Preguntas frecuentes sobre Amazon CloudFront

Los clientes buscan constantemente ofrecer aplicaciones más rápidas y seguras para sus usuarios finales. A medida que aumenta la penetración de Internet en el mundo y más usuarios se conectan a través de dispositivos móviles y desde redes remotas, la necesidad de mejorar el rendimiento y la fiabilidad es mayor que nunca. HTTP/3 permite lograrlo al ofrecer muchas mejoras de rendimiento respecto a las versiones anteriores de HTTP:

1. Conexiones más confiables y rápidas: CloudFront utiliza 1-RTT para el protocolo de enlace TLS con HTTP/3 para reducir el tiempo establecido de conexión y para una correspondiente reducción en los fallos de los protocolos de enlace, en comparación con las versiones de HTTP anteriores.
2. Mejor rendimiento web: la implementación de HTTP/3 en CloudFront admite las migraciones de conexión del lado del cliente, lo que permite a las aplicaciones del cliente recuperarse de las conexiones deficientes con interrupciones mínimas. Al contrario de TCP, QUIC no es un protocolo sin pérdidas, lo que lo hace más adecuado para redes congestionadas con altos paquetes de pérdidas. Además, QUIC permite reconectarse durante las transferencias de celular o wifi.
3. Seguridad: HTTP/3 ofrece mayor seguridad integral en comparación con las versiones anteriores de HTTP mediante el intercambio de paquetes cifrados con los protocolos de enlace TLS. Esto dificulta la inspección por parte de las middleboxes, lo que proporciona privacidad adicional y reduce los ataques de intermediarios. La compatibilidad con HTTP/3 de CloudFront se basa en s2n-quic y Rust, ambos con un fuerte énfasis en la eficiencia y el rendimiento.
    

gRPC es un marco moderno de llamadas a procedimientos remotos (RPC) de código abierto que permite la comunicación bidireccional entre un cliente y un servidor a través de una conexión HTTP/2 de larga duración. Al utilizar una conexión abierta persistente, el cliente y el servidor pueden enviarse datos en tiempo real sin que el cliente tenga que reiniciar las conexiones con frecuencia para comprobar si hay nuevos datos que intercambiar. gRPC es ideal para casos de uso en los que la baja latencia y las altas velocidades de transferencia son cruciales, como las aplicaciones de comunicación en tiempo real y los videojuegos en línea.

gRPC está activado en cada comportamiento de la caché de sus distribuciones de CloudFront. Al activar gRPC, se asegurará de que tanto HTTP/2 como la compatibilidad con solicitudes POST también estén activadas en su distribución. gRPC solo admite el método POST en HTTP/2.

Amazon CloudFront se comunica a través de gRPC cuando se cumplen las siguientes condiciones:

1. HTTP/2 está activado en su distribución
2. Las solicitudes POST y gRPC están activadas en un comportamiento de la caché
3. Un cliente envía un encabezado “content-type” con el valor “application/grpc” a través de una conexión HTTP/2

1. Seguridad: gRPC usa HTTP/2, lo que garantiza que el tráfico esté cifrado de extremo a extremo desde el cliente hasta los servidores de origen. Además, al usar gRPC, obtiene AWS Shield Estándar sin costo adicional y AWS WAF se puede configurar para ayudar a proteger el tráfico de gRPC de los ataques.
2. Mejor rendimiento: gRPC aprovecha un formato de mensaje binario, denominado búferes de protocolo, que son más pequeños que las cargas útiles tradicionales, como el JSON que se usa con las API RESTful. El análisis de búferes de protocolo consume menos CPU porque los datos están en formato binario, lo que significa que los mensajes se intercambian con mayor rapidez. Esto se traduce en un mejor rendimiento general.
3. Soporte de streaming integrado: el streaming es una parte integrada del marco de gRPC y admite la semántica de streaming tanto del lado del cliente como del lado del servidor. Esto simplifica mucho la creación de servicios o clientes de streaming. gRPC en CloudFront admite las siguientes combinaciones de streaming:
   • Unario (sin streaming)
   • Streaming de cliente a servidor
   • Streaming de servidor a cliente
   • Streaming bidireccional

Actualmente, no. CloudFront solo admite gRPC a través de HTTP/2.

