Cloudfront TTL:将最大TTL设置为0,以获得DDOS保护效益
Cloudfront TTL:将最大TTL设置为0,以获得DDOS保护效益
提问于 2018-05-03 18:39:47
我一直在读Cloudfront的文档,我想确保我的计划是合理的。我有一个后端API,结构为EC2 HTTP服务器,经常更新内容(每秒几次更改)。我的理解是:
- 我不应该直接向客户端公开这个HTTP服务器,因为这使得EC2服务器容易受到DDOS攻击
- 创建带有CloudFront边缘位置的间接层有助于防御DDOS,因为AWS可以在网络外部部署防火墙,而不是围绕我的EC2实例部署防火墙。
- 通过设置最大的TTL = 0,我确保Cloudfront只是一个间接层,并且不试图进行任何实际的缓存,这样用户总是能够获得最新的信息。
这些假设正确吗/我的计划听起来合理吗?从网上阅读来看,这似乎是Cloudfront的一种非标准用法。
回答 1
Stack Overflow用户
发布于 2018-05-04 02:51:28
这是一个完全合理的计划。
这不是AWS销售CloudFront (作为CDN)的主要用例,但人们很难认为这种实践不属于产品的设计范围。
亚马逊CloudFront接受的过期时间只有0秒钟(在这种情况下,亚马逊CloudFront将用原点重新验证每个查看器请求)。亚马逊CloudFront还执行特殊的缓存控制指令,如专用的、无存储的等;这些指令在传递可能不会缓存在边缘的动态内容时通常很有用。 https://aws.amazon.com/cloudfront/dynamic-content/
当然,如果有足够的流量,仍然会有某种级别的服务器超载,但是,是的,这是一个可靠的策略。
在遮罩下,API网关边缘优化端点和S3传输加速特性都使用完全禁用缓存的CloudFront。在这两种情况下,您都无法在控制台中看到与这些服务相关的CloudFront发行版,但这就是它们的工作方式。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/50161872
复制相关文章
相似问题
腾讯云开发者
