VPC 内の SageMaker Studio を外部リソースConnect する - アマゾン SageMaker
インターネットとのデフォルトの通信インターネットとの VPC only 通信

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC 内の SageMaker Studio を外部リソースConnect する

次のトピックでは、VPC 内の Studio ノートブックを外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

SageMaker Studio は、が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています SageMaker。Amazon S3AWS などのサービスへのトラフィックは、 SageMaker API SageMaker とランタイムにアクセスするトラフィックと同様に、 CloudWatch インターネットゲートウェイを経由します。ドメインと Amazon EFS ボリューム間のトラフィックは、Studio へのオンボーディング、CreateDomainAPI を呼び出したときに指定した VPC を経由します。デフォルト設定は以下の図のようになります。

直接インターネットアクセスを使用した SageMaker Studio VPC の図

インターネットとの VPC only 通信

Studio SageMaker ノートブックにインターネットアクセスが提供されないようにするには、Studio にオンボードするとき、または CreateDomainAPIVPC only を呼び出すときにネットワークアクセスタイプを指定してインターネットアクセスを無効にします。その結果、VPC に SageMaker API とランタイムへのインターフェイスエンドポイント、インターネットにアクセスできる NAT ゲートウェイがあり、セキュリティグループでアウトバウンド接続が許可されている場合を除き、Studio ノートブックを実行することはできません。次の図は、VPC 専用モードを使用するための設定を示しています。

VPC 専用モードを使用した SageMaker Studio VPC の図

VPC only モードを使用するための要件

VpcOnly を選択する場合は、以下の手順を実行します。

  1. プライベートサブネットのみを使用する必要があります。VpcOnlyパブリックサブネットはモードでは使用できません。

  2. サブネットに必要な数の IP アドレスがあることを確認します。ユーザーごとに必要な IP アドレスの予想数は、ユースケースによって異なる場合があります。1 ユーザーあたり 2 ~ 4 個の IP アドレスを推奨します。Studioドメインの合計IPアドレス容量は、ドメインの作成時に指定された各サブネットで使用可能なIPアドレスの合計です。IP アドレスの推定使用量が、指定したサブネットの数でサポートされる容量を超えないようにしてください。さらに、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「IPv4 用の VPC とサブネットのサイズ設定」を参照してください。

    注記

    デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「ハードウェア専有インスタンス」を参照してください。

  3. 以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

  4. インターネットアクセスを許可する場合は、インターネットゲートウェイなどを経由してインターネットにアクセスできる NAT ゲートウェイを使用する必要があります。

  5. インターネットアクセスを許可しない場合は、インターフェイス VPC endpoints (AWS PrivateLink) を作成して、対応するサービス名を持つ以下のサービスへのアクセスを Studio に許可します。また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。

    • SageMaker API:com.amazonaws.region.sagemaker.api

    • SageMaker ランタイム:com.amazonaws.region.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.region.s3

    • SageMaker プロジェクトを使用するには:com.amazonaws.region.servicecatalog.

    • 必要なその他の AWS のサービス。

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs。 これは SageMaker Python SDK がからリモートトレーニングジョブのステータスを取得できるようにするために必要ですAmazon CloudWatch。

注記

VPC モードで顧客が作業する場合、 JupyterServer 会社のファイアウォールが原因となって SageMaker Studio または Studio 間に接続の問題が発生する場合があります KernelGateway。ファイアウォールの内側から SageMaker Studio を使用する際にこれらの問題が発生した場合は、次のチェックを行います。

  • Studio URL がネットワーク許可リストに含まれていることをチェックする。

  • WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。 KernelGateway アプリケーションが接続されている場合 InService、 JupyterServer に接続できない可能性があります KernelGateway。この問題は、システムターミナルが開いている場合にも発生します。

詳細情報