🌐

Route 53, CloudFront e Global Accelerator

⏱ 13 min de leitura·+70 XP

Performance global e resiliência começam na borda. Route 53 (DNS), CloudFront (CDN) e Global Accelerator (rede anycast) são os 3 serviços de edge da AWS — com papéis complementares. O SAA-C03 testa quando usar cada um, as routing policies do Route 53, e como combinar para HA global.

Onde isso entra no exame

📘 Domain 3 — Design High-Performing Architectures· 24%

Edge services cobrem performance E resiliência. Questões típicas: escolher routing policy, decidir CloudFront vs Global Accelerator, configurar failover cross-region, bloquear ataques com WAF na borda.

Amazon Route 53 — muito mais que DNS

Route 53 é DNS altamente disponível (SLA 100%) com health checks e 7 routing policies. É o único serviço AWS com SLA de 100% de uptime.

Tipo de registro	Uso
A	IPv4 → domínio
AAAA	IPv6 → domínio
CNAME	Alias para outro domínio (NÃO pode ser root/apex)
Alias (AWS)	Alias nativo AWS — pode ser no apex (exemplo.com); sem custo de query
MX	Mail exchanger
TXT	Texto (SPF, DKIM, domain verification)
NS	Nameservers autoritativos da zona
SOA	Start of Authority — metadata da zona

💡

CNAME vs Alias: CNAME não pode ser usado no apex (root) de um domínio. Alias (tipo AWS) pode — é como um CNAME mágico para recursos AWS (ALB, CloudFront, S3 website, API GW), sem custo de query DNS.

As 7 Routing Policies do Route 53

Policy	Quando usar
Simple	1 registro, 1 ou mais IPs (retorna todos aleatoriamente)
Weighted	Split de tráfego por peso (ex: 90% v1, 10% v2 para canary)
Latency-based	Menor latência entre múltiplas regiões
Failover	Active-passive DR (primário + secundário via health check)
Geolocation	Baseado em país/continente do usuário
Geoproximity	Geografia + bias (aumentar/diminuir "atração" de uma região)
Multi-value answer	Retorna até 8 healthy records, simulando LB com health check

Health Checks do Route 53

• Endpoint — HTTP/HTTPS/TCP a um domínio/IP com intervalo 10s ou 30s
• CloudWatch Alarm — health baseado em estado de um alarme CW
• Calculated — combinação lógica (AND/OR) de outros health checks
• Global, executados de vários pontos — você configura quantos devem falhar para marcar unhealthy
• SNS integration: notifica quando estado muda

Amazon CloudFront — CDN da AWS

🗺️ CloudFront: conteúdo cacheado perto do usuário


   Usuário (São Paulo)         Usuário (Londres)
        │                           │
        ▼                           ▼
   Edge Location (GRU)        Edge Location (LHR)
        │  cache hit?              │  cache hit?
        │  sim → responde          │  sim → responde
        │  não → busca origin      │  não → busca origin
        │                          │
        └─────────► Origin ◄───────┘
              (S3 bucket, ALB, EC2, on-prem)

Conceitos-chave:

• Distribution — configuração central (domínio, origin, behaviors)
• Origin — de onde vem o conteúdo (S3, ALB, EC2, on-prem)
• Behavior — regra por path pattern (/*.jpg cachear 1 dia, /api/* nunca cachear)
• Cache key — o que identifica um cache hit (URL + headers + cookies selecionados)
• TTL — tempo que o objeto fica no cache (min/default/max)
• OAC (Origin Access Control) — força acesso ao S3 apenas via CloudFront (bloqueia direct access)
• Signed URLs / Cookies — conteúdo privado com expiração
• Lambda@Edge / CloudFront Functions — lógica customizada na borda
• Invalidation — força remoção de cache antes do TTL (primeiros 1000/mês grátis)

CloudFront Functions vs Lambda@Edge

Aspecto	CloudFront Functions	Lambda@Edge
Runtime	JavaScript (ES5) minimalista	Node.js ou Python
Duração max	1 ms	Viewer 5s / Origin 30s
Memória	2 MB	Até 10 GB (origin) / 128 MB (viewer)
Onde roda	Edge Locations (global)	Regional Edge Caches
Custo	$0,10 por milhão requests	$0,60 + duração
Uso típico	Header manipulation, URL rewrite, auth leve	Lógica complexa, chamadas a APIs, MD5

AWS Global Accelerator

🗺️ Global Accelerator: 2 IPs anycast globais


   Usuário em ────► IP estático anycast ───► Edge AWS ───► Backbone AWS ───► ALB/NLB/EC2
   qualquer lugar    (2 IPs globais)        (mais próximo)                  (em região específica)

• Fornece 2 IPs anycast estáticos — mesmos IPs globalmente
• Tráfego entra no Edge mais próximo, atravessa a backbone AWS até o endpoint
• Health checks automáticos — failover para endpoints saudáveis
• Endpoints: ALB, NLB, EC2, Elastic IP
• Suporta qualquer TCP/UDP (ideal para gaming, IoT, VoIP, non-HTTP)
• Custo: $0,025/h + premium de data transfer

💡

Global Accelerator vs CloudFront: CloudFront é HTTP/HTTPS + cache. Global Accelerator é TCP/UDP + roteamento ótimo pela backbone (não cacheia). Para sites: CloudFront. Para gaming/VoIP/APIs com tráfego dinâmico que beneficia de redução de jitter: GA.

