Domande generali

D: Cos'è Amazon CloudFront?

Amazon CloudFront è un servizio Web che offre alle aziende e agli sviluppatori di applicazioni Web un modo facile e poco oneroso di distribuire contenuti a bassa latenza e a velocità elevata di trasferimento dati. Come altri servizi AWS, Amazon CloudFront è un'offerta self-service, con pagamento in base al consumo, senza impegno a lungo termine o tariffe minime. Con CloudFront, i file vengono distribuiti agli utenti finali utilizzando una rete di edge location.

D: Cosa è possibile fare con Amazon CloudFront?

Amazon CloudFront fornisce una semplice API che consente di:

  • distribuire contenuti a bassa latenza e a velocità elevata di trasferimento di dati tramite l'elaborazione di richieste utilizzando una rete di edge location in tutto il mondo.
  • Inizia a utilizzarlo senza negoziare contratti e impegni minimi.

D: Come si inizia a usare Amazon CloudFront?

Fai clic sul pulsante “Crea un account gratuito” sulla pagina dei dettagli di Amazon CloudFront. Se scegli di utilizzare un altro servizio AWS come origine dei file elaborati tramite Amazon CloudFront, devi registrarti per tale servizio prima di creare distribuzioni CloudFront.

D: Come si utilizza Amazon CloudFront?

Per utilizzare Amazon CloudFront, ecco cosa devi fare:

  • Per i file statici, memorizza le versioni definitive dei tuoi file in uno o più server di origine. Possono essere dei bucket di Amazon S3. Per contenuti generati dinamicamente personalizzati o adattati, puoi utilizzare Amazon EC2, o qualunque altro server Web, come server di origine. Questi server di origine memorizzano o generano i contenuti che verranno distribuiti tramite Amazon CloudFront.
  • Registra i tuoi server di origine con Amazon CloudFront con una semplice chiamata API. Questa chiamata restituirà un nome di dominio CloudFront.net che puoi utilizzare per distribuire contenuti dai tuoi server di origine tramite il servizio Amazon CloudFront. Per esempio, puoi registrare il bucket Amazon S3 “bucketname.s3.amazonaws.com” come origine per tutti i contenuti statici e l'istanza Amazon EC2 “dynamic.myoriginserver.com” per tutti i contenuti dinamici. Poi, utilizzando l'API o la Console di gestione AWS, puoi creare una distribuzione Amazon CloudFront che può restituire “abc123.cloudfront.net” come nome di dominio della distribuzione.
  • Includi il nome di dominio cloudfront.net o un alias CNAME creato da te nella tua applicazione Web, lettore multimediale o sito Web. Ogni richiesta effettuata utilizzando il nome di dominio cloudfront.net (o il CNAME impostato da te) viene instradata verso la edge location più idonea per distribuire i contenuti con le prestazioni più elevate. La edge location proverà a elaborare la richiesta con una copia locale del file. Se non c'è una copia locale disponibile, Amazon CloudFront prenderà una copia dal server di origine. La copia sarà disponibile in quella edge location per future richieste.

D: In che modo Amazon CloudFront fornisce prestazioni più elevate?

Amazon CloudFront impiega una rete globale di edge location e cache edge regionali in cui vengono memorizzate copie cache dei contenuti vicino agli utenti che ne usufruiranno. Con Amazon CloudFront, le richieste degli utenti finali vengono elaborate dalla edge location più vicina a loro. In questo modo le richieste devono percorrere meno strada e le prestazioni sono migliori. Per i file che non sono memorizzati in edge location o cache edge regionali, Amazon CloudFront mantiene connessioni permanenti con i server di origine, in modo che i file possano essere recuperati dai server di origine il più rapidamente possibile. Oltre a questo, Amazon CloudFront si avvale di ottimizzazioni supplementari (ad es., una finestra di congestione iniziale TCP più ampia) per fornire prestazioni più elevate durante la distribuzione dei contenuti agli utenti.

D: In che modo Amazon CloudFront riduce i costi di distribuzione di contenuti su Internet?

Come con gli altri servizi AWS, con Amazon CloudFront non sei obbligato a un impegno minimo e paghi solo quello che utilizzi. Diversamente dall'hosting autonomo, con Amazon CloudFront eviti le spese e la complessità di gestione di una rete di server di cache in più sedi su Internet ed elimini la necessità di riservare capacità supplementare per elaborare eventuali picchi del traffico. Amazon CloudFront utilizza inoltre tecniche come la compressione di richieste simultanee di utenti per lo stesso file in una edge location in una singola richiesta al tuo server di origine. Questo riduce il carico sui tuoi server di origine diminuendo la necessità di dimensionare l'infrastruttura di origine, contribuendo in tal modo alla riduzione dei costi.

Inoltre, se utilizzi un server di origine AWS (ad esempio Amazon S3, Amazon EC2, ecc.), dal 1 dicembre 2014 non paghi più le tariffe di trasferimento di dati di AWS verso Amazon CloudFront. Questa novità si applica al trasferimento di dati da tutte le regioni AWS verso tutte le edge location di CloudFront nel mondo.

D: In che modo Amazon CloudFront velocizza globalmente il mio sito Web?

Amazon CloudFront utilizza intestazioni di controllo di cache standard configurate sui file per identificare i contenuti statici e dinamici. Distribuire tutti i tuoi contenuti utilizzando una sola distribuzione Amazon CloudFront ti garantisce che l'ottimizzazione delle prestazioni viene applicata a tutto il tuo sito o applicazione Web. Quando utilizzi i server di origine AWS, la capacità di AWS di tracciare e correggere i percorsi di origine, monitorare l'integrità del sistema, rispondere rapidamente quando avvengono problemi, nonché l'integrazione di Amazon CloudFront con altri servizi AWS, risultano in prestazioni migliori, affidabilità e facilità d'uso. Puoi anche trarre vantaggio dall'utilizzo di diversi server di origine per diversi tipi di contenuti su un solo sito, ad es., Amazon S3 per gli oggetti statici, Amazon EC2 per i contenuti dinamici e i server di origine personalizzati per i contenuti di terza parte, pagando solo quello che utilizzi.

D: Quali sono le differenze tra Amazon CloudFront e Amazon S3?

Amazon CloudFront è una buona scelta per la distribuzione di contenuti statici ad accesso frequente che trae vantaggi dalle distribuzione edge, come immagini di siti Web conosciuti, file multimediali o download di software.

D: Qual è la differenza fra Amazon CloudFront e le classiche soluzioni di distribuzione di contenuti?

Amazon CloudFront ti consente di ottenere rapidamente i vantaggi della distribuzione di contenuti a prestazioni elevate senza negoziare contratti o costi onerosi. Amazon CloudFront offre a tutti gli sviluppatori prezzi contenuti in base al consumo, con un modello self-service. Inoltre possono trarre vantaggio da una solida integrazione con altre offerte AWS. La soluzione è facile da usare con Amazon S3, Amazon EC2 ed Elastic Load Balancing come server di origine, offrendo agli sviluppatori una potente combinazione di storage durevole e distribuzione a prestazioni elevate. Inoltre Amazon CloudFront si integra con Amazon Route 53 e AWS CloudFormation offrendo ulteriori vantaggi di prestazioni e facilità di configurazione.

D: Che tipi di contenuti supporta Amazon CloudFront?

Amazon CloudFront supporta contenuti che possono essere inviati tramite i protocolli HTTP o WebSocket. Fra questi ci sono le pagine Web dinamiche e le applicazioni, come le pagine HTML o PHP o le applicazioni basate su WebSocket, e qualunque tipo di file statici largamente utilizzati che fanno parte della tua applicazione Web, come immagini di siti Web, audio, video, file multimediali o download di software. Amazon CloudFront supporta inoltre la distribuzione di contenuti multimediali in streaming on demand e in tempo reale tramite HTTP.

D: Amazon CloudFront funziona con server di origine non AWS?

Sì. Amazon CloudFront funziona con qualunque server di origine che contiene le versioni originali e definitive dei tuoi contenuti, sia statici sia dinamici. L'utilizzo di un server di origine personalizzato non comporta costi supplementari.

D: In che modo Amazon CloudFront consente la ridondanza dell'origine?

Per ogni origine che viene aggiunta a una distribuzione CloudFront, è possibile assegnare un'origine di backup che può essere utilizzata per gestire automaticamente il traffico nel caso in cui l'origine primaria non sia disponibile. Puoi scegliere una combinazione di codici 4xx/5xx HTTP che, se restituiti dall'origine primaria, attivano il failover all'origine di backup. Le due origini possono essere una qualsiasi combinazione di origini AWS e non AWS.

D: Amazon CloudFront offre un contratto sul livello di servizio (SLA)?

Sì. Il contratto sul livello di servizio di Amazon CloudFront offre un credito sui servizi qualora la percentuale di disponibilità del sistema durante un ciclo di fatturazione sia inferiore a quella promessa da Amazon. Ulteriori informazioni sono reperibili qui.

D: Posso utilizzare la Console di gestione AWS con Amazon CloudFront?

Sì. Puoi utilizzare la Console di gestione AWS per configurare e gestire Amazon CloudFront tramite una semplice interfaccia Web con un clic. La Console di gestione AWS supporta la maggior parte delle caratteristiche di Amazon CloudFront, consentendoti di approfittare della distribuzione a bassa latenza di questo servizio senza scrivere codice supplementare o installare software. L'accesso alla Console di gestione AWS è disponibile gratuitamente all'indirizzo https://console.aws.amazon.com.

D: Quali strumenti e librerie è possibile utilizzare con Amazon CloudFront?

Nel nostro centro risorse è disponibile un'ampia gamma di strumenti che permettono di gestire le distribuzioni Amazon CloudFront e le librerie per i vari linguaggi di programmazione.

D: È possibile indirizzare l'apex di zona (esempio.com invece di www.esempio.com) su una distribuzione Amazon CloudFront?

Sì. Utilizzando Amazon Route 53, l'autorevole servizio DNS di AWS, puoi configurare un record di “Alias” che ti consente di mappare l'apex o la radice (esempio.com) del tuo nome DNS alla tua distribuzione Amazon CloudFront. Amazon Route 53 risponderà a ogni richiesta di record di alias con l'indirizzo o gli indirizzi IP giusti per la tua distribuzione CloudFront. Route 53 non prevede costi per le query rivolte a record di alias mappati a una distribuzione CloudFront. Nel report di utilizzo di Amazon Route 53, queste query sono elencate come "Intra-AWS-DNS-Queries".

Edge location

D: Cos'è una cache edge regionale di CloudFront?

CloudFront distribuisce i tuoi contenuti attraverso una rete mondiale di data center chiamati edge location. Le cache edge regionali si trovano tra il tuo server Web di origine e le edge location globali che servono i contenuti direttamente agli utenti. È una funzione che permette di migliorare le prestazioni degli utenti finali riducendo gli oneri operativi e i costi della ricalibrazione delle risorse.

D: Come funziona una cache edge regionale?

Amazon CloudFront ha più cache edge regionali (o REC) disperse a livello globale, che forniscono un ulteriore livello di caching. Si trovano tra il server Web delle applicazioni e i point of presence (POP) che forniscono contenuti direttamente agli utenti. Man mano che gli oggetti diventano meno popolari, le singole edge location possono rimuoverli per lasciare spazio a contenuti più popolari. Le cache edge regionali hanno maggiore profondità di cache delle singole edge location, perciò gli oggetti vi vengono conservati per tempi più lunghi. In questo modo i contenuti rimarranno più vicini agli utenti finali, riducendo la necessità che CloudFront acceda costantemente al server Web di origine e migliorando le prestazioni complessive a beneficio degli utenti. Ad esempio, per recuperare oggetti, prima di accedere al server Web di origine, le edge location CloudFront in Europa ora passano dalla cache edge regionale a Francoforte. Le cache edge regionali possono essere utilizzate con qualsiasi origine, come S3, EC2 o origini personalizzate. Le cache edge regionali vengono saltate nelle regioni che ospitano attualmente le tue origini di applicazione.

D: Le cache edge regionali sono abilitate di default?

Sì. Non è necessario apportare alcune modifica alle distribuzioni CloudFront; questa caratteristica viene abilitata di default per tutte le distribuzioni, nuove ed esistenti. Questa funzionalità non prevede inoltre costi aggiuntivi.

