Comunicación VPC only con Internet Requisitos para usar el modo VPC only

Utilice las capacidades SageMaker geoespaciales de Amazon en su Amazon Virtual Private Cloud

En el siguiente tema se proporciona información sobre cómo utilizar las SageMaker libretas con una imagen SageMaker geoespacial en un SageMaker dominio de Amazon con modo solo VPC. Para obtener más información sobre las VPC en Amazon SageMaker Studio Classic, consulte Elegir una VPC de Amazon.

Comunicación `VPC only` con Internet

De forma predeterminada, SageMaker el dominio usa dos Amazon VPC. Una de las VPC de Amazon está gestionada por Amazon SageMaker y proporciona acceso directo a Internet. Debe especificar la otra Amazon VPC, que proporciona tráfico cifrado entre el dominio y su volumen de Amazon Elastic File System (Amazon EFS).

Puede cambiar este comportamiento para que todo el tráfico se SageMaker envíe a través de la Amazon VPC especificada. Si se VPC only eligió como modo de acceso a la red durante la creación del SageMaker dominio, se deben tener en cuenta los siguientes requisitos para seguir permitiendo el uso de las libretas SageMaker Studio Classic dentro del dominio creado. SageMaker

Requisitos para usar el modo `VPC only`

nota

Para utilizar los componentes de visualización de las capacidades SageMaker geoespaciales, el navegador que utilice para acceder a la interfaz de usuario de SageMaker Studio Classic debe estar conectado a Internet.

Si ha elegido VpcOnly, siga estos pasos:

Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo VpcOnly.
Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio de Studio Classic es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso estimado de direcciones IP no supere la capacidad admitida por la cantidad de subredes que proporcione. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte VPC and subnet sizing for IPv4.

nota
Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. Para obtener más información sobre los atributos de tenencia para VPC, consulte Instancias dedicadas.
Configure uno o más grupos de seguridad con reglas de entrada y salida que, en conjunto, permitan el siguiente tráfico:
- Tráfico NFS a través de TCP en el puerto 2049 entre el dominio y el volumen de Amazon EFS.
- Tráfico TCP en el grupo de seguridad. Esto es necesario para la conectividad entre la JupyterServer aplicación y las KernelGateway aplicaciones. Debe permitir el acceso al menos a los puertos del rango 8192-65535.
Si desea permitir el acceso a Internet, debe usar una puerta de enlace NAT con acceso a Internet, por ejemplo, a través de una puerta de enlace de Internet.
Si no quiere permitir el acceso a Internet, cree puntos finales de VPC de interfaz (AWS PrivateLink) para permitir que Studio Classic acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.

nota
Actualmente, las capacidades SageMaker geoespaciales solo se admiten en la región EE.UU. Oeste (Oregón).
- SageMaker API: com.amazonaws.us-west-2.sagemaker.api
- SageMaker tiempo de ejecución:com.amazonaws.us-west-2.sagemaker.runtime. Esto es necesario para ejecutar los cuadernos Studio Classic con una imagen SageMaker geoespacial.
- Amazon S3: com.amazonaws.us-west-2.s3.
- Para usar SageMaker Projects:. com.amazonaws.us-west-2.servicecatalog
- SageMaker capacidades geoespaciales: com.amazonaws.us-west-2.sagemaker-geospatial
Si utiliza el SDK de SageMaker Python para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.
- AWS Security Token Service: com.amazonaws.region.sts
- Amazon CloudWatch:. com.amazonaws.region.logs Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desde Amazon CloudWatch.

nota

Para un cliente que trabaja en modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con SageMaker Studio Classic o entre y JupyterServer . KernelGateway Realice las siguientes comprobaciones si encuentra alguno de estos problemas al utilizar SageMaker Studio Classic desde un firewall.

Comprueba que la URL de Studio Classic esté en la lista de permitidos de tu red.
Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websocket internamente. Si la KernelGateway aplicación lo está InService, es JupyterServer posible que no pueda conectarse a. KernelGateway También debería ver este problema al abrir la terminal del sistema.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Mejores prácticas de seguridad para las capacidades SageMaker geoespaciales

Utilice AWS KMS los permisos para las capacidades SageMaker geoespaciales