SageMaker HyperPod prerequisiti - Amazon SageMaker
SageMaker HyperPod quoteConfigura utenti e ruoli IAM per SageMaker HyperPod utenti e risorseConfigura AWS Systems Manager ed esegui come per il controllo degli accessi degli utenti del cluster(Facoltativo) Configurazione SageMaker HyperPod con Amazon VPC(Facoltativo) Configurazione SageMaker HyperPod con Amazon FSx for Lustre

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SageMaker HyperPod prerequisiti

Le seguenti sezioni illustrano i prerequisiti da preparare prima di iniziare. SageMaker HyperPod

SageMaker HyperPod quote

Puoi creare SageMaker HyperPod cluster in base alle quote di utilizzo dei cluster nel tuo account. AWS

Importante

Per ulteriori informazioni sui SageMaker HyperPod prezzi, consulta la pagina SageMaker HyperPod prezzi e SageMaker i prezzi di Amazon.

Visualizza le SageMaker HyperPod quote Amazon utilizzando la console di AWS gestione

Cerca i valori predefiniti e applicati di una quota, nota anche come limite, per l'utilizzo del cluster, per SageMaker HyperPod cui viene utilizzata.

  1. Apri la Service Quotas console.

  2. Nel pannello di navigazione a sinistra, scegli Servizi AWS .

  3. Dall'elenco dei AWS servizi, cerca e seleziona Amazon SageMaker.

  4. Nell'elenco delle quote di servizio, puoi visualizzare il nome della quota di servizio, il valore applicato (se disponibile), la quota AWS predefinita e se il valore della quota è regolabile.

  5. Nella barra di ricerca, digita l'utilizzo del cluster. Questo mostra le quote per l'utilizzo del cluster, le quote applicate e le quote predefinite.

Per aumentare le SageMaker HyperPod quote Amazon utilizzando la console di AWS gestione

Aumenta le tue quote a livello di account o di risorsa.

  1. Per aumentare la quota di istanze per l'utilizzo del cluster, seleziona la quota che desideri aumentare.

  2. Se la quota è regolabile, puoi richiedere un aumento della quota a livello di account o di risorsa in base al valore elencato nella colonna Adattabilità.

  3. Per Aumentare il valore della quota, inserisci il nuovo valore. Questo valore deve essere maggiore di quello corrente.

  4. Scegli Richiedi.

  5. Per visualizzare le richieste in sospeso o risolte di recente nella console, vai alla scheda Cronologia delle richieste dalla pagina dei dettagli del servizio o scegli Dashboard dal pannello di navigazione. Per le richieste in sospeso, scegliere lo stato della richiesta per aprire la ricevuta della richiesta. Lo stato iniziale di una richiesta è Pending (In attesa). Dopo che lo stato è cambiato in Quota richiesta, vedrai il numero del caso con AWS Support. Scegli il numero del caso per aprire il ticket della tua richiesta.

Per ulteriori informazioni sulla richiesta di un aumento della quota in generale, consulta la sezione Richiesta di un aumento della quota nella Service AWS Quotas User Guide.

Configura utenti e ruoli IAM per SageMaker HyperPod utenti e risorse

Importante

Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L'autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic taggano automaticamente tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'aggiunta di tag, si possono verificare errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta Fornire le autorizzazioni per l' SageMakeretichettatura delle risorse.

AWS Policy gestite per Amazon SageMakerche danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.

Esistono tre livelli principali di SageMaker HyperPod utenti: amministratore dell'AWS account, amministratori del cluster (come gli architetti del cloud) e utenti del cluster (come gli esperti di machine learning). L'amministratore AWS dell'account deve configurare gli utenti IAM allegando le autorizzazioni o le politiche corrette per gli amministratori del cluster. Per gli amministratori dei cluster, l'amministratore dell' AWS account deve anche creare ruoli IAM che gli amministratori del cluster possano utilizzare affinché SageMaker HyperPod i cluster si assumano per l'esecuzione e la comunicazione con AWS le risorse necessarie, come Amazon S3 CloudWatch, Amazon e (SSM). AWS Systems Manager Infine, gli amministratori del cluster possono concedere agli utenti del cluster le autorizzazioni per accedere ai cluster tramite SSM Agent. SageMaker HyperPod

Configura gli utenti IAM per gli amministratori del cluster

Gli amministratori dei cluster sono architetti del cloud che gestiscono e configurano SageMaker HyperPod i cluster, eseguendo le attività in essi contenute. Operare SageMaker HyperPod Il seguente esempio di policy include il set minimo di autorizzazioni per gli amministratori del cluster per eseguire le API SageMaker HyperPod principali e gestire qualsiasi cluster all'interno dell'account. AWS 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateCluster",
                "sagemaker:ListClusters"
            ],
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteCluster",
                "sagemaker:DescribeCluster",
                "sagemaker:DescribeClusterNode",
                "sagemaker:ListClusterNodes",
                "sagemaker:UpdateCluster",
                "sagemaker:UpdateClusterSoftware"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:cluster/*"    
        }
    ]
}

Per concedere le autorizzazioni di accesso alla SageMaker console, utilizza la policy di esempio fornita in Autorizzazioni richieste per utilizzare la console Amazon SageMaker .

Per concedere le autorizzazioni di accesso alla console SSM, utilizza la politica di esempio fornita in Uso della AWS Systems Manager console nella Guida per l'utente. AWS Systems Manager

Potresti anche prendere in considerazione l'idea di allegare la AmazonSageMakerFullAccesspolicy agli utenti IAM; tuttavia, tieni presente che la AmazonSageMakerFullAccess policy concede le autorizzazioni per tutte le chiamate, le funzionalità e le SageMaker risorse dell'API.

Per indicazioni sugli utenti IAM in generale, consulta Utenti IAM nella Guida per l'AWS Identity and Access Management utente.

Configura gli utenti IAM per gli utenti del cluster

Gli utenti del cluster sono ingegneri di machine learning che accedono ed eseguono carichi di lavoro ML su nodi SageMaker HyperPod del cluster forniti dagli amministratori del cluster. Agli utenti del cluster presenti nel tuo AWS account, devi concedere l'autorizzazione "ssm:StartSession" per eseguire il comando SSM. start-session Di seguito è riportato un esempio di policy per gli utenti IAM.

Autorizzazioni IAM per tutte le risorse

Aggiungi la seguente policy per concedere a un utente IAM le autorizzazioni di sessione SSM per connettersi a un target SSM per tutte le risorse. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"    
        }
    ]
}

Ruolo IAM per SageMaker HyperPod

SageMaker HyperPod Affinché i cluster funzionino e comunichino con AWS le risorse necessarie, è necessario collegare i gruppi di istanze gestite AmazonSageMakerClusterInstanceRolePolicyai gruppi di istanze del cluster. In base AWS a questa politica gestita, i gruppi di istanze del SageMaker HyperPod cluster assumono il ruolo di comunicare con Amazon CloudWatch, Amazon S3 e AWS Systems Manager Agent (agente SSM). Questa policy gestita è il requisito minimo per il corretto funzionamento SageMaker HyperPod delle risorse, quindi è necessario fornire un ruolo IAM con questa policy a tutti i gruppi di istanze. AmazonSageMakerClusterInstanceRolePolicyHa le seguenti autorizzazioni:

  • log - Necessario per consentire la pubblicazione SageMaker HyperPod di flussi di log.

  • cloudwatch: necessario per consentire la pubblicazione di SageMaker HyperPod metriche. CloudWatch

  • s3 - Necessario per consentire SageMaker HyperPod di elencare e recuperare file da un bucket Amazon S3 nel tuo account con il prefisso. sagemaker-

  • ssmmessages - Necessario per consentire all'agente SSM di comunicare con i servizi di backend SSM. I responsabili possono utilizzare SSM Agent per creare e aprire canali di controllo e dati. SageMaker avvia e gestisce l'agente SSM quando avvia un'istanza del cluster.

