Connect Amazon SageMaker Studio in un VPC a risorse esterne - Amazon SageMaker AI
Comunicazione predefinita con InternetComunicazione VPC only con Internet

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect Amazon SageMaker Studio in un VPC a risorse esterne

Importante

A partire dal 30 novembre 2023, la precedente esperienza Amazon SageMaker Studio è ora denominata Amazon SageMaker Studio Classic. La sezione seguente è specifica per l'utilizzo dell'esperienza Studio aggiornata. Per informazioni sull'utilizzo dell'applicazione Studio Classic, consultaAmazon SageMaker Studio Classic.

Il seguente argomento fornisce informazioni su come connettere Amazon SageMaker Studio in un VPC a risorse esterne.

Comunicazione predefinita con Internet

Per impostazione predefinita, Amazon SageMaker Studio fornisce un'interfaccia di rete che consente la comunicazione con Internet tramite un VPC gestito dall' SageMaker intelligenza artificiale. Il traffico verso AWS servizi come Amazon S3 CloudWatch passa attraverso un gateway Internet, così come il traffico che accede all'API SageMaker AI e SageMaker al runtime AI. Il traffico tra il dominio e il volume Amazon EFS passa attraverso il VPC che hai specificato quando hai effettuato l'onboarding sul dominio o hai chiamato l'API. CreateDomain

Comunicazione VPC only con Internet

Per impedire all' SageMaker IA di fornire l'accesso a Internet a Studio, puoi disabilitare l'accesso a Internet specificando il tipo di accesso alla VPC only rete quando effettui l'accesso a Studio o chiami l'API. CreateDomain Di conseguenza, non sarai in grado di eseguire Studio a meno che il tuo VPC non disponga di un endpoint di interfaccia per l' SageMaker API e il runtime o di un gateway NAT con accesso a Internet e i tuoi gruppi di sicurezza consentano le connessioni in uscita.

Nota

Il tipo di accesso alla rete può essere modificato dopo la creazione del dominio utilizzando il --app-network-access-type parametro del comando update-domain.

Requisiti per l'utilizzo della modalità VPC only

Quando scegli VpcOnly, segui queste fasi:

  1. Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità VpcOnly.

  2. Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l'utilizzo stimato dell'indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l'utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, consulta il dimensionamento di VPC e sottorete per. IPv4

    Nota

    È possibile configurare solo le sottoreti con un VPC con tenancy predefinita in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.

  3. avvertimento

    Quando utilizzi la modalità VpcOnly, sei in parte proprietario della configurazione di rete per il dominio. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegi minimi all'accesso in entrata e in uscita fornito dalle regole del gruppo di sicurezza. Configurazioni di regole in entrata eccessivamente permissive potrebbero consentire agli utenti con accesso al VPC di interagire con le applicazioni di altri profili utente senza autenticazione.

    Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che consentano il seguente traffico:

    Crea un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l'accesso in entrata dallo stesso gruppo di sicurezza. Si consiglia di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio.

  4. Se desideri consentire l'accesso a Internet, devi utilizzare un gateway NAT con accesso a Internet, ad esempio tramite un gateway Internet.

  5. Se non desideri consentire l'accesso a Internet, crea endpoint VPC di interfaccia (AWS PrivateLink) per consentire a Studio di accedere ai seguenti servizi con i nomi di servizio corrispondenti. Devi inoltre associare i gruppi di sicurezza per il tuo VPC a questi endpoint.

    • SageMaker API:. com.amazonaws.region.sagemaker.api

    • SageMaker Runtime AI:com.amazonaws.region.sagemaker.runtime. Questo nome del servizio è richiesto per eseguire i notebook Studio e per addestrare e ospitare modelli.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Progetti:com.amazonaws.region.servicecatalog.

    • SageMaker Studio:aws.sagemaker.region.studio.

    • Eventuali altri AWS servizi di cui hai bisogno.

    Se utilizzi SageMaker Python SDK per eseguire lavori di formazione remoti, devi anche creare i seguenti endpoint Amazon VPC.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:. com.amazonaws.region.logs Ciò è necessario per consentire a SageMaker Python SDK di ottenere lo stato del lavoro di formazione remota da. Amazon CloudWatch

  6. Se utilizzi il dominio in VpcOnly modalità da una rete locale, stabilisci la connettività privata dalla rete dell'host che esegue Studio nel browser e nell'Amazon VPC di destinazione. Ciò è necessario perché l'interfaccia utente di Studio richiama gli AWS endpoint utilizzando chiamate API con credenziali temporanee. AWS Queste credenziali temporanee sono associate al ruolo di esecuzione del profilo utente registrato. Se il dominio è configurato in VpcOnly modalità in una rete locale, il ruolo di esecuzione potrebbe definire condizioni di policy IAM che impongono l'esecuzione delle chiamate API di AWS servizio solo tramite gli endpoint Amazon VPC configurati. Ciò causa il fallimento delle chiamate API eseguite dall'interfaccia utente di Studio. Consigliamo di risolvere il problema utilizzando una connessione or. AWS Site-to-Site VPNAWS Direct Connect

Nota

Per un cliente che lavora in modalità VPC, i firewall aziendali possono causare problemi di connessione con Studio o le applicazioni. Effettua i seguenti controlli se riscontri uno di questi problemi quando usi Studio da dietro un firewall.

  • Verifica che l'URL di Studio e quello URLs di tutte le tue applicazioni siano inclusi nell'elenco consentito della tua rete. Per esempio:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verificate che le connessioni websocket non siano bloccate. Jupyter utilizza websocket.

Ulteriori informazioni