Executar contêineres de treinamento e inferência no modo sem Internet - Amazon SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Executar contêineres de treinamento e inferência no modo sem Internet

SageMaker os contêineres de treinamento e inferência implantados são habilitados para a Internet por padrão. Isso permite que contêineres acessem serviços e recursos externos na Internet pública como parte de suas cargas de trabalho de treinamento e inferência. No entanto, isso pode fornecer um caminho para o acesso não autorizado aos seus dados. Por exemplo, um usuário ou código mal-intencionado que você instala acidentalmente no contêiner (na forma de uma biblioteca de código-fonte disponível publicamente) pode acessar seus dados e transferi-los para um host remoto.

Se você usa uma Amazon VPC especificando um valor para o VpcConfig parâmetro ao ligar CreateTrainingJob,, ou CreateHyperParameterTuningJobCreateModel, você pode proteger seus dados e recursos gerenciando grupos de segurança e restringindo o acesso à Internet a partir do seu. VPC No entanto, isso ocorre com o custo de configuração de rede adicional e corre o risco de configurar sua rede incorretamente. Se você não quiser fornecer acesso externo SageMaker à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede.

Isolamento de rede

Você pode habilitar o isolamento de rede ao criar seu trabalho ou modelo de treinamento definindo o valor do parâmetro EnableNetworkIsolation como True quando você chama CreateTrainingJob, CreateHyperParameterTuningJob ou CreateModel.

nota

O isolamento de rede é necessário para executar trabalhos e modelos de treinamento usando recursos do AWS Marketplace. Para maior segurança, AWS Marketplace as imagens são executadas dentro de uma AmazonVPC. Eles só têm acesso aos dados em seus sistemas de arquivos locais.

Se você habilitar o isolamento da rede, os contêineres não poderão fazer nenhuma chamada de rede externa, mesmo para outros AWS serviços, como o Amazon S3. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. No caso de um trabalho de treinamento com várias instâncias, o tráfego de entrada e saída da rede é limitado aos pares de cada contêiner de treinamento. SageMaker ainda executa operações de download e upload no Amazon S3 usando sua função de SageMaker execução isoladamente do contêiner de treinamento ou inferência.

Os seguintes SageMaker contêineres gerenciados não oferecem suporte ao isolamento de rede porque exigem acesso ao Amazon S3:

  • Chainer

  • SageMaker Aprendizagem por reforço

Isolamento de rede com um VPC

O isolamento de rede pode ser usado em conjunto com umVPC. Nesse cenário, o download e o upload de dados do cliente e artefatos do modelo são roteados pela sua VPC sub-rede. No entanto, os próprios contêineres de treinamento e inferência continuam isolados da rede e não têm acesso a nenhum recurso dentro de você VPC ou na Internet.