D: Dove si trovano le edge location di rete utilizzate da Amazon CloudFront?

Amazon CloudFront utilizza una rete globale di edge location e cache edge regionali per la distribuzione di contenuti. Consulta in questa pagina l'elenco completo delle location di Amazon CloudFront.

D: È possibile distribuire (o no) contenuti solo in certi paesi?

Sì, la funzionalità di restrizione geografica ti consente di specificare un elenco di paesi nei quali gli utenti possono accedere ai tuoi contenuti. In alternativa, puoi specificare i paesi nei quali non possono accedervi. In entrambi i casi, CloudFront risponde alla richiesta di un utente in un paese soggetto a restrizione con il codice di stato 403 di HTTP (vietato).

D: Qual è il livello di precisione del database GeoIP?

La precisione del database di identificazione del paese attraverso l'indirizzo IP varia secondo le regioni. Sulla base di test recenti, la precisione globale di mappatura dell'indirizzo IP con il paese è del 99,8%.

D: Posso distribuire un messaggio di errore personalizzato ai miei utenti finali?

Sì, puoi creare messaggi di errore personalizzati (per esempio, un file HTML o un grafico .jpg) con il tuo marchio e contenuti per diverse risposte di errore HTTP 4xx e 5xx. Poi puoi configurare Amazon CloudFront perché restituisca i tuoi messaggi di errore personalizzati all'utente quando il server di origine restituisce uno degli errori specificati a CloudFront.

D: Per quanto tempo Amazon CloudFront conserva i miei file nelle edge location?

Come default, se non è stata impostata nessuna intestazione di controllo di cache, ogni edge location verifica se c'è una versione aggiornata del tuo file ogni volta che riceve una richiesta più di 24 ore dopo l'ultima volta in cui ha verificato il server di origine per vedere se quel file era stato modificato. Questo si chiama "periodo di scadenza". Puoi impostare questo periodo di scadenza da 0 secondi fino alla durata desiderata, impostando le intestazioni di controllo di cache sui tuoi file nel tuo server di origine. Amazon CloudFront utilizza queste intestazioni di controllo di cache per determinare a quale frequenza è necessario verificare il server di origine per vedere se il file è stato aggiornato. Per un periodo di scadenza impostato a 0 secondi, Amazon CloudFront validerà di nuovo ogni richiesta con il server di origine. Se i tuoi file non vengono modificati spesso, è meglio impostare un periodo di scadenza lungo e implementare un sistema di funzione Versioni multiple per gestire gli aggiornamenti dei file.

D: Come si elimina una voce dalle edge location di Amazon CloudFront?

Ci sono opzioni multiple per eliminare un file dalle edge location. Si può semplicemente eliminare il file dal server di origine e, quando i contenuti nelle edge location arrivano alla data di scadenza definita nell'intestazione HTTP di ogni oggetto, verranno eliminati. Nel caso in cui occorra eliminare materiali offensivi o potenzialmente dannosi prima della fine del periodo di scadenza specificato, si può utilizzare l'API Invalidation per eliminare l'oggetto da tutte le edge location di Amazon CloudFront. Consulta in questa pagina le tariffe per le richieste di invalidamento.

D: C'è un limite al numero di richieste di invalidamento che posso effettuare?

Se si invalidano gli oggetti individualmente, ci possono essere richieste di invalidamento simultaneo fino a un massimo di 3.000 oggetti per distribuzione in corso. Questo significa una richiesta di invalidamento per un massimo di 3.000 oggetti, fino a 3.000 richieste per un oggetto ciascuna o qualunque altra combinazione che non superi i 3.000 oggetti.

Utilizzando il carattere jolly * è possibile inoltrare richieste per un massimo di 15 percorsi di invalidamento in corso simultaneamente. Ci possono anche essere richieste di invalidamento per un massimo di 3.000 oggetti per distribuzione in corso simultaneamente; il limite per le richieste di invalidamento con carattere jolly è indipendente dai limiti degli oggetti da invalidare individualmente. Se si supera questo limite, le ulteriori richieste di invalidamento restituiranno un messaggio di errore finché non viene completata una delle richieste precedenti.

L'invalidamento va usato solo in circostanze particolari; se sai che i tuoi file devono essere eliminati spesso dalla cache, ti consigliamo di utilizzare la funzione Versioni multiple e/o un periodo di scadenza breve.

Punti di presenza incorporati

D: Cosa sono i point of presence (POP) incorporati in CloudFront?

I point of presence (POP) incorporati di CloudFront sono un tipo di infrastruttura CloudFront implementata più vicino ai visualizzatori finali, all'interno delle reti di provider di servizi Internet (ISP) e operatori di rete mobile (MNO). I POP incorporati sono progettati su misura per offrire eventi di live streaming su larga scala, video on demand (VOD) e download di giochi. Questi POP incorporati sono di proprietà e gestiti da Amazon e sono distribuiti nell'ultimo miglio delle reti ISP/MNO per evitare i colli di bottiglia nelle reti congestionate che collegano gli utenti finali alle fonti di contenuti, migliorando le prestazioni.

D: In che modo i POP incorporati di CloudFront sono diversi dai POP CloudFront?

I POP incorporati di CloudFront si differenziano dai POP CloudFront in base al luogo in cui vengono distribuiti e ai contenuti che forniscono. I POP incorporati di CloudFront vengono distribuiti direttamente nelle reti ISP e MNO, a differenza dei POP CloudFront distribuiti all'interno della rete AWS. I POP incorporati sono progettati appositamente per fornire traffico memorizzabile nella cache su larga scala come streaming video e download di giochi, mentre i POP CloudFront sono progettati per fornire una varietà di carichi di lavoro, inclusi contenuti memorizzabili nella cache e dinamici.

D: Quali carichi di lavoro sono più adatti per i POP integrati di CloudFront?

I POP integrati di CloudFront sono progettati per fornire contenuti memorizzabili nella cache a cui accedono contemporaneamente molti visualizzatori finali, come streaming video live su larga scala, video on demand e download di giochi.

D: È previsto un costo separato per l'utilizzo dei POP incorporati?

No, non è previsto alcun costo aggiuntivo per l'utilizzo dei POP incorporati di CloudFront.

D: Come posso accedere ai POP incorporati?

I POP incorporati sono una funzionalità opt-in destinata alla distribuzione di traffico memorizzabile nella cache su larga scala. Contatta il tuo rappresentante commerciale AWS per valutare se i POP incorporati sono adatti ai tuoi carichi di lavoro.

D: Devo creare una nuova distribuzione CloudFront specificamente per i POP incorporati di CloudFront?

No, non è necessario creare una nuova distribuzione specifica per i POP incorporati. Se il carico di lavoro è idoneo, CloudFront abiliterà i POP incorporati per la distribuzione esistente su richiesta.

D: Devo scegliere tra i POP incorporati di CloudFront e i POP CloudFront?

Non devi scegliere tra i POP incorporati di CloudFront o i POP CloudFront per la distribuzione dei contenuti. Una volta abilitata la distribuzione CloudFront per i POP integrati, il sistema di routing di CloudFront utilizza dinamicamente sia i POP CloudFront che i POP incorporati per fornire contenuti, garantendo prestazioni ottimali per gli utenti finali.

D: Sono un ISP, come posso iniziare ad aggiungere POP incorporati alla mia rete?

Contattaci per iniziare a implementare POP incorporati nella tua rete.

D: Sono un ISP, come posso gestire i POP incorporati nella mia rete?

È possibile utilizzare il portale POP integrato per gestire i POP incorporati distribuiti all'interno della rete. Il portale di POP incorporati è integrato con l'AWS Interconnect Portal e fornisce un'interfaccia unificata per eseguire facilmente il self-service di una serie di attività associate all'intero ciclo di vita di questi POP. Ciò include la richiesta di nuovi dispositivi, il monitoraggio dell'avanzamento delle richieste, il monitoraggio delle statistiche sulle prestazioni e la richiesta di supporto. Puoi accedere al portale autenticandoti con single sign-on (SSO) utilizzando il tuo account PeeringDB.

Conformità

D: Amazon CloudFront è conforme allo standard PCI?

Amazon CloudFront [esclusa la distribuzione di contenuti tramite CloudFront Embedded POP] è incluso nella gamma di servizi conformi allo Payment Card Industry Data Security Standard (PCI DSS) al livello più elevato di conformità per i fornitori di servizi (Livello commerciante 1). Per ulteriori informazioni, consultare la guida per gli sviluppatori.

D: Amazon CloudFront è conforme alla normativa HIPAA?

AWS ha esteso il proprio programma di conformità HIPAA in modo da includere Amazon CloudFront [esclusa la distribuzione di contenuti tramite CloudFront Embedded POP] come servizio conforme all'HIPAA. Disponendo di un contratto di società in affari o BAA (Business Associate Agreement) con AWS, è possibile utilizzare Amazon CloudFront [esclusa la distribuzione di contenuti tramite CloudFront Embedded POP] per velocizzare la distribuzione di informazioni sanitarie protette. Per ulteriori informazioni, consultare la pagina sullo Standard HIPAA e la guida per gli sviluppatori.

D: Amazon CloudFront è conforme alle misure SOC?

Amazon CloudFront [esclusa la distribuzione di contenuti tramite CloudFront Embedded POP] è conforme alle misure SOC (System & Organization Control). I report SOC sono report analitici di terze parti che documentano come AWS abbia raggiunto obiettivi e controlli di conformità ottimali. Per ulteriori informazioni, consulta la pagina sulla conformità SOC di AWS e la guida per gli sviluppatori.

D: Come si richiede un report SOC 1, SOC 2 o SOC 3 di AWS?

I report SOC 1 e SOC 2 di AWS sono disponibili ai clienti mediante AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Accedi a AWS Artifact nella Console di gestione AWS oppure scopri di più nella pagina Nozioni di base su AWS Artifact. Il report SOC 3 di AWS più recente è disponibile pubblicamente sul sito Web di AWS.

HTTP, HTTP/2 e HTTP/3

D: Quali tipi di richieste HTTP sono supportate da Amazon CloudFront?

Amazon CloudFront supporta attualmente le richieste GET, HEAD, POST, PUT, PATCH, DELETE e OPTIONS.

D: Amazon CloudFront memorizza nella cache le risposte POST?

Amazon CloudFront non memorizza nella cache le risposte POST, PUT, DELETE e PATCH; queste richieste vengono ritrasmesse tramite proxy al server di origine. Puoi attivare il caching per le risposte alle richieste OPTIONS.

D: Come si usa HTTP/2?

Se disponi di una distribuzione Amazon CloudFront preesistente, puoi attivare HTTP/2 utilizzando l'API o la Console di gestione. Nella Console, naviga alla pagina "Distribution Configuration" e poi alla sezione "Supported HTTP Versions". Qui puoi selezionare "HTTP/2, HTTP/1.1, or HTTP/1.0". HTTP/2 viene attivato automaticamente per tutte le nuove distribuzioni CloudFront.

D: E se la mia origine non supporta HTTP/2?

Attualmente, Amazon CloudFront supporta HTTP/2 per la fornitura di contenuti ai client e ai browser dei tuoi utenti. Per la comunicazione tra edge location e i tuoi server di origine, Amazon CloudFront continuerà a utilizzare HTTP/1.1.

D: Amazon CloudFront supporta HTTP/2 senza TLS?

Al momento non ancora. Tuttavia, la maggior parte dei moderni browser supporta HTTP/2 solo su una connessione crittografata. Per ulteriori informazioni sull'utilizzo di SSL con Amazon CloudFront fai clic qui.

D: Cos’è HTTP/3?

HTTP/3 è la terza versione principale di Hypertext Transfer Protocol. HTTP/3 utilizza QUIC, un protocollo di trasporto sicuro basato su UDP (User Datagram Protocol) che combina e migliora le capacità del protocollo di controllo della trasmissione (TCP), TLS e HTTP/2 esistenti. HTTP/3 offre numerosi vantaggi rispetto alle versioni HTTP precedenti, tra cui tempi di risposta più rapidi e maggiore sicurezza.

D: Cos’è QUIC?

HTTP/3 è basato su QUIC, un nuovo protocollo di trasporto Internet altamente performante, resiliente e sicuro. Il supporto HTTP/3 di CloudFront si basa su s2n-quic, una nuova implementazione del protocollo QUIC open source in Rust. Per maggiori informazioni su QUIC, fai riferimento al blog "Introduzione di s2n-quic". 

D: Quali sono i principali vantaggi dell’uso di HTTP/3 con Amazon CloudFront?

I clienti cercano continuamente di fornire applicazioni più rapide e sicure per i propri utenti finali. Poiché la penetrazione di Internet aumenta a livello globale e sempre più utenti si connettono online tramite dispositivi mobili e da reti remote, la necessità di migliorare le prestazioni e l'affidabilità è più grande che mai. HTTP/3 soddisfa questa necessità in quanto offre diversi miglioramenti delle prestazioni rispetto alle versioni HTTP precedenti:

  1. Connessioni più rapide e affidabili: CloudFront utilizza 1-RTT per l'handshake TLS per HTTP/3 riducendo il tempo di creazione della connessione e una corrispondente riduzione degli errori di handshake rispetto alle versioni HTTP precedenti.
  2. Migliori prestazioni Web: L'implementazione HTTP/3 di CloudFront supporta le migrazioni delle connessioni lato client, consentendo alle applicazioni client di riprendersi da connessioni scadenti con interruzioni minime. A differenza di TCP, QUIC non è senza perdite, il che lo rende più adatto per reti congestionate con un'elevata perdita di pacchetti. Inoltre, QUIC consente riconnessioni più rapide durante il trasferimento Wi-Fi o cellulare.
  3. Sicurezza: HTTP/3 offre una sicurezza più completa rispetto alle versioni precedenti di HTTP crittografando i pacchetti scambiati durante gli handshake TLS. Ciò rende più difficile l'ispezione da parte dei middlebox fornendo ulteriore privacy e riducendo gli attacchi man-in-the-middle. Il supporto HTTP/3 di CloudFront si basa su s2n-quic e Rust, entrambi con una forte enfasi sull'efficienza e sulle prestazioni.

D: Come posso abilitare HTTP/3 sulle mie implementazioni CloudFront?

Puoi attivare HTTP/3 per le distribuzioni Amazon CloudFront nuove ed esistenti utilizzando la console CloudFront, l'operazione API UpdateDistribution o utilizzando un modello Cloudformation. Nella console, passa alla pagina "Distribution Configuration" (Configurazione distribuzione) e poi alla sezione "Supported HTTP Versions" (Versioni HTTP supportate). Qui puoi selezionare "HTTP/3, HTTP/2, HTTP/1.1 o HTTP/1.0."

D: Devo apportare modifiche alle mie applicazioni prima di abilitare HTTP/3?

Quando abiliti HTTP/3 sulla tua distribuzione CloudFront, CloudFront aggiunge automaticamente l'intestazione Alt-Svc, utile a informare che il supporto HTTP/3 è disponibile e non è necessario aggiungere manualmente l'intestazione Alt-Svc. Ci aspettiamo che tu abiliti il supporto per più protocolli nelle tue applicazioni, in modo tale che se l'applicazione non riesce a stabilire una connessione HTTP/3 ricadrà su HTTP/1.1 o HTTP/2 ovvero, i client che non supportano HTTP/3 saranno comunque in grado di comunicare con le distribuzioni CloudFront abilitate per HTTP/3 utilizzando HTTP/1.1 o HTTP/2. Il supporto di fallback è una parte obbligatoria della specifica HTTP/3 ed è implementato da tutti i principali browser che supportano HTTP/3.

D: E se la mia origine non supporta HTTP/3?

CloudFront attualmente supporta HTTP/3 per la comunicazione tra i client/browser dei tuoi visualizzatori e le posizioni edge di CloudFront. Per la comunicazione tra la posizione edge e i tuoi server di origine, CloudFront continuerà a utilizzare HTTP/1.1.

D: In che modo le policy di sicurezza TLS di Amazon CloudFront interagiscono con HTTP/3?

HTTP/3 utilizza QUIC, che richiede TLSv1.3. Pertanto, indipendentemente dalla policy di sicurezza scelta, puoi utilizzare solo TLSv1.3 e le suite di crittografia TLSv1.3 supportate per stabilire connessioni HTTP/3. Per maggiori dettagli, fai riferimento alla sezione relativa ai protocolli e le cifrature supportati tra i visualizzatori e CloudFront nella Guida per gli sviluppatori di CloudFront.

D: È previsto un addebito separato per l'abilitazione di HTTP/3?

No, non sono previsti addebiti separati per l'abilitazione di HTTP/3 su distribuzioni Amazon CloudFront. Le richieste HTTP/3 verranno addebitate alle tariffe della richiesta in base al piano tariffario.

WebSocket

D: Cosa sono i WebSocket?

WebSocket è un protocollo di comunicazione in tempo reale che fornisce comunicazioni bidirezionali tra un client e un server su una connessione TCP di vecchia data. Utilizzando una connessione permanente aperta, il client e il server possono inviarsi l'un l'altro dati in tempo reale senza che il client debba iniziare di frequente la verifica delle connessioni per lo scambio dei nuovi dati. Le connessioni WebSocket sono spesso utilizzate nelle applicazioni chat, nelle piattaforme di collaborazione, nei giochi multigiocatore e nelle piattaforme di transazioni finanziarie. Fai riferimento alla nostra documentazione per maggiori informazioni sull'uso del protocollo WebSocket con Amazon CloudFront. 

D: Come posso consentire alla mia distribuzione Amazon CloudFront di supportare il protocollo WebSocket?

Puoi utilizzare WebSockets a livello globale. Non è necessaria alcuna configurazione aggiuntiva per abilitare il protocollo WebSocket nella risorsa CloudFront, poiché dovrebbe essere supportato per impostazione predefinita.

D: Quando viene stabilita una connessione WebSocket tramite Amazon CloudFront?

Amazon CloudFront stabilisce le connessioni WebSocket solo se il client include l'intestazione 'Upgrade: websocket' e il server risponde con il codice di stato HTTP 101 confermando che può passare al protocollo WebSocket.

D: Amazon CloudFront supporta i WebSocket sicuri su TLS?

Sì. Amazon CloudFront supporta connessioni WebSocket crittografate (WSS) tramite il protocollo SSL/TLS.

Sicurezza

D: È possibile configurare una distribuzione CloudFront in modo che distribuisca i contenuti su HTTPS utilizzando un nome di dominio esistente?

Di default, puoi distribuire contenuti agli utenti su HTTPS utilizzando il nome di dominio della distribuzione CloudFront nell'URL, ad esempio https://dxxxxx.cloudfront.net/image.jpg. Se vuoi distribuire contenuti su HTTPS utilizzando il tuo nome di dominio e il tuo certificato SSL, puoi usare una delle nostre caratteristiche di supporto di certificato SSL personalizzato. Ulteriori informazioni.

D: Cos'è la crittografia a livello di campo?

La crittografia a livello di campo è una caratteristica di CloudFront che permette di caricare in modo sicuro sui server di origine dati inviati dall'utente quali numeri di carte di credito. Con questa funzionalità, puoi crittografare ulteriormente i dati sensibili in formato HTTPS mediante chiavi di crittografia specifiche del campo (fornite da te) prima che una richiesta PUT/POST venga inviata alla tua origine. Questo garantisce che i dati sensibili vengano decrittografati e visualizzati solo da determinati componenti o servizi del tuo stack applicativo. Per ulteriori informazioni sulla crittografia a livello di campo, consulta la sezione Field-Level Encryption nella nostra documentazione.

D: Utilizzo già la crittografia SSL/TLS con CloudFront. Ho bisogno anche della crittografia a livello di campo?

Molte applicazioni Web raccolgono dagli utenti dati sensibili, che vengono quindi elaborati dai servizi applicativi in esecuzione sull'infrastruttura di origine. Tutte queste applicazioni Web usano la crittografia SSL/TLS tra l'utente finale e CloudFront e tra CloudFront e la tua origine. La tua origine potrebbe avere più microservizi che eseguono operazioni critiche in base all'input dell'utente. Tuttavia, di solito le informazioni sensibili vengono utilizzate solo da un piccolo sottogruppo di questi microservizi, il che significa che la maggior parte dei componenti hanno accesso diretto a questi dati senza alcuna ragione. Un semplice errore di programmazione, come ad esempio una registrazione di log con la variabile sbagliata, potrebbe risultare nella trascrizione in un file del numero di carta di credito di un cliente.

Con la crittografia a livello di campo, le edge location di CloudFront possono crittografare i dati delle carte di credito. Da quel punto in poi solo le applicazioni che hanno le chiavi private possono decrittografare i campi sensibili. Pertanto il servizio di adempimento degli ordini può solo visualizzare i numeri delle carte di credito, mentre i servizi di pagamento possono decrittografarli. Questo garantisce un livello di sicurezza più elevato dal momento che, se anche un solo servizio applicativo divulga testo crittografato, i dati rimangono protetti da crittografia.

D: Qual è la differenza fra l'SSL personalizzato su SNI e l'SSL personalizzato con IP dedicato di Amazon CloudFront?

L'SSL personalizzato con IP dedicato assegna indirizzi IP dedicati per distribuire contenuti SSL su ogni edge location di CloudFront. Poiché c'è una mappatura individuale fra gli indirizzi IP e i certificati SSL, l'SSL personalizzato con IP dedicato funziona con browser e altri client che non supportano SNI. Dati i costi attuali degli indirizzi IP, il costo dell'SSL personalizzato con IP dedicato è di 600 USD al mese ripartito proporzionalmente sul numero di ore.

L'SSL personalizzato su SNI si basa sull'estensione SNI del protocollo Transport Layer Security, che permette a più domini di elaborare il traffico SSL sullo stesso indirizzo IP includendo il nome host al quale gli utenti stanno cercando di connettersi. Analogamente a quanto accade con l'SSL personalizzato con IP dedicato, CloudFront distribuisce contenuti da ogni edge location di Amazon CloudFront e con lo stesso livello di sicurezza garantito dall'SSL personalizzato con IP dedicato. L'SSL personalizzato su SNI funziona con i browser più moderni, fra cui Chrome versione 6 e successive (su Windows XP e successive o OS X 10.5.7 e successive), Safari versione 3 e successive (su Windows Vista e successive o Mac OS X 10.5.6. e successive), Firefox 2.0 e successive e Internet Explorer 7 e successive (su Windows Vista e successive). I browser meno recenti che non supportano SNI non possono stabilire una connessione con CloudFront per caricare la versione HTTPS dei tuoi contenuti. L'SSL personalizzato su SNI è disponibile senza costi supplementari, a parte le tariffe standard di trasferimento dati e di richieste di CloudFront

D: Cos'è l'Indicazione nome server?

L'Indicazione nome server (SNI) è un'estensione del protocollo Transport Layer Security (TLS). Questo meccanismo identifica il dominio (nome del server) della richiesta SSL associata in modo che possa essere utilizzato il certificato giusto nell'handshake SSL. Questo permette l'utilizzo di un solo indirizzo IP su più server. SNI necessita del supporto di un browser per aggiungere il nome del server e, se la maggior parte dei browser moderni lo supportano, non è il caso di alcuni browser meno recenti. Per ulteriori informazioni, consulta la sezione SNI della Guida per sviluppatori CloudFront o l'articolo relativo all'estensione SNI su Wikipedia.

D: CloudFront si integra con AWS Certificate Manager?

Sì, ora puoi effettuare il provisioning di certificati SSL/TLS e associarli in pochi minuti alle distribuzioni CloudFront. È sufficiente effettuare il provisioning di un certificato utilizzando il nuovo AWS Certificate Manager (ACM), trasmetterlo alla distribuzione CloudFront con un paio di clic e quindi attendere che ACM gestisca i rinnovi dei certificati. ACM permette di effettuare il provisioning, distribuire e gestire il certificato senza costi aggiuntivi.

Nota che CloudFront supporta comunque l'utilizzo di certificati ottenuti da un'autorità di certificazione esterna caricati nello store di certificati IAM.

D: Amazon CloudFront supporta il controllo degli accessi a contenuti a pagamento o privati?

Sì, Amazon CloudFront ha una caratteristica opzionale di contenuti privati. Quando questa caratteristica è attivata, Amazon CloudFront distribuisce file solo con la tua approvazione effettuando un accesso sicuro alle tue richieste. Per ulteriori informazioni su questa caratteristica, consulta la CloudFront Developer Guide.

D: In che modo è possibile proteggere dagli attacchi di tipo DDoS le applicazioni Web distribuite tramite CloudFront?

In qualità di cliente AWS, potrai usufruire di AWS Shield Standard senza costi aggiuntivi. AWS Shield è un servizio gestito che protegge le applicazioni Web in esecuzione in AWS da attacchi di tipo DDoS (Distributed Denial of Service). AWS Shield Standard offre protezione a tutti i clienti AWS contro gli attacchi all'infrastruttura comuni e più frequenti (livello 3 e 4), come i flood SYN/UDP, i flood di riflessione e altri, al fine di garantire la massima disponibilità delle tue applicazioni su AWS.

AWS Shield Advanced è un servizio opzionale a pagamento rivolto ai clienti AWS Support di livello Business e Enterprise. AWS Shield Advanced offre ulteriori protezioni contro attacchi più consistenti e sofisticati alle applicazioni in esecuzione su Elastic Load Balancing (ELB), Amazon CloudFront e Route 53.

D: In che modo è possibile proteggere le applicazioni Web distribuite tramite CloudFront?

Puoi integrare la tua distribuzione CloudFront con AWS WAF, un firewall che protegge le applicazioni Web consentendo la configurazione di regole basate su indirizzi IP, intestazioni HTTP e stringhe URI personalizzate. Tramite queste regole, AWS WAF blocca, consente o monitora (conteggio) le richieste Web dirette all'applicazione Web. Per ulteriori informazioni, consulta la AWS WAF Developer Guide.

Caching

D: Posso aggiungere o modificare le intestazioni di richiesta inoltrate al server di origine?

Sì, è possibile configurare Amazon CloudFront in modo che aggiunga intestazioni personalizzate oppure sovrascriva il valore delle intestazioni esistenti indirizzate alle richieste inoltrate al server di origine. Queste intestazioni possono essere impiegate per verificare che le richieste indirizzate al server di origine siano state inviate da CloudFront; è anche possibile configurare l'origine in modo che consenta esclusivamente le richieste che contengono determinati valori di intestazione personalizzati. Inoltre, se si usano diverse distribuzioni CloudFront con lo stesso server di origine, è possibile impiegare intestazioni personalizzate per riconoscere le richieste di ciascuna distribuzione. Infine, le intestazioni personalizzate possono risultare utili per determinare le intestazioni CORS corrette restituite per le richieste. Puoi configurare le intestazioni personalizzate tramite l'API CloudFront e la Console di gestione AWS. Questa caratteristica non comporta costi supplementari. Per ulteriori dettagli su come impostare le intestazioni personalizzate, consulta questa pagina.

D: Come gestisce Amazon CloudFront i cookie HTTP?

Amazon CloudFront supporta la distribuzione di contenuti dinamici o personalizzati mediante i cookie HTTP. Per sfruttare questa caratteristica, è necessario specificare se si desidera che Amazon CloudFront inoltri alcuni o tutti i cookie al server di origine personalizzato. Durante l'identificazione di un oggetto univoco nella cache, Amazon CloudFront terrà quindi anche conto dei valori del cookie inoltrato. In questo modo, gli utenti finali potranno visualizzare contenuti personalizzati sfruttando le prestazioni di Amazon CloudFront. Un'altra opzione consiste nel registrare i valori dei cookie nei log di accesso di Amazon CloudFront.

D: Come gestisce Amazon CloudFront i parametri delle stringhe di query nell'URL?

Una stringa di query può essere configurata in modo opzionale per far parte della chiave di cache per identificare oggetti nella cache di Amazon CloudFront. Questo consente di creare pagine Web dinamiche (ad es., risultati di ricerca) che possono essere memorizzate nella cache nell'edge per un certo periodo di tempo.

D: È possibile specificare quali parametri di una query sono usati nella chiave di cache?

Sì, la funzione di whitelisting delle stringhe di query permette di configurare Amazon CloudFront in modo che utilizzi solo determinati parametri nella chiave di cache, inoltrando comunque tutti i parametri all'origine.

D: È previsto un limite al numero di parametri di query che è possibile inserire in una whitelist?

Sì, è possibile configurare fino a 10 parametri in una whitelist di Amazon CloudFront.

D: Quali tipi di parametri sono supportati?

Amazon CloudFront supporta parametri di query URI secondo quanto definito nella sezione 3.4 del documento RFC3986. Nello specifico, supporta i parametri di query integrati in una stringa GET HTTP dopo il carattere "?" e delimitati dal carattere “&”.

D: CloudFront supporta la compressione gzip?

Sì, CloudFront comprime automaticamente il testo o i dati binari. Per usare questa caratteristica, è sufficiente accedere alle impostazioni della cache e richiedere la compressione automatica degli oggetti da parte di CloudFront, accertando che il client includa Accept-Encoding: gzip nell'intestazione della richiesta (la maggior parte dei browser Web effettua questa operazione di default). Per ulteriori informazioni su questa funzione, consultare la nostra guida per sviluppatori.

Streaming

D: Cos'è lo streaming? Quale vantaggio offre la distribuzione dei contenuti in streaming? 

In genere, per streaming si intende la distribuzione di contenuti audio e video a utenti finali tramite Internet senza dover scaricare il file multimediale prima della riproduzione. I protocolli utilizzati per lo streaming sono quelli che distribuiscono contenuti tramite HTTP, ad esempio HTTP Live Streaming (HLS) di Apple, MPEG Dynamic Adaptive Streaming over HTTP (MPEG-DASH), HTTP Dynamic Streaming (HDS) di Adobe e Smooth Streaming di Microsoft. L'uso di questi protocolli differisce dalla distribuzione di pagine Web e di altri contenuti online perché implica la distribuzione di contenuti in tempo reale: gli utenti guardano i contenuti nel momento stesso in cui vengono distribuiti. Lo streaming dei contenuti offre diversi vantaggi potenziali sia per te sia per gli utenti finali:

  • lo streaming offre agli utenti un maggiore controllo sulla loro esperienza di visualizzazione. Ad esempio, per gli utenti è più semplice cercare avanti e indietro in un video tramite lo streaming che utilizzando il classico metodo del download.
  • Lo streaming offre inoltre un maggiore controllo sui contenuti, perché al termine della visualizzazione sul computer dell'utente finale non rimane alcun file.
  • Lo streaming consente di ridurre i costi, poiché distribuisce solo le parti del file multimediale che l'utente effettivamente guarda. Quando un utente scarica un file, invece, deve scaricare il file intero anche se poi ne guarderà solo una parte.

D: Amazon CloudFront supporta protocolli di streaming video-on-demand (VOD)?

Sì, Amazon CloudFront offre diverse opzioni di distribuzione di video on demand. Se sono in uso file multimediali che sono stati convertiti in formato HLS, MPEG-DASH o Microsoft Smooth Streaming, ad esempio utilizzando AWS Elemental MediaConvert, prima di essere memorizzati in Amazon S3 o in un server di origine personalizzato possono essere trasmessi in streaming nello stesso formato senza dover eseguire alcun server multimediale utilizzando una distribuzione Web di Amazon CloudFront.

In alternativa, è possibile eseguire in Amazon EC2 un server di streaming di terze parti (ad esempio, Wowza Media Server, disponibile in AWS Marketplace), con cui convertire un file multimediale nel formato di streaming HTTP desiderato. Tale server potrà essere designato come server di origine per una distribuzione Web di Amazon CloudFront.

Consulta la pagina dedicata al protocollo Video on Demand (VOD) in AWS.

D: Amazon CloudFront supporta lo streaming in tempo reale su più piattaforme?

Sì. È possibile usare Amazon CloudFront per lo streaming in tempo reale con qualsiasi servizio video live che produca flussi basati su HTTP, ad esempio AWS Elemental MediaPackage o AWS Elemental MediaStore. MediaPackage è un servizio di creazione di origini e pacchetti video just-in-time che permette ai distributori di contenuti video di offrire contenuti in streaming in modo sicuro e affidabile su scala utilizzando diversi standard di distribuzione e di sicurezza. MediaStore un servizio di storage e creazione di origini HTTP che offre prestazione elevate, consistenza immediata e bassa latenza prevedibile, condizioni ideali per distribuire contenuti multimediali in tempo reale sfruttando la sicurezza e la durabilità offerte dallo storage di Amazon.

Consulta la pagina dedicata allo streaming video in diretta di AWS per ulteriori informazioni.

Origin Shield

D: Che cos'è Origin Shield?

Origin Shield è un livello di caching centralizzato che aiuta ad aumentare il cache hit ratio per ridurre il carico sull'origine. Origin Shield abbassa anche i costi operativi dell'origine, riducendo le richieste tra le varie regioni in modo che una sola richiesta vada all'origine per ogni oggetto. Se attivato, CloudFront instrada tutte le chiamate all'origine attraverso Origin Shield e invia una richiesta all'origine solo se il contenuto non è già memorizzato nella cache di Origin Shield.

D: Quando devo usare Origin Shield?

Origin Shield è ideale per carichi di lavoro con spettatori distribuiti in diverse regioni geografiche o carichi di lavoro che prevedono il cosiddetto "just-in-time packaging" per lo streaming video, la gestione delle immagini immediata o processi simili. L'utilizzo di Origin Shield davanti all'origine ridurrà il numero di recuperi di origine ridondanti controllando prima la sua cache centrale e realizzando solo un recupero di origine consolidato per contenuti non già presenti nella cache di Origin Shield. Analogamente, Origin Shield può essere utilizzato in un'architettura multi-CDN per ridurre il numero di duplicati di origine che vengono recuperati su CDN posizionando Amazon CloudFront come origine su altri CDN. Consulta la Guida allo sviluppo di Amazon CloudFront per maggiori dettagli su questi e altri casi d'uso di Origin Shield.

D: Quale regione Origin Shield devo utilizzare?

Amazon CloudFront offre Origin Shield nelle regioni AWS dove CloudFront ha una cache edge regionale. Quando attivi Origin Shield, devi scegliere la regione AWS per Origin Shield che ha la latenza più bassa rispetto alla tua origine. Puoi usare Origin Shield con origini che sono in una Regione AWS e con origini che non sono in AWS. Per ulteriori informazioni, consulta la sezione Scelta della Regione AWS per Origin Shield nella Guida per gli sviluppatori di Amazon CloudFront.

D: Origin Shield è resistente e Origin Shield è resistente e con un'elevata disponibilità?

Sì. Tutte le Regioni Origin Shield sono costruite utilizzando un'architettura con un'elevata disponibilità che si estende su diverse Zone di disponibilità con flotte di istanze Amazon EC2 autoscalabili. Le connessioni dalle ubicazioni CloudFront a Origin Shield utilizzano anche il tracciamento attivo degli errori per ogni richiesta per instradare automaticamente la richiesta a una ubicazione secondaria di Origin Shield se la ubicazione principale di Origin Shield non è disponibile.

Limiti

D: Posso utilizzare Amazon CloudFront se prevedo picchi di utilizzo superiori a 150 Gb/s o 250.000 RPS?

Sì. Completa il formulario di richiesta di limite superiore qui e noi aggiungeremo capacità al tuo account entro due giorni lavorativi.

D: C'è un limite al numero di distribuzioni che può effettuare il mio account Amazon CloudFront?

Per quanto riguarda il limite attuale del numero di distribuzioni che puoi creare per ogni account AWS, consulta la pagina Limiti di Amazon CloudFront nella sezione Riferimento generale di Amazon Web Services. Per richiedere un limite superiore, vai a Modulo di aumento del limite di CloudFront.

D: Quali sono le dimensioni massime di un file che può essere distribuito tramite Amazon CloudFront?

Le dimensioni massime di un singolo file che può essere distribuito tramite Amazon CloudFront sono 30 GB. Questo limite è valido per tutte le distribuzioni Amazon CloudFront.

Log e report

Q: Quali funzionalità di registrazione sono disponibili con Amazon CloudFront?

Quando crei o modifichi una distribuzione CloudFront, puoi attivare la registrazione degli accessi. CloudFront fornisce due metodi per registrare le richieste consegnate dalle distribuzioni: i log standard e i log in tempo reale.

I log standard di CloudFront sono distribuiti al bucket prescelto di Amazon S3 (i record di log sono distribuiti entro pochi minuti dalla richiesta del visualizzatore). Quando è attivo, CloudFront pubblica automaticamente informazioni di log dettagliate in un formato W3C esteso in un bucket Amazon S3 specificato. I log di accesso contengono informazioni dettagliate su ogni richiesta sui contenuti, fra cui l'oggetto richiesto, la data e l'ora della richiesta, la edge location che effettua la richiesta, l'indirizzo IP del client, il referrer, l'agente utente, l'intestazione del cookie e il tipo di risultato (ad esempio, riscontro/mancato riscontro/errore della cache). CloudFront non effettua addebiti per i log standard, tuttavia vengono effettuati addebiti di Amazon S3 per l'archiviazione e l'accesso ai file di log.

I log in tempo reale di CloudFront sono distribuiti sul flusso di dati prescelto in Amazon Kinesis Data Streams (i record dei log sono distribuiti entro pochi secondi dalla richiesta del visualizzatore). Puoi scegliere la frequenza di campionamento per i log in tempo reale, ossia la percentuale di richieste per cui desideri ricevere log in tempo reale. Puoi anche scegliere i campi specifici che desideri siano riportati nei record di log. I log in tempo reale di CloudFront contengono tutti gli stessi punti dati dei log standard e contengono anche determinate informazioni aggiuntive su ogni richiesta come ad esempio il codice paese e le intestazioni delle richieste dei visualizzatori in un formato esteso W3C. CloudFront effettua addebiti per log in tempo reale, in aggiunta agli addebiti relativi all'utilizzo di Kinesis Data Streams.

Q: Come posso determinare i log CloudFront più adatti al mio caso d'uso?

Puoi scegliere una destinazione in base al tuo caso d'uso. Se hai casi d'uso sensibili al tempo e richiedi l'accesso rapido ai dati dei log in pochi secondi, scegli i log in tempo reale. Se hai bisogno che la tua pipeline di log in tempo reale sia più economica, puoi scegliere di filtrare i dati di log abilitando i log solo per comportamenti cache specifici o scegliendo una frequenza di campionamento inferiore. La pipeline di log in tempo reale è progettata per la consegna rapida dei dati. Pertanto, i record di log possono essere eliminati in caso di ritardi nei dati. D'altra parte, se hai bisogno di una soluzione di elaborazione dei log a basso costo senza la necessità di dati in tempo reale, l'opzione dei log standard è più adatta a te. I log standard in S3 sono progettati per la completezza e sono in genere disponibili in pochi minuti. Questi log possono essere abilitati per l'intera distribuzione e non per comportamenti cache specifici. Pertanto, se hai bisogno di log per indagini, audit e analisi ad hoc, puoi scegliere di abilitare solo i log standard in S3. Puoi anche decidere di utilizzare una combinazione di entrambi i log. Utilizza un elenco filtrato di log in tempo reale per la visibilità operativa, quindi utilizza i log standard per l'audit.

Q: Quali sono le diverse opzioni di destinazione dei log disponibili?
I log standard di CloudFront vengono consegnati nel bucket S3. È inoltre possibile utilizzare l'integrazione creata da soluzioni di terze parti come DataDog e Sumologic per creare dashboard da questi log.

I log in tempo reale sono consegnati al Kinesis Data Stream. Da Kinesis Data Streams, i log possono essere pubblicati in Amazon Kinesis Data Firehose. Amazon Kinesis Data Firehose supporta la consegna facile dei dati ad Amazon S3, Amazon Redshift, Amazon Elasticsearch Service e a provider di servizi come Datadog, New Relic e Splunk. Kinesis Firehose supporta la consegna dei dati anche a un endpoint HTTP generico.

Q: Di quanti shard Kinesis ho bisogno in Kinesis Data Stream?
Utilizza la seguente procedura per stimare il numero di shard necessari:

  1. Calcola (o stima) il numero di richieste al secondo ricevute dalla distribuzione CloudFront. Per calcolare le richieste al secondo puoi utilizzare i report di utilizzo di CloudFront o i parametri CloudFront.
  2. Determina la dimensione tipica di un singolo record di log in tempo reale. Un record tipico che include tutti i campi disponibili è circa 1 KB. Se non sei sicuro di quale sia la dimensione del tuo record di log, puoi abilitare i log in tempo reale con una bassa frequenza di campionamento (ad esempio, 1%), quindi calcolare la dimensione media del record utilizzando i dati di monitoraggio in Kinesis Data Streams (numero totale di record diviso per byte totali in entrata).
  3. Moltiplica quindi il numero di richieste al secondo (dal passaggio 1) per la dimensione di un record di log in tempo reale tipico (dal passaggio 2) per determinare la quantità di dati al secondo che è probabile che la configurazione del registro in tempo reale invii a Kinesis Data Stream.
  4. Con i dati al secondo, potrai calcolare il numero di shard necessari. Un singolo shard può gestire non più di 1 MB al secondo e 1.000 richieste (record di log) al secondo. Quando calcoli il numero di shard necessari, è preferibile aggiungere fino al 25% come buffer.

Ad esempio, supponiamo che la tua distribuzione riceva 10.000 richieste al secondo e che la dimensione dei record di log in tempo reale sia in genere 1 KB. Ciò significa che la configurazione dei log in tempo reale potrebbe generare 10.000.000 di byte (10.000 moltiplicati per 1.000) o 9,53 MB al secondo. In questo caso, avrai bisogno solo di 10 shard Kinesis. Per avere un po' di buffer, dovresti pensare di creare almeno 12 shard.

D: Amazon CloudFront offre report pronti per consentire di ottenere informazioni su utilizzo, utenti e contenuti distribuiti?

Sì. Che si tratti di ricevere report di statistiche di cache dettagliate, monitorare l'utilizzo del tuo CloudFront, vedere da dove i clienti visualizzano i tuoi contenuti o impostare allarmi in tempo reale su parametri operativi, Amazon CloudFront offre una vasta gamma di soluzioni per i tuoi bisogni di reporting. Per accedere a tutte le opzioni di reportistica, visita il pannello di controllo Reporting & Analytics di Amazon CloudFront nella Console di gestione AWS. Inoltre puoi trovare ulteriori informazioni sulle varie opzioni di reporting sulla pagina Report e analisi di Amazon CloudFront.

D: È possibile applicare tag a una distribuzione?

Sì. Amazon CloudFront supporta l'applicazione di tag per l'allocazione dei costi. Grazie ai tag è più semplice suddividere i costi e ottimizzare le spese dividendo per categoria e raggruppando le risorse AWS. Ad esempio, puoi utilizzare tag per raggruppare le risorse in base ad amministratore, nome applicazione, centro di costo o progetto specifico. Per ulteriori informazioni sull'applicazione di tag per l'allocazione dei costi, consulta Using Cost Allocation Tags. Se già utilizzi i tag per le distribuzioni CloudFront, consulta la pagina Amazon CloudFront Add Tags.

D: È possibile consultare uno storico di tutte le chiamate API di Amazon CloudFront su un account per eseguire audit di sicurezza, di operatività e di conformità?

Sì. Per ricevere uno storico di tutte le chiamate delle API di Amazon CloudFront effettuate sul tuo account, non devi fare altro che attivare AWS CloudTrail nella Console di gestione AWS. Per ulteriori informazioni, visita la home page di AWS CloudTrail.

D: Ci sono opzioni per parametri di monitoraggio e di allarmi in tempo reale?

Puoi eseguire monitoraggi e ricevere allarmi e notifiche sulle prestazioni operative delle tue distribuzioni Amazon CloudFront pochi minuti dopo la richiesta dell'utente che utilizza Amazon CloudWatch. CloudFront pubblica automaticamente su Amazon CloudWatch sei parametri operazionali, con granularità di 1 minuto. CloudWatch può perciò essere usato per impostare allarmi in caso di modelli di traffico di CloudFront anomali. Per ulteriori informazioni sul monitoraggio delle attività di CloudFront e su come impostare gli allarmi usando CloudWatch, consulta la spiegazione passo per passo nella Guida per sviluppatori di Amazon CloudFront oppure accedi alla Console di gestione di Amazon CloudFront e seleziona Monitoraggio e allarmi nel riquadro di navigazione.

CloudFront Functions

D: Che cos'è CloudFront Functions?

Funzioni CloudFront è una funzionalità di calcolo edge serverless che permette di eseguire codice JavaScript nelle posizioni edge di CloudFront per trasformazioni e manipolazioni HTTP ridotte. Funzioni è progettato ad-hoc per fornire ai clienti la flessibilità di un ambiente di programmazione completo con le prestazioni e la sicurezza necessarie per le applicazioni Web moderne. A un prezzo nettamente inferiore a quello di AWS Lambda@Edge, i clienti possono dimensionare le risorse istantaneamente e in modo conveniente per supportare milioni di richieste al secondo.

D: In che modo posso personalizzare i contenuti con CloudFront Functions?

Funzioni CloudFront è integrato in modo nativo in CloudFront, permettendo ai clienti di creare, testare e distribuire funzioni facilmente all'interno dello stesso servizio. CloudFront KeyValueStore con Funzioni CloudFront può essere utilizzato per archiviare e recuperare i dati di ricerca a complemento della logica delle funzioni. Il nostro repository di GitHub permette agli sviluppatori di iniziare facilmente, offrendo un'ampia raccolta di codice di esempio che può essere utilizzata come punto di partenza per creare funzioni. Puoi creare funzioni nella console di CloudFront utilizzando l'IDE o le API/l'interfaccia a riga di comando di CloudFront. Dopo aver realizzato il codice, potrai testare la funzione su una distribuzione CloudFront di produzione, assicurandoti che verrà eseguita correttamente dopo la distribuzione. La funzionalità di test nella console fornisce un editor visivo per creare eventi di test e convalidare funzioni rapidamente. Dopo essere stato associato a una distribuzione di CloudFront, il codice viene distribuito nella rete distribuita a livello globale di edge location di AWS per l'esecuzione in risposta a richieste di CloudFront.

D: Quali sono i casi d'uso per CloudFront Functions?

CloudFront Functions è la soluzione ideale per funzioni leggere e di breve durata come quelle riportate di seguito:

  • Normalizzazione della chiave di cache: puoi trasformare gli attributi delle richieste HTTP (intestazioni, stringhe di query, cookie, anche il percorso relativo dell'URL della richiesta) per creare una chiave di cache ottimale, che può migliorare il tasso di occorrenze della cache.
  • Manipolazione delle intestazioni: puoi inserire, modificare o eliminare intestazioni HTTP nella richiesta o nella risposta. Ad esempio, puoi aggiungere intestazioni HTTP Strict Transport Security (HSTS) o di Condivisione di risorse tra le origini (CORS) a ogni risposta.
  • Reindirizzamenti o riscritture di URL: puoi reindirizzare i visualizzatori ad altre pagine in base alle informazioni nella richiesta o reindirizzare tutta la richiesta da un percorso a un altro.
  • Richiesta dell'autorizzazione: è possibile convalidare token di autorizzazione, come token Web JSON (JWT), ispezionando le intestazioni dell'autorizzazione o altri metadati della richiesta.

D: Cos'è CloudFront KeyValueStore?

CloudFront KeyValueStore è un data store chiave-valore globale, a bassa latenza e completamente gestito. KeyValueStore consente il recupero dei dati dei valori chiave dall'interno di Funzioni CloudFront, rendendo le funzioni più personalizzabili consentendo aggiornamenti indipendenti dei dati. I dati del valore chiave sono accessibili in tutte le posizioni edge di CloudFront, fornendo un archivio chiave-valore in memoria altamente efficiente con letture rapide dall'interno di Funzioni CloudFront.

D: Quali sono i casi d'uso per CloudFront KeyValueStore?

CloudFront KeyValueStore è ideale per letture frequenti presso le posizioni edge e aggiornamenti poco frequenti come:

  • Gestisci le riscritture e i reindirizzamenti degli URL: reindirizza gli utenti a un sito di un paese specifico in base alla geolocalizzazione. L'archiviazione e l'aggiornamento di questi URL geolocalizzati in KeyValueStore semplifica la gestione degli URL.
  • Test A/B e segnalazioni di funzionalità: eseguire esperimenti assegnando una percentuale di traffico a una versione del sito web. Si possono aggiornare i pesi degli esperimenti senza aggiornare il codice della funzione o la distribuzione CloudFront.
  • Autorizzazione all'accesso: implementazione del controllo e dell’autorizzazione degli accessi per i contenuti distribuiti tramite CloudFront creando e convalidando token generati dall'utente, come i token HMAC o i token web JSON (JWT), per consentire o rifiutare le richieste. 

D: Funzioni CloudFront sostituisce Lambda@Edge?

No. CloudFront Functions ha lo scopo di integrare Lambda@Edge, non di sostituirlo. La combinazione di Lambda@Edge e CloudFront Functions permette di scegliere lo strumento adatto per il processo. Puoi scegliere di utilizzare sia CloudFront Functions che Lambda@Edge su diversi trigger di eventi all'interno dello stesso comportamento cache nelle tue distribuzioni di CloudFront. Ad esempio, puoi utilizzare Lambda@Edge per manipolare file manifest per lo streaming in tempo reale, allo scopo di inserire token personalizzati per proteggere streaming live. Puoi utilizzare CloudFront Functions per convalidare tali token quando un utente richiede un segmento del file manifest.

D: Devo utilizzare CloudFront Functions o Lambda@Edge?

La combinazione di CloudFront Functions e Lambda@Edge fornisce due opzioni potenti e flessibili per eseguire codice in risposta a eventi di CloudFront. Entrambi offrono modi sicuri per eseguire codice in risposta a eventi di CloudFront senza infrastruttura di gestione. CloudFront Functions è progettato ad-hoc per trasformazioni e manipolazioni della richiesta/risposta leggere, altamente scalabili e sensibili alla latenza. Lambda@Edge usa runtime per utilizzo generico che supportano un'ampia gamma di esigenze di elaborazione e personalizzazioni. Lambda@Edge è l'ideale per operazioni a elevata intensità di calcolo, come le elaborazioni che richiedono più tempo per il completamento (da diversi millisecondi a secondi) o chiamate di rete per l'elaborazione dei dati, oppure elaborazioni che presentano dipendenze su librerie esterne di terze parti o che necessitano di integrazioni con altri servizi AWS (ad esempio S3 o Dynamo DB). Alcuni dei casi d'uso avanzati più comuni di Lambda@Edge includono la manipolazione di file manifest per lo streaming HLS, le integrazioni con servizi di rilevamento di bot e autorizzazioni di terze parti, il rendering lato server (SSR, Server-Side Rendering) di applicazioni a pagina singola (SPA, Single-Page Apps) a livello di edge e molto altro. Per ulteriori dettagli, consulta la pagina dei casi d'uso di Lambda@Edge.

D: In che modo AWS mantiene CloudFront Functions protetto?

CloudFront Functions fornisce le prestazioni, la scalabilità e la convenienza che ti aspetti, ma con un modello di sicurezza unico che offre limiti di isolamento severi tra il codice delle funzioni. Quando esegui codice personalizzato in un ambiente di calcolo multi-tenant condiviso, è fondamentale mantenere un ambiente di esecuzione altamente sicuro. Un malintenzionato potrebbe tentare di sfruttare bug presenti nel runtime, nelle librerie o nella CPU per divulgare dati sensibili dal server o da altre funzioni del cliente. Senza una barriera di isolamento rigorosa tra il codice delle funzioni, questi exploit sono possibili. Sia AWS Lambda che Lambda@Edge ottengono già questo isolamento di sicurezza attraverso l'isolamento delle VM basato su Firecracker. Con CloudFront Functions, abbiamo distribuito un modello di isolamento basato sui processi che fornisce lo stesso livello di sicurezza contro attacchi da canali laterali come Spectre e Meltdown, attacchi a cronometro o altre vulnerabilità del codice. CloudFront Functions non può accedere a dati che appartengono ad altri clienti o modificarli. Questa operazione può essere effettuata eseguendo funzioni in un processo dedicato con una CPU dedicata. CloudFront Functions viene eseguito sui processi di lavoro che servono un solo cliente alla volta e tutti i dati specifici del cliente vengono cancellati (scaricati) tra le esecuzioni.

CloudFront Functions non utilizza V8 come motore JavaScript. Il modello di sicurezza di Functions è diverso ed è considerato più sicuro del modello basato sull'isolamento di v8 offerto da altri fornitori.

D: Come so che la mia funzione di CloudFront verrà eseguita correttamente?

Puoi testare qualsiasi funzione utilizzando la funzionalità di test integrata. Il test di una funzione eseguirà il codice su una distribuzione di CloudFront per assicurare che la funzione restituisca il risultato previsto. Oltre a convalidare l'esecuzione del codice, viene fornito anche un parametro di utilizzo del calcolo. Il parametro di utilizzo del calcolo fornisce una percentuale che indica quanto la funzione è vicina al limite di tempo dell'esecuzione. Ad esempio, un utilizzo del calcolo pari a 30 indica che la funzione sta utilizzando il 30% del tempo di calcolo totale consentito. È possibile creare oggetti di test con un editor visivo, permettendo di aggiungere facilmente stringhe di query, intestazioni, URL e metodi HTTP per ogni oggetto, oppure puoi creare oggetti di test utilizzando una rappresentazione JSON della richiesta o della risposta. Dopo aver eseguito il test, i risultati e il parametro di utilizzo del calcolo possono essere visualizzati nello stesso stile dell'editor visivo o esaminando la risposta JSON. Se la funzione viene eseguita correttamente e il parametro Utilizzo calcolo non è vicino a 100, sai che la funzione verrà eseguita correttamente quando associata a una distribuzione di CloudFront.

Q: Come posso monitorare una funzione di CloudFront?

CloudFront Functions genera sia parametri che log di esecuzione per monitorare l'utilizzo e le prestazioni di una funzione. I parametri sono generati per ogni chiamata di una funzione e puoi esaminare i parametri di ogni funzione individualmente nella console di CloudFront o CloudWatch. I parametri includono il numero di chiamate, l'utilizzo del calcolo, gli errori di convalida e gli errori di esecuzione. Se la funzione genera un errore di convalida o un errore di esecuzione, il messaggio di errore verrà visualizzato anche nei log di accesso di CloudFront, fornendo una migliore visibilità dell'impatto della funzione sul traffico di CloudFront. Oltre ai parametri, puoi generare log di esecuzione anche includendo un'istruzione console.log() nel del codice della funzione. Qualsiasi istruzione del log genererà una voce del log di CloudWatch che verrà inviata a CloudWatch. I log e i parametri sono inclusi nel prezzo di CloudFront Functions

Lambda@Edge

D: Cos'è Lambda@Edge?

Lambda@Edge è un'estensione di AWS Lambda che permette di eseguire codice in edge location globali senza il provisioning o la gestione dei server. Lambda@Edge fornisce elaborazione serverless potente e flessibile per funzioni complesse e una logica delle applicazioni completa più vicina ai tuoi visualizzatori. Le funzioni di Lambda@Edge vengono eseguite in un ambiente Node.js o Python. Puoi pubblicare le funzioni in una singola regione AWS e quando associ la funzione a una distribuzione di CloudFront, Lambda@Edge replica automaticamente il tuo codice in tutto il mondo. Lambda@Edge si adatta automaticamente al numero delle richieste, che siano poche al giorno o migliaia al secondo.

D: In che modo è possibile personalizzare i contenuti con Lambda@Edge?

Lambda@Edge viene eseguito associando funzioni a comportamenti cache specifici in CloudFront. Puoi anche specificare a quale punto durante la richiesta o la risposta di CloudFront deve essere eseguita la funzione (ad esempio quando si riceve una richiesta di visualizzazione, quando viene inoltrata o ricevuta una richiesta dall'origine o subito prima della risposta all'utente finale). Si scrive codice utilizzando Node.js o Python dalla console Lambda, dal'API o utilizzando framework come Serverless Application Model (SAM). Dopo aver testato la funzione, la puoi associare al comportamento cache e al trigger di eventi di CloudFront selezionato. Una volta salvata, quando alla distribuzione viene fatta una richiesta alla distribuzione di CloudFront, la funzione verrà propagata all'edge di CloudFront, dimensionata ed eseguita come necessario. Per ulteriori informazioni, consulta la documentazione.

D: Quali eventi di Lambda@Edge possono essere attivati con Amazon CloudFront?

Le funzioni Lambda@Edge disponibili si attiveranno automaticamente in risposta ai seguenti eventi di Amazon CloudFront:

  • Richiesta visualizzatore: questo evento si verifica quando un utente finale o un dispositivo collegato a Internet invia una richiesta HTTP(S) a CloudFront e la richiesta arriva alla edge location più vicina all'utente.
  • Risposta visualizzatore: questo evento si verifica quando il server di CloudFront nella edge location è pronto per rispondere all'utente finale o al dispositivo che ha inviato la richiesta.
  • Richiesta origine: questo evento si verifica quando il server edge di CloudFront non contiene già l'oggetto richiesto nella propria cache e la richiesta del visualizzatore è pronta per essere inviata al server Web di origine del back-end (ad es. Amazon EC2 o Application Load Balancer o Amazon S3).
  • Risposta origine: questo evento si verifica quando il server di CloudFront della posizione edge riceve una risposta dal server Web di origine del back-end.

Implementazione continua

D: Cos'è l'implementazione continua su CloudFront?

L'implementazione continua su CloudFront offre la possibilità di testare e convalidare le modifiche alla configurazione con una porzione di traffico live prima di distribuire le modifiche a tutti gli spettatori.

L'implementazione continua con CloudFront ti offre un alto livello di sicurezza nella distribuzione. Ora puoi distribuire due ambienti distinti ma identici, uno blu e l'altro verde, e consentire una semplice integrazione nelle tue pipeline CI/CD (continuous integration/continuous delivery ) con la possibilità di distribuire gradualmente i rilasci senza modificare il sistema dei nomi di dominio (DNS). Garantisce che il tuo spettatore abbia un'esperienza coerente grazie alla persistenza della sessione, legando la sessione dello spettatore allo stesso ambiente. Inoltre, puoi confrontare le prestazioni delle tue modifiche monitorando i log standard e in tempo reale e tornare rapidamente alla configurazione precedente quando una modifica ha un impatto negativo su un servizio. 

D: Come posso impostare l'implementazione continua su CloudFront?

Puoi impostare l'implementazione continua associando una distribuzione di staging a una distribuzione primaria attraverso la console di CloudFront, l'SDK, l'interfaccia della riga di comando (CLI) o il modello CloudFormation. Puoi quindi definire delle regole per suddividere il traffico configurando l'intestazione del client o richiamando una percentuale di traffico da testare con la distribuzione di staging. Una volta impostata, puoi aggiornare la configurazione di staging con le modifiche desiderate. CloudFront gestirà la suddivisione del traffico verso gli utenti e fornirà le analisi associate per aiutarti a decidere se continuare l'implementazione o effettuare il rollback. Una volta convalidato il test con le distribuzioni di staging, puoi unire le modifiche alla distribuzione principale.

Per ulteriori informazioni su questa funzionalità, consulta la relativa documentazione.

D: Come posso misurare i risultati dell'implementazione continua?

L'implementazione continua consente il monitoraggio reale degli utenti attraverso il traffico web. Puoi utilizzare uno qualsiasi dei metodi di monitoraggio disponibili: console CloudFront, API CloudFront, CLI o CloudWatch per misurare individualmente le metriche operative della distribuzione primaria e di quella di staging. Puoi misurare i criteri di successo della tua specifica applicazione misurando e confrontando le metriche di throughput (velocità di trasmissione effettiva), latenza e disponibilità tra le due distribuzioni.

D: Posso utilizzare le distribuzioni esistenti?

Sì, puoi usare qualsiasi distribuzione esistente come base per creare una distribuzione di staging e introdurre e testare le modifiche.

D: Come funziona l'implementazione continua con le funzioni CloudFront e Lambda@Edge?

Con l'implementazione continua, puoi associare funzioni diverse alle distribuzioni primarie e di staging. Puoi anche utilizzare la stessa funzione con entrambe le distribuzioni. Se aggiorni una funzione utilizzata da entrambe le distribuzioni, entrambe riceveranno l'aggiornamento.

D: Come posso utilizzare le distribuzioni di implementazione continua con AWS CloudFormation?

Ogni risorsa del tuo stack CloudFormation è mappata su una specifica risorsa AWS. Una distribuzione di staging avrà un proprio ID risorsa e funzionerà come qualsiasi altra risorsa AWS. Puoi usare CloudFormation per creare/aggiornare questa risorsa.

