Manajemen jaringan - SageMaker Praktik Terbaik Administrasi Studio
Perencanaan jaringan VPCOpsi jaringan VPC Batasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen jaringan

Untuk mengatur domain SageMaker Studio, Anda perlu menentukan jaringan VPC, subnet, dan grup keamanan. Saat menentukan VPC dan subnet, pastikan Anda mengalokasikan IP dengan mempertimbangkan volume penggunaan dan pertumbuhan yang diharapkan yang dibahas di bagian berikut.

Perencanaan jaringan VPC

Subnet VPC pelanggan yang terkait dengan domain SageMaker Studio harus dibuat dengan rentang Classless Inter-domain Routing (CIDR) yang sesuai, tergantung pada faktor-faktor berikut:

  • Jumlah pengguna.

  • Jumlah aplikasi per pengguna.

  • Jumlah jenis instance unik per pengguna.

  • Rata-rata jumlah instans pelatihan per pengguna.

  • Persentase pertumbuhan yang diharapkan.

SageMaker dan AWS layanan yang berpartisipasi menyuntikkan antarmuka jaringan elastis (ENI) ke subnet VPC pelanggan untuk kasus penggunaan berikut:

  • Amazon EFS menyuntikkan ENI untuk target pemasangan EFS untuk SageMaker domain (satu IP per subnet/Availability Zone yang dilampirkan ke domain). SageMaker

  • SageMaker Studio menyuntikkan ENI untuk setiap instance unik yang digunakan oleh profil pengguna atau ruang bersama. Sebagai contoh:

    • Jika profil pengguna menjalankan aplikasi server Jupyter default (satu instance 'sistem'), aplikasi Ilmu Data, dan aplikasi Python Dasar (keduanya berjalan pada ml.t3.medium instance), Studio menyuntikkan dua alamat IP.

    • Jika profil pengguna menjalankan aplikasi server Jupyter default (satu instance 'sistem'), aplikasi GPU Tensorflow (pada instance), dan aplikasi data wrangler (pada ml.g4dn.xlarge instance), Studio menyuntikkan tiga alamat ml.m5.4xlarge IP.

  • ENI untuk setiap titik akhir VPC di seluruh subnet/Availability Zone VPC domain disuntikkan (empat IP untuk titik akhir VPC; ~ enam IP untuk layanan yang berpartisipasi SageMaker titik akhir VPC seperti S3, ECR, dan.) CloudWatch

  • Jika pekerjaan SageMaker pelatihan dan pemrosesan diluncurkan dengan konfigurasi VPC yang sama, setiap pekerjaan membutuhkan dua alamat IP per instance.

catatan

Pengaturan VPC untuk SageMaker Studio, seperti subnet dan lalu lintas khusus VPC, tidak secara otomatis diteruskan ke pekerjaan pelatihan/pemrosesan yang dibuat dari Studio. SageMaker Pengguna perlu mengatur pengaturan VPC dan isolasi jaringan seperlunya saat memanggil Create*Job API. Lihat Jalankan Pelatihan dan Kontainer Inferensi dalam Mode Bebas Internet untuk informasi lebih lanjut.

Skenario: Ilmuwan data menjalankan eksperimen pada dua jenis instance yang berbeda

Dalam skenario ini, asumsikan SageMaker domain diatur dalam mode lalu lintas khusus VPC. Ada titik akhir VPC yang disiapkan, seperti SageMaker API, SageMaker runtime, Amazon S3, dan Amazon ECR.

Seorang ilmuwan data menjalankan eksperimen pada notebook Studio, berjalan pada dua jenis instance yang berbeda (misalnya, ml.t3.medium danml.m5.large), dan meluncurkan dua aplikasi di setiap jenis instance.

Asumsikan ilmuwan data juga secara bersamaan menjalankan pekerjaan pelatihan dengan konfigurasi VPC yang sama pada sebuah ml.m5.4xlarge instance.

Untuk skenario ini, layanan SageMaker Studio akan menyuntikkan ENI sebagai berikut:

Tabel 1 — ENI disuntikkan ke VPC pelanggan untuk skenario eksperimen

Entitas

Target

ENI disuntikkan

Catatan

Tingkat

Target pemasangan EFS

Subnet VPC

Tiga

Tiga AZS/Subnet

Domain

Titik akhir VPC

Subnet VPC

30

Tiga AZS/Subnet dengan masing-masing 10 VPCE

Domain

Server Jupyter

Subnet VPC

One

Satu IP per instance

Pengguna

KernelGateway aplikasi

Subnet VPC

Dua

Satu IP per jenis instans

Pengguna

Pelatihan

Subnet VPC

Dua

Dua IP per contoh pelatihan

Lima IP per instance pelatihan jika EFA digunakan

Pengguna

Untuk skenario ini, ada total 38 IP yang dikonsumsi dalam VPC pelanggan di mana 33 IP dibagikan di seluruh pengguna di tingkat domain, dan lima IP dikonsumsi di tingkat pengguna. Jika Anda memiliki 100 pengguna dengan profil pengguna serupa di domain ini yang melakukan aktivitas ini secara bersamaan, maka Anda akan mengkonsumsi lima x 100 = 500 IP di tingkat pengguna, di atas konsumsi IP tingkat domain, yaitu 11 IP per subnet, dengan total 511 IP. Untuk skenario ini, Anda perlu membuat subnet VPC CIDR dengan/22 yang akan mengalokasikan 1024 alamat IP, dengan ruang untuk tumbuh.

Opsi jaringan VPC

Domain SageMaker Studio mendukung konfigurasi jaringan VPC dengan salah satu opsi berikut:

  • Hanya internet publik

  • Hanya VPC

Opsi khusus internet publik memungkinkan layanan SageMaker API untuk menggunakan internet publik melalui gateway internet yang disediakan di VPC, yang dikelola oleh akun SageMaker layanan, seperti yang terlihat pada diagram berikut:

Mode default: Akses internet melalui akun SageMaker layanan.

Mode default: Akses Internet melalui akun SageMaker layanan

Opsi hanya VPC menonaktifkan perutean internet dari VPC yang dikelola oleh akun SageMaker layanan, dan memungkinkan pelanggan untuk mengonfigurasi lalu lintas yang akan dirutekan melalui titik akhir VPC, seperti yang terlihat pada diagram berikut:

Mode khusus VPC: Tidak ada akses internet melalui akun SageMaker layanan.

Mode khusus VPC: Tidak ada akses internet melalui akun layanan SageMaker

Untuk pengaturan domain dalam mode khusus VPC, siapkan grup keamanan per profil pengguna untuk memastikan isolasi lengkap instance yang mendasarinya. Setiap domain dalam AWS akun dapat memiliki konfigurasi VPC dan mode internet sendiri. Untuk detail selengkapnya mengenai pengaturan konfigurasi jaringan VPC, lihat Connect SageMaker Studio Notebooks dalam VPC ke Sumber Daya Eksternal.

Batasan

  • Setelah domain SageMaker Studio dibuat, Anda tidak dapat mengaitkan subnet baru ke domain tersebut.

  • Jenis jaringan VPC (hanya internet publik atau hanya VPC) tidak dapat diubah.