AWS CloudFront免费网络加速教程

Amazon CloudFront是AWS推出的内容分发网络（CDN）服务，利用AWS全球骨干网络和边缘站点，能够将Web内容包括图片、视频、API 等以低延迟和高可用性分发至世界各地。本教程主要介绍如何使用AWS CloudFront对网站进行内容分发，实现对静态内容和动态内容的加速，最终降低终端用户访问网站或Web应用的延迟。

本教程以一个动静分离的源站为例，静态资源存储于S3(Amazon S3 是一种对象存储服务,可以存储网站静态资源，CloudFront 可以使用 Amazon S3 存储桶作为源为分发几乎任何类型的文件)，动态资源来自于ALB后端的EC2。

本教程需用到以下AWS产品：

Amazon CloudFront
Amazon S3
Amazon EC2
AWS Certificate Manager
Amazon Route53

点击进入AWS官网免费试用

本次实验架构如下图所示：

Amazon CloudFront网站加速效果示例：

AWS CloudFront的常见术语：

1、Distribution：分配，是AWS CloudFront的基本单元，每个分配有唯一的ID以及CloudFront为其分配的域名（类似abcdefg13456789.cloudfront.net）。

2、Origin：源站，顾名思义，是需要被加速的站点，可以是S3存储桶，可以是ELB/EC2，可以是 Elemental MediaStore/MediaPackage，或者是用户自定义的站点（如第三方IDC中的HTTP Web服务器）。一个分配中可以有多个源站。

3、Behaviors：行为，AWS CloudFront通过路径匹配和优先级决定执行哪一个缓存行为，一个分配中可以有多个行为，并且每个行为对应一个源站。在行为中可以设置缓存TTL时间，允许的HTTP行为（GET，PUT，POST 等）等等。

一、注册AWS账号

1、准备海外区亚马逊云科技账号

如果还没有账户，请先注册账户。注册登录后进入AWS控制台。海外区域业务或个人使用，请注册“海外区账户”。

2、因国内政策要求，未备案域名无法提供网页服务，请准备一个已备案的域名，并准备好域名SSL证书。

3、本教程不对创建源站进行介绍，默认已创建源站或能使用Amazon S3、Elastic Load Balancing等创建源站。

二、创建Amazon S3存储桶作为静态资源源站

1、访问Amazon S3，点击创建存储桶。为存储桶命名（需全局唯一），并选择美国东部（弗吉尼亚北部）us-east-1作为AWS区域。保持其他设置为默认，完成创建。

2、下载示例静态主页文件hello-world-html.zip，解压后上传所有文件至S3存储桶。存储桶中将包含index.html和css文件夹（含style.css文件）。

三、创建Amazon EC2实例作为Web源站

1、访问Amazon EC2管理控制台，确保AWS区域设置为弗吉尼亚北 (us-east-1)，点击启动实例。

2、实例命名为cloudfront-getting-started，选择Amazon Linux 2 AMI作为操作系统。

3、保持默认的t2.micro实例类型，选择现有密钥对或创建新密钥对并下载保存。

4、网络设置保持默认，安全组允许来自互联网的HTTP流量。

5、展开高级详细信息菜单，在用户数据处复制如下代码，该代码将部署一个Node.js应用，会监听针对EC2 80端口的HTTP请求。当收到请求时，该应用会发回一个JSON格式的响应，包含请求中的HTTP Header信息。它也会解析查询字符串的信息，并从Web服务器返回查询数据。请点击启动实例按钮开始创建EC2实例。

#!/bin/bash

yum update -y
curl -sL https://rpm.nodesource.com/setup_14.x | sudo bash -
yum install -y nodejs

npm install pm2@latest -g

npm install express --save

cat <<'EOF' >> app.js
let express = require('express');
let app = express();

app.get('/api', (req, res) => {
console.log(JSON.stringify(req.headers));
let message = {
timestamp: new Date().toISOString(),
headers: req.headers,
};
res.json(message);
});

app.listen(80, () => {
console.log('api is up!');
});
EOF

sudo pm2 start ./app.js 
sudo pm2 startup systemd
sudo pm2 save
systemctl enable --now pm2-root.service

6、等待EC2实例创建成功，可以在浏览器中访问http://{EC2-IP}/api或http://{EC2-DNS-NAME}/api确保Web应用正常工作，将看到类似下图的响应。

四、创建AWS CloudFront分配并添加S3源站

1、进入Amazon CloudFront控制台，点击创建分配按钮。

2、在源设置中，选择步骤1创建的S3存储桶作为源。设置源名为s3-origin-cloudfront-getting-started，并启用来源访问控制。

3、在源设置，来源访问处，选择来源访问控制设置（推荐），点击创建控制设置。

4、保持控制设置的默认设置，点击创建按钮。将看到来源访问控制处的配置已更新。

5、设置缓存行为，查看器 – 查看器协议策略选择Redirect HTTP to HTTPS，保持默认的CachingOptimized缓存策略。

6、不启用Web应用程序防火墙(WAF)，在设置 – 默认根对象中填入index.html。

7、创建AWS CloudFront分配后，更新S3存储桶权限以允许CloudFront分发内容。

8、在存储桶策略处点击编辑。

9、在策略编辑器中粘贴刚刚复制的策略，点击保存更改按钮。该策略将保护存储桶在不被公开访问的情况下由AWS CloudFront安全地分发存储桶内容。

五、为AWS CloudFront分配添加EC2源站

1、在AWS CloudFront分配的源标签页中，创建EC2源，填入EC2公有IPv4地址，协议设为仅HTTP，名称为ec2-origin-cloudfront-getting-started。

2、将看到该AWS CloudFront分配除S3源站外已添加EC2源站。

3、进入CloudFront分配，在行为处，点击创建行为，为EC2源站创建缓存行为。

4、为EC2源站创建缓存行为，路径模式设置为/api，源和源组选择EC2源站，查看器协议策略选择Redirect HTTP to HTTPS。

5、缓存策略选择CachingDisabled，源请求策略选择AllViewer。完成创建后，EC2源站被添加。

6、为了保护EC2源站，使 HTTP 流量仅从AWS CloudFront进入 EC2，接下来将修改 EC2 实例所关联的安全组规则。回到 EC2 控制台，选中 Web 源站 EC2 实例，选中安全标签，点击 EC2 所关联的安全组资源。

7、进入 EC2 安全组的详情页面，点击编辑入站规则按钮。

8、首先删除规则类型为 HTTP，源为 0.0.0.0/0 的入站规则。随后，点击添加规则按钮，添加一条新的入站规则，规则类型为 HTTP，在源处键入 pl-，将在选项框中看到多个 VPC 托管前缀。选中带有 com.amazonaws.global 字段且 pl – 后字符位数较短的托管前缀，点击保存规则。修改完成后的安全组规则如下图所示。