У цьому блозі ми розглянемо, як налаштувати маршрутизацію CloudFront для створення безпечної, швидкої та ефективної мережі доставки контенту (CDN). CloudFront — це CDN-сервіс Amazon, який безшовно працює з іншими сервісами AWS, включаючи S3 (Simple Storage Service), для доставки контенту вашого вебсайту з низькою затримкою та високою доступністю.

Крок 1: Налаштування S3 Бакета

Перший крок — створити S3 бакет, де будуть зберігатися файли вашого вебсайту (наприклад, index.html та зображення).

Чому створювати S3 бакет?
S3 служить як джерело, з якого CloudFront завантажує ваш контент. Він забезпечує надійне зберігання ваших файлів і легкий доступ для CloudFront.

Кроки:

• Увійдіть в AWS Management Console.
• Перейдіть до S3 service та створіть новий бакет.
• Завантажте ваші файли index.html та зображення до цього бакету.
• Переконайтеся, що дозволи бакету дозволяють доступ до файлів для CloudFront.

Крок 2: Створення CloudFront Distribution

CloudFront distribution з'єднує ваш S3 бакет (джерело) з точками присутності на периферії, доставляючи контент до користувачів ближче до їх географічного розташування.

Чому використовувати CloudFront Distribution?
Це прискорює доставку контенту, знижує навантаження на сервер і покращує безпеку за допомогою HTTPS.

Кроки:

• Перейдіть до CloudFront в AWS Management Console.
• Натисніть Create Distribution і виберіть веб-розподіл.
• Origin Domain Name: Додайте доменне ім’я вашого S3 бакету.
• Caching Behavior: Для початку встановіть значення за замовчуванням.
• Увімкніть HTTP to HTTPS redirection для забезпечення безпечного зв'язку.

Крок 3: Додавання налаштованого SSL сертифікату

Налаштований SSL сертифікат гарантує, що ваш вебсайт обслуговується через HTTPS.

Чому додавати сертифікат?
HTTPS шифрує дані між користувачами та вашим CDN, підвищуючи безпеку та довіру.

Кроки:

• Перейдіть до Certificate Manager в AWS і натисніть Request a Certificate.
• Додайте доменне ім’я (наприклад, example.com) як домен для сертифіката.
• Validation Method: Виберіть DNS валідацію.
• Key Algorithm: Використовуйте RSA (найбільш підтримуваний).
• Запросіть сертифікат, потім пройдіть валідацію:
• Натисніть View Certificate і слідуйте інструкціям для створення DNS записів для валідації у реєстраторі вашого домену.
• Після валідації сертифікат стане доступним для CloudFront.

Крок 4: Налаштування параметрів CloudFront

Після створення SSL сертифікату ви завершите налаштування вашого CloudFront distribution.

Чому налаштовувати ці параметри?
Ці налаштування забезпечують правильне обслуговування файлів, використання HTTPS і оптимізовану продуктивність.

Кроки:

• Додайте Alternate Domain Name (наприклад, example.com).
• Виберіть ваш налаштований SSL сертифікат.
• Увімкніть HTTP/2 для швидшої комунікації.
• Встановіть Default Root Object на index.html, щоб CDN знав, який файл показувати першим.
• Натисніть Create Distribution.

Крок 5: Налаштування Route 53

Останній крок — налаштувати маршрутизацію вашого доменного імені до CloudFront distribution за допомогою AWS Route 53.

Чому використовувати Route 53?
Він спрощує управління доменами і добре інтегрується з CloudFront для безшовної маршрутизації.

Кроки:

• Перейдіть до Route 53 > Hosted Zones.
• Виберіть хостинг-зону вашого домену і редагуйте запис.
• Для Record Name використовуйте альтернативне доменне ім’я, яке ви налаштували раніше.
• Встановіть Route Traffic To як Alias to CloudFront Distribution.
• Виберіть створену вами CloudFront distribution.
• Збережіть зміни.