CloudFront ofrece dos formas completamente administradas de proteger sus orígenes:

1. Control de acceso de origen (OAC): Control de acceso de origen (OAC) de CloudFront es una característica de seguridad que restringe el acceso a las URL de orígenes de Amazon Simple Storage Service (S3), orígenes de AWS Elemental y URL de funciones de Lambda, lo que garantiza que solo CloudFront pueda acceder al contenido.
2. Orígenes de VPC: los orígenes de Virtual Private Cloud (VPC) de CloudFront le permiten usar Amazon CloudFront para entregar contenido desde aplicaciones alojadas en una subred privada de VPC. Puede usar los equilibradores de carga de aplicación (ALB), los equilibradores de carga de red (NLB) y las instancias de EC2 en subredes privadas como orígenes de VPC con CloudFront

Si las soluciones administradas de CloudFront no cumplen con los requisitos de su caso de uso, a continuación se muestran algunos enfoques alternativos disponibles:

1. Encabezados de origen personalizados: con CloudFront, puede agregar encabezados personalizados a sus solicitudes entrantes y, a continuación, configurar su origen para validar estos valores de encabezado específicos, lo que limita de manera efectiva el acceso únicamente a las solicitudes que se envían a través de CloudFront. Este método crea una capa adicional de autenticación, lo que reduce significativamente el riesgo de acceso directo no autorizado a su origen.
2. Lista de direcciones IP permitidas: puede configurar el firewall o el grupo de seguridad de origen para permitir exclusivamente el tráfico entrante desde los rangos de direcciones IP de CloudFront. AWS mantiene y actualiza de manera periódica estos rangos de direcciones IP para su comodidad. Para obtener información detallada sobre la implementación de listas de direcciones IP permitidas, consulte la documentación completa en: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list. Este recurso proporciona una guía paso a paso sobre cómo aprovechar las listas de prefijos administradas de AWS para una configuración de seguridad óptima.
3. Cifrado SSL/TLS: puede configurar CloudFront para que utilice exclusivamente conexiones HTTPS con su origen, a fin de lograr una protección de datos de extremo a extremo mediante una comunicación cifrada entre su distribución de CloudFront y su origen.

Los orígenes de Virtual Private Cloud (VPC) de CloudFront es una nueva característica que le permite usar CloudFront para entregar contenido desde aplicaciones alojadas en una subred privada de VPC. Con Orígenes de VPC, puede tener las aplicaciones en una subred privada de la VPC, a la que solo se puede acceder a través de las distribuciones de CloudFront. Esto elimina el requisito de que el origen tenga un nombre de servicio de nombres de dominio (DNS) que se pueda resolver externamente. Puede configurar Orígenes de VPC con aplicaciones que se ejecutan en equilibradores de carga de aplicación (ALB), equilibradores de carga de red (NLB) e instancias de EC2. Orígenes de VPC solo está disponible en las regiones comerciales de AWS; puede consultar la lista completa de regiones de AWS compatibles aquí.

Debe usar Orígenes de VPC con CloudFront si desea mejorar la seguridad de sus aplicaciones web y, al mismo tiempo, mantener un alto rendimiento y una escalabilidad global. Con Orígenes de VPC, puede restringir el acceso a sus orígenes en una VPC solo a las distribuciones de CloudFront sin necesidad de configuraciones complejas, como encabezados secretos o listas de control de acceso. Orígenes de VPC también le permite optimizar los costos de IPv4 al realizar el enrutamiento a los orígenes en una subred privada con direcciones IPv4 internas de forma gratuita. Orígenes de VPC es perfecto si desea optimizar la administración de la seguridad, y así centrarse en hacer crecer su negocio principal en lugar de dedicarse a administrar medidas de seguridad complejas.

