Connessione di Amazon SageMaker Studio in un VPC a risorse esterne - Amazon SageMaker AI
Comunicazione predefinita con InternetComunicazione VPC only con Internet

Connessione di Amazon SageMaker Studio in un VPC a risorse esterne

Importante

A partire dal 30 novembre 2023, la precedente esperienza Amazon SageMaker Studio ha cambiato nome in Amazon SageMaker Studio Classic. La sezione seguente è specifica per l’utilizzo dell’esperienