Amazon SageMaker 地理空間機能を Amazon Virtual Private Cloud で使用する - Amazon SageMaker
インターネットとの VPC only 通信VPC only モードを使用するための要件

Amazon SageMaker 地理空間機能を Amazon Virtual Private Cloud で使用する

以下のトピックでは、SageMaker 地理空間画像を含む SageMaker ノートブックを VPC 専用モードの Amazon SageMaker ドメインで使用する方法について説明します。Amazon SageMaker Studio Classic の VPC の詳細については、「Choose an Amazon VPC」を参照してください。

インターネットとの VPC only 通信

デフォルトで、SageMaker ドメインは 2 つの Amazon VPC を使用します。1 つの Amazon VPC は Amazon SageMaker によって管理され、直接インターネットアクセスを提供します。もう 1 つの Amazon VPC はユーザーが指定するもので、ドメインと Amazon Elastic File System (Amazon EFS) ボリューム間で暗号化されたトラフィックを提供します。

この動作を変更すると、指定した Amazon VPC 経由で SageMaker がすべてのトラフィックを送信するように設定できます。SageMaker ドメインの作成時にネットワークアクセスモードに VPC only を選択した場合、作成した SageMaker ドメインで SageMaker Studio Classic ノートブックを引き続き使用するには、以下の要件を考慮する必要があります。

VPC only モードを使用するための要件

注記

SageMaker 地理空間機能の視覚化コンポーネントを使用するには、SageMaker Studio Classic UI へのアクセスに使用するブラウザがインターネットに接続されている必要があります。

VpcOnly を選択した場合は、次の手順に従います。

  1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、VpcOnly モードでは使用できません。

  2. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。Studio Classic ドメインの合計 IP アドレス数は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「IPv4 用の VPC とサブネットのサイズ設定」を参照してください。

    注記

    デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「ハードウェア専有インスタンス」を参照してください。

  3. 以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

  4. インターネットアクセスを許可する場合は、インターネットゲートウェイなどを経由してインターネットにアクセスできる NAT ゲートウェイを使用する必要があります。

  5. インターネットアクセスを許可しない場合は、インターフェイス VPC エンドポイントを作成し (AWS PrivateLink)、対応するサービス名を持つ以下のサービスへのアクセスを Studio Classic に許可します。また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。

    注記

    現在、SageMaker の地理空間機能は米国西部 (オレゴン) リージョンでのみサポートされています。

    • SageMaker API : com.amazonaws.us-west-2.sagemaker.api

    • SageMaker ランタイム: com.amazonaws.us-west-2.sagemaker.runtime。これは、SageMaker の地理空間画像を含む Studio Classic ノートブックを実行するために必要です。

    • Amazon S3: com.amazonaws.us-west-2.s3

    • SageMaker プロジェクトを使用する場合: com.amazonaws.us-west-2.servicecatalog

    • SageMaker 地理空間機能: com.amazonaws.us-west-2.sagemaker-geospatial

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。これは、SageMaker Python SDK が Amazon CloudWatch からリモートトレーニングジョブのステータスを取得できるようにするために必要です。

注記

VPC モードで顧客が作業する場合、会社のファイアウォールが原因となって SageMaker Studio Classic、または JupyterServer と KernelGateway の間に接続の問題が発生する場合があります。ファイアウォールの内側から SageMaker Studio Classic を使用する際にこれらの問題のいずれかが発生した場合は、次のチェックを行います。

  • Studio Classic URL がネットワーク許可リストに含まれていることをチェックする。

  • WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。KernelGateway アプリケーションが InService になっていると、JupyterServer が KernelGateway に接続できない場合があります。この問題は、システムターミナルが開いている場合にも発生します。