Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura l'accesso alla rete per il tuo EMR cluster Amazon
Prima di iniziare a utilizzare Amazon EMR o EMR Serverless per le attività di preparazione dei dati in Studio, assicurati che tu o il tuo amministratore abbiate configurato la rete per consentire la comunicazione tra Studio e AmazonEMR. Una volta abilitata questa comunicazione, puoi scegliere di:
Nota
Per gli utenti EMR serverless, la configurazione più semplice prevede la creazione dell'applicazione nell'interfaccia utente di Studio senza modificare le impostazioni predefinite per l'opzione Virtual private cloud (VPC). Questo approccio consente di creare l'applicazione all'interno del SageMaker dominioVPC, eliminando la necessità di ulteriori configurazioni di rete. Se scegli questa opzione, puoi saltare la seguente sezione sulla configurazione della rete.
Le istruzioni di rete variano a seconda che Studio e Amazon EMR siano distribuiti all'interno di un Amazon Virtual Private Cloud privato (VPC) o comunichino tramite Internet.
Per impostazione predefinita, Studio o Studio Classic vengono eseguiti in un ambiente AWS gestito VPC con accesso a Internet. Quando si utilizza una connessione Internet, Studio e Studio Classic accedono a AWS risorse, come i bucket Amazon S3, tramite Internet. Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare Studio o Studio Classic e Amazon EMR in modo che dati e contenitori non siano accessibili su Internet. Per controllare l'accesso alle tue risorse o eseguire Studio o Studio Classic senza accesso pubblico a Internet, puoi specificare il tipo di accesso alla VPC only
rete quando effettui l'onboarding nel SageMaker dominio Amazon. In questo scenario, sia Studio che Studio Classic stabiliscono connessioni con altri AWS servizi tramite VPCendpoint privati. Per informazioni sulla configurazione di Studio o Studio Classic in VPC only
modalità, consulta Connect SageMaker Studio o Studio Classic notebook in a VPC risorse esterne. .
Le prime due sezioni descrivono come garantire la comunicazione tra Studio o Studio Classic e Amazon EMR in VPCs senza accesso pubblico a Internet. L'ultima sezione spiega come garantire la comunicazione tra Studio o Studio Classic e Amazon EMR utilizzando una connessione Internet. Prima di connettere Studio o Studio Classic e Amazon EMR senza accesso a Internet, assicurati di stabilire gli endpoint per Amazon Simple Storage Service (archiviazione dati), Amazon CloudWatch (registrazione e monitoraggio) e Amazon SageMaker Runtime (controllo granulare degli accessi basato sui ruoli ()). RBAC
Per connettere Studio o Studio Classic e AmazonEMR:
-
Se Studio o Studio Classic e Amazon EMR sono separatiVPCs, nello stesso AWS account o in account diversi, vedi Studio e Amazon EMR sono separati VPCs.
-
Se Studio o Studio Classic e Amazon EMR coincidonoVPC, vediStudio e Amazon EMR sono la stessa cosa VPC.
-
Se hai scelto di connettere Studio o Studio Classic e Amazon EMR tramite una rete Internet pubblica, consultaStudio e Amazon EMR comunicano tramite Internet pubblico.
Studio e Amazon EMR sono separati VPCs
Per consentire la comunicazione tra Studio o Studio Classic e Amazon EMR quando vengono distribuiti separatamenteVPCs:
-
Inizia collegando il tuo VPCs tramite una connessione VPC peering.
-
Aggiorna le tabelle di routing di ciascuna di esse per VPC instradare il traffico di rete tra le sottoreti Studio o Studio Classic e le sottoreti Amazon in entrambe le EMR direzioni.
-
Configura i tuoi gruppi di sicurezza per consentire il traffico in uscita e in entrata.
I passaggi per connettere Studio o Studio Classic e Amazon EMR sono gli stessi indipendentemente dal fatto che le risorse siano distribuite in un singolo AWS account (caso d'uso con account singolo) o su più AWS account (caso d'uso tra più account).
-
VPCpeering
Crea una connessione VPC peering per facilitare il networking tra i due VPCs (Studio o Studio Classic e AmazonEMR).
-
Dal tuo account Studio o Studio Classic, nella VPC dashboard, scegli Connessioni peering, quindi Crea connessione peering.
-
Crea la tua richiesta di peering di Studio o Studio Classic VPC con Amazon EMRVPC. Quando richiedi il peering in un altro AWS account, scegli Altro account in Seleziona un altro con cui VPC eseguire il peering.
Per il peering tra account, l'amministratore deve accettare la richiesta dall'account AmazonEMR.
Quando effettui il peering di sottoreti private, devi abilitare la DNS risoluzione IP privata a livello di connessione peering. VPC
-
-
Tabelle di routing
Invia il traffico di rete tra le sottoreti Studio o Studio Classic e le sottoreti Amazon in entrambe le EMR direzioni.
