<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] 使用新的 Amazon CloudFront SaaS Manager 在边缘扩展您的 SaaS 应用程序
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
Amazon CloudFront SaaS Manager 是 AWS 最新推出的功能,旨在帮助 SaaS 提供商在 **CloudFront** 上管理多域内容交付网络(CDN)。该功能的核心目标是简化多租户架构的部署,实现全球范围内的高性能内容交付和企业级安全。**CloudFront** 已有 16 年的创新历史,此次更新针对 SaaS 场景,提供自动证书管理、统一安全控制和流线型配置管理,适用于从初创企业到大型组织的 **SaaS** 提供商。目标用户群包括 **SaaS** 平台提供商、市场定位聚焦于多租户应用、自定义域管理及大规模扩展需求,例如电子商务、CRM 和内容托管平台。
## 关键客户价值
- **减少操作复杂性:** 通过共享配置和 **Multi-Tenant Distribution**,SaaS 提供商可管理数百万子域和自定义域,而无需频繁调整基础设施,这与传统 CDN 方案相比显著降低了管理开销。例如,在多租户模式下,客户可实现层级化加速和安全设置,提升整体效率。
- **提升性能和安全:** 自动化处理 **SSL/TLS** 证书生命周期(如颁发、续期),并整合 **AWS WAF** 和 **DDoS 保护**,使内容交付更快速、安全。该功能在不同租户层级(如基本、Premium 和 Enterprise)体现差异化优势,例如 Premium 层启用 **Origin Shield** 以优化性能,而传统 IaaS 架构可能需手动配置,增加复杂性。
- **成本优化和可扩展性:** 对于大规模应用,如管理超过 100 万客户域,SaaS 提供商可通过共享基础设施降低成本,并根据租户需求提供定制化服务(如自定义域和参数化路径),相比竞品(如其他 CDN 服务),其优势在于无缝整合 **AWS 生态系统**,减少迁移摩擦,但可能在非 AWS 用户中面临采用障碍。
## 关键技术洞察
- **技术独特性:** 该功能引入 **Multi-Tenant Distribution** 和 **Distribution Tenant** 概念,允许基于模板定义共享设置(如源、缓存行为和安全规则),并通过参数化配置(如 **Origin Domain Names** 和 **Unique Origin Paths**)实现租户级定制。工作原理涉及 **CloudFront** 在边缘节点处理请求,结合 **AWS Certificate Manager** 自动化证书管理,确保标准化配置的同时支持灵活性。
- **创新点与影响:** 创新在于事件驱动和动态路由能力,例如整合 **CloudFront Functions** 以基于头部、Cookie 或 JWT 进行子毫秒级租户路由,提升性能和资源利用率;在安全性上,**WAF Bot Control** 提供高级机器人防护,改善可用性,但可能增加初始配置复杂度。相比传统 CDN,该方案的优势是减少基础设施上限,但潜在限制包括在高并发场景下管理参数化的挑战,如参数冲突或调试难度。
- **实现挑战与解决:** 文档中强调快速实施步骤(如通过控制台几步创建分布),但大规模组网时可能面临参数化配置的兼容性问题;AWS 通过提供 **CloudWatch** 指标和辅助方法(如 **KeyValueStore**)来缓解监控和动态调整需求,确保可行性适用于突发流量场景。
## 其他信息
- **客户评价:** 多位客户如 Salesforce 和 SmugMug 反馈,该功能显著提升了安全性和可扩展性,例如 Salesforce 表示它降低了成本并改善了可观察性,但这些为基于客户反馈的观察,而非量化指标。
- **适用范围:** 适用于各种源(如 **Amazon S3**、**VPC Origins** 或 **API Gateway**),鼓励用户通过文档探索进一步优化,但需注意清理资源以避免不必要费用。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# 在边缘扩展您的 SaaS 应用:全新 Amazon CloudFront SaaS Manager
**原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/scale-your-saas-application-at-the-edge-with-the-new-amazon-cloudfront-saas-manager/](https://aws.amazon.com/blogs/networking-and-content-delivery/scale-your-saas-application-at-the-edge-with-the-new-amazon-cloudfront-saas-manager/)
**发布时间:** 2025-05-06
**厂商:** AWS
**类型:** BLOG
---
从初创企业到大型企业,数以千计的软件即服务 (SaaS) 解决方案利用 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 来保护、扩展和加速其全球应用。基于 [16 年的创新历史](https://aws.amazon.com/blogs/aws/happy-anniversary-amazon-cloudfront-15-years-of-evolution-and-internet-advancements/),我们推出 Amazon CloudFront SaaS Manager,这是一项备受期待的功能,针对 CloudFront 用户。
CloudFront SaaS Manager 彻底改变了平台提供商在 CloudFront 上管理多域内容分发网络 (CDN) 的方式。组织现在可以跨数百万子域和虚荣域 (vanity domains) 扩展其 Web 应用,而不会遇到基础设施限制或影响安全性。通过与相邻 Amazon Web Services (AWS) 服务的更好集成,CloudFront 提供自动化证书管理、统一安全控制和简化配置管理——全部在可信的 AWS 生态系统中。这一解决方案大大降低了操作复杂性,同时确保高性能内容分发和企业级安全。
CloudFront SaaS Manager 引入了一种新型分发,称为 [多租户分发 (Multi-Tenant Distribution)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-config-options.html#:~:text=Multi%2Dtenancy,while%20maintaining%20their%20own%20customizations.)。这使您能够在共享配置和基础设施的同时,为多个租户保护、分发和加速内容。它简化了多租户管理,通过共享配置,同时保持针对特定租户的细粒度自定义。
在本帖中,我们探讨新的 CloudFront SaaS Manager,展示如何实施和使用此功能,为您的客户域提供高性能和企业级安全。我们深入分析关键用例,并逐步指导实施和最佳实践。
## 确定何时使用 CloudFront SaaS Manager
在我们深入细节之前,我们可以观察一些常见场景,其中 CloudFront SaaS Manager 适用:
* **SaaS 提供商使用自定义域:** 让您的 SaaS 客户使用他们自己的品牌域。您可以提供白标签体验,保持其品牌标识,同时利用 CloudFront 全球基础设施。这种方法被领先的平台即服务 (PaaS) 提供商广泛采用,允许其用户为客户提供无缝、品牌化体验,同时受益于增强的安全性和更快性能。
* **大规模 SSL/TLS 安全管理:** 简化证书生命周期管理,通过自动处理客户域的整个 SSL 生命周期,包括颁发、验证、续期和重新颁发。
* **分层加速和安全与集中化操作:** 在客户细分中实施定制的安全和加速功能。这通过从单个模板分发管理共享配置来简化操作。允许您根据 [SaaS 租户层级 (SaaS tenant tiers)](https://docs.aws.amazon.com/wellarchitected/latest/saas-lens/tenant-tiers.html) 提供不同级别的 DDoS 保护、WAF 规则和性能优化,同时降低操作开销并确保一致基准。
* **动态内容分发:** 启用特定租户的内容分发规则,同时维护共享源配置,从而优化性能和成本,并实现细粒度控制。
如果您的应用不需要多租户功能,则 CloudFront *标准分发 (Standard Distribution)* 继续提供相同的强大功能和性能。
## CloudFront SaaS Manager 的新功能
CloudFront SaaS Manager 允许您创建以下资源:
* **多租户分发:** 创建一个模板,定义源、缓存行为和安全设置的共享设置,适用于多个域。在租户-only 模式下,您无法直接服务流量,但可以提供参数来启用特定租户的自定义,同时保持一致的基准配置。您可以为源域名称和唯一源路径创建参数。这种方法有助于确保标准化,同时提供针对单个租户需求的灵活性。
* **分发租户:** 创建特定租户的实现,从多租户分发继承配置。为每个租户分配至少一个带有有效 TLS 证书覆盖的域名称。您可以针对每个租户自定义唯一源路径、额外域名称、Web ACL 覆盖和自定义 TLS 证书。
## 电子商务 SaaS 平台的示例场景
例如,假设 Example Corp 是一家电子商务 SaaS 平台,启用在线商店的创建和管理。作为 Example Corp,您定义了三个定价层级:Basic、Premium 和 Enterprise。这些层级涵盖超过 1,000,000 活跃客户。
您为每个客户提供专用的 `<anycompany>.example.com` 子域,以及一个共享 [Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/s3/) 存储桶,用于其资产。当客户升级到 Premium 或 Enterprise 层级时,您允许他们使用自定义虚荣域,同时提供高级安全保护、改进的内容加速和专用的 S3 存储桶。
为此,您为每个层级创建一个多租户分发,如下图所示:
1. **Basic 层级:** 包含通配符证书 (如 `*.example.com`),实施基本缓存规则,并使用 [AWS Web Application Firewall (AWS WAF)](https://aws.amazon.com/waf/) 保护。您为每个 Basic 层级客户提供自己的分发租户,但不允许在租户级别进行自定义。
2. **Premium 层级:** 在 Basic 层级基础上添加 [源屏蔽 (Origin Shield)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) 以提升性能。允许 Premium 层级客户使用虚荣域证书 (如 `<anycompany>.com`) 自定义其分发租户。
3. **Enterprise 层级:** 包含所有 Premium 层级功能,加上 [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/) 功能,在 [WebACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) 中提供更多保护。与 Premium 层级类似,允许 Enterprise 层级客户使用自定义证书进行虚荣域。对于特定客户,您通过为与这些客户关联的分发租户关联不同 WebACL 来提供安全设置自定义。