D: In che modo l'implementazione continua su CloudFront supporta la persistenza delle sessioni?

Quando utilizzi una configurazione basata sui pesi per instradare il traffico verso una distribuzione di staging, puoi anche attivare la persistenza di sessione, che aiuta a garantire che CloudFront tratti le richieste provenienti dallo stesso spettatore come una singola sessione. Quando si attiva la persistenza di sessione, CloudFront imposta un cookie in modo che tutte le richieste provenienti dallo stesso spettatore in una singola sessione vengano servite da un'unica distribuzione, quella primaria o quella di staging.

D: Quanto costa questo servizio?

La funzione di implementazione continua è disponibile in tutte le posizioni edge di CloudFront senza costi aggiuntivi.

IPv6

D: Cosa si intende per IPv6?

Ogni server e dispositivo collegato a Internet deve avere un indirizzo numerico di protocollo Internet, o IP (Internet Protocol). Come Internet e il numero di utenti cresce in modo esponenziale, così aumenta la necessità di indirizzi IP. IPv6 è una nuova versione dell'Internet Protocol, che usa uno spazio di indirizzi di dimensioni maggiori rispetto al suo predecessore, IPv4. Con IPv4, ogni indirizzo IP è a 32 bit, consentendo 4,3 miliardi di indirizzi univoci. Un esempio di indirizzo IPv4 è 192.0.2.1. Gli indirizzi IPv6, invece, sono a 128 bit, perciò sono possibili circa 340 trilioni di trilioni di indirizzi IP univoci. Un esempio di indirizzo IPv6 è 2001:0db8:85a3:0:0:8a2e:0370:7334

D: Cosa è possibile fare con IPv6?

Con il supporto di IPv6 per Amazon CloudFront, le applicazioni possono connettersi alle edge location di Amazon CloudFront senza software o sistemi di conversione da IPv6 a IPv4. È possibile soddisfare i requisiti per l'adozione di IPv6 imposti dai governi, tra cui il governo federale degli Stati Uniti, e ottenerne tutti i vantaggi in fatto di estensibilità, semplicità di gestione di rete e supporto integrato aggiuntivo per la sicurezza.

D: Le prestazioni di Amazon CloudFront sono diverse quando si utilizza il protocollo IPv6?

No, le prestazioni di Amazon CloudFront sono identiche qualunque protocollo sia in uso, IPv4 o IPv6.

D: Tutte le caratteristiche di Amazon CloudFront sono compatibili con il protocollo IPv6?

Tutte le caratteristiche esistenti di Amazon CloudFront continueranno a funzionare correttamente con il protocollo IPv6, anche se prima di attivarlo per la distribuzione potresti dover apportare due modifiche all'elaborazione interna dell'indirizzo IPv6.

  1. Se hai attivato i log di accesso di Amazon CloudFront, potrai visualizzare l'indirizzo IPv6 degli utenti nel campo "c-ip" e potresti dover verificare che i sistemi di elaborazione dei log continuino a funzionare per IPv6.
  2. Quando abiliti il protocollo IPv6 per una distribuzione Amazon CloudFront, gli indirizzi IPv6 saranno nell'intestazione ‘X-Forwarded-For' inviata alle origini. Se i sistemi delle origini sono in grado di elaborare esclusivamente indirizzi IPv4, dovrai prima verificare che siano compatibili con il protocollo IPv6.

Inoltre, se usi whitelist di indirizzi IP per Trusted Signer, devi utilizzare una distribuzione solo con IPv4 per URL di Trusted Signer con whitelisting di IP e una distribuzione IPv4/IPv6 per il resto dei contenuti. Questo modello permette di aggirare un problema che potrebbe verificarsi se la richiesta di firma arriva e viene firmata su indirizzo IPv4, ma la richiesta di contenuti arriva su un indirizzo IPv6 differente non incluso nella whitelist.

Per ulteriori informazioni sul supporto di IPv6 in Amazon CloudFront, consulta “Supporto IPv6 su Amazon CloudFront” nella Guida per sviluppatori di Amazon CloudFront.

D: Quindi se desidero utilizzare il protocollo IPv6 non potrò usare gli URL di Trusted Signer con una whitelist di IP?

Se desideri usare IPv6 e gli URL di Trusted Signer con whitelisting di IP devi usare due distribuzioni separate. Una distribuzione deve essere dedicata agli URL Trusted Signer con whitelisting di IP, con protocollo IPv6 disabilitato. Un'altra distribuzione sarà dedicata a tutti gli altri contenuti e sarà compatibile con IPv4 e IPv6.

D: Abilitando il protocollo IPv6, l'indirizzo IPv6 verrà visualizzato nel log di acceso?

Sì, gli indirizzi IPv6 degli utenti saranno visualizzati nel campo "c-ip" dei log di accesso, sempre che la relativa funzione di Amazon CloudFront sia stata abilitata. Potrai verificare che i sistemi di elaborazione di log funzionino correttamente con gli indirizzi IPv6 prima attivare il protocollo IPv6 sulle distribuzioni. Contatta il supporto per sviluppatori se gli strumenti o i software in uso riscontrano problemi di gestione degli indirizzi IPv6 nei log di accesso a causa del traffico IPv6. Per ulteriori informazioni, consulta la documentazione sui log di accesso di Amazon CloudFront.

D: È possibile disabilitare il protocollo IPv6 su tutte le nuove distribuzioni?

Sì, puoi usare l'API o la console di Amazon CloudFront per abilitare e disabilitare il protocollo IPv6 sulle singole distribuzioni, sia nuove sia esistenti.

D: In quali casi potrebbe essere necessario disabilitare il protocollo IPv6?

Nella nostra esperienza, l'unico caso più frequente per cui i clienti disabilitano il protocollo è per l'elaborazione di indirizzi IP interni. Quando il protocollo IPv6 è abilitato nella distribuzione Amazon CloudFront, oltre a ricevere un indirizzo IPv6 nei log di accesso dettagliati, riceverai indirizzi IPv6 nell'intestazione ‘X-Forwarded-For' inviata alle origini. Se i sistemi delle origini sono in grado di elaborare solo indirizzi IPv4, potrebbe essere necessario verificare che continuino con l'elaborazione di indirizzi IPv6 prima di passare interamente a questo protocollo.

D: Ho abilitato il protocollo IPv6 per le mie distribuzioni, ma alcune ricerche DNS non restituiscono alcun indirizzo IPv6. Perché?

Amazon CloudFront dispone di connettività di diverso tipo a seconda dell'area geografica, ma alcune reti non dispongono di una connettività IPv6 diffusa. Anche se nel lungo termine l'IPv6 è di sicuro la soluzione vincente, nel breve termine è l'IPv4 ad essere supportato di sicuro da tutti gli endpoint Internet. Se in alcune aree la connettività IPv4 è migliore, la preferiremo alla connettività IPv6.

D: Se viene utilizzato Route 53 per gestire le esigenze di DNS e si crea un record di alias che indirizza a una distribuzione Amazon CloudFront, è necessario aggiornare i record di alias per abilitare il protocollo IPv6?

Sì, puoi creare record di alias di Route 53 che indirizzano alla distribuzione Amazon CloudFront per supportare sia IPv4 sia IPv6 utilizzando rispettivamente i tipi di record "A" e "AAAA". Se desideri abilitare solo il protocollo IPv4, devi configurare un solo record di alias di tipo "A". Per ulteriori informazioni sui set di record delle risorse di alias, consulta la Guida per sviluppatori di Amazon Route 53.

Fatturazione

D: Quali tipi di utilizzo sono coperti nel Piano gratuito di AWS per Amazon CloudFront?

A partire dall'1 dicembre 2021, tutti i clienti AWS riceveranno 1 TB di trasferimento dati gratuito, 10.000,000 richieste HTTP/HTTPS, più 2.000,000 invocazioni CloudFront Functions al mese gratuite. Tutti gli altri tipi di utilizzo (es. Invalidazioni, richieste proxy, Lambda@edge, Origin shield, Data Transfer to Origin ecc.) sono esclusi dal piano gratuito.

D: Se mi registro per la fatturazione consolidata, posso usufruire di un Piano gratuito di AWS per ogni account?

No, i clienti con fatturazione consolidata che saldano i costi di più account in un'unica fattura avranno accesso a un solo Piano gratuito per ciascuna organizzazione.

D: Cosa succede se utilizzo il servizio in più regioni e supero il piano gratuito?

Il trasferimento dati di 1 TB e i 10 milioni di richieste Get rappresentano i limiti del piano gratuito in tutte le posizioni edge. Se l'utilizzo supera i limiti del piano gratuito mensile, paghi semplicemente le tariffe standard del servizio AWS On-Demand per ogni regione. Per tutti i dettagli sui prezzi, consulta la pagina dei prezzi di AWS CloudFront.

D: Come tengo traccia di quanto ho usato e se ho superato i limiti del piano di utilizzo gratuito?

Tramite l'accesso al tuo account e al pannello di controllo per la Gestione di fatturazione e costi, è possibile visualizzare le attività di utilizzo passate e presenti per regione. Da lì è possibile gestire i costi e l'utilizzo con AWS Budgets, visualizzare i fattori di costo e le tendenze di utilizzo tramite Cost Explorer e approfondire le informazioni relative ai costi con i Report di costi e utilizzo. Per ulteriori informazioni sul controllo dei costi di AWS, guarda il tutorial da 10 minuti Controllo delle tue spese con AWS.

D: Il piano gratuito è disponibile per i clienti abbonati al bundle CloudFront Security Savings?

I clienti abbonati al bundle CloudFront Security Savings beneficeranno anche del piano gratuito. Se hai necessità di ridurre il tuo impegno nei confronti del bundle CloudFront Security Savings per via del piano gratuito, contatta il servizio clienti e valuteremo la tua richiesta di modifiche. Forniremo maggiori dettagli in merito nei prossimi giorni. Rimani in contatto. 

Per ulteriori domande, visita https://aws.amazon.com/free/free-tier-faqs/.

D. Come mi viene addebitato l'utilizzo di Amazon CloudFront?

Le tariffe di Amazon CloudFront si basano sull'utilizzo effettivo del servizio in cinque aree: trasferimento dati in uscita, richieste HTTP/HTTPS, richieste di invalidamento, richieste di registro di log in tempo reale e certificati SSL personalizzati con IP dedicato associati a una distribuzione CloudFront.

Grazie al piano di utilizzo gratuito di AWS, è possibile iniziare a utilizzare Amazon CloudFront gratuitamente e mantenere le tariffe basse aumentando l'utilizzo del servizio. Tutti i clienti CloudFront ricevono 1 TB di trasferimento dati gratuito e 10.000.000 richieste HTTP e HTTPS per Amazon CloudFront gratuite, anche al superamento di questi limiti.

