - 선택 사항 : 만약 도메닌 주소를 이미 구매했다면 여기서 사용할 수 있다.

클라우드 프론트를 구축할 때 필요한 것은 아니지만 도메인 주소를 제공하지 않으면 사용자를 위해 클라우드 프론트는 이밎 도메인 주소를 생성해준다.

사용자 정의 SSL 인증서 - 선택 사항 : 이건 버지니아 지역에서 생성한 것이어야만한다.

SSL 인증서는 버지니아 지역에서만 생성 가능.

인증서 요청 버튼을 누르면 새창이 뜬다. AWS로부터 Public SSL 인증서를 생성할 수 있다.

인증서를 사용하는 이유 중 하나는 HTTP 요청을 HTTPS로 리다이렉트 할 때 사용되어진다. 우린 인증서 없이 진행할 수 있다.

리전이 버지니아 북부로 바뀐는 것을 확인할 수 있다.

지원되는 HTTP 버전 :

기존 버전인 1.0과 1.1이 포함되어 2를 사용할지 아니면 최근에 추가된 3을 사용할지를 선택

빠른 네트워크 처리 및 안정적인 네트워크 연결을 위해 가장 최신 버전을 사용하는 것을 권장

따라서 3 선택

 

 

기본값 루트 객체 - 선택 사항 : PASS

표준 로깅 : PASS

 

IPv6 : zurl

IPv에 비해서 더욱 다양한 IP 주소를 포함한다. 그만큼 복잡도는 ⭡⭡⭡

 

 

배포 생성 click

배포 도메인 이름 : 클라우드 프런트에서 직접 생성된 URL

 

원본

이는 콘텐츠가 들어있는 S3 버킷과 동일

 

원본 액세스 Id도 있음

경로 패턴 : 기본값으로 되어있는 데 이는 앞서 경로값을 정의 하지 않았기 때문에

모든 요청을 HTTPS로 바꿔주는 옵션을 선택했지 때문에 이렇게 보임

캐시 정책 이름 : Managed Chaching Optimized를 선택했기 때문에 이렇게 보임

배포 도메인 이름 URL을 복사해서 새탭으로 열어보자.

맨앞은 HTTP로 바꿔서. 맨끝에는 파일명을 넣어준다.

처음 벅속시 버퍼링이 생길 수 있으나 재차 방문할 경우 가장 가까운 엣지 로케이션에서 콘텐츠를 가져오기 때문에 속도가 향상될 것이다.

접속시 http로 접속을 했는데 https로 리다이렉트 된것도 확인할 수있었다.