本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 VPC 中的 SageMaker Studio 笔记本电脑Connect 外部资源
以下主题提供有关如何将 VPC 中的 Studio 笔记本电脑连接到外部资源的信息。
与互联网的默认通信
默认情况下, SageMaker Studio 提供网络接口,允许通过由管理的 VPC 与互联网通信 SageMaker。流向 Amazon S3 等Amazon服务的流量通过互联网网关,访问 SageMaker API 和 SageMaker 运行时的流量 CloudWatch 也是如此。域和您的 Amazon EFS 卷之间的流量将通过您在登录 Studio 或调CreateDomain用 API 时指定的 VPC。下图显示了默认配置。
VPC only与互联网通信
为 SageMaker 防止向 Studio 笔记本电脑提供互联网接入,您可以在登录 Studio 或调用 CreateDomainAPI 时指定VPC only网络访问类型来禁用互联网接入。因此,您将无法运行 Studio 笔记本,除非您的 VPC 具有 SageMaker API 和运行时的接口端点或 NAT 网关,并且您的安全组允许出站连接。下图显示了使用 VPC 专有模式的配置。
使用VPC only模式的要求
选择时VpcOnly,请按照以下步骤操作:
-
您只能使用私有子网。您无法在
VpcOnly模式下使用公有子网。 -
确保您的子网具有所需数量的 IP 地址。每个用户所需的预期 IP 地址数量可能因用例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio 域的总 IP 地址容量是创建域时提供的每个子网的可用 IP 地址总和。确保您的估计 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在许多可用区域的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅 VPC 和 IPv4 的子网大小调整。
注意
您只能使用默认租赁 VPC 配置子网,在该子网中,您的实例在共享硬件上运行。有关 VPC 租赁属性的更多信息,请参阅专用实例。
-
使用入站和出站规则设置一个或多个安全组,这些规则共同允许以下流量:
-
域和亚马逊 E@@ FS 卷之间通过 TCP 通过端口 2049 进行的 NFS 流量。
-
安全组内的 TCP 流量。这是 JupyterServer 应用程序和应用程序之间的连接所必需的 KernelGateway 。您必须允许访问该范围内的至少端口
8192-65535。
-
-
如果您不想允许访问互联网,请创建接口 VPC 终端节点 (Amazon PrivateLink),以允许 Studio 使用相应的服务名称访问以下服务。您还必须将 VPC 的安全组与这些终端节点关联。
-
SageMaker API:
com.amazonaws.region.sagemaker.api -
SageMaker 运行时间:
com.amazonaws.。这是运行 Studio 笔记本电脑以及训练和托管模型所必需的。region.sagemaker.runtime -
Amazon S3:
com.amazonaws.。region.s3 -
使用 SageMaker 项目:
com.amazonaws..region.servicecatalog -
您需要的任何其他Amazon服务。
如果您使用 SageMaker Python SDK
运行远程训练任务,则还必须创建以下 Amazon VPC 终端节点。 -
Amazon Security Token Service:
com.amazonaws.region.sts -
Amazon CloudWatch:
com.amazonaws.。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需Amazon CloudWatch的。region.logs
-
注意
对于在 VPC 模式下工作的客户,公司防火墙可能会导致 SageMaker Studio 或 JupyterServer 与之间的连接问题 KernelGateway。如果您在防火墙后面使用 SageMaker Studio 时遇到其中一个问题,请进行以下检查。
-
检查 Studio 网址是否在您的网络允许列表中。
-
检查 websocket 连接是否未被阻止。Jupyter 在幕后使用 websocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。在打开系统终端时,你也应该会看到这个问题。