Configurazione delle reti - Amazon SageMaker
Studio e Amazon EMR sono separati VPCsStudio e Amazon EMR sono la stessa cosa VPCStudio e Amazon EMR comunicano tramite Internet pubblico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle reti

Questa sezione fornisce informazioni su come gli amministratori possono configurare la propria rete per consentire la comunicazione tra Studio o Studio Classic e un EMR cluster Amazon.

Le istruzioni di rete variano a seconda che Studio e Amazon EMR siano distribuiti all'interno di un Amazon Virtual Private Cloud privato (VPC) o comunichino tramite Internet.

Per impostazione predefinita, Studio o Studio Classic vengono eseguiti in un ambiente AWS gestito VPC con accesso a Internet. Quando si utilizza una connessione Internet, Studio e Studio Classic accedono a AWS risorse, come i bucket Amazon S3, tramite Internet. Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare Studio o Studio Classic e Amazon EMR in modo che dati e contenitori non siano accessibili su Internet. Per controllare l'accesso alle tue risorse o eseguire Studio o Studio Classic senza accesso pubblico a Internet, puoi specificare il tipo di accesso alla VPC only rete quando effettui l'onboarding nel SageMaker dominio Amazon. In questo scenario, sia Studio che Studio Classic stabiliscono connessioni con altri AWS servizi tramite VPCendpoint privati. Per informazioni sulla configurazione di Studio o Studio Classic in VPC only modalità, consulta Connect SageMaker Studio o Studio Classic notebook in a VPC risorse esterne. .

Le prime due sezioni descrivono come garantire la comunicazione tra Studio o Studio Classic e un EMR cluster Amazon VPCs senza accesso pubblico a Internet. L'ultima sezione spiega come garantire la comunicazione tra Studio o Studio Classic e Amazon EMR utilizzando una connessione Internet. Prima di connettere Studio o Studio Classic e Amazon EMR senza accesso a Internet, assicurati di stabilire gli endpoint per Amazon Simple Storage Service (archiviazione dati), Amazon CloudWatch (registrazione e monitoraggio) e Amazon SageMaker Runtime (controllo granulare degli accessi basato sui ruoli ()). RBAC

Per connettere Studio o Studio Classic e il tuo EMR cluster Amazon:

Studio e Amazon EMR sono separati VPCs

Per consentire la comunicazione tra Studio o Studio Classic e Amazon EMR quando vengono distribuiti separatamenteVPCs:

  1. Inizia collegando il tuo VPCs tramite una connessione VPC peering.

  2. Aggiorna le tabelle di routing di ciascuna di esse per VPC instradare il traffico di rete tra le sottoreti Studio o Studio Classic e le sottoreti Amazon in entrambe le EMR direzioni.

  3. Configura i tuoi gruppi di sicurezza per consentire il traffico in uscita e in entrata.

I passaggi per connettere Studio o Studio Classic e Amazon EMR sono gli stessi indipendentemente dal fatto che le risorse siano distribuite in un singolo AWS account (caso d'uso con account singolo) o su più AWS account (caso d'uso tra più account).

  1. VPCpeering

    Crea una connessione VPC peering per facilitare il networking tra i due VPCs (Studio o Studio Classic e AmazonEMR).

    1. Dal tuo account Studio o Studio Classic, nella VPC dashboard, scegli Connessioni peering, quindi Crea connessione peering.

    2. Crea la tua richiesta di peering di Studio o Studio Classic VPC con Amazon EMRVPC. Quando richiedi il peering in un altro AWS account, scegli Altro account in Seleziona un altro con cui VPC eseguire il peering.

      Per il peering tra account, l'amministratore deve accettare la richiesta dall'account AmazonEMR.

      Quando effettui il peering di sottoreti private, devi abilitare la DNS risoluzione IP privata a livello di connessione peering. VPC

  2. Tabelle di routing

    Invia il traffico di rete tra le sottoreti Studio o Studio Classic e le sottoreti Amazon in entrambe le EMR direzioni.

    Dopo aver stabilito la connessione peering, l'amministratore (per ogni account per l'accesso tra più account) può aggiungere percorsi alle tabelle di routing delle sottoreti private per instradare il traffico tra Studio o Studio Classic e le sottoreti del cluster. Puoi definire questi percorsi accedendo alla sezione Route Tables di ciascuna nella dashboard. VPC VPC

    La seguente illustrazione della tabella di routing di una VPC sottorete Studio mostra un esempio di instradamento in uscita dall'account Studio all'intervallo EMR VPC IP di Amazon (qui2.0.1.0/24) tramite la connessione peering.

    Tabella di routing di una VPC sottorete Studio che mostra le rotte in uscita.

