設定網路 (針對管理員)

本節提供有關管理員如何設定其網路以允許 Amazon SageMaker Studio 傳統型筆記型電腦和 Amazon EMR 叢集之間進行通訊的相關資訊。

聯網指令會因 SageMaker 工作室典型版和 Amazon EMR 是在私有 Amazon V irtual Private Cloud (VPC) 中部署，還是透過網際網路進行通訊而有所不同。

默認情況下， SageMaker 工作室經典版在具有互聯網訪問權限的 AWS 託管 VPC 中運行。使用網際網路連線時，Studio 傳統版會透過網際網路存取 AWS 資源，例如 Amazon S3 儲存貯體。但是，如果您有安全要求來控制對資料和任務容器的存取，建議您設定 SageMaker Studio 典型版和 Amazon EMR，以便無法透過網際網路存取資料和容器。若要控制對資源的存取或在沒有公用網際網路存取的情況下執行 SageMaker Studio Classic，您可以在登入 Amazon VPC only 網 SageMaker 域時指定網路存取類型。在這個案例中， SageMaker Studio 傳統版會透過私人虛擬私人雲端端點建立與其他 AWS 服務的連線。如需在VPC only模式中設定 SageMaker Studio 典型的相關資訊，請參閱將 VPC 中的 SageMaker Studio 傳統筆記本連線到外部資源。 。

前兩節說明如何確保 SageMaker 工作室典型版與虛擬私人電腦中的 Amazon EMR 叢集之間的通訊，而無需公開網際網路存取。最後一節介紹如何使用互聯網連接確保 SageMaker 工作室經典和 Amazon EMR 之間的通信。在不存取網際網路的情況下連接 SageMaker Studio Classic 和 Amazon EMR 之前，請務必為 Amazon 簡單儲存服務 (資料儲存)、Amazon CloudWatch (記錄和監控) 和 Amazon SageMaker 執行階段 (精細的角色型存取控制 (RBAC) 建立端點。

• 如果您的 Amazon SageMaker 工作室經典版和 Amazon EMR 叢集設定在相同 AWS 帳戶或不同帳戶的不同 VPC 中，請參閱。 經典工作室和 Amazon EMR 部署在單獨的 VPC

• 如果您的 Amazon SageMaker 工作室經典版和 Amazon EMR 叢集設置在同一個 VPC 中，請參閱。Amazon SageMaker 工作室經典和 Amazon EMR 都在同一 VPC

• 如果您選擇透過公用網際網路連接 Amazon SageMaker 工作室經典版和 Amazon EMR 叢集，請參閱Amazon SageMaker 工作室經典和 Amazon EMR 通過公共互聯網通信。

經典工作室和 Amazon EMR 部署在單獨的 VPC

若要在 SageMaker 工作室傳統版和 Amazon EMR 叢集部署到不同的 VPC 時，允許這些叢集之間的通訊：

1. 首先，透過 VPC 對等連線連線您的 VPC。

2. 更新每個 VPC 中的路由表，以兩種方式在 Studio 典型子網路和 Amazon EMR 子網路之間路由網路流量。

3. 設定您的安全群組以允許傳入和傳出流量。

無論 Amazon SageMaker Studio 經典版和 Amazon EMR 叢集是在同一 AWS 帳戶 (單一帳戶使用案例) 還是不 AWS 同帳戶 (跨帳戶使用案例) 中部署，步驟都相似。

1. VPC 對等互連

   建立 VPC 對等連接以促進兩個 VPC (SageMaker 工作室典型和 Amazon EMR) 之間的聯網。

   1. 在您的 SageMaker Studio 典型帳戶中，在 VPC 儀表板上，選擇對等連線，然後選擇建立對等連線。

   2. 建立您的請求，在 Amazon EMR VPC 內對等工作室經典 VPC。在另一個 AWS 帳戶中請求對等操作時，請在選擇另一個 VPC 中選擇另一個帳戶進行對等。

      對於跨帳戶對等互連，管理員必須接受來自 Amazon EMR 帳戶的請求。

      當對等私有子網路時，您應該在 VPC 對等連線層級啟用私有 IP DNS 解析。

2. 路由表

   以兩種方式傳送 SageMaker 工作室經典子網路和 Amazon EMR 子網路之間的網路流量。

   建立對等連線之後，管理員 (針對跨帳戶存取權的每個帳戶) 可以將路由新增至私有子網路路由表，以在筆記本與叢集子網路之間路由傳送流量。您可以透過前往 VPC 儀表板每個 VPC 的路由表區段來定義這些路由。