Padrões de arquitetura de edge

🗺️ Stack típico para app web global


   Usuário → Route 53 (latency routing)
                │
                ├──► CloudFront (cache estático)
                │       │
                │       └─► S3 (HTML/CSS/JS)
                │
                └──► CloudFront (APIs dinâmicas)
                        │
                        └─► ALB (us-east-1)
                                │
                                └─► EC2 / ECS / Lambda

CloudFront + WAF + Shield

Combo padrão para proteção na borda: Shield (DDoS L3/L4) é grátis e automático. WAF (L7) filtra requests maliciosos antes de chegarem no origin. CloudFront absorve picos antes do ALB. Reduz custo do origin e protege contra ataques.

Cenários de decisão

📋 Blog estático em S3, quer servir globalmente com HTTPS e custom domain

✓ CloudFront + ACM certificate + Alias Route 53 para distribution

CloudFront cacheia HTML/assets perto do usuário, suporta HTTPS com ACM grátis, integra direto com S3 via OAC. Route 53 Alias aponta apex sem custo.

📋 Game online que precisa de baixa latência UDP e failover entre regiões

✓ AWS Global Accelerator com endpoints em múltiplas regiões

UDP não passa por CloudFront. GA oferece 2 IPs anycast, roteamento pela backbone (estável), health checks com failover automático. Ideal para jogo stateful.

📋 Site SaaS com usuários globais precisa preferir us-east-1 mas ir para eu-west-1 se us cair

✓ Route 53 com Failover routing + health checks

Failover policy é purpose-built para active-passive. Health check no primário; se unhealthy, Route 53 responde com secundário automaticamente.

📋 Canary deploy — mandar 5% do tráfego para nova versão, 95% para estável

✓ Route 53 Weighted routing

Weighted policy com weights 5 e 95 faz split percentual por DNS. Ajuste gradual aumentando weight da nova versão.

📋 Streaming de vídeo com usuários em 40 países — deve servir do ponto mais próximo geograficamente

✓ CloudFront (com Regional Edge Caches)

CloudFront cacheia vídeo segmentado em Edge Locations. Usuário baixa chunks do Edge mais próximo. Streaming ganha 10x em latência e bandwidth vs origin direto.

⚠️

Pegadinhas de edge no SAA:

• CNAME não no apex — use Alias para exemplo.com.
• Latency routing ≠ Geolocation — latency é medido; geolocation é por país.
• CloudFront não acelera APIs stateful bem — para WebSocket/gRPC/UDP, use Global Accelerator.
• Shield Advanced é pago ($3k/mês) e inclui cobertura de scaling costs durante DDoS, DRT 24/7.
• CloudFront é HTTPS-capable — via ACM (grátis) no certificado. Origins podem ser HTTP.
• OAI está deprecated — use OAC para S3. Para ALB, use secret header + WAF rule.

Perguntas típicas (Q&A)

❓ Como bloquear o acesso direto ao S3 e forçar tráfego via CloudFront?

Use Origin Access Control (OAC). CloudFront assina requests ao S3; bucket policy permite apenas requests com assinatura válida do distribution. Acesso direto ao S3 retorna 403.

❓ Route 53 pode hospedar domínio comprado em outro registrar (ex: GoDaddy)?

Sim. Crie a Hosted Zone no Route 53; você recebe 4 nameservers (NS records). No registrar de origem, aponte os NS para esses — zero downtime se bem feito.

❓ Diferença entre private e public Hosted Zone?

Public = resolve na internet. Private = associada a VPCs, resolve apenas dentro delas. Ideal para domínios internos (ex: db.internal.corp) que não devem aparecer publicamente.

❓ Como reduzir custo de transferência de dados em CloudFront?

(1) Aumentar TTL para reduzir origin fetches. (2) Usar Price Class 100 ou 200 para servir só de regiões mais baratas (sacrifica latência para regiões caras). (3) Compressão automática (Brotli/Gzip). (4) Origin Shield (adiciona camada intermediária reduzindo origin load).

✅

Take-aways: Route 53 = DNS com health checks + 7 routing policies (Simple, Weighted, Latency, Failover, Geo, Geoproximity, Multi-value). Alias permite registros no apex. CloudFront = CDN HTTP/S com edges globais, OAC para S3, WAF/Shield na borda. Global Accelerator = 2 IPs anycast + backbone AWS, ideal para TCP/UDP non-HTTP. Stack típico: Route 53 → CloudFront (cache) → ALB → compute. Para non-HTTP: Route 53 → GA → NLB/EC2.

🧩

Quiz rápido

3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito