Berikan Akses Pekerjaan SageMaker Pelatihan ke Sumber Daya di Amazon Anda VPC - Amazon SageMaker
Mengonfigurasi Job Pelatihan untuk Amazon VPC AccessKonfigurasikan Pribadi Anda VPC untuk SageMaker Pelatihan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan Akses Pekerjaan SageMaker Pelatihan ke Sumber Daya di Amazon Anda VPC

catatan

Untuk pekerjaan pelatihan, Anda hanya dapat mengonfigurasi subnet dengan penyewaan default VPC di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancyVPCs, lihat Instans Khusus.

Mengonfigurasi Job Pelatihan untuk Amazon VPC Access

Untuk mengontrol akses ke pekerjaan pelatihan Anda, jalankan di Amazon VPC dengan subnet pribadi yang tidak memiliki akses internet.

Anda mengonfigurasi pekerjaan pelatihan untuk dijalankan VPC dengan menentukan subnet dan grup keamanannya. IDs Anda tidak perlu menentukan subnet untuk wadah pekerjaan pelatihan. Amazon SageMaker secara otomatis menarik gambar wadah pelatihan dari AmazonECR.

Saat Anda membuat pekerjaan pelatihan, Anda dapat menentukan subnet dan grup keamanan di Anda VPC menggunakan SageMaker konsol Amazon atau. API

Untuk menggunakanAPI, Anda menentukan subnet dan grup keamanan IDs dalam VpcConfig parameter CreateTrainingJoboperasi. SageMaker menggunakan subnet dan detail grup keamanan untuk membuat antarmuka jaringan dan menempelkannya ke wadah pelatihan. Antarmuka jaringan menyediakan wadah pelatihan dengan koneksi jaringan di dalam AndaVPC. Ini memungkinkan pekerjaan pelatihan untuk terhubung ke sumber daya yang ada di AndaVPC.

Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan Anda ke CreateTrainingJob operasi:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Konfigurasikan Pribadi Anda VPC untuk SageMaker Pelatihan

Saat mengonfigurasi privat VPC untuk pekerjaan SageMaker pelatihan Anda, gunakan panduan berikut. Untuk informasi tentang pengaturanVPC, lihat Bekerja dengan VPCs dan Subnet di Panduan VPC Pengguna Amazon.

Pastikan Subnet Memiliki Alamat IP yang Cukup

Instans pelatihan yang tidak menggunakan Elastic Fabric Adapter (EFA) harus memiliki setidaknya 2 alamat IP pribadi. Contoh pelatihan yang menggunakan an EFA harus memiliki setidaknya 5 alamat IP pribadi. Untuk informasi selengkapnya, lihat Beberapa alamat IP di Panduan EC2 Pengguna Amazon.

VPCSubnet Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan pelatihan. Untuk informasi selengkapnya, lihat VPCdan Ukuran Subnet untuk IPv4 di VPCPanduan Pengguna Amazon.

Buat Endpoint Amazon S3 VPC

Jika Anda mengonfigurasi VPC sehingga wadah pelatihan tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data pelatihan Anda kecuali Anda membuat VPC titik akhir yang memungkinkan akses. Dengan membuat VPC titik akhir, Anda mengizinkan wadah pelatihan Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari pribadi Anda VPC untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat Titik Akhir untuk Amazon S3.

Untuk membuat titik VPC akhir S3:

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint

  3. Untuk Nama Layanan, cari com.amazonaws.region.s3, dimana region adalah nama wilayah tempat Anda VPC tinggal.

  4. Pilih jenis Gateway.

  5. Untuk VPC, pilih yang ingin VPC Anda gunakan untuk titik akhir ini.

  6. Untuk Konfigurasi tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. VPCLayanan secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir yang baru.

  7. Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan mana pun di VPC dalam. Pilih Custom untuk membatasi akses lebih lanjut. Untuk informasi, lihat Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3.

Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3

Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di Anda. VPC Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Titik Akhir untuk Amazon S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari Amazon Anda. VPC Untuk selengkapnya, lihat Menggunakan Kebijakan Bucket Amazon S3.

Batasi Instalasi Package pada Training Container

Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pelatihan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Konfigurasikan Tabel Rute

Gunakan DNS setelan default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/MyBucket,) diselesaikan. Jika Anda tidak menggunakan DNS pengaturan default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute VPC titik akhir, lihat Perutean untuk Titik Akhir Gateway di Panduan Pengguna Amazon VPC.

Konfigurasikan Grup VPC Keamanan

Dalam pelatihan terdistribusi, Anda harus mengizinkan komunikasi antara wadah yang berbeda dalam pekerjaan pelatihan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk instans EFA yang diaktifkan, pastikan bahwa koneksi masuk dan keluar memungkinkan semua lalu lintas dari grup keamanan yang sama. Untuk selengkapnya, lihat Aturan Grup Keamanan di Panduan Pengguna Amazon Virtual Private Cloud.

Connect ke Sumber Daya di Luar Anda VPC

Jika Anda mengonfigurasi VPC sehingga tidak memiliki akses internet, pelatihan pekerjaan yang digunakan yang VPC tidak memiliki akses ke sumber daya di luar AndaVPC. Jika pekerjaan pelatihan Anda membutuhkan akses ke sumber daya di luar AndaVPC, berikan akses dengan salah satu opsi berikut:

  • Jika pekerjaan pelatihan Anda memerlukan akses ke AWS layanan yang mendukung VPC titik akhir antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat VPCTitik Akhir di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang membuat VPC titik akhir antarmuka, lihat VPCTitik Akhir Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon Virtual Private Cloud.

  • Jika tugas pelatihan Anda memerlukan akses ke AWS layanan yang tidak mendukung VPC titik akhir antarmuka atau sumber daya di luar AWS, buat NAT gateway dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan NAT gateway untuk AndaVPC, lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di Panduan Pengguna Amazon Virtual Private Cloud.

Pantau Pekerjaan SageMaker Pelatihan Amazon dengan CloudWatch Log dan Metrik

Amazon SageMaker menyediakan CloudWatch log dan metrik Amazon untuk memantau pekerjaan pelatihan. CloudWatch menyediakanCPU,GPU, memori, GPU memori, dan metrik disk, dan pencatatan peristiwa. Untuk informasi selengkapnya tentang memantau pekerjaan SageMaker pelatihan Amazon, lihat Pantau Amazon SageMaker dengan Amazon CloudWatch danSageMaker pekerjaan dan metrik titik akhir.