   以下工作室傳統虛擬私人雲端子網路的路由表示透過對等連線，從工作室傳統帳戶到 Amazon EMR VPC IP 範圍 (此處2.0.1.0/24) 的輸出路由範例。

   

   下列 Amazon EMR 虛擬私人雲端子網路的路由表示透過對等連線從 Amazon EMR VPC 到工作室傳統 VPC IP 範圍 (此處10.0.20.0/24) 的傳回路由範例。

   

3. 安全群組

   最後，Studio 傳統網域的安全群組必須允許輸出流量，而且 Amazon EMR 主要節點的安全群組必須允許來自 Studio 傳統執行個體安全群組的 Apache Livy、Hive 或 Presto TCP 連接埠 (分別8998和8889) 上的輸入流量。10000Apache Livy 是透過 REST 介面與 Amazon EMR 叢集啟用互動的服務。

下圖顯示 Amazon VPC 設定範例，該設定可讓 SageMaker工作室傳統筆記型電腦從 AWS CloudFormation 範本佈建 Amazon EMR 叢集，然後連接到同一帳戶內的 Amazon EMR 叢集。 AWS 當 VPC 無法存取網際網路時，該圖表提供了直接連線到各種 AWS 服務 (例如 Amazon S3 或 Amazon CloudWatch) 所需端點的其他插圖。或者，必須使用 NAT 閘道，允許多個 VPC 私有子網路中的執行個體在存取網際網路時共用網際網路閘道所提供的單一公有 IP 地址。

Amazon SageMaker 工作室經典和 Amazon EMR 都在同一 VPC

如果 Amazon SageMaker Studio Classic 和叢集位於不同的子網路中，請將路由新增至每個私有子網路路由表，以便在筆記本和叢集子網路之間路由流量。您可以透過前往 VPC 儀表板每個 VPC 的路由表區段來定義這些路由。如果您在相同虛擬私人雲端和相同子網路中部署 Amazon SageMaker Studio 典型版和 Amazon EMR 叢集，則不需要在筆記本電腦和叢集之間路由流量。

無論您是否需要更新路由表，Studio 傳統網域的安全群組都必須允許輸出流量，而 Amazon EMR 主節點的安全群組必須允許 Apache Livy、Hive 或 Presto TCP 連接埠 (分別8998為和8889) 來自 Studio 傳統執行個體安全群組的輸入流量。10000Apache Livy 是透過 REST 介面與 Amazon EMR 叢集啟用互動的服務。

Amazon SageMaker 工作室經典和 Amazon EMR 通過公共互聯網通信

默認情況下， SageMaker Studio Classic 提供了一個網絡接口，允許通過與 SageMaker 域關聯的 VPC 中的互聯網閘道與互聯網進行通信。如果您選擇透過公有網際網路連線至 Amazon EMR，您的 Amazon EMR 叢集必須接受來自其網際網路閘道的 Apache Livy、Hive 或Presto TCP 連接埠 (分別為 8998、10000 與 8889) 的傳入流量。Apache Livy 是支援透過 REST 介面與 Amazon EMR 叢集啟用互動的服務。

請注意，允許傳入流量的任何連接埠都代表潛在安全漏洞。請詳閱自訂安全群組，以確保您將漏洞數量降至最低。如需更多資訊，請參閱使用安全群組控制網路流量。

或者，請參閱演練與白皮書以取得如何在 Amazon EMR 啟用 Kerberos、在私有子網路設定叢集，以及使用 Network Load Balancer (NLB) 存取叢集以僅公開特定連接埠 (透過安全群組進行存取控制) 的詳細演練。

注意

透過公用網際網路連線到 Apache Livy 端點時，我們建議您使用 TLS 保護 Amazon SageMaker 工作室經典版和 Amazon EMR 叢集之間的通訊安全。

如需使用 Apache Livy 設定 HTTPS 的相關資訊，請參閱使用 Apache Livy 啟用 HTTPS。如需設定啟用傳輸加密的 Amazon EMR 叢集的相關資訊，請參閱提供用於使用 Amazon EMR 加密對傳輸中的資料進行加密的憑證。此外，您還需要配置 Studio 經典版來訪問您的證書密鑰，如中所指定透過 HTTPS 連線至 Amazon EMR 叢集。