*图 1: 使用 CloudFront SaaS Manager 的示例场景高层插图*
这些示例仅供说明。在实际中,您可以将这些层级应用于不同客户细分、操作区域或适合您 SaaS 组织的任何方式。除了 Amazon S3,CloudFront 支持 [广泛的源](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html),包括 [VPC 源 (VPC Origins)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html)、[Elastic Load Balancer](https://aws.amazon.com/elasticloadbalancing/) 和 [Amazon API Gateway](https://aws.amazon.com/api-gateway/)。
## 通过几步点击在 CloudFront 中创建多租户分发
在本节中,我们逐步指导创建前面定义的多租户分发 (以及 S3 存储桶)。
### 先决条件
* 确保您拥有 AWS 账户,并具有适当的 Identity and Access Management (IAM) 权限,以创建和管理 AWS 资源,包括 S3 存储桶、CloudFront 分发、WAF 和 Route53 DNS 记录。
* 在 [AWS Certificate Manager](http://AWS Certificate Manager) 中获取或创建必要的 SSL/TLS 证书,用于您的域。
* 决定 S3 存储桶和域的命名约定。
### Basic 层级:使用单个 (共享) 分发租户和每个租户子域创建多租户分发
1\. 创建一个 **S3 存储桶** (共享存储桶),用于所有 Basic 层级租户的资产。
2\. 在 **CloudFront** 控制台中,点击 **Create Distribution**。
3\. 选择 **多租户架构** 选项。

