Ofrezca a los trabajos de SageMaker formación acceso a los recursos de su Amazon VPC - Amazon SageMaker
Configurar un trabajo de formación para Amazon VPC AccessConfigura tu equipo privado VPC para la SageMaker formación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ofrezca a los trabajos de SageMaker formación acceso a los recursos de su Amazon VPC

nota

Para los trabajos de formación, solo puedes configurar subredes con un arrendamiento predeterminado VPC en el que la instancia se ejecute en hardware compartido. Para obtener más información sobre el atributo de arrendamientoVPCs, consulte Instancias dedicadas.

Configurar un trabajo de formación para Amazon VPC Access

Para controlar el acceso a tus trabajos de formación, ejecútalos en Amazon VPC con subredes privadas que no tengan acceso a Internet.

Para configurar el trabajo de formación para que se ejecute en él, especifique sus subredes y su grupo de seguridad. VPC IDs No es necesario especificar la subred para el contenedor del trabajo de entrenamiento. Amazon extrae SageMaker automáticamente la imagen del contenedor de entrenamiento de AmazonECR.

Al crear un trabajo de formación, puede especificar sus subredes y grupos de seguridad VPC mediante la SageMaker consola de Amazon o laAPI.

Para utilizarlosAPI, debe especificar las subredes y el grupo de seguridad IDs en el VpcConfig parámetro de la CreateTrainingJoboperación. SageMaker utiliza los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de entrenamiento. Las interfaces de red proporcionan a los contenedores de formación una conexión de red dentro de la suya. VPC Esto permite que el trabajo de formación se conecte a los recursos que existen en suVPC.

A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a la operación CreateTrainingJob:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configura tu equipo privado VPC para la SageMaker formación

Al configurar el sistema privado VPC para sus trabajos de SageMaker formación, siga las siguientes instrucciones. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.

Cómo asegurar que las subredes dispongan de suficientes direcciones IP

Las instancias de entrenamiento que no usen un adaptador Elastic Fabric (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan an EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulta Múltiples direcciones IP en la Guía del EC2 usuario de Amazon.

Sus VPC subredes deben tener al menos dos direcciones IP privadas para cada instancia de un trabajo de formación. Para obtener más información, consulte VPCDimensionamiento de subredes IPv4 en la Guía del VPCusuario de Amazon.

Creación de un VPC punto de conexión Amazon S3

Si configura sus contenedores de entrenamiento VPC para que no tengan acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos de entrenamiento a menos que cree un VPC punto final que permita el acceso. Al crear un VPC punto final, permites que tus contenedores de entrenamiento accedan a los depósitos en los que guardas tus datos y modelas los artefactos. Te recomendamos que también crees una política personalizada que permita que solo las solicitudes de tu cuenta privada accedan VPC a tus depósitos de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.

Para crear un VPC punto final de S3:

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).

  3. Para el nombre del servicio, busca com.amazonaws.region.s3, donde region es el nombre de la región en la que VPC reside.

  4. Elija el tipo de puerta de enlace.

  5. Para VPC, elija el VPC que desee usar para este punto final.

  6. En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El VPC servicio agrega automáticamente una ruta a cada tabla de rutas que seleccione para dirigir el tráfico de S3 al nuevo punto final.

  7. En Política, elija Acceso total para permitir el acceso total al servicio S3 por parte de cualquier usuario o servicio delVPC. Elija Personalizado para restringir el acceso más. Para obtener más información, consulte Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3.

Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3

La política de puntos finales predeterminada permite el acceso total a S3 para cualquier usuario o servicio de su empresaVPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3. También puedes usar una política de buckets para restringir el acceso a tus buckets de S3 únicamente al tráfico que provenga de tu AmazonVPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.

Restringir la instalación de paquetes en el contenedor de capacitación

La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configurar tablas de ruteo

Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utilizas la DNS configuración predeterminada, asegúrate de que la URLs que utilizas para especificar las ubicaciones de los datos en tus tareas de entrenamiento se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.

Configure el grupo VPC de seguridad

En la capacitación distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de capacitación. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. En el caso de las instancias EFA habilitadas, asegúrese de que las conexiones entrantes y salientes permitan todo el tráfico del mismo grupo de seguridad. Para obtener más información, consulte Reglas del grupo de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.

Conéctese a recursos ajenos a su VPC

Si configura el suyo VPC para que no tenga acceso a Internet, los trabajos de formación que lo utilizan VPC no tienen acceso a recursos ajenos al suyoVPC. Si tu trabajo de formación necesita acceso a recursos ajenos al tuyoVPC, proporciona acceso con una de las siguientes opciones:

  • Si su trabajo de formación necesita acceder a un AWS servicio que admita VPC puntos finales de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de los servicios que admiten puntos de enlace de interfaz, consulte VPCPuntos finales en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información sobre la creación de un VPC punto final de interfaz, consulte Interface VPC Endpoints (AWS PrivateLink) en la Guía del usuario de Amazon Virtual Private Cloud.

  • Si su trabajo de formación requiere acceso a un AWS servicio que no admite VPC puntos de enlace de interfaz o a un recurso externo AWS, cree una NAT puerta de enlace y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre cómo configurar una NAT puerta de enlace para ustedVPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.

Supervise los trabajos de SageMaker formación de Amazon con CloudWatch registros y métricas

Amazon SageMaker proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de memoria CPUGPU, GPU memoria y disco y registro de eventos. Para obtener más información sobre la supervisión de los trabajos de SageMaker formación de Amazon, consulte Métricas para monitorizar Amazon SageMaker con Amazon CloudWatch ySageMaker métricas de puestos de trabajo y puntos finales.