SageMaker HyperPod Voraussetzungen

In den folgenden Abschnitten werden die Voraussetzungen beschrieben, auf die Sie sich vorbereiten müssen, bevor Sie beginnen SageMaker HyperPod.

SageMaker HyperPod Kontingente

Sie können SageMaker HyperPod Cluster erstellen, wenn Sie die Kontingente für die Clusternutzung in Ihrem AWS Konto berücksichtigen.

Wichtig

Weitere Informationen zur SageMaker HyperPod Preisgestaltung finden Sie unter SageMaker HyperPod Preisgestaltung und unter SageMaker Amazon-Preise.

SageMaker HyperPodAmazon-Kontingente mit der AWS Management Console anzeigen

Suchen Sie nach den Standardwerten und den angewendeten Werten eines Kontingents, das auch als Limit bezeichnet wird, für die Cluster-Nutzung SageMaker HyperPod.

1. Öffnen Sie die Service Quotas -Konsole.

2. Wählen Sie im linken Navigationsbereich AWS services aus.

3. Suchen Sie in der AWS Serviceliste nach Amazon und wählen Sie es aus SageMaker.

4. In der Liste der Servicekontingente finden Sie den Namen des Servicekontingents, den angewendeten Wert (falls verfügbar), das AWS Standardkontingent und ob das Kontingent anpassbar ist.

5. Geben Sie in der Suchleiste Cluster-Nutzung ein. Hier werden die Kontingente für die Cluster-Nutzung, die angewendeten Kontingente und die Standardkontingente angezeigt.

So erhöhen Sie SageMaker HyperPod Amazon-Kontingente mithilfe der AWS Management Console

Erhöhen Sie Ihre Kontingente auf Konto- oder Ressourcenebene.

1. Um das Kontingent der Instances für die Cluster-Nutzung zu erhöhen, wählen Sie das Kontingent aus, das Sie erhöhen möchten.

2. Wenn das Kontingent anpassbar ist, können Sie eine Erhöhung des Kontingents entweder auf Konto- oder Ressourcenebene beantragen, basierend auf dem Wert, der in der Spalte Einstellbarkeit aufgeführt ist.

3. Geben Sie unter Kontingentwert erhöhen den neuen Wert ein. Der neue Wert muss größer als der aktuelle Wert sein.

4. Wählen Sie Request (Anfrage).

5. Um ausstehende oder kürzlich gelöste Anfragen in der Konsole anzuzeigen, navigieren Sie auf der Detailseite des Dienstes zur Registerkarte Anforderungsverlauf oder wählen Sie im Navigationsbereich Dashboard aus. Wählen Sie für ausstehende Anfragen den Status der Anfrage, um die Anfrage zu öffnen. Der Anfangsstatus einer Anfrage ist Pending (Ausstehend). Nachdem sich der Status in „Kontingent angefordert“ geändert hat, wird die Fallnummer mit angezeigt AWS Support. Wählen Sie die Fallnummer, um das Ticket für Ihre Anfrage zu öffnen.

Weitere Informationen zur Beantragung einer Kontingenterhöhung im Allgemeinen finden Sie unter Beantragung einer Kontingenterhöhung im AWS Servicekontingents-Benutzerhandbuch.

Richten Sie IAM-Benutzer und -Rollen für SageMaker HyperPod Benutzer und Ressourcen ein

Wichtig

Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler auftreten, wenn versucht wird, Ressourcen zu erstellen. Weitere Informationen finden Sie unter Erteilen Sie Berechtigungen für das Markieren von Ressourcen SageMaker.

AWS Verwaltete Richtlinien für Amazon SageMakerdie Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.

