Utilizzo di Origin Shield di Amazon CloudFront - Amazon CloudFront
Casi d'uso per Origin ShieldScegli la Regione AWS per Origin Shield.Abilitazione di Origin ShieldStima dei costi di Origin ShieldAlta disponibilità di Origin Shield.Modalità di interazione di Origin Shield con altre funzioni CloudFront

Utilizzo di Origin Shield di Amazon CloudFront

CloudFront Origin Shield è un livello aggiuntivo nell'infrastruttura di caching di CloudFront che aiuta a ridurre al minimo il carico dell'origine, a migliorarne la disponibilità e a ridurre i costi operativi. Con CloudFront Origin Shield ottieni i seguenti vantaggi:

Miglior rapporto di occorrenza nella cache

Origin Shield può aiutare a migliorare il tasso di occorrenza nella cache della tua distribuzione CloudFront perché fornisce un ulteriore livello di memorizzazione nella cache davanti alla tua origine. Quando usi Origin Shield, tutte le richieste da tutti i livelli di memorizzazione nella cache di CloudFront all'origine passano attraverso Origin Shield, aumentando la probabilità di un occorrenza nella cache. CloudFront può recuperare ogni oggetto con una singola richiesta origine da Origin Shield all’origine e tutti gli altri livelli della cache CloudFront (edge location e cache edge regionali) possono recuperare l'oggetto da Origin Shield.

Carico di origine ridotto

Origin Shield può ridurre ulteriormente il numero di richieste simultanee inviate all'origine per lo stesso oggetto. Le richieste di contenuto che non si trova nella cache dello scudo di origine vengono consolidate con altre richieste per lo stesso oggetto, con il risultato che solo una richiesta va alla tua origine. La gestione di un minor numero di richieste all'origine può preservare la disponibilità dell'origine durante i picchi di carico o picchi di traffico imprevisti e ridurre i costi relativi a pacchetti just-in-time, trasformazioni di immagini e trasferimento dati (DTO).

Migliori prestazioni di rete

Quando si abilita lo scudo di origine nella regione AWS con la latenza più bassa rispetto all'origine, è possibile ottenere prestazioni di rete migliori. Per le origini in una regione AWS, il traffico di rete CloudFront rimane sulla rete CloudFront a velocità effettiva elevata fino all'origine. Per le origini al di fuori di AWS, il traffico di rete di CloudFront rimane sulla rete CloudFront fino a Origin Shield, che dispone di una connessione a bassa latenza con l'origine.

Incorrono costi aggiuntivi per l'utilizzo di Origin Shield. Per ulteriori informazioni, consulta Prezzi di CloudFront.

Nota

Origin Shield non è supportato con le richieste gRPC. Se Origin Shield è abilitato in una distribuzione che supporta gRPC, le richieste gRPC continueranno a funzionare. Tuttavia, le richieste saranno inoltrate direttamente all’origine gRPC senza passare attraverso Origin Shield. Per ulteriori informazioni, consulta Utilizzo di gRPC con le distribuzioni CloudFront.

Casi d'uso per Origin Shield

CloudFront Origin Shield può essere utile per molti casi d'uso, tra cui i seguenti:

  • Visualizzatori che sono distribuiti in diverse regioni geografiche

  • Origini che forniscono pacchetti just-in-time per lo streaming live o l'elaborazione immediata delle immagini.

  • Origini locali con vincoli di capacità o larghezza di banda

  • Carichi di lavoro che utilizzano più reti per la distribuzione di contenuti (CDN)

Origin Shield potrebbe non essere adatto in altri casi, ad esempio un contenuto dinamico che viene inoltrato tramite proxy all'origine, un contenuto con scarsa memorizzazione nella cache o un contenuto richiesto raramente.

Le sezioni seguenti illustrano i vantaggi di Origin Shield per i seguenti casi d'uso.

Visualizzatori in diverse regioni geografiche

Con Amazon CloudFront, ottieni intrinsecamente un carico ridotto sulla tua origine perché le richieste che CloudFront può servire dalla cache non vanno alla tua origine. Oltre alla rete globale di edge location CloudFront, le cache edge regionali fungono da layer di caching intermedio per fornire accessi alla cache e consolidare le richieste di origine per i visualizzatori nelle regioni geografiche vicine. Le richieste del visualizzatore vengono instradate prima a una edge location CloudFront vicina e, se l'oggetto non è memorizzato nella cache in tale posizione, la richiesta viene inviata a una cache edge regionale.

