[新产品/新功能] Amazon CloudFront：为全球用户提供毫秒级性能

**发布时间:** 2025-11-24 **厂商:** AWS **类型:** BLOG **原始链接:** https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-cloudfront-delivering-millisecond-performance-to-global-audiences/ ---  [新产品/新功能] Amazon CloudFront：为全球用户提供毫秒级性能   # 产品功能分析 ## 新功能/新产品概述 AWS发布了针对其内容分发网络（CDN）服务 **Amazon CloudFront** 的一系列性能增强更新，旨在为全球用户提供毫秒级的动态Web应用交付体验。这些更新通过在协议栈的多个层面进行深度优化，显著降低了从客户端到边缘节点、再到源站的端到端延迟。核心更新包括：支持到源站的 **TLS 1.3** 连接、在边缘节点与 **Origin Shield** 之间启用 **TCP Fast Open**、以及支持 **HTTPS DNS记录** 以加速协议协商。该系列功能的目标用户是所有需要为全球受众提供高性能、低延迟服务的现代Web应用，特别是电子商务、流媒体、金融服务和医疗保健等对延迟和安全高度敏感的行业，旨在巩固CloudFront在高端CDN市场，尤其是在动态内容加速领域的竞争力。 ## 关键客户价值 - **极致的用户体验与性能提升** - 通过在离用户最近的边缘节点终止 **TLS** 连接，大幅缩短了初始连接的加密握手延迟。 - 新增对源站的 **TLS 1.3** 支持，将CloudFront边缘节点与源站之间的TLS握手时间平均减少了 *36%*。 - 启用 **TCP Fast Open**，将CloudFront内部缓存层之间的后续TCP连接建立时间缩短了 *高达25%*，显著降低了高百分位（P99以上）的首字节延迟（TTFB）。 - 支持 **HTTPS DNS记录**，允许客户端在DNS解析阶段就发现对 **HTTP/3** 等现代协议的支持，避免了额外的协议协商往返，尤其利好高延迟或不稳定的移动网络。 - **更强的端到端安全性** - **TLS 1.3** 协议本身提供了更强的加密算法和简化的握手流程，不仅提升了性能，也为从CloudFront边缘到客户源站的数据传输提供了更优的安全保障，这对于处理敏感数据的金融、医疗保健等行业至关重要。 - **源站性能优化与成本降低** - **智能连接池**（包括 **TCP连接池**、**HTTP Keepalive**）和到源站的持久连接，高效复用了CloudFront与源站之间的连接，减少了源站因频繁建立新连接而产生的计算开销和资源消耗。 - 结合多层缓存架构（边缘节点 -> 区域边缘缓存 -> **Origin Shield**），有效吸收了大量请求，大幅降低了回源流量，从而节省了源站基础设施成本。 - **更高的服务可靠性与弹性** - **智能网络路由** 机制持续监控全球数千家ISP的对等连接性能，能够实时、自动地调整路由策略，绕过网络拥塞或故障区域，确保内容始终通过最优路径传输，提升了服务的整体可用性和稳定性。 ## 关键技术洞察 - **全链路协议栈深度优化** - _AWS的优化策略覆盖了从DNS解析（**HTTPS DNS记录**）、TCP连接建立（**TCP Fast Open**）、TLS加密握手（**TLS 1.3** 及边缘终止）到应用层（**HTTP Keepalive**）的整个网络通信栈_。这种端到端的全链路优化是实现毫秒级性能的关键，区别于仅在单一环节进行优化的传统CDN方案。 - **分层架构下的高级连接管理** - _在CloudFront的多层缓存架构（边缘->区域边缘->Origin Shield）之间深度集成了连接池技术_。这不仅是简单的连接复用，而是在CDN内部网络层级间实现了高效的连接状态管理，最大化地减少了内部通信的延迟和开销。**TCP Fast Open** 应用于边缘PoP和 **Origin Shield** 之间，是这一精细化管理策略的典型体现。 - **DNS与应用层协议的早期绑定** - _通过支持Amazon Route 53的HTTPS类型DNS记录，将协议发现前置到DNS查询阶段_。这是一个重要的行业创新，它打破了传统“先建连接，后协商协议”的模式。