Connectez les blocs-notes Studio dans un VPC à des ressources externes - Amazon SageMaker
Communication par défaut avec InternetCommunication VPC only avec Internet

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez les blocs-notes Studio dans un VPC à des ressources externes

La rubrique suivante fournit des informations sur la façon de connecter des blocs-notes Studio dans un VPC à des ressources externes.

Communication par défaut avec Internet

Par défaut, SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via une interface VPC gérée par SageMaker. Le trafic vers AWS des services, tels qu'Amazon S3 et Amazon CloudWatch, passe par une passerelle Internet. Le trafic qui accède à l' SageMaker environnement SageMaker API d'exécution passe également par une passerelle Internet. Le trafic entre le domaine et le EFS volume Amazon passe par le volume VPC que vous avez identifié lors de votre intégration à Studio ou que vous avez appelé le. CreateDomainAPI Le schéma suivant illustre la configuration par défaut.

SageMaker VPCSchéma du studio illustrant l'utilisation de l'accès direct à Internet.

Communication VPC only avec Internet

Pour arrêter SageMaker de fournir un accès Internet à vos blocs-notes Studio, désactivez-le en spécifiant le type d'accès VPC only réseau. Spécifiez ce type d'accès réseau lorsque vous intégrez Studio ou que vous appelez le CreateDomainAPI. Par conséquent, vous ne pourrez pas exécuter un bloc-notes Studio sauf si :

  • vous disposez VPC d'une interface, d'un point de terminaison vers le runtime SageMaker API et, ou d'une NAT passerelle avec accès à Internet

  • vos groupes de sécurité autorisent les connexions sortantes

Le schéma suivant montre une configuration pour utiliser le mode VPC -only.

SageMaker VPCSchéma de studio illustrant l'utilisation du mode VPC -only.

Exigences pour utiliser le mode VPC only

Si vous avez choisi VpcOnly, procédez comme suit :

  1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode VpcOnly.

  2. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d'adresse IP totale d'un domaine Studio est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Assurez-vous que l'utilisation de votre adresse IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis sur de nombreuses zones de disponibilité peut contribuer à améliorer la disponibilité des adresses IP. Pour plus d'informations, consultez la section VPCet le dimensionnement des sous-réseaux pour. IPv4

    Note

    Vous ne pouvez configurer que des sous-réseaux dotés d'une location par défaut VPC dans lesquels votre instance s'exécute sur du matériel partagé. Pour plus d'informations sur l'attribut de location pourVPCs, consultez Instances dédiées.

  3. Avertissement

    Lorsque vous utilisez le mode VpcOnly, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations de règles entrantes trop permissives pourraient permettre aux utilisateurs ayant accès VPC au d'interagir avec les applications d'autres profils utilisateur sans authentification.

    Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :

    Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications du domaine ont accès à toutes les autres applications du domaine.

  4. Si vous souhaitez autoriser l'accès à Internet, vous devez utiliser une NATpasserelle avec accès à Internet, par exemple via une passerelle Internet.

  5. Pour supprimer l'accès à Internet, créez des VPC points de terminaison d'interface (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité qui vous concernent VPC à ces points de terminaison.

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker durée d'exécution :com.amazonaws.region.sagemaker.runtime. Ceci est nécessaire pour exécuter des blocs-notes Studio et pour entraîner et héberger des modèles.

    • Simple Storage Service (Amazon S3) : com.amazonaws.region.s3.

    • Pour utiliser SageMaker les projets :com.amazonaws.region.servicecatalog.

    • Tout autre AWS service dont vous avez besoin.

    Si vous utilisez le SageMaker Python SDK pour exécuter des tâches de formation à distance, vous devez également créer les VPC points de terminaison Amazon suivants.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Cela est nécessaire pour permettre à SageMaker Python d'SDKobtenir le statut de la tâche de formation à distance auprès de Amazon CloudWatch.

Note

Pour un client travaillant VPC en mode, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio ou entre JupyterServer et le KernelGateway. Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.

  • Vérifiez que le Studio URL figure dans la liste d'autorisation de votre réseau.

  • Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est le cas de KernelGateway l'application InService, il se JupyterServer peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.

Pour plus d'informations