네트워크 관리 - SageMaker 스튜디오 관리 모범 사례
VPC 네트워크 계획VPC 네트워크 옵션 제한 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

네트워크 관리

SageMaker Studio 도메인을 설정하려면 VPC 네트워크, 서브넷, 보안 그룹을 지정해야 합니다. VPC와 서브넷을 지정할 때는 다음 섹션에서 설명하는 사용량 및 예상 증가량을 고려하여 IP를 할당해야 합니다.

VPC 네트워크 계획

SageMaker Studio 도메인과 연결된 고객 VPC 서브넷은 다음 요인에 따라 적절한 CIDR (클래스 없는 도메인 간 라우팅) 범위로 생성해야 합니다.

  • 사용자 수.

  • 사용자당 앱 수.

  • 사용자당 고유 인스턴스 유형 수.

  • 사용자당 평균 훈련 인스턴스 수.

  • 예상 성장률.

SageMaker 및 참여 AWS 서비스는 다음과 같은 사용 사례를 위해 고객 VPC 서브넷에 ENI (엘라스틱 네트워크 인터페이스) 를 주입합니다.

  • Amazon EFS는 도메인의 EFS 탑재 대상에 ENI를 삽입합니다 ( SageMaker 도메인에 연결된 서브넷/가용 영역당 IP 하나). SageMaker

  • SageMaker Studio는 사용자 프로필 또는 공유 공간에서 사용하는 모든 고유 인스턴스에 대해 ENI를 삽입합니다. 다음과 같은 예가 있습니다.

    • 사용자 프로필이 기본 Jupyter 서버 앱('시스템' 인스턴스 1개), 데이터 과학 앱 및 기본 Python 앱(둘 다 ml.t3.medium 인스턴스에서 실행)을 실행하는 경우에 Studio는 두 개의 IP 주소를 주입합니다.

    • 사용자 프로필이 기본 Jupyter 서버 앱('시스템' 인스턴스 1개), Tensorflow GPU 앱(ml.g4dn.xlarge 인스턴스에서), Data Wrangler 앱(ml.m5.4xlarge 인스턴스에서)을 실행하는 경우 Studio는 세 개의 IP 주소를 주입합니다.

  • 도메인 VPC 서브넷/가용 영역의 각 VPC 엔드포인트에 대한 ENI가 삽입됩니다 (VPC 엔드포인트의 경우 4개, S3, ECR 등과 같은 참여 서비스 SageMaker VPC 엔드포인트의 경우 최대 6개). CloudWatch

  • 동일한 VPC 구성으로 SageMaker 교육 및 처리 작업을 시작하는 경우 각 작업에는 인스턴스당 두 개의 IP 주소가 필요합니다.

참고

서브넷 및 VPC 전용 트래픽과 같은 SageMaker Studio의 VPC 설정은 Studio에서 생성한 교육/처리 작업에 자동으로 전달되지 않습니다. SageMaker 사용자는 Create*Job API를 호출할 때 필요에 따라 VPC 설정과 네트워크 격리를 설정해야 합니다. 자세한 내용은 인터넷이 연결되지 않은 모드에서 훈련 및 추론 컨테이너 실행을 참조하세요.

시나리오: 데이터 과학자들이 서로 다른 두 가지 인스턴스 유형에 대해 실험을 실행

이 시나리오에서는 SageMaker 도메인이 VPC 전용 트래픽 모드로 설정되어 있다고 가정합니다. SageMakerAPI, SageMaker 런타임, Amazon S3 및 Amazon ECR과 같은 VPC 엔드포인트가 설정되어 있습니다.

한 데이터 과학자가 서로 다른 두 가지 인스턴스 유형(예: ml.t3.mediumml.m5.large)에서 실행 중인 Studio 노트북으로 각 인스턴스 유형에서 두 개의 앱을 실행하는 실험을 진행하고 있습니다.

데이터 과학자가 ml.m5.4xlarge 인스턴스에서 동일한 VPC 구성으로 훈련 작업을 동시에 실행한다고 가정해 보겠습니다.

이 시나리오의 경우 SageMaker 스튜디오 서비스는 다음과 같이 ENI를 주입합니다.

표 1 — 실험 시나리오를 위해 고객 VPC에 주입된 ENI

개체

대상

ENI 주입

참고

수준

EFS 탑재 대상

VPC 서브넷

3개

세 개의 AZ/서브넷

도메인

VPC 엔드포인트

VPC 서브넷

30

각각 VPCE가 10개인 AZ/서브넷 3개

도메인

Jupyter 서버

VPC 서브넷

1개

인스턴스당 IP 1개

User

KernelGateway 앱

VPC 서브넷

2개

인스턴스 유형당 IP 1개

User

학습

VPC 서브넷

2개

훈련 인스턴스당 IP 2개

EFA를 사용하는 경우 훈련 인스턴스당 IP 5개

User

이 시나리오의 경우 고객 VPC에서 총 38개의 IP가 사용되며, 도메인 수준에서는 33개의 IP가 사용자 간에 공유되고 사용자 수준에서 5개의 IP가 사용됩니다. 이 도메인에서 유사한 사용자 프로필을 가진 100명의 사용자가 이러한 활동을 동시에 수행하는 경우 도메인 수준 IP 사용량 (서브넷당 11IP, 총 511개 IP) 외에 사용자 수준에서 5 x 100 = 500 IP를 사용하게 됩니다. 이 시나리오에서는 /22를 사용하여 1024개의 IP 주소를 할당하고 확장할 수 있는 VPC 서브넷 CIDR을 생성해야 합니다.

VPC 네트워크 옵션

SageMaker Studio 도메인은 다음 옵션 중 하나를 사용하여 VPC 네트워크를 구성할 수 있도록 지원합니다.

  • 퍼블릭 인터넷 전용

  • VPC 전용

퍼블릭 인터넷 전용 옵션을 사용하면 SageMaker API 서비스가 VPC에서 프로비저닝되고 SageMaker 서비스 계정으로 관리되는 인터넷 게이트웨이를 통해 퍼블릭 인터넷을 사용할 수 있습니다 (다음 다이어그램 참조).

기본 모드: 서비스 계정을 통한 SageMaker 인터넷 액세스.

기본 모드: SageMaker 서비스 계정을 통한 인터넷 액세스

VPC 전용 옵션은 다음 다이어그램에서 볼 수 있듯이 SageMaker 서비스 계정으로 관리되는 VPC로부터의 인터넷 라우팅을 비활성화하고 고객이 VPC 엔드포인트를 통해 트래픽이 라우팅되도록 구성할 수 있도록 합니다.

VPC 전용 모드: SageMaker 서비스 계정을 통해 인터넷에 액세스할 수 없습니다.

VPC 전용 모드: 서비스 계정을 통한 SageMaker 인터넷 액세스 불가

VPC 전용 모드로 설정된 도메인의 경우 사용자 프로필별로 보안 그룹을 설정하여 기본 인스턴스가 완전히 격리되도록 하세요. AWS 계정의 각 도메인은 고유한 VPC 구성 및 인터넷 모드를 가질 수 있습니다. VPC 네트워크 구성 설정에 대한 자세한 내용은 VPC의 Connect SageMaker Studio Notebook을 외부 리소스에 연결을 참조하십시오.

제한 사항

  • SageMaker Studio 도메인을 생성한 후에는 새 서브넷을 도메인에 연결할 수 없습니다.

  • VPC 네트워크 유형(퍼블릭 인터넷 전용 또는 VPC 전용)은 변경할 수 없습니다.