Поради та рекомендації:

• Використовуйте Edge Locations: CloudFront автоматично кешує контент у точках присутності по всьому світу.
  Це означає, що користувачі, які отримують доступ до вашого вебсайту, мають мінімальну затримку.
• Автоматизація валідації DNS: Використовуйте інструменти автоматизації, такі як AWS CLI або Terraform, щоб спростити валідацію DNS для SSL сертифікатів.
• Увімкнення журналювання: Використовуйте можливості журналювання CloudFront для моніторингу трафіку та оптимізації доставки контенту.
• Default Root Object: Завжди встановлюйте це значення на index.html (або ваш основний файл), щоб уникнути помилок 403, коли користувачі відвідують ваш домен безпосередньо.
• Стратегія кешування: Досліджуйте спеціальні стратегії кешування для певних типів файлів (наприклад, зображень порівняно з HTML файлами), щоб покращити продуктивність.

Дотримуючись цих кроків, ви створите безпечне, ефективне і швидке налаштування CloudFront, яке перенаправляє трафік до вашого S3 бакету. Якщо все налаштовано правильно, це забезпечить доступність, безпеку та оптимізовану продуктивність вашого вебсайту.

Розширення CloudFront та введення в AWS CloudFormation

У цій частині ми продовжимо налаштування нашої інфраструктури, використовуючи Route 53 для створення нового запису піддомену для нашого CloudFront distribution. Потім ми зануримось в AWS CloudFormation, важливий інструмент для автоматизації та керування інфраструктурою як кодом (IaC).

Додавання піддомену в Route 53

Кроки для створення нового запису:

Перейдіть в Route 53:
Відкрийте AWS Management Console і перейдіть до Route 53.

Створення нового запису:

• Record Name: Введіть бажане ім’я піддомену (наприклад, cdn.example.com).
• Route Traffic To: Виберіть “Alias to CloudFront Distribution” і виберіть вашу distribution.

Чому створювати піддомен?
Піддомени допомагають організовувати та сегментувати ваші веб-ресурси. Наприклад, ви можете обслуговувати статичні активи (наприклад, зображення, JavaScript файли) через піддомен, як cdn.example.com.

Перевірка:
Після налаштування запису відкрийте браузер і відвідайте ваш піддомен (наприклад, cdn.example.com). Ви повинні побачити ваш вебсайт або контент, що обслуговується через CloudFront.

Перевірка статистики кешування:

Якщо ви хочете моніторити продуктивність кешу:

• Перейдіть до CloudFront > Cache Statistics в AWS Management Console.
• Аналізуйте метрики, такі як коефіцієнт попадань та затримка для оптимізації продуктивності.

Введення в AWS CloudFormation

Що таке CloudFormation?

CloudFormation — це сервіс AWS, який дозволяє вам визначати вашу інфраструктуру за допомогою коду, в форматі YAML або JSON. Ви можете створювати шаблони для автоматичного створення, зміни та видалення ресурсів AWS.

Основні переваги:

1. Інфраструктура як код (IaC): Пишіть інфраструктуру в коді для контролю версій та автоматизації розгортання.
2. Без додаткових витрат: Ви платите лише за створені ресурси, а не за сам сервіс.
3. Масштабованість: Легко керуйте ресурсами по всіх облікових записах та регіонах AWS.
4. Автоматизація: Інтегруйтеся з CI/CD pipeline для тестування та розгортання інфраструктури.
5. Гнучкість: Створюйте все від одного EC2 інстансу до складних багаторегіональних архітектур.

Використання на практиці:

• Автоматизуйте надання ресурсів для команд.
• Використовуйте готові шаблони з CloudFormation Registry або створюйте власні шаблони.
• Керуйте сервісами, такими як VPC, S3 бакети, ECS кластери і багато іншого за допомогою однієї операції.