这使得现代浏览器等客户端能一步到位地建立 **HTTP/3** 等最优协议连接，避免了协议升级带来的额外延迟，技术上具有显著的前瞻性。 - **数据驱动的自适应网络路由** - _基于对全球ISP网络性能的持续、实时测量来动态调整路由决策_。这表明AWS利用其庞大的全球网络基础设施和数据分析能力，实现了从静态或被动路由选择到主动、智能路径优化的转变。这种自适应路由能力是应对复杂多变的互联网环境、保障稳定高性能交付的核心技术壁垒。 ## 其他信息 - **生态系统集成优势** - AWS强调了其产品生态的无缝集成能力。用户可以通过统一的界面轻松配置 **CloudFront**、使用 **Amazon Route 53** 进行DNS解析、通过 **Amazon Certificate Manager** 管理TLS证书，并利用 **AWS WAF** 提供安全防护，简化了Web应用的交付与安全管理流程。 - 文中提到，客户在使用CloudFront后，首字节延迟（TTFB）通常能看到 *超过30%* 的改善。   # Amazon CloudFront: 为全球用户提供毫秒级性能 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-cloudfront-delivering-millisecond-performance-to-global-audiences/](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-cloudfront-delivering-millisecond-performance-to-global-audiences/) **发布时间:** 2025-11-24 **厂商:** AWS **类型:** BLOG --- 当今的 Web 应用程序用户无论身在何处，都期望获得即时响应、无缝交互和完美体验。即便是最轻微的延迟也会影响用户参与度。对于服务全球用户的现代 Web 应用程序而言，无论是处理数百万笔交易的电子商务平台，还是提供直播内容的流媒体服务，在毫秒内交付内容都已成为一项业务要务。 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 以其通过全球分布的边缘站点 (edge locations) 网络、智能缓存策略和增强的内容分发协议来加速网站性能的能力而广受认可。CloudFront 从最接近最终用户的位置提供内容，并减轻应用服务器的负载，从而实现更快的页面加载、改善用户体验并为企业降低基础设施成本。在本文中，我们将讨论我们近期在 CloudFront 中为加速动态 Web 应用程序所做的改进。 ### 性能的演进：CloudFront 的新功能 CloudFront 缩短了您应用程序的 TLS 连接时间。这包括两个方面。首先，CloudFront 在靠近最终用户的 CloudFront 边缘站点终止 TLS 连接，而不是在运行您应用程序的 AWS 区域或本地 (on-premises) 的远程源服务器 (origin servers) 上。因此，CloudFront 显著降低了与 TLS 握手 (TLS handshake) 过程相关的延迟。这种边缘终止意味着用户可以体验到更快的初始连接，因为加密协商是在更短的网络路径上进行的。其次，CloudFront 与您的源站保持安全的持久连接，从而消除了为每个请求建立新连接所需的时间。我们不断优化这些连接以提供更好的性能。 ### 面向源站的 TLS 1.3：更快、更安全的连接 CloudFront 现在支持在连接到您的源站时使用 TLS 1.3，为源站通信提供了增强的安全性并提升了性能。此升级提供了更强的加密算法、更低的握手延迟，并为 CloudFront 边缘站点和源服务器之间的数据传输提供了更好的整体安全状况。 TLS 1.3 通过减少握手过程中的往返次数来加快连接建立，将支持 TLS 1.3 的 CloudFront 边缘接入点 (Points of Presence (PoPs)) 与客户在 AWS 区域中的应用程序 (即源站) 之间的平均 TLS 握手时间减少了 36%。对于尚未升级的源站，CloudFront 保持了对较低 TLS 版本的向下兼容性。如下图所示，这项增强功能尤其有益于处理敏感数据的应用程序，例如金融服务、医疗保健和电子商务平台。 ![高流量分发](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/24/high-traffic-distributions.jpg) ### 智能连接池 CloudFront 的多层缓存架构使用分层的缓存层来提高性能并减轻源服务器的负载。CloudFront 目前在全球拥有超过 750 个 PoPs，并在互联网服务提供商 (ISPs) 的自治系统编号 (ASNs) 中拥有超过 1140 个嵌入式 PoPs，以便从最接近您用户的位置交付内容。这一边缘集群现在由 15 个区域性边缘缓存 (Regional Edge Caches) 提供支持，并通过 Origin Shield 进行增强，以提供更广泛的中间层缓存和更优化的连接。当用户请求内容时，CloudFront 首先检查最近的边缘缓存。如果内容不在那里，请求将逐级上传，直到到达面向源站的缓存，例如 Origin Shield 或区域性边缘缓存。如果内容未被缓存，CloudFront 会从源站获取内容并为未来的请求进行缓存。 CloudFront 在这些缓存层之间使用先进的连接池 (connection pooling) 技术来提升应用程序性能。 - **TCP 连接池**：各层之间的持久连接减少了建立新连接的开销。 - **HTTP Keepalive**：为多个请求保持连接打开，消除了重复的握手延迟。 - **TLS 连接池**：重用安全连接以最大限度地减少加密开销。 ### TCP 快速打开：消除往返延迟在播放会话或浏览体验中，TCP 连接通常需要多次重新建立。传统的 TCP 会话建立会增加两次往返时间 (RTT) 的延迟。CloudFront 现在支持在 CloudFront 边缘 PoPs 和 Origin Shield 之间使用 TCP 快速打开 (TCP Fast Open)，这使得这些层之间的后续连接只需 1 个 RTT 即可建立——如下图所示，连接时间缩短了高达 25%。这降低了 99 百分位以上的首字节延迟 (first byte latency)。 ![TCP 快速打开](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/25/tcp-fast-open-1024x455.png) ### HTTPS DNS 记录：加速首次连接 CloudFront 现在在其全球网络中支持 [Amazon Route 53](https://aws.amazon.com/route53/) 的 HTTPS DNS 记录 (HTTPS DNS records)，因此客户端可以在初始 DNS 解析阶段就发现最佳的 HTTP 协议，而无需在后续的连接步骤中进行。浏览器和应用程序可以利用这一创新，在 DNS 查询期间立即了解对 HTTP/3 的支持，从而减少 TLS 连接建立后的协议协商延迟。应用程序会自动升级到最快的可用协议，从而降低首字节延迟，尤其是在延迟较高或有损的移动网络中。 ### 智能网络路由：始终寻找最快路径网络层性能是交付高性能 Web 应用程序的基础。CloudFront 持续进行实验，以衡量来自全球数千家互联网服务提供商的对等连接 (peering connections) 的性能。这种实时的实验和调整意味着您的内容总是采用最快的路径到达用户，自动适应不断变化的网络条件并绕过拥塞或中断。 ### 结论当客户使用 CloudFront 交付其应用程序时，通常可以看到首字节延迟改善超过 30%。您可以在几分钟内通过统一的界面来加速和保护您的应用程序，该界面可用于设置 CloudFront、使用 Amazon Route53 设置 DNS、使用 [Amazon Certificate Manager](https://aws.amazon.com/certificate-manager/) 设置 TLS 证书，以及使用 [AWS WAF](https://aws.amazon.com/waf/) 提供安全防护。这篇 [CloudFront 文章](http://aws.amazon.com/blogs/aws/amazon-cloudfront-simplifies-web-application-delivery-and-security-with-new-user-friendly-interface/) 包含详细的操作指南。无论您是在构建新应用程序还是增强现有应用程序，CloudFront 结合了全球覆盖、智能缓存、先进的协议支持和自动优化，都能为您的用户提供最佳性能。