將 中的 Amazon SageMaker Studio VPC 連線至外部資源 - Amazon SageMaker
與網際網路的預設通訊與網際網路的 VPC only 通訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 中的 Amazon SageMaker Studio VPC 連線至外部資源

重要

截至 2023 年 11 月 30 日,先前的 Amazon SageMaker Studio 體驗現在已命名為 Amazon SageMaker Studio Classic。以下章節是使用更新後的 Studio 體驗所特有的。如需使用 Studio Classic 應用程式的相關資訊,請參閱 Amazon SageMaker Studio Classic

下列主題提供如何將 中的 Amazon SageMaker Studio VPC 連線至外部資源的相關資訊。

與網際網路的預設通訊

根據預設,Amazon SageMaker Studio 提供網路介面,允許透過 VPC管理的 與網際網路進行通訊 SageMaker。Amazon S3 和 等 AWS 服務的流量 CloudWatch 會經過網際網路閘道,存取 SageMakerAPI和 SageMaker 執行期的流量也是如此。網域與 Amazon EFS磁碟區之間的流量會經過VPC您在加入網域或呼叫 時指定的 CreateDomain API。

與網際網路的 VPC only 通訊

為了 SageMaker 防止提供 Studio 的網際網路存取,您可以在加入 Studio 或呼叫 CreateDomain 時指定VPC only網路存取類型,以停用網際網路存取API。因此,除非您VPC的 具有 SageMaker API和 執行期的介面端點,或具有網際網路存取的NAT閘道,且您的安全群組允許傳出連線,否則您將無法執行 Studio。

注意

建立網域後,可以使用 update-domain 命令的 --app-network-access-type 參數變更網路存取類型。

使用 VPC only 模式的要求

當您選擇時 VpcOnly,請依照下列步驟執行:

  1. 您必須僅使用私有子網路。您無法在 VpcOnly 模式中使用公用子網路。

  2. 確保您的子網路具有所需數量的 IP 地址。每位使用者預期所需的 IP 地址數可能會因使用案例而有所不同。我們建議每位使用者介於 2 至 4 個 IP 地址之間。網域的總 IP 地址容量是建立網域時所提供每個子網路的可用 IP 地址總和。請確定您的預估 IP 地址使用量不超過您提供的子網路數目所支援的容量。此外,使用分散在許多可用區域的子網路也有助於提高 IP 地址的可用性。如需詳細資訊,請參閱 VPC 和 子網路大小IPv4調整。

    注意

    您只能設定執行個體在共用硬體VPC上執行的預設租用子網路。如需 租用屬性的詳細資訊VPCs,請參閱專用執行個體

  3. 警告

    使用 VpcOnly 模式時,您部分擁有網域的網路組態。我們建議您採用安全性最佳作法,將最低權限許可套用至安全群組規則所提供的輸入和輸出存取。過度寬鬆的傳入規則組態可能會允許存取 的使用者與其他使用者設定檔的應用程式VPC互動,而無需身分驗證。

    使用允許下列流量的輸入和輸出規則,來設定一或多個安全群組:

    為每個使用者設定檔建立不同的安全性組,並從同一個安全群組新增輸入存取權。我們不建議針對使用者設定檔重複使用網域層級安全群組。如果網域層級安全群組允許對本身進行輸入存取,則網域中的所有應用程式都可以存取網域中的所有其他應用程式。

  4. 如果您想要允許網際網路存取,則必須使用具有網際網路存取權的NAT閘道,例如透過網際網路閘道

  5. 如果您不想允許網際網路存取,請建立介面VPC端點 (AWS PrivateLink),以允許 Studio 使用對應的服務名稱存取下列服務。您還必須將 的安全群組VPC與這些端點建立關聯。

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker 執行時間:com.amazonaws.region.sagemaker.runtime。這是執行 Studio 筆記本以及訓練和託管模型的必要條件。

    • Amazon S3:com.amazonaws.region.s3

    • SageMaker 專案:com.amazonaws.region.servicecatalog

    • SageMaker Studio:aws.sagemaker.region.studio

    • 您需要的任何其他 AWS 服務。

    如果您使用 SageMaker Python SDK 執行遠端訓練任務,也必須建立下列 Amazon VPC端點。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs。 這是允許 SageMaker Python 從 SDK取得遠端訓練任務狀態的必要條件 Amazon CloudWatch。

  6. 如果從內部部署網路在VpcOnly模式下使用網域,請從瀏覽器和目標 Amazon 中執行 Studio 的主機網路建立私有連線VPC。這是必要的,因為 Studio UI 使用具有臨時 AWS 憑證的API呼叫叫用 AWS 端點。這些臨時憑證與已記錄使用者設定檔的執行角色相關聯。如果網域在內部部署網路中以 VpcOnly 模式設定,則執行角色可能會定義IAM政策條件,以僅透過設定的 Amazon VPC端點強制執行 AWS 服務API呼叫。這會導致從 Studio UI 執行的API呼叫失敗。我們建議您使用 AWS Site-to-Site VPNAWS Direct Connect連線解決此問題。

注意

對於在VPC模式下工作的客戶,公司防火牆可能會導致 Studio 或應用程式的連線問題。如果您從防火牆後方使用 Studio 時遇到以下其中一個問題,請執行下列檢查。

  • 確認 Studio URL和 URLs 的所有應用程式都位於網路的允許清單中。例如:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • 確認 Websocket 連線未遭到封鎖。Jupyter 使用 Websocket。

如需詳細資訊