本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在您的亚马逊虚拟私有云 Virtual Private Cloud 中使用亚马逊 SageMaker 地理空间功能
以下主题提供有关如何在VPC仅限模式的 Amazon SageMaker 域中使用带有 SageMaker 地理空间图像的 SageMaker 笔记本的信息。有关 Amazon SageMaker Studio Classic VPCs 中的更多信息,请参阅选择亚马逊VPC。
与互联网的 VPC only
通信
默认情况下, SageMaker 域名使用两个 Amazon VPC。其中一个亚马逊VPC由亚马逊管理,提供直接 SageMaker 的互联网接入。您可以指定另一个亚马逊VPC,它在域名和您的亚马逊弹性文件系统(亚马逊EFS)卷之间提供加密流量。
您可以更改此行为,以便通过您指定的 Amazon SageMaker 发送所有流量VPC。如果在创建域时选择VPC only
了网络访问模式,则需要考虑以下要求,以便仍然允许在创建的 SageMaker 域中使用 SageMaker Studio Classic 笔记本电脑。 SageMaker
使用 VPC only
模式的要求
注意
要使用 SageMaker 地理空间功能的可视化组件,用于访问 SageMaker Studio Classic UI 的浏览器需要连接到互联网。
当您选择 VpcOnly
时,请按照以下步骤操作:
-
您只能使用私有子网。您不能在
VpcOnly
模式下使用公有子网。 -
确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio Classic 域的总 IP 地址容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您估算的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅VPC和的子网大小IPv4。
注意
您只能配置默认租期的子网,您的实例VPC在共享硬件上运行。有关租赁属性的更多信息VPCs,请参阅专用实例。
-
使用入站和出站规则设置一个或多个安全组,这些规则共同允许以下流量:
-
NFS域和 Amazon 流量之间通过TCP端口 2049 传送的流EFS量。
-
TCP安全组内的流量。这是 JupyterServer 应用程序和应用程序之间连接所必需的 KernelGateway 。必须至少允许访问范围
8192-65535
内的端口。
-
-
如果您不想允许访问互联网,请创建接口VPC终端节点 (AWS PrivateLink),以允许 Studio Classic 使用相应的服务名称访问以下服务。您还必须将您的安全组VPC与这些终端节点相关联。
注意
目前,仅美国西部(俄勒冈)地区支持 SageMaker 地理空间功能。
-
SageMaker API :
com.amazonaws.us-west-2.sagemaker.api
-
SageMaker 运行时间:
com.amazonaws.us-west-2.sagemaker.runtime
。这是运行带有 SageMaker 地理空间图像的 Studio Classic 笔记本电脑所必需的。 -
Amazon S3:
com.amazonaws.us-west-2.s3
。 -
要使用 SageMaker 项目,请执行以下操作:
com.amazonaws.us-west-2.servicecatalog
。 -
SageMaker 地理空间功能:
com.amazonaws.us-west-2.sagemaker-geospatial
如果您使用 SageMaker Python
运行远程训练作业,则还必须创建SDK以下 Amazon VPC 终端节点。 -
AWS Security Token Service:
com.amazonaws.
region
.sts -
Amazon CloudWatch:
com.amazonaws.
。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch。region
.logs
-
注意
对于在VPC模式下工作的客户,公司防火墙可能会导致 SageMaker Studio Classic 或 JupyterServer 与之间的连接问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio Classic 时遇到其中一个问题,请进行以下检查。
检查 Studio Classic URL 是否在您的网络许可名单中。
检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也会出现这个问题。