Connectez les blocs-notes SageMaker Studio Classic d'un VPC à des ressources externes

La rubrique suivante explique comment connecter les blocs-notes Studio Classic d'un VPC à des ressources externes.

Communication par défaut avec Internet

Par défaut, SageMaker Studio Classic fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par. SageMaker Le trafic vers AWS des services tels qu'Amazon S3 CloudWatch passe par une passerelle Internet, tout comme le trafic qui accède à l' SageMakerAPI et au SageMaker runtime. Le trafic entre le domaine et votre volume Amazon EFS passe par le VPC que vous avez spécifié lors de votre intégration à Studio Classic ou que vous avez appelé l'API. CreateDomain Le schéma suivant illustre la configuration par défaut.

Communication VPC only avec Internet

Pour éviter SageMaker de fournir un accès Internet à vos ordinateurs portables Studio Classic, vous pouvez désactiver l'accès à Internet en spécifiant le type d'accès VPC only réseau lorsque vous vous connectez à Studio Classic ou que vous appelez l'CreateDomainAPI. Par conséquent, vous ne pourrez pas exécuter un bloc-notes Studio Classic à moins que votre VPC ne dispose d'un point de terminaison d'interface vers l' SageMaker API et le moteur d'exécution, ou d'une passerelle NAT avec accès à Internet, et que vos groupes de sécurité autorisent les connexions sortantes. Le diagramme suivant montre une configuration pour utiliser le mode VPC uniquement.

Exigences pour utiliser le mode VPC only

Si vous avez choisi VpcOnly, procédez comme suit :

1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode VpcOnly.

2. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité totale d'adresses IP d'un domaine Studio Classic est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Veillez à ce que votre utilisation estimée d'adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d'adresses IP. Pour plus d'informations, veuillez consulter Dimensionnement des VPC et des sous-réseaux pour IPv4.

   Note

   Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour de plus amples informations sur l'attribut de location pour les VPC, veuillez consulter Instances dédiées.

3. Avertissement

   Lorsque vous utilisez le mode VpcOnly, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.

   Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :

   • Trafic NFS sur TCP sur le port 2049 entre le domaine et le volume Amazon EFS.

   • Trafic TCP au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535.

   Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine.

4. Si vous souhaitez autoriser l'accès à Internet, vous devez utiliser une passerelle NAT avec accès Internet, par exemple via une passerelle Internet.

5. Si vous ne souhaitez pas autoriser l'accès à Internet, créez des points de terminaison VPC d'interface (AWS PrivateLink) pour permettre à Studio Classic d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.

   • SageMaker API : com.amazonaws.region.sagemaker.api

   • SageMaker durée d'exécution :com.amazonaws.region.sagemaker.runtime. Cela est nécessaire pour exécuter les ordinateurs portables Studio Classic ainsi que pour entraîner et héberger des modèles.

   • Simple Storage Service (Amazon S3) : com.amazonaws.region.s3.

   • Pour utiliser SageMaker les projets :com.amazonaws.region.servicecatalog.

   • Tout autre service AWS dont vous avez besoin.

   Si vous utilisez le SDK SageMaker Python pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.

   • AWS Security Token Service: com.amazonaws.region.sts

   • Amazon CloudWatch:com.amazonaws.region.logs. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir deAmazon CloudWatch.

Note

Pour un client travaillant en mode VPC, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio ou entre et JupyterServer le. KernelGateway Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.

• Vérifiez que l'URL de Studio est dans votre liste d'autorisations de réseaux.

• Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est KernelGateway le cas InService, il JupyterServer se peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.

Pour plus d'informations

• Sécurisation de la connectivité Amazon SageMaker Studio à l'aide d'un VPC privé.

• Groupes de sécurité pour votre VPC

• Connectez-vous à SageMaker Within à votre VPC

• VPC avec des sous-réseaux publics et privés (NAT)