Suggerimento

A seconda delle tue preferenze nella progettazione del livello di autorizzazioni per più gruppi di istanze, puoi anche configurare più ruoli IAM e collegarli a diversi gruppi di istanze. Quando configuri l'accesso utente del cluster a nodi specifici del SageMaker HyperPod cluster, i nodi assumono il ruolo con le autorizzazioni selettive assegnate manualmente.

Quando, in qualità di amministratore AWS dell'account o amministratore del cluster, configuri l'accesso degli utenti del cluster a nodi specifici del cluster AWS Systems Manager(vedi ancheConfigura AWS Systems Manager ed esegui come per il controllo degli accessi degli utenti del cluster), i nodi del cluster assumono il ruolo con le autorizzazioni selettive assegnate manualmente.

Dopo aver creato i ruoli IAM, prendi nota dei loro nomi e ARN. I ruoli vengono utilizzati durante la creazione di un SageMaker HyperPod cluster, concedendo le autorizzazioni corrette richieste a ciascun gruppo di istanze per comunicare con le risorse necessarie. AWS

(Facoltativo) Autorizzazioni aggiuntive per l'utilizzo SageMaker HyperPod con Amazon Virtual Private Cloud

Se desideri utilizzare il tuo Amazon Virtual Private Cloud (VPC) al posto del SageMaker VPC predefinito, devi aggiungere le seguenti autorizzazioni aggiuntive al ruolo IAM per. SageMaker HyperPod

{
    "Effect": "Allow",
    "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DetachNetworkInterface"
    ],
    "Resource": "*"
}
{
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": [
        "arn:aws:ec2:*:*:network-interface/*"
    ]
}

L'elenco seguente riporta le autorizzazioni necessarie per abilitare le funzionalità SageMaker HyperPod del cluster quando configuri il cluster con il tuo Amazon VPC personale.

  • Le seguenti ec2 autorizzazioni sono necessarie per abilitare la configurazione di un SageMaker HyperPod cluster con il tuo VPC.

    {
    "Effect": "Allow",
    "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups"
    ],
    "Resource": "*"
}

  • È necessaria la seguente ec2 autorizzazione per abilitare la SageMaker HyperPod funzionalità di ripristino automatico.

    {
    "Effect": "Allow",
    "Action": [
        "ec2:DetachNetworkInterface"
    ],
    "Resource": "*"
}

  • La seguente ec2 autorizzazione consente di SageMaker HyperPod creare tag sulle interfacce di rete all'interno del tuo account.

    {
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": [
        "arn:aws:ec2:*:*:network-interface/*"
    ]
}

Configura AWS Systems Manager ed esegui come per il controllo degli accessi degli utenti del cluster

SageMaker HyperPod DLAMIviene fornito con AWS Systems Manager(SSM) pronto all'uso per aiutarti a gestire l'accesso ai gruppi di istanze SageMaker HyperPod del cluster. Questa sezione descrive come creare utenti del sistema operativo (OS) nei SageMaker HyperPod cluster e associarli a utenti e ruoli IAM. Ciò è utile per autenticare le sessioni SSM utilizzando le credenziali dell'account utente del sistema operativo.

Abilita Run As nel tuo account AWS

In qualità di amministratore AWS dell'account o amministratore del cloud, puoi gestire l'accesso ai SageMaker HyperPod cluster a livello di ruolo o utente IAM utilizzando la funzionalità Run As in SSM. Con questa funzionalità, puoi avviare ogni sessione SSM utilizzando l'utente del sistema operativo associato al ruolo o all'utente IAM.

Per abilitare RunAs nel tuo AWS account, segui la procedura descritta in Attivare il supporto RunAs per i nodi gestiti Linux e macOS. Se hai già creato utenti del sistema operativo nel tuo cluster, assicurati di associarli a ruoli o utenti IAM taggandoli come indicato nell'opzione 2 del passaggio 5 in Attivare il supporto RunAs per i nodi gestiti Linux e macOS.

