Comunicazione VPC only con Internet Requisiti per l'utilizzo della modalità VPC only

Usa le funzionalità SageMaker geospaziali di Amazon nel tuo Amazon Virtual Private Cloud

Il seguente argomento fornisce informazioni su come utilizzare i SageMaker notebook con un'immagine SageMaker geospaziale in un dominio Amazon SageMaker con modalità only. VPC Per ulteriori informazioni su VPCs Amazon SageMaker Studio Classic, consulta Scegli un Amazon VPC.

Comunicazione `VPC only` con Internet

Per impostazione predefinita, il SageMaker dominio utilizza due AmazonVPC. Uno degli Amazon VPC è gestito da Amazon SageMaker e fornisce l'accesso diretto a Internet. Devi specificare l'altro AmazonVPC, che fornisce traffico crittografato tra il dominio e il tuo volume Amazon Elastic File System (AmazonEFS).

Puoi modificare questo comportamento in modo che SageMaker invii tutto il traffico sull'Amazon specificatoVPC. Se VPC only è stata scelta come modalità di accesso alla rete durante la creazione del SageMaker dominio, è necessario considerare i seguenti requisiti per consentire comunque l'utilizzo dei notebook SageMaker Studio Classic all'interno del dominio creato. SageMaker

Requisiti per l'utilizzo della modalità `VPC only`

Nota

Per utilizzare i componenti di visualizzazione delle funzionalità SageMaker geospaziali, il browser utilizzato per accedere all'interfaccia utente di SageMaker Studio Classic deve essere connesso a Internet.

Quando scegli VpcOnly, segui queste fasi:

Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità VpcOnly.
Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio Studio Classic è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l'utilizzo stimato dell'indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l'utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, vedere VPCe dimensionamento della sottorete per. IPv4

Nota
È possibile configurare solo le sottoreti con una tenancy predefinita VPC in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy perVPCs, consulta Dedicated Instances.
Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che insieme consentano il seguente traffico:
- NFStraffico TCP sulla porta 2049 tra il dominio e il EFS volume Amazon.
- TCPtraffico all'interno del gruppo di sicurezza. Questo è necessario per la connettività tra l' JupyterServer app e le KernelGateway app. Devi consentire l'accesso ad almeno le porte dell'intervallo 8192-65535.
Se desideri consentire l'accesso a Internet, devi utilizzare un NATgateway con accesso a Internet, ad esempio tramite un gateway Internet.
Se non desideri consentire l'accesso a Internet, crea VPC endpoint di interfaccia (AWS PrivateLink) per consentire a Studio Classic di accedere ai seguenti servizi con i nomi di servizio corrispondenti. È inoltre necessario associare i gruppi di sicurezza del proprio dispositivo VPC a questi endpoint.

Nota
Attualmente, le funzionalità SageMaker geospaziali sono supportate solo nella regione degli Stati Uniti occidentali (Oregon).
- SageMaker API : com.amazonaws.us-west-2.sagemaker.api
- SageMaker com.amazonaws.us-west-2.sagemaker.runtimedurata:. È necessario per eseguire notebook Studio Classic con un' SageMaker immagine geospaziale.
- Amazon S3: com.amazonaws.us-west-2.s3.
- SageMaker Per com.amazonaws.us-west-2.servicecatalog utilizzare Projects:.
- SageMaker capacità geospaziali: com.amazonaws.us-west-2.sagemaker-geospatial
Se usi SageMaker Python SDK per eseguire lavori di formazione remoti, devi anche creare i seguenti endpoint AmazonVPC.
- AWS Security Token Service: com.amazonaws.region.sts
- Amazon CloudWatch:. com.amazonaws.region.logs Ciò è necessario per consentire a SageMaker Python di SDK ottenere lo stato del lavoro di formazione remota da. Amazon CloudWatch

Nota

Per un cliente che utilizza la VPC modalità, i firewall aziendali possono causare problemi di connessione con SageMaker Studio Classic o tra JupyterServer e il. KernelGateway Effettua i seguenti controlli se riscontri uno di questi problemi quando usi SageMaker Studio Classic da un firewall.

Verifica che Studio Classic URL sia nella lista consentita della tua rete.
Verifica che le connessioni websocket non siano bloccate. Jupyter utilizza websocket dietro le quinte. Se l' KernelGateway applicazione lo è InService, JupyterServer potrebbe non essere possibile connettersi a. KernelGateway Il problema dovrebbe presentarsi anche all'apertura del Terminale di sistema.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza per le funzionalità SageMaker geospaziali

Usa le AWS KMS autorizzazioni per le funzionalità geospaziali SageMaker