将 a 中的 Connect Studio 笔记本电脑VPC连接到外部资源 - Amazon SageMaker
与互联网的默认通信与互联网的 VPC only 通信

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 a 中的 Connect Studio 笔记本电脑VPC连接到外部资源

以下主题提供有关如何将 a 中的 Studio 笔记本VPC连接到外部资源的信息。

与互联网的默认通信

默认情况下, SageMaker Studio 提供网络接口,允许通过VPC管理者与互联网通信 SageMaker。前往的流量 AWS 诸如 Amazon S3 和 CloudWatch之类的服务通过互联网网关进行。访问 SageMaker API和 SageMaker 运行时的流量也会通过互联网网关。域名和 Amazon EFS 流量之间的流量将VPC通过您在加入 Studio 或致电时识别的。CreateDomainAPI下图演示了默认配置。

SageMaker 演播室VPC图描绘了直接互联网接入的使用情况。

与互联网的 VPC only 通信

要停止向您 SageMaker 的 Studio 笔记本电脑提供互联网接入,请通过指定VPC only网络访问类型来禁用互联网接入。当您加入 Studio 或致电时,请指定此网络访问类型CreateDomainAPI。因此,除非满足以下条件,否则您将无法运行 Studio 笔记本电脑:

  • 你VPC有通往 SageMaker API和运行时的接口终端节点,或者有可以访问互联网的NAT网关

  • 您的安全组允许出站连接

下图显示了使用VPC仅限模式的配置。

SageMaker Studio VPC 示意图描绘了VPC仅限模式的用法。

使用 VPC only 模式的要求

当您选择 VpcOnly 时,请按照以下步骤操作:

  1. 您只能使用私有子网。您不能在 VpcOnly 模式下使用公有子网。

  2. 确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio 域的 IP 地址总容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅VPC和的子网大小IPv4

    注意

    您只能配置默认租期的子网,您的实例VPC在共享硬件上运行。有关租期属性的更多信息VPCs,请参阅专用实例

  3. 警告

    使用 VpcOnly 模式时,您对域的网络配置拥有部分所有权。我们推荐的安全最佳实践是,对安全组规则提供的入站和出站访问应用最低权限。过于宽松的入站规则配置可能允许有权访问的用户无需身份VPC验证即可与其他用户配置文件的应用程序进行交互。

    使用允许以下流量的入站和出站规则设置一个或多个安全组:

    为每个用户配置文件创建不同的安全组,并添加来自同一安全组的入站访问权限。我们不建议对用户配置文件重复使用域级安全组。如果域级安全组允许对其自身进行入站访问,则域中的所有应用程序都可以访问域中的所有其他应用程序。

  4. 如果要允许访问互联网,则必须使用能够访问互联网的NAT网关,例如通过互联网网关

  5. 要移除互联网访问权限,请创建接口VPC端点 (AWS PrivateLink),允许 Studio 使用相应的服务名称访问以下服务。您还必须将您的安全组VPC与这些终端节点相关联。

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker 运行时间:com.amazonaws.region.sagemaker.runtime。这是运行 Studio 笔记本、训练和托管模型所需。

    • Amazon S3:com.amazonaws.region.s3

    • 要使用 SageMaker 项目,请执行以下操作:com.amazonaws.region.servicecatalog

    • 任何其他 AWS 您需要的服务。

    如果您使用 SageMaker Python 运行远程训练作业,则还必须创建SDK以下 Amazon VPC 终端节点。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch.

注意

对于在VPC模式下工作的客户,公司防火墙可能会导致 SageMaker Studio 或 JupyterServer 与之间的连接出现问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio 时遇到其中一个问题,请进行以下检查。

  • 检查 Studio URL 是否在您的网络允许名单中。

  • 检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也应该会出现这个问题。

有关更多信息