CloudFront SaaS Manager について
数千単位のテナント(ドメイン)を単一のインフラで管理するために、従来のCloudFrontの機能を拡張したものです。
詳細は以下のブログで解説しています。
https://qiita.com/3yuu3/items/b7ea68d791216db8c2ab
コネクショングループについて
このコネクショングループが設定方法含め少しややこしかったのでまとめした。
従来のCloudFrontでは、ディストリビューションごとにエンドポイントのドメインが違うと思います。
SaaS Manager では、コネクショングループにエンドポイントドメインが紐づいています。
テナントをこのコネクショングループに紐づけることで、複数のテナントで共通のエンドポイントドメインが利用できます。
なんならデフォルトでは、すべてのテナントが一つのコネクショングループに紐づけられています。
アカウント内の異なるディストリビューションに紐づいているテナントもすべて一つのコネクショングループに紐づけられます。
当然アクセスすると、裏でドメインに紐づくテナントへルーティングされます。
じゃあどういう時にコネクショングループを分けるのか
コネクショングループを分けた方がいいのは以下の2パターンかな?と思います。
- DDoSが他のテナントに影響するのを防ぎたい時
コネクショングループひとつ対して、当然裏のインフラもひとつなので、コネクショングループを共有していると特定のドメインがDDoS攻撃を受け、裏のインフラがダウンした際、他のドメインにも影響が波及します。 - 特定のテナントのエンドポイントを静的IPにしたい時
CloudFront ではデフォルトではエンドポイントドメインに対して動的にIPが割り振られますが、30万円で静的IPを使うことができます。
SaaS Manager ではコネクショングループにエンドポイントドメインが紐づいているため、特定のテナントで静的IPを使用したい場合は、コネクショングループを分ける必要があります。
設定方法
コネクショングループを設定するにはまず、左のメニューの一番下、[settings] から[Connection group] を有効化しなくてはいけません。(なんで?)
すると左のメニューに[Connection groups]が現れます。
ここでコネクショングループが設定できます
テナントの設定画面にもConnection group を選択する項目が追加されていますね。
なんか出てきた
Domains need attention??
エンドポイントのドメインが変わるのでDNSのレコードも変える必要があります。
digコマンドで確認してみると、別々のエンドポイントドメインへ通信されていることがわかります。
最後に
少し難しい概念で、設定方法も少し複雑ですが、SaaS Manager の理解には避けて通れないため、今回まとめました。
参考になりましたら幸いです!
参考
AWS公式ブログ
https://aws.amazon.com/jp/blogs/news/reduce-your-operational-overhead-today-with-amazon-cloudfront-saas-manager/
製品ページ
https://aws.amazon.com/jp/cloudfront/features/saas-manager/
公式ドキュメント
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-config-options.html
CLIリファレンス
https://docs.aws.amazon.com/cli/latest/reference/cloudfront/#cli-aws-cloudfront