Amazon의 리소스에 대한 SageMaker 훈련 작업 액세스 권한 부여 VPC - Amazon SageMaker
Amazon VPC Access에 대한 훈련 작업 구성프라이빗 VPC for SageMaker Training 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 리소스에 대한 SageMaker 훈련 작업 액세스 권한 부여 VPC

참고

훈련 작업의 경우 인스턴스가 공유 하드웨어에서 실행되는 기본 테넌시가 있는 서브넷만 구성할 수 VPC 있습니다. 의 테넌시 속성에 대한 자세한 내용은 전용 인스턴스 를 VPCs참조하세요. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

Amazon VPC Access에 대한 훈련 작업 구성

훈련 작업에 대한 액세스를 제어하려면 인터넷에 액세스할 수 없는 프라이빗 서브넷VPC이 있는 Amazon에서 실행하십시오.

서브넷 및 보안 그룹 을 지정VPC하여 에서 실행되도록 훈련 작업을 구성합니다IDs. 훈련 작업 컨테이너의 서브넷을 지정할 필요는 없습니다. Amazon은 Amazon 에서 훈련 컨테이너 이미지를 SageMaker 자동으로 가져옵니다ECR.

훈련 작업을 생성할 때 Amazon SageMaker 콘솔 또는 를 VPC 사용하여 에서 서브넷 및 보안 그룹을 지정할 수 있습니다API.

를 사용하려면 CreateTrainingJob 작업의 VpcConfig 파라미터IDs에 서브넷 및 보안 그룹을 API지정합니다. 는 서브넷 및 보안 그룹 세부 정보를 SageMaker 사용하여 네트워크 인터페이스를 생성하고 이를 훈련 컨테이너에 연결합니다. 네트워크 인터페이스는 훈련 컨테이너에 내 네트워크 연결을 제공합니다VPC. 이렇게 하면 훈련 작업이 에 있는 리소스에 연결할 수 있습니다VPC.

다음은 CreateTrainingJob작업 호출에 포함할 VpcConfig파라미터의 예입니다.

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

프라이빗 VPC for SageMaker Training 구성

SageMaker 훈련 작업에 VPC 대해 프라이빗을 구성할 때는 다음 지침을 사용합니다. 를 설정하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서의 및 서브넷 작업을 VPC참조하세요. VPCs

서브넷에 충분한 IP 주소를 확보해야 합니다

Elastic Fabric Adapter(EFA)를 사용하지 않는 훈련 인스턴스에는 최소 2개의 프라이빗 IP 주소가 있어야 합니다. 를 사용하는 훈련 인스턴스에는 최소 5개의 프라이빗 IP 주소가 있어야 EFA 합니다. 자세한 내용은 Amazon EC2 사용 설명서의 여러 IP 주소를 참조하세요.

VPC 서브넷에는 훈련 작업의 각 인스턴스에 대해 최소 2개의 프라이빗 IP 주소가 있어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 및 용 서브넷 크기 조정IPv4을 참조하세요.

Amazon S3 VPC 엔드포인트 생성

훈련 컨테이너가 인터넷에 액세스할 수 VPC 없도록 를 구성하는 경우 액세스를 허용하는 VPC 엔드포인트를 생성하지 않으면 훈련 데이터가 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC 엔드포인트를 생성하면 훈련 컨테이너가 데이터 및 모델 아티팩트를 저장하는 버킷에 액세스할 수 있습니다. 또한 프라이빗의 요청만 S3 버킷VPC에 액세스할 수 있도록 허용하는 사용자 지정 정책을 생성하는 것이 좋습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.

S3 VPC 엔드포인트를 생성하려면:

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 엔드포인트를 선택하고 엔드포인트 생성을 선택합니다.

  3. 서비스 이름 에서 com.amazonaws를 검색합니다.region.s3, 여기서 region 는 가 상VPC주하는 리전의 이름입니다.

  4. 게이트웨이 유형을 선택합니다.

  5. 에서 이 엔드포인트에 사용할 VPC를 VPC선택합니다.

  6. 라우팅 테이블 구성에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. VPC 서비스는 선택한 각 라우팅 테이블에 S3 트래픽을 새 엔드포인트로 가리키는 경로를 자동으로 추가합니다.

  7. 정책 에서 전체 액세스를 선택하여 내 사용자 또는 서비스에서 S3 서비스에 대한 전체 액세스를 허용합니다VPC. 액세스 권한을 추가로 제한하려면 사용자 지정을 선택합니다. 자세한 내용은 사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한을 참조하세요.

