选择 Amazon VPC - Amazon SageMaker AI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

选择 Amazon VPC

本主题提供了在您加入 Amazon SageMaker AI 域时选择 Amazon Virtual Private Cloud(Amazon VPC)的详细信息。有关加入 SageMaker AI 域的更多信息,请参阅 Amazon SageMaker AI 域概述

默认情况下,SageMaker AI 域使用两个 Amazon VPC。一个 Amazon VPC 由 Amazon SageMaker AI 托管,提供直接 Internet 访问。您指定的另一个 Amazon VPC 在域和您的 Amazon Elastic File System (Amazon EFS) 卷之间提供加密流量。

您可以更改此行为,以使 SageMaker AI 通过指定的 Amazon VPC 发送所有流量。选择该选项时,必须提供与 SageMaker API 和 SageMaker AI 运行时以及各种 Amazon 服务(如 Studio 使用的 Amazon Simple Storage Service(Amazon S3)和 Amazon CloudWatch)通信所需的子网、安全组和接口端点。

加入 SageMaker AI 域时,通过将网络访问类型设置为仅 VPC 来告诉 SageMaker AI 通过 Amazon VPC 发送所有流量。

指定 Amazon VPC 信息

在以下步骤中指定 Amazon VPC 实体(即 Amazon VPC、子网或安全组)时,会根据当前 Amazon Web Services 区域 中实体的数量显示三个选项中的一个。行为如下:

  • 一个实体 - SageMaker AI 使用该实体。这一点无法更改。

  • 多个实体 - 必须从下拉列表中选择实体。

  • 无实体 - 必须创建一个或多个实体才能使用域。选择创建 <entity> 以在新的浏览器选项卡中打开 VPC 控制台。创建实体后,返回域开始使用页面继续载入流程。

当您选择针对组织设置时,此过程是 Amazon SageMaker AI 域加入流程的一部分。您的 Amazon VPC 信息在网络部分下指定。

  1. 选择网络访问类型。

    注意

    如果选择仅 VPC,SageMaker AI 会自动将为域定义的安全组设置应用到域中创建的所有共享空间。如果选择仅公共互联网,则 SageMaker AI 不会将安全组设置应用于在域中创建的共享空间。

    • 仅限公共互联网 - 非 Amazon EFS 流量通过 SageMaker AI 托管的 Amazon VPC,该 VPC 允许访问 Internet。域与 Amazon EFS 卷之间的流量通过指定的 Amazon VPC 传输。

    • 仅 VPC - 所有 SageMaker AI 流量都通过指定的 Amazon VPC 和子网。在仅 VPC 模式下,您必须使用无法直接访问 Internet 的子网。默认情况下,禁用 Internet 访问。

  2. 选择 Amazon VPC。

  3. 选择一个或多个子网。如果您不选择任何子网,SageMaker AI 将使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受约束可用区的更多信息,请参阅《Amazon Web Services 区域和可用区用户指南》中的受约束可用区

  4. 选择安全组。如果您选择仅公共互联网,则此步骤为可选步骤。如果您选择仅 VPC,则必须执行此步骤。

    注意

    有关允许的最大安全组数量,请参阅 UserSettings

有关仅 VPC 模式下的 Amazon VPC 要求,请参阅将 VPC 中的 Studio 笔记本连接到外部资源