VPC 内の SageMaker Studio ノートブックを外部リソースに接続する - Amazon SageMaker

VPC 内の SageMaker Studio ノートブックを外部リソースに接続する

次のトピックでは、VPC 内の Studio ノートブックを外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

SageMaker Studio は、SageMaker が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています。Amazon S3 や CloudWatch などの AWS のサービスへのトラフィックは、SageMaker API と SageMaker ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイを経由します。ドメインと Amazon EFS ボリューム間のトラフィックは、Studio にオンボーディングしたときに指定した VPC 、または CreateDomain API を呼び出したときに指定した VPC を経由します。デフォルト設定は以下の図のようになります。


                    直接インターネットアクセスを使用した SageMaker Studio VPC の図

インターネットとの VPC only 通信

SageMaker から Studio ノートブックにインターネットアクセスが提供されないようにするには、Studio にオンボードするとき、または CreateDomain API を呼び出すときに VPC only ネットワークアクセスタイプを指定して、インターネットアクセスを無効にします。そうすると、VPC に SageMaker API とランタイムエンドポイント (インターネットアクセスできる NAT ゲートウェイ) があり、セキュリティグループでアウトバウンド接続を許可する場合を除き、Studio ノートブックを実行できなくなります。次の図は、VPC 専用モードを使用するための設定を示しています。


                    VPC 専用モードを使用した SageMaker Studio VPC の図

VPC only モードを使用するための要件

VpcOnly を選択する場合は、以下の手順を実行します。

  1. サブネットに必要な数のIPアドレスがあることを確認してください。ユーザーごとに必要になるIPアドレスの予想数は、ユースケースによって異なります。ユーザーごとに 2 ~ 4 つの IP アドレスを使用することを推奨します。Studioドメインの合計IPアドレス容量は、ドメインの作成時に提供された各サブネットで使用可能なIPアドレスの合計です。推定IPアドレスの使用量が、提供するサブネットの数でサポートされる容量を超えないようにしてください。さらに、多くのアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「IPv4 用の VPC とサブネットのサイズ設定」を参照してください。

    注記

    デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「ハードウェア専有インスタンス」を参照してください。

  2. 以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

  3. インターネットアクセスを許可する場合は、インターネットゲートウェイなどを経由してインターネットにアクセスできる NAT ゲートウェイを使用する必要があります。

  4. インターネットアクセスを許可しない場合は、インターフェイス VPC エンドポイントを作成し (AWS PrivateLink)、対応するサービス名を持つ以下のサービスへのアクセスを Studio に許可します。また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。

    • SageMaker API : com.amazonaws.us-east-1.sagemaker.api

    • SageMaker ランタイム: com.amazonaws.us-east-1.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.us-east-1.s3

    • SageMaker プロジェクトを使用する場合: com.amazonaws.us-east-1.servicecatalog

    • 必要なその他の AWS のサービス。

注記

VPC モードで顧客が作業する場合、会社のファイアウォールが原因となって SageMaker Studio または JupyterServer と KernelGateway 間に接続の問題が発生する場合があります。ファイアウォールの内側から SageMaker Studio を使用する際にこれらの問題が発生した場合は、次のチェックを行います。

  • Studio URL がネットワーク許可リストに含まれていることをチェックする。

  • WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。KernelGateway アプリケーションが InService になっていると、JupyterServer が KernelGateway に接続できない場合があります。この問題は、システムターミナルが開いている場合にも発生します。