Es gibt drei Hauptebenen von SageMaker HyperPod Benutzern: AWS Kontoadministrator, Clusteradministratoren (wie Cloud-Architekten) und Cluster-Benutzer (z. B. Wissenschaftler für maschinelles Lernen). Der AWS Kontoadministrator sollte IAM-Benutzer einrichten, indem er die richtigen Berechtigungen oder Richtlinien für Clusteradministratoren anfügt. Für Clusteradministratoren sollte der AWS Kontoadministrator auch IAM-Rollen erstellen, die die Clusteradministratoren für SageMaker HyperPod Cluster verwenden können, um davon auszugehen, dass sie ausgeführt werden und mit den erforderlichen AWS Ressourcen wie Amazon S3 CloudWatch, Amazon und AWS Systems Manager (SSM) kommunizieren. Schließlich können Clusteradministratoren Clusterbenutzern Berechtigungen zur Anmeldung bei den SageMaker HyperPod Clustern über den SSM Agent gewähren.

Themen

• Richten Sie IAM-Benutzer für Clusteradministratoren ein
• Richten Sie IAM-Benutzer für Cluster-Benutzer ein
• IAM-Rolle für SageMaker HyperPod

Richten Sie IAM-Benutzer für Clusteradministratoren ein

Clusteradministratoren sind Cloud-Architekten, die SageMaker HyperPod Cluster betreiben und konfigurieren und die Aufgaben darin Bedienen SageMaker HyperPod ausführen. Das folgende Richtlinienbeispiel umfasst die Mindestberechtigungen für Clusteradministratoren, um die SageMaker HyperPod Kern-APIs auszuführen und alle Cluster in Ihrem AWS Konto zu verwalten.

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateCluster",
                "sagemaker:ListClusters"
            ],
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteCluster",
                "sagemaker:DescribeCluster",
                "sagemaker:DescribeClusterNode",
                "sagemaker:ListClusterNodes",
                "sagemaker:UpdateCluster",
                "sagemaker:UpdateClusterSoftware"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:cluster/*"    
        }
    ]
}

Um Zugriffsberechtigungen für die SageMaker Konsole zu erteilen, verwenden Sie die Beispielrichtlinie, die Sie unter Für die Nutzung der SageMaker Amazon-Konsole erforderliche Berechtigungen finden.

Um Berechtigungen für den Zugriff auf die SSM-Konsole zu erteilen, verwenden Sie die Beispielrichtlinie, die Sie im AWS Systems Manager Benutzerhandbuch unter Verwenden der AWS Systems Manager Konsole finden.

Sie könnten auch erwägen, die AmazonSageMakerFullAccessRichtlinie den IAM-Benutzern zuzuordnen. Beachten Sie jedoch, dass die AmazonSageMakerFullAccess Richtlinie Berechtigungen für die gesamten SageMaker API-Aufrufe, Funktionen und Ressourcen gewährt.

Hinweise zu IAM-Benutzern im Allgemeinen finden Sie unter IAM-Benutzer im Benutzerhandbuch.AWS Identity and Access Management

Richten Sie IAM-Benutzer für Cluster-Benutzer ein

Clusterbenutzer sind Techniker für maschinelles Lernen, die sich bei ML-Workloads anmelden und diese auf SageMaker HyperPod Clusterknoten ausführen, die von Clusteradministratoren bereitgestellt werden. Clusterbenutzern in Ihrem AWS Konto sollten Sie die Erlaubnis erteilen, den "ssm:StartSession" start-session SSM-Befehl auszuführen. Im Folgenden finden Sie ein Richtlinienbeispiel für IAM-Benutzer.

IAM-Berechtigungen für alle Ressourcen

Fügen Sie die folgende Richtlinie hinzu, um einem IAM-Benutzer SSM-Sitzungsberechtigungen zum Herstellen einer Verbindung mit einem SSM-Ziel für alle Ressourcen zu erteilen.

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"    
        }
    ]
}

IAM-Rolle für SageMaker HyperPod

Damit SageMaker HyperPod Cluster ausgeführt werden und mit den erforderlichen AWS Ressourcen kommunizieren können, müssen Sie die verwalteten Instanzgruppen AmazonSageMakerClusterInstanceRolePolicyan die Cluster-Instanzgruppen anhängen. Aufgrund dieser AWS verwalteten Richtlinie übernehmen SageMaker HyperPod Cluster-Instance-Gruppen die Rolle, mit Amazon CloudWatch, Amazon S3 und AWS Systems Manager Agent (SSM-Agent) zu kommunizieren. Diese verwaltete Richtlinie ist die Mindestanforderung für den ordnungsgemäßen Betrieb von SageMaker HyperPod Ressourcen. Daher müssen Sie allen Instance-Gruppen eine IAM-Rolle mit dieser Richtlinie zuweisen. Der AmazonSageMakerClusterInstanceRolePolicy hat die folgenden Berechtigungen:

• logs — Wird benötigt, um Log-Streams veröffentlichen SageMaker HyperPod zu können.

