本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 a 中的 Connect Studio 笔记本电脑VPC连接到外部资源
以下主题提供有关如何将 a 中的 Studio 笔记本VPC连接到外部资源的信息。
与互联网的默认通信
默认情况下, SageMaker Studio 提供了一个网络接口,允许通过VPC管理者与互联网进行通信 SageMaker。Amazon S3 等 Amazon CloudWatch服务的流量通过互联网网关传输。访问 SageMaker API和 SageMaker 运行时的流量也会通过互联网网关。域名和 Amazon EFS 流量之间的流量将VPC通过您在加入 Studio 或致电时识别的。CreateDomainAPI下图演示了默认配置。
与互联网的 VPC only
通信
要停止向您 SageMaker 的 Studio 笔记本电脑提供互联网接入,请通过指定VPC only
网络访问类型来禁用互联网接入。当您加入 Studio 或致电时,请指定此网络访问类型CreateDomainAPI。因此,除非满足以下条件,否则您将无法运行 Studio 笔记本电脑:
-
你VPC有通往 SageMaker API和运行时的接口终端节点,或者有可以访问互联网的NAT网关
-
您的安全组允许出站连接
下图显示了使用VPC仅限模式的配置。
使用 VPC only
模式的要求
当您选择 VpcOnly
时,请按照以下步骤操作:
-
您只能使用私有子网。您不能在
VpcOnly
模式下使用公有子网。 -
确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio 域的 IP 地址总容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅VPC和的子网大小IPv4。
注意
您只能配置默认租期的子网,您的实例VPC在共享硬件上运行。有关租期属性的更多信息VPCs,请参阅专用实例。
-
警告
使用
VpcOnly
模式时,您对域的网络配置拥有部分所有权。我们推荐的安全最佳实践是,对安全组规则提供的入站和出站访问应用最低权限。过于宽松的入站规则配置可能允许有权访问的用户无需身份VPC验证即可与其他用户配置文件的应用程序进行交互。使用允许以下流量的入站和出站规则设置一个或多个安全组:
-
NFS域和 Amazon 流量之间通过TCP端口 2049 传送的流EFS量。
-
TCP安全组内的流量。这对于两者之间的连接是必需的 Jupyter Server 应用程序和 Kernel Gateway 应用程序。您必须至少允许
8192-65535
范围内的端口访问。
为每个用户配置文件创建不同的安全组,并添加来自同一安全组的入站访问权限。我们不建议对用户配置文件重复使用域级安全组。如果域级安全组允许对其自身进行入站访问,则域中的所有应用程序都可以访问域中的所有其他应用程序。
-
-
要删除互联网访问权限,请创建接口VPC端点 (Amazon PrivateLink) 以允许 Studio 使用相应的服务名称访问以下服务。您还必须将您的安全组VPC与这些终端节点相关联。
-
SageMaker API :
com.amazonaws.
region
.sagemaker.api -
SageMaker 运行时间:
com.amazonaws.
。这是运行 Studio 笔记本、训练和托管模型所需。region
.sagemaker.runtime -
Amazon S3:
com.amazonaws.
。region
.s3 -
要使用 SageMaker 项目,请执行以下操作:
com.amazonaws.
。region
.servicecatalog -
您需要的任何其他 Amazon 服务。
如果您使用 SageMaker Python
运行远程训练作业,则还必须创建SDK以下 Amazon VPC 终端节点。 -
Amazon Security Token Service:
com.amazonaws.
region
.sts -
Amazon CloudWatch:
com.amazonaws.
。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch。region
.logs
-
注意
对于在VPC模式下工作的客户,公司防火墙可能会导致 SageMaker Studio 或 JupyterServer 与之间的连接出现问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio 时遇到其中一个问题,请进行以下检查。
-
检查 Studio URL 是否在您的网络允许名单中。
-
检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也应该会出现这个问题。