gRPC est un cadre d’appel de procédure à distance (RPC) moderne et open source qui permet une communication bidirectionnelle entre un client et un serveur via une connexion HTTP/2 de longue durée. En utilisant une connexion ouverte persistante, le client et le serveur peuvent s’envoyer des données en temps réel sans que le client ait à relancer fréquemment les connexions pour vérifier les nouvelles données à échanger. gRPC convient parfaitement aux cas d’utilisation où une faible latence et des vitesses de transfert élevées sont cruciales, tels que les applications de communication en temps réel et les jeux en ligne.

Que sont les adresses IP statiques en unidiffusion ?

Les adresses IP statiques en unidiffusion d’Amazon CloudFront sont un ensemble d’adresses IP statiques qui vous permettent de vous connecter à tous les emplacements périphériques CloudFront dans le monde. Elles constituent une petite liste statique d’adresses IP qui peuvent être utilisées pour des cas d’utilisation tels que la facturation détaxée, dans le cadre de laquelle les fournisseurs de réseau annulent les frais de données pour des adresses IP spécifiques moyennant la mise en place d’accords appropriés, et la mise en place de listes d’autorisations côté client pour renforcer la sécurité. En utilisant les adresses IP statiques en unidiffusion , vous éliminez le défi opérationnel lié à la mise à jour constante des listes d’autorisation ou des mappages IP, car le même ensemble d’adresses IP fonctionne pour l’ensemble du réseau mondial de CloudFront tout en bénéficiant de toutes les fonctionnalités de CloudFront.

Que sont les origines de VPC ?

Les origines de cloud privé virtuel (VPC) CloudFront sont une nouvelle fonctionnalité qui vous permet d’utiliser CloudFront pour diffuser du contenu à partir d’applications hébergées dans un sous-réseau privé VPC. Avec les origines de VPC, vous pouvez placer vos applications dans un sous-réseau privé de votre VPC, accessible uniquement via vos distributions CloudFront. Cela supprime l’obligation pour l’origine de disposer d’un nom de service de noms de domaine (DNS) pouvant être résolu de manière externe. Vous pouvez configurer des origines de VPC avec des applications exécutées sur des Application Load Balancer (ALB), Network Load Balancer (NLB) et instances EC2. Les origines de VPC ne sont disponibles que dans les régions commerciales AWS, et la liste complète des Régions AWS prises en charge est disponible ici .

Comment puis-je activer l’adresse IP statique en unidiffusion sur CloudFront ?

Pour activer les adresses IP statiques en unidiffusion, vous devez d’abord demander et créer une liste d’adresses IP statiques en unidiffusion dans votre compte AWS. Une fois la liste créée, vous pouvez associer vos distributions CloudFront à la liste d’adresses IP statiques en unidiffusion. Cela peut être fait soit via la section IP statique en unidiffusion sur la console AWS, soit en modifiant chaque distribution et en sélectionnant la liste d’adresses IP statiques en unidiffusion souhaitée dans le menu déroulant. Une fois ces modifications enregistrées, l’ensemble spécifique d’adresses IP statiques associé à votre/vos distribution (s) sera disponible pour que vous puissiez le copier ou le télécharger à partir de la liste affichée dans la console AWS ou via les API

Comment activer ma distribution Amazon CloudFront pour qu’elle prenne en charge gRPC ?

gRPC est activé pour chaque comportement de cache de vos distributions CloudFront. L’activation de gRPC garantit que HTTP/2 et la prise en charge des requêtes POST sont également activés sur votre distribution. gRPC ne prend en charge que la méthode POST sur HTTP/2.

Pourquoi utiliser les origines de VPC ?

Vous devez utiliser les origines de VPC avec CloudFront si vous souhaitez améliorer la sécurité de vos applications Web tout en maintenant des performances élevées et une capacité de mise à l’échelle globale. Avec les origines de VPC, vous pouvez restreindre l’accès à vos origines dans un VPC à vos distributions CloudFront uniquement sans avoir à recourir à des configurations complexes telles que des en-têtes secrets ou des listes de contrôle d’accès. Les origines de VPC vous permettent également d’optimiser vos coûts IPv4 en vous permettant d’acheminer gratuitement vers des origines dans un sous-réseau privé avec des adresses IPv4 internes. Les origines de VPC sont parfaites si vous souhaitez rationaliser la gestion de votre sécurité, en vous permettant de vous concentrer davantage sur la croissance de votre activité principale plutôt que sur la gestion de mesures de sécurité complexes.

Combien d’adresses IP recevrai-je lorsque j’active les adresses IP statiques CloudFront en unidiffusion ?

Vous recevrez 21 adresses IP pour IPv4 lorsque vous activez les adresses IP statiques CloudFront en unidiffusion. Vous devrez ajouter toutes ces adresses IP dans toutes les listes d’autorisation pertinentes.

Quand la communication gRPC est-elle utilisée via Amazon CloudFront ?

Amazon CloudFront communique via gRPC lorsque les conditions suivantes sont remplies : HTTP/2 est activé sur votre distribution Les requêtes POST et gRPC sont activées sur un comportement de cache Un client envoie un en-tête « content-type » avec la valeur « application/grpc » via une connexion HTTP/2

Quels sont les principaux avantages de l’utilisation des origines de VPC avec Amazon CloudFront ?

Sécurité : avec les origines de VPC, vous pouvez améliorer la sécurité de votre application en plaçant vos équilibreurs de charge et vos instances EC2 dans des sous-réseaux privés, faisant de CloudFront le seul point d’entrée. Les demandes des utilisateurs sont transmises de CloudFront aux origines de VPC via une connexion privée et sécurisée, ce qui renforce la sécurité de vos applications. Gestion : les origines de VPC réduisent la charge opérationnelle requise pour une connectivité sécurisée entre CloudFront et l’origine en vous permettant de déplacer vos origines vers des sous-réseaux privés sans accès public, et sans avoir à implémenter des listes de contrôle d’accès, des en-têtes partagés secrets ou d’autres mécanismes visant à restreindre l’accès aux origines. Cela vous permet de sécuriser facilement leurs applications Web, avec CloudFront, sans avoir à investir dans des travaux de développement indifférenciés. Mise à l’échelle et performance : avec les origines de VPC, les clients peuvent utiliser les emplacements périphériques mondiaux de CloudFront et les réseaux dorsaux AWS, tout en bénéficiant d’une mise à l’échelle et de performances similaires à celles des autres méthodes de diffusion de contenu existantes, tout en bénéficiant d’une posture de sécurité améliorée. La solution rationalise la gestion de la sécurité tout en fournissant des applications globales aux clients, ce qui facilite l’utilisation de CloudFront comme porte d’entrée unique pour vos applications.

Quels sont les principaux avantages de l’utilisation de gRPC avec Amazon CloudFront ?

Sécurité : gRPC utilise le protocole HTTP/2, qui garantit que le trafic est chiffré de bout en bout entre le client et vos serveurs d’origine. En outre, lorsque vous utilisez gRPC, vous bénéficiez d’AWS Shield Standard sans frais supplémentaires et AWS WAF peut être configuré pour protéger le trafic gRPC contre les attaques. Meilleures performances : gRPC exploite un format de message binaire, appelé Protocol Buffers, qui est plus petit que les données utiles traditionnelles, comme le JSON utilisé avec les API RESTful. L’analyse des Protocol Buffers est moins gourmande en ressources processeur, car les données sont au format binaire, ce qui signifie que les messages sont échangés plus rapidement. Cela se traduit par une meilleure performance globale. Support de streaming intégré : la diffusion en continu fait partie intégrante du cadre gRPC et prend en charge la sémantique de diffusion en continu côté client et côté serveur. Cela simplifie considérablement la création de services ou de clients de diffusion en continu. gRPC sur CloudFront prend en charge les combinaisons de diffusion en continu suivantes : Unaire (pas de diffusion en continu) Diffusion en continu du client au serveur Diffusion en continu du serveur au client Diffusion en continu bidirectionnelle

Puis-je obtenir des adresses IP statiques CloudFront en unidiffusion uniquement pour une certaine région géographique ?

Non. CloudFront en unidiffusion ne sera disponible qu’avec des adresses IP réparties dans différentes régions géographiques.

Comment fonctionne les origines de VPC avec AWS VPC Block Public Access ?

Les origines de cloud privé virtuel (VPC) CloudFront vous permettent d’utiliser CloudFront pour diffuser du contenu à partir d’applications hébergées dans un sous-réseau privé VPC avec des Application Load Balancer, des Network Load Balancer et des instances EC2. Amazon VPC Block Public Access (VPC BPA) est un contrôle déclaratif simple qui bloque de manière autorisée le trafic VPC entrant (entrée) et sortant (sortie) via les chemins Internet fournis par AWS. Lorsque VPC BPA est activé sur un sous-réseau de l’origine du VPC, les connexions actives depuis CloudFront sont interrompues vers ce sous-réseau. Aucune nouvelle connexion n’est envoyée vers le sous-réseau et est soit acheminée vers un autre sous-réseau où réside l’origine de VPC et où BPA n’est pas activé, soit abandonnée si BPA est activé dans tous les sous-réseaux où réside l’origine de VPC.