• cloudwatch — Wird benötigt, um das Posten von CloudWatch Metriken SageMaker HyperPod zu ermöglichen.

• s3 — Wird benötigt, um das Auflisten und Abrufen von Dateien aus einem Amazon S3 S3-Bucket in Ihrem Konto mit dem Präfix zu ermöglichen SageMaker HyperPod sagemaker-.

• ssmmessages — Wird benötigt, damit der SSM-Agent mit den SSM-Backend-Diensten kommunizieren kann. Prinzipale können den SSM-Agenten zum Erstellen und Öffnen von Kontroll- und Datenkanälen verwenden. SageMaker startet und verwaltet den SSM-Agenten, wenn er eine Clusterinstanz initiiert.

Tipp

Je nachdem, was Sie bei der Gestaltung der Berechtigungsstufen für mehrere Instanzgruppen bevorzugen, können Sie auch mehrere IAM-Rollen einrichten und sie verschiedenen Instanzgruppen zuordnen. Wenn Sie Ihren Cluster-Benutzerzugriff auf bestimmte SageMaker HyperPod Clusterknoten einrichten, übernehmen die Knoten die Rolle mit den selektiven Berechtigungen, die Sie manuell zugewiesen haben.

Wenn Sie als AWS Kontoadministrator oder Clusteradministrator den Cluster-Benutzerzugriff auf bestimmte Clusterknoten einrichten AWS Systems Manager(siehe auchEinrichten AWS Systems Manager und Ausführen als für die Cluster-Benutzerzugriffskontrolle), übernehmen die Clusterknoten die Rolle mit den selektiven Berechtigungen, die Sie manuell zuweisen.

Wenn Sie mit der Erstellung der IAM-Rollen fertig sind, notieren Sie sich deren Namen und ARNs. Sie verwenden die Rollen beim Erstellen eines SageMaker HyperPod Clusters und gewähren dabei jeder Instanzgruppe die richtigen Berechtigungen, um mit den erforderlichen AWS Ressourcen zu kommunizieren.

(Optional) Zusätzliche Berechtigungen für die Verwendung SageMaker HyperPod mit Amazon Virtual Private Cloud

Wenn Sie Ihre eigene Amazon Virtual Private Cloud (VPC) anstelle der SageMaker Standard-VPC verwenden möchten, sollten Sie der IAM-Rolle für die folgenden zusätzlichen Berechtigungen hinzufügen. SageMaker HyperPod

{
    "Effect": "Allow",
    "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DetachNetworkInterface"
    ],
    "Resource": "*"
}
{
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": [
        "arn:aws:ec2:*:*:network-interface/*"
    ]
}

In der folgenden Liste ist aufgeführt, welche Berechtigungen erforderlich sind, um SageMaker HyperPod Cluster-Funktionen zu aktivieren, wenn Sie den Cluster mit Ihrer eigenen Amazon VPC konfigurieren.

• Die folgenden ec2 Berechtigungen sind erforderlich, um die Konfiguration eines SageMaker HyperPod Clusters mit Ihrer VPC zu ermöglichen.

  {
      "Effect": "Allow",
      "Action": [
          "ec2:CreateNetworkInterface",
          "ec2:CreateNetworkInterfacePermission",
          "ec2:DeleteNetworkInterface",
          "ec2:DeleteNetworkInterfacePermission",
          "ec2:DescribeNetworkInterfaces",
          "ec2:DescribeVpcs",
          "ec2:DescribeDhcpOptions",
          "ec2:DescribeSubnets",
          "ec2:DescribeSecurityGroups"
      ],
      "Resource": "*"
  }

• Die folgende ec2 Berechtigung ist erforderlich, um die SageMaker HyperPod automatische Wiederaufnahmefunktion zu aktivieren.

