Amazon SageMaker Studio in a mit VPC externen Ressourcen Connect

Wichtig

Seit dem 30. November 2023 heißt das vorherige Amazon SageMaker Studio-Erlebnis jetzt Amazon SageMaker Studio Classic. Der folgende Abschnitt bezieht sich speziell auf die Nutzung des aktualisierten Studio-Erlebnisses. Informationen zur Verwendung der Studio Classic-Anwendung finden Sie unterAmazon SageMaker Studio Klassisch.

Das folgende Thema enthält Informationen darüber, wie Sie Amazon SageMaker Studio in a VPC mit externen Ressourcen verbinden.

Standardkommunikation mit dem Internet

Standardmäßig bietet Amazon SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über ein VPC verwaltetes von ermöglicht SageMaker. Verkehr zu AWS Dienste wie Amazon S3 und CloudWatch werden über ein Internet-Gateway abgewickelt, ebenso wie der Datenverkehr, der auf die SageMaker Runtime SageMaker API zugreift. Der Datenverkehr zwischen der Domain und Ihrem EFS Amazon-Volumen wird über den Datenverkehr VPC abgewickelt, den Sie bei der Registrierung für die Domain angegeben haben oder die aufgerufen haben. CreateDomainAPI

VPC only Kommunikation mit dem Internet

Um zu SageMaker verhindern, dass Sie Studio Zugriff auf das Internet gewähren, können Sie den Internetzugang deaktivieren, indem Sie den VPC only Netzwerkzugriffstyp angeben, wenn Sie Studio einbinden oder den anrufen. CreateDomainAPI Daher können Sie Studio nur ausführen, wenn Sie VPC über einen Schnittstellenendpunkt zur AND-Runtime oder über ein NAT Gateway mit Internetzugang verfügen und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. SageMaker API

Anmerkung

Der Netzwerkzugriffstyp kann nach der Erstellung der Domäne mithilfe des --app-network-access-type Parameters des Befehls update-domain geändert werden.

Voraussetzungen für die Nutzung des VPC only Modus

Wenn Sie VpcOnly ausgewählt haben, führen Sie die folgenden Schritte aus:

1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im VpcOnly Modus verwenden.

2. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Domäne ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domäne angegeben wurden. Stellen Sie sicher, dass Ihre geschätzte IP-Adressnutzung die Kapazität nicht überschreitet, die von der Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter VPCund Subnetzdimensionierung für. IPv4

   Anmerkung

   Sie können nur Subnetze mit einer Standardtenancy konfigurieren, VPC in der Ihre Instance auf gemeinsam genutzter Hardware ausgeführt wird. Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.

3. Warnung

   Wenn Sie den VpcOnly Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehende Nachrichten könnten es Benutzern mit Zugriff auf die ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile VPC zu interagieren.

   Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:

   • NFSVerkehr TCP über Port 2049 zwischen der Domain und dem EFS Amazon-Volume.

   • TCPVerkehr innerhalb der Sicherheitsgruppe. Dies ist erforderlich für die Konnektivität zwischen Jupyter Server Anwendung und Kernel Gateway Anwendungen. Sie müssen den Zugriff auf mindestens Ports im Bereich 8192-65535 zulassen.

   Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, hätten alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.

4. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein NATGateway mit Internetzugang verwenden, z. B. über ein Internet-Gateway.

5. Wenn Sie den Internetzugang nicht zulassen möchten, erstellen Sie VPC Schnittstellenendpunkte (AWS PrivateLink), um Studio den Zugriff auf die folgenden Dienste mit den entsprechenden Dienstnamen zu ermöglichen. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Sie VPC zuordnen.

   • SageMaker API : com.amazonaws.region.sagemaker.api.

   • SageMaker Laufzeit:com.amazonaws.region.sagemaker.runtime. Dies ist erforderlich, um Studio-Notebooks auszuführen und Modelle zu trainieren und zu hosten.

   • Amazon S3: com.amazonaws.region.s3.

   • SageMaker Projekte:com.amazonaws.region.servicecatalog.

   • SageMaker Studio:aws.sagemaker.region.studio.

   • Irgendein anderer AWS Dienstleistungen, die Sie benötigen.

   Wenn Sie SageMaker Python verwendenSDK, um Ferntrainingsjobs auszuführen, müssen Sie auch die folgenden VPC Amazon-Endpunkte erstellen.

   • AWS Security Token Service: com.amazonaws.region.sts

   • Amazon CloudWatch:com.amazonaws.region.logs. Dies ist erforderlich, damit SageMaker Python SDK den Status des Ferntrainingsjobs von abrufen kann Amazon CloudWatch.

6. Wenn Sie die Domain im VpcOnly Modus von einem lokalen Netzwerk aus verwenden, stellen Sie eine private Konnektivität vom Netzwerk des Hosts her, auf dem Studio im Browser ausgeführt wird, und dem VPC Ziel-Amazon. Dies ist erforderlich, da die Studio-Benutzeroberfläche Folgendes aufruft AWS Endpunkte, die temporäre API Aufrufe verwenden AWS Anmeldeinformationen. Diese temporären Anmeldeinformationen sind der Ausführungsrolle des protokollierten Benutzerprofils zugeordnet. Wenn die Domäne im VpcOnly Modus in einem lokalen Netzwerk konfiguriert ist, definiert die Ausführungsrolle möglicherweise IAM Richtlinienbedingungen, die die Ausführung von erzwingen AWS APIService-Aufrufe nur über die konfigurierten VPC Amazon-Endpoints. Dadurch schlagen API Aufrufe fehl, die über die Studio-Benutzeroberfläche ausgeführt werden. Wir empfehlen, dieses Problem mit einem zu lösen AWS Site-to-Site VPN oder AWS Direct ConnectVerbindung.

Anmerkung

Bei Kunden, die im VPC Modus arbeiten, können Firmenfirewalls zu Verbindungsproblemen mit Studio oder Anwendungen führen. Führen Sie die folgenden Prüfungen durch, wenn Sie Studio hinter einer Firewall verwenden, auf eines dieser Probleme stoßen.

• Stellen Sie sicher, dass das Studio URL und URLs alle Ihre Anwendungen auf der Zulassungsliste Ihres Netzwerks stehen. Beispielsweise:

  *.studio.region.sagemaker.aws
  *.console.aws.a2z.com

• Stellen Sie sicher, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websockets.

Weitere Informationen

• Sicherheitsgruppen für deine VPC

• Connect dich mit SageMaker Within your VPC

• VPCmit öffentlichen und privaten Subnetzen () NAT