提供推論建議程式任務存取 Amazon 中的資源 VPC - Amazon SageMaker
確保子網路擁有充足的 IP 地址建立 Amazon S3 VPC端點將 Amazon 中執行的推論建議程式任務的許可VPC新增至自訂IAM政策設定路由表設定VPC安全群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

提供推論建議程式任務存取 Amazon 中的資源 VPC

注意

Inference Recommender 會要求您在 Model Registry 中登錄您的模型。請注意,模型登錄不允許VPC限制您的模型成品或 Amazon ECR映像。

Inference Recommender 也要求範例承載 Amazon S3 物件不受VPC限制。對於推論建議任務,您無法建立僅允許私有請求VPC存取 Amazon S3 儲存貯體的自訂政策。

若要在私有 中指定子網路和安全群組VPC,請使用 CreateInferenceRecommendationsJobRecommendationJobVpcConfig請求參數API,或在 SageMaker 主控台中建立建議任務時指定子網路和安全群組。

Inference Recommender 會使用此資訊來建立端點。佈建端點時, 會 SageMaker 建立網路介面並將其連接至您的端點。網路介面為您的端點提供與 的網路連線VPC。以下為您包含在對 VpcConfig 的呼叫內的 CreateInferenceRecommendationsJob 參數的範例:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

如需設定 Amazon VPC以搭配 Inference Recommender 任務使用的詳細資訊,請參閱下列主題。

確保子網路擁有充足的 IP 地址

您的VPC子網路在推論建議任務中,每個執行個體應至少有兩個私有 IP 地址。如需子網路和私有 IP 地址的詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 如何VPC運作 VPC

建立 Amazon S3 VPC端點

如果您VPC將 設定為封鎖對網際網路的存取,則除非您建立允許存取的VPC端點,否則 Inference Recommender 無法連線到包含模型的 Amazon S3 儲存貯體。透過建立VPC端點,您可以允許 SageMaker推論建議任務存取儲存資料和模型成品的儲存貯體。

若要建立 Amazon S3 VPC端點,請使用下列程序:

  1. 開啟 Amazon VPC主控台

  2. 在導覽窗格中,選擇端點,然後選擇建立端點

  3. 對於服務名稱 ,搜尋 com.amazonaws.region.s3,其中 region是 VPC所在區域的名稱。

  4. 選擇閘道類型

  5. 針對 VPC,選擇VPC您要用於此端點的 。

  6. 針對設定路由表,選取要供端點使用的路由表。VPC 服務會自動將路由新增至您選擇的每個路由表,將任何 Amazon S3 流量指向新的端點。

  7. 針對政策 ,選擇完整存取,以允許 內的任何使用者或服務完整存取 Amazon S3 服務VPC。

將 Amazon 中執行的推論建議程式任務的許可VPC新增至自訂IAM政策

AmazonSageMakerFullAccess 受管政策包含使用為 Amazon VPC存取設定之模型與端點所需的許可。這些許可允許 Inference Recommender 建立彈性網路介面,並將其連接到 Amazon 中執行的推論建議任務VPC。如果您使用自己的IAM政策,則必須將下列許可新增至該政策,才能使用為 Amazon VPC存取設定的模型。

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

設定路由表

使用端點路由表的DNS預設設定,讓標準 Amazon S3 URLs(例如:http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) 解析。如果您不使用預設設定DNS,請確定URLs您用來指定推論建議任務中資料的位置,並透過設定端點路由表來解析。如需VPC端點路由表的相關資訊,請參閱 Amazon VPC使用者指南 中的路由閘道端點

設定VPC安全群組

在推論建議任務的安全群組中,您必須允許與 Amazon S3 VPC端點和用於推論建議任務的子網路CIDR範圍進行傳出通訊。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的安全群組規則控制使用 Amazon VPC端點對 服務的存取