Connect de bloc de notas de SageMaker Studio a los recursos de una VPC - Amazon SageMaker

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Connect de bloc de notas de SageMaker Studio a los recursos de una VPC

En el siguiente tema se proporciona información sobre cómo conectar los portátiles Studio a los recursos de una VPC.

Comunicación predeterminada con Internet

De forma predeterminada, SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC administrada por SageMaker. Tráfico aAWSservicios como Amazon S3 y CloudWatch pasan por una puerta de enlace de Internet, al igual que el tráfico que accede a la API de SageMaker y al tiempo de ejecución de SageMaker. El tráfico entre el dominio y el volumen de Amazon EFS pasa a través de la VPC especificada cuando se incorporó a Studio o llamó a laCreateDomainAPI. En el siguiente diagrama se muestra la configuración predeterminada.


                    Diagrama de SageMaker Studio VPC mediante acceso directo a Internet

VPC onlycomunicación con internet

Para evitar que SageMaker proporcione acceso a Internet a los portátiles Studio, puede deshabilitar el acceso a Internet especificando laVPC onlytipo de acceso a red cuandoIncorpoción a Studioo llama aCreateDomainAPI. Como resultado, no se podrá ejecutar un bloc de notas Studio a no ser que la VPC disponga de un punto de enlace de interfaz para la API de SageMaker y el tiempo de ejecución, o una gateway NAT con acceso a Internet, y que sus grupos de seguridad permitan las conexiones salientes. En el siguiente diagrama, se muestra una configuración para utilizar el modo solo VPC.


                    Diagrama de la VPC de SageMaker Studio utilizando el modo solo VPC

Requisitos de uso deVPC onlymoda

Cuando eligeVpcOnly, siga estos pasos:

  1. Asegúrese de que las subredes tengan una dirección IP para cada instancia. Para obtener más información, consulteTamaño de VPC y subred para direcciones IPv4.

    nota

    Puede configurar subredes solo con una VPC de tenencia predeterminada en la que la instancia se ejecuta en hardware compartido. Para obtener más información sobre los atributos de tenencia para VPC, consulte Instancias dedicadas.

  2. Configure uno o varios grupos de seguridad con reglas entrantes y salientes que, en conjunto, permiten el siguiente tráfico:

  3. Si desea permitir el acceso a Internet, debe utilizar ungateway NATcon acceso a internet, por ejemplo a través de ungateway de Internet.

  4. Si no desea permitir el acceso a Internet,crear puntos de enlace de la VPC de interfaz(AWSPrivateLink) para permitir a Studio acceder a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos endpoints.

    • API de SageMaker:com.amazonaws.us-east-1.sagemaker.api

    • Runtime de SageMaker: com.amazonaws.us-east-1.sagemaker.runtime. Esto es necesario para ejecutar blocs de notas Studio y para entrenar y alojar modelos.

    • Amazon S3:com.amazonaws.us-east-1.s3.

    • Para utilizar proyectos de SageMaker:com.amazonaws.us-east-1.servicecatalog.

    • Cualquier otroAWSlos servicios que necesita.

nota

Para un cliente que trabaja en modo VPC, los cortafuegos de la empresa pueden provocar problemas de conexión con SageMaker Studio o entre JupyterServer y KernelGateway. Realice las siguientes comprobaciones si encuentra alguno de estos problemas al utilizar SageMaker Studio desde detrás de un cortafuegos.

  • Compruebe que la URL de Studio se encuentra en la lista de permitidos de redes.

  • Compruebe que las conexiones de websocket no están bloqueadas. Jupyter utiliza websocket bajo el capó. Si la aplicación de KernelGateway es InService, es posible que JupyterServer no pueda conectarse a KernelGateway. Debería ver este problema al abrir Terminal del sistema también.