Quando i visualizzatori si trovano in regioni geografiche diverse, le richieste possono essere instradate attraverso cache edge diverse, ognuna delle quali può inviare una richiesta all'origine per lo stesso contenuto. Ma con Origin Shield, ottieni un ulteriore livello di memorizzazione nella cache tra le cache edge regionali e la tua origine. Tutte le richieste provenienti da tutte le cache edge regionali passano attraverso Origin Shield, riducendo ulteriormente il carico sulla tua origine. I seguenti diagrammi illustrano tutto questo. Nei seguenti diagrammi, l'origine è AWS Elemental MediaPackage.

Senza Origin Shield

Senza Origin Shield, l'origine potrebbe ricevere richieste duplicate per lo stesso contenuto, come illustrato nel diagramma seguente.

Senza CloudFront Origin Shield, l'origine potrebbe ricevere richieste duplicate.

Con Origin Shield

L'utilizzo di Origin Shield consente di ridurre il carico sull'origine, come illustrato nel diagramma seguente.

Con CloudFront Origin Shield, l'origine può ricevere meno richieste duplicate.

CDN multipli

Per servire eventi video in diretta o contenuti su richiesta più diffusi, è possibile utilizzare più reti CDN (Content Delivery Network). L'utilizzo di più CDN può offrire alcuni vantaggi, ma significa anche che l'origine potrebbe ricevere molte richieste duplicate per lo stesso contenuto, ognuna proveniente da CDN diversi o posizioni diverse all'interno della stessa rete CDN. Queste richieste ridondanti potrebbero influire negativamente sulla disponibilità dell'origine o causare costi operativi aggiuntivi per processi come i pacchetti just-in-time o il trasferimento dei dati (DTO) su Internet.

Quando si combina Origin Shield con l'utilizzo della distribuzione CloudFront come origine per altri CDN, è possibile ottenere i seguenti vantaggi:

  • Meno richieste ridondanti ricevute all'origine, riducendo così gli effetti negativi dell'utilizzo di più CDN.

  • Una chiave cache comune tra i CDN e gestione centralizzata per le funzionalità di origine.

  • Prestazioni di rete migliorate. Il traffico di rete proveniente da altri CDN viene terminato in una edge location CloudFront vicina, che potrebbe fornire un risultato dalla cache locale. Se l'oggetto richiesto non si trova nella cache della edge location, la richiesta all'origine rimane sulla rete CloudFront fino a Origin Shield, che fornisce un throughput elevato e una bassa latenza all'origine. Se l'oggetto richiesto si trova nella cache dello scudo di origine, la richiesta all'origine viene evitata completamente.

Importante

Se si desidera utilizzare Origin Shield in un'architettura multi-CDN e si hanno dei prezzi scontati, si prega di contattarci o di contattare AWS il proprio rappresentante di vendita per ulteriori informazioni. Potrebbero essere applicati costi aggiuntivi.

I diagrammi seguenti mostrano come questa configurazione può contribuire a ridurre al minimo il carico sull'origine quando si servono eventi video live popolari con più CDN. Nei seguenti diagrammi, l'origine è AWS Elemental MediaPackage.

Senza Origin Shield (più CDN)

Senza Origin Shield, l'origine potrebbe ricevere molte richieste duplicate per lo stesso contenuto, ognuna proveniente da un CDN diverso, come mostrato nel diagramma seguente.

Grafico che mostra come un’origine può ricevere richieste duplicate, ciascuna proveniente da un CDN diverso.

Con Origin Shield (più CDN)

L'utilizzo di Origin Shield, con CloudFront come origine per gli altri CDN, consente di ridurre il carico sull'origine, come illustrato nel diagramma seguente.

Grafico che mostra Origin Shield di CloudFront ricevere un numero inferiore di richieste duplicate.

Scegli la Regione AWS per Origin Shield.

Amazon CloudFront offre Origin Shield nelle regioni AWS dove CloudFront ha una cache edge regionale. Quando si abilita Origin Shield, scegliere la regione per AWS Origin Shield. Si consiglia vivamente di scegliere la regione AWS che ha la latenza più bassa rispetto alla propria origine. È possibile utilizzare Origin Shield con origini che si trovano in una regione AWS e con origini non presenti in AWS.

