Netzwerkmanagement

Um die SageMaker Studio-Domain einzurichten, müssen Sie das VPC-Netzwerk, Subnetze und Sicherheitsgruppen angeben. Stellen Sie bei der Angabe der VPC und der Subnetze sicher, dass Sie IPs zuweisen, die das Nutzungsvolumen und das erwartete Wachstum berücksichtigen, das in den folgenden Abschnitten beschrieben wird.

VPC-Netzwerkplanung

Kunden-VPC-Subnetze, die der SageMaker Studio-Domain zugeordnet sind, müssen mit dem entsprechenden CIDR-Bereich (Classless Inter-Domain Routing) erstellt werden, abhängig von den folgenden Faktoren:

• Anzahl der Benutzer.

• Anzahl der Apps pro Benutzer.

• Anzahl der eindeutigen Instance-Typen pro Benutzer.

• Durchschnittliche Anzahl von Trainings-Instances pro Benutzer.

• Erwarteter Wachstumsprozentsatz.

SageMaker und teilnehmende AWS Services fügen Elastic Network Interfaces (ENI) für die folgenden Anwendungsfälle in das Kunden-VPC-Subnetz ein:

• Amazon EFS injiziert eine ENI für ein EFS-Mountingziel für die SageMaker Domain (eine IP pro Subnetz/Verfügbarkeitszone, die an die SageMaker Domain angefügt ist).

• SageMaker Studio fügt eine ENI für jede eindeutige Instance ein, die von einem Benutzerprofil oder einem gemeinsam genutzten Bereich verwendet wird. Beispielsweise:

  • Wenn ein Benutzerprofil eine standardmäßige Jupyter-Server-App (eine „System“-Instance), eine Data Science-App und eine Base Python-App (die beide auf einer ml.t3.medium Instance ausgeführt werden) ausführt, fügt Studio zwei IP-Adressen ein.

  • Wenn ein Benutzerprofil eine standardmäßige Jupyter-Server-App (eine „System“-Instance), eine Tensorflow-GPU-App (auf einer ml.g4dn.xlarge Instance) und eine Data Wrangler-App (auf einer ml.m5.4xlarge Instance) ausführt, fügt Studio drei IP-Adressen ein.

• Für jeden VPC-Endpunkt in allen Domain-VPC-Subnetzen/Availability Zones wird eine ENI injiziert (vier IPs für SageMaker VPC-Endpunkte; ~6 IPs für teilnehmende Services-VPC-Endpunkte wie S3, ECR und CloudWatch).

• Wenn SageMaker Schulungs- und Verarbeitungsaufträge mit derselben VPC-Konfiguration gestartet werden, benötigt jeder Auftrag zwei IP-Adressen pro Instance.

Anmerkung

VPC-Einstellungen für SageMaker Studio, wie Subnetze und reinen VPC-Datenverkehr, werden nicht automatisch an die von SageMaker Studio erstellten Trainings-/Verarbeitungsaufträge übergeben. Der Benutzer muss beim Aufrufen der Create*Job-APIs nach Bedarf VPC-Einstellungen und Netzwerkisolierung einrichten. Weitere Informationen finden Sie unter Ausführen von Trainings- und Inferenzcontainern im internetfreien Modus.

Szenario: Datenwissenschaftler führt Experimente auf zwei verschiedenen Instance-Typen durch

In diesem Szenario wird davon ausgegangen, dass eine SageMaker Domain im reinen VPC-Datenverkehrsmodus eingerichtet ist. Es sind VPC-Endpunkte wie API, SageMaker Laufzeit, Amazon S3 und Amazon ECR eingerichtet SageMaker.

Ein Datenwissenschaftler führt Experimente auf Studio-Notebooks durch, läuft auf zwei verschiedenen Instance-Typen (z. B. ml.t3.medium und ml.m5.large) und startet zwei Apps in jedem Instance-Typ.

Angenommen, der Datenwissenschaftler führt gleichzeitig einen Schulungsauftrag mit derselben VPC-Konfiguration auf einer ml.m5.4xlarge Instance aus.

In diesem Szenario fügt der SageMaker Studio-Service ENIs wie folgt ein:

Tabelle 1 – ENIs, die für ein Experimentierungsszenario in die Kunden-VPC eingefügt werden

Entität	Ziel	ENI injiziert	Hinweise	Level
EFS-Mountingziel	VPC-Subnetze	Drei	Drei AZs/Subnetze	Domain
VPC-Endpunkte	VPC-Subnetze	30	Drei AZs/Subnetze mit jeweils 10 VPCE	Domain
Jupyter Server	VPC-Subnetz	One	Eine IP pro Instance	Benutzer
KernelGateway App	VPC-Subnetz	Zwei	Eine IP pro Instance-Typ	Benutzer
Training	VPC-Subnetz	Zwei	Zwei IPs pro Trainings-Instance Fünf IPs pro Trainings-Instance, wenn EFA verwendet wird	Benutzer

In diesem Szenario werden insgesamt 38 IPs in der Kunden-VPC verbraucht, wobei 33 IPs für alle Benutzer auf Domänenebene und fünf IPs auf Benutzerebene freigegeben werden. Wenn Sie 100 Benutzer mit ähnlichen Benutzerprofilen in dieser Domäne haben, die diese Aktivitäten gleichzeitig ausführen, verbrauchen Sie fünf x 100 = 500 IPs auf Benutzerebene, zusätzlich zum IP-Verbrauch auf Domänenebene, was 11 IPs pro Subnetz entspricht, also insgesamt 511 IPs. In diesem Szenario müssen Sie das VPC-Subnetz-CIDR mit /22 erstellen, das 1024 IP-Adressen zuweist, wobei Platz zum Anwachsen besteht.

VPC-Netzwerkoptionen

Eine SageMaker Studio-Domäne unterstützt die Konfiguration des VPC-Netzwerks mit einer der folgenden Optionen:

• Nur öffentliches Internet

• Nur VPC

Die Option „Nur öffentliches Internet“ ermöglicht es SageMaker API-Services, das öffentliche Internet über das in der VPC bereitgestellte Internet-Gateway zu nutzen, das SageMaker vom Servicekonto verwaltet wird, wie im folgenden Diagramm dargestellt:

Standardmodus: Internetzugang über SageMaker Servicekonto

Die Option Nur VPC deaktiviert das Internet-Routing von der vom SageMaker Servicekonto verwalteten VPC und ermöglicht es dem Kunden, den Datenverkehr für die Weiterleitung über VPC-Endpunkte zu konfigurieren, wie im folgenden Diagramm dargestellt:

Nur-VPC-Modus: Kein Internetzugang über das SageMaker Servicekonto

Richten Sie für eine im reinen VPC-Modus eingerichtete Domain eine Sicherheitsgruppe pro Benutzerprofil ein, um eine vollständige Isolierung der zugrunde liegenden Instances sicherzustellen. Jede Domain in einem AWS Konto kann ihre eigene VPC-Konfiguration und ihren eigenen Internetmodus haben. Weitere Informationen zum Einrichten der VPC-Netzwerkkonfiguration finden Sie unter Studio SageMaker -Notebooks in einer VPC mit externen Ressourcen verbinden.

Einschränkungen

• Nachdem eine SageMaker Studio-Domäne erstellt wurde, können Sie der Domäne keine neuen Subnetze zuordnen.

• Der VPC-Netzwerktyp (nur öffentliches Internet oder nur VPC) kann nicht geändert werden.