Configurare gli utenti Linux utilizzando un file system Amazon FSx collegato SageMaker HyperPod come spazio condiviso

Per completare la configurazione degli utenti del cluster per accedere a un HyperPod cluster tramite SSM e uno spazio condiviso, è necessario configurare uno script per aggiungere utenti durante la preparazione degli script di configurazione del ciclo di vita per la creazione di un cluster. HyperPod Nel GitHub repository introdotto nella sezioneInizia con gli script del ciclo di vita di base forniti da HyperPod, c'è uno script denominato add_users.sh che legge i dati degli utenti da. shared_users.txt Tieni presente che dovrai caricare i due file come parte della preparazione e del caricamento degli script del ciclo di vita su un bucket S3, come illustrato nella sezione e nella sezione. Guida introduttiva con SageMaker HyperPod Configura un ambiente multiutente tramite lo spazio condiviso Amazon FSx

(Facoltativo) Configurazione SageMaker HyperPod con Amazon VPC

Se non fornisci un VPC, SageMaker HyperPod utilizza il SageMaker VPC predefinito. Per configurare un SageMaker HyperPod cluster con il tuo Amazon VPC, controlla i seguenti elementi.

  • Se desideri utilizzare il tuo VPC per SageMaker HyperPod connetterti alle AWS risorse del tuo VPC, devi fornire il nome VPC, l'ID, l'ID di sottorete e l'ID del gruppo Regione AWS di sicurezza al momento della creazione. SageMaker HyperPod Se desideri creare un nuovo VPC, consulta Creare un VPC predefinito o Creare un VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

  • È importante creare tutte le risorse nella stessa zona di disponibilità Regione AWS e configurare le regole dei gruppi di sicurezza per consentire la connessione tra le risorse nel VPC. Ad esempio, supponiamo di creare un VPC in. us-west-2 È necessario creare una sottorete in questo VPC nella us-west-2a zona di disponibilità e creare un gruppo di sicurezza che consenta tutto il traffico in entrata (in entrata) dall'interno del gruppo di sicurezza e tutto il traffico in uscita.

  • È inoltre necessario assicurarsi che il VPC sia connesso a Amazon Simple Storage Service (S3). Se configuri un VPC, i gruppi di SageMaker HyperPod istanze non hanno accesso a Internet e pertanto non possono connettersi ad Amazon S3 per accedere o archiviare file come script del ciclo di vita, dati di addestramento e artefatti del modello. Per stabilire una connessione con Amazon S3 mentre usi VPC, devi creare un endpoint VPC. Creando un endpoint VPC, puoi consentire ai gruppi di SageMaker HyperPod istanze di accedere ai bucket S3 all'interno dello stesso VPC. Ti consigliamo anche di creare una policy personalizzata che consenta solo alle richieste provenienti dal tuo VPC privato di accedere ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3 nella AWS PrivateLink Guida.

  • Se desideri creare un HyperPod cluster con istanze abilitate per EFA, assicurati di configurare un gruppo di sicurezza per consentire tutto il traffico in entrata e in uscita da e verso il gruppo di sicurezza stesso. Per ulteriori informazioni, consulta la Fase 1: Preparare un gruppo di sicurezza compatibile con EFA nella Guida per l'utente di Amazon EC2.

(Facoltativo) Configurazione SageMaker HyperPod con Amazon FSx for Lustre

Per iniziare a utilizzare SageMaker HyperPod e mappare i percorsi dei dati tra il cluster e il sistema file FSx for Lustre, selezionate uno dei formati supportati da. Regioni AWS SageMaker HyperPod Dopo aver scelto quella Regione AWS che preferite, dovreste anche determinare quale zona di disponibilità (AZ) utilizzare. Se si utilizzano nodi di SageMaker HyperPod calcolo in AZ diversi da quelli in cui il sistema file FSx for Lustre è configurato all'interno degli Regione AWS stessi, è possibile che si verifichino costi di comunicazione e di rete. Si consiglia di utilizzare la stessa AZ fisica utilizzata per l'account di SageMaker HyperPod servizio per evitare il traffico cross-AZ tra SageMaker HyperPod i cluster e il sistema file FSx for Lustre. Inoltre, assicurati di averlo configurato con il tuo VPC. Se desideri utilizzare Amazon FSx come file system principale per lo storage, devi configurare i SageMaker HyperPod cluster con VPC.