[AWS-SAA] 09. CloudFront 요약

Amazon CloudFront 개요 (CDN: Content Delivery Network)

1. 개념 (Definition)

• 전 세계 200개 이상의 엣지 로케이션에 콘텐츠를 분산/캐싱하여 **지연 시간(latency)**을 최소화하고 전송 속도를 최적화하는 AWS의 글로벌 CDN 서비스
• 정적/동적 컨텐츠, API, 웹소켓 등 모든 HTTP(S) 트래픽 처리 가능
• DDoS 보호(AWS Shield), SSL/TLS 암호화, 사용자 제어 캐싱 정책 등 보안 및 최적화 기능 포함

2. 동작 방식 (How it Works)

• 클라이언트가 콘텐츠 요청 시, 가장 가까운 엣지 로케이션이 응답
• 엣지 로케이션에 캐시가 없다면, **원본(origin)**으로부터 콘텐츠를 가져와 캐싱 후 전달
• **TTL(Time-to-Live)**에 따라 캐시 갱신

3. 원본 (Origin)

1. Amazon S3 (정적 콘텐츠)
   • **OAC(Origin Access Control)**을 통해 S3에 대한 보안 접근 구성
   • OAI는 점차 폐지됨 → OAC로 마이그레이션 권장
   • S3 웹사이트 엔드포인트 사용 시 퍼블릭 접근 허용 필요
2. 커스텀 원본
   • ALB, EC2, 온프레미스 HTTP 서버 등
   • EC2/ALB는 반드시 퍼블릭 접근 가능해야 함
3. CloudFront Functions / Lambda@Edge
   • 엣지에서 실시간 응답 가공/검사 수행
   • 예: 요청 리다이렉트, 응답 헤더 조작, 인증 처리

4. 캐싱 및 무효화 (Caching & Invalidation)

• 기본 TTL 설정: 캐시 유지 시간, 원본에서 재검사 안함
• 최소 TTL / 최대 TTL로 세밀하게 캐싱 제어 가능
• 무효화(Invalidation): 특정 객체 또는 경로의 캐시 삭제 가능 (요금 부과)

5. 고급 기능

1. 가격 클래스 (Price Class)
   • Edge 로케이션 범위 제한 → 비용 최적화
   • All (전체 지역), 200, 100 중 선택 가능
2. 지리적 제한 (Geo Restriction)
   • 특정 국가에 대한 허용/차단
   • Geo-IP 기반, 저작권 보호 등에 활용
3. HTTPS 및 SNI 지원
   • 사용자 정의 도메인에 대한 SSL 인증서 지원 (ACM 또는 커스텀)
4. 오리진 그룹 (Origin Group)
   • **장애 조치(failover)**를 위한 기본/보조 오리진 설정 가능
5. 압축 (Gzip/Brotli)
   • 자동 압축 응답 전송 가능 (Accept-Encoding 헤더 기반)
6. 로그 기록
   • S3 로그 버킷에 접근 로그 저장 가능
   • 엣지 요청 단위 로그도 활성화 가능

6. CloudFront 보안

• AWS Shield Standard 기본 제공
• **WAF(Web Application Firewall)**와 통합 가능
• Signed URL / Signed Cookie
  • 접근 제어 및 기간 제한 가능 (비공개 콘텐츠 보호)
• OAC (Origin Access Control)
  • S3 버킷 접근을 CloudFront만 가능하게 제한
  • IAM 역할 기반, 버전별 제어 가능

7. CloudFront vs CRR (S3 Cross-Region Replication)

목적	성능 최적화, 캐싱	데이터 복제, 가용성
적용 위치	사용자 근접 엣지	S3 리전 간
지연 시간	최소화	실시간 동기화 아님
사용 목적	정적 파일, 글로벌 콘텐츠	재해 복구, 컴플라이언스
TTL 영향	있음 (기본 24시간 등)	없음

8. CloudFront vs AWS Global Accelerator

대상	HTTP/HTTPS 기반 콘텐츠	TCP/UDP 기반 애플리케이션
캐싱	O (정적 콘텐츠)	X
프로토콜	L7 (HTTP)	L3/L4 (IP 기반)
IP 방식	도메인 기반	고정 애니캐스트 IP 제공
유스케이스	이미지, JS, 정적 웹	게임, IoT, VoIP, 고정 IP API
장점	CDN + 캐싱	고정 IP, 빠른 장애조치

9. AWS Global Accelerator 정리

1. 개념
   • 전 세계 엣지에서 가장 가까운 위치로 사용자 요청을 수신
   • AWS 글로벌 네트워크를 통해 ALB, NLB, EC2 등으로 전달
2. 특징
   • 고정된 두 개의 애니캐스트 IP 제공
   • 장애 감지 시 자동 장애 조치 (1분 내 전환)
   • 캐싱 없음, 실시간 통신에 적합
3. 주요 사용 사례
   • 글로벌 API 서비스
   • 실시간 게임 서버
   • 고정 IP가 필요한 기업 시스템

10. 요약 정리

목적	콘텐츠 캐싱, CDN	L3/L4 기반 글로벌 라우팅
캐싱 지원	O	X
IP 제공	도메인 기반	고정 애니캐스트 IP
대상 트래픽	HTTP/S	TCP/UDP
지연시간 최적화	엣지 캐시 활용	엣지→AWS 백본 경로 최적화
보안	WAF, Shield, HTTPS, Signed URL	Shield, 고정 IP 기반 필터링
장애 조치	오리진 그룹	자동 라우팅 전환
사용 예	정적 파일, 미디어 CDN	실시간 게임, API 고정 IP 접속

CloudFront 설계 시 고려 사항

• OAC 활용 권장 (OAI는 점차 deprecated)
• 동적 콘텐츠는 TTL 짧게 설정
• S3 정적 사이트 호스팅 시 퍼블릭 접근 주의
• 로그 수집 시 S3 대상 버킷 별도 구성
• 정책 제한 시 Signed URL/Cookie와 WAF 병행 사용