Hubungkan notebook Studio di sumber daya eksternal VPC ke sumber daya eksternal - Amazon SageMaker
Komunikasi default dengan internetVPC onlykomunikasi dengan internet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hubungkan notebook Studio di sumber daya eksternal VPC ke sumber daya eksternal

Topik berikut memberikan informasi tentang cara menghubungkan Buku Catatan Studio di sumber daya eksternal VPC ke sumber daya eksternal.

Komunikasi default dengan internet

Secara default, SageMaker Studio menyediakan antarmuka jaringan yang memungkinkan komunikasi dengan internet melalui VPC dikelola oleh SageMaker. Lalu lintas ke AWS layanan, seperti Amazon S3 dan CloudWatch, melewati gateway internet. Lalu lintas yang mengakses SageMaker API dan SageMaker runtime juga melewati gateway internet. Lalu lintas antara domain dan EFS volume Amazon melewati VPC yang Anda identifikasi saat Anda onboard ke Studio atau menelepon. CreateDomainAPI Diagram berikut menunjukkan konfigurasi default.

SageMaker VPCDiagram studio yang menggambarkan penggunaan akses internet langsung.

VPC onlykomunikasi dengan internet

Untuk berhenti SageMaker menyediakan akses internet ke notebook Studio Anda, nonaktifkan akses internet dengan menentukan jenis akses VPC only jaringan. Tentukan jenis akses jaringan ini saat Anda onboard ke Studio atau hubungi. CreateDomainAPI Akibatnya, Anda tidak akan dapat menjalankan notebook Studio kecuali:

  • Anda VPC memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau NAT gateway dengan akses internet

  • grup keamanan Anda mengizinkan koneksi keluar

Diagram berikut menunjukkan konfigurasi untuk menggunakan mode VPC -only.

SageMaker VPCDiagram studio yang menggambarkan penggunaan mode VPC -only.

Persyaratan untuk menggunakan VPC only mode

Saat Anda memilihVpcOnly, ikuti langkah-langkah ini:

  1. Anda harus menggunakan subnet pribadi saja. Anda tidak dapat menggunakan subnet publik dalam VpcOnly mode.

  2. Pastikan subnet Anda memiliki jumlah alamat IP yang diperlukan. Jumlah yang diharapkan dari alamat IP yang dibutuhkan per pengguna dapat bervariasi berdasarkan kasus penggunaan. Kami merekomendasikan antara 2 dan 4 alamat IP per pengguna. Total kapasitas alamat IP untuk domain Studio adalah jumlah alamat IP yang tersedia untuk setiap subnet yang disediakan saat domain dibuat. Pastikan bahwa penggunaan alamat IP Anda tidak lebih dari kapasitas yang didukung oleh jumlah subnet yang Anda berikan. Selain itu, menggunakan subnet yang didistribusikan di banyak zona ketersediaan dapat membantu ketersediaan alamat IP. Untuk informasi lebih lanjut, lihat VPCdan ukuran subnet untuk. IPv4

    catatan

    Anda hanya dapat mengonfigurasi subnet dengan penyewaan default VPC di mana instance Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancyVPCs, lihat Instans Khusus.

  3. Awas

    Saat menggunakan VpcOnly mode, Anda sebagian memiliki konfigurasi jaringan untuk domain. Kami merekomendasikan praktik keamanan terbaik untuk menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang disediakan aturan grup keamanan. Konfigurasi aturan masuk yang terlalu permisif dapat memungkinkan pengguna dengan akses ke VPC untuk berinteraksi dengan aplikasi profil pengguna lain tanpa otentikasi.

    Siapkan satu atau beberapa grup keamanan dengan aturan masuk dan keluar yang memungkinkan lalu lintas berikut:

    Buat grup keamanan yang berbeda untuk setiap profil pengguna dan tambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain.

  4. Jika Anda ingin mengizinkan akses internet, Anda harus menggunakan NATgateway dengan akses ke internet, misalnya melalui gateway internet.

  5. Untuk menghapus akses internet, buat VPC titik akhir antarmuka (AWS PrivateLink) untuk memungkinkan Studio mengakses layanan berikut dengan nama layanan yang sesuai. Anda juga harus mengaitkan grup keamanan untuk Anda VPC dengan titik akhir ini.

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker runtime:com.amazonaws.region.sagemaker.runtime. Ini diperlukan untuk menjalankan notebook Studio dan untuk melatih dan meng-host model.

    • Amazon S3:. com.amazonaws.region.s3

    • Untuk menggunakan SageMaker Proyek:com.amazonaws.region.servicecatalog.

    • AWS Layanan lain yang Anda butuhkan.

    Jika Anda menggunakan SageMaker Python SDK untuk menjalankan pekerjaan pelatihan jarak jauh, Anda juga harus membuat endpoint Amazon VPC berikut.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Ini diperlukan untuk memungkinkan SageMaker Python SDK mendapatkan status pekerjaan pelatihan jarak jauh dari. Amazon CloudWatch

catatan

Untuk pelanggan yang bekerja dalam VPC mode, firewall perusahaan dapat menyebabkan masalah koneksi dengan SageMaker Studio atau antara JupyterServer dan. KernelGateway Lakukan pemeriksaan berikut jika Anda mengalami salah satu masalah ini saat menggunakan SageMaker Studio dari belakang firewall.

  • Periksa apakah Studio URL ada di daftar yang diizinkan jaringan Anda.

  • Periksa apakah koneksi websocket tidak diblokir. Jupyter menggunakan websocket di bawah tenda. Jika KernelGateway aplikasi ini InService, JupyterServer mungkin tidak dapat terhubung ke KernelGateway. Anda akan melihat masalah ini saat membuka Terminal Sistem juga.

Untuk informasi selengkapnya