Comunicação da VPC only com a internet Requisitos para usar o modo VPC only

Use os recursos geoespaciais do Amazon SageMaker em sua Amazon Virtual Private Cloud

O tópico a seguir fornece informações sobre como usar os cadernos do SageMaker com uma imagem geoespacial do SageMaker em um domínio do Amazon SageMaker com o modo somente VPC. Para obter mais informações sobre VPCs no Amazon SageMaker Studio, consulte Escolher uma Amazon VPC.

Comunicação da `VPC only` com a internet

Por padrão, o Domínio do SageMaker usa duas Amazon VPC. Uma das Amazon VPC é gerenciada pelo Amazon SageMaker e fornece acesso direto à Internet. Você especifica a outra Amazon VPC, que fornece tráfego criptografado entre o domínio e o volume do Amazon Elastic File System (Amazon EFS).

Você pode alterar esse comportamento para que o SageMaker envie todo o tráfego pela sua Amazon VPC especificada. Se a VPC only tiver sido escolhida como o modo de acesso à rede durante a criação do Domínio do SageMaker, os requisitos a seguir precisam ser considerados para ainda permitir o uso dos cadernos do SageMaker Studio dentro do Domínio SageMaker criado.

Requisitos para usar o modo `VPC only`

nota

Para usar os componentes de visualização dos recursos geoespaciais do SageMaker, o navegador que você usa para acessar a interface do usuário do SageMaker Studio precisa estar conectado à Internet.

Quando você escolher VpcOnly, siga estas etapas:

Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo VpcOnly.
Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio do Studio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado do endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte Dimensionamento da VPC e da sub-rede para IPv4.

nota
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte Instâncias dedicadas.
Configure um ou mais grupos de segurança com regras de entrada e saída que permitam juntas o seguinte tráfego:
- Tráfego NFS via TCP na porta 2049 entre o domínio e o volume do Amazon EFS.
- Tráfego TCP dentro do grupo de segurança. Isso é necessário para a conectividade entre a aplicação JupyterServer e as aplicações de gateway de kernel. Você deve permitir o acesso pelo menos às portas no intervalo 8192-65535.
Se você quiser permitir o acesso à Internet, deverá usar um gateway NAT com acesso à Internet, por exemplo, por meio de um gateway da Internet.
Se você não quiser permitir o acesso à internet, crie endpoints da VPC de interface (AWS PrivateLink) para permitir que o Studio Classic acesse os seguintes serviços com os nomes de serviço correspondentes: Você também deve associar os grupos de segurança da sua VPC a esses endpoints.

nota
Atualmente, os recursos geoespaciais do SageMaker são compatíveis somente na região Oeste dos EUA (Oregon).
- API do SageMaker: com.amazonaws.us-west-2.sagemaker.api
- Runtime do SageMaker:. com.amazonaws.us-west-2.sagemaker.runtime Isso é necessário para executar os cadernos do Studio Classic com uma imagem geoespacial do SageMaker.
- Amazon S3: com.amazonaws.us-west-2.s3.
- Para usar os projetos do SageMaker: com.amazonaws.us-west-2.servicecatalog.
- Recursos geoespaciais do SageMaker: com.amazonaws.us-west-2.sagemaker-geospatial
Se você usa o SageMaker Python SDK para executar trabalhos de treinamento remoto, você também deve criar os seguintes endpoints da Amazon VPC:
- AWS Security Token Service: com.amazonaws.region.sts
- Amazon CloudWatch: com.amazonaws.region.logs. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto do Amazon CloudWatch.

nota

Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o SageMaker Studio Classic ou entre o JupyterServer e o KernelGateway. Faça as seguintes verificações se você encontrar um desses problemas ao usar o SageMaker Studio por trás de um firewall:

Verifique se o URL do Studio Classic está na lista de permissões da sua rede.
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa um websocket dentro do sistema. Se a aplicação KernelGateway estiver InService, o JupyterServer pode não ser capaz de se conectar ao KernelGateway. Você também deve ver esse problema ao abrir o Terminal do Sistema.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Melhores práticas de segurança para recursos geoespaciais do SageMaker

Usar permissões do AWS KMS para recursos geoespaciais do SageMaker