Conecte os notebooks Connect Studio VPC a recursos externos - Amazon SageMaker
Comunicação padrão com a internetComunicação da VPC only com a internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte os notebooks Connect Studio VPC a recursos externos

O tópico a seguir fornece informações sobre como conectar o Studio Notebooks em a VPC a recursos externos.

Comunicação padrão com a internet

Por padrão, o SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de um VPC gerenciado por SageMaker. O tráfego para AWS serviços, como Amazon S3 e CloudWatch, passa por um gateway de internet. O tráfego que acessa o SageMaker ambiente SageMaker API de execução também passa por um gateway de internet. O tráfego entre o domínio e o EFS volume da Amazon passa pelo VPC que você identificou quando se integrou ao Studio ou ligou para o. CreateDomainAPI O diagrama a seguir mostra a configuração padrão.

SageMaker VPCDiagrama de estúdio mostrando o uso direto do acesso à Internet.

Comunicação da VPC only com a internet

Para parar SageMaker de fornecer acesso à Internet aos seus notebooks Studio, desative o acesso à Internet especificando o tipo de acesso à VPC only rede. Especifique esse tipo de acesso à rede ao se conectar ao Studio ou ligar para o. CreateDomainAPI Como resultado, você não poderá executar um notebook Studio, a menos que:

  • você VPC tem um endpoint de interface para o tempo de execução SageMaker API e um NAT gateway com acesso à Internet

  • seus grupos de segurança permitem conexões de saída

O diagrama a seguir mostra uma configuração para usar o modo VPC -only.

SageMaker VPCDiagrama de estúdio mostrando o uso do modo VPC -only.

Requisitos para usar o modo VPC only

Quando você escolher VpcOnly, siga estas etapas:

  1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo VpcOnly.

  2. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio do Studio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso do seu endereço IP não exceda a capacidade suportada pelo número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte VPCe dimensionamento de sub-rede para. IPv4

    nota

    Você pode configurar somente sub-redes com uma locação padrão VPC na qual sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação paraVPCs, consulte Instâncias dedicadas.

  3. Atenção

    Ao usar o modo VpcOnly, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso VPC ao interajam com os aplicativos de outros perfis de usuário sem autenticação.

    Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:

    Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança em nível de domínio permitir acesso de entrada a si mesmo, todos os aplicativos no domínio terão acesso a todos os outros aplicativos no domínio.

  4. Se você quiser permitir o acesso à Internet, deverá usar um NATgateway com acesso à Internet, por exemplo, por meio de um gateway de Internet.

  5. Para remover o acesso à Internet, crie VPC endpoints de interface (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança do seu VPC a esses endpoints.

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker tempo de execução:com.amazonaws.region.sagemaker.runtime. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos.

    • Amazon S3: com.amazonaws.region.s3.

    • Para usar SageMaker projetos:com.amazonaws.region.servicecatalog.

    • Quaisquer outros AWS serviços de que você precise.

    Se você usa o SageMaker Python SDK para executar trabalhos de treinamento remoto, você também deve criar os seguintes endpoints da AmazonVPC.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Isso é necessário para permitir que o SageMaker Python obtenha SDK o status do trabalho de treinamento remoto de. Amazon CloudWatch

nota

Para um cliente que trabalha dentro do VPC modo, os firewalls da empresa podem causar problemas de conexão com o SageMaker Studio ou JupyterServer entre o. KernelGateway Faça as seguintes verificações se você se deparar com um desses problemas ao usar o SageMaker Studio por trás de um firewall.

  • Verifique se o Studio URL está na lista de permissões da sua rede.

  • Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa um websocket nos bastidores. Se o KernelGateway aplicativo estiver InService, JupyterServer talvez não consiga se conectar ao KernelGateway. Você também deve ver esse problema ao abrir o Terminal do Sistema.

Para obter mais informações