Connetti Amazon SageMaker Studio VPC a risorse esterne - Amazon SageMaker
Comunicazione predefinita con InternetComunicazione VPC only con Internet

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connetti Amazon SageMaker Studio VPC a risorse esterne

Importante

A partire dal 30 novembre 2023, la precedente esperienza Amazon SageMaker Studio è ora denominata Amazon SageMaker Studio Classic. La sezione seguente è specifica per l'utilizzo dell'esperienza Studio aggiornata. Per informazioni sull'utilizzo dell'applicazione Studio Classic, consultaAmazon SageMaker Studio Classic.

Il seguente argomento fornisce informazioni su come connettere Amazon SageMaker Studio in a VPC a risorse esterne.

Comunicazione predefinita con Internet

Per impostazione predefinita, Amazon SageMaker Studio fornisce un'interfaccia di rete che consente la comunicazione con Internet tramite un server VPC gestito da SageMaker. Il traffico verso AWS servizi come Amazon S3 CloudWatch passa attraverso un gateway Internet, così come il traffico che accede al SageMaker API runtime and. SageMaker Il traffico tra il dominio e il tuo EFS volume Amazon passa attraverso VPC quello che hai specificato quando hai effettuato l'onboarding al dominio o hai chiamato il. CreateDomainAPI

Comunicazione VPC only con Internet

Per SageMaker evitare di fornire l'accesso a Internet a Studio, puoi disabilitare l'accesso a Internet specificando il tipo di accesso alla VPC only rete quando effettui l'accesso a Studio o chiami il. CreateDomainAPI Di conseguenza, non sarai in grado di eseguire Studio a meno che non VPC disponga di un endpoint di interfaccia con SageMaker API and runtime o di un NAT gateway con accesso a Internet e i tuoi gruppi di sicurezza consentano le connessioni in uscita.

Nota

Il tipo di accesso alla rete può essere modificato dopo la creazione del dominio utilizzando il --app-network-access-type parametro del comando update-domain.

Requisiti per l'utilizzo della modalità VPC only

Quando scegli VpcOnly, segui queste fasi:

  1. Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità VpcOnly.

  2. Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l'utilizzo stimato dell'indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l'utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, vedere VPCe dimensionamento della sottorete per. IPv4

    Nota

    È possibile configurare solo le sottoreti con una tenancy predefinita VPC in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy perVPCs, consulta Dedicated Instances.

  3. avvertimento

    Quando utilizzi la modalità VpcOnly, sei in parte proprietario della configurazione di rete per il dominio. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegi minimi all'accesso in entrata e in uscita fornito dalle regole del gruppo di sicurezza. Configurazioni di regole in entrata eccessivamente permissive potrebbero consentire agli utenti con accesso a di interagire con le applicazioni VPC di altri profili utente senza autenticazione.

    Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che consentano il seguente traffico:

    Crea un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l'accesso in entrata dallo stesso gruppo di sicurezza. Si consiglia di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio.

  4. Se si desidera consentire l'accesso a Internet, è necessario utilizzare un NATgateway con accesso a Internet, ad esempio tramite un gateway Internet.

  5. Se non desideri consentire l'accesso a Internet, crea VPC endpoint di interfaccia (AWS PrivateLink) per consentire a Studio di accedere ai seguenti servizi con i nomi di servizio corrispondenti. È inoltre necessario associare i gruppi di sicurezza del proprio dispositivo VPC a questi endpoint.

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker durata:com.amazonaws.region.sagemaker.runtime. Questo nome del servizio è richiesto per eseguire i notebook Studio e per addestrare e ospitare modelli.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Progetti:com.amazonaws.region.servicecatalog.

    • SageMaker Studio:aws.sagemaker.region.studio.

    • Eventuali altri AWS servizi di cui hai bisogno.

    Se usi SageMaker Python SDK per eseguire lavori di formazione remoti, devi anche creare i seguenti endpoint AmazonVPC.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:. com.amazonaws.region.logs Ciò è necessario per consentire a SageMaker Python di SDK ottenere lo stato del lavoro di formazione remota da. Amazon CloudWatch

  6. Se utilizzi il dominio in VpcOnly modalità da una rete locale, stabilisci la connettività privata dalla rete dell'host che esegue Studio nel browser e nell'Amazon VPC di destinazione. Ciò è necessario perché l'interfaccia utente di Studio richiama gli AWS endpoint utilizzando API chiamate con credenziali temporanee. AWS Queste credenziali temporanee sono associate al ruolo di esecuzione del profilo utente registrato. Se il dominio è configurato in VpcOnly modalità in una rete locale, il ruolo di esecuzione potrebbe definire condizioni IAM politiche che impongono l'esecuzione delle API chiamate di AWS servizio solo tramite gli VPC endpoint Amazon configurati. Ciò fa sì che le API chiamate eseguite dall'interfaccia utente di Studio abbiano esito negativo. Consigliamo di risolvere il problema utilizzando una connessione or. AWS Site-to-Site VPNAWS Direct Connect

Nota

Per un cliente che lavora in VPC modalità standard, i firewall aziendali possono causare problemi di connessione con Studio o con le applicazioni. Effettua i seguenti controlli se riscontri uno di questi problemi quando usi Studio da dietro un firewall.

  • Verifica che Studio URL e tutte URLs le tue applicazioni siano nella lista consentita della tua rete. Per esempio:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verificate che le connessioni websocket non siano bloccate. Jupyter utilizza websocket.

Ulteriori informazioni