  {
      "Effect": "Allow",
      "Action": [
          "ec2:DetachNetworkInterface"
      ],
      "Resource": "*"
  }

• Die folgende ec2 Berechtigung ermöglicht SageMaker HyperPod das Erstellen von Tags auf den Netzwerkschnittstellen in Ihrem Konto.

  {
      "Effect": "Allow",
      "Action": "ec2:CreateTags",
      "Resource": [
          "arn:aws:ec2:*:*:network-interface/*"
      ]
  }

Einrichten AWS Systems Manager und Ausführen als für die Cluster-Benutzerzugriffskontrolle

SageMaker HyperPod DLAMIist standardmäßig mit AWS Systems Manager(SSM) ausgestattet, um Ihnen bei der Verwaltung des Zugriffs auf Ihre SageMaker HyperPod Cluster-Instanzgruppen zu helfen. In diesem Abschnitt wird beschrieben, wie Sie Betriebssystembenutzer (OS) in Ihren SageMaker HyperPod Clustern erstellen und sie IAM-Benutzern und -Rollen zuordnen. Dies ist nützlich, um SSM-Sitzungen mithilfe der Anmeldeinformationen des Betriebssystembenutzerkontos zu authentifizieren.

Aktivieren Sie Run As in Ihrem Konto AWS

Als AWS Kontoadministrator oder Cloud-Administrator können Sie den Zugriff auf SageMaker HyperPod Cluster auf IAM-Rollen- oder Benutzerebene verwalten, indem Sie die Funktion „Ausführen als“ in SSM verwenden. Mit dieser Funktion können Sie jede SSM-Sitzung mit dem Betriebssystembenutzer starten, der der IAM-Rolle oder dem IAM-Benutzer zugeordnet ist.

Um Run As in Ihrem AWS Konto zu aktivieren, folgen Sie den Schritten unter Run As-Unterstützung für verwaltete Linux- und macOS-Nodes aktivieren. Wenn Sie bereits Betriebssystembenutzer in Ihrem Cluster erstellt haben, stellen Sie sicher, dass Sie sie IAM-Rollen oder -Benutzern zuordnen, indem Sie sie wie in Option 2 von Schritt 5 unter So aktivieren Sie die Unterstützung von „Als ausführen“ für verwaltete Linux- und macOS-Nodes beschrieben taggen.

Richten Sie Linux-Benutzer ein, die ein Amazon FSx-Dateisystem verwenden, das SageMaker HyperPod als gemeinsam genutzter Speicherplatz angehängt ist

Um die Einrichtung von Cluster-Benutzern für den Zugriff auf einen HyperPod Cluster über SSM und einen gemeinsam genutzten Bereich abzuschließen, müssen Sie ein Skript für das Hinzufügen von Benutzern konfigurieren und gleichzeitig Lebenszyklus-Konfigurationsskripten für die Erstellung eines HyperPod Clusters vorbereiten. In dem in diesem Abschnitt Beginnen Sie mit den grundlegenden Lebenszyklusskripten von HyperPod vorgestellten GitHub Repository gibt es ein Skript mit dem Namenadd_users.sh, das Benutzerdaten aus shared_users.txt liest. Beachten Sie, dass Sie die beiden Dateien im Rahmen der Vorbereitung und des Hochladens von Lebenszyklus-Skripten in einen S3-Bucket hochladen müssen, was Sie in dem Abschnitt Erste Schritte mit SageMaker HyperPod und dem Abschnitt Richten Sie eine Mehrbenutzerumgebung über den gemeinsamen Speicherplatz von Amazon FSx ein erfahren werden.

(Optional) SageMaker HyperPod Mit Ihrer Amazon VPC einrichten

Wenn Sie keine VPC bereitstellen, SageMaker HyperPod verwendet die SageMaker Standard-VPC. Um einen SageMaker HyperPod Cluster mit Ihrer Amazon VPC einzurichten, überprüfen Sie die folgenden Punkte.

