Configurare un job di formazione per Amazon VPC Access Configura Your Private VPC for SageMaker Training

Offri ai SageMaker corsi di formazione l'accesso alle risorse nel tuo Amazon VPC

Nota

Per i lavori di formazione, puoi configurare solo sottoreti con una tenancy predefinita VPC in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy perVPCs, consulta Dedicated Instances.

Configurare un job di formazione per Amazon VPC Access

Per controllare l'accesso ai tuoi lavori di formazione, eseguili in un Amazon VPC con sottoreti private che non dispongono di accesso a Internet.

Puoi configurare il processo di formazione in modo che venga eseguito in VPC specificandone le sottoreti e il gruppo di sicurezza. IDs Non devi specificare la sottorete per il container del processo di addestramento. Amazon SageMaker recupera automaticamente l'immagine del contenitore di formazione da AmazonECR.

Quando crei un processo di formazione, puoi specificare le sottoreti e i gruppi di sicurezza utilizzati VPC utilizzando la SageMaker console Amazon o il. API

Per utilizzare ilAPI, devi specificare le sottoreti e il gruppo di sicurezza IDs nel VpcConfig parametro dell'operazione. CreateTrainingJob SageMaker utilizza i dettagli della sottorete e del gruppo di sicurezza per creare le interfacce di rete e le collega ai contenitori di formazione. Le interfacce di rete forniscono ai contenitori di formazione una connessione di rete all'interno del. VPC Ciò consente al processo di formazione di connettersi alle risorse esistenti nel tuoVPC.

Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata all'operazione CreateTrainingJob:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configura Your Private VPC for SageMaker Training

Quando configuri la modalità privata VPC per i tuoi lavori di SageMaker formazione, utilizza le seguenti linee guida. Per informazioni sulla configurazione di unVPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.

Argomenti

Verificare che le sottoreti abbiano abbastanza indirizzi IP
Crea un endpoint Amazon S3 VPC
Usare una policy di endpoint personalizzata per limitare l'accesso a S3
Configurare le tabelle di routing
Configura il gruppo di sicurezza VPC
Connettiti a risorse esterne al tuo VPC
Monitora i lavori di SageMaker formazione su Amazon con CloudWatch log e metriche

Verificare che le sottoreti abbiano abbastanza indirizzi IP

Le istanze di formazione che non utilizzano un Elastic Fabric Adapter (EFA) devono avere almeno 2 indirizzi IP privati. Le istanze di formazione che utilizzano un EFA devono avere almeno 5 indirizzi IP privati. Per ulteriori informazioni, consulta Indirizzi IP multipli nella Amazon EC2 User Guide.

Le tue VPC sottoreti devono avere almeno due indirizzi IP privati per ogni istanza di un processo di formazione. Per ulteriori informazioni, consulta la sezione VPCdedicata al dimensionamento delle sottoreti IPv4 nella Amazon VPC User Guide.

Crea un endpoint Amazon S3 VPC

Se lo configuri VPC in modo che i contenitori di formazione non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i tuoi dati di formazione a meno che non crei un VPC endpoint che consenta l'accesso. Creando un VPC endpoint, consenti ai contenitori di formazione di accedere ai bucket in cui archiviare i dati e modellare gli artefatti. Ti consigliamo inoltre di creare una policy personalizzata che consenta solo alle richieste provenienti da utenti privati di accedere VPC ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3.

Per creare un endpoint S3: VPC

Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).
Per Service Name, cerca com.amazonaws.region.s3, dove region è il nome della regione in cui risiediVPC.
Scegli il tipo di Gateway.
Per VPC, scegli VPC quello che vuoi usare per questo endpoint.
In Configure route tables (Configura tabelle di routing), selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il VPC servizio aggiunge automaticamente un percorso a ogni tabella di rotte selezionata che indirizza il traffico S3 verso il nuovo endpoint.
Per Policy, scegli Accesso completo per consentire l'accesso completo al servizio S3 da parte di qualsiasi utente o servizio all'interno di. VPC Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per informazioni, consultare Usare una policy di endpoint personalizzata per limitare l'accesso a S3.

Usare una policy di endpoint personalizzata per limitare l'accesso a S3

La policy predefinita per gli endpoint consente l'accesso completo a S3 per qualsiasi utente o servizio del tuo. VPC Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3. Puoi anche utilizzare una policy sui bucket per limitare l'accesso ai tuoi bucket S3 solo al traffico proveniente dal tuo Amazon. VPC Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3.

Limitare l'installazione dei pacchetti nel container di addestramento

La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di addestramento. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configurare le tabelle di routing

Utilizza DNS le impostazioni predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/MyBucket) si risolva. Se non utilizzi DNS le impostazioni predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di formazione vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing VPC degli endpoint, consulta Routing for Gateway Endpoints nella Amazon VPC User Guide.

Configura il gruppo di sicurezza VPC

Nell’addestramento distribuito, devi consentire la comunicazione tra diversi container nello stesso processo di addestramento. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per le istanze EFA abilitate, assicurati che sia le connessioni in entrata che quelle in uscita consentano tutto il traffico proveniente dallo stesso gruppo di sicurezza. Per ulteriori informazioni, consulta Regole del gruppo di sicurezza nella Guida per l'utente del Amazon Virtual Private Cloud.

Connettiti a risorse esterne al tuo VPC

Se configuri il tuo VPC in modo che non abbia accesso a Internet, i lavori di formazione che VPC lo utilizzano non hanno accesso a risorse esterne alle tueVPC. Se il tuo lavoro di formazione richiede l'accesso a risorse esterneVPC, fornisci l'accesso con una delle seguenti opzioni:

Se il tuo corso di formazione richiede l'accesso a un AWS servizio che supporta gli VPC endpoint di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco di servizi che supportano gli endpoint di interfaccia, consulta VPCEndpoints nella Amazon Virtual Private Cloud User Guide. Per informazioni sulla creazione di un VPC endpoint di interfaccia, consulta Interface VPC Endpoints (AWS PrivateLink) nella Amazon Virtual Private Cloud User Guide.
Se il tuo corso di formazione richiede l'accesso a un AWS servizio che non supporta gli VPC endpoint di interfaccia o a una risorsa esterna AWS, crea un NAT gateway e configura i tuoi gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un NAT gateway per il tuoVPC, consulta Scenario 2: VPC with Public and Private Subnet (NAT) nella Amazon Virtual Private Cloud User Guide.

Monitora i lavori di SageMaker formazione su Amazon con CloudWatch log e metriche

Amazon SageMaker fornisce CloudWatch log e metriche Amazon per monitorare i lavori di formazione. CloudWatch fornisceCPU,GPU, parametri di GPU memoria, memoria e disco e registrazione degli eventi. Per ulteriori informazioni sul monitoraggio dei lavori di SageMaker formazione di Amazon, consulta Monitora Amazon SageMaker con Amazon CloudWatch eSageMaker metriche relative ai lavori e agli endpoint.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Offri ai responsabili della SageMaker lavorazione l'accesso alle risorse del tuo Amazon VPC

Offri agli endpoint SageMaker ospitati l'accesso alle risorse nel tuo Amazon VPC