Configurar redes (para administradores)

En esta sección se proporciona información sobre cómo los administradores pueden configurar su red para permitir la comunicación entre las libretas Amazon SageMaker Studio Classic y un clúster de Amazon EMR.

Las instrucciones de red varían en función de si SageMaker Studio Classic y Amazon EMR se implementan en una Amazon Virtual Private Cloud (VPC) privada o se comunican a través de Internet.

De forma predeterminada, SageMaker Studio Classic se ejecuta en una VPC AWS gestionada con acceso a Internet. Cuando se utiliza una conexión a Internet, Studio Classic accede a AWS los recursos, como los buckets de Amazon S3, a través de Internet. Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure SageMaker Studio Classic y Amazon EMR para que no se pueda acceder a sus datos y contenedores a través de Internet. Para controlar el acceso a tus recursos o ejecutar SageMaker Studio Classic sin acceso público a Internet, puedes especificar el tipo de acceso a la VPC only red al incorporarte al SageMaker dominio de Amazon. En este escenario, SageMaker Studio Classic establece conexiones con otros AWS servicios a través de puntos finales de VPC privados. Para obtener información sobre la configuración de SageMaker Studio Classic en el VPC only modo, consulte Conectar los blocs de notas de SageMaker Studio Classic de una VPC a recursos externos. .

Las dos primeras secciones describen cómo garantizar la comunicación entre SageMaker Studio Classic y un clúster de Amazon EMR en VPC sin acceso público a Internet. La última sección explica cómo garantizar la comunicación entre SageMaker Studio Classic y Amazon EMR mediante una conexión a Internet. Antes de conectar SageMaker Studio Classic y Amazon EMR sin acceso a Internet, asegúrese de establecer puntos de enlace para Amazon Simple Storage Service (almacenamiento de datos), Amazon CloudWatch (registro y supervisión) y Amazon SageMaker Runtime (control de acceso detallado basado en roles (RBAC)).

• Si su clúster de Amazon SageMaker Studio Classic y Amazon EMR están configurados en VPC diferentes en la misma AWS cuenta o en cuentas diferentes, consulte. Studio Classic y Amazon EMR se implementan en VPC independientes

• Si su clúster de Amazon SageMaker Studio Classic y Amazon EMR están configurados en la misma VPC, consulte. Amazon SageMaker Studio Classic y Amazon EMR se encuentran en la misma VPC

• Si ha optado por conectar Amazon SageMaker Studio Classic y el clúster de Amazon EMR a través de una red pública de Internet, consulte. Amazon SageMaker Studio Classic y Amazon EMR se comunican a través de Internet público

Studio Classic y Amazon EMR se implementan en VPC independientes

Para permitir la comunicación entre SageMaker Studio Classic y un clúster de Amazon EMR cuando se implementan en distintas VPC:

1. Comience conectando sus VPC a través de una conexión de emparejamiento de VPC.

2. Actualice las tablas de enrutamiento de cada VPC para enrutar el tráfico de red entre las subredes de Studio Classic y las subredes de Amazon EMR en ambos sentidos.

3. Configure sus grupos de seguridad para permitir el tráfico entrante y saliente.

Los pasos son similares, independientemente de si Amazon SageMaker Studio Classic y el clúster de Amazon EMR se implementan en la misma AWS cuenta (caso de uso de una sola cuenta) o en AWS cuentas diferentes (caso de uso de cuentas cruzadas).

1. Emparejamiento de VPC

   Cree una conexión de emparejamiento de VPC para facilitar la creación de redes entre las dos VPC (Studio SageMaker Classic y Amazon EMR).

   1. En tu cuenta de SageMaker Studio Classic, en el panel de control de VPC, selecciona Conexiones de emparejamiento y, a continuación, Crear conexión de emparejamiento.

   2. Cree su solicitud para emparejar la VPC Studio Classic con la VPC de Amazon EMR. Cuando solicites el emparejamiento en otra AWS cuenta, selecciona Otra cuenta en Seleccione otra VPC con la que realizar el emparejamiento.

      Para la interconexión de cuentas cruzadas, el administrador debe aceptar la solicitud de la cuenta Amazon EMR.

      Al emparejar subredes privadas, debe habilitar la resolución DNS de IP privada en el nivel de conexión de emparejamiento de VPC.

2. Tablas de enrutamiento

   Envíe el tráfico de red entre las subredes de SageMaker Studio Classic y las subredes de Amazon EMR en ambos sentidos.

   Tras establecer la conexión de emparejamiento, el administrador (en cada cuenta para el acceso entre cuentas) puede añadir rutas a las tablas de rutas de las subredes privadas para enrutar el tráfico entre las libretas y las subredes del clúster. Para definir esas rutas, vaya a la sección Route Tables (Tablas de enrutamiento) de cada VPC en el panel de VPC.

