Studio SageMaker Classic Notebooks in einer VPC mit externen Ressourcen verbinden - Amazon SageMaker
Standardkommunikation mit dem InternetVPC only Kommunikation mit dem Internet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Studio SageMaker Classic Notebooks in einer VPC mit externen Ressourcen verbinden

Das folgende Thema enthält Informationen zum Verbinden von Studio Classic Notebooks in einer VPC mit externen Ressourcen.

Standardkommunikation mit dem Internet

Standardmäßig bietet SageMaker Studio Classic eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über eine von verwaltete VPC ermöglicht SageMaker. Datenverkehr zu AWS Services wie Amazon S3 und wird über ein Internet-Gateway CloudWatch geleitet, ebenso wie Datenverkehr, der SageMaker auf die API und SageMaker Laufzeit zugreift. Der Datenverkehr zwischen der Domain und Ihrem Amazon-EFS-Volume erfolgt über die VPC, die Sie beim Onboarding bei Studio Classic oder beim Aufrufen der CreateDomain API angegeben haben. Die folgende Abbildung zeigt die Standardkonfiguration.

SageMaker Studio Classic VPC-Diagramm, das die direkte Nutzung des Internetzugangs darstellt.

VPC only Kommunikation mit dem Internet

Um zu verhindern, SageMaker dass Internetzugriff auf Ihre Studio-Classic-Notebooks gewährt, können Sie den Internetzugang deaktivieren, indem Sie den VPC only Netzwerkzugriffstyp angeben, wenn Sie Studio Classic einbinden oder die CreateDomain API aufrufen. Daher können Sie ein Studio Classic-Notebook nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Laufzeit oder ein NAT-Gateway mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. Das folgende Diagramm zeigt eine Konfiguration für die Verwendung des reinen VPC-Modus.

SageMaker Studio Classic VPC-Diagramm, das die Verwendung des reinen VPC-Modus darstellt.

Voraussetzungen für die Nutzung des VPC only Modus

Wenn Sie VpcOnly ausgewählt haben, führen Sie die folgenden Schritte aus:

  1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im VpcOnly Modus verwenden.

  2. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die Gesamtkapazität der IP-Adresse für eine Studio-Classic-Domäne ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, das beim Erstellen der Domäne bereitgestellt wird. Stellen Sie sicher, dass Ihre geschätzte IP-Adressnutzung die Kapazität nicht überschreitet, die von der Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze für IPv4.

    Anmerkung

    Sie können nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf freigegebenen Hardware läuft. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter Dedicated Instances.

  3. Warnung

    Wenn Sie den VpcOnly Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domäne. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehenden Datenverkehr könnten es Benutzern mit Zugriff auf die VPC ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile zu interagieren.

    Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:

    Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domänenebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domänenebene eingehenden Zugriff auf sich selbst zulässt, hätten alle Anwendungen in der Domäne Zugriff auf alle anderen Anwendungen in der Domäne.

  4. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein NAT-Gateway mit Internetzugang verwenden, z. B. über ein Internet-Gateway.

  5. Wenn Sie den Internetzugang nicht zulassen möchten, erstellen Sie Schnittstellen-VPC-Endpunkte (AWS PrivateLink), damit Studio Classic auf die folgenden Services mit den entsprechenden Servicenamen zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Ihre VPC zuordnen.

    • SageMaker API: com.amazonaws.region.sagemaker.api

    • SageMaker Laufzeit: com.amazonaws.region.sagemaker.runtime. Dies ist erforderlich, um Studio Classic-Notebooks auszuführen und Modelle zu trainieren und zu hosten.

    • Amazon S3: com.amazonaws.region.s3.

    • So verwenden Sie SageMaker Projekte: com.amazonaws.region.servicecatalog.

    • Alle anderen AWS Dienste, die Sie benötigen.

    Wenn Sie das SageMaker Python SDK verwenden, um Remote-Trainingsaufträge auszuführen, müssen Sie auch die folgenden Amazon-VPC-Endpunkte erstellen.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs. Dies ist erforderlich, damit das SageMaker Python SDK den Status des Remote-Trainingsauftrags von abrufen kannAmazon CloudWatch.

Anmerkung

Für einen Kunden, der im VPC-Modus arbeitet, können Unternehmens-Firewalls Verbindungsprobleme mit SageMaker Studio oder zwischen JupyterServer und verursachen KernelGateway. Führen Sie die folgenden Prüfungen durch, wenn bei der Verwendung von SageMaker Studio hinter einer Firewall eines dieser Probleme auftritt.

  • Vergewissern Sie sich, dass die Studio-URL auf der Zulassungsliste Ihres Netzwerks steht.

  • Vergewissern Sie sich, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websocket unter der Haube. Wenn die KernelGateway Anwendung ist InService, kann JupyterServer möglicherweise keine Verbindung zum herstellen KernelGateway. Dieses Problem sollte auch auftreten, wenn Sie das System Terminal öffnen.

Weitere Informationen