の Studio ノートブックVPCを外部リソースに接続する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Studio ノートブックVPCを外部リソースに接続する

次のトピックでは、 の Studio Notebook をVPC外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

デフォルトでは、 SageMaker Studio は によってVPC管理される を介してインターネットとの通信を許可するネットワークインターフェイスを提供します SageMaker。Amazon S3 や などのサービスへの AWS トラフィックは CloudWatch、インターネットゲートウェイを通過します。および SageMaker ランタイムにアクセスする SageMaker APIトラフィックは、インターネットゲートウェイも経由します。ドメインと Amazon EFSボリューム間のトラフィックは、Studio にオンボーディングしたとき、または を呼び出したときに識別VPCした CreateDomain を通過しますAPI。デフォルト設定は以下の図のようになります。

SageMaker 直接インターネットアクセスの使用状況を示すスタジオVPC図。

インターネットとの VPC only 通信

Studio ノートブックへのインターネットアクセス SageMaker の提供を停止するには、VPC onlyネットワークアクセスタイプを指定してインターネットアクセスを無効にします。Studio にオンボードするとき、または CreateDomain を呼び出すときに、このネットワークアクセスタイプを指定しますAPI。そのため、以下の場合を除き、Studio ノートブックを実行することはできません。

  • VPC には、 SageMaker APIおよび ランタイムへのインターフェイスエンドポイント、またはインターネットアクセスを備えたNATゲートウェイがあります。

  • セキュリティグループがアウトバウンド接続を許可する

次の図は、 VPC専用モードを使用するための設定を示しています。

SageMaker VPCのみモードの使用を示すスタジオVPC図。

VPC only モードを使用するための要件

VpcOnly を選択した場合は、次の手順に従います。

  1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、VpcOnly モードでは使用できません。

  2. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。Studio ドメインの合計 IP アドレス数は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。IP アドレスの使用量が、指定したサブネットの数でサポートされている容量を超えないようにしてください。さらに、多くのアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性に役立ちます。詳細については、VPC「」および「」のサブネットのサイズ設定IPv4を参照してください。

    注記

    インスタンスが共有ハードウェアVPCで実行されるデフォルトのテナンシーを持つサブネットのみを設定できます。のテナンシー属性の詳細についてはVPCs、「専有インスタンス」を参照してください。

  3. 警告

    VpcOnly モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許容されたインバウンドルール設定により、 へのアクセス権を持つユーザーが、認証なしで他のユーザープロファイルのアプリケーションとやり取りVPCできるようになります。

    以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

    ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可する場合、ドメイン内のすべてのアプリケーションは、ドメイン内の他のすべてのアプリケーションにアクセスできます。

  4. インターネットアクセスを許可する場合は、インターネットNATゲートウェイ など、インターネットにアクセスできるゲートウェイを使用する必要があります。

  5. インターネットアクセスを削除するには、インターフェイスVPCエンドポイント () を作成して、Studio が対応するサービス名を使用して次のサービスにアクセスできるようにします。AWS PrivateLinkまた、 のセキュリティグループをこれらのエンドポイントVPCに関連付ける必要があります。

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker ランタイム: com.amazonaws.region.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.region.s3

    • SageMaker プロジェクトを使用するには: com.amazonaws.region.servicecatalog

    • 必要なその他の AWS サービス。

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPCエンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 これは、 SageMaker Python SDKが からリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

注記

VPC モード内で作業している顧客の場合、会社のファイアウォールは SageMaker Studio または JupyterServer と 間の接続問題を引き起こす可能性があります KernelGateway。Studio をファイアウォールの背後 SageMaker から使用する場合、これらの問題のいずれかが発生した場合は、次のチェックを行います。

  • Studio URLがネットワーク許可リストにあることを確認します。

  • WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。 KernelGateway アプリケーションが の場合 InService、 に接続できない JupyterServer 場合があります KernelGateway。この問題は、システムターミナルが開いている場合にも発生します。