1. Seguridad: gracias a Orígenes de VPC, puede mejorar la posición de seguridad de su aplicación al colocar los equilibradores de carga y las instancias de EC2 en subredes privadas, lo que convierte a CloudFront en el único punto de entrada. Las solicitudes de los usuarios van desde CloudFront a Orígenes de VPC a través de una conexión privada y segura, lo que proporciona seguridad adicional para sus aplicaciones.
2. Administración: Orígenes de VPC reduce la sobrecarga operativa necesaria para establecer una conectividad segura entre CloudFront y Origin, ya que le permite transferir los orígenes a subredes privadas sin acceso público y sin tener que implementar listas de control de acceso, encabezados compartidos secretos u otros mecanismos para restringir el acceso a los orígenes. Esto le facilita la protección de sus aplicaciones web con CloudFront, sin tener que perder tiempo en trabajos de desarrollo indiferenciados.
3. Escalable y de alto rendimiento: mediante Orígenes de VPC, los clientes pueden utilizar las ubicaciones periféricas globales de CloudFront y las redes troncales de AWS, disfrutando de una escala y un rendimiento similares a los de otros métodos de entrega de contenido existentes, a la vez que obtienen una mejor posición de seguridad. La solución optimiza la administración de la seguridad y, al mismo tiempo, la entrega global de aplicaciones a los clientes, lo que facilita el uso de CloudFront como la única puerta de entrada para sus aplicaciones.

Los orígenes de Virtual Private Cloud (VPC) de CloudFront le permiten usar CloudFront para entregar contenido de aplicaciones alojadas en una subred privada de VPC con equilibradores de carga de aplicación, equilibradores de carga de red e instancias de EC2. El bloqueo de acceso público de Amazon VPC (BPA de VPC) es un control declarativo sencillo que bloquea de forma fiable el tráfico de VPC entrante (entrada) y saliente (salida) a través de las rutas de Internet proporcionadas por AWS. Cuando el BPA de VPC esté activado en una subred con origen en VPC, las conexiones activas de CloudFront terminan hacia esa subred. No se envían conexiones nuevas a la subred y se enrutan a otra subred en la que reside el origen de la VPC donde el BPA no está activado, o se eliminan si todas las subredes en las que reside el origen de la VPC tienen el BPA activado.

Orígenes de VPC admite equilibradores de carga de aplicación, equilibradores de carga de red e instancias de EC2.

No, IPv6 no es compatible con orígenes privados de VPC. Con Orígenes de VPC, necesita direcciones IPv4 privadas, que son gratuitas y no generan cargos por IPv4.

Las IP estáticas de difusión por proximidad de Amazon CloudFront son un conjunto de direcciones IP estáticas que le permiten conectarse a todas las ubicaciones periféricas de CloudFront a nivel global. Este conjunto contiene una lista pequeña y estática de direcciones IP que se pueden usar para casos de uso como la facturación con tasa cero, en la que los proveedores de red no cobran cargos por datos para direcciones IP específicas si existen los acuerdos adecuados, y listas de permisos del lado del cliente para mejorar la seguridad. Al usar las IP estáticas de difusión por proximidad, se elimina el desafío operativo que supone actualizar constantemente las listas de direcciones permitidas o las asignaciones de IP, ya que el mismo conjunto de IP funciona para toda la red global de CloudFront y, al mismo tiempo, se beneficia de todas las características de CloudFront.

Para activar las IP estáticas de difusión por proximidad, primero debe solicitar y crear una lista de IP estáticas de difusión por proximidad en su cuenta de AWS. Una vez creada la lista, puede asociar sus distribuciones de CloudFront a la lista de direcciones IP estáticas de difusión por proximidad. Esto se puede hacer a través de la sección IP estática de difusión por proximidad en la Consola de AWS, o si se edita cada distribución y selecciona la lista de IP estáticas de difusión por proximidad que desee en el menú desplegable. Tras guardar estos cambios, podrá copiar o descargar el conjunto específico de direcciones IP estáticas asociadas a sus distribuciones desde la lista que se muestra en la Consola de AWS o mediante las API

Recibirá 21 direcciones IP para IPv4 cuando active las IP estáticas de difusión por proximidad de CloudFront. Tendrá que agregar todas estas direcciones IP a las listas de direcciones permitidas pertinentes.

No. La difusión por proximidad de CloudFront solo estará disponible con direcciones IP distribuidas en distintas regiones geográficas.

A medida que CloudFront agregue nuevas ubicaciones periféricas, su lista de IP estáticas de difusión por proximidad seguirá siendo válida. Anunciaremos sus direcciones IP desde las nuevas ubicaciones periféricas, según corresponda.

