本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
选择 Amazon VPC
本主题提供有关在注册亚马逊 SageMaker 域时选择亚马逊虚拟私有云(Amazon VPC)的详细信息。有关加入 SageMaker 域名的更多信息,请参阅Amazon SageMaker 域名概述。
默认情况下, SageMaker 域名使用两个 Amazon VPC。一个 Amazon VPC 由亚马逊管理 SageMaker ,可直接访问互联网。您可以指定另一个 Amazon VPC,它在域和您的亚马逊弹性文件系统 (Amazon EFS) 卷之间提供加密流量。
您可以更改此行为,以便通过您指定的 Amazon VPC SageMaker 发送所有流量。选择此选项时,必须提供与 SageMaker API 和 SageMaker 运行时通信所需的子网、安全组和接口终端节点,以及 Studio 使用的各种 Amazon 服务,例如亚马逊简单存储服务 (Amazon S3) Servic CloudWatch e 和 Amazon。
当您加入 SageMaker 域时,您可以通过将网络访问类型设置为 “仅限 VPC” SageMaker 来告知要通过您的 Amazon VPC 发送所有流量。
指定 Amazon VPC 信息
当您在以下过程中指定 Amazon VPC 实体(即 Amazon VPC、子网或安全组)时,将根据当前实体数量显示三个选项之一 Amazon Web Services 区域。行为如下:
-
一个实体 — SageMaker 使用该实体。这一点无法更改。
-
多个实体 - 必须从下拉列表中选择实体。
-
无实体-必须创建一个或多个实体才能使用域。选择创建 <entity> 以在新的浏览器选项卡中打开 VPC 控制台。创建实体后,返回域名的 “入门” 页面继续入门流程。
当您选择 “为组织设置” 时,此过程是 Amazon SageMaker 域名注册流程的一部分。您的 Amazon VPC 信息在网络部分下指定。
-
选择网络访问类型。
注意
如果选择了 “仅限 VPC”,则 SageMaker 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “仅限公共互联网”,则 SageMaker 不会将安全组设置应用于在域中创建的共享空间。
-
仅限公共互联网 — 非 Amazon EFS 流量通过允许互联网访问的 SageMaker 托管 Amazon VPC。域和您的 Amazon EFS 卷之间的流量通过指定的亚马逊 VPC。
-
仅限 VPC — 所有 SageMaker 流量均通过指定的 Amazon VPC 和子网。在仅 VPC 模式下,您必须使用无法直接访问 Internet 的子网。默认情况下,禁用 Internet 访问。
-
-
选择 Amazon VPC。
-
选择一个或多个子网。如果您未选择任何子网,则 SageMaker 使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受限可用区的更多信息,请参阅可用区。
-
选择安全组。如果您选择仅公共互联网,则此步骤为可选步骤。如果您选择仅 VPC,则必须执行此步骤。
注意
有关允许的最大安全组数量,请参阅UserSettings。
有关仅 VPC 模式下的 Amazon VPC 要求,请参阅将 VPC 中的 Studio 笔记本电脑连接到外部资源。