    La seguente illustrazione di una tabella di routing di una EMR VPC sottorete Amazon mostra un esempio di percorsi di ritorno dall'intervallo VPC IP da Amazon EMR VPC a Studio (qui10.0.20.0/24) attraverso la connessione peering.

    Tabella delle rotte di una EMR VPC sottorete Amazon che mostra le rotte di ritorno.
  3. Gruppi di sicurezza

    Infine, il gruppo di sicurezza del tuo dominio Studio o Studio Classic deve consentire il traffico in uscita e il gruppo di sicurezza del nodo EMR primario Amazon deve consentire il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente 899810000, e8889) dal gruppo di sicurezza dell'istanza Studio o Studio Classic. Apache Livy è un servizio che consente l'interazione con Amazon EMR tramite un'RESTinterfaccia.

Il diagramma seguente mostra un esempio di VPC configurazione Amazon che consente ai JupyterLab nostri notebook Studio Classic di effettuare il provisioning di EMR cluster Amazon dai modelli presenti AWS CloudFormation nel Service Catalog e quindi di connettersi a un EMR cluster Amazon all'interno dello stesso account. AWS Il diagramma fornisce un'ulteriore illustrazione degli endpoint necessari per una connessione diretta a vari AWS servizi, come Amazon S3 o Amazon CloudWatch, quando non dispongono di accesso a InternetVPCs. In alternativa, è necessario utilizzare un NATgateway per consentire alle istanze in sottoreti private di più istanze di VPCs condividere un unico indirizzo IP pubblico fornito dal gateway Internet durante l'accesso a Internet.

L'esempio di architettura di VPC configurazione di Amazon.

Studio e Amazon EMR sono la stessa cosa VPC

Se Studio o Studio Classic e EMR i cluster Amazon si trovano in sottoreti diverse, aggiungi percorsi a ciascuna tabella di routing di sottorete privata per instradare il traffico tra Studio o Studio Classic e le sottoreti del cluster. Puoi definire questi percorsi accedendo alla sezione Route Tables di ciascuno nella dashboard. VPC VPC Se hai distribuito Studio o Studio Classic e un EMR cluster Amazon nella stessa VPC sottorete, non è necessario instradare il traffico tra Studio o Studio Classic e il cluster.

Indipendentemente dal fatto che sia necessario aggiornare o meno le tabelle di routing, il gruppo di sicurezza del dominio Studio o Studio Classic deve consentire il traffico in uscita e il gruppo di sicurezza del nodo EMR primario Amazon deve consentire il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente 899810000, e8889) dal gruppo di sicurezza dell'istanza Studio o Studio Classic. Apache Livy è un servizio che consente l'interazione con un EMR cluster Amazon tramite un'RESTinterfaccia.

Studio e Amazon EMR comunicano tramite Internet pubblico

Per impostazione predefinita, Studio e Studio Classic forniscono un'interfaccia di rete che consente la comunicazione con Internet tramite un gateway Internet VPC associato al SageMaker dominio. Se scegli di connetterti ad Amazon EMR tramite la rete Internet pubblica, il tuo EMR cluster Amazon deve accettare il traffico in entrata sulle TCP porte Apache Livy, Hive o Presto (rispettivamente 8998 e8889) dal suo gateway Internet. 10000 Apache Livy è un servizio che consente l'interazione con un EMR cluster Amazon tramite un'RESTinterfaccia.

Tenere presente che qualsiasi porta su cui si consente il traffico in entrata rappresenta una potenziale vulnerabilità per la sicurezza. Esaminare attentamente i gruppi di sicurezza personalizzati per assicurarsi di ridurre al minimo le vulnerabilità. Per ulteriori informazioni, consulta Controllo del traffico di rete con gruppi di sicurezza.

In alternativa, consulta Blog e white paper una guida dettagliata su come abilitare Kerberos su EMR Amazon, impostare il cluster in una sottorete privata e accedere al cluster utilizzando un Network Load Balancer NLB () per esporre solo porte specifiche, a cui l'accesso è controllato tramite gruppi di sicurezza.

Nota

Quando ti connetti al tuo endpoint Apache Livy tramite Internet pubblico, ti consigliamo di proteggere le comunicazioni tra Studio o Studio Classic e il tuo cluster Amazon EMR utilizzando. TLS

Per informazioni sulla configurazione HTTPS con Apache Livy, consulta Abilitazione con Apache Livy. HTTPS Per informazioni sull'impostazione di un EMR cluster Amazon con la crittografia di transito abilitata, consulta Fornire certificati per crittografare i dati in transito con la EMR crittografia Amazon. Inoltre, devi configurare Studio o Studio Classic per accedere alla chiave del certificato come specificato inConnect a un EMR cluster Amazon tramite HTTPS.