翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ネットワークの設定 (管理者用)
このセクションでは、管理者が Amazon SageMaker Studio Classic ノートブックと Amazon EMR クラスター間の通信を許可するようにネットワークを設定する方法について説明します。
ネットワーク手順は、 SageMaker Studio Classic と Amazon EMR がプライベート Amazon Virtual Private Cloud (VPC) 内にデプロイされているか、インターネット経由で通信しているかによって異なります。
デフォルトでは、 SageMaker Studio Classic はインターネットアクセス を持つ AWS マネージド VPC で実行されます。 https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-defaultインターネット接続を使用する場合、Studio Classic はインターネット経由で Amazon S3 バケットなどの AWS リソースにアクセスします。ただし、データとジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データとコンテナにインターネット経由でアクセスできないように SageMaker Studio Classic と Amazon EMR を設定することをお勧めします。リソースへのアクセスを制御したり、パブリックインターネットアクセスなしで SageMaker Studio Classic を実行したりするには、Amazon SageMaker ドメイン にオンボードするときにVPC onlyネットワークアクセスタイプを指定できます。このシナリオでは、 SageMaker Studio Classic はプライベート VPC エンドポイント を介して他の AWS サービスとの接続を確立します。 SageMaker Studio Classic を VPC only モードで設定する方法については、「VPC 内の SageMaker Studio Classic ノートブックを外部リソースに接続する」を参照してください。
最初の 2 つのセクションでは、 SageMaker Studio Classic と VPCs 内の Amazon EMR クラスター間のパブリックインターネットアクセスのない通信を確保する方法について説明します。最後のセクションでは、インターネット接続を使用して SageMaker Studio Classic と Amazon EMR 間の通信を確保する方法について説明します。インターネットにアクセスせずに SageMaker Studio Classic と Amazon EMR を接続する前に、Amazon Simple Storage Service (データストレージ)、Amazon CloudWatch (ログ記録とモニタリング)、および Amazon SageMaker Runtime (きめ細かなロールベースのアクセスコントロール (RBAC)) のエンドポイントを確立してください。
-
Amazon SageMaker Studio Classic クラスターと Amazon EMR クラスターが同じ AWS アカウントまたは異なるアカウントの異なる VPCs「」を参照してください Studio Classic と Amazon EMR が別々の VPCsにデプロイされる。
-
Amazon SageMaker Studio Classic と Amazon EMR クラスターが同じ VPC に設定されている場合は、「」を参照してくださいAmazon SageMaker Studio Classic と Amazon EMR が同じ VPC にある。
-
Amazon SageMaker Studio Classic と Amazon EMR クラスターをパブリックインターネット経由で接続することを選択した場合は、「」を参照してくださいAmazon SageMaker Studio Classic と Amazon EMR がパブリックインターネット経由で通信する。
Studio Classic と Amazon EMR が別々の VPCsにデプロイされる
異なる VPCs にデプロイされたときに SageMaker Studio Classic と Amazon EMR クラスター間の通信を許可するには:
-
まず VPC ピアリング接続を使用して VPC を接続します。
-
各 VPC のルーティングテーブルを更新して、Studio Classic サブネットと Amazon EMR サブネット間のネットワークトラフィックを双方向にルーティングします。
-
インバウンドおよびアウトバウンドのトラフィックを許可するようにセキュリティグループを設定します。
Amazon SageMaker Studio Classic と Amazon EMR クラスターが同じ AWS アカウント (単一アカウントのユースケース) にデプロイされているか、異なる AWS アカウント (クロスアカウントのユースケース) にデプロイされているかにかかわらず、手順は同様です。
-
VPC ピアリング
VPC ピアリング接続を作成して、2 つの VPCs (SageMaker Studio Classic と Amazon EMR) 間のネットワークを容易にします。
-
SageMaker Studio Classic アカウントから VPC ダッシュボードで、ピアリング接続 を選択し、ピアリング接続 を作成します。
-
Amazon EMR VPC 内で Studio Classic VPC をピアリングするリクエストを作成します。別の AWS アカウントでピアリングをリクエストするときは、「別の VPC を選択」で別のアカウントを選択して とピアリングします。
クロスアカウントピアリングの場合、管理者が Amazon EMR アカウントからのリクエストを受け入れる必要があります。
プライベートサブネットをピアリングする場合、VPC ピアリング接続レベルでプライベート IP DNS 解決を有効にする必要があります。
-
-
ルーティングテーブル
SageMaker Studio Classic サブネットと Amazon EMR サブネット間のネットワークトラフィックを双方向に送信します。
ピアリング接続を確立すると、管理者 (クロスアカウントアクセスの各アカウント) は、プライベートサブネットのルートテーブルにルートを追加して、ノートブックとクラスターサブネット間のトラフィックをルーティングできます。VPC ダッシュボードの各 VPC の [ルートテーブル] セクションに移動すると、これらのルートを定義できます。
Studio Classic VPCsubnetのルートテーブルの次の図は、Studio Classic アカウントからピアリング接続を介した Amazon EMR VPC IP 範囲 (ここでは
2.0.1.0/24) へのアウトバウンドルートの例を示しています。
次の Amazon EMR VPC サブネットのルートテーブルの図は、ピアリング接続を介した Amazon EMR VPC から Studio Classic VPC IP 範囲 (ここでは
10.0.20.0/24) へのリターンルートの例を示しています。
-
セキュリティグループ
最後に、Studio Classic ドメインのセキュリティグループはアウトバウンドトラフィックを許可し、Amazon EMR プライマリノードのセキュリティグループは、Studio Classic インスタンスセキュリティグループからの Apache Livy 、Hive 、または Presto TCP ポート (それぞれ
8998、10000、および8889) でのインバウンドトラフィックを許可する必要があります。Apache Livyは、REST インターフェイスを介して Amazon EMR クラスターとやり取りできるようにするサービスです。
次の図は、Studio Classic ノートブックが AWS CloudFormation テンプレートから Amazon EMR クラスターをプロビジョニングし、同じ AWS アカウント内の Amazon EMR クラスターに接続できるようにする SageMaker Amazon VPC セットアップの例を示しています。この図は、 CloudWatchVPC がインターネットにアクセスできない場合に、Amazon S3 や Amazon などのさまざまな AWS サービスに直接接続するために必要なエンドポイントをさらに説明しています。 VPCs あるいは、NAT ゲートウェイを使用して、複数の VPC のプライベートサブネット内のインスタンスが、インターネットにアクセスするときにインターネットゲートウェイから提供される単一のパブリック IP アドレスを共有できるようにする必要があります。
Amazon SageMaker Studio Classic と Amazon EMR が同じ VPC にある
Amazon SageMaker Studio Classic とクラスターが異なるサブネットにある場合は、各プライベートサブネットルートテーブルにルートを追加して、ノートブックとクラスターサブネット間のトラフィックをルーティングします。VPC ダッシュボードの各 VPC の [ルートテーブル] セクションに移動すると、これらのルートを定義できます。Amazon SageMaker Studio Classic と Amazon EMR クラスターを同じ VPC と同じサブネットにデプロイした場合、ノートブックとクラスター間でトラフィックをルーティングする必要はありません。
ルーティングテーブルを更新する必要があるかどうかにかかわらず、Studio Classic ドメインのセキュリティグループはアウトバウンドトラフィックを許可し、Amazon EMR プライマリノードのセキュリティグループは、Studio Classic インスタンスセキュリティグループからの Apache Livy、Hive、または Presto TCP ポート (それぞれ 8998、10000、および 8889) でのインバウンドトラフィックを許可する必要があります。Apache Livy
Amazon SageMaker Studio Classic と Amazon EMR がパブリックインターネット経由で通信する
デフォルトでは、 SageMaker Studio Classic は、 SageMaker ドメインに関連付けられた VPC 内のインターネットゲートウェイを介したインターネットとの通信を可能にするネットワークインターフェイスを提供します。パブリックインターネット経由で Amazon EMR に接続する場合、Amazon EMR クラスターは、インターネットゲートウェイからの Apache Livy、Hive、Presto TCP ポート (それぞれ 8998、10000、8889) のインバウンドトラフィックを受け入れる必要があります。Apache Livy
インバウンドトラフィックを許可するポートでは、セキュリティ脆弱性が生じる可能性があることに注意してください。カスタムセキュリティグループを注意深く確認して、脆弱性を最小限に抑えます。詳細については、「セキュリティグループを使用してネットワークトラフィックを制御する」を参照してください。
または、Amazon EMR での Kerberos を有効にし、プライベートサブネットにクラスターを設定し、、Network Load Balancer (NLB) を使用してクラスターにアクセスし、セキュリティグループを介してアクセス制御されている特定のポートのみを公開する方法の詳細なウォークスルーについては、「ウォークスルーとホワイトペーパー」を参照してください。
注記
パブリックインターネット経由で Apache Livy エンドポイントに接続する場合は、TLS を使用して Amazon SageMaker Studio Classic と Amazon EMR クラスター間の通信を保護することをお勧めします。
Apache Livy で HTTPS を設定する方法については、「Enabling HTTPS with Apache Livy」を参照してください。転送時の暗号化を有効にして Amazon EMR クラスターを設定する方法については、「Providing certificates for encrypting data in transit with Amazon EMR encryption」を参照してください。さらに、 で指定された証明書キーにアクセスするように Studio Classic を設定する必要がありますHTTPS 経由で Amazon EMR クラスターに接続する。