• Wenn Sie Ihre eigene VPC verwenden möchten, um eine Verbindung SageMaker HyperPod mit AWS Ressourcen in Ihrer VPC herzustellen, müssen Sie bei der Erstellung den VPC-Namen, die ID AWS-Region, die Subnetz-ID und die Sicherheitsgruppen-ID angeben. SageMaker HyperPod Wenn Sie eine neue VPC erstellen möchten, finden Sie weitere Informationen unter Standard-VPC erstellen oder VPC erstellen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

• Es ist wichtig, dass Sie alle Ihre Ressourcen in derselben Availability Zone erstellen AWS-Region und Sicherheitsgruppenregeln konfigurieren, um eine Verbindung zwischen den Ressourcen in Ihrer VPC zu ermöglichen. Nehmen wir beispielsweise an, dass Sie eine VPC in us-west-2 erstellen. Sie sollten in dieser VPC in der Availability Zone ein Subnetz und eine Sicherheitsgruppe erstellenus-west-2a, die den gesamten eingehenden (eingehenden) Verkehr innerhalb der Sicherheitsgruppe und den gesamten ausgehenden Datenverkehr zulässt.

• Sie müssen auch sicherstellen, dass Ihre VPC eine Verbindung zu Amazon Simple Storage Service (S3) hat. Wenn Sie eine VPC konfigurieren, haben SageMaker HyperPod Instance-Gruppen keinen Zugriff auf das Internet und können daher keine Verbindung zu Amazon S3 herstellen, um auf Dateien wie Lebenszyklus-Skripts, Trainingsdaten und Modellartefakte zuzugreifen oder diese zu speichern. Um während der Verwendung von VPC eine Verbindung mit Amazon S3 herzustellen, sollten Sie einen VPC-Endpunkt erstellen. Indem Sie einen VPC-Endpunkt erstellen, können Sie den SageMaker HyperPod Instanzgruppen den Zugriff auf die S3-Buckets innerhalb derselben VPC ermöglichen. Wir empfehlen Ihnen, auch eine benutzerdefinierte Richtlinie zu erstellen, die nur Anfragen von Ihrer privaten VPC den Zugriff auf Ihre S3-Buckets zulässt. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Endpoints for Amazon S3.

• Wenn Sie einen HyperPod Cluster mit EFA-fähigen Instances erstellen möchten, stellen Sie sicher, dass Sie eine Sicherheitsgruppe einrichten, die den gesamten eingehenden und ausgehenden Datenverkehr zur und von der Sicherheitsgruppe selbst zulässt. Weitere Informationen finden Sie unter Schritt 1: Vorbereiten einer EFA-fähigen Sicherheitsgruppe im Amazon EC2 EC2-Benutzerhandbuch.

(Optional) SageMaker HyperPod Mit Amazon FSx for Lustre einrichten

Um mit der Verwendung SageMaker HyperPod und Zuordnung von Datenpfaden zwischen dem Cluster und Ihrem FSx for Lustre-Dateisystem zu beginnen, wählen Sie einen der AWS-Regionen unterstützten von. SageMaker HyperPod Nachdem AWS-Region Sie die von Ihnen bevorzugte ausgewählt haben, sollten Sie auch festlegen, welche Availability Zone (AZ) Sie verwenden möchten. Wenn Sie SageMaker HyperPod Rechenknoten in AZs verwenden, die sich von den AZs unterscheiden, in denen Ihr FSx for Lustre-Dateisystem eingerichtet ist AWS-Region, kann es zu Kommunikations- und Netzwerkaufwand kommen. Wir empfehlen Ihnen, dieselbe physische AZ wie die für das SageMaker HyperPod Dienstkonto zu verwenden, um jeglichen AZ-übergreifenden Verkehr zwischen SageMaker HyperPod Clustern und Ihrem FSx for Lustre-Dateisystem zu vermeiden. Stellen Sie außerdem sicher, dass Sie es mit Ihrer VPC konfiguriert haben. Wenn Sie Amazon FSx als Hauptdateisystem für die Speicherung verwenden möchten, müssen Sie SageMaker HyperPod Cluster mit VPC konfigurieren.