   La siguiente ilustración de la tabla de rutas de una VPCsubnet de Studio Classic muestra un ejemplo de una ruta de salida desde la cuenta de Studio Classic al rango de IP de la VPC de Amazon EMR (aquí) a través de la conexión de emparejamiento. 2.0.1.0/24

   

   La siguiente ilustración de una tabla de enrutamiento de una subred de VPC de Amazon EMR muestra un ejemplo de rutas de retorno desde la VPC de Amazon EMR al rango de IP de VPC de Studio Classic (aquí) a través de la conexión de emparejamiento. 10.0.20.0/24

   

3. Grupos de seguridad

   Por último, el grupo de seguridad de su dominio de Studio Classic debe permitir el tráfico saliente y el grupo de seguridad del nodo principal de Amazon EMR debe permitir el tráfico entrante en los puertos TCP Apache Livy, Hive o Presto (8998respectivamente10000, 8889 y) del grupo de seguridad de instancias de Studio Classic. Apache Livy es un servicio que permite la interacción con un clúster de Amazon EMR sobre una interfaz REST.

La siguiente imagen muestra un ejemplo de una configuración de Amazon VPC que permite a las libretas SageMaker Studio Classic aprovisionar clústeres de Amazon EMR a partir de AWS CloudFormation plantillas y, a continuación, conectarse a un clúster de Amazon EMR de la misma cuenta. AWS El diagrama proporciona una ilustración adicional de los puntos de conexión necesarios para una conexión directa a varios AWS servicios, como Amazon S3 o Amazon CloudWatch, cuando las VPC no tienen acceso a Internet. Como alternativa, se debe usar una puerta de enlace NAT para permitir que las instancias de subredes privadas de varias VPC compartan una única dirección IP pública proporcionada por la puerta de enlace de Internet al acceder a Internet.

Amazon SageMaker Studio Classic y Amazon EMR se encuentran en la misma VPC

Si Amazon SageMaker Studio Classic y el clúster se encuentran en subredes diferentes, añada rutas a cada tabla de enrutamiento de subred privada para enrutar el tráfico entre los cuadernos y las subredes del clúster. Para definir esas rutas, vaya a la sección Route Tables (Tablas de enrutamiento) de cada VPC en el panel de VPC. Si implementó Amazon SageMaker Studio Classic y un clúster de Amazon EMR en la misma VPC y la misma subred, no necesita enrutar el tráfico entre los cuadernos y el clúster.

Tanto si necesita actualizar las tablas de enrutamiento como si no, el grupo de seguridad de su dominio de Studio Classic debe permitir el tráfico saliente y el grupo de seguridad del nodo principal de Amazon EMR debe permitir el tráfico entrante en los puertos TCP Apache Livy, Hive o Presto (8998respectivamente10000, 8889 y) del grupo de seguridad de instancias de Studio Classic. Apache Livy es un servicio que permite la interacción con un clúster de Amazon EMR sobre una interfaz REST.

Amazon SageMaker Studio Classic y Amazon EMR se comunican a través de Internet público

De forma predeterminada, SageMaker Studio Classic proporciona una interfaz de red que permite la comunicación con Internet a través de una puerta de enlace de Internet en la VPC asociada al SageMaker dominio. Si decide conectarse a Amazon EMR a través de la Internet pública, su clúster de Amazon EMR debe aceptar el tráfico entrante en los puertos TCP Apache Livy, Hive o Presto (respectivamente8998, 10000 y) desde su puerta de enlace de Internet. 8889 Apache Livy es un servicio que permite la interacción con un clúster de Amazon EMR a través de una interfaz REST.

Tenga en cuenta que cualquier puerto en el que permita el tráfico entrante representa una posible vulnerabilidad de seguridad. Revise con atención los grupos de seguridad personalizados para asegurarse de minimizar las vulnerabilidades. Para obtener más información, consulte Control del tráfico de red con grupos de seguridad.

Como alternativa, consulte Tutoriales y documentos técnicos para obtener un tutorial detallado sobre cómo habilitar Kerberos en Amazon EMR, configurar el clúster en una subred privada y acceder al clúster mediante un Equilibrador de carga de red (NLB) para mostrar solo puertos específicos, cuyo acceso se controla mediante grupos de seguridad.

nota

Al conectarse a su punto de conexión Apache Livy a través de la Internet pública, le recomendamos que proteja las comunicaciones entre Amazon SageMaker Studio Classic y su clúster de Amazon EMR mediante TLS.

Para obtener información sobre cómo configurar HTTPS con Apache Livy, consulte Habilitar HTTPS con Apache Livy. Para obtener información sobre cómo configurar un clúster de Amazon EMR con el cifrado de tránsito habilitado, consulte Proporcionar certificados para cifrar datos en tránsito con el cifrado de Amazon EMR. Además, debe configurar Studio Classic para acceder a su clave de certificado tal y como se especifica en. Conectar a un clúster de Amazon EMR a través de HTTPS