Per le origini in una regione AWS

Se l’origine si trova in una regione AWS, prima di tutto determinare se l’origine si trova in una regione in cui CloudFront offre Origin Shield. CloudFront offre Origin Shield nelle seguenti regioni AWS.

  • Stati Uniti orientali (Ohio) – us-east-2

  • Stati Uniti orientali (Virginia settentrionale) – us-east-1

  • Stati Uniti occidentali (Oregon) – us-west-2

  • Asia Pacific (Mumbai) – ap-south-1

  • Asia Pacific (Seoul) – ap-northeast-2

  • Asia Pacifico (Singapore) – ap-southeast-1

  • Asia Pacifico (Sydney) – ap-southeast-2

  • Asia Pacifico (Tokyo) – ap-northeast-1

  • Europe (Frankfurt) – eu-central-1

  • Europa (Irlanda) – eu-west-1

  • Europe (London) – eu-west-2

  • Sud America (San Paolo) – sa-east-1

  • Medio Oriente (Emirati Arabi Uniti): | | ) – me-central-1

Se l’origine si trova in una regione AWS in cui CloudFront offre Origin Shield

Se l’origine si trova in una regione in AWS cui CloudFront offre Origin Shield (vedere l'elenco precedente), abilitare Origin Shield nella stessa regione della propria origine.

Se l’origine non si trova in una regione AWS in cui CloudFront offre Origin Shield

Se l’origine non si trova in una regione AWS in cui CloudFront offre Origin Shield, consultare la seguente tabella per determinare in quale regione abilitare Origin Shield.

Se l'origine è in ...

Attivare Origin Shield in ...

Stati Uniti occidentali (California settentrionale) – us-west-1

Stati Uniti occidentali (Oregon) – us-west-2

Africa (Città del Capo) – af-south-1

Europa (Irlanda) – eu-west-1

Asia Pacific (Hong Kong) – ap-east-1

Asia Pacifico (Singapore) – ap-southeast-1

Canada (Central) – ca-central-1

Stati Uniti orientali (Virginia settentrionale) – us-east-1

Europe (Milan) – eu-south-1

Europe (Francoforte) – eu-central-1

Europe (Paris) – eu-west-3

Europe (Londra) – eu-west-2

Europe (Stockholm) – eu-north-1

Europe (Londra) – eu-west-2

Middle East (Bahrain) – me-south-1

Asia Pacifico (Mumbai) – ap-south-1

Per origini al di fuori di AWS

È possibile utilizzare Origin Shield con un'origine locale o non presente in una regione AWS. In questo caso, abilitare Origin Shield nella regione AWS che ha la latenza più bassa rispetto alla propria origine. Se non si è certi di quale regione AWS abbia la latenza più bassa all'origine, è possibile utilizzare i seguenti suggerimenti per prendere una decisione.

  • È possibile consultare la tabella precedente per un'approssimazione circa quale regione AWS potrebbe avere la latenza più bassa rispetto alla propria origine, in base alla posizione geografica dell'origine.

  • È possibile avviare istanze Amazon EC2 in alcune regioni AWS diverse geograficamente vicine alla propria origine ed eseguire alcuni test utilizzando ping per misurare le latenze di rete tipiche tra tali regioni e la propria origine.

Abilitazione di Origin Shield

Origin Shield può essere abilitato per migliorare il tasso di occorrenza nella cache, ridurre il carico sull'origine e migliorare le prestazioni. Per abilitare Origin Shield, modificare le impostazioni di origine in una distribuzione CloudFront. Origin Shield è una proprietà dell'origine. Per ogni origine nelle distribuzioni CloudFront, è possibile abilitare Origin Shield separatamente nella regione AWS che fornisce le migliori prestazioni per quella origine.

Puoi abilitare Origin Shield nella console CloudFront, con CloudFormation o con l'API CloudFront.

Console
Per abilitare Origin Shield per un'origine esistente (console)

  1. Accedi alla Console di gestione AWS e apri la console CloudFront all'indirizzo https://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegliere la distribuzione con l'origine che si desidera aggiornare.

  3. Seleziona la scheda Origins (Origini).

  4. Scegliere l'origine da aggiornare, quindi scegliere Edit (Modifica).

  5. Per Enable Origin Shield (Abilita scudo di origine), scegliere Yes (Sì).

  6. Per Origin Shield Region (Regione scudo di origine), scegliere la regione AWS in cui si desidera abilitare lo scudo di origine. Per informazioni sulla scelta di una regione, vedere Scegli la Regione AWS per Origin Shield..

  7. Scegli Save changes (Salva modifiche).

Quando lo stato di distribuzione è Deployed (Distribuito), Origin Shield è pronto. Ci vogliono pochi minuti.

Per abilitare Origin Shield per una nuova origine (console)

  1. Accedi alla Console di gestione AWS e apri la console CloudFront all'indirizzo https://console.aws.amazon.com/cloudfront/v4/home.

  2. Per creare la nuova origine in una distribuzione esistente, effettuare le seguenti operazioni:

    1. Scegliere la distribuzione in cui si desidera creare l'origine.

    2. Scegliere Create Origin (Crea origine), quindi procedere al passaggio 3.

    Per creare la nuova origine in una nuova distribuzione, effettua le seguenti operazioni:

    1. Segui le fasi per creare una distribuzione standard nella console. Per ulteriori informazioni, consulta Creazione di una distribuzione CloudFront nella console.

    2. Nella sezione Impostazioni, seleziona Personalizza impostazioni origine. Continuare con la fase 3.

  3. Per Enable Origin Shield (Abilita scudo di origine), scegliere Yes (Sì).

  4. Per Origin Shield Region (Regione scudo di origine), scegliere la regione AWS in cui si desidera abilitare lo scudo di origine. Per informazioni sulla scelta di una regione, vedere Scegli la Regione AWS per Origin Shield..

  5. Segui le fasi indicate nella console per completare la creazione dell’origine o della distribuzione.

Quando lo stato di distribuzione è Deployed (Distribuito), Origin Shield è pronto. Ci vogliono pochi minuti.

CloudFormation

Per abilitare Origin Shield mediante CloudFormation , utilizzare la proprietà OriginShield nel tipo di Origin proprietà in AWS::CloudFront::Distribution una risorsa . È possibile aggiungere la proprietà OriginShield a una Origin esistente, o includerla quando si crea una nuova Origin.

Nell'esempio seguente viene illustrata la sintassi, in formato YAML, per l'abilitazione di OriginShield nella regione US West (Oregon) (us-west-2). Per informazioni sulla scelta di una regione, vedere Scegli la Regione AWS per Origin Shield.. In questo esempio viene visualizzato solo il tipo di proprietà Origin e non l'intera risorsa AWS::CloudFront::Distribution.

Origins:
- DomainName: 3ae97e9482b0d011.mediapackage.us-west-2.amazonaws.com
  Id: Example-EMP-3ae97e9482b0d011
  OriginShield:
    Enabled: true
    OriginShieldRegion: us-west-2
  CustomOriginConfig:
    OriginProtocolPolicy: match-viewer
    OriginSSLProtocols: TLSv1

Per ulteriori informazioni, consulta AWS::CloudFront::Distribution Origin nella sezione di riferimento a risorse e proprietà della Guida per l’utente di AWS CloudFormation.

API

Per abilitare Origin Shield con l'API CloudFront utilizzando gli SDK AWS o AWS Command Line Interface (AWS CLI), utilizzare il tipo OriginShield. È possibile specificare OriginShield in un Origin, in un oggetto DistributionConfig. Per informazioni sul OriginShield tipo, consulta le seguenti informazioni nella Guida di riferimento dell’API Amazon CloudFront.

La sintassi specifica per l'utilizzo di questi tipi e operazioni varia in base al client SDK, CLI o API. Per ulteriori informazioni, vedere la documentazione di riferimento per SDK, CLI o client.

Stima dei costi di Origin Shield

I costi di Origin Shield vengono addebitati in base al numero di richieste che vanno allo scudo di origine come livello incrementale.

Per le richieste dinamiche (non memorizzabili nella cache) che vengono inoltrate tramite proxy all'origine, Origin Shield è sempre un livello incrementale. Le richieste dinamiche utilizzano i metodi HTTP PUT, POST, PATCH e DELETE.

Le richieste GET e HEAD con un’impostazione TTL (time to live) inferiore a 3600 secondi sono considerate richieste dinamiche. Inoltre, anche le richieste GET e HEAD che hanno disabilitato la cache sono considerate richieste dinamiche.

Per stimare gli addebiti relativi a Origin Shield per le richieste dinamiche, usa la seguente formula:

Numero totale di richieste dinamiche x addebito Origin Shield per 10.000 richieste / 10.000

Per le richieste non dinamiche con i metodi HTTP GET, HEAD e OPTIONS, Origin Shield è talvolta un livello incrementale. Quando si abilita Origin Shield, si sceglie la Regione AWS per Origin Shield. Per le richieste che vengono indirizzate naturalmente alla cache edge regionale nella stessa Regione di Origin Shield, Origin Shield non costituisce un livello incrementale. Per queste richieste non si accumulano addebiti per Origin Shield. Per le richieste che vengono indirizzate a una cache edge regionale in una Regione diversa da Origin Shield e quindi a Origin Shield, Origin Shield costituisce un livello incrementale. Per queste richieste si accumulano addebiti per Origin Shield.

Per stimare gli addebiti relativi a Origin Shield per le richieste dinamiche, usare la seguente formula:

Numero totale di richieste memorizzabili nella cache x (1 - tasso di occorrenza nella cache) x percentuale di richieste che vanno a Origin Shield da una cache edge regionale in una regione diversa x addebito dello scudo di origine per 10.000 richieste / 10.000

Per ulteriori informazioni sull'addebito per 10.000 richieste per Origin Shield, vederePrezzi di CloudFront.

Alta disponibilità di Origin Shield.

Origin Shield sfrutta la funzionalità cache edge regionale di CloudFront. Ognuna di queste cache edge è costruita in una regione AWS utilizzando almeno tre zone di disponibilità con parchi di istanze di dimensionamento automatico Amazon EC2. Le connessioni da posizioni CloudFront a Origin Shield utilizzano inoltre il rilevamento degli errori attivo per ogni richiesta per instradare automaticamente la richiesta a una posizione secondaria di Origin Shield se la posizione principale non è disponibile.

Modalità di interazione di Origin Shield con altre funzioni CloudFront

Le sezioni seguenti spiegano il modo in cui Origin Shield interagisce con altre funzioni CloudFront.

Origin Shield e registri di CloudFront

Per vedere quando Origin Shield ha gestito una richiesta, è necessario abilitare una delle seguenti opzioni:

I risultati della cache da Origin Shield vengono visualizzati come OriginShieldHit nel campo x-edge-detailed-result-type nei registri CloudFront. Origin Shield sfrutta le cache edge regionali di Amazon CloudFront. Se una richiesta viene instradata da una edge location CloudFront alla cache edge regionale che agisce come Origin Shield, questa viene segnalata come Hit nei registri e non come OriginShieldHit.

Origin Shield e gruppi di origine

Origin Shield è compatibile con i gruppi di origine CloudFront. Poiché Origin Shield è una proprietà dell'origine, le richieste viaggiano sempre attraverso Origin Shield per ogni origine anche quando l'origine fa parte di un gruppo di origine. Per una determinata richiesta, CloudFront indirizza la richiesta all'origine primaria nel gruppo di origine attraverso Origin Shield dell'origine primaria. Se la richiesta ha esito negativo (in base ai criteri di failover del gruppo di origine), CloudFront instrada la richiesta all'origine secondaria attraverso Origin Shield dell'origine secondaria.

Origin Shield e Lambda@Edge

Origin Shield non influisce sulla funzionalità delle funzioni Lambda@Edgema può influire sulla AWS regione in cui vengono eseguite tali funzioni.

Quando si utilizza Origin Shield con Lambda@Edge, i trigger rivolti all'origine (richiesta origine e risposta all'origine) vengono eseguiti nella regione AWS in cui è attivato Origin Shield. Se la posizione primaria di Origin Shield non è disponibile e CloudFront instrada le richieste a una posizione secondaria di Origin Shield, anche i trigger Lambda@Edge rivolti all’origine passeranno a utilizzare la posizione secondaria di Origin Shield.

I trigger rivolti al visualizzatore non sono interessati.