AWS Cloud Practitioner #11: CloudFront - CDN Global de AWS

Problema:
- Página tarda 3 segundos en cargar
- Imágenes tardan 5 segundos
- Videos buffering constante
 
Causa:
- Distancia: Virginia → Sydney = 16,000 km
- Latency: ~250ms por request
- 20 requests por página = 5 segundos solo en latency
 
Usuarios frustrados → abandonan sitio

Con CloudFront:
- Content cached en Edge Location de Sydney
- Latency: ~10ms (local)
- Página carga en 500ms
- Usuarios felices ✅

Origins soportados:
- S3 bucket
- EC2 instance
- ELB (Load Balancer)
- Custom HTTP server (on-premise)
 
Ejemplo:
Origin: mi-sitio.s3.amazonaws.com
Content: HTML, CSS, JS, imágenes

AWS tiene 450+ Edge Locations globalmente
(Más que Regions: 30+ Regions vs. 450+ Edge Locations)
 
Distribuidos en ciudades principales:
- Americas: NYC, LA, Miami, São Paulo, etc.
- Europe: London, Frankfurt, Paris, etc.
- Asia: Tokyo, Singapore, Sydney, Mumbai, etc.

Tipos:
- Web Distribution: Websites (HTTP/HTTPS)
- RTMP Distribution: Media streaming (deprecated, usa Web)

Flujo:
 
1. User en Sydney requests image.jpg
      ↓
2. Request va a Edge Location más cercana (Sydney)
      ↓
3. Edge Location check: ¿Tengo image.jpg cached?
      ├─ SÍ → Return cached copy (CACHE HIT) ✅
      │        Latency: ~10ms
      │
      └─ NO → (CACHE MISS)
             Request a Origin (S3 en us-east-1)
             Latency: ~250ms (primera vez)
             Cache image.jpg en Edge Location
             Futuras requests: CACHE HIT
      ↓
4. User recibe image.jpg

Primera request (cache miss):
- Latency: 250ms (desde origin)
 
Requests subsecuentes (cache hit):
- Latency: 10ms (desde edge)
- Mejora: 25x más rápido
- Less load en origin
- Mejor experience global

Content que NO cambia frecuentemente:
- Imágenes (logos, product photos)
- CSS, JavaScript files
- Videos
- PDFs
 
TTL (Time To Live) recomendado: Largo (24 horas - 1 año)
 
Ejemplo:
logo.png → TTL: 365 días
(Logo raramente cambia)

Content que cambia frecuentemente:
- API responses
- User-specific data
- Real-time data
 
TTL recomendado: Corto (0 segundos - 5 minutos)
 
Ejemplo:
/api/user/profile → TTL: 0 (no cache)
/api/products → TTL: 5 minutos

Content de video/audio:
- Live streaming
- VOD (Video On Demand)
 
CloudFront optimizado para:
- HLS, DASH protocols
- Smooth streaming
- Progressive download

# Crear CloudFront distribution (CLI example)
 
aws cloudfront create-distribution \
  --origin-domain-name mi-sitio.s3.amazonaws.com \
  --default-root-object index.html \
  --enabled
 
# Resultado:
# Distribution ID: E1234567890ABC
# Domain: d111111abcdef8.cloudfront.net

1. Origin Settings:
   - Domain: S3 bucket, ALB, custom
   - Protocol: HTTP/HTTPS
   - Origin Path: Prefix para objects
 
2. Cache Behavior:
   - Path Pattern: /images/*
   - TTL: Min/Max/Default
   - Allowed HTTP Methods: GET, POST, etc.
   - Compress: Gzip automático
 
3. Distribution Settings:
   - Price Class: Edge Locations a usar
   - SSL Certificate: Default o custom
   - Alternate Domain Names (CNAMEs)

TTL define cuánto tiempo content permanece cached.
 
Configuración:
- Minimum TTL: 0 segundos
- Maximum TTL: 365 días
- Default TTL: 24 horas
 
Ejemplo:
File: product-image.jpg
TTL: 86400 segundos (24 horas)
 
Flujo:
Day 1, 10:00 AM → Cache miss → fetch from origin → cache
Day 1, 11:00 AM → Cache hit (fast)
Day 1, 11:00 PM → Cache hit (fast)
Day 2, 10:01 AM → Cache expired → fetch from origin → cache again

Origin puede controlar caching via HTTP headers:
 
Cache-Control: max-age=3600
→ Cache por 1 hora
 
Cache-Control: no-cache
→ No cache (siempre fetch origin)
 
Cache-Control: public, max-age=31536000
→ Cache por 1 año (static assets)

Problema:
Subes nueva versión de logo.png
TTL: 24 horas
Users siguen viendo versión vieja hasta que expire
 
Solución:
Invalidate logo.png en CloudFront
→ Próximo request fetch nueva versión

# Invalidate specific file
aws cloudfront create-invalidation \
  --distribution-id E1234567890ABC \
  --paths /logo.png
 
# Invalidate all files
aws cloudfront create-invalidation \
  --distribution-id E1234567890ABC \
  --paths "/*"
 
# Pricing:
# Primeros 1,000 paths/mes: GRATIS
# Después: $0.005 per path

❌ NO invalidate frecuentemente (costo)
 
