Conecte los blocs de notas SageMaker Studio Classic de una VPC a recursos externos

En el siguiente tema se proporciona información sobre cómo conectar los blocs de notas Studio Classic de una VPC a recursos externos.

Comunicación predeterminada con Internet

De forma predeterminada, SageMaker Studio Classic proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC gestionada por. SageMaker El tráfico a AWS servicios como Amazon S3 CloudWatch pasa por una puerta de enlace a Internet, al igual que el tráfico que accede a la SageMaker API y al SageMaker tiempo de ejecución. El tráfico entre el dominio y su volumen de Amazon EFS pasa por la VPC que especificó al incorporarse a Studio Classic o denominada API. CreateDomain En el siguiente diagrama se muestra la configuración predeterminada.

Comunicación VPC only con Internet

Para SageMaker evitar que tus portátiles Studio Classic tengan acceso a Internet, puedes inhabilitar el acceso a Internet especificando el tipo de acceso a la VPC only red cuando utilices Studio Classic o cuando llames a la CreateDomainAPI. Como resultado, no podrá ejecutar un bloc de notas Studio Classic a menos que su VPC tenga un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace NAT con acceso a Internet, y sus grupos de seguridad permitan las conexiones salientes. En el siguiente diagrama se muestra una configuración para utilizar el modo de solo VPC.

Requisitos para usar el modo VPC only

Si ha elegido VpcOnly, siga estos pasos:

1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo VpcOnly.

2. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio de Studio Classic es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso estimado de direcciones IP no supere la capacidad admitida por la cantidad de subredes que proporcione. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte VPC and subnet sizing for IPv4.

   nota

   Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. Para obtener más información sobre los atributos de tenencia para VPC, consulte Instancias dedicadas.

3. aviso

   Al usar el modo VpcOnly, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a la VPC interactuar con las aplicaciones de otros perfiles de usuario sin autenticación.

   Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:

   • Tráfico NFS a través de TCP en el puerto 2049 entre el dominio y el volumen de Amazon EFS.

   • Tráfico TCP en el grupo de seguridad. Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango8192-65535.

   Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.

4. Si desea permitir el acceso a Internet, debe usar una puerta de enlace NAT con acceso a Internet, por ejemplo, a través de una puerta de enlace de Internet.

5. Si no quiere permitir el acceso a Internet, cree puntos finales de VPC de interfaz (AWS PrivateLink) para permitir que Studio Classic acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.

   • SageMaker API: com.amazonaws.region.sagemaker.api

   • SageMaker tiempo de ejecución:com.amazonaws.region.sagemaker.runtime. Esto es necesario para ejecutar los portátiles Studio Classic y para entrenar y alojar modelos.

   • Amazon S3: com.amazonaws.region.s3.

   • Para usar SageMaker Projects:com.amazonaws.region.servicecatalog.

   • Cualquier otro servicio de AWS que necesite.

   Si utiliza el SDK de SageMaker Python para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.

   • AWS Security Token Service: com.amazonaws.region.sts

   • Amazon CloudWatch:. com.amazonaws.region.logs Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desdeAmazon CloudWatch.

nota

Para un cliente que trabaja en modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con SageMaker Studio o entre y JupyterServer . KernelGateway Realiza las siguientes comprobaciones si te encuentras con alguno de estos problemas al usar SageMaker Studio desde un firewall.

• Compruebe que la URL de Studio esté en la lista de permitidas de su red.

• Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websocket internamente. Si la KernelGateway aplicación lo está InService, es JupyterServer posible que no pueda conectarse al KernelGateway. También debería ver este problema al abrir la terminal del sistema.

Para obtener más información

• Proteger la conectividad de Amazon SageMaker Studio mediante una VPC privada.

• Grupos de seguridad de su VPC

• Conéctese a SageMaker dentro de su VPC

• VPC con subredes públicas y privadas (NAT)