1. 输入分发名称。
2. 使用通配符证书配置分发 (如 `*.example.com`)。

3. 对于 **源**,选择在步骤 1 中创建的共享 S3 存储桶。

4. 使用 AWS 推荐默认值配置 **缓存和源设置**。

5. 通过为该分发创建 Web Application Firewall (WAF) 启用 **安全保护**。

6. 查看所有设置并点击 **Create Distribution**。

这样就完成了多租户分发的创建。现在,您可以创建分发租户。
5\. 在 CloudFront **分发租户** 控制台中,点击 **Create tenant** 或 **Create distribution tenant**。

1. 在 **自定义 TLS 证书** 字段中,保留默认通配符证书 (如 `*.example.com`)。
2. 在 **域** 字段中,输入 `*.example.com`,以启用分发为所有 Basic 层级租户服务此域。
3. 查看并创建 **分发租户**。

共享分发租户现已为 Basic 层级租户创建。对于每个新上线的 Basic 层级租户:
1. 创建 **DNS 记录** (如 `tenant1.example.com`),指向 CloudFront 分发的端点。
2. (可选) 为其他 Basic 层级租户重复操作。
### Premium 层级:为提升性能并支持每个租户虚荣域创建参数化多租户分发,启用源屏蔽
1\. 在 **CloudFront** 控制台中,点击 **Create Distribution**。
2\. 选择 **多租户架构** 选项。
1. 输入分发名称。
2. 选择 **Amazon S3** 作为源。
3. 使用 **插入参数** 功能添加 `customer-name` 参数。
4. 对于 S3 源,使用参数化存储桶名称 (如 `amzn-s3-demo-bucket-{{customer-name}}.s3.us-east-1.amazonaws.com`)。

