将 SageMaker Studio 笔记本 Connect 到 VPC 中的资源 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SageMaker Studio 笔记本 Connect 到 VPC 中的资源

以下主题提供了有关如何将 Studio 笔记本电脑连接到 VPC 中的资源的信息。

与互联网的默认通信

默认情况下,SageMaker Studio 提供一个网络接口以允许通过 SageMaker 管理的 VPC 与 Internet 通信。到的流量Amazon服务(如 Amazon S3 和 CloudWatch)通过互联网网关,访问 SageMaker API 和 SageMaker 运行时的流量也是如此。域和您的 Amazon EFS 卷之间的流量通过您在登陆 Studio 时指定的 VPC 或调用CreateDomainAPI。下图演示了默认配置。


                    使用直接互联网连接的 SageMaker 工作室 VPC 图

VPC only与互联网的通信

要防止 SageMaker 向您的 Studio 笔记本电脑提供互联网访问,您可以通过指定VPC only网络访问类型注册到 Studio或调用CreateDomainAPI。因此,您将无法运行 Studio 笔记本,除非您的 VPC 具有 SageMaker API 和运行时的接口终端节点,或具有 Internet 访问的 NAT 网关,并且您的安全组允许出站连接。下图显示了使用仅 VPC 模式的配置。


                    使用纯虚拟电脑模式的 SageMaker 工作室 VPC 图

使用的要求VPC onlymode

如果您选择VpcOnly,请按照以下步骤操作:

  1. 确保您的子网为每个实例都有一个 IP 地址。有关更多信息,请参阅 。针对 IPv4 的 VPC 和子网大小调整.

    注意

    您只能使用默认的租赁 VPC 配置子网,其中您的实例在共享硬件上运行。有关 VPC 租赁属性的更多信息,请参阅专用实例

  2. 使用入站和出站规则设置一个或多个安全组,这些规则共同允许以下流量:

  3. 如果您想允许互联网接入,必须使用NAT 网关访问互联网,例如通过互联网网关.

  4. 如果您不希望允许使用互联网,创建接口 VPC 终端节点(Amazon私有链接),以允许 Studio 使用相应的服务名称访问以下服务。您还必须将 VPC 的安全组与这些终端节点相关联。

    • SageMaker API:com.amazonaws.us-east-1.sagemaker.api

    • SageMaker 运行时间:com.amazonaws.us-east-1.sagemaker.runtime. 运行 Studio 笔记本以及训练和托管模型时需要执行此操作。

    • Amazon S3:com.amazonaws.us-east-1.s3.

    • 要使用 SageMaker 项目:com.amazonaws.us-east-1.servicecatalog.

    • 其他任何格式Amazon您需要的服务。

注意

对于在 VPC 模式下工作的客户,公司防火墙可能会导致与 SageMaker Studio 或 JupyterServer 与内核网关之间的连接问题。如果从防火墙后面使用 SageMaker Studio 时遇到以下问题之一,请进行以下检查。

  • 检查 Studio URL 是否位于您的网络允许列表中。

  • 检查 Web 套接字连接是否未被阻止。朱皮特使用引擎盖下的网络套接字。如果核心网关应用程序是在服务中,则 JupyterServer 可能无法连接到内核网关。打开系统终端时,你也应该看到这个问题。