本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
让 Amazon SageMaker Clarify Jobs 访问您亚马逊中的资源 VPC
为了控制对您的数据和 SageMaker Clarify 任务的访问权限,我们建议您创建私有 Amazon VPC 并将其配置为无法通过公共互联网访问您的作业。有关创建和配置用于处理任务的 Amazon VPC 的信息,请参阅授予 SageMaker 处理任务访问您的 Amazon 资源的权限VPC。
本文档介绍如何添加符合 Clarify 任务要求的 SageMaker 其他 Amazon VPC 配置。
为 Amazon VPC 访问 SageMaker 配置 Clarify Job
在配置私有 Amazon VPC for Clarify 任务时,您需要指定子网和安全组,并使任务能够在计算训练后偏差指标和功能贡献时从 SageMaker 模型中获得推论,以帮助解释模型预测。 SageMaker
SageMaker 澄清 Job Amazon VPC 子网和安全组
根据您创建任务的方式,VPC可以通过多种方式将您的私有 Amazon 中的子网和安全组分配给 Clarify 任务。 SageMaker
-
SageMaker 控制台:在控制SageMaker面板中创建任务时提供此信息。从处理菜单中选择处理作业,然后选择创建处理作业。在 “网络” 面板中选择该VPC选项,然后使用下拉列表提供子网和安全组。确保此面板中提供的网络隔离选项已关闭。
-
SageMaker API:使用的
NetworkConfig.VpcConfig请求参数CreateProcessingJobAPI,如以下示例所示:"NetworkConfig": { "VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] } } -
SageMaker Python SDK:使用
SageMakerClarifyProcessorAPI或的 NetworkConfig参数ProcessorAPI,如以下示例所示: from sagemaker.network import NetworkConfig network_config = NetworkConfig( subnets=[ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2", ], security_group_ids=[ "sg-0123456789abcdef0", ], )
SageMaker 使用这些信息创建网络接口并将其连接到 Clarify SageMaker 作业。网络接口提供了 Clar SageMaker ify 任务,其网络连接位于您VPC的 Amazon 中,但未连接到公共互联网。它们还允许 Cl SageMaker arify 任务连接到您的私有 Amazon 中的资源VPC。
注意
必须关闭 Clarify 作业的网络隔离选项(默认情况下,该选项处于关闭状态),这样 Clarify 作业才能与影子端点通信。 SageMaker SageMaker
配置 Amazon 模型VPC以进行推理
为了计算训练后的偏差指标和可解释性,Clarify 作业需要从模型中获得推论,该 SageMaker 模型由 Clarify 处理作业的分析配置model_name参数指定。 SageMaker SageMaker 或者,如果您SageMakerClarifyProcessorAPI在 SageMaker Python 中使用SDK,则作业需要获取ModelConfigmodel_name指定的值。为此,Clar SageMaker ify 任务使用模型创建一个临时终端节点,称为影子终端节点,然后将模型的 Amazon VPC 配置应用于影子终端节点。
要将私有 Amazon 中的子网和安全组指定VPC给 SageMaker模型,请使用的VpcConfig请求参数,CreateModelAPI或者在使用控制台中的控制 SageMaker 面板创建模型时提供此信息。以下是您在调用 CreateModel 时将包含的 VpcConfig 参数的示例:
"VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
您可以使用 Clarify 处理任务的分析配置initial_instance_count参数来指定要启动的影子端点 SageMaker 的实例数量。或者,如果您SageMakerClarifyProcessorAPI在 SageMaker Python 中使用SDK,则作业需要获取ModelConfiginstance_count指定的值。
注意
即使您在创建影子终端节点时只请求一个实例,也需要模型中至少有两个子网ModelConfig
ClientError: 托管终端节点时出错 sagemaker-clarify-endpoint-XXX: 失败。原因:找不到至少 2 个可用区,其请求的实例类型YYY与 SageMaker 子网重叠。
如果您的模型需要 Amazon S3 中的模型文件,则模型亚马逊VPC需要具有 Amazon S3 VPC 终端节点。有关为 SageMaker 模型创建和配置 Amazon VPC 的更多信息,请参阅允许 SageMaker 托管终端节点访问您的 Amazon 中的资源 VPC。
将您的专VPC用 Amazon 配置为 Clari SageMaker fy 任务
通常,您可以按照配置您的隐私以VPC供 SageMaker 处理中的步骤配置您的私有 Amazon for Clari VPC f SageMaker y 作业。以下是 Clarify 职位的一些亮点和特殊要求。 SageMaker
连接到您的 Amazon 以外的资源 VPC
如果您将 Amazon VPC 配置为不允许 SageMaker 公共互联网接入,则需要进行一些额外的设置才能让 Clarify 任务访问亚马逊以外的资源和服务VPC。例如,需要一个 Amazon S3 VPC 终端节点,因为 Clarify 任务需要从 S3 存储桶加载数据集并将分析结果保存到 S3 存储桶。 SageMaker 有关更多信息,请参阅创建指南中的创建 Amazon S3 VPC 终端节点。此外,如果 Cl SageMaker arify 作业需要从影子端点获取推论,则它需要再调用几个 AWS 服务的支持。
-
创建亚马逊 SageMaker API服务VPC终端节点:C SageMaker larify 任务需要调用亚马逊 SageMaker API服务来操作影子终端节点,或者描述用于亚马逊VPC验证的 SageMaker 模型。您可以按照 “保护所有 Amazon SageMaker API 通话” 中提供的指导进行操作 AWS PrivateLink
博客来创建一个 Amazon SageMaker API VPC 终端节点,允许 Clarify 任务进行服务调用。 SageMaker 请注意,Amazon SageMaker API 服务的服务名称是 com.amazonaws.,其中region.sagemaker.apiregion是您的 Amazon VPC 所在地区的名称。 -
创建 Amazon SageMaker 运行时VPC终端节点:Clarify 任务需要调用亚马逊 SageMaker运行时服务,该服务将调用路由到影子终端节点。 SageMaker 设置步骤与 Amazon SageMaker API 服务的设置步骤类似。请注意,Amazon SageMaker Runtime 服务的服务名称是
com.amazonaws.,其中region.sagemaker.runtimeregion是您的 Amazon VPC 所在地区的名称。
配置 Amazon VPC 安全组
SageMaker 当通过以下方式之一指定两个或多个处理实例时,Clarify 作业支持分布式处理:
-
SageMaker console:实例计数是在创建处理作业页面上任务设置面板的资源配置部分中指定的。
-
SageMaker API:
InstanceCount是在使用创建任务时指定的CreateProcessingJobAPI。 -
SageMaker Python SDK:
instance_count是在使用SageMakerClarifyProcessorAPI或处理器 时指定的API。
在分布式处理中,您必须允许在同一处理作业中的不同实例之间进行通信。为此,请为您的安全组配置规则,以允许同一安全组的成员之间实现入站连接。有关信息,请参阅安全组规则。