✅ Usa versioning:
logo.png → logo-v2.png
style.css → style.css?v=2
 
No need invalidation, nuevo filename = nuevo cache

Problema:
Website en us-east-1, usuarios globales
 
Solución:
CloudFront distribution con S3/ALB origin
 
Beneficio:
- 80% requests served from edge (cache hit)
- Latency reducida de 250ms → 10ms
- Less load en origin servers
 
Setup:
Origin: ALB con EC2 instances
CloudFront: Cache static assets (images, CSS, JS)
TTL: 24 horas para static, 0 para dynamic

Video platform con 1M usuarios
 
Sin CloudFront:
Origin bandwidth: 100 Gbps (caro)
Latency: Alta para usuarios lejanos
 
Con CloudFront:
Origin bandwidth: 10 Gbps (90% cache hit)
Latency: Baja (edge locations)
Ahorro: 90% en bandwidth costs
 
Optimizaciones:
- Adaptive bitrate streaming
- Progressive download
- Range requests support

Static website hosted en S3
 
Setup:
1. S3 bucket: mi-sitio.s3.amazonaws.com
2. CloudFront distribution → origin: S3 bucket
3. Custom domain: www.miempresa.com
 
Beneficios:
- Users acceden via CloudFront domain
- Faster loading globalmente
- HTTPS support (certificado gratis)
- DDoS protection (AWS Shield)
 
Costo:
S3: $0.023/GB storage + $0.09/GB transfer
CloudFront: $0.085/GB transfer (first 10 TB)
(CloudFront a veces más barato que S3 transfer directo)

API con responses cacheable
 
Ejemplo:
GET /api/products → Lista de productos
 
Sin CloudFront:
Cada request → backend database query
1000 requests/sec → 1000 DB queries/sec
 
Con CloudFront:
TTL: 5 minutos
Cache hit: 95%
1000 requests/sec → 50 DB queries/sec (95% cached)
 
Beneficio:
- Reduced backend load
- Faster responses
- Lower DB costs

CloudFront provee:
✅ Default domain: HTTPS incluido
✅ Custom domain: Use ACM (AWS Certificate Manager) gratis
 
Ejemplo:
Distribution domain: d111111abcdef8.cloudfront.net
→ HTTPS gratis automáticamente
 
Custom domain: www.miempresa.com
→ Request certificado en ACM (gratis)
→ Asocia a CloudFront distribution
→ HTTPS funcionando

Bloquea/permite content basado en geografía del user.
 
Whitelist:
Solo permite users de US, CA, MX
 
Blacklist:
Bloquea users de países específicos
 
Ejemplo:
Content licensing solo válido en US
→ Geo-restriction: Whitelist US only

Acceso privado a content.
 
Use case:
Curso online pagado, solo subscribers pueden ver videos
 
Setup:
1. User login → backend verifies subscription
2. Backend genera signed URL (expira en 1 hora)
3. User accede video via signed URL
4. CloudFront verifica signature → allows access
 
Signed URL:
https://d111111abcdef8.cloudfront.net/video.mp4?
  Expires=1731859200&
  Signature=abc123...&
  Key-Pair-Id=APKA...
 
Después de expirar → 403 Forbidden

AWS Shield Standard:
✅ Incluido gratis con CloudFront
✅ DDoS protection
✅ Layer 3/4 attacks
 
AWS WAF (Web Application Firewall):
💲 Costo adicional
✅ Block SQL injection, XSS
✅ Rate limiting
✅ IP filtering

CloudFront pricing por región:
 
North America/Europe:
$0.085/GB (first 10 TB/mes)
$0.080/GB (next 40 TB)
$0.060/GB (next 100 TB)
...
 
Asia/Pacific:
$0.140/GB (first 10 TB)
(Más caro que NA/EU)
 
HTTP/HTTPS Requests:
$0.0075 per 10,000 requests (HTTP)
$0.0100 per 10,000 requests (HTTPS)
 
Invalidation:
Primeros 1,000 paths/mes: GRATIS
$0.005 per path después
 
Free Tier:
50 GB transfer out/mes
2,000,000 HTTP/HTTPS requests/mes
(12 meses)

1. Use Price Class:
   Price Class All: Todas las edge locations (más caro)
   Price Class 200: NA, EU, Asia, Middle East
   Price Class 100: NA, EU only (más barato)
 
2. Aumenta TTL:
   Mayor TTL = más cache hits = menos origin requests = menos costo
 
3. Compress:
   Habilita automatic compression (gzip)
   Reduce transfer size (menos costo)

Decisión de uso:
 
¿Usuarios globales?
└─ SÍ → CloudFront (reduce latency)
 
¿Static content?
└─ SÍ → CloudFront con TTL largo (cache hit alto)
 
¿Necesitas HTTPS?
└─ SÍ → CloudFront + ACM (gratis)
 
¿Video streaming?
└─ SÍ → CloudFront (optimizado para media)