Как CloudFront доставляет трафик на рабочие нагрузки AWS

CloudFront, как глобальная сеть доставки контента, находится за пределами вашей VPC, выступая в качестве точки входа для трафика. Она получает запросы пользователей в пограничных локациях и перенаправляет их к указанному источнику, которым может быть хранилище, балансировщик нагрузки или другая служба AWS. Отделение CloudFront от VPC является намеренным, ориентированным на доставку на границе сети, кэширование и безопасность, оставляя сетевые функции VPC. Общие типы источников включают хранилище объектов, идеально подходящее для статических ресурсов, и балансировщики нагрузки, направляющие трафик к внутренним сервисам. Независимо от источника, CloudFront всегда подключается к промежуточной конечной точке внутри VPC, никогда напрямую к частным инстансам. Трафик входит в VPC через эти конечные точки источника по сети, управляемой AWS. Группы безопасности и маршрутизация приложений контролируют входящий доступ к источнику. Это разделение упрощает масштабирование и безопасность, позволяя CloudFront обрабатывать всплески трафика и применять защиту. CloudFront VPC Origins обеспечивают частное подключение к ресурсам в частных подсетях, улучшая контроль доступа. VPC origins, оставаясь внешними, перенаправляют трафик в частном порядке к ресурсам, предлагая большую гибкость для подключения к внутренним сервисам. Роль CloudFront сосредоточена на доставке на границе сети, полагаясь на определенные пути к источнику в VPC, обеспечивая контролируемые точки входа. Этот подход отдает приоритет упрощенному масштабированию, улучшенной безопасности и последовательному дизайну VPC, предлагая более эффективную архитектуру.