本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在您的亚马逊虚拟私有云（Amazon Virtual Private Cloud）中使用亚马逊 SageMaker 地理空间功能
<a name="geospatial-notebooks-and-internet-access-vpc-requirements"></a>

以下主题提供有关如何在仅限 VPC 模式下的 Amazon A SageMaker I 域中使用带有 SageMaker 地理空间图像的 SageMaker 笔记本的信息。有关亚马逊 SageMaker Studio 经典版的更多信息，请参阅[选择亚马逊 VPC](https://docs.amazonaws.cn/sagemaker/latest/dg/onboard-vpc.html)。 VPCs 

## 与互联网的 `VPC only` 通信
<a name="studio-notebooks-and-internet-access-vpc-geospatial"></a>

默认情况下， SageMaker AI 域使用两个 Amazon VPC。其中一个亚马逊 VPC 由 Amazon SageMaker AI 管理，可直接访问互联网。您指定的另一个 Amazon VPC 在域和您的 Amazon Elastic File System (Amazon EFS) 卷之间提供加密流量。

您可以更改此行为，以便 SageMaker AI 通过您指定的 Amazon VPC 发送所有流量。如果`VPC only`在创建 AI 域期间被选为网络访问模式，则需要考虑以下要求才能仍然允许在创建的 SageMaker AI 域中使用 SageMaker Studio Classic 笔记本电脑。 SageMaker 

## 使用 `VPC only` 模式的要求
<a name="studio-notebooks-and-internet-access-vpc-geospatial-requirements"></a>

**注意**  
要使用 SageMaker 地理空间功能的可视化组件，用于访问 SageMaker Studio Classic UI 的浏览器需要连接到互联网。

当您选择 `VpcOnly` 时，请按照以下步骤操作：

1. 您只能使用私有子网。您不能在 `VpcOnly` 模式下使用公有子网。

1. 确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio Classic 域的 IP 地址总容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您估算的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外，使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息，请参阅的 [VPC 和子网大小 IPv4](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
**注意**  
如果实例在共享硬件上运行，您只能配置默认租赁 VPC 的子网。有关租期属性的更多信息 VPCs，请参阅[专用实例](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/dedicated-instance.html)。

1. 使用入站和出站规则设置一个或多个安全组，这些规则共同允许以下流量：
   + 域和 Amazon EFS 卷之间[通过 2049 端口 TCP 传输的 NFS 流量](https://docs.amazonaws.cn/efs/latest/ug/network-access.html)。
   + [安全组内的 TCP 流量](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。这是 JupyterServer 应用程序和应用程序之间连接所必需的 KernelGateway 。必须至少允许访问范围 `8192-65535` 内的端口。

1. 如果要允许互联网访问，则必须使用可访问互联网的 [NAT 网关](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)，例如通过[互联网网关](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Internet_Gateway.html)。

1. 如果您不想允许访问互联网，请[创建接口 VPC 终端节点](https://docs.amazonaws.cn/vpc/latest/privatelink/vpce-interface.html) (Amazon PrivateLink)，以允许 Studio Classic 使用相应的服务名称访问以下服务。您还必须将 VPC 的安全组与这些端点关联起来。
**注意**  
目前，仅美国西部（俄勒冈）地区支持 SageMaker 地理空间功能。
   + SageMaker API: `com.amazonaws.us-west-2.sagemaker.api` 
   + SageMaker AI 运行时:`com.amazonaws.us-west-2.sagemaker.runtime`. 这是运行带有 SageMaker 地理空间图像的 Studio Classic 笔记本电脑所必需的。
   + Amazon S3：`com.amazonaws.us-west-2.s3`。
   + 要使用 SageMaker 项目，请执行以下操作：`com.amazonaws.us-west-2.servicecatalog`。
   + SageMaker 地理空间功能：`com.amazonaws.us-west-2.sagemaker-geospatial`

    如果您使用 [SageMaker Python 软件开发工具包](https://sagemaker.readthedocs.io/en/stable/)运行远程训练作业，则还必须创建以下 Amazon VPC 终端节点。
   + Amazon Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch: `com.amazonaws.region.logs`。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch。

**注意**  
对于在 VPC 模式下工作的客户，公司防火墙可能会导致 SageMaker Studio Classic 或 JupyterServer 与之间的连接出现问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio Classic 时遇到其中一个问题，请进行以下检查。  
检查 Studio Classic URL 是否在您的网络允许列表中。
检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService，则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也应该会出现这个问题。