기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
중요
2023년 11월 30일부터 이전 Amazon SageMaker Studio 환경이 이제 Amazon SageMaker Studio Classic으로 명명되었습니다. 다음 섹션은 업데이트된 Studio 환경 사용에 해당합니다. Studio Classic 애플리케이션 사용에 대한 자세한 내용은 Amazon SageMaker Studio Classic 섹션을 참조하세요.
다음 주제에서는 VPC의 Amazon SageMaker Studio 노트북를 외부 리소스에 연결하는 방법에 대한 정보를 제공합니다.
인터넷과의 기본 통신
기본적으로 Amazon SageMaker Studio는 SageMaker AI에서 관리하는 VPC를 통해 인터넷과 통신할 수 있는 네트워크 인터페이스를 제공합니다. Amazon S3 및 CloudWatch와 같은 AWS 서비스에 대한 트래픽은 SageMaker AI API 및 SageMaker AI 런타임에 액세스하는 트래픽과 마찬가지로 인터넷 게이트웨이를 통과합니다. 도메인과 Amazon EFS 볼륨 간의 트래픽은 도메인에서 온보딩하거나 CreateDomain API를 직접 호출할 때 지정한 VPC를 통과합니다.
인터넷과의 VPC only통신
SageMaker AI가 Studio에 인터넷 액세스를 제공하지 못하도록 Studio에 온보딩하거나 CreateDomain API를 호출할 때 VPC only 네트워크 액세스 유형을 지정하여 인터넷 액세스를 비활성화할 수 있습니다. 결과적으로 VPC에 SageMaker API 및 런타임 또는 인터넷 액세스를 가진 NAT 게이트웨이에 대한 인터페이스 엔드포인트가 있고 보안 그룹이 아웃바운드 연결을 허용하지 않으면 Studio를 실행할 수 없습니다.
참고
도메인을 만든 후 update-domain--app-network-access-type 파라미터를 사용하여 네트워크 액세스 유형을 변경할 수 있습니다.
VPC only 모드 사용 요구 사항
VpcOnly를 선택했다면, 다음 단계를 따르세요.
-
프라이빗 서브넷만 사용해야 합니다.
VpcOnly모드에서는 퍼블릭 서브넷을 사용할 수 없습니다. -
서브넷에 필요한 수의 IP 주소가 있는지 확인하세요. 사용자당 필요한 예상 IP 주소 수는 사용 사례에 따라 달라질 수 있습니다. 사용자당 2~4개의 IP 주소를 사용하는 것이 좋습니다. 도메인의 총 IP 주소 용량은 도메인을 만들 때 제공된 각 서브넷에 사용 가능한 IP 주소의 합계입니다. 예상 IP 주소 사용량이 제공하는 서브넷 수가 지원하는 용량을 초과하지 않는지 확인하세요. 또한 여러 가용 영역에 분산된 서브넷을 사용하면 IP 주소 가용성을 높일 수 있습니다. 자세한 내용은 IPv4의 경우 VPC 및 서브넷 크기 조정을 참조하세요.
참고
사용자 인스턴스가 실행되는 공유 하드웨어의 기본 테넌시 VPC 만을 사용하여 서브넷을 구성할 수 있습니다. VPC의 테넌시 속성에 대한 자세한 내용은 전용 인스턴스를 참조하세요.
-
주의
VpcOnly모드를 사용하는 경우 도메인의 네트워킹 구성을 부분적으로 소유하게 됩니다. 보안 그룹 규칙이 제공하는 인바운드 및 아웃바운드 액세스에 최소 권한을 적용하는 보안 모범 사례를 사용하는 것이 좋습니다. 인바운드 규칙 구성이 지나치게 허용되면 VPC에 액세스할 수 있는 사용자가 인증 없이 다른 사용자 프로필의 애플리케이션과 상호 작용할 수 있습니다.다음 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 하나 이상의 보안 그룹을 설정합니다.