Dopo aver stabilito la connessione peering, l'amministratore (per ogni account per l'accesso tra più account) può aggiungere percorsi alle tabelle di routing delle sottoreti private per instradare il traffico tra Studio o Studio Classic e le sottoreti Amazon. EMR Puoi definire questi percorsi accedendo alla sezione Route Tables di ciascuno nella dashboard. VPC VPC
La seguente illustrazione della tabella di routing di una VPC sottorete Studio mostra un esempio di instradamento in uscita dall'account Studio all'intervallo EMR VPC IP di Amazon (qui
2.0.1.0/24
) tramite la connessione peering.La seguente illustrazione di una tabella di routing di una EMR VPC sottorete Amazon mostra un esempio di percorsi di ritorno dall'intervallo VPC IP da Amazon EMR VPC a Studio (qui
10.0.20.0/24
) attraverso la connessione peering. -
Gruppi di sicurezza
Infine, il gruppo di sicurezza del tuo dominio Studio o Studio Classic deve consentire il traffico in uscita e il gruppo di sicurezza del nodo EMR primario Amazon deve consentire il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente
8998
10000
, e8889
) dal gruppo di sicurezza dell'istanza Studio o Studio Classic. Apache Livyè un servizio che consente l'interazione con Amazon EMR tramite un'RESTinterfaccia.
Il diagramma seguente mostra un esempio di VPC configurazione Amazon che consente ai JupyterLab nostri notebook Studio Classic di effettuare il provisioning di EMR cluster Amazon dai modelli presenti AWS CloudFormation nel Service Catalog e quindi di connettersi a un EMR cluster Amazon all'interno dello stesso account. AWS Il diagramma fornisce un'ulteriore illustrazione degli endpoint necessari per una connessione diretta a vari AWS servizi, come Amazon S3 o Amazon CloudWatch, quando non dispongono di accesso a InternetVPCs. In alternativa, è necessario utilizzare un NATgateway per consentire alle istanze in sottoreti private di più istanze di VPCs condividere un unico indirizzo IP pubblico fornito dal gateway Internet durante l'accesso a Internet.
Studio e Amazon EMR sono la stessa cosa VPC
Se Studio o Studio Classic e Amazon si EMR trovano in sottoreti diverse, aggiungi percorsi a ciascuna tabella di routing di sottorete privata per instradare il traffico tra Studio o Studio Classic e le sottoreti Amazon. EMR Puoi definire questi percorsi accedendo alla sezione Route Tables di ciascuno nella dashboard. VPC VPC Se hai distribuito Studio o Studio Classic e Amazon EMR nella stessa VPC sottorete, non è necessario instradare il traffico tra Studio e Amazon. EMR
Indipendentemente dal fatto che sia necessario aggiornare o meno le tabelle di routing, il gruppo di sicurezza del dominio Studio o Studio Classic deve consentire il traffico in uscita e il gruppo di sicurezza del nodo EMR primario Amazon deve consentire il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente 8998
10000
, e8889
) dal gruppo di sicurezza delle istanze Studio o Studio Classic. Apache Livy
Studio e Amazon EMR comunicano tramite Internet pubblico
Per impostazione predefinita, Studio e Studio Classic forniscono un'interfaccia di rete che consente la comunicazione con Internet tramite un gateway Internet VPC associato al SageMaker dominio. Se scegli di connetterti ad Amazon EMR tramite la rete Internet pubblica, Amazon EMR deve accettare il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente 8998
e8889
) dal suo gateway Internet. 10000
Apache Livy
Tenere presente che qualsiasi porta su cui si consente il traffico in entrata rappresenta una potenziale vulnerabilità per la sicurezza. Esaminare attentamente i gruppi di sicurezza personalizzati per assicurarsi di ridurre al minimo le vulnerabilità. Per ulteriori informazioni, consulta Controllo del traffico di rete con gruppi di sicurezza.
In alternativa, consulta Blog e white paper una guida dettagliata su come abilitare Kerberos su EMR Amazon, impostare il cluster in una sottorete privata e accedere al cluster utilizzando un Network Load Balancer NLB () per esporre solo porte specifiche, a cui l'accesso è controllato tramite gruppi di sicurezza.
Nota
Quando ti connetti al tuo endpoint Apache Livy tramite Internet pubblico, ti consigliamo di proteggere le comunicazioni tra Studio o Studio Classic e il tuo cluster Amazon EMR utilizzando. TLS
Per informazioni sulla configurazione HTTPS con Apache Livy, consulta Abilitazione con Apache Livy. HTTPS Per informazioni sull'impostazione di un EMR cluster Amazon con la crittografia di transito abilitata, consulta Fornire certificati per crittografare i dati in transito con la EMR crittografia Amazon. Inoltre, devi configurare Studio o Studio Classic per accedere alla chiave del certificato come specificato inConnect a un EMR cluster Amazon tramite HTTPS.