了解多租户分配的工作原理 - Amazon CloudFront
工作原理术语不支持的功能

了解多租户分配的工作原理

可以使用可在多个分配租户之间重用的设置来创建 CloudFront 多租户分配。使用多租户分配,可以让 CloudFront 根据内容源类型为您配置分配设置。有关预配置设置的更多详细信息,请参阅 预配置的分配设置参考

使用多租户分配而不是标准分配的优势包括:

  • 减轻运营负担。

  • 面向 Web 管理员和软件提供商的可重用配置,用于管理向终端用户交付内容的多个 Web 应用程序的 CloudFront 分配。

  • 与其它 AWS 服务的增强集成,可大规模提供自动证书管理、统一的安全控制和轻松的配置控制。

  • 在实施中保持一致的资源模式。定义必须共享的设置,然后为要覆盖的设置指定自定义项。

  • 可自定义的源和安全设置,以满足分配租户级别的特定需求。

  • 将分配租户组织成不同的层级。例如,如果一些分配租户需要源护盾,而一些分配租户不需要,您可以将分配租户分组为不同的多租户分配。

  • 在多个域间共享通用 DNS 配置。

与标准分配不同,无法直接访问多租户分配,因为它没有 CloudFront 路由端点。因此,它必须与连接组和一个或多个分配租户结合使用。尽管标准分配具有其自己的 CloudFront 端点,并且可以由终端用户直接访问,但它们不能用作其它分配的模板。

有关多租户分配配额的信息,请参阅有关多租户分配的配额

主题

工作原理

标准分配中,分配包含您要为网站或应用程序启用的所有设置,例如源配置、缓存行为和安全设置。如果您想创建一个单独的网站并使用许多相同的设置,则每次都需要创建新的分配。

CloudFront 多租户分配的不同之处在于,您可以创建一个初始多租户分配。对于每个新网站,您都要创建一个分配租户,该租户会自动继承其源分配的已定义值。然后,可以为分配租户自定义特定的设置。

概述

  1. 首先,您需要创建一个多租户分配。CloudFront 根据内容源类型为您配置分配设置。可以为除 VPC 源以外的所有源自定义设置。VPC 源设置是在 VPC 源资源本身上自定义的。有关您可以自定义的多租户分配设置的更多信息,请参阅 预配置的分配设置参考

    • 分配租户可以继承您用于多租户分配的 TLS 证书。多租户分配本身是不可路由的,因此它不会有与之关联的域名。

  2. 默认情况下,CloudFront 会为您创建一个连接组。连接组控制着查看器对内容的请求如何连接到 CloudFront。您可以在连接组中自定义一些路由设置。

    您可以通过手动创建自己的连接组来对此进行更改。有关更多信息,请参阅 创建自定义连接组(可选)

  3. 然后,创建一个或多个分配租户。分配租户是查看器访问您的内容的“前门”。每个分配租户都引用多租户分配,并自动与 CloudFront 为您创建的连接组关联。分配租户支持单独的域或子域。

  4. 然后,您可以自定义一些分配租户设置,例如虚拟域和源路径。有关更多信息,请参阅 分配租户自定义

  5. 最后,您必须更新 DNS 主机中的 DNS 记录,才能将流量路由到分配租户。为此,请从连接组中获取 CloudFront 端点值,然后创建指向 CloudFront 端点的 CNAME 记录。

例示例

下图演示了多租户分配、分配租户和连接组如何协同工作,来为多个域的查看器提供内容。

  1. 多租户分配定义了每个分配租户的继承设置。可以使用多租户分配作为模板。

  2. 从多租户分配中创建的每个分配租户都有其自己的域。

  3. 分配租户会自动添加到当您创建多租户分配时 CloudFront 为您创建的连接组中。连接组控制着查看器请求如何连接到 CloudFront 网络。

多租户分配如何与分配租户结合使用。

有关创建多租户分配的详细说明,请参阅在控制台中创建 CloudFront 分配

术语

以下概念描述了多租户分配的组件:

多租户分配

一种蓝图、多租户分配,它为任何分配租户指定所有共享配置设置,包括缓存行为、安全保护和源。多租户分配无法直接提供流量。它们必须与连接组和分配租户结合使用。

标准分配

不具有多租户功能的分配。这些分配最适合支持单个网站或应用程序。

分配租户

分配租户继承多租户分配配置。某些配置设置可以在分配租户级别进行自定义。分配租户必须拥有有效的 TLS 证书,只要该证书涵盖分配租户域或子域,就可以从多租户分配中继承该证书。

分配租户必须与连接组关联。当您创建分配租户时,CloudFront 会为您创建一个连接组,并自动将所有分配租户分配给该连接组。

多租户

可以使用多租户分配跨多个域提供内容,同时共享配置和基础设施。这种方法可让不同的域(称为租户)共享多租户分配中的通用设置,同时保持自己的自定义设置。

连接组

提供向查看器提供内容的 CloudFront 路由端点。您必须将每个分配租户与一个连接组关联,才能为您针对分配租户域或子域创建的 CNAME 记录获取相应的 CloudFront 路由端点。连接组可以在多个分配租户间共享。连接组管理分配租户的路由设置,例如 IPv6 和任播 IP 列表设置。

参数

占位符值(例如源路径和域名)的键值对列表。您可以在多租户分配中定义参数,并在分配租户级别为这些参数提供值。您可以选择是否需要为分配租户输入参数值。

如果您没有为分配租户中的某个可选参数提供值,则多租户分配中的默认值将用作该值。

CloudFront 路由端点

连接组的规范 DNS,例如 d123.cloudfront.net。在分配租户域或子域的 CNAME 记录中使用。

自定义内容

您可以自定义分配租户,以便它们使用与多租户分配不同的设置。对于每个分配租户,您可以指定不同的 AWS WAF Web 访问控制列表(ACL)、TLS 证书和地理限制。

不支持的功能

以下功能不能用于多租户分配。如果您想使用与标准分配相同的设置来创建新的多租户分配,请注意某些设置不可用。

备注

  • 目前,AWS Firewall Manager 策略仅适用于标准分配。Firewall Manager 将在未来的版本中增加对多租户分配的支持。

  • 与标准分配不同,您可以在分配租户级别指定域名(别名)。有关更多信息,请参阅为 CloudFront 分配租户申请证书CreateDistributionTenant API 操作。

无法在多租户分配或分配租户中配置以下设置。相反,可以在连接组中设置所需的值。连接组中关联的所有分配租户都将使用这些设置。有关更多信息,请参阅 创建自定义连接组(可选)