As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de rede
Para configurar o domínio do SageMaker Studio, você precisa especificar a rede VPC, as sub-redes e os grupos de segurança. Ao especificar a VPC e as sub-redes, assegure-se de alocar IPs considerando o volume de uso e o crescimento esperado, discutidos nas seções a seguir.
Planejamento da rede VPC
As sub-redes VPC do cliente associadas ao domínio SageMaker Studio devem ser criadas com o intervalo apropriado de roteamento sem classe entre domínios (CIDR), dependendo dos seguintes fatores:
-
Número de usuários.
-
Número de aplicativos por usuário.
-
Número de tipos de instância exclusivos por usuário.
-
Número médio de instâncias de treinamento por usuário.
-
Porcentagem de crescimento esperada.
SageMaker e AWS os serviços participantes injetam interfaces de rede elástica (ENI) na sub-rede VPC do cliente para os seguintes casos de uso:
-
O Amazon EFS injeta uma ENI para um destino de montagem do EFS para o SageMaker domínio (um IP por sub-rede/zona de disponibilidade anexada ao domínio). SageMaker
-
SageMaker O Studio injeta uma ENI para cada instância exclusiva usada por um perfil de usuário ou por um espaço compartilhado. Por exemplo: .
-
Se um perfil de usuário executa um aplicativo de servidor Jupyter padrão (uma instância de “sistema”), um aplicativo Data Science e um aplicativo Base Python (ambos executados em uma
ml.t3.medium
instância), o Studio injeta dois endereços IP. -
Se um perfil de usuário executa um aplicativo de servidor Jupyter padrão (uma instância de “sistema”), um aplicativo de Tensorflow GPU (em uma
ml.g4dn.xlarge
instância) e um aplicativo de processamento de dados (em umaml.m5.4xlarge
instância), o Studio injeta três endereços IP.
-
-
Uma ENI para cada VPC endpoint em todas as sub-redes/zonas de disponibilidade da VPC do domínio é injetada (quatro IPs para endpoints de VPC; ~ seis IPs para endpoints de SageMaker VPC de serviços participantes, como S3, ECR e.) CloudWatch
-
Se os trabalhos de SageMaker treinamento e processamento forem iniciados com a mesma configuração de VPC, cada trabalho precisará de dois endereços IP por instância.
nota
As configurações de VPC do SageMaker Studio, como sub-redes e tráfego somente de VPC, não são repassadas automaticamente para os trabalhos de treinamento/processamento criados no Studio. SageMaker O usuário precisa definir as configurações de VPC e o isolamento de rede conforme necessário ao chamar as APIs Create*Job. Consulte Executar contêineres de treinamento e inferência executados no modo sem Internet para maiores informações.
Cenário: um cientista de dados realiza experimentos em dois tipos de instância diferentes
Nesse cenário, suponha que um SageMaker domínio esteja configurado no modo de tráfego somente para VPC. Existem endpoints de VPC configurados, como SageMaker API, SageMaker runtime, Amazon S3 e Amazon ECR.
Um cientista de dados está realizando experimentos em notebooks Studio, executando em dois tipos de instância diferentes (por exemplo, ml.t3.medium
eml.m5.large
) e lançando dois aplicativos em cada tipo de instância.
Suponha que o cientista de dados também esteja executando simultaneamente um trabalho de treinamento com a mesma configuração de VPC em uma ml.m5.4xlarge
instância.
Nesse cenário, o serviço SageMaker Studio injetará ENIs da seguinte forma:
Tabela 1 — ENIs injetados na VPC do cliente para um cenário de experimentação
Entidade |
Destino |
ENI injetado |
Observações |
Nível |
---|---|---|---|---|
Alvo de montagem do EFS |
Sub-redes VPC |
Três |
Três AZS/sub-redes |
Domínio |
Endpoints da VPC |
Sub-redes VPC |
30 |
Três AZS/sub-redes com 10 VPCE cada |
Domínio |
Servidor Jupyter |
sub-rede VPC |
Um |
Um IP por instância |
Usuário |
KernelGateway aplicativo |
sub-rede VPC |
Dois |
Um IP por tipo de instância |
Usuário |
Treinamento |
sub-rede VPC |
Dois |
Dois IPs por instância de treinamento Cinco IPs por instância de treinamento se o EFA |
Usuário |
Nesse cenário, há um total de 38 IPs consumidos na VPC do cliente, em que 33 IPs são compartilhados entre usuários no nível do domínio e cinco IPs são consumidos no nível do usuário. Se você tiver 100 usuários com perfis de usuário semelhantes nesse domínio realizando essas atividades simultaneamente, você consumirá cinco x 100 = 500 IPs no nível do usuário, além do consumo de IP no nível do domínio, que é de 11 IPs por sub-rede, totalizando 511 IPs. Para esse cenário, você precisa criar o CIDR de sub-rede VPC com /22 que alocará 1024 endereços IP, com espaço para crescer.
Opções de rede de VPC
Um domínio SageMaker Studio oferece suporte à configuração da rede VPC com uma das seguintes opções:
-
Somente internet pública
-
Somente VPC
A opção somente Internet pública permite que os serviços de SageMaker API usem a Internet pública por meio do gateway de Internet provisionado na VPC, gerenciado pela conta de SageMaker serviço, conforme mostrado no diagrama a seguir:
A opção somente VPC desativa o roteamento da Internet da VPC gerenciada pela conta de SageMaker serviço e permite que o cliente configure o tráfego a ser roteado pelos endpoints da VPC, conforme mostrado no diagrama a seguir:
Para um domínio configurado somente no modo VPC, configure um grupo de segurança por perfil de usuário para garantir o isolamento completo das instâncias subjacentes. Cada domínio em uma AWS conta pode ter sua própria configuração de VPC e modo de internet. Para obter mais detalhes sobre a configuração da rede VPC, consulte Connect SageMaker Studio Notebooks in a VPC to External Resources.
Limitações
-
Depois que um domínio do SageMaker Studio é criado, você não pode associar novas sub-redes ao domínio.
-
O tipo de rede VPC (somente Internet pública ou somente VPC) não pode ser alterado.