翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ネットワークを設定する

このセクションでは、管理者が Studio または Studio Classic と Amazon EMRクラスター間の通信を許可するようにネットワークを設定する方法について説明します。

ネットワーク手順は、Studio と Amazon EMRがプライベート Amazon Virtual Private Cloud (VPC) 内にデプロイされているか、インターネット経由で通信しているかによって異なります。

デフォルトでは、Studio または Studio Classic は、インターネットアクセス VPC で AWS 管理される で実行されます。 https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-defaultインターネット接続を使用する場合、Studio と Studio Classic はインターネット経由で Amazon S3 バケットなどの AWS リソースにアクセスします。ただし、データやジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データやコンテナにインターネット経由でアクセスできないEMRように Studio または Studio Classic と Amazon を設定することをお勧めします。リソースへのアクセスを制御したり、パブリックインターネットアクセスなしで Studio または Studio Classic を実行したりするには、Amazon SageMaker ドメイン にオンボードするときにVPC onlyネットワークアクセスタイプを指定できます。このシナリオでは、Studio と Studio Classic の両方が、プライベートVPCエンドポイント を介して他の AWS サービスとの接続を確立します。Studio または Studio Classic を VPC only モードで設定する方法については、「 の SageMaker Studio または Studio Classic ノートブックを外部リソースVPCに接続する」を参照してください。

最初の 2 つのセクションでは、Studio または Studio Classic と、パブリックインターネットアクセスVPCsのない の Amazon EMRクラスター間の通信を確保する方法について説明します。最後のセクションでは、インターネット接続EMRを使用して Studio または Studio Classic と Amazon 間の通信を確保する方法について説明します。インターネットにアクセスEMRせずに Studio または Studio Classic と Amazon を接続する前に、Amazon Simple Storage Service (データストレージ）、Amazon CloudWatch （ログ記録とモニタリング）、および Amazon SageMaker Runtime (きめ細かなロールベースのアクセスコントロール (RBAC)) のエンドポイントを確立してください。

Studio または Studio Classic と Amazon EMRクラスターを接続するには：

Studio と Amazon EMR は別個に VPCs

Studio または Studio Classic と Amazon が別々の にデプロイされたEMRときに通信できるようにするにはVPCs：

Studio または Studio Classic と Amazon を接続する手順は、リソースが 1 つの AWS アカウント (単一アカウントのユースケース) にデプロイされているか、複数の AWS アカウント (クロスアカウントユースケース) にデプロイされているかにかかわらず同じEMRです。

次の図は、 または Studio Classic ノートブックが Service Catalog の AWS CloudFormation テンプレートから Amazon EMRクラスターをプロビジョニングし、同じ AWS アカウント内の Amazon EMRクラスターに接続できるようにする JupyterLab Amazon VPCセットアップの例を示しています。この図は、 にインターネットアクセスがない場合に Amazon S3 や Amazon などのさまざまな AWS サービスに直接接続するために必要なエンドポイントをさらに説明 CloudWatchVPCsしています。または、NAT複数の のプライベートサブネット内のインスタンスが、インターネットにアクセスするときにインターネットゲートウェイによって提供される単一のパブリック IP アドレスを共有できるようにするVPCsには、ゲートウェイを使用する必要があります。 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

Studio と Amazon EMR が同じ にある VPC

Studio または Studio Classic と Amazon EMRクラスターが異なるサブネットにある場合は、各プライベートサブネットルートテーブルにルートを追加して、Studio または Studio Classic とクラスターサブネット間のトラフィックをルーティングします。これらのルートを定義するには、VPCVPCダッシュボードの各 のルートテーブルセクションに移動します。Studio または Studio Classic と Amazon EMRクラスターを同じサブネットVPCと同じサブネットにデプロイした場合、Studio または Studio Classic とクラスターの間でトラフィックをルーティングする必要はありません。

ルーティングテーブルを更新する必要があるかどうかにかかわらず、Studio または Studio Classic ドメインのセキュリティグループはアウトバウンドトラフィックを許可し、Amazon EMRプライマリノードのセキュリティグループは Studio または Studio Classic インスタンスセキュリティグループからの Apache Livy、Hive、Presto TCP ポート (それぞれ 8998、10000、および 8889) でのインバウンドトラフィックを許可する必要があります。Apache Livy は、RESTインターフェイス経由で Amazon EMRクラスターとやり取りできるようにするサービスです。

Studio と Amazon がパブリックインターネット経由でEMR通信する

デフォルトでは、Studio と Studio Classic は、 SageMaker ドメインVPCに関連付けられた のインターネットゲートウェイを介したインターネットとの通信を可能にするネットワークインターフェイスを提供します。パブリックインターネットEMR経由で Amazon に接続する場合、Amazon EMRクラスターは、インターネットゲートウェイからの Apache Livy、Hive、Presto TCP ポート (それぞれ 8998、10000、8889) でのインバウンドトラフィックを受け入れる必要があります。Apache Livy は、RESTインターフェイス経由で Amazon EMRクラスターとやり取りできるようにするサービスです。

インバウンドトラフィックを許可するポートでは、セキュリティ脆弱性が生じる可能性があることに注意してください。カスタムセキュリティグループを注意深く確認して、脆弱性を最小限に抑えます。詳細については、「セキュリティグループを使用してネットワークトラフィックを制御する」を参照してください。

または、Amazon で Kerberos EMRを有効にし、プライベートサブネットにクラスターを設定し、Network Load Balancer (NLB） を使用してクラスターにアクセスして、セキュリティグループを介してアクセスコントロールされる特定のポートのみを公開する方法の詳細なチュートリアルブログとホワイトペーパーについては、「」を参照してください。