在您的亚马逊虚拟私有云 Virtual Private Cloud 中使用亚马逊 SageMaker 地理空间功能 - Amazon SageMaker
与互联网的 VPC only 通信使用 VPC only 模式的要求

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在您的亚马逊虚拟私有云 Virtual Private Cloud 中使用亚马逊 SageMaker 地理空间功能

以下主题提供有关如何在仅限 VPC 模式的 Amazon SageMaker 域中使用带有 SageMaker 地理空间图像的 SageMaker 笔记本的信息。有关亚马逊 SageMaker Studio 经典版 VPC 的更多信息,请参阅选择亚马逊 VPC

与互联网的 VPC only 通信

默认情况下, SageMaker 域使用两个 Amazon VPC。其中一个亚马逊 VPC 由亚马逊管理 SageMaker ,可直接访问互联网。您可以指定另一个 Amazon VPC,它在域和您的亚马逊弹性文件系统 (Amazon EFS) 卷之间提供加密流量。

您可以更改此行为,以便通过您指定的 Amazon VPC SageMaker 发送所有流量。如果在创建域时选择VPC only了网络访问模式,则需要考虑以下要求,以便仍然允许在创建的 SageMaker 域中使用 SageMaker Studio Classic 笔记本电脑。 SageMaker

使用 VPC only 模式的要求

注意

要使用 SageMaker 地理空间功能的可视化组件,用于访问 SageMaker Studio Classic UI 的浏览器需要连接到互联网。

当您选择 VpcOnly 时,请按照以下步骤操作:

  1. 您只能使用私有子网。您不能在 VpcOnly 模式下使用公有子网。

  2. 确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio Classic 域的总 IP 地址容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您估算的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅针对 IPv4 的 VPC 和子网大小调整

    注意

    如果实例在共享硬件上运行,您只能配置默认租赁 VPC 的子网。有关 VPC 租赁属性的更多信息,请参阅专用实例

  3. 使用入站和出站规则设置一个或多个安全组,这些规则共同允许以下流量:

  4. 如果要允许互联网访问,则必须使用可访问互联网的 NAT 网关,例如通过互联网网关

  5. 如果您不想允许访问互联网,请创建接口 VPC 终端节点 (AWS PrivateLink),以允许 Studio Classic 使用相应的服务名称访问以下服务。您还必须将 VPC 的安全组与这些端点关联起来。

    注意

    目前,仅美国西部(俄勒冈)地区支持 SageMaker 地理空间功能。

    • SageMaker API: com.amazonaws.us-west-2.sagemaker.api

    • SageMaker 运行时间:com.amazonaws.us-west-2.sagemaker.runtime。这是运行带有 SageMaker 地理空间图像的 Studio Classic 笔记本电脑所必需的。

    • Amazon S3:com.amazonaws.us-west-2.s3

    • 要使用 SageMaker 项目,请执行以下操作:com.amazonaws.us-west-2.servicecatalog

    • SageMaker 地理空间功能:com.amazonaws.us-west-2.sagemaker-geospatial

    如果您使用 SageMaker Python 软件开发工具包运行远程训练作业,则还必须创建以下 Amazon VPC 终端节点。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch。

注意

对于在 VPC 模式下工作的客户,公司防火墙可能会导致 SageMaker Studio Classic 或 JupyterServer 与之间的连接出现问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio Classic 时遇到其中一个问题,请进行以下检查。

  • 检查 Studio Classic 网址是否在您的网络许可名单中。

  • 检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也会出现这个问题。