本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 选择 Amazon VPC
<a name="onboard-vpc"></a>

本主题提供有关在注册亚马逊 A SageMaker I 域时选择亚马逊虚拟私有云（Amazon VPC）的详细信息。有关加入 SageMaker AI 域的更多信息，请参阅[亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。

默认情况下， SageMaker AI 域使用两个 Amazon VPCs。一个 Amazon VPC 由亚马逊 SageMaker AI 管理，可直接访问互联网。您指定的另一个 Amazon VPC 在域和您的 Amazon Elastic File System (Amazon EFS) 卷之间提供加密流量。

您可以更改此行为，以便 SageMaker AI 通过您指定的 Amazon VPC 发送所有流量。选择此选项时，必须提供与 SageMaker API 和 SageMaker AI 运行时通信所需的子网、安全组和接口终端节点，以及 Studio 使用的各种 Amazon 服务，例如亚马逊简单存储服务 (Amazon S3) Simple Storage Servic CloudWatch e 和 Amazon。

当您加入 SageMaker AI 域时，您可以通过将网络访问类型设置为 “**仅限 VPC” 来告诉 A SageMaker I 通过您的 Amazon VPC** 发送所有流量。

**指定 Amazon VPC 信息**

在以下步骤中指定 Amazon VPC 实体（即 Amazon VPC、子网或安全组）时，会根据当前 Amazon Web Services 区域中实体的数量显示三个选项中的一个。行为如下：
+ 一个实体 — SageMaker AI 使用该实体。这一点无法更改。
+ 多个实体 - 必须从下拉列表中选择实体。
+ 无实体 - 必须创建一个或多个实体才能使用域。选择**创建 <entity>** 以在新的浏览器选项卡中打开 VPC 控制台。创建实体后，返回域**开始使用**页面继续载入流程。

当您选择 “为**组织设置” 时，此过程是 SageMaker Amazon AI 域名注册**流程的一部分。您的 Amazon VPC 信息在**网络**部分下指定。

1. 选择网络访问类型。
**注意**  
如果选择了 “**仅限 VPC**”， SageMaker AI 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “**仅限公共互联网**”， SageMaker AI 不会将安全组设置应用于在域中创建的共享空间。
   + **仅限公共互联网** — 非 Amazon EFS 流量通过 A SageMaker I 托管的 Amazon VPC，该虚拟私有网络允许访问互联网。域与 Amazon EFS 卷之间的流量通过指定的 Amazon VPC 传输。
   + **仅限 VPC** — 所有 SageMaker AI 流量均通过指定的 Amazon VPC 和子网。在**仅 VPC** 模式下，您必须使用无法直接访问 Internet 的子网。默认情况下，禁用 Internet 访问。

1. 选择 Amazon VPC。

1. 选择一个或多个子网。如果您不选择任何子网， SageMaker AI 将使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受约束可用区的更多信息，请参阅《Amazon Web Services 区域 和可用区用户指南》**中的[受约束可用区](https://docs.amazonaws.cn/global-infrastructure/latest/regions/aws-availability-zones.html#constrained-zones)。

1. 选择安全组。如果您选择**仅公共互联网**，则此步骤为可选步骤。如果您选择**仅 VPC**，则必须执行此步骤。
**注意**  
有关允许的最大安全组数量，请参阅[UserSettings](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_UserSettings.html)。

有关**仅 VPC 模式**下的 Amazon VPC 要求，请参阅[将 VPC 中的 Studio 笔记本连接到外部资源](studio-notebooks-and-internet-access.md)。