사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한

기본 엔드포인트 정책은 의 모든 사용자 또는 서비스에 대해 S3에 대한 전체 액세스를 허용합니다VPC. S3에 대한 액세스를 추가로 제한하려면 사용자 지정 엔드포인트 정책을 생성합니다. 자세한 내용은 의 Amazon S3용 엔드포인트 정책 사용을 참조하세요. 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 Amazon 에서 들어오는 트래픽으로만 제한할 수도 있습니다VPC. 자세한 내용은 Amazon S3 버킷 정책 사용을 참조하세요.

훈련 컨테이너에서 패키지 설치 제한

기본 엔드포인트 정책은 사용자가 훈련 컨테이너에 있는 Amazon Linux 및 Amazon Linux 2 리포지토리에서 패키지를 설치하도록 허용합니다. 사용자가 해당 리포지토리의 패키지를 설치하지 않도록 하려면 Amazon Linux 및 Amazon Linux 2 리포지토리에 대한 액세스를 명시적으로 거부하는 사용자 지정 엔드포인트 정책을 생성합니다. 다음은 이러한 리포지토리에 대한 액세스를 거부하는 정책의 예입니다.

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

라우팅 테이블 구성

엔드포인트 라우팅 테이블에 기본 DNS 설정을 사용하여 표준 Amazon S3URLs(예: http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket)가 확인되도록 합니다. 기본 DNS 설정을 사용하지 않는 경우 훈련 작업에서 데이터의 위치를 지정하는 데 URLs 사용하는 이 엔드포인트 라우팅 테이블을 구성하여 해결되는지 확인합니다. VPC 엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서Gateway 엔드포인트 라우팅을 참조하세요.

VPC 보안 그룹 구성

분산형 훈련에서 동일한 훈련 작업 다른 컨테이너 간 통신을 허용해야 합니다. 이렇게 하려면 동일한 보안 그룹의 구성원 간 인바운드 연결을 허용하는 보안 그룹 규칙을 구성합니다. EFA활성화된 인스턴스의 경우 인바운드 및 아웃바운드 연결에서 동일한 보안 그룹의 모든 트래픽을 허용하는지 확인합니다. 자세한 정보는 Amazon Virtual Private Cloud 사용 설명서의 보안 그룹 규칙을 참조하세요.

외부 리소스에 연결 VPC

인터넷에 액세스할 수 VPC 없도록 를 구성하는 경우 외부의 리소스에 액세스할 수 VPC 없는 를 사용하는 훈련 작업입니다VPC. 훈련 작업에 외부의 리소스에 대한 액세스가 필요한 경우 다음 옵션 중 하나를 사용하여 액세스를 VPC제공합니다.

  • 훈련 작업에서 인터페이스 VPC 엔드포인트를 지원하는 AWS 서비스에 액세스해야 하는 경우 해당 서비스에 연결할 엔드포인트를 생성합니다. 인터페이스 엔드포인트를 지원하는 서비스 목록은 Amazon Virtual Private Cloud 사용 설명서VPC 엔드포인트를 참조하세요. 인터페이스 VPC 엔드포인트 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.

  • 훈련 작업에 인터페이스 VPC 엔드포인트를 지원하지 않는 AWS 서비스 또는 외부 리소스에 대한 액세스가 필요한 경우 NAT 게이트웨이를 AWS생성하고 아웃바운드 연결을 허용하도록 보안 그룹을 구성합니다. 에 대한 NAT 게이트웨이 설정에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서시나리오 2: VPC 퍼블릭 및 프라이빗 서브넷(NAT)을 VPC참조하세요.

CloudWatch 로그 및 지표를 사용하여 Amazon SageMaker 훈련 작업 모니터링

Amazon SageMaker 은 훈련 작업을 모니터링하기 위한 Amazon CloudWatch 로그 및 지표를 제공합니다. 는 CPU, GPU, 메모리, GPU 메모리 및 디스크 지표와 이벤트 로깅을 CloudWatch 제공합니다. Amazon SageMaker 훈련 작업 모니터링에 대한 자세한 내용은 Amazon SageMaker 에서 Amazon을 모니터링하기 위한 지표 CloudWatch 및 섹션을 참조하세요SageMaker 작업 및 엔드포인트 지표.