Amazon SageMaker Studio in a mit VPC externen Ressourcen Connect - Amazon SageMaker
Standardkommunikation mit dem InternetVPC only Kommunikation mit dem Internet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon SageMaker Studio in a mit VPC externen Ressourcen Connect

Wichtig

Seit dem 30. November 2023 heißt das vorherige Amazon SageMaker Studio-Erlebnis jetzt Amazon SageMaker Studio Classic. Der folgende Abschnitt bezieht sich speziell auf die Nutzung des aktualisierten Studio-Erlebnisses. Informationen zur Verwendung der Studio Classic-Anwendung finden Sie unterAmazon SageMaker Studio Classic.

Das folgende Thema enthält Informationen darüber, wie Sie Amazon SageMaker Studio in a VPC mit externen Ressourcen verbinden.

Standardkommunikation mit dem Internet

Standardmäßig bietet Amazon SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über ein VPC verwaltetes von ermöglicht SageMaker. Der Datenverkehr zu AWS Diensten wie Amazon S3 erfolgt über ein Internet-Gateway, ebenso wie der Verkehr, der auf die SageMaker Runtime SageMaker API zugreift. CloudWatch Der Datenverkehr zwischen der Domain und Ihrem EFS Amazon-Volumen wird über den Datenverkehr VPC abgewickelt, den Sie bei der Registrierung für die Domain angegeben haben oder die aufgerufen haben. CreateDomainAPI

VPC only Kommunikation mit dem Internet

Um zu SageMaker verhindern, dass Sie Studio Zugriff auf das Internet gewähren, können Sie den Internetzugang deaktivieren, indem Sie den VPC only Netzwerkzugriffstyp angeben, wenn Sie Studio einbinden oder den anrufen. CreateDomainAPI Daher können Sie Studio nur ausführen, wenn Sie VPC über einen Schnittstellenendpunkt zur AND-Runtime oder über ein NAT Gateway mit Internetzugang verfügen und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. SageMaker API

Anmerkung

Der Netzwerkzugriffstyp kann nach der Erstellung der Domäne mithilfe des --app-network-access-type Parameters des Befehls update-domain geändert werden.

Voraussetzungen für die Nutzung des VPC only Modus

Wenn Sie VpcOnly ausgewählt haben, führen Sie die folgenden Schritte aus:

  1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im VpcOnly Modus verwenden.

  2. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Domäne ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domäne angegeben wurden. Stellen Sie sicher, dass Ihre geschätzte IP-Adressnutzung die Kapazität nicht überschreitet, die von der Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter VPCund Subnetzdimensionierung für. IPv4

    Anmerkung

    Sie können nur Subnetze mit einer Standardtenancy konfigurieren, VPC in der Ihre Instance auf gemeinsam genutzter Hardware ausgeführt wird. Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.

  3. Warnung

    Wenn Sie den VpcOnly Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehende Nachrichten könnten es Benutzern mit Zugriff auf die ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile VPC zu interagieren.

    Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:

    Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, hätten alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.

  4. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein NATGateway mit Internetzugang verwenden, z. B. über ein Internet-Gateway.

  5. Wenn Sie den Internetzugang nicht zulassen möchten, erstellen Sie VPC Schnittstellenendpunkte (AWS PrivateLink), damit Studio auf die folgenden Dienste mit den entsprechenden Dienstnamen zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Sie VPC zuordnen.

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker Laufzeit:com.amazonaws.region.sagemaker.runtime. Dies ist erforderlich, um Studio-Notebooks auszuführen und Modelle zu trainieren und zu hosten.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Projekte:com.amazonaws.region.servicecatalog.

    • SageMaker Studio:aws.sagemaker.region.studio.

    • Alle anderen AWS Dienstleistungen, die Sie benötigen.

    Wenn Sie SageMaker Python verwendenSDK, um Ferntrainingsjobs auszuführen, müssen Sie auch die folgenden VPC Amazon-Endpunkte erstellen.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Dies ist erforderlich, damit SageMaker Python SDK den Status des Ferntrainingsjobs abrufen kann Amazon CloudWatch.

  6. Wenn Sie die Domain im VpcOnly Modus von einem lokalen Netzwerk aus verwenden, stellen Sie eine private Konnektivität vom Netzwerk des Hosts her, auf dem Studio im Browser ausgeführt wird, und dem VPC Ziel-Amazon. Dies ist erforderlich, da die Studio-Benutzeroberfläche AWS Endpunkte mithilfe von API Aufrufen mit temporären Anmeldeinformationen aufruft. AWS Diese temporären Anmeldeinformationen sind der Ausführungsrolle des protokollierten Benutzerprofils zugeordnet. Wenn die Domain im VpcOnly Modus in einem lokalen Netzwerk konfiguriert ist, definiert die Ausführungsrolle möglicherweise IAM Richtlinienbedingungen, die die Ausführung von AWS API Serviceaufrufen nur über die konfigurierten VPC Amazon-Endpunkte erzwingen. Dadurch API schlagen Aufrufe fehl, die über die Studio-Benutzeroberfläche ausgeführt werden. Wir empfehlen, dieses Problem mithilfe einer Oder-Verbindung zu lösen. AWS Site-to-Site VPNAWS Direct Connect

Anmerkung

Bei Kunden, die im VPC Modus arbeiten, können Firmenfirewalls zu Verbindungsproblemen mit Studio oder Anwendungen führen. Führen Sie die folgenden Prüfungen durch, wenn Sie Studio hinter einer Firewall verwenden, auf eines dieser Probleme stoßen.

  • Stellen Sie sicher, dass das Studio URL und URLs alle Ihre Anwendungen auf der Zulassungsliste Ihres Netzwerks stehen. Beispielsweise:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Stellen Sie sicher, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websockets.

Weitere Informationen