了解多租户分配的工作原理 - Amazon CloudFront
工作方式术语不支持的 特征

了解多租户分配的工作原理

可以使用可在多个分配租户之间重用的设置来创建 CloudFront 多租户分配。使用多租户分配,可以让 CloudFront 根据内容源类型为您配置分配设置。有关预配置设置的更多详细信息,请参阅 CloudFront 多租户分配参考

使用多租户分配而不是标准分配的优势包括:

  • 减轻运营负担。

  • 面向 Web 管理员和软件提供商的可重用配置,用于管理向终端用户交付内容的多个 Web 应用程序的 CloudFront 分配。

  • 与其它 AWS 服务 的增强集成,可大规模提供自动证书管理、统一的安全控制和轻松的配置控制。

  • 在实施中保持一致的资源模式。定义必须共享的设置,然后为要覆盖的设置指定自定义项。

  • 可自定义的源和安全设置,以满足分配租户级别的特定需求。

  • 将分配租户组织成不同的层级。例如,如果一些分配租户需要源护盾,而一些分配租户不需要,您可以将分配租户分组为不同的多租户分配。

  • 在多个域间共享通用 DNS 配置。

与标准分配不同,无法直接访问多租户分配,因为它没有 CloudFront 路由端点。因此,它必须与连接组和一个或多个分配租户结合使用。尽管标准分配具有其自己的 CloudFront 端点,并且可以由终端用户直接访问,但它们不能用作其它分配的模板。

有关多租户分配配额的信息,请参阅有关多租户分配的配额

主题

工作方式

标准分配中,分配包含您要为网站或应用程序启用的所有设置,例如源配置、缓存行为和安全设置。如果您想创建一个单独的网站并使用许多相同的设置,则每次都需要创建新的分配。

CloudFront 多租户分配的不同之处在于,您可以创建一个初始多租户分配。对于每个新网站,您都要创建一个分配租户,该租户会自动继承其源分配的已定义值。然后,可以为分配租户自定义特定的设置。

概览

  1. 首先,您需要创建一个多租户分配。CloudFront 根据内容源类型为您配置分配设置。可以为除 VPC 源以外的所有源自定义设置。VPC 源设置是在 VPC 源资源本身上自定义的。有关您可以自定义的多租户分配设置的更多信息,请参阅 CloudFront 多租户分配参考

    • 分配租户可以继承您用于多租户分配的 TLS 证书。多租户分配本身是不可路由的,因此它不会有与之关联的域名。

  2. 默认情况下,CloudFront 会为您创建一个连接组。连接组控制着查看器对内容的请求如何连接到 CloudFront。您可以在连接组中自定义一些路由设置。

    您可以通过手动创建自己的连接组来对此进行更改。有关更多信息,请参阅 创建自定义连接组(可选)

  3. 然后,创建一个或多个分配租户。分配租户是查看器访问您的内容的“前门”。每个分配租户都引用多租户分配,并自动与 CloudFront 为您创建的连接组关联。分配租户支持单独的域或子域。

  4. 然后,您可以自定义一些分配租户设置,例如虚拟域和源路径。有关更多信息,请参阅 分配租户自定义

  5. 最后,您必须更新 DNS 主机中的 DNS 记录,才能将流量路由到分配租户。为此,请从连接组中获取 CloudFront 端点值,然后创建指向 CloudFront 端点的 CNAME 记录。

例 示例

下图演示了多租户分配、分配租户和连接组如何协同工作,来为多个域的查看器提供内容。

  1. 多租户分配定义了每个分配租户的继承设置。可以使用多租户分配作为模板。

  2. 从多租户分配中创建的每个分配租户都有其自己的域。

  3. 分配租户会自动添加到当您创建多租户分配时 CloudFront 为您创建的连接组中。连接组控制着查看器请求如何连接到 CloudFront 网络。

多租户分配如何与分配租户结合使用。

有关创建多租户分配的详细说明,请参阅在控制台中创建 CloudFront 分配

术语

以下概念描述了多租户分配的组件:

多租户分配

一种蓝图、多租户分配,它为任何分配租户指定所有共享配置设置,包括缓存行为、安全保护和源。多租户分配无法直接提供流量。它们必须与连接组和分配租户结合使用。

标准分配

不具有多租户功能的分配。这些分配最适合支持单个网站或应用程序。

分配租户

分配租户继承多租户分配配置。它最多支持五个单独的域或子域。某些配置设置可以在分配租户级别进行自定义。分配租户必须拥有有效的 TLS 证书,只要该证书涵盖分配租户域或子域,就可以从多租户分配中继承该证书。

分配租户必须与连接组关联。当您创建分配租户时,CloudFront 会为您创建一个连接组,并自动将所有分配租户分配给该连接组。

多租户

可以使用多租户分配跨多个域提供内容,同时共享配置和基础设施。这种方法可让不同的域(称为租户)共享多租户分配中的通用设置,同时保持自己的自定义设置。

连接组

提供向查看器提供内容的 CloudFront 路由端点。您必须将每个分配租户与一个连接组关联,才能为您针对分配租户域或子域创建的 CNAME 记录获取相应的 CloudFront 路由端点。连接组可以在多个分配租户间共享。连接组管理分配租户的路由设置,例如 IPv6 和任播 IP 列表设置。

参数

占位符值(例如源路径和域名)的键值对列表。您可以在多租户分配中定义参数,并在分配租户级别为这些参数提供值。您可以选择是否需要为分配租户输入参数值。

如果您没有为分配租户中的某个可选参数提供值,则多租户分配中的默认值将用作该值。

CloudFront 路由端点

连接组的规范 DNS,例如 d123.cloudfront.net。在分配租户域或子域的 CNAME 记录中使用。

自定义项

您可以自定义分配租户,以便它们使用与多租户分配不同的设置。对于每个分配租户,您可以指定不同的 AWS WAF Web 访问控制列表(ACL)、TLS 证书和地理限制。

不支持的 特征

以下功能不能用于多租户分配。如果您想使用与标准分配相同的设置来创建新的多租户分配,请注意某些设置不可用。

备注

  • 目前,AWS Firewall Manager 策略仅适用于标准分配。Firewall Manager 将在未来的版本中增加对多租户分配的支持。

  • 与标准分配不同,您可以在分配租户级别指定域名(别名)。有关更多信息,请参阅为 CloudFront 分配租户申请证书CreateDistributionTenant API 操作。

无法在多租户分配或分配租户中配置以下设置。相反,可以在连接组中设置所需的值。连接组中关联的所有分配租户都将使用这些设置。有关更多信息,请参阅 创建自定义连接组(可选)