Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'accesso alla rete per il tuo cluster Amazon EMR

Prima di iniziare a utilizzare Amazon EMR o EMR Serverless per le attività di preparazione dei dati in Studio, assicurati che tu o il tuo amministratore abbiate configurato la rete per consentire la comunicazione tra Studio e Amazon EMR. Una volta abilitata questa comunicazione, puoi scegliere di:

Le istruzioni di rete variano a seconda che Studio e Amazon EMR siano distribuiti all'interno di un Amazon Virtual Private Cloud (VPC) privato o comunichino tramite Internet.

Per impostazione predefinita, Studio o Studio Classic vengono eseguiti in un VPC AWS gestito con accesso a Internet. Quando si utilizza una connessione Internet, Studio e Studio Classic accedono a AWS risorse, come i bucket Amazon S3, tramite Internet. Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare Studio o Studio Classic e Amazon EMR in modo che dati e contenitori non siano accessibili su Internet. Per controllare l'accesso alle tue risorse o eseguire Studio o Studio Classic senza accesso pubblico a Internet, puoi specificare il tipo di accesso alla VPC only rete quando effettui l'onboarding nel dominio Amazon SageMaker AI. In questo scenario, sia Studio che Studio Classic stabiliscono connessioni con altri AWS servizi tramite endpoint VPC privati. Per informazioni sulla configurazione di Studio o Studio Classic in VPC only modalità, consulta Connect SageMaker Studio o Studio Classic notebook in un VPC a risorse esterne. .

Le prime due sezioni descrivono come garantire la comunicazione tra Studio o Studio Classic e Amazon EMR VPCs senza accesso pubblico a Internet. L'ultima sezione spiega come garantire la comunicazione tra Studio o Studio Classic e Amazon EMR utilizzando una connessione Internet. Prima di collegare Studio o Studio Classic e Amazon EMR senza accesso a Internet, assicurati di stabilire gli endpoint per Amazon Simple Storage Service (archiviazione dati), Amazon (registrazione e monitoraggio) e Amazon SageMaker Runtime CloudWatch (controllo granulare degli accessi basato sui ruoli (RBAC)).

Per connettere Studio o Studio Classic e Amazon EMR:

Studio e Amazon EMR sono separati VPCs

Per consentire la comunicazione tra Studio o Studio Classic e Amazon EMR quando vengono distribuiti separatamente: VPCs

I passaggi per connettere Studio o Studio Classic e Amazon EMR sono gli stessi indipendentemente dal fatto che le risorse siano distribuite in un singolo AWS account (caso d'uso con account singolo) o su più account (caso d'uso tra più AWS account).

Il diagramma seguente mostra un esempio di configurazione Amazon VPC che JupyterLab consente ai nostri notebook Studio Classic di effettuare il provisioning di cluster Amazon EMR AWS CloudFormation dai modelli presenti nel Service Catalog e quindi di connettersi a un cluster Amazon EMR all'interno dello stesso account. AWS Il diagramma fornisce un'ulteriore illustrazione degli endpoint necessari per una connessione diretta a vari AWS servizi, come Amazon S3 o Amazon CloudWatch, quando non dispongono di accesso a Internet VPCs . In alternativa, è necessario utilizzare un gateway NAT per consentire alle istanze in sottoreti private di più istanze di VPCs condividere un unico indirizzo IP pubblico fornito dal gateway Internet durante l'accesso a Internet.

Studio e Amazon EMR si trovano nello stesso VPC

Se Studio o Studio Classic e Amazon EMR si trovano in sottoreti diverse, aggiungi percorsi a ciascuna tabella di routing di sottorete privata per instradare il traffico tra Studio o Studio Classic e le sottoreti Amazon EMR. Puoi definire questi percorsi accedendo alla sezione Tabelle di routing di ciascun VPC nella dashboard dei VPC. Se hai distribuito Studio o Studio Classic e Amazon EMR nello stesso VPC e nella stessa sottorete, non è necessario instradare il traffico tra Studio e Amazon EMR.

Indipendentemente dal fatto che sia necessario aggiornare o meno le tabelle di routing, il gruppo di sicurezza del dominio Studio o Studio Classic deve consentire il traffico in uscita e il gruppo di sicurezza del nodo primario di Amazon EMR deve consentire il traffico in entrata sulle porte TCP Apache Livy, Hive o Presto (rispettivamente 899810000, e8889) dal gruppo di sicurezza dell'istanza Studio o Studio Classic. Apache Livy è un servizio che consente l'interazione con un Amazon EMR tramite un'interfaccia REST.

Studio e Amazon EMR comunicano tramite una rete Internet pubblica

Per impostazione predefinita, Studio e Studio Classic forniscono un'interfaccia di rete che consente la comunicazione con Internet tramite un gateway Internet nel VPC associato al SageMaker dominio. Se scegli di connetterti ad Amazon EMR tramite la rete Internet pubblica, Amazon EMR deve accettare il traffico in entrata sulle porte TCP Apache Livy, Hive o Presto (rispettivamente8998, e) dal suo gateway Internet. 10000 8889 Apache Livy è un servizio che consente l'interazione con Amazon EMR tramite un'interfaccia REST.

Tenere presente che qualsiasi porta su cui si consente il traffico in entrata rappresenta una potenziale vulnerabilità per la sicurezza. Esaminare attentamente i gruppi di sicurezza personalizzati per assicurarsi di ridurre al minimo le vulnerabilità. Per ulteriori informazioni, consulta Controllo del traffico di rete con gruppi di sicurezza.

In alternativa, consulta Blog e white paper per una guida dettagliata su come abilitare Kerberos su Amazon EMR, impostare il cluster in una sottorete privata e accedere al cluster utilizzando un Network Load Balancer (NLB) per esporre solo porte specifiche, il cui accesso è controllato tramite gruppi di sicurezza.