Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare un cluster Amazon EKS in Studio
Le seguenti istruzioni descrivono come configurare un cluster Amazon EKS in Studio.
-
Crea un dominio o tienine uno pronto. Per informazioni sulla creazione di un dominio, consultaGuida alla configurazione con Amazon SageMaker AI.
-
Aggiungi la seguente autorizzazione al tuo ruolo di esecuzione.
Per informazioni sui ruoli di esecuzione dell' SageMaker IA e su come modificarli, consultaComprendere lo spazio di dominio, le autorizzazioni e i ruoli di esecuzione..
Per scoprire come allegare le policy a un utente o gruppo IAM, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeHyerpodClusterPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeCluster" ], "Resource": "hyperpod-cluster-arn" }, { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CompleteLayerUpload", "ecr:GetAuthorizationToken", "ecr:UploadLayerPart", "ecr:InitiateLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Sid": "UseEksClusterPermissions", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "eks:AccessKubernetesApi", "eks:DescribeAddon" ], "Resource": "eks-cluster-arn" }, { "Sid": "ListClustersPermission", "Effect": "Allow", "Action": [ "sagemaker:ListClusters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:TerminateSession" ], "Resource": "*" } ] } -
Concedi agli utenti IAM l'accesso a Kubernetes con le voci di accesso EKS.
-
Passa al cluster Amazon EKS associato al tuo HyperPod cluster.
-
Scegli la scheda Accesso e crea una voce di accesso per il ruolo di esecuzione che hai creato.
-
Nel passaggio 1, seleziona il ruolo di esecuzione che hai creato sopra nel menu a discesa principale di IAM.
-
Nel passaggio 2, seleziona il nome di una policy e seleziona un ambito di accesso a cui desideri che gli utenti abbiano accesso.
-
-
-
(Facoltativo) Per garantire un'esperienza più fluida, ti consigliamo di aggiungere tag ai tuoi cluster. Per informazioni su come aggiungere tag, consulta Modifica un SageMaker HyperPod cluster Aggiornare il cluster utilizzando la console SageMaker AI.
-
Aggiungi un tag al tuo spazio di lavoro Amazon Managed Grafana al tuo dominio Studio. Verrà utilizzato per collegarsi rapidamente all'area di lavoro Grafana direttamente dal cluster in Studio. Per farlo, aggiungi il seguente tag al tuo cluster per identificarlo con il tuo ID dell'area di lavoro Grafana,.
ws-idTag Key = «
grafana-workspace», Tag Value = «ws-id».
-
-
(Facoltativo)Limita la visualizzazione delle attività nei cluster Studio for EKS. Per informazioni sulle attività visualizzabili in Studio, vedereAttività.
Limita la visualizzazione delle attività nei cluster Studio for EKS
Puoi limitare le autorizzazioni dello spazio dei nomi Kubernetes per gli utenti, in modo che abbiano accesso solo alla visualizzazione delle attività appartenenti a uno spazio dei nomi specificato. Di seguito vengono fornite informazioni su come limitare la visualizzazione delle attività nei cluster Studio for EKS. Per informazioni sulle attività visualizzabili in Studio, consulta. Attività
Per impostazione predefinita, gli utenti avranno visibilità su tutte le attività del cluster EKS. È possibile limitare la visibilità degli utenti per le attività del cluster EKS a namespace specifici, assicurando che gli utenti possano accedere alle risorse di cui hanno bisogno mantenendo al contempo rigorosi controlli di accesso. Dovrai fornire lo spazio dei nomi all'utente per visualizzare i lavori di quel namespace dopo aver impostato quanto segue.
Una volta applicata la restrizione, sarà necessario fornire lo spazio dei nomi agli utenti che assumono il ruolo. Studio mostrerà i job del namespace solo dopo che l'utente fornirà lo spazio dei nomi degli input per cui dispone delle autorizzazioni per la visualizzazione nella scheda Attività.
La seguente configurazione consente agli amministratori di concedere un accesso specifico e limitato ai data scientist per la visualizzazione delle attività all'interno del cluster. Questa configurazione concede le seguenti autorizzazioni:
-
Elenca e ottieni i pod
-
Elenca e ottieni eventi
-
Ottieni definizioni di risorse personalizzate (CRDs)
Configurazione YAML
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pods-events-crd-cluster-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list"] - apiGroups: [""] resources: ["events"] verbs: ["get", "list"] - apiGroups: ["apiextensions.k8s.io"] resources: ["customresourcedefinitions"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: pods-events-crd-cluster-role-binding subjects: - kind: Group name: pods-events-crd-cluster-level apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: pods-events-crd-cluster-role apiGroup: rbac.authorization.k8s.io
-
Salva la configurazione YAML in un file denominato.
cluster-role.yaml -
Applica la configurazione usando:
kubectlkubectl apply -f cluster-role.yaml -
Verifica la configurazione:
kubectl get clusterrole pods-events-crd-cluster-role kubectl get clusterrolebinding pods-events-crd-cluster-role-binding -
Assegna gli utenti al
pods-events-crd-cluster-levelgruppo tramite il tuo provider di identità o IAM.
