As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar um cluster Amazon EKS no Studio
As instruções a seguir descrevem como configurar um cluster Amazon EKS no Studio.
-
Crie um domínio ou tenha um pronto. Para obter informações sobre como criar um domínio, consulteGuia para se configurar com o Amazon SageMaker AI.
-
Adicione a seguinte permissão à sua função de execução.
Para obter informações sobre funções de execução de SageMaker IA e como editá-las, consulteCompreendendo as permissões de espaço e os perfis de execução do domínio.
Para saber como anexar políticas a um usuário ou grupo do IAM, consulte Adicionar e remover permissões de identidade do IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeHyerpodClusterPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeCluster" ], "Resource": "
hyperpod-cluster-arn
" }, { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CompleteLayerUpload", "ecr:GetAuthorizationToken", "ecr:UploadLayerPart", "ecr:InitiateLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Sid": "UseEksClusterPermissions", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "eks:AccessKubernetesApi", "eks:DescribeAddon" ], "Resource": "eks-cluster-arn
" }, { "Sid": "ListClustersPermission", "Effect": "Allow", "Action": [ "sagemaker:ListClusters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:TerminateSession" ], "Resource": "*" } ] } -
Conceda aos usuários do IAM acesso ao Kubernetes com entradas de acesso do EKS.
-
Navegue até o cluster Amazon EKS associado ao seu HyperPod cluster.
-
Escolha a guia Acesso e crie uma entrada de acesso para a função de execução que você criou.
-
Na etapa 1, selecione a função de execução que você criou acima no menu suspenso do IAM principal.
-
Na etapa 2, selecione um nome de política e selecione um escopo de acesso ao qual você deseja que os usuários tenham acesso.
-
-
-
(Opcional) Para garantir uma experiência mais tranquila, recomendamos que você adicione tags aos seus clusters. Para obter informações sobre como adicionar tags, consulte Como Editar um SageMaker HyperPod cluster atualizar seu cluster usando o console de SageMaker IA.
-
Marque seu espaço de trabalho Amazon Managed Grafana com seu domínio Studio. Isso será usado para se vincular rapidamente ao seu espaço de trabalho do Grafana diretamente do seu cluster no Studio. Para fazer isso, adicione a seguinte tag ao seu cluster para identificá-la com seu ID do espaço de trabalho Grafana,.
ws-id
Chave da etiqueta = “
grafana-workspace
”, Valor da etiqueta = “ws-id
”.
-
-
(Opcional)Restringir a visualização de tarefas no Studio para clusters EKS. Para obter informações sobre tarefas visíveis no Studio, consulteTarefas.
Restringir a visualização de tarefas no Studio para clusters EKS
Você pode restringir as permissões de namespace do Kubernetes para os usuários, para que eles tenham acesso apenas para visualizar tarefas pertencentes a um namespace especificado. A seguir, são apresentadas informações sobre como restringir a exibição de tarefas no Studio para clusters EKS. Para obter informações sobre tarefas visíveis no Studio, consulteTarefas.
Os usuários terão visibilidade de todas as tarefas do cluster EKS por padrão. Você pode restringir a visibilidade dos usuários das tarefas do cluster EKS a namespaces especificados, garantindo que os usuários possam acessar os recursos de que precisam e, ao mesmo tempo, manter controles de acesso rígidos. Você precisará fornecer o namespace para que o usuário exiba os trabalhos desse namespace depois que o seguinte for configurado.
Depois que a restrição for aplicada, você precisará fornecer o namespace aos usuários que assumem a função. O Studio só exibirá as tarefas do namespace quando o usuário fornecer o namespace de entradas que ele tenha permissão para visualizar na guia Tarefas.
A configuração a seguir permite que os administradores concedam acesso específico e limitado aos cientistas de dados para visualizar tarefas dentro do cluster. Essa configuração concede as seguintes permissões:
-
Liste e obtenha cápsulas
-
Liste e receba eventos
-
Obter definições de recursos personalizadas (CRDs)
Configuração YAML
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pods-events-crd-cluster-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list"] - apiGroups: [""] resources: ["events"] verbs: ["get", "list"] - apiGroups: ["apiextensions.k8s.io"] resources: ["customresourcedefinitions"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: pods-events-crd-cluster-role-binding subjects: - kind: Group name: pods-events-crd-cluster-level apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: pods-events-crd-cluster-role apiGroup: rbac.authorization.k8s.io
-
Salve a configuração YAML em um arquivo chamado
cluster-role.yaml
. -
Aplique a configuração usando
kubectl
: kubectl apply -f cluster-role.yaml
-
Verifique a configuração:
kubectl get clusterrole pods-events-crd-cluster-role kubectl get clusterrolebinding pods-events-crd-cluster-role-binding
-
Atribua usuários ao
pods-events-crd-cluster-level
grupo por meio do seu provedor de identidade ou do IAM.