3\. 启用 **源屏蔽** 并选择最接近 CloudFront 源的区域,以提升 Premium 层级租户的性能。

1. 配置 **缓存**、**源** 和 **安全设置**,如推荐。
2. 查看所有设置并点击 **Create Distribution**。
4\. 对于每个新上线的 Premium 层级租户:
1. 创建专用的 **S3 存储桶**,根据参数化源命名 (如 `amzn-s3-demo-bucket-example-org`)。
2. 创建 **分发租户**,引用多租户分发。
3. 通过 AWS Certificate Manager 分配自定义 SSL 证书 (由租户验证)。
4. 设置租户的首选虚荣域 (如 `assets.example.org`)。

*注意:`assets.example.org` 仅为示例。在实际中,您可以使用顶层域作为租户的虚荣域 (如 `<anycompany>.com`)。*
5. 将 `customer-name` 参数设置为匹配租户的标识符 (如 `example-org`)。

6. 查看并创建新的 **分发租户**。
7. (可选) 为其他租户重复操作。
### Enterprise 层级:为提升性能、支持每个租户虚荣域并启用 WAF Bot Control 创建多租户分发以增加安全
1\. 在 **CloudFront** 控制台中,创建与 Premium 层级类似设置的新多租户分发。
2\. 分发创建后,导航到 **安全** 选项卡,**指定时间范围的采样机器人请求** 部分,点击 **管理机器人保护**。
3\. 查看信息并选中 **为常见机器人启用机器人控制** 复选框。

4\. (可选) 对于高级机器人保护,导航到关联的 **WAF WebACL** 并添加 **机器人控制规则组**。
5\. 对于每个新上线的 Enterprise 层级租户:
1. 为租户的资产创建专用的 **S3 存储桶**。
2. 创建 **分发租户**,引用多租户分发。
3. 通过 AWS Certificate Manager 分配 **自定义 SSL 证书** (由租户验证)。
4. 设置租户的虚荣 **域** (如 `<anycompany>.com`)。
5. (可选) 使用新的租户特定 **WAF** 覆盖默认 WAF。
6. (可选) 导航到新的租户特定 **WAF** 并根据租户需求自定义它。
7. 查看并创建新的 **分发租户**。
8. (可选) 为其他 Enterprise 层级租户重复操作。
### 清理
如果您不再需要 AWS 资源,请删除任何不必要的 S3 存储桶、CloudFront 分发、WAF 和 Route 53 DNS 记录,以避免产生不必要的费用。
## 使用 CloudFront Functions 的高级用例
如果您的应用需要支持高级场景 (如 [数据驱动租户路由](https://aws.amazon.com/blogs/networking-and-content-delivery/tenant-routing-strategies-for-saas-applications-on-aws/)),您可以使用 [CloudFront Functions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-functions.html) 根据标头、cookie 或 JWT 令牌在边缘动态路由请求,所有这些都在亚毫秒延迟下实现。通过 CloudFront SaaS Manager,您现在可以使用 [辅助方法](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/saas-specific-logic-function-code.html) 从多租户分发中直接检索特定租户的参数值。此外,[CloudFront KeyValueStore](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/kvs-with-functions.html) 提供灵活性,用于在边缘管理多租户用例。
## 客户评价
新的 CloudFront SaaS Manager 功能在 AWS 客户和合作伙伴中引起了极大兴趣。我们收集了从组织那里获得的初步反馈,这些组织已预览并评估了此功能,突出了其对安全、操作效率和可扩展性的影响。
[Salesforce](https://www.salesforce.com/) 是一家 SaaS 解决方案和 [全球战略合作伙伴](https://aws.amazon.com/featured-partners/salesforce/),为超过 150,000 组织提供 #1 CRM 和业务应用:
> *“新的 CloudFront SaaS Manager 大大降低了我们的服务成本,同时帮助我们更有效地管理 CDN 操作。新平台旨在减少我们的复杂性和风险,同时提高我们在为数十万客户管理数十亿内容资产时的可观察性。我们已经依赖 CloudFront 的性能和弹性来处理许多最具挑战性的客户工作负载。这些新功能使我们能够在整个企业中扩展该性能和可靠性。”*
>
> [Andy Sandefer](https://www.linkedin.com/in/andy-sandefer-6a9253112),Salesforce 资深软件工程总监
[SmugMug](https://www.smugmug.com/) 是一个在线平台,允许摄影师轻松通过精美、灵活的图库展示、自定义和销售照片:
> *“在 SmugMug,我们花了 20 多年时间帮助摄影师将他们的热情转化为利润,为全球数百万客户分发数十亿张照片。我们始终为客户服务,但不需要出现在他们的 URL 中——我们的客户可以选择使用自己的域。CloudFront SaaS Manager 将通过为他们的自定义域提供 CloudFront 的闪电般全球分发、智能缓存和额外安全层来令客户兴奋不已。”*
>
> Andrew Shieh,SmugMug 首席工程师
[Booking.com](https://www.booking.com/index.en-gb.html?label=gen173nr-1BCAEoggI46AdIM1gEaKoCiAEBmAEJuAEHyAEM2AEB6AEBiAIBqAIDuALN85_ABsACAdICJDNmMWRiNGJjLTExODctNGFiYy05NGJmLWM4MzhiN2E5ZDNmOdgCBeACAQ&sid=b44aa545f06490693fd9180b61b7e1b3&keep_landing=1&sb_price_type=total&) 是一家领先的 SaaS 旅行平台,每天连接数百万旅行者与难忘体验:
> *“新的 Amazon CloudFront SaaS Manager 功能代表了 Booking.com 管理 Edge/CDN 基础设施的变革性进步。我们预计在两个关键领域实现重大操作改进:将 CloudFront 分发整合到更易管理的规模,以及为我们的附属流量提供无缝迁移路径。CloudFront 与 AWS Certificate Manager 的集成,用于自动 TLS 证书管理,特别有价值,因为它加速了合作伙伴上板过程并使其更高效。”*
>
> Booking.com 全球流量分发团队
[AllCloud](https://allcloud.io/) 是 [AWS SaaS Competency 合作伙伴](https://aws.amazon.com/partners/saas-on-aws/partner-solutions/) 和 2024 年 AWS 全球 SaaS 咨询合作伙伴年度奖得主,提供云专业知识以推动业务转型:
> *“CloudFront SaaS Manager 将彻底改变我们帮助客户构建和扩展 SaaS 应用的方式,通过启用可通过单个模板分发管理数百万客户域的多租户架构。我期待与我们的解决方案架构师和工程团队分享这一即将到来的功能,因为它将改变我们为客户设计 SaaS 架构的方法。”*
>
> [Blake Green](https://www.linkedin.com/in/blakegreen2/),AllCloud 云工程资深经理
[Design.com](https://www.design.com/) 是一个在线创意市场,为全球初创企业、企业和企业家服务:
> *“作为快速扩展的设计市场,我们托管数千个客户网站,管理不断增长的 Amazon CloudFront 分发在我们的基础设施中变得不可持续。CloudFront SaaS Manager 改变了我们的方法,允许我们的基础设施团队在显著降低工程开销的同时,维护企业级安全和性能。这使 Design.com 能够专注于构建帮助客户接触全球受众的功能,而不是管理数千个基础设施组件。”*
>
> [Paul McManus](https://www.linkedin.com/in/paulmcmanussydney/),Design.com 首席技术官
这些评价突出了对 CloudFront SaaS Manager 的日益兴奋。随着从创新初创企业到全球企业和 AWS 合作伙伴的组织开始实施此功能,我们预计 SaaS 生态系统中的安全、可扩展性和性能将得到显著提升。
## 结语
在本帖中,您了解了 Amazon CloudFront SaaS Manager,这是一个强大新功能,通过共享 CloudFront 分发的配置优化您的多租户架构。您探索了如何实施此功能,例如创建多租户分发、使用分发租户管理特定租户自定义,以及实施安全和加速配置的层级。CloudFront SaaS Manager 为您的 SaaS 架构和操作开辟了新可能性,使您能够更好地将基础设施效率与可扩展性需求对齐。
我们鼓励您探索此功能并立即开始优化您的 SaaS 架构。如帖子所述,您只需几步即可在环境中配置和实施 CloudFront SaaS Manager!
要了解更多,请访问 [CloudFront SaaS Manager](http://aws.amazon.com/cloudfront/features/saas-manager) 并阅读我们的 [文档](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-config-options.html)。
要了解 AWS 上的 SaaS,请访问 [AWS SaaS 资源](https://aws.amazon.com/saas/resources/)。
<!-- AI_TASK_END: AI全文翻译 -->