Connexion des blocs-notes SageMaker Studio dans un VPC à des ressources externes
La rubrique suivante fournit des informations sur la façon de connecter les blocs-notes de Studio dans un VPC à des ressources externes.
Communication par défaut avec Internet
Par défaut, SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker. Le trafic vers des services AWS tels qu'Amazon S3 et CloudWatch passe par une passerelle Internet, tout comme le trafic qui accède à l'API SageMaker et à l'exécution SageMaker. Le trafic entre le domaine et votre volume Amazon EFS passe par le VPC que vous avez spécifié lors de votre onboarding à Studio ou de votre appel de l'API CreateDomain. Le schéma suivant illustre la configuration par défaut.
Communication VPC only avec Internet
Pour empêcher SageMaker de fournir un accès Internet à vos blocs-notes Studio, vous pouvez désactiver l'accès à Internet en spécifiant le type d'accès réseau VPC only lorsque de l'onboarding sur Studio de l'appel de l'API CreateDomain. Dès lors, vous ne pourrez pas exécuter un bloc-notes Studio, sauf si votre VPC dispose d'un point de terminaison d'interface vers l'API et l'exécution SageMaker ou une passerelle NAT avec accès Internet et que vos groupes de sécurité autorisent les connexions sortantes. Le diagramme suivant montre une configuration pour utiliser le mode VPC uniquement.
Exigences pour utiliser le mode VPC only
Si vous avez choisi VpcOnly, procédez comme suit :
-
Assurez-vous que vos sous-réseaux ont une adresse IP pour chaque instance. Pour plus d'informations, veuillez consulter Dimensionnement des VPC et des sous-réseaux pour IPv4.
Note Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour de plus amples informations sur l'attribut de location pour les VPC, veuillez consulter Instances dédiées.
-
Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui, ensemble, autorisent le trafic suivant :
-
Trafic NFS sur TCP sur le port 2049 entre le domaine et le volume Amazon EFS.
-
Trafic TCP au sein du groupe de sécurité. Ceci est requis pour la connectivité entre l'appli JupyterServer et les applis KernelGateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage
8192-65535.
-
-
Si vous souhaitez autoriser l'accès à Internet, vous devez utiliser une passerelle NAT avec accès Internet, par exemple via une passerelle Internet.
-
Si vous ne souhaitez pas autoriser l'accès à Internet, créez des points de terminaison de VPC d'interface (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.
-
API SageMaker :
com.amazonaws.us-east-1.sagemaker.api -
Exécution SageMaker :
com.amazonaws.us-east-1.sagemaker.runtime. Ceci est nécessaire pour exécuter des blocs-notes Studio et pour entraîner et héberger des modèles. -
Simple Storage Service (Amazon S3) :
com.amazonaws.us-east-1.s3. -
Pour utiliser SageMaker Projects :
com.amazonaws.us-east-1.servicecatalog. -
Tout autre service AWS dont vous avez besoin.
-
Pour un client travaillant en mode VPC, les pare-feu d'entreprise peuvent provoquer des problèmes de connexion avec SageMaker Studio ou entre JupyterServer et KernelGateway. Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.
-
Vérifiez que l'URL de Studio est dans votre liste d'autorisations de réseaux.
-
Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si l'application KernelGateway est InService, JupyterServer peut ne pas être en mesure de se connecter à KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.
Pour plus d'informations