Робочий процес CloudFormation: аналогія з краном

Уявіть, що ви будуєте хмарочос за допомогою крана. Ви даєте крану інструкції (шаблон CloudFormation), і він швидко та точно будує будівлю (вашу інфраструктуру).

Підготуйте шаблон:
Створіть файл YAML або JSON, який описує ресурси, які ви хочете, наприклад, S3 бакет.

Приклад шаблону S3 бакету у JSON:

{  
 "AWSTemplateFormatVersion": "2010-09-09",  
 "Description": "Це базовий шаблон для створення S3 бакету",  
 "Resources": {  
 "S3Bucket": {  
 "Type": "AWS::S3::Bucket",  
 "Properties": {  
 "AccessControl": "PublicRead",  
 "BucketName": "buck2"  
 }  
 }  
 }  
}

Завантажте шаблон:
Збережіть файл (наприклад, s3-template.yaml) і завантажте його в S3 бакет.
Зробіть його публічним, щоб CloudFormation міг отримати доступ до нього.

Створення стеку CloudFormation:

• Відкрийте сервіс CloudFormation.
• Виберіть Create Stack.
• Виберіть “Template is ready.”
• Завантажте файл шаблону або вкажіть його S3 URL.
• Натисніть Next і дайте стеку ім’я (наприклад, s3-bucket-demo).
• Продовжуйте натискати Next через майстра та натисніть Submit.

Моніторинг прогресу:
Після подачі ви побачите статус створення стеку як “Creation In Progress.” Після завершення статус зміниться на “CREATE_COMPLETE.”

Доступ до шаблону:

Щоб перевірити, відкрийте браузер і введіть URL (наприклад, sub.domain.com/s3-template.yaml). Якщо він недоступний, переконайтеся, що файл публічно доступний у S3 бакеті.

Практичні поради для CloudFormation

• Модульні шаблони: Розділяйте великі шаблони на менші, багаторазові модулі для кращого обслуговування.
• IAM дозволи: Переконайтеся, що налаштовані правильні IAM дозволи при використанні CloudFormation, щоб уникнути несподіваних помилок під час створення стеку.
• Безпека від відкатів: Увімкніть відкат при помилці, щоб автоматично очистити неповні стеки, якщо виникають помилки.
• Виявлення відхилень: Використовуйте виявлення відхилень для визначення ручних змін, зроблених поза CloudFormation, щоб підтримувати консистентність стеків.
• Тестування локально: Перевіряйте шаблони за допомогою AWS CLI перед завантаженням в CloudFormation. Виконайте:

aws cloudformation validate-template --template-body file://s3-template.yaml

Завдяки цим крокам і порадам ви зможете ефективно використовувати CloudFormation для автоматизації та масштабування вашої інфраструктури AWS, мінімізуючи ручну роботу.

Очищення CloudFormation

У цій частині ми дізнаємося про очищення ресурсів CloudFormation, важливий сервіс журналювання для моніторингу та забезпечення безпеки вашого AWS середовища.

Очищення стеків CloudFormation

Що відбувається, коли ви видаляєте стек?

Коли ви видаляєте стек CloudFormation, всі ресурси, пов’язані з ним — такі як S3 бакети, EC2 інстанси або VPC — також видаляються. Це забезпечує чисте управління ресурсами та запобігає появі сирітських або невикористовуваних ресурсів, що може збільшити витрати.

Практичні поради:

• Вкладені видалення: Якщо ваш стек містить залежні ресурси (наприклад, файл шаблону, який зберігається в тому ж S3 бакеті, що й стек), видалення стеку також видалить ці залежності.
• Попередження: Завжди переконайтеся, що критичні дані або файли збережені перед видаленням стеку. Наприклад, якщо ваш S3 бакет зберігає журнали або шаблони, які вам потрібні, перемістіть їх в інше місце, щоб уникнути випадкової втрати.

AWS CloudTrail: Посилення безпеки та моніторингу

AWS CloudTrail надає детальні журнали активності облікового запису через вашу інфраструктуру AWS. Це допомагає вам підтримувати безпеку, забезпечувати відповідність і усувати проблеми, надаючи повну історію подій.

Основні можливості CloudTrail:

Моніторинг активності облікового запису:
Записує дії, виконувані через AWS Management Console, CLI, SDK та інші сервіси.

Історія подій:
Зберігає записи про події на певний період часу, надаючи інсайти щодо змін і активностей.

Типи подій:

• Управлінські події: Дії, такі як створення або видалення ресурсів (наприклад, налаштування IAM ролей).
• Дані подій: Деталізовані дії, такі як доступ до об’єктів у S3 бакеті.

Налаштування CloudTrail Trail

1.
Перейдіть до CloudTrail:
Відкрийте AWS Management Console та знайдіть CloudTrail.

Створення Trail:

• Натисніть Create Trail і вкажіть ім’я (наприклад, test).
• Виберіть, де зберігатимуться журнали, зазвичай у S3 бакеті.

Валідація файлів журналів:

• Увімкніть перевірку файлів журналів для забезпечення цілісності журналів.
• Опціонально налаштуйте AWS KMS (Key Management Service) для безпечного шифрування за допомогою ключа, керованого користувачем (наприклад, customerMGM).

Вибір типів подій:

• Виберіть типи подій для відстеження:
  • Управлінські події для змін високого рівня в ресурсах.
  • Дані подій для детального моніторингу конкретних ресурсів.

Завершення налаштування:

• Натисніть Next, перевірте налаштування та виберіть Create Trail.
• Trail почне реєструвати події відразу.

Чому використовувати CloudTrail?

1. Впровадження безпеки:
   CloudTrail важливий для виявлення несанкціонованого доступу або підозрілих дій у вашому обліковому записі.
2. Аудит та відповідність:
   Дані журналів CloudTrail можна використовувати для демонстрації відповідності нормативним вимогам, таким як GDPR або PCI DSS.
3. Усунення несправностей:
   Допомагає відслідковувати помилки чи несподівану поведінку до конкретних дій або користувачів.

Практичні поради для використання CloudTrail

1. Інтеграція з CloudWatch:
   Використовуйте CloudWatch для просунутого моніторингу та реальних сповіщень про критичні події, зафіксовані в CloudTrail.
2. Оптимізація витрат:
   Зберігайте старі журнали в S3 Glacier, щоб заощадити кошти, зберігаючи при цьому доступ до них для відповідності або аудитів.
3. Панель керування історією подій:
   Переглядайте нещодавні активності безпосередньо на панелі керування CloudTrail для швидкого огляду активності облікового запису.
4. Тегування ресурсів:
   Завжди тегуйте свої CloudTrail trails та пов’язані ресурси для зручного ідентифікації, особливо в великих інфраструктурах.
5. Увімкнення Multi-Region Trails:
   Якщо ваші ресурси охоплюють кілька регіонів, увімкніть ведення журналів для кількох регіонів для підтримки централізованого журналу активності.

Зв’язування CloudTrail і CloudWatch

• Хоча CloudTrail записує активність облікового запису і надає історичні дані, CloudWatch зосереджується на моніторингу в реальному часі та використанні ресурсів.
• Приклад сценарію:
  • Використовуйте CloudTrail для виявлення підозрілої спроби входу.
  • Налаштуйте сповіщення в CloudWatch, щоб отримати повідомлення, коли подібні дії повторюються в майбутньому.

Поєднуючи CloudFormation і CloudTrail, ви отримуєте потужний набір інструментів для управління інфраструктурою та підтримки безпеки, що забезпечує ефективну та безпечну роботу вашого середовища AWS.

Перекладено з: Mastering AWS CloudFront, Route 53, and CloudFormation: A Step-by-Step Guide to Secure and Scalable Infrastructure