Gestion du réseau - SageMaker Bonnes pratiques en matière d'administration du studio
VPCplanification du réseauVPCoptions réseau Limites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion du réseau

Pour configurer le domaine SageMaker AI Studio, vous devez spécifier le VPC réseau, les sous-réseaux et les groupes de sécurité. Lorsque vous spécifiez les sous-réseaux VPC et, assurez-vous d'allouer en IPs tenant compte du volume d'utilisation et de la croissance attendue décrits dans les sections suivantes.

VPCplanification du réseau

VPCLes sous-réseaux clients associés au domaine SageMaker AI Studio doivent être créés avec la plage de routage inter-domaines sans classe (CIDR) appropriée, en fonction des facteurs suivants :

  • Nombre d'utilisateurs.

  • Nombre d'applications par utilisateur.

  • Nombre de types d'instances uniques par utilisateur.

  • Nombre moyen d'instances de formation par utilisateur.

  • Pourcentage de croissance attendu.

SageMaker L'IA et les AWS services participants injectent des interfaces réseau élastiques (ENI) dans le VPC sous-réseau du client pour les cas d'utilisation suivants :

  • Amazon EFS injecte un ENI for et une cible de EFS montage pour le domaine SageMaker AI (une adresse IP par sous-net/zone de disponibilité attachée au domaine SageMaker AI).

  • SageMaker AI Studio injecte un ENI pour chaque instance unique utilisée par un profil utilisateur ou un espace partagé. Par exemple :

    • Si un profil utilisateur exécute une application serveur Jupyter par défaut (une instance « système »), une application Data Science et une application Base Python (toutes deux exécutées sur une ml.t3.medium instance), Studio injecte deux adresses IP.

    • Si un profil utilisateur exécute une application de serveur Jupyter par défaut (une instance « système »), une application Tensorflow (sur une ml.g4dn.xlarge instance) et une GPU application Data Wrangler (sur une ml.m5.4xlarge instance), Studio injecte trois adresses IP.

  • Un ENI pour chaque VPC point de terminaison dans les VPC sous-réseaux de domaine/zones de disponibilité est injecté (quatre IPs pour les points de VPC terminaison SageMaker AI ; environ six IPs pour les points de VPC terminaison des services participants tels que S3, et.) ECR CloudWatch

  • Si les tâches de formation et de traitement de l' SageMaker IA sont lancées avec la même VPC configuration, chaque tâche nécessite deux adresses IP par instance.

Note

VPCles paramètres d' SageMaker AI Studio, tels que les sous-réseaux et le trafic VPC réservé, ne sont pas automatiquement transmis aux tâches de formation/de traitement créées à partir d'AI Studio. SageMaker L'utilisateur doit configurer les VPC paramètres et l'isolation du réseau selon les besoins lorsqu'il appelle le Create*JobAPIs. Reportez-vous à la section Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet pour plus d'informations.

Scénario : un data scientist réalise des expériences sur deux types d'instances différents

Dans ce scénario, supposons qu'un domaine SageMaker AI soit configuré en mode trafic VPC uniquement. Certains VPC points de terminaison sont configurés, tels que SageMaker AIAPI, SageMaker AI Runtime, Amazon S3 et AmazonECR.

Un data scientist réalise des expériences sur des blocs-notes Studio, s'exécute sur deux types d'instances différents (par exemple, ml.t3.medium etml.m5.large) et lance deux applications dans chaque type d'instance.

Supposons que le data scientist exécute également simultanément une tâche de formation avec la même VPC configuration sur une ml.m5.4xlarge instance.

Dans ce scénario, le service SageMaker AI Studio injectera ENIs comme suit :

Tableau 1 — ENIs Injecté au client VPC pour un scénario d'expérimentation

Entité

Cible

ENIinjecté

Remarques

Niveau

EFScible de montage

VPCsous-réseaux

Trois

Trois AZs /subnets

Domaine

Points de terminaison VPC

VPCsous-réseaux

30

Trois AZs /subnets de 10 chacun VPCE

Domaine

Serveur Jupyter

Sous-réseau VPC

Un

Une adresse IP par instance

Utilisateur

KernelGateway appli

Sous-réseau VPC

Deux

Une adresse IP par type d'instance

Utilisateur

Entraînement

Sous-réseau VPC

Deux

Deux IPs par instance de formation

Cinq IPs par instance de formation si elle EFAest utilisée

Utilisateur

Dans ce scénario, 38 personnes sont IPs consommées au total par le client, VPC dont 33 IPs sont partagées entre les utilisateurs au niveau du domaine et cinq IPs sont consommées au niveau de l'utilisateur. Si 100 utilisateurs ayant des profils utilisateur similaires dans ce domaine effectuent ces activités simultanément, vous consommerez cinq x 100 = 500 IPs au niveau utilisateur, en plus de la consommation IP au niveau du domaine, qui est de 11 IPs par sous-réseau, pour un total de 511. IPs Pour ce scénario, vous devez créer le VPC sous-réseau CIDR avec /22 qui allouera 1024 adresses IP, avec de la marge de croissance.

VPCoptions réseau

Un domaine SageMaker AI Studio prend en charge la configuration du VPC réseau avec l'une des options suivantes :

  • Internet public uniquement

  • VPC uniquement

L'option Internet public uniquement permet aux API services d' SageMaker IA d'utiliser l'Internet public via la passerelle Internet fournie dans le compte de service d' SageMaker IAVPC, gérée par le compte de service AI, comme le montre le schéma suivant :

Mode par défaut : accès à Internet via un compte de service SageMaker AI.

Mode par défaut : accès à Internet via un compte de service SageMaker AI

La VPCseule option désactive le routage Internet à partir du compte de service VPC géré par l' SageMaker IA et permet au client de configurer le trafic à acheminer via des VPC points de terminaison, comme le montre le schéma suivant :

VPCmode uniquement : pas d'accès à Internet via un compte de service SageMaker AI.

VPCmode uniquement : pas d'accès à Internet via un compte de service SageMaker AI

Pour un domaine configuré en mode VPC uniquement, configurez un groupe de sécurité par profil utilisateur afin de garantir une isolation complète des instances sous-jacentes. Chaque domaine d'un AWS compte peut avoir sa propre VPC configuration et son propre mode Internet. Pour plus de détails concernant la configuration du VPC réseau, reportez-vous à Connect SageMaker AI Studio Notebooks in a VPC to External Resources.

Limites

  • Après la création d'un domaine SageMaker AI Studio, vous ne pouvez pas associer de nouveaux sous-réseaux au domaine.

  • Le type de VPC réseau (Internet public uniquement ou VPCuniquement) ne peut pas être modifié.