의 Amazon SageMaker StudioVPC를 외부 리소스에 연결

중요

2023년 11월 30일부터 이전 Amazon SageMaker Studio 환경이 이제 Amazon SageMaker Studio Classic으로 명명되었습니다. 다음 섹션은 업데이트된 Studio 환경 사용에 따라 다릅니다. Studio Classic 애플리케이션 사용에 대한 자세한 내용은 섹션을 참조하세요Amazon SageMaker Studio Classic.

다음 주제에서는 의 Amazon SageMaker Studio를 외부 리소스에 연결하는 방법에 VPC 대한 정보를 제공합니다.

인터넷과의 기본 통신

기본적으로 Amazon SageMaker Studio는 에서 VPC 관리하는 를 통해 인터넷과 통신할 수 있는 네트워크 인터페이스를 제공합니다 SageMaker. Amazon S3와 같은 AWS 서비스로의 트래픽API은 및 SageMaker 런타임에 액세스하는 트래픽과 마찬가지로 인터넷 게이트웨이를 CloudWatch SageMaker 통과합니다. 도메인과 Amazon EFS 볼륨 간의 트래픽은 도메인에 온보딩하거나 를 호출할 때 VPC 지정한 CreateDomain 를 거칩니다API.

인터넷과의 VPC only통신

SageMaker 가 Studio에 인터넷 액세스를 제공하지 못하도록 Studio에 온보딩하거나 CreateDomain 를 호출할 때 VPC only 네트워크 액세스 유형을 지정하여 인터넷 액세스를 비활성화할 수 있습니다API. 따라서 에 및 런타임에 대한 인터페이스 엔드포인트 또는 인터넷 액세스가 가능한 NAT 게이트웨이VPC가 있고 보안 그룹이 아웃바운드 연결을 허용하지 않는 한 Studio를 SageMaker API 실행할 수 없습니다.

참고

네트워크 액세스 유형은 도메인 생성 후 update-domain 명령의 --app-network-access-type 파라미터를 사용하여 변경할 수 있습니다.

VPC only 모드 사용 요구 사항

VpcOnly를 선택했다면, 다음 단계를 따르세요.

1. 프라이빗 서브넷만 사용해야 합니다. VpcOnly 모드에서는 퍼블릭 서브넷을 사용할 수 없습니다.

2. 서브넷에 필요한 수의 IP 주소가 있는지 확인하세요. 사용자당 필요한 예상 IP 주소 수는 사용 사례에 따라 달라질 수 있습니다. 사용자당 2~4개의 IP 주소를 사용하는 것이 좋습니다. 도메인의 총 IP 주소 용량은 도메인이 생성될 때 제공된 각 서브넷에 대해 사용 가능한 IP 주소의 합계입니다. 예상 IP 주소 사용량이 제공하는 서브넷 수가 지원하는 용량을 초과하지 않는지 확인하세요. 또한 여러 가용 영역에 분산된 서브넷을 사용하면 IP 주소 가용성을 높일 수 있습니다. 자세한 내용은 VPC 및 서브넷 크기 조정을 참조하세요IPv4.

   참고

   인스턴스가 공유 하드웨어에서 실행되는 기본 테넌시가 있는 서브넷만 구성할 수 VPC 있습니다. 의 테넌시 속성에 대한 자세한 내용은 전용 인스턴스 를 VPCs참조하세요. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

3. 주의

   VpcOnly 모드를 사용하는 경우 도메인의 네트워킹 구성을 부분적으로 소유하게 됩니다. 보안 그룹 규칙이 제공하는 인바운드 및 아웃바운드 액세스에 최소 권한을 적용하는 보안 모범 사례를 사용하는 것이 좋습니다. 과도하게 허용되는 인바운드 규칙 구성을 사용하면 에 액세스할 수 있는 사용자가 인증 없이 다른 사용자 프로필의 애플리케이션과 상호 작용VPC할 수 있습니다.

   다음 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 하나 이상의 보안 그룹을 설정합니다.

   • 도메인과 Amazon EFS 볼륨 간의NFS TCP 포트 2049 트래픽.

   • TCP 보안 그룹 내의 트래픽입니다. 이는 간의 연결에 필요합니다.Jupyter Server 애플리케이션 및 Kernel Gateway 애플리케이션. 8192-65535 범위 내 최소 포트에 대한 액세스를 허용해야 합니다.

   각 사용자 프로필에 대해 고유한 보안 그룹을 만들고 동일한 보안 그룹의 인바운드 액세스를 추가하세요. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체로의 인바운드 액세스를 허용하면 도메인의 모든 애플리케이션이 도메인의 다른 모든 애플리케이션에 액세스할 수 있게 됩니다.

4. 인터넷 액세스를 허용하려면 인터넷 NAT 게이트웨이 를 통해 인터넷에 액세스할 수 있는 게이트웨이를 사용해야 합니다.

5. 인터넷 액세스를 허용하지 않으려면 Studio가 해당 서비스 이름으로 다음 서비스에 액세스할 수 있도록 인터페이스 VPC 엔드포인트()를 생성합니다.AWS PrivateLink 또한 의 보안 그룹을 이러한 엔드포인트VPC와 연결해야 합니다.

   • SageMaker API : com.amazonaws.region.sagemaker.api.

   • SageMaker 런타임: com.amazonaws.region.sagemaker.runtime. 이는 Studio 노트북을 실행하고 모델을 훈련 및 호스팅하는 데 필요합니다.

   • Amazon S3: com.amazonaws.region.s3.

   • SageMaker 프로젝트: com.amazonaws.region.servicecatalog.

   • SageMaker 스튜디오: aws.sagemaker.region.studio.

   • 필요한 기타 AWS 서비스.

   SageMaker PythonSDK을 사용하여 원격 훈련 작업을 실행하는 경우 다음 Amazon VPC 엔드포인트도 생성해야 합니다.

   • AWS Security Token Service: com.amazonaws.region.sts

   • Amazon CloudWatch: com.amazonaws.region.logs. 이는 SageMaker Python이 에서 원격 훈련 작업 상태를 가져올 수 있도록 허용하는 SDK 데 필요합니다 Amazon CloudWatch.

6. 온프레미스 네트워크에서 VpcOnly 모드에서 도메인을 사용하는 경우 브라우저에서 Studio를 실행하는 호스트 네트워크와 대상 Amazon 에서 프라이빗 연결을 설정합니다VPC. 이는 Studio UI가 임시 AWS 자격 증명이 있는 API 호출을 사용하여 AWS 엔드포인트를 호출하기 때문에 필요합니다. 이러한 임시 자격 증명은 로깅된 사용자 프로필의 실행 역할과 연결됩니다. 도메인이 온프레미스 네트워크의 VpcOnly 모드로 구성된 경우 실행 역할은 구성된 Amazon VPC 엔드포인트를 통해서만 AWS 서비스 API 호출 실행을 강제하는 IAM 정책 조건을 정의할 수 있습니다. 이로 인해 Studio UI에서 실행되는 API 호출이 실패합니다. AWS Site-to-Site VPN 또는 AWS Direct Connect연결을 사용하여 문제를 해결하는 것이 좋습니다.

참고

VPC 모드 내에서 작업하는 고객의 경우 회사 방화벽으로 인해 Studio 또는 애플리케이션 연결 문제가 발생할 수 있습니다. 방화벽 뒤에서 Studio를 사용할 때 이러한 문제 중 하나가 발생하는 경우 다음을 확인합니다.

• StudioURL와 URLs 모든 애플리케이션의 가 네트워크의 허용 목록에 있는지 확인합니다. 예:

  *.studio.region.sagemaker.aws
  *.console.aws.a2z.com

• 웹 소켓 연결이 차단되지 않았는지 확인합니다. Jupyter는 웹 소켓을 사용합니다.

자세한 정보

• 의 보안 그룹 VPC

• SageMaker 내 에 연결 VPC

• VPC 퍼블릭 및 프라이빗 서브넷 포함(NAT)