Connecter les blocs-notes Studio d'un VPC à des ressources externes - Amazon SageMaker AI
Communication par défaut avec InternetCommunication VPC only avec Internet

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connecter les blocs-notes Studio d'un VPC à des ressources externes

La rubrique suivante fournit des informations sur la manière de connecter les blocs-notes Studio d'un VPC à des ressources externes.

Communication par défaut avec Internet

Par défaut, SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic vers AWS des services, tels qu'Amazon S3 et Amazon CloudWatch, passe par une passerelle Internet. Le trafic qui accède à l' SageMaker API et à l'environnement d'exécution de l' SageMaker IA passe également par une passerelle Internet. Le trafic entre le domaine et le volume Amazon EFS passe par le VPC que vous avez identifié lors de votre intégration à Studio ou que vous avez appelé l'API. CreateDomain Le schéma suivant illustre la configuration par défaut.

SageMaker Schéma VPC de Studio illustrant l'utilisation de l'accès direct à Internet.

Communication VPC only avec Internet

Pour empêcher l' SageMaker IA de fournir un accès Internet à vos blocs-notes Studio, désactivez l'accès à Internet en spécifiant le type d'accès VPC only réseau. Spécifiez ce type d'accès réseau lorsque vous intégrez Studio ou que vous appelez l'CreateDomainAPI. Par conséquent, vous ne pourrez pas exécuter un bloc-notes Studio sauf si :

  • votre VPC dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT avec accès à Internet

  • vos groupes de sécurité autorisent les connexions sortantes

Le diagramme suivant montre une configuration pour utiliser le mode VPC uniquement.

SageMaker Schéma Studio VPC illustrant l'utilisation du mode VPC uniquement.

Exigences pour utiliser le mode VPC only

Si vous avez choisi VpcOnly, procédez comme suit :

  1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode VpcOnly.

  2. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d'adresse IP totale d'un domaine Studio est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Assurez-vous que l'utilisation de votre adresse IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis sur de nombreuses zones de disponibilité peut contribuer à améliorer la disponibilité des adresses IP. Pour plus d'informations, consultez la section Dimensionnement des VPC et des sous-réseaux pour. IPv4

    Note

    Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez Instances dédiées.

  3. Avertissement

    Lorsque vous utilisez le mode VpcOnly, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.

    Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :

    Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications du domaine ont accès à toutes les autres applications du domaine.

  4. Si vous souhaitez autoriser l'accès à Internet, vous devez utiliser une passerelle NAT avec accès Internet, par exemple via une passerelle Internet.

  5. Pour supprimer l'accès à Internet, créez des points de terminaison VPC d'interface (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker Temps d'exécution de l'IA :com.amazonaws.region.sagemaker.runtime. Ceci est nécessaire pour exécuter des blocs-notes Studio et pour entraîner et héberger des modèles.

    • Simple Storage Service (Amazon S3) : com.amazonaws.region.s3.

    • Pour utiliser SageMaker les projets :com.amazonaws.region.servicecatalog.

    • Tout autre AWS service dont vous avez besoin.

    Si vous utilisez le SDK SageMaker Python pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir de Amazon CloudWatch.

Note

Pour un client travaillant en mode VPC, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio ou entre et JupyterServer le. KernelGateway Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.

  • Vérifiez que l'URL de Studio est dans votre liste d'autorisations de réseaux.

  • Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est le cas de KernelGateway l'application InService, il se JupyterServer peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.

Pour plus d'informations