CloudFront prend-il en charge le gRPC sur HTTP/3 ?

Pas à l'heure actuelle. CloudFront ne prend en charge que le gRPC sur HTTP/2.

Que se passe-t-il lorsque CloudFront ajoute de nouveaux emplacements périphériques à son réseau ?

Au fur et à mesure que CloudFront ajoute de nouveaux emplacements périphériques, votre liste d’adresses IP statiques en unidiffusion restera valide. Nous annoncerons vos adresses IP depuis les nouveaux emplacements périphériques, le cas échéant.

Quelles sont les ressources prises en charge pour les origines de VPC ?

Les origines de VPC prennent en charge les Application Load Balancer, les Network Load Balancer et les instances EC2.

Comment les adresses IP statiques en unidiffusion fonctionnent-elles avec les fonctionnalités existantes et les autres services AWS ?

Toutes les fonctionnalités de CloudFront fonctionnent avec l’unidiffusion, à trois exceptions près : 1/ les adresses IP statiques en unidiffusion ne prennent pas en charge les anciens clients qui ne peuvent pas prendre en charge le SNI, 2/ vous devez utiliser Price Class All lorsque vous utilisez des adresses IP statiques en unidiffusion, et 3/ vous devez désactiver IPv6 lorsque vous utilisez des adresses IP statiques en unidiffusion. Les adresses IP statiques en unidiffusion fonctionnent au stade de la résolution DNS et une fois que la demande atteint un hôte, toutes les fonctionnalités et intégrations existantes avec les autres services AWS continueront d’être disponibles pour vos distributions.

Le protocole IPv6 est-il pris en charge pour les origines de VPC ?

Non, IPv6 n’est pas pris en charge pour les origines privées de VPC. Avec les origines de VPC, vous avez besoin d’adresses IPv4 privées, qui sont gratuites et n’entraînent pas de frais IPv4.

Puis-je utiliser l’ensemble d’adresses IP en unidiffusion pour plusieurs distributions ou pour une seule distribution ?

Vous pouvez utiliser les adresses IP statiques en unidiffusion avec plusieurs distributions, mais elles doivent être associées au même compte. Les adresses IP statiques CloudFront en unidiffusion peuvent être associées à plusieurs distributions du compte. L’adresse IP statique CloudFront en unidiffusion prendra en charge l’indication du nom du serveur (SNI) afin que le certificat correct soit renvoyé par un certain nombre de distributions associées à leur politique d’IP statique en unidiffusion. Si vous souhaitez disposer d’adresses IP statiques distinctes pour plusieurs distributions au sein de votre compte, vous pouvez créer une liste d’adresses IP statiques en unidiffusion supplémentaire et les associer à des distributions spécifiques.

Que se passe-t-il lorsque je crée une nouvelle distribution ?

Lorsque vous créez une nouvelle distribution dans un compte avec les adresses IP statiques en unidiffusion activées, vous devez associer explicitement la nouvelle distribution à votre liste d’adresses IP statiques en unidiffusion existante. Par défaut, il utilisera des adresses IP dynamiques jusqu’à ce que vous le liez à votre liste IP statique.

FAQ sur Amazon CloudFront

Sécurité

Comment puis-je sécuriser mes origines avec CloudFront ?

CloudFront propose deux méthodes entièrement gérées pour protéger vos origines :

Contrôle d’accès à l’origine (OAC) : le contrôle d’accès à l’origine (OAC) de CloudFront est une fonctionnalité de sécurité qui restreint l’accès à vos origines Amazon Simple Storage Service (S3), vos origines AWS Elemental et vos URL de fonction Lambda, garantissant que seul CloudFront peut accéder au contenu.
Origines de VPC : les origines de cloud privé virtuel (VPC) CloudFront vous permettent d’utiliser Amazon CloudFront pour diffuser du contenu à partir d’applications hébergées dans un sous-réseau privé VPC. Vous pouvez utiliser des Application Load Balancer (ALB), des Network Load Balancer (NLB) et des instances EC2 dans des sous-réseaux privés comme origines de VPC avec CloudFront

Si les solutions gérées CloudFront ne répondent pas aux exigences de votre cas d’utilisation, voici quelques-unes des approches alternatives disponibles :