Todas las características de CloudFront son compatibles con la difusión por proximidad, aunque hay tres excepciones notables: 1/ las IP estáticas de difusión por proximidad no admitirán clientes antiguos que no admitan SNI, 2/ debe utilizar Clase de precio Todo cuando utilice IP estáticas de difusión por proximidad y 3/ debe desactivar IPv6 cuando utilice IP estáticas de difusión por proximidad. Las IP estáticas de difusión por proximidad funcionan en la fase de resolución del DNS y, una vez que la solicitud llegue a un host, todas las características e integraciones existentes con otros servicios de AWS seguirán estando disponibles para sus distribuciones.

Puede usar las IP estáticas de difusión por proximidad con varias distribuciones, pero deben estar en la misma cuenta. Las IP estáticas de difusión por proximidad de CloudFront se pueden asociar a varias distribuciones de la cuenta. La IP estática de difusión por proximidad de CloudFront admitirá la indicación de nombre de servidor (SNI) para que cualquier número de distribuciones asociadas a su política de IP estática de difusión por proximidad devuelva el certificado correcto. Si desea tener distintas IP estáticas para varias distribuciones dentro de su cuenta, puede crear una lista adicional de IP estáticas de difusión por proximidad y asociarlas a distribuciones específicas.

Al crear una nueva distribución en una cuenta con las IP estáticas de difusión por proximidad activadas, debe asociar de manera explícita la nueva distribución a su lista de direcciones IP estáticas de difusión por proximidad existentes. De forma predeterminada, usará direcciones IP dinámicas hasta que se vincule a su lista de IP estáticas.

Cuando crea o modifica una distribución de CloudFront, puede activar el registro de los accesos. CloudFront ofrece dos maneras de registrar las solicitudes que se entregan desde sus distribuciones: registros estándar y registros en tiempo real.

Los registros estándar de CloudFront se entregan al bucket de Amazon S3 que elija (los registros se entregan en cuestión de minutos desde que el espectador genera una solicitud). Si se habilita, CloudFront automáticamente publicará información detallada del registro en formato W3C extendido en el bucket de Amazon S3 que se especifique. Los registros de acceso contienen información detallada sobre cada solicitud de su contenido, incluido el objeto solicitado, la fecha y la hora de la solicitud, la ubicación de borde que entrega la solicitud, la dirección IP de cliente, el emisor, el agente de usuarios, el encabezado de cookie y el tipo de resultado (por ejemplo, encontrado, no encontrado o error en la memoria caché). CloudFront no aplica cargos por los registros estándar, aunque puede incurrir en cargos de Amazon S3 por almacenar y acceder a los archivos de registro.

Los registros en tiempo real de CloudFront se entregan a las secuencias de datos que elija en Amazon Kinesis Data Streams (los registros se entregan en cuestión de segundos desde que el espectador genera una solicitud). Puede elegir la velocidad de muestreo para sus registros en tiempo real; es decir, el porcentaje de solicitudes de las que desea recibir registros en tiempo real. También puede elegir los campos específicos de los que desea recibir registros. Los registros en tiempo real de CloudFront contienen los mismos puntos de datos que los registros estándar y, además, cierta información adicional sobre cada solicitud, como el código de país y el encabezado de las solicitudes de los espectadores, en formato W3C extendido. CloudFront aplica cargos por los registros en tiempo real, que se suman a los cargos en los que incurra por el uso de Kinesis Data Streams.

• Los registros estándar de CloudFront se envían al bucket de Amazon S3 que elija, a los registros de Amazon CloudWatch y a Amazon Data Firehose. Para obtener más información, consulte Usar registros estándar (registros de acceso).
• Los registros en tiempo real de CloudFront se envían a la secuencia de datos de su elección en Amazon Kinesis Data Streams. CloudFront aplica cargos por los registros en tiempo real, que se suman a los cargos en los que incurra por el uso de Kinesis Data Streams. Para obtener más información, consulte Usar registros en tiempo real.
• Los registros de funciones de periferia de CloudFront (Lambda@Edge y CloudFront Functions) se entregan a los registros de Amazon CloudWatch