  • Trasferimento dati in uscita a Internet
    Viene fatturato il volume dei dati trasferiti in uscita dalle edge location di Amazon CloudFront, misurati in GB. Consulta le tariffe di trasferimento dei dati verso Internet di Amazon CloudFront in questa pagina. L'utilizzo del trasferimento di dati viene conteggiato separatamente per ciascuna regione geografica, poiché le tariffe in vigore sono variabili. Se vengono utilizzati i servizi AWS come origine dei file, i costi di ognuno dei servizi utilizzati saranno addebitati separatamente, inclusi storage e ore di utilizzo dei servizi di elaborazione. Se viene utilizzata un'origine in AWS (ad es. Amazon S3, Amazon EC2 e così via), a partire dal 1° dicembre 2014 non viene addebitato alcun costo per il trasferimento di dati in uscita verso Amazon CloudFront. Questa novità si applica al trasferimento di dati da tutte le regioni AWS verso tutte le edge location di CloudFront nel mondo.
  • Trasferimento dati in uscita verso l'origine
    Viene fatturato il volume dei dati trasferiti in uscita, misurato in GB, dalle edge location di Amazon CloudFront ai tuoi server di origine (sia di origine AWS sia di altra origine). Puoi consultare qui le tariffe del trasferimento dati verso l'origine per Amazon CloudFront.
  • Richieste HTTP/HTTPS
    Viene fatturato il numero di richieste HTTP/HTTPS fatte ad Amazon CloudFront sui contenuti. Puoi consultare qui le tariffe delle richieste HTTP/HTTPS.
  • Richieste di invalidamento
    Viene fatturato ogni percorso in una richiesta di invalidamento. Un percorso elencato in una richiesta di invalidamento rappresenta l'URL (o gli URL, se il percorso contiene caratteri jolly) degli oggetti che desideri invalidare dalla cache di CloudFront. Non è previsto alcun costo per i primi 1.000 percorsi richiesti ogni mese da Amazon CloudFront. Oltre tale soglia, ogni richiesta di percorso per l'invalidamento verrà addebitata. Puoi consultare qui le tariffe delle richieste di invalidamento.
  • Richieste di registro log in tempo reale
    I registri di log in tempo reale vengono addebitati in base al numero di righe di registro di log generate; il prezzo è di 0,01 USD ogni 1.000.000 righe di registro di log pubblicate da CloudFront sulle destinazioni di registro di log dell'utente.
  • SSL personalizzato con IP dedicato
    Vengono fatturati 600 USD al mese per ogni certificato SSL personalizzato con una o più distribuzioni CloudFront utilizzando la versione IP dedicata del supporto certificato SSL. Questa quota mensile si calcola all'ora. Ad esempio, se si ha un certificato SSL personalizzato associato ad almeno una distribuzione CloudFront solo per 24 ore (ossia 1 giorno) nel mese di giugno, il costo totale per l'utilizzo della funzione Certificato SSL personalizzato per giugno sarà (1 giorno/30 giorni) di * 600 USD = 20 USD. Per utilizzare il supporto di certificati SSL personalizzati con IP dedicato, si deve caricare un certificato SSL e utilizzare la Console di gestione AWS per associarla alle distribuzioni CloudFront. Se devi associare più di due certificati SSL personalizzati a una distribuzione CloudFront, includi i dettagli del tuo caso d'uso e il numero di certificati SSL personalizzati che vuoi utilizzare nel modulo di richiesta di incremento dei limiti di CloudFront.

I piani di utilizzo per il trasferimento dati sono misurati separatamente per ogni regione geografica. Salvo diversa indicazione, i prezzi sopra indicati non includono le tasse, imposte o altri importi statali applicabili, qualora esistenti.

D: I prezzi includono le tasse?

Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Ulteriori informazioni.

Q: Quanto mi costeranno i log in tempo reale?
Se disponi di una distribuzione che serve 1.000 richieste al secondo con una dimensione dei log di 1 KB e crei un Kinesis Data Stream negli Stati Uniti orientali (Ohio) con 2 shard:

costo mensile di Kinesis Data Stream: 47,74 USD/mese come calcolato utilizzando il calcolatore Kinesis qui disponibile.

Costo mensile dei log in tempo reale di CloudFront: richieste al mese X costo dei log in tempo reale = 1.000 * (60 sec * 60 min *24 ore * 30 giorni ) X (0,01 USD/1.000.000) = 25,92 USD/mese

D: Come viene fatturato l'utilizzo di risposte 304?

Una risposta 304 è una risposta a una richiesta GET condizionale e risulta in un addebito della richiesta HTTP/HTTPS e del trasferimento dati in uscita a Internet. Una risposta 304 non contiene un corpo messaggio, tuttavia le intestazioni HTTP consumano della larghezza di banda per la quale vengono addebitate le tariffe standard di trasferimento dati di CloudFront. La quantità di trasferimento dati dipende dalle intestazioni associate all'oggetto.

D: È possibile distribuire contenuti solo dalle regioni Amazon CloudFront meno costose?

Sì, le categorie di prezzo offrono la possibilità di ridurre i prezzi pagati per distribuire contenuti da Amazon CloudFront. Di default, Amazon CloudFront riduce al minimo la latenza dell'utente finale distribuendo i contenuti da tutta la sua rete globale di edge location. Tuttavia, poiché le nostre tariffe sono più elevate dove i costi sono maggiori, l'utente pagherà di più per distribuire i propri contenuti con bassa latenza agli utenti finali in alcune location. Le categorie di prezzo consentono di ridurre i costi di distribuzione escludendo le edge location di Amazon CloudFront più care dalla propria distribuzione Amazon CloudFront. In questi casi, Amazon CloudFront distribuirà i contenuti dalle edge location entro le location incluse nella categoria di prezzo selezionata e verrà fatto pagare il trasferimento dati e i costi delle richieste dalla location attuale in cui sono stati distribuiti i contenuti.

Se per te le prestazioni hanno la massima priorità, non dovrai preoccuparti di niente: i tuoi contenuti saranno distribuiti da tutta la nostra rete di location. Tuttavia, se desideri avvalerti di un'altra categoria di prezzo, puoi configurare la tua distribuzione dalla Console di gestione AWS o attraverso l'API di Amazon CloudFront. Se selezioni una categoria di prezzo che non include tutte le location, alcuni utenti, soprattutto quelli in aree geografiche non incluse nella tua categoria di prezzo, potrebbero avere una latenza più elevata rispetto alla distribuzione dei contenuti da tutte le location di Amazon CloudFront.

Si ricorda che Amazon CloudFront potrebbe comunque servire richieste per i tuoi contenuti da una edge location in una zona non inclusa nella categoria di prezzo selezionata. In questo caso, saranno addebitati solo i costi per la location meno cara nella tua categoria di prezzo.

Puoi consultare qui l'elenco delle location per ogni categoria di prezzo.

CloudFront Security Savings Bundle

D: Cos’è CloudFront Security Savings Bundle?

CloudFront Security Savings Bundle è un piano tariffario self-service flessibile che ti consente di risparmiare fino al 30% delle spese di CloudFront a fronte di un impegno per un importo consistente di utilizzo mensile (ad esempio, 100 USD al mese) per un periodo di un anno.  Come beneficio aggiunto, è incluso l’utilizzo di AWS WAF (Web Application Firewall) senza costi supplementari, fino al 10% dell’importo del piano stabilito, per proteggere le risorse CloudFront.  Ad esempio, un impegno di 100 USD di utilizzo di CloudFront al mese coprirebbe un valore di 142,86 USD di utilizzo di CloudFront, per un risparmio del 30% rispetto alle tariffe standard. Inoltre, fino a 10 USD di utilizzo di AWS WAF sono inclusi per proteggere le risorse CloudFront senza costi aggiuntivi ogni mese (fino al 10% del tuo impegno CloudFront).  I costi standard di CloudFront e AWS WAF si applicano a qualsiasi utilizzo superiore a quello coperto dal tuo impegno di spesa mensile.  Man mano che il tuo utilizzo aumenta, puoi acquistare altri pacchetti di risparmio per ottenere sconti sull'utilizzo incrementale. 

D: Quali tipi di utilizzo sono coperti da CloudFront Security Savings Bundle?

Acquistando un servizio CloudFront Security Savings Bundle, riceverai un risparmio del 30% che apparirà sulla parte relativa al servizio CloudFront della tua fattura mensile e che compenserà qualsiasi tipo di utilizzo di CloudFront fatturato, tra cui il trasferimento di dati in uscita, il trasferimento di dati all'origine, le tariffe delle richieste HTTP/S, le richieste di crittografia a livello di campo, Origin Shield, le invalidazioni, l'IP dedicato SSL personalizzato e le tariffe Lambda@Edge.  Riceverai anche benefici aggiuntivi che copriranno l'utilizzo di AWS WAF associato alle distribuzioni di CloudFront. 

D: Come posso iniziare a utilizzare il servizio CloudFront Security Savings Bundle?
Puoi iniziare a utilizzare il servizio CloudFront Security Savings Bundle visitando la console di CloudFront per ottenere suggerimenti sull’importo dell’impegno in base al tuo utilizzo storico di CloudFront e AWS WAF o inserendo il tuo utilizzo mensile previsto. Otterrai un confronto tra i costi mensili di CloudFront Security Savings Bundle e i costi on-demand e vedrai il risparmio stimato, in questo modo potrai decidere il piano giusto per le tue esigenze.  Una volta eseguita la registrazione a un pacchetto di risparmio, ti verrà addebitata la tariffa mensile e vedrai apparire i crediti che compensano le tue spese di utilizzo di CloudFront e WAF.  I costi standard del servizio si applicano a qualsiasi utilizzo superiore a quello coperto dal tuo impegno di spesa mensile. 

D: Cosa accade quando il mio servizio CloudFront Security Savings Bundle scade dopo il periodo di 1 anno?

Una volta scaduto il periodo del servizio CloudFront Security Savings Bundle, verranno applicati i costi del servizio standard per l’utilizzo di CloudFront e AWS WAF.   L'impegno mensile del pacchetto di risparmio non sarà più fatturato e i vantaggi del pacchetto di risparmio non saranno più applicati.  In qualsiasi momento prima della scadenza del termine del tuo pacchetto, puoi scegliere di rinnovare automaticamente il servizio CloudFront Security Savings Bundle per un altro periodo di 1 anno.

D: Come funziona CloudFront Security Savings Bundle con AWS Organizations/Fatturazione consolidata?

CloudFront Security Savings Bundle può essere acquistato in qualsiasi account all'interno di una famiglia AWS Organization/Fatturazione consolidata.   I benefici di CloudFront Security Savings Bundle vengono applicati come crediti sulla tua fattura. I benefici forniti dal pacchetto di risparmio sono applicabili per impostazione predefinita all'uso su tutti gli account all'interno della famiglia AWS Organization/Fatturazione consolidata (la condivisione dei crediti è attivata) e dipendono da quando l'account sottoscrittore si unisce o lascia un'organizzazione.  Per ulteriori informazioni su come i crediti AWS si applicano ad account singoli e multipli, vedi Crediti AWS.

D: Posso avere più servizi CloudFront Security Savings Bundles attivi contemporaneamente?

Sì, puoi acquistare altri servizi CloudFront Security Savings Bundles man mano che il tuo utilizzo aumenta per ottenere sconti sull'utilizzo incrementale.   Tutti i servizi CloudFront Security Savings Bundles attivi verranno presi in considerazione quando si calcola la tua fattura AWS.

D: Come apparirà sulla mia fattura il servizio CloudFront Security Savings Bundle?

I costi del tuo impegno mensile appariranno in una sezione separata di CloudFront Security Bundle sulla tua fattura.  L'utilizzo coperto da CloudFront Security Savings Bundle apparirà in entrambe le parti CloudFront e WAF della tua fattura, come crediti per compensare le spese di utilizzo standard.  

D: Posso essere avvisato se il mio utilizzo supera il mio impegno mensile per CloudFront Security Savings Bundle?

Sì, AWS Budgets ti consente di impostare soglie di costo e di utilizzo e di ricevere notifiche tramite email o un argomento Amazon SNS quando le tue spese effettive o previste superano la soglia.  Puoi creare un budget AWS filtrato personalizzato per il servizio CloudFront e impostare l'importo della soglia di budget sull'utilizzo on-demand di CloudFront coperto da CloudFront Security Savings Bundle per ricevere una notifica quando questa soglia viene superata.   Per ulteriori informazioni sui budget, vedi le sezioni Managing your costs with AWS Budgets e Creating a budget nel manuale AWS Billing and Cost Management User Guide. 

D: Quale parte della mia fattura WAF è coperta da CloudFront Security Savings Bundle?

Come beneficio aggiuntivo del servizio CloudFront Security Savings Bundle, è incluso l’utilizzo di AWS WAF senza costi supplementari, fino al 10% dell’importo del piano stabilito, per proteggere le risorse CloudFront. I costi standard di CloudFront e AWS WAF si applicano per qualsiasi utilizzo oltre quello coperto dal servizio CloudFront Security Savings Bundle.  Le regole WAF gestite sottoscritte attraverso AWS Marketplace non sono coperte da CloudFront Security Savings Bundle. 

D: Se ho già un contratto di prezzi personalizzato per CloudFront, posso sottoscrivere anche CloudFront Security Savings Bundle?

Puoi sottoscrivere o l’uno o l’altro.  Per eventuali domande sul tuo accordo di prezzi personalizzato, contatta il tuo AWS Account Manager.

D: Posso sottoscrivere un servizio CloudFront Security Savings Bundle tramite API?

Puoi sottoscrivere un servizio CloudFront Security Savings Bundle solo tramite la console di CloudFront.  Valuteremo di rendere disponibile il servizio tramite API come miglioramento futuro. 

Scopri come iniziare a usare gratuitamente Amazon CloudFront

Visita la pagina sulle nozioni di base