Hubungkan notebook Studio di VPC ke sumber daya eksternal - Amazon SageMaker AI
Komunikasi default dengan internetVPC onlykomunikasi dengan internet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hubungkan notebook Studio di VPC ke sumber daya eksternal

Topik berikut memberikan informasi tentang cara menghubungkan Studio Notebook di VPC ke sumber daya eksternal.

Komunikasi default dengan internet

Secara default, SageMaker Studio menyediakan antarmuka jaringan yang memungkinkan komunikasi dengan internet melalui VPC yang dikelola oleh SageMaker AI. Lalu lintas ke AWS layanan, seperti Amazon S3 dan CloudWatch, melewati gateway internet. Lalu lintas yang mengakses runtime SageMaker API dan SageMaker AI juga melewati gateway internet. Lalu lintas antara domain dan volume Amazon EFS melewati VPC yang Anda identifikasi saat Anda onboard ke Studio atau dipanggil API. CreateDomain Diagram berikut menunjukkan konfigurasi default.

SageMaker Diagram VPC Studio yang menggambarkan penggunaan akses internet langsung.

VPC onlykomunikasi dengan internet

Untuk menghentikan SageMaker AI menyediakan akses internet ke notebook Studio Anda, nonaktifkan akses internet dengan menentukan jenis akses VPC only jaringan. Tentukan jenis akses jaringan ini saat Anda onboard ke Studio atau panggil CreateDomainAPI. Akibatnya, Anda tidak akan dapat menjalankan notebook Studio kecuali:

  • VPC Anda memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway NAT dengan akses internet

  • grup keamanan Anda mengizinkan koneksi keluar

Diagram berikut menunjukkan konfigurasi untuk menggunakan mode VPC saja.

SageMaker Diagram VPC Studio yang menggambarkan penggunaan mode VPC saja.

Persyaratan untuk menggunakan VPC only mode

Saat Anda memilihVpcOnly, ikuti langkah-langkah ini:

  1. Anda harus menggunakan subnet pribadi saja. Anda tidak dapat menggunakan subnet publik dalam VpcOnly mode.

  2. Pastikan subnet Anda memiliki jumlah alamat IP yang diperlukan. Jumlah yang diharapkan dari alamat IP yang dibutuhkan per pengguna dapat bervariasi berdasarkan kasus penggunaan. Kami merekomendasikan antara 2 dan 4 alamat IP per pengguna. Total kapasitas alamat IP untuk domain Studio adalah jumlah alamat IP yang tersedia untuk setiap subnet yang disediakan saat domain dibuat. Pastikan bahwa penggunaan alamat IP Anda tidak lebih dari kapasitas yang didukung oleh jumlah subnet yang Anda berikan. Selain itu, menggunakan subnet yang didistribusikan di banyak zona ketersediaan dapat membantu ketersediaan alamat IP. Untuk informasi selengkapnya, lihat ukuran VPC dan subnet untuk. IPv4

    catatan

    Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat Instans Khusus.

  3. Awas

    Saat menggunakan VpcOnly mode, Anda sebagian memiliki konfigurasi jaringan untuk domain. Kami merekomendasikan praktik keamanan terbaik untuk menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang disediakan aturan grup keamanan. Konfigurasi aturan masuk yang terlalu permisif dapat memungkinkan pengguna dengan akses ke VPC untuk berinteraksi dengan aplikasi profil pengguna lain tanpa otentikasi.

    Siapkan satu atau beberapa grup keamanan dengan aturan masuk dan keluar yang memungkinkan lalu lintas berikut:

    Buat grup keamanan yang berbeda untuk setiap profil pengguna dan tambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain.

  4. Jika Anda ingin mengizinkan akses internet, Anda harus menggunakan gateway NAT dengan akses ke internet, misalnya melalui gateway internet.

  5. Untuk menghapus akses internet, buat antarmuka VPC endpoint (AWS PrivateLink) untuk memungkinkan Studio mengakses layanan berikut dengan nama layanan yang sesuai. Anda juga harus mengaitkan grup keamanan untuk VPC Anda dengan titik akhir ini.

    • SageMaker API: com.amazonaws.region.sagemaker.api

    • SageMaker Runtime AI:com.amazonaws.region.sagemaker.runtime. Ini diperlukan untuk menjalankan notebook Studio dan untuk melatih dan meng-host model.

    • Amazon S3:. com.amazonaws.region.s3

    • Untuk menggunakan SageMaker Proyek:com.amazonaws.region.servicecatalog.

    • AWS Layanan lain yang Anda butuhkan.

    Jika Anda menggunakan SageMaker Python SDK untuk menjalankan pekerjaan pelatihan jarak jauh, Anda juga harus membuat endpoint Amazon VPC berikut.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Ini diperlukan untuk memungkinkan SageMaker Python SDK mendapatkan status pekerjaan pelatihan jarak jauh. Amazon CloudWatch

catatan

Untuk pelanggan yang bekerja dalam mode VPC, firewall perusahaan dapat menyebabkan masalah koneksi dengan SageMaker Studio atau antara JupyterServer dan. KernelGateway Lakukan pemeriksaan berikut jika Anda mengalami salah satu masalah ini saat menggunakan SageMaker Studio dari belakang firewall.

  • Periksa apakah URL Studio ada di daftar yang diizinkan jaringan Anda.

  • Periksa apakah koneksi websocket tidak diblokir. Jupyter menggunakan websocket di bawah tenda. Jika KernelGateway aplikasi ini InService, JupyterServer mungkin tidak dapat terhubung ke KernelGateway. Anda akan melihat masalah ini saat membuka Terminal Sistem juga.

Untuk informasi selengkapnya