🌐 AWS 네트워크 & 전송
🧭 전체 흐름
Route 53(DNS) → CloudFront(CDN/보안/HTTPS) → VPC Origin / ALB / S3(Origin)
👉 이름 해석 → 빠르고 안전한 전송 → 실제 리소스 접근
1️. Amazon Route 53 (DNS)
🔹 핵심 역할
- 도메인 이름 → IP 주소 변환
- 트래픽을 어디로 보낼지 결정
🔹 핵심 구성
- Hosted Zone: 도메인 DNS 레코드 컨테이너
- Record: A / AAAA / CNAME / Alias
- Health Check: 리소스 상태 확인
🔹 Alias Record (⭐)
- AWS 리소스(ALB, S3, CloudFront)에 직접 연결
- Apex Domain 가능
- DNS Query 비용 ❌
🔹 Routing Policy
| 정책 | 기준 | 대표 사용 |
|---|---|---|
| Simple | 단일 대상 | 기본 |
| Failover | Health Check | 장애 대응 |
| Weighted | 비율 | A/B 테스트 |
| Latency | 지연 시간 | 글로벌 서비스 |
| Geolocation | 국가/대륙 | 지역별 서비스 |
| Geoproximity | 거리 + Bias | 글로벌 트래픽 분산 |
| IP-based | IP 대역 | 내부/외부 분리 |
| Multivalue | 다중 응답 | 간단 LB |
2️. Amazon CloudFront (CDN)
🔹 핵심 역할
- 전 세계 Edge Location에서 콘텐츠 캐싱
- 지연 시간 감소 + Origin 부하 감소
- CDN + 보안 + HTTPS 종합 서비스
🔹 CloudFront 캐시 구조
Viewer
↓
Edge Location
↓ (Miss)
Regional Edge Cache
↓ (Miss)
Origin (S3 / ALB / EC2)
🔹 Cache Key (성능 핵심 ⭐)
- 캐시 객체를 구분하는 기준
- 구성 요소
- Path
- Query String
- Header
- Cookie
⚠️ Cache Key 많아질수록 → Cache Hit ↓
3️. Cache Behavior & Policy
🔹 Cache Behavior
- 경로(Path) 기반 요청 분기
- 각 경로마다
- Origin
- Cache Policy
- 보안 설정 다르게 가능
🔹 Policy 3종 비교 (⭐)
| 구분 | 역할 |
|---|---|
| Cache Policy | 캐시 기준 + TTL |
| Origin Request Policy | Origin으로 전달할 정보 |
| Response Headers Policy | Viewer 응답 Header 제어 |
4️. CloudFront 파일 관리
🔹 파일 관리 방식
| 방식 | 특징 | 실무 |
|---|---|---|
| 싱글 파일 | TTL/Invalidation 필요 | ❌ |
| 버저닝 | 파일명 변경 | ✅ 표준 |
🔹 Invalidation
- 캐시 강제 삭제
- 월 1,000 path 무료
- 최후의 수단
5️. CloudFront 보안 (콘텐츠 보호)
🔹 접근 제어 방식
| 방식 | 사용 |
|---|---|
| Signed URL | 단일 파일 |
| Signed Cookie | 다수 파일 / 스트리밍 |
🔹 Signer (⭐)
- Trusted Key Group (정답)
- AWS Account 방식 ❌
🔹 Origin 보호
✅ S3 Origin
- OAC (Origin Access Control) ← 최신 표준
- S3 직접 접근 완전 차단
✅ Custom Origin (EC2 / ALB)
- Custom Header 검증
- CloudFront IP만 허용
🔹 추가 보안 기능
- Geo Restriction (국가 단위)
- Field-Level Encryption (특정 필드 암호화)
- AWS WAF 연동
6️. HTTPS 구현 (인프라 기반)
🔹 핵심 개념
- HTTPS 종료 지점:
- CloudFront 또는 ALB
- 인증서:
- ACM (무료, 자동 갱신)
🔹 CloudFront HTTPS
- ACM 인증서 us-east-1 필수
- SNI 방식 (무료, 표준)
- All Client 지원 → 월 $600
🔹 주의 사항
- Origin은 HTTP 가능
- Redirect는 한 곳에서만
7️. CloudFront VPC Origin (최신 ⭐⭐⭐)
🔹 핵심 개념
CloudFront → Private VPC 리소스 직접 접근
🔹 장점
- Public ALB / IGW 불필요
- Origin 인터넷 노출 ❌
- 보안 그룹에서
- CloudFront Managed Prefix만 허용
🔹 비교
| 항목 | 기존 방식 | VPC Origin |
|---|---|---|
| Origin | Public | Private |
| IGW | 필요 | ❌ |
| 보안 | Header/IP | 네트워크 레벨 |
| 권장 | △ | ✅ 최신 표준 |
8️. CloudFront 모니터링
🔹 CloudWatch Metrics
- Requests
- 4xx / 5xx Error Rate
- Cache Hit Rate (옵션)
🔹 Access Log
- Standard Log: S3 저장 (지연)
- Real-Time Log: Kinesis 기반 (실시간, 비용 O)
🎯 최종 요약
Route 53은 “어디로 보낼지”, CloudFront는 “어떻게 빠르고 안전하게 보낼지”, VPC Origin은 “아예 내부로 숨기는 것”이다.