Puede elegir un destino según su caso de uso. Si tiene casos de uso urgentes y necesita acceder a los datos de registro rápidamente en cuestión de segundos, elija los registros en tiempo real. Si necesita que la canalización de registro en tiempo real sea más económica, puede elegir la opción de filtrar los datos de registro habilitando los registros únicamente para comportamientos específicos de la memoria caché o seleccionando una velocidad de muestreo menor. La canalización de registros en tiempo real está diseñada especialmente para brindar una entrega rápida de datos. Por lo tanto, es posible que los registros se eliminen si surgen demoras en los datos. Por otro lado, si necesita una solución de procesamiento de registros de bajo costo sin requerimiento de datos en tiempo real, entonces la opción ideal para usted es el registro estándar actual. Los registros estándar en S3 están diseñados para ofrecer un servicio completo y, normalmente, los registros están disponibles en tan solo minutos. Estos registros se pueden habilitar para toda la distribución y no para comportamientos específicos de la caché. Por lo tanto, si requiere registros para investigaciones ad hoc, auditorías o análisis, puede elegir habilitar solamente los registros estándar en S3. También puede elegir utilizar una combinación de ambos registros. Utilice una lista filtrada de registros en tiempo real para obtener visibilidad operativa y luego utilice los registros estándar para las auditorías.
 

Los registros de acceso estándar de CloudFront se pueden entregar a Amazon S3, Amazon CloudWatch y Amazon Data Firehose. Puede elegir el formato de registro de salida (texto simple, W3C, JSON, CSV y Parquet). Puede seleccionar los campos que desea registrar y el orden en el que esos campos deben incluirse en los registros. En el caso de los registros entregados a S3, también puede activar la partición de los registros entregados a S3, es decir, configurar los registros para que se particionen de manera automática por hora o por día. También puede entregar registros de acceso estándar a sus buckets de S3 en las regiones de AWS admitidas. Consulte la sección Registros de acceso estándar de la guía para desarrolladores de CloudFront para obtener más información.

Los registros estándar de CloudFront se envían al bucket de S3. También puede utilizar la integración desarrollada por soluciones de terceros, como Datadog y Sumo Logic para crear paneles a partir de estos registros.

Los registros en tiempo real se envían a Kinesis Data Streams. Desde Kinesis Data Streams, los registros se pueden publicar en Amazon Kinesis Data Firehose. Amazon Kinesis Data Firehose admite la entrega simple de datos a Amazon S3, Amazon Redshift, Amazon Elasticsearch Service, y a proveedores de servicios como Datadog, New Relic, y Splunk. Kinesis Firehose también admite la entrega de datos a un punto de enlace HTTP genérico.

CloudFront no cobra por activar los registros estándar, aunque se incurre en cargos por la entrega, el almacenamiento y el acceso a los registros, según el destino de entrega de los registros. Consulte la sección “Características adicionales” de la página de precios de CloudFront para obtener más información.

Siga los pasos que se mencionan a continuación para estimar la cantidad de particiones que necesita:

1. Calcule (o estime) la cantidad de solicitudes por segundo que su distribución de CloudFront recibe. Puede utilizar los informes de uso de CloudFront o las métricas de CloudFront para calcular las solicitudes por segundo.
2. Determine el tamaño normal de un único registro en tiempo real. Un registro normal que incluya todas las variables pesa aproximadamente 1 KB. Si no está seguro de cuál es el tamaño de su registro, puede habilitar los registros en tiempo real con una baja tasa de muestro (por ejemplo, 1 %) y luego calcular el tamaño promedio de registro a través de los datos de monitoreo en Kinesis Data Streams (cantidad total de registros dividido por el total de bytes entrantes).
3. Multiplique la cantidad de solicitudes por segundo (del paso 1) por el tamaño de un registro normal en tiempo real (del paso 2) para determinar la cantidad de datos por segundo que es probable que su configuración de registros en tiempo real envíe a Kinesis Data Stream.
4. Mediante los datos por segundo, calcule la cantidad de particiones que necesita. Una partición individual no puede gestionar más de 1 MB por segundo y 1000 solicitudes (registros) por segundo. Cuando calcule la cantidad de particiones que necesita, le recomendamos que considere agregar un margen del 25 %.

Por ejemplo, suponga que su distribución recibe 10 000 solicitudes por segundo y que el tamaño normal de sus registros en tiempo real es de 1 KB. Esto significa que su configuración de registro en tiempo real podría generar 10 000 000 bytes (10 000 multiplicado por 1000) o 9,53 MB por segundo. En esta situación, necesitaría solamente 10 particiones de Kinesis. Debería considerar la opción de crear al menos 12 particiones para tener cierto margen.