Gestione di rete - SageMaker Best practice per l'amministrazione di Studio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di rete

Per configurare il dominio SageMaker Studio, devi specificare la rete VPC, le sottoreti e i gruppi di sicurezza. Quando specificate il VPC e le sottoreti, assicuratevi di allocare gli IP tenendo conto del volume di utilizzo e della crescita prevista, come illustrato nelle sezioni seguenti.

Pianificazione della rete VPC

Le sottoreti VPC del cliente associate al dominio SageMaker Studio devono essere create con l'intervallo CIDR (Classless Inter-domain Routing) appropriato, in base ai seguenti fattori:

  • Numero di utenti.

  • Numero di app per utente.

  • Numero di tipi di istanze univoci per utente.

  • Numero medio di istanze di formazione per utente.

  • Percentuale di crescita prevista.

SageMaker e AWS i servizi partecipanti inseriscono interfacce di rete elastiche (ENI) nella sottorete VPC del cliente per i seguenti casi d'uso:

  • Amazon EFS inietta un ENI per un target di montaggio EFS per il SageMaker dominio (un IP per sottorete/zona di disponibilità collegata al dominio). SageMaker

  • SageMaker Studio inietta un ENI per ogni istanza univoca utilizzata da un profilo utente o da uno spazio condiviso. Per esempio:

    • Se un profilo utente esegue un'app server Jupyter predefinita (un'istanza di «sistema»), un'app Data Science e un'app Base Python (entrambe in esecuzione su un'ml.t3.mediumistanza), Studio inserisce due indirizzi IP.

    • Se un profilo utente esegue un'app server Jupyter predefinita (un'istanza di «sistema»), un'app GPU Tensorflow (su un'ml.g4dn.xlargeistanza) e un'app data wrangler (su un'ml.m5.4xlargeistanza), Studio inietta tre indirizzi IP.

  • Viene inserito un ENI per ogni endpoint VPC nelle sottoreti VPC del dominio/zone di disponibilità (quattro IP per gli endpoint VPC; ~ sei IP per gli SageMaker endpoint VPC dei servizi partecipanti come S3, ECR e.) CloudWatch

  • Se i job di SageMaker formazione ed elaborazione vengono avviati con la stessa configurazione VPC, ogni job necessita di due indirizzi IP per istanza.

Nota

Le impostazioni VPC per SageMaker Studio, come le sottoreti e il traffico solo VPC, non vengono trasferite automaticamente ai processi di formazione/elaborazione creati da Studio. SageMaker L'utente deve configurare le impostazioni VPC e l'isolamento della rete, se necessario, quando chiama le API Create*Job. Per ulteriori informazioni, consulta Run Training and Inference Containers in modalità senza Internet.

Scenario: Data scientist esegue esperimenti su due diversi tipi di istanze

In questo scenario, supponiamo che un SageMaker dominio sia configurato in modalità traffico solo VPC. Sono configurati endpoint VPC, come SageMaker API, SageMaker runtime, Amazon S3 e Amazon ECR.

Un data scientist sta eseguendo esperimenti sui notebook Studio, eseguendoli su due diversi tipi di istanza (ad esempio ml.t3.medium eml.m5.large) e avviando due app per ogni tipo di istanza.

Supponiamo che il data scientist esegua contemporaneamente un processo di formazione con la stessa configurazione VPC su un'ml.m5.4xlargeistanza.

In questo scenario, il servizio SageMaker Studio inietterà eNI nel modo seguente:

Tabella 1 — ENI inseriti nel VPC del cliente per uno scenario di sperimentazione

Entità

Target

ENI iniettato

Note

Livello

Obiettivo di montaggio EFS

Sottoreti VPC

Tre

Tre AZS/sottoreti

Domain

Endpoint VPC

Sottoreti VPC

30

Tre AZS/sottoreti con 10 VPCE ciascuna

Domain

Server Jupyter

Sottorete VPC

One

Un IP per istanza

Utente

KernelGateway app

Sottorete VPC

Due

Un IP per tipo di istanza

Utente

Addestramento

Sottorete VPC

Due

Due IP per istanza di addestramento

Cinque IP per istanza di formazione se si utilizza EFA

Utente

In questo scenario, ci sono un totale di 38 IP utilizzati nel VPC del cliente, di cui 33 IP vengono condivisi tra gli utenti a livello di dominio e cinque IP vengono utilizzati a livello di utente. Se hai 100 utenti con profili utente simili in questo dominio che eseguono queste attività contemporaneamente, utilizzerai cinque x 100 = 500 IP a livello utente, oltre al consumo IP a livello di dominio, che è di 11 IP per sottorete, per un totale di 511 IP. Per questo scenario, è necessario creare la sottorete VPC CIDR con /22 che allocherà 1024 indirizzi IP, con margine di crescita.

Opzioni di rete VPC

Un dominio SageMaker Studio supporta la configurazione della rete VPC con una delle seguenti opzioni:

  • Solo Internet pubblico

  • Solo VPC

L'opzione Public Internet only consente ai servizi SageMaker API di utilizzare la rete Internet pubblica tramite il gateway Internet fornito nel VPC, gestito dall'account SageMaker del servizio, come illustrato nel diagramma seguente:

Modalità predefinita: accesso a Internet tramite SageMaker account di servizio.

Modalità predefinita: accesso a Internet tramite account SageMaker di servizio

L'opzione solo VPC disabilita il routing Internet dal VPC gestito dall'account di SageMaker servizio e consente al cliente di configurare il traffico da instradare sugli endpoint VPC, come illustrato nel diagramma seguente:

Modalità solo VPC: nessun accesso a Internet tramite l'account di SageMaker servizio.

Modalità solo VPC: nessun accesso a Internet tramite SageMaker account di servizio

Per un dominio configurato solo in modalità VPC, configura un gruppo di sicurezza per profilo utente per garantire l'isolamento completo delle istanze sottostanti. Ogni dominio di un AWS account può avere la propria configurazione VPC e la propria modalità Internet. Per maggiori dettagli sulla configurazione della rete VPC, consulta Connect SageMaker Studio Notebooks in un VPC a risorse esterne.

Limitazioni

  • Dopo aver creato un dominio SageMaker Studio, non è possibile associare nuove sottoreti al dominio.

  • Il tipo di rete VPC (solo Internet pubblico o solo VPC) non può essere modificato.