Conecte o Amazon SageMaker Studio VPC a recursos externos - Amazon SageMaker
Comunicação padrão com a internetComunicação da VPC only com a internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte o Amazon SageMaker Studio VPC a recursos externos

Importante

Em 30 de novembro de 2023, a experiência anterior do Amazon SageMaker Studio agora se chama Amazon SageMaker Studio Classic. A seção a seguir é específica para usar a experiência atualizada do Studio. Para obter informações sobre como usar o aplicativo Studio Classic, consulteAmazon SageMaker Studio Clássico.

O tópico a seguir fornece informações sobre como conectar o Amazon SageMaker Studio em a VPC a recursos externos.

Comunicação padrão com a internet

Por padrão, o Amazon SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma interface VPC gerenciada por SageMaker. O tráfego para AWS serviços como o Amazon S3 CloudWatch passa por um gateway de internet, assim como o tráfego que acessa o SageMaker API tempo de execução. SageMaker O tráfego entre o domínio e seu EFS volume da Amazon passa pelo VPC que você especificou quando se integrou ao domínio ou ligou para o. CreateDomainAPI

Comunicação da VPC only com a internet

Para evitar o fornecimento SageMaker de acesso à Internet ao Studio, você pode desativar o acesso à Internet especificando o tipo de acesso à VPC only rede ao se conectar ao Studio ou ligar para o. CreateDomainAPI Como resultado, você não poderá executar o Studio a menos que VPC tenha um endpoint de interface para o tempo de execução SageMaker API e um NAT gateway com acesso à Internet e seus grupos de segurança permitam conexões de saída.

nota

O tipo de acesso à rede pode ser alterado após a criação do domínio usando o --app-network-access-type parâmetro do comando update-domain.

Requisitos para usar o modo VPC only

Quando você escolher VpcOnly, siga estas etapas:

  1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo VpcOnly.

  2. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado do endereço IP não exceda a capacidade suportada pelo número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte VPCe dimensionamento de sub-rede para. IPv4

    nota

    Você pode configurar somente sub-redes com uma locação padrão VPC na qual sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação paraVPCs, consulte Instâncias dedicadas.

  3. Atenção

    Ao usar o modo VpcOnly, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso VPC ao interajam com os aplicativos de outros perfis de usuário sem autenticação.

    Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:

    Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada a si mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.

  4. Se você quiser permitir o acesso à Internet, deverá usar um NATgateway com acesso à Internet, por exemplo, por meio de um gateway de Internet.

  5. Se você não quiser permitir o acesso à Internet, crie VPC endpoints de interface (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança do seu VPC a esses endpoints.

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker tempo de execução:com.amazonaws.region.sagemaker.runtime. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Projetos:com.amazonaws.region.servicecatalog.

    • SageMaker Estúdio:aws.sagemaker.region.studio.

    • Quaisquer outros AWS serviços de que você precise.

    Se você usa o SageMaker Python SDK para executar trabalhos de treinamento remoto, você também deve criar os seguintes endpoints da AmazonVPC.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Isso é necessário para permitir que o SageMaker Python obtenha SDK o status do trabalho de treinamento remoto de. Amazon CloudWatch

  6. Se estiver usando o domínio no VpcOnly modo de uma rede local, estabeleça conectividade privada a partir da rede do host que executa o Studio no navegador e na Amazon VPC de destino. Isso é necessário porque a interface do usuário do Studio invoca AWS endpoints usando API chamadas com credenciais temporárias. AWS Essas credenciais temporárias estão associadas à função de execução do perfil de usuário registrado. Se o domínio estiver configurado no VpcOnly modo em uma rede local, a função de execução poderá definir condições de IAM política que imponham a execução de chamadas de AWS serviço somente por meio dos VPC endpoints Amazon configurados. Isso faz com que as API API chamadas executadas a partir da interface do usuário do Studio falhem. Recomendamos resolver isso usando uma AWS Direct Connectconexão AWS Site-to-Site VPNor.

nota

Para um cliente que trabalha dentro do VPC modo, os firewalls da empresa podem causar problemas de conexão com o Studio ou com os aplicativos. Faça as seguintes verificações se você encontrar um desses problemas ao usar o Studio por trás de um firewall.

  • Verifique se o Studio URL e todos URLs os seus aplicativos estão na lista de permissões da sua rede. Por exemplo:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa websockets.

Para obter mais informações