本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置 Studio 和数据来源之间的网络访问(供管理员使用)
本节提供有关管理员如何配置网络以实现亚马逊 SageMaker Studio 与 Amazon [Redshift 或 Amazon](https://www.amazonaws.cn/redshift/) A [thena 之间在私有亚马逊](https://www.amazonaws.cn/athena/) VPC 内或通过互联网进行通信的信息。根据 Studio 域和数据存储是部署在私有 [Amazon 虚拟私有云](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html)(VPC)内还是通过互联网通信,联网指令也会有所不同。
默认情况下,Studio 在可[访问互联网](https://docs.amazonaws.cn/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-default)的 Amazon 托管 VPC 中运行。使用互联网连接时,Studio 会通过互联网访问 Amazon 资源,例如 Amazon S3 存储桶。但是,如果您有控制数据和作业容器访问权限的安全要求,我们建议您配置 Studio 和数据存储(Amazon Redshift 或 Athena),使您的数据和容器无法通过互联网访问。要控制对资源的访问或在没有公共互联网访问的情况下运行 Studio,您可以在加入 [Amazon A SageMaker I 域](https://docs.amazonaws.cn/sagemaker/latest/dg/gs-studio-onboard.html)时指定`VPC only`网络访问类型。在这种情况下,Studio 会通过私有 [VPC 端点](https://docs.amazonaws.cn/vpc/latest/privatelink/create-interface-endpoint.html)与其他 Amazon 服务建立连接。有关在 `VPC only` 模式下配置 Studio 的信息,请参阅[将 Studio 连接到 VPC 中的外部资源](https://docs.amazonaws.cn/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-vpc-only)。
**注意**
要连接到 Snowflake,Studio 域的 VPC 必须能访问互联网。
前两节介绍如何在 VPCs 没有公共互联网访问的情况下确保您的 Studio 域和数据存储之间的通信。最后一节介绍如何确保 Studio 与数据存储之间使用互联网连接进行通信。在没有互联网访问权限的情况下连接 Studio 和您的数据存储之前,请务必为亚马逊简单存储服务、Amazon Redshift 或 Athena SageMaker 、Amazon 和(记录和监控)建立终端节点。 CloudWatch Amazon CloudTrail
+ 如果 Studio 和数据存储位于不同的帐户中 VPCs,要么位于同一个 Amazon 帐户中,要么位于不同的帐户中,请参阅[Studio 和数据存储是分开部署的 VPCs](#sagemaker-sql-extension-networking-cross-vpc)。
+ 如果 Studio 和数据存储在同一个 VPC 中,请参阅 [Studio 和数据存储部署在同一个 VPC 中](#sagemaker-sql-extension-networking-same-vpc)。
+ 如果您选择通过公共内联网连接 Studio 和数据存储,请参阅 [Studio 和数据存储库通过公共互联网进行通信](#sagemaker-sql-extension-networking-internet)。
## Studio 和数据存储是分开部署的 VPCs
要允许 Studio 与部署在不同位置的数据存储之间进行通信,请执行 VPCs以下操作:
1. 首先 VPCs 通过 VPC 对等连接进行连接。
1. 更新每个 VPC 的路由表,允许 Studio 子网和数据存储子网之间的双向网络流量。
1. 配置安全组以允许入站和出站流量。
无论将 Studio 和数据存储部署在单个 Amazon 账户中还是在不同的 Amazon 账户中部署,配置步骤都是一样的。
1.
**VPC 对等连接**
创建 [VPC 对等连接](https://docs.amazonaws.cn/vpc/latest/peering/working-with-vpc-peering.html)以促进两者 VPCs(Studio 和数据存储)之间的联网。
1. 从 Studio 帐户,在 VPC 面板上选择**对等连接**,然后选择**创建对等连接**。
1. 创建请求,将 Studio VPC 与数据存储 VPC 对等。在其他 Amazon 账户中请求对等时,请在选择要**与之建立对等关系的另一个 VPC 中选择另一个****账户**。
对于跨账户对等互联,管理员必须接受来自 SQL 引擎账户的请求。
与私有子网建立对等连接时,您应在 VPC 对等连接级别启用私有 IP DNS 解析。
1.
**路由表**
配置路由,允许 Studio 和数据存储 VPC 子网之间的双向网络流量。
建立对等连接后,管理员(每个账户都允许跨账户访问)可以向私有子网路由表添加路由,以路由 Studio 和数据存储 VPCs子网之间的流量。您可以在 VPC 控制面板中,转到每个 VPC 的**路由表**部分来定义这些路由。
1.
**安全组**
最后,Studio 的域 VPC 安全组必须允许出站流量,数据存储的 VPC 安全组必须允许从 Studio 的 VPC 安全组进入数据存储端口的入站流量。
## Studio 和数据存储部署在同一个 VPC 中
如果 Studio 和数据存储位于同一 VPC 的不同专用子网中,请在每个专用子网的路由表中添加路由。路由应允许流量在 Studio 子网和数据存储子网之间流动。您可以在 VPC 控制面板中,转到每个 VPC 的**路由表**部分来定义这些路由。如果在同一 VPC 和同一子网中部署了 Studio 和数据存储,则无需对流量进行路由。
无论路由表是否更新,Studio 的域 VPC 安全组必须允许出站流量,数据存储的 VPC 安全组必须允许从 Studio 的 VPC 安全组的端口入站流量。
## Studio 和数据存储库通过公共互联网进行通信
默认情况下,Studio 提供一个网络接口,允许通过与 Studio 域相关联的 VPC 中的互联网网关与互联网通信。如果您选择通过公共互联网连接到您的数据存储,您的数据存储需要在其端口上接受入站流量。
必须使用 [NAT 网关](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)来允许多个 VPCs 私有子网中的实例在访问互联网时共享[互联网网关](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Internet_Gateway.html)提供的单个公有 IP 地址。
**注意**
为入站流量开放的每个端口都代表着潜在的安全风险。请仔细检查自定义安全组,以确保您最大限度地减少漏洞。