-
도메인과 Amazon EFS 볼륨 사이의 포트 2049에서 TCP를 통한 NFS 트래픽.
-
보안 그룹 내의 TCP 트래픽. 이는 Jupyter Server애플리케이션과 Kernel Gateway애플리케이션 간의 연결에 필요합니다.
8192-65535범위 내 최소 포트에 대한 액세스를 허용해야 합니다.
각 사용자 프로필에 대해 고유한 보안 그룹을 만들고 동일한 보안 그룹의 인바운드 액세스를 추가하세요. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체로의 인바운드 액세스를 허용하면 도메인의 모든 애플리케이션이 도메인의 다른 모든 애플리케이션에 액세스할 수 있게 됩니다.
-
-
인터넷 액세스를 허용하려면 인터넷 게이트웨이 등을 통해 인터넷에 액세스할 수 있는 NAT 게이트웨이를 사용해야 합니다.
-
인터넷 액세스를 허용하지 않으려면 인터페이스 VPC 엔드포인트(PrivateLink)를 생성하여 Studio가 해당 서비스 이름으로 다음 서비스에 액세스할 수 있도록 합니다.AWS PrivateLink 또한 VPC의 보안 그룹을 이러한 엔드포인트와 연결해야 합니다.
-
SageMaker API:
com.amazonaws.region.sagemaker.api -
SageMaker AI 런타임:
com.amazonaws.. 이는 엔드포인트 호출을 실행하는 데 필요합니다.region.sagemaker.runtime -
Amazon S3:
com.amazonaws..region.s3 -
SageMaker Projects:
com.amazonaws.region.servicecatalog -
SageMaker Studio:
aws.sagemaker.region.studio -
필요한 기타 AWS 서비스.
SageMaker Python SDK
를 사용하여 원격 훈련 작업을 실행하는 경우 다음과 같은 Amazon VPC 엔드포인트도 생성해야 합니다. -
AWS Security Token Service:
com.amazonaws.region.sts -
Amazon CloudWatch:
com.amazonaws.. 이는 SageMaker Python SDK가 원격 훈련 작업 상태를 가져오도록 허용하는 데 필요합니다 Amazon CloudWatch.region.logs
-
-
온프레미스 네트워크에서
VpcOnly모드로 도메인을 사용하는 경우 브라우저에서 Studio를 실행하는 호스트의 네트워크와 대상 Amazon VPC에서 프라이빗 연결을 설정합니다. 이는 Studio UI가 임시 AWS 자격 증명과 함께 API 호출을 사용하여 AWS 엔드포인트를 호출하기 때문에 필요합니다. 이러한 임시 자격 증명은 로그된 사용자 프로필의 실행 역할과 연결되어 있습니다. 도메인이 온프레미스 네트워크의VpcOnly모드로 구성된 경우 실행 역할은 구성된 Amazon VPC 엔드포인트를 통해서만 AWS 서비스 API 호출의 실행을 강제하는 IAM 정책 조건을 정의할 수 있습니다. 이로 인해 Studio UI에서 실행되는 API 호출이 실패합니다. AWS Site-to-Site VPN 또는 AWS Direct Connect 연결을 사용하여 이 문제를 해결하는 것이 좋습니다.
참고
VPC 모드 내에서 작업하는 고객의 경우 회사 방화벽으로 인해 Studio 또는 애플리케이션에 연결 문제가 발생할 수 있습니다. 방화벽 뒤에서 Studio를 사용할 때 이러한 문제 중 하나가 발생하는 경우 다음 사항을 확인하세요.
-
Studio URL과 모든 애플리케이션의 URL이 네트워크의 허용 목록에 있는지 확인합니다. 예시:
*.studio.region.sagemaker.aws *.console.aws.a2z.com -
웹 소켓 연결이 차단되지 않았는지 확인합니다. Jupyter는 웹 소켓을 사용합니다.
