Communication VPC only avec Internet Exigences pour utiliser le mode VPC only

Utilisation des fonctions géospatiales d'Amazon SageMaker dans votre réseau Amazon Virtual Private Cloud

La rubrique suivante explique comment utiliser les blocs-notes SageMaker avec une image géospatiale de SageMaker dans un domaine Amazon SageMaker AI en mode VPC uniquement. Pour plus d’informations sur les VPC dans Amazon SageMaker Studio Classic, consultez Choix d’un réseau Amazon VPC.

Communication `VPC only` avec Internet

Par défaut, le domaine SageMaker AI utilise deux réseaux Amazon VPC. L’un des deux réseaux Amazon VPC est géré par Amazon SageMaker AI et fournit un accès direct à Internet. Vous spécifiez l’autre réseau Amazon VPC, qui fournit le trafic chiffré entre le domaine et votre volume Amazon Elastic File System (Amazon EFS).

Vous pouvez modifier ce comportement pour que SageMaker AI envoie tout le trafic via votre réseau Amazon VPC spécifié. Si vous avez choisi le mode d’accès au réseau VPC only lors de la création du domaine SageMaker AI, les exigences suivantes doivent être prises en compte pour continuer à autoriser l’utilisation des blocs-notes SageMaker Studio Classic au sein du domaine SageMaker AI créé.

Exigences pour utiliser le mode `VPC only`

Note

Pour utiliser les composants de visualisation des fonctionnalités géospatiales de SageMaker, le navigateur que vous utilisez pour accéder à l’interface utilisateur de SageMaker Studio Classic doit être connecté à Internet.

Si vous avez choisi VpcOnly, procédez comme suit :

Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode VpcOnly.
Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d’adresse IP totale d’un domaine Studio Classic est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Veillez à ce que votre utilisation estimée d’adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d'adresses IP. Pour plus d’informations, consultez Dimensionnement des VPC et des sous-réseaux pour IPv4.

Note
Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d’informations sur l’attribut de location pour les VPC, consultez Instances dédiées.
Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui, ensemble, autorisent le trafic suivant :
- Trafic NFS sur TCP sur le port 2049 entre le domaine et le volume Amazon EFS.
- Trafic TCP au sein du groupe de sécurité. Ceci est requis pour la connectivité entre l’appli JupyterServer et les applis KernelGateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535.
Si vous souhaitez autoriser l’accès à Internet, vous devez utiliser une passerelle NAT avec accès Internet, par exemple via une passerelle Internet.
Si vous ne souhaitez pas autoriser l’accès à Internet, créez des points de terminaison de VPC d’interface (AWS PrivateLink) pour permettre à Studio Classic d’accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.

Note
Actuellement, les fonctions géospatiales de SageMaker ne sont prises en charge que dans la région USA Ouest (Oregon).
- API SageMaker : com.amazonaws.us-west-2.sagemaker.api
- Environnement d’exécution de SageMaker AI : com.amazonaws.us-west-2.sagemaker.runtime. Ceci est requis pour exécuter des blocs-notes Studio Classic avec une image géospatiale de SageMaker.
- Simple Storage Service (Amazon S3) : com.amazonaws.us-west-2.s3.
- Pour utiliser SageMaker Projects :com.amazonaws.us-west-2.servicecatalog.
- Fonctions géospatiales de SageMaker : com.amazonaws.us-west-2.sagemaker-geospatial
Si vous utilisez le kit SageMaker Python SDK pour exécuter des tâches d'entraînement à distance, vous devez également créer les points de terminaison Amazon VPC suivants.
- AWS Security Token Service: com.amazonaws.region.sts
- Amazon CloudWatch : com.amazonaws.region.logs. Requis pour permettre au kit SageMaker Python SDK d’obtenir le statut de la tâche d’entraînement à distance auprès d’Amazon CloudWatch.

Note

Pour un client travaillant en mode VPC, les pare-feu d’entreprise peuvent provoquer des problèmes de connexion avec SageMaker Studio Classic ou entre JupyterServer et KernelGateway. Effectuez les vérifications suivantes si vous rencontrez l’un de ces problèmes lorsque vous utilisez SageMaker Studio Classic derrière un pare-feu.

Vérifiez que l’URL de Studio Classic est dans votre liste d’autorisations de réseaux.
Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si l'application KernelGateway est InService, JupyterServer peut ne pas être en mesure de se connecter à KernelGateway. Vous devriez voir ce problème également lors de l’ouverture du terminal système.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques en matière de sécurité pour les fonctions géospatiales de SageMaker

Utilisation d'autorisations AWS KMS pour les fonctions géospatiales de SageMaker