Amazon CloudFront é uma rede de entrega de conteúdo seguro e programável. Algumas das características de segurança do CloudFront incluem criptografia de nível de campo e proteção contra-ataques DDoS de rede e camada de aplicativos.

Solicite um certificado SSL personalizado

Parte da sua configuração de distribuição Cloudfront inclui o aplicativo de um certificado SSL personalizado. Como isso pode levar de alguns minutos a várias horas para ser concluído, nós recomendamos solicitar o certificado SSL personalizado antes de iniciar o processo de criação de uma nova distribuição.

Caso você ainda não tem uma conta AWS, você pode criar uma aqui. Uma vez conectado à sua conta AWS, procure por “gerenciador de certificados” usando a caixa de busca na barra de menu, e clique em Certificate Manager em Services.

Clique em Certificate Manager e depois Services na sua conta CloudFront.
Clique em Certificate Manager e depois Services na sua conta CloudFront.

No Certificate Manager, clique no botão Request a certificate.

Clique no botão Request a certificate button in AWS Certificate Manager.
Clique no botão Request a certificate button in AWS Certificate Manager.

Na página seguinte, selecione Request a public certificate e clique no botão Request a certificate.

Selecione Request a public certificate e clique no botão Request a certificate
Selecione Request a public certificate e clique no botão Request a certificate

Adicionando nomes de domínio

No formulário Request a certificate form, adicione seu domínio personalizado (o domínio principal do seu site na Kinsta) à lista de nomes de domínio (se você estiver adicionando um domínio raiz, certifique-se de adicionar o domínio não-www e www ou adicione o domínio wildcard como *.example.com), e clique em Next.

Adicione seu domínio personalizado ao pedido de certificado SSL em AWS Certificate Manager.
Adicione seu domínio personalizado ao pedido de certificado SSL em AWS Certificate Manager.

Validando o domínio

Na próxima tela, você escolherá a validação de e-mail ou DNS para o seu certificado SSL. Escolha a opção que funciona melhor para você.

Caso o seu registro de domínio não tem proteção de privacidade que esconde suas informações de contato de pesquisas WHOIS, ou se o e-mail enviado para o endereço de e-mail proxy for encaminhado para o seu endereço de e-mail real, você pode usar o método de validação de e-mail para validar seu pedido de certificado.

Se você não puder receber e-mails no endereço de e-mail mostrado nas buscas WHOIS, você precisará usar o método de validação DNS.

Validando o E-mail

Selecione Email validation e clique no botão Next para iniciar a validação do e-mail.

Iniciar validação de e-mail para o certificado AWS SSL.
Iniciar validação de e-mail para o certificado AWS SSL.

Você receberá até 8 e-mails para cada domínio que você adicionou ao certificado, e você precisará agir em pelo menos um e-mail para cada domínio para completar a validação.

Validando o DNS

Para usar este método, selecione o método de validação DNS e clique no botão Next.

Validação DNS do Amazon Certificate Manager para certificado SSL.
Validação DNS do Amazon Certificate Manager para certificado SSL.

Na página Add tags, sinta-se à vontade para adicionar algumas tags opcionais se necessário, e clique em Review  para prosseguir para o próximo passo.

Reveja o pedido de certificado SSL.
Reveja o pedido de certificado SSL.

Na página de Review, clique no botão Confirm and request para prosseguir para a etapa de validação.

Confirmar pedido de certificado SSL.
Confirmar pedido de certificado SSL.

Na página seguinte, clique na seta ao lado do seu nome de domínio personalizado para visualizar os detalhes do CNAME para validação. Você precisará criar um registro CNAME para o seu domínio personalizado com estes detalhes.

Detalhes do registro CNAME para validação do domínio.
Detalhes do registro CNAME para validação do domínio.

Para adicionar este novo registro CNAME, entre no local onde você gerencia o DNS do seu domínio. Para este exemplo, nós lhe mostraremos como adicionar o registro CNAME no DNS da Kinsta. Caso você tem um provedor DNS diferente (pode ser seu registrador ou outro host DNS, dependendo de onde você apontou os servidores de nomes do seu domínio), os passos podem ser um pouco diferentes.

  1. Clique em DNS na barra lateral esquerda de navegação no MyKinsta.
  2. Clique no link Gerenciar para o domínio ao qual você deseja adicionar um registro DNS.
  3. Clique no botão Adicionar um registro DNS.
  4. Clique na aba CNAME e adicione o Hostname (tudo antes do seu domínio personalizado no campo Nome da CloudFront) e Apontar para (Value from CloudFront). Clique no botão Adicionar registro DNS para salvar seu novo registro CNAME.

Nota: Dependendo da configuração TTL do seu registro DNS, pode levar de alguns minutos a horas para que o registro DNS se propague.

Adicionar um registro CNAME para validação AWS SSL.
Adicionar um registro CNAME para validação AWS SSL.

Volte para a página de validação do CloudFront e clique em Continue.

Continuar a validação do DNS.
Continuar a validação do DNS.

Uma vez que o registro CNAME se propagar e tiver sido validado, o status do certificado SSL mudará de Pending para Issued.

Certificado SSL emitido no Amazon Certificate Manager
Certificado SSL emitido no Amazon Certificate Manager

Seu novo certificado SSL está pronto para ser usado com sua nova distribuição CloudFront, e você pode começar a configurar isso agora.

Configure e implante a zona CloudFront

O próximo passo é configurar e implantar uma zona CloudFront. Em sua conta AWS, procure por “CloudFront” usando a caixa de busca na barra de menu, e clique em CloudFront em Services.

Selecione CloudFront em Serviços em AWS.
Selecione CloudFront em Serviços em AWS.

A seguir, clique em Create a CloudFront distribution.

Criar uma distribuição CloudFront.
Criar uma distribuição CloudFront.

Você pode configurar os detalhes para uma nova zona CloudFront na página Criar Distribuição. Recomendamos a configuração abaixo para a máxima compatibilidade com a integração do Kinsta Cloudflare.

Origem

Configurações de origem recomendadas:

  • Domínio Origem: O domínio kinsta.cloud do seu site (em nosso exemplo aqui: myawewsomesite.kinsta.cloud). CloudFront não aceita um endereço IP como origem, então você deve usar o domínio kinsta.cloud do seu site neste campo.
    Os 3 campos seguintes aparecem assim que você entra no seu domínio de origem:
    • Protocol: HTTPS only
    • HTTPS Port: 443
    • Minimum Origin SSL Protocol: TLSv1
  • Origin path: Deixe isso em branco.
  • Name (optional): Você pode inserir um nome personalizado para a origem aqui, mas não é necessário.
  • Enable Origin Shield: Não.
Configurações de origem recomendadas para a distribuição CloudFront.
Configurações de origem recomendadas para a distribuição CloudFront.

Comportamento padrão do cache

Ao configurar as configurações de comportamento do cache, você precisará criar duas políticas de CloudFront: política de cache e política de solicitação, que delineamos para você abaixo.

Configurações recomendadas para a seção Default Cache Behavior:

  • Padrão de Caminho: Padrão.
  • Comprimir Objetos Automaticamente: Sim.
  • Política de Protocolo do Visualizador: Redirecionar HTTP para HTTPS.
  • Métodos HTTP permitidos: GET, HEAD, OPTIONS, PUT, PUT, POST, PATCH, DELETE.
  • Acesso Restrito do Visualizador: Não.
  • Cache key e pedidos de origem: Política de Cache e política de solicitação de origem.
    • Política de Cache: Selecione sua nova política de cache personalizada (veja os passos para criar abaixo).
    • Política de solicitação de origem: Selecione sua nova política de solicitação de origem personalizada (veja os passos para criar abaixo).
Configurações recomendadas de comportamento de cache para distribuição CloudFront.
Configurações recomendadas de comportamento de cache para distribuição CloudFront.

Como criar uma política de cache CloudFront

Na seção Cache policy , clique em Create policy. Isto irá lançar a página de criação de política de cache em uma nova aba em seu navegador.

Criar uma política de cache na CloudFront.
Criar uma política de cache na CloudFront.

Na seção Details, especifique um nome (por exemplo, KinstaCachePolicy) para a política de cache.

Na seção Configurações TTL, use as seguintes configurações:

  • Mínimo TTL: 0
  • TTL máximo: 31536000
  • TTL padrão: 86400

Na seção de Cache key settings, use as seguintes configurações:

  • Cabeçalhos: Nenhum
  • Query Strings: Todos
  • Cookies: Todos

Na seção de Compression support , verifique Gzip e Brotli, depois pressione o botão Create.

Configurações de política de cache recomendadas no CloudFront
Configurações de política de cache recomendadas no CloudFront

Feche esta aba do navegador e volte para a aba onde você está criando sua nova distribuição CloudFront.

Clique no botão atualizar próximo ao menu suspenso Cache policy e selecione sua nova política de cache personalizada no menu suspenso.

Selecione sua política de cache personalizada.
Selecione sua política de cache personalizada.

Como criar uma política de solicitação de origem CloudFront

Na seção Origin request policy, clique em Create policy. Isto irá lançar a página Create origin request policy em uma nova aba em seu navegador.

Criar uma política de solicitação de Origem na CloudFront.
Criar uma política de solicitação de Origem na CloudFront.

Na seção Details, especifique um nome (por exemplo, KinstaOriginPolicy) para a política de solicitação de origem.

Na seção Origin request settings, selecione o seguinte:

  • Cabeçalhos: Todos os cabeçalhos dos telespectadores
  • Query Strings: Todos
  • Cookies: Todos

Clique no botão Create para finalizar a política de solicitação.

Configurações da política de solicitação de origem CloudFront.
Configurações da política de solicitação de origem CloudFront.

Feche esta aba do navegador e volte para a aba onde você está criando sua nova distribuição CloudFront.

Clique no botão atualizar ao lado do dropdown da Origin request policy e selecione sua nova política de solicitação de origem personalizada no dropdown.

Selecione sua política de solicitação de origem personalizada no menu suspenso Política de solicitação de origem.
Selecione sua política de solicitação de origem personalizada no menu suspenso Política de solicitação de origem.

Associações de funções

Recomendamos não definir nenhuma Function Associations. Estas permitem que você atribua funções AWS Lambda sem servidor a diferentes gatilhos no ciclo de vida da solicitação (por exemplo, solicitação do visualizador, resposta do visualizador, solicitação de origem, etc.).

Embora seja possível usar associações de funções ao lado do CDN da Kinsta, pode haver alguns cenários onde uma função Lambda pode entrar em conflito com o CDN da Kinsta. Se você gostaria de usar funções Lambda personalizadas em seu site, nós recomendamos trabalhar com um desenvolvedor para solucionar problemas se eles surgirem.

Configurações

Configuração recomendada para a seção Settings:

  • Classe de preço: Selecione as regiões CloudFront que você gostaria de usar com o seu site.
  • AWS WAF Web ACL: Caso você precise criar uma ACL com regras de firewall personalizadas, recomendamos trabalhar com um especialista em AWS para evitar conflitos com o CDN da Kinsta.
  • Nome de Domínio Alternativo: Clique em Adicionar item e especifique o domínio personalizado (o domínio principal do seu site na Kinsta).
  • Certificado SSL personalizado: Selecione o certificado SSL personalizado que você criou no início deste tutorial.
    Você verá algumas opções adicionais após selecionar o certificado SSL personalizado:
    • Suporte a clientes legacy: Deixe isso desmarcado/desmarcado.
    • Política de Segurança: TLSv1.2_2021
  • Versões HTTP Suportadas: HTTP/2
  • Logon padrão: Desligado
  • IPv6: Em
Salve as configurações de distribuição para criar sua nova zona CloudFront
Salve as configurações de distribuição para criar sua nova zona CloudFront

Clique no botão Create distribution para finalizar a criação da sua nova zona CloudFront.

Solucionando problemas comuns da CloudFront

Erros 502

Se você ver erros 502 em seu site após criar sua distribuição CloudFront, verifique duas vezes o Domínio de Origem em suas Configurações de Origem. Este precisa ser o domínio kinsta.cloud do seu site, não o seu domínio ao vivo.

As mudanças não estão aparecendo em seu site

Configurando seu site para usar o CloudFront cria uma camada adicional de cache que precisará ser limpa a qualquer momento que você precisar limpar o cache. Caso você estiver tendo problemas para ver mudanças em seu site ou se um plugin não estiver se comportando como esperado após a instalação ou reinstalação, certifique-se de limpar o cache em todos os níveis, inclusive:

  1. Plugins (se aplicável)
  2. Temas (se aplicável)
  3. Cache do site/servidor na Kinsta (tanto do MyKinsta quanto do plugin Kinsta MU)
  4. Cache do CloudFront (Faça isso invalidando objetos. Usar /* para o caminho do objeto para invalidar irá limpar todo o cache)
  5. Cache do navegador

Endereço IP Bloqueado por falso positivo

Se você tiver a mitigação DDoS ou a detecção de bot habilitada no CloudFront e você ou um visitante do site estiver sendo bloqueado incorretamente de visualizar seu site, isto pode ser devido a um falso positivo. Caso isso acontecer, você precisará trabalhar tanto com o suporte AWS quanto com o Suporte Kinsta para identificar onde o bloqueio está ocorrendo.

Loops redirecionados HTTP-HTTPS

Se algum loop de redirecionamento HTTP para HTTPS ocorrer, certifique-se de que o Protocol está definido para HTTPS Only nas configurações de Origin do seu domínio CloudFront.

Redirecionamento da Geolocalização IP não funciona corretamente

O Cache de Página, habilitado por padrão no CloudFront, pode interferir em qualquer redirecionamento de Geolocalização IP que você definir na Kinsta. Caso isso ocorrer, você precisará desativar o cache no CloudFront ou configurar sua política de cache para armazenar apenas os arquivos que não são específicos de um local. Se você tiver problemas para configurar isso, nós recomendamos trabalhar com um desenvolvedor para configurar sua política de cache personalizado.

Não é possível fazer login no Painel de Controle do WordPress

O login não vai funcionar sem o suporte do POST. Outras funcionalidades no site também podem ser afetadas. Certifique-se de que os Allowed HTTP methods sob o Default cache behavior estão definidos para GET, HEAD, OPTIONS, PUT, PUT, POST, PATCH, e DELETE.

Configurações avançadas e compatibilidade

Restringindo o acesso do visualizador com URLs e cookies assinados

Algumas opções, tais como restringir o acesso a arquivos sobre origens personalizadas, podem não funcionar porque o Cloudflare sempre armazenará as solicitações estáticas.