As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de rede
Para configurar o domínio do SageMaker AI Studio, você precisa especificar a VPC rede, as sub-redes e os grupos de segurança. Ao especificar as sub-redes VPC e, assegure-se de alocar IPs considerando o volume de uso e o crescimento esperado, discutidos nas seções a seguir.
VPCplanejamento de rede
As VPC sub-redes do cliente associadas ao domínio do SageMaker AI Studio devem ser criadas com o intervalo apropriado de roteamento entre domínios sem classe (CIDR), dependendo dos seguintes fatores:
-
Número de usuários.
-
Número de aplicativos por usuário.
-
Número de tipos de instância exclusivos por usuário.
-
Número médio de instâncias de treinamento por usuário.
-
Porcentagem de crescimento esperada.
SageMaker A IA e AWS os serviços participantes injetam interfaces de rede elásticas (ENI) na VPC sub-rede do cliente para os seguintes casos de uso:
-
A Amazon EFS injeta um destino ENI for an EFS mount para o domínio de SageMaker IA (um IP por sub-rede/zona de disponibilidade anexada ao SageMaker domínio de IA).
-
SageMaker O AI Studio injeta um ENI para cada instância exclusiva usada por um perfil de usuário ou por um espaço compartilhado. Por exemplo:
-
Se um perfil de usuário executa um aplicativo de servidor Jupyter padrão (uma instância de “sistema”), um aplicativo Data Science e um aplicativo Base Python (ambos executados em uma instância
ml.t3.medium), o Studio injeta dois endereços IP. -
Se um perfil de usuário executa um aplicativo de servidor Jupyter padrão (uma instância de “sistema”), um GPU aplicativo Tensorflow (em uma
ml.g4dn.xlargeinstância) e um aplicativo de processamento de dados (em umaml.m5.4xlargeinstância), o Studio injeta três endereços IP.
-
-
Um ENI para cada VPC endpoint nas VPC sub-redes/zonas de disponibilidade do domínio é injetado (quatro IPs para endpoints de SageMaker IA; aproximadamente seis IPs para VPC endpoints de serviços participantes, como S3, VPC e.) ECR CloudWatch
-
Se os trabalhos de treinamento e processamento de SageMaker IA forem iniciados com a mesma VPC configuração, cada trabalho precisará de dois endereços IP por instância.
nota
VPCas configurações do SageMaker AI Studio, como sub-redes e tráfego VPC somente, não são repassadas automaticamente para as tarefas de treinamento/processamento criadas a partir do AI Studio. SageMaker O usuário precisa definir VPC as configurações e o isolamento da rede conforme necessário ao chamar o APIs Create*Job. Consulte Executar contêineres de treinamento e inferência executados no modo sem Internet para maiores informações.
Cenário: um cientista de dados realiza experimentos em dois tipos de instância diferentes
Nesse cenário, suponha que um domínio de SageMaker IA esteja configurado VPC somente no modo de tráfego. Existem VPC endpoints configurados, como SageMaker AIAPI, SageMaker AI runtime, Amazon S3 e Amazon. ECR
Um cientista de dados está realizando experimentos em notebooks Studio, executando em dois tipos de instância diferentes (por exemplo, ml.t3.medium e ml.m5.large) e lançando dois aplicativos em cada tipo de instância.
Suponha que o cientista de dados também esteja executando simultaneamente um trabalho de treinamento com a mesma VPC configuração em uma ml.m5.4xlarge instância.
Nesse cenário, o serviço SageMaker AI Studio injetará da ENIs seguinte forma:
Tabela 1 — ENIs injetada no cliente VPC para um cenário de experimentação
|
Entidade |
Alvo |
ENIinjetado |
Observações |
Nível |
|---|---|---|---|---|
|
EFSalvo de montagem |
VPCsub-redes |
Três |
Três AZs /sub-redes |
Domínio |
|
Endpoints do VPC |
VPCsub-redes |
30 |
Três AZs /sub-redes com 10 cada VPCE |
Domínio |
|
Servidor Jupyter |
Sub-rede VPC |
Um |
Um IP por instância |
Usuário |
|
KernelGateway Aplicativo |
Sub-rede VPC |
Dois |
Um IP por tipo de instância |
Usuário |
|
Treinamento |
Sub-rede VPC |
Dois |
Dois IPs por instância de treinamento Cinco IPs por instância de treinamento, se EFA |
Usuário |
Nesse cenário, há um total de 38 IPs consumidos no cliente, VPC IPs sendo 33 compartilhados entre usuários no nível do domínio e cinco IPs são consumidos no nível do usuário. Se você tiver 100 usuários com perfis de usuário semelhantes nesse domínio realizando essas atividades simultaneamente, você consumirá cinco x 100 = 500 IPs no nível do usuário, além do consumo de IP no nível do domínio, que é 11 IPs por sub-rede, totalizando 511. IPs Para esse cenário, você precisa criar a VPC sub-rede CIDR com /22 que alocará 1024 endereços IP, com espaço para crescer.
VPCopções de rede
Um domínio do SageMaker AI Studio oferece suporte à configuração da VPC rede com uma das seguintes opções:
-
Somente internet pública
-
Somente VPC
A opção somente de Internet pública permite que API os serviços de SageMaker IA usem a Internet pública por meio do gateway de Internet provisionado noVPC, gerenciado pela conta de serviço de SageMaker IA, conforme mostrado no diagrama a seguir:
Modo padrão: acesso à Internet via conta de serviço SageMaker AI
A VPCúnica opção desativa o roteamento da Internet a partir da conta de serviço VPC gerenciada pela SageMaker IA e permite que o cliente configure o tráfego a ser roteado pelos VPC endpoints, conforme mostrado no diagrama a seguir:
VPCúnico modo: sem acesso à Internet por meio da conta de serviço de SageMaker IA
Para um domínio configurado no modo VPC único, configure um grupo de segurança por perfil de usuário para garantir o isolamento completo das instâncias subjacentes. Cada domínio em uma AWS conta pode ter sua própria VPC configuração e modo de internet. Para obter mais detalhes sobre a configuração da VPC rede, consulte Connect SageMaker AI Studio Notebooks in a VPC to External Resources.
Limitações
-
Depois que um domínio do SageMaker AI Studio é criado, você não pode associar novas sub-redes ao domínio.
-
O tipo de VPC rede (somente internet pública ou VPCsomente) não pode ser alterado.