En-têtes d’origine personnalisés : avec CloudFront, vous pouvez ajouter des en-têtes personnalisés à vos demandes entrantes, puis configurer votre origine pour valider ces valeurs d’en-tête spécifiques, limitant ainsi l’accès aux seules demandes acheminées via CloudFront. Cette méthode crée une couche d’authentification supplémentaire, ce qui réduit considérablement le risque d’accès direct non autorisé à votre origine.
Liste d’adresses IP autorisées : vous pouvez configurer le groupe de sécurité ou le pare-feu de votre origine pour autoriser exclusivement le trafic entrant provenant des plages IP de CloudFront. AWS gère et met régulièrement à jour ces plages d’adresses IP pour votre commodité. Pour des informations détaillées sur la mise en œuvre de la liste des adresses IP autorisées, veuillez consulter notre documentation complète à l’adresse suivante : https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list. Cette ressource fournit des conseils étape par étape sur l’utilisation des listes de préfixes gérées par AWS pour une configuration de sécurité optimale.
Chiffrement SSL/TLS : vous pouvez configurer CloudFront pour utiliser exclusivement des connexions HTTPS avec votre origine afin d’assurer une protection des données de bout en bout grâce à une communication chiffrée entre votre distribution CloudFront et votre origine.

Journalisation et génération de rapports

Quelles sont les fonctionnalités de journalisation disponibles avec Amazon CloudFront ?

Journaux standard (journaux d’accès) Les journaux standard de CloudFront fournissent des enregistrements détaillés sur chaque demande adressée à une distribution. Ces journaux sont utiles pour de nombreux scénarios, notamment les audits de sécurité et d’accès.
Journaux en temps réel Les journaux en temps réel de CloudFront fournissent des informations sur les demandes adressées à une distribution, en temps réel (les enregistrements des journaux sont fournis quelques secondes après la réception des demandes). Vous pouvez choisir le taux d’échantillonnage de vos journaux en temps réel, c’est-à-dire le pourcentage de demandes pour lesquelles vous souhaitez recevoir des journaux en temps réel.
Journalisation des fonctions de périphérie : vous pouvez utiliser Amazon CloudWatch Logs pour obtenir les journaux de vos fonctions de périphérie, à la fois Lambda@Edge et les Fonctions CloudFront. Vous pouvez accéder aux journaux à l’aide de la console CloudWatch ou de l’API CloudWatch Logs. Pour plus d’informations, veuillez consulter la section Edge function logs.
Enregistrement de l’activité du service : vous pouvez utiliser AWS CloudTrail pour enregistrer l’activité du service CloudFront (activité de l’API) sur votre compte AWS. CloudTrail fournit un enregistrement des actions d’API effectuées par un utilisateur, un rôle ou un service AWS dans CloudFront. À l’aide des informations collectées par CloudTrail, vous pouvez déterminer la demande d’API qui a été envoyée à CloudFront, l’adresse IP à partir de laquelle la demande a été faite, qui l’a faite, quand elle a été faite et d’autres précisions. Pour plus d’informations, veuillez consulter la section Logging Amazon CloudFront API calls using AWS CloudTrail.

Quelles destinations de livraison des journaux sont disponibles pour la livraison des journaux CloudFront ?

Les journaux standard CloudFront sont transmis au compartiment Amazon S3 de votre choix, à Amazon CloudWatch Logs et à Amazon Data Firehose. Pour plus d’informations, veuillez consulter la section Use standard logs (access logs).
Remarque : les journaux en temps réel CloudFront sont distribués vers le flux de données de votre choix dans Amazon Kinesis Data Streams. CloudFront facture les journaux en temps réel, ainsi que l’utilisation de Kinesis Data Streams. Pour plus d’informations, veuillez consulter la section Use real-time logs.
Les journaux des fonctions de périphérie CloudFront (Lambda@Edge et Fonctions CloudFront) sont transmis à Amazon CloudWatch Logs.

Quelles fonctionnalités sont disponibles avec les journaux d’accès standard ?

Les journaux d’accès standard CloudFront peuvent être transmis à Amazon S3, Amazon CloudWatch et Amazon Data Firehose. Vous pouvez choisir le format du journal de sortie (texte brut, w3c, JSON, csv et parquet). Vous pouvez sélectionner les champs que vous souhaitez enregistrer et l’ordre dans lequel ces champs doivent être inclus dans les journaux. Pour les journaux envoyés à S3, vous pouvez également activer le partitionnement des journaux envoyés à S3, c’est-à-dire configurer les journaux pour qu’ils soient automatiquement partitionnés toutes les heures ou tous les jours. Vous pouvez également fournir des journaux d’accès standard à vos compartiments S3 dans les Régions AWS optionnelles. Consultez la section relative aux journaux d’accès standard du guide du développeur de CloudFront pour en savoir plus.

L’activation du journal d’accès standard pour CloudFront est-elle facturée séparément ?

CloudFront ne facture pas l’activation des journaux standard, mais vous devrez payer des frais pour la livraison, le stockage et l’accès aux journaux en fonction de la destination de livraison des journaux. Consultez la section « Fonctionnalités supplémentaires » de la page de tarification de CloudFront pour en savoir plus.

Comment déterminer les journaux CloudFront adaptés à mon cas d’utilisation ?

Vous pouvez choisir une destination en fonction de votre cas d'utilisation. Si disposez de cas d'utilisation avec des contraintes de temps et que vous devez accéder rapidement aux données du journal en quelques secondes, choisissez les journaux en temps réel. Si vous devez réduire le coût de votre pipeline de journaux en temps réel, vous pouvez choisir de filtrer les données de journal en activant les journaux uniquement pour des comportements de cache spécifiques ou en choisissant un taux d'échantillonnage inférieur. Le pipeline de journaux en temps réel est conçu pour diffuser rapidement les données. Par conséquent, les enregistrements du journal peuvent être perdus s'il existe des retards de données. D'autre part, si vous avez besoin d'une solution de traitement de journaux économique sans nécessiter de données en temps réel, l'option de journal standard actuelle est idéale pour vous. Les journaux standard dans S3 sont des journaux complets, et sont généralement disponibles en quelques minutes. Ces journaux peuvent être activés pour l'ensemble de la distribution et non pour des comportements de cache spécifiques. Par conséquent, si vous avez besoin de journaux pour des investigations, des audits et des analyses ad hoc, vous pouvez choisir de n'activer que les journaux standard dans S3. Vous pouvez choisir d’utiliser une combinaison des deux journaux. Utilisez une liste filtrée de journaux en temps réel pour la visibilité opérationnelle, puis les journaux standard pour l'audit.

Quelles sont les différentes options de destination des journaux disponibles ?

Les journaux standard CloudFront sont envoyés à votre compartiment S3. Vous pouvez également utiliser l’intégration de solutions tierces telles que DataDog et Sumologic pour créer des tableaux de bord à partir de ces journaux.

Les journaux en temps réel sont envoyés à Kinesis Data Stream. Depuis les Kinesis Data Streams, les journaux peuvent être publiés dans Amazon Kinesis Data Firehose. Amazon Kinesis Data Firehose permet d’envoyer aisément des données à Amazon S3, Amazon Redshift, Amazon Elasticsearch Service et à des fournisseurs de services comme Datadog, New Relic et Splunk. Kinesis Firehose prend en charge également la distribution des données vers un point de terminaison HTTP générique.

De combien de partitions Kinesis ai‑je besoin dans Kinesis Data Stream ?

Pour estimer le nombre de partitions dont vous avez besoin, procédez comme suit :

Calculez (ou estimez) le nombre de demandes par seconde que votre distribution CloudFront reçoit. Vous pouvez utiliser les rapports d'utilisation CloudFront ou les métriques CloudFront pour calculer vos demandes par seconde.
Déterminez la taille type d'un seul enregistrement en temps réel. Un enregistrement type qui contient tous les champs disponibles est d'environ 1 Ko. Si vous ne connaissez pas la taille de vos enregistrements, vous pouvez activer les journaux en temps réel avec un faible taux d'échantillonnage (par exemple, 1 %), puis calculer la taille moyenne des enregistrements en utilisant les données de surveillance dans Kinesis Data Streams (nombre total d'enregistrements divisé par le nombre total d'octets entrants).
Multipliez le nombre de demandes par seconde (à partir de l'étape 1) par la taille d'un enregistrement de journal en temps réel type (à partir de l'étape 2) pour déterminer la quantité de données par seconde que votre configuration de journal en temps réel est susceptible d'envoyer au Kinesis Data Stream.
En utilisant les données par seconde, calculez le nombre de partitions dont vous avez besoin. Une seule partition ne peut pas traiter plus de 1 Mo par seconde et 1 000 demandes (enregistrements de journal) par seconde. Pour calculer le nombre de tessons dont vous avez besoin, nous vous recommandons d'ajouter jusqu'à 25 % comme marge.

Supposons que votre distribution reçoive 10 000 demandes par seconde et que la taille de vos enregistrements de journal en temps réel est généralement de 1 Ko. Cela signifie que votre configuration de journal en temps réel pourrait générer 10 000 000 d'octets (10 000 multiplié par 1 000), soit 9,53 Mo, par seconde. Dans ce scénario, vous n'avez besoin que de 10 partitions Kinesis. Vous devez envisager de créer au moins 12 partitions pour avoir une marge.