Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Hubungkan Amazon SageMaker Studio di VPC ke Sumber Daya Eksternal

PDF
RSS
Mode fokus
Hubungkan Amazon SageMaker Studio di VPC ke Sumber Daya Eksternal - Amazon SageMaker AI
Komunikasi default dengan internetVPC onlykomunikasi dengan internet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

penting

Per 30 November 2023, pengalaman Amazon SageMaker Studio sebelumnya sekarang bernama Amazon SageMaker Studio Classic. Bagian berikut khusus untuk menggunakan pengalaman Studio yang diperbarui. Untuk informasi tentang menggunakan aplikasi Studio Classic, lihatAmazon SageMaker Studio Klasik.

Topik berikut memberikan informasi tentang cara menghubungkan Amazon SageMaker Studio di VPC ke sumber daya eksternal.

Komunikasi default dengan internet

Secara default, Amazon SageMaker Studio menyediakan antarmuka jaringan yang memungkinkan komunikasi dengan internet melalui VPC yang dikelola oleh SageMaker AI. Lalu lintas ke AWS layanan seperti Amazon S3 dan CloudWatch melewati gateway internet, seperti halnya lalu lintas yang mengakses SageMaker AI API dan SageMaker runtime AI. Lalu lintas antara domain dan volume Amazon EFS Anda melewati VPC yang Anda tentukan saat Anda onboard ke domain atau disebut API. CreateDomain

VPC onlykomunikasi dengan internet

Untuk mencegah SageMaker AI menyediakan akses internet ke Studio, Anda dapat menonaktifkan akses internet dengan menentukan jenis akses VPC only jaringan saat Anda onboard ke Studio atau memanggil API. CreateDomain Akibatnya, Anda tidak akan dapat menjalankan Studio kecuali VPC Anda memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway NAT dengan akses internet, dan grup keamanan Anda mengizinkan koneksi keluar.

catatan

Jenis akses jaringan dapat diubah setelah pembuatan domain menggunakan --app-network-access-type parameter perintah update-domain.

Persyaratan untuk menggunakan VPC only mode

Saat Anda memilihVpcOnly, ikuti langkah-langkah ini:

  1. Anda harus menggunakan subnet pribadi saja. Anda tidak dapat menggunakan subnet publik dalam VpcOnly mode.

  2. Pastikan subnet Anda memiliki jumlah alamat IP yang diperlukan. Jumlah yang diharapkan dari alamat IP yang dibutuhkan per pengguna dapat bervariasi berdasarkan kasus penggunaan. Kami merekomendasikan antara 2 dan 4 alamat IP per pengguna. Total kapasitas alamat IP untuk domain adalah jumlah alamat IP yang tersedia untuk setiap subnet yang disediakan saat domain dibuat. Pastikan perkiraan penggunaan alamat IP Anda tidak melebihi kapasitas yang didukung oleh jumlah subnet yang Anda berikan. Selain itu, menggunakan subnet yang didistribusikan di banyak zona ketersediaan dapat membantu ketersediaan alamat IP. Untuk informasi selengkapnya, lihat ukuran VPC dan subnet untuk. IPv4

    catatan

    Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat Instans Khusus.

  3. Awas

    Saat menggunakan VpcOnly mode, Anda sebagian memiliki konfigurasi jaringan untuk domain. Kami merekomendasikan praktik keamanan terbaik untuk menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang disediakan aturan grup keamanan. Konfigurasi aturan masuk yang terlalu permisif dapat memungkinkan pengguna dengan akses ke VPC untuk berinteraksi dengan aplikasi profil pengguna lain tanpa otentikasi.

    Siapkan satu atau beberapa grup keamanan dengan aturan masuk dan keluar yang memungkinkan lalu lintas berikut:

    Buat grup keamanan yang berbeda untuk setiap profil pengguna dan tambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, maka semua aplikasi dalam domain akan memiliki akses ke semua aplikasi lain di domain.

  4. Jika Anda ingin mengizinkan akses internet, Anda harus menggunakan gateway NAT dengan akses ke internet, misalnya melalui gateway internet.

  5. Jika Anda tidak ingin mengizinkan akses internet, buat antarmuka VPC endpoint (AWS PrivateLink) untuk memungkinkan Studio mengakses layanan berikut dengan nama layanan yang sesuai. Anda juga harus mengaitkan grup keamanan untuk VPC Anda dengan titik akhir ini.

    • SageMaker API:com.amazonaws.region.sagemaker.api.

    • SageMaker Runtime AI:com.amazonaws.region.sagemaker.runtime. Ini diperlukan untuk menjalankan pemanggilan titik akhir.

    • Amazon S3:. com.amazonaws.region.s3

    • SageMaker Proyek:com.amazonaws.region.servicecatalog.

    • SageMaker Studio:aws.sagemaker.region.studio.

    • AWS Layanan lain yang Anda butuhkan.

    Jika Anda menggunakan SageMaker Python SDK untuk menjalankan pekerjaan pelatihan jarak jauh, Anda juga harus membuat endpoint Amazon VPC berikut.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Ini diperlukan untuk memungkinkan SageMaker Python SDK mendapatkan status pekerjaan pelatihan jarak jauh. Amazon CloudWatch

  6. Jika menggunakan domain dalam VpcOnly mode dari jaringan lokal, buat konektivitas pribadi dari jaringan host yang menjalankan Studio di browser dan VPC Amazon target. Ini diperlukan karena UI Studio memanggil AWS titik akhir menggunakan panggilan API dengan kredensi sementara AWS . Kredensyal sementara ini terkait dengan peran eksekusi profil pengguna yang dicatat. Jika domain dikonfigurasi dalam VpcOnly mode di jaringan lokal, peran eksekusi mungkin menentukan kondisi kebijakan IAM yang menerapkan eksekusi panggilan API AWS layanan hanya melalui titik akhir Amazon VPC yang dikonfigurasi.Hal ini menyebabkan panggilan API yang dijalankan dari UI Studio gagal. Sebaiknya selesaikan ini menggunakan AWS Direct Connectkoneksi AWS Site-to-Site VPNatau.

catatan

Untuk pelanggan yang bekerja dalam mode VPC, firewall perusahaan dapat menyebabkan masalah koneksi dengan Studio atau aplikasi. Lakukan pemeriksaan berikut jika Anda mengalami salah satu masalah ini saat menggunakan Studio dari belakang firewall.

  • Verifikasi bahwa URL Studio dan URLs untuk semua aplikasi Anda ada di daftar izin jaringan Anda. Sebagai contoh:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verifikasi bahwa koneksi websocket tidak diblokir. Jupyter menggunakan soket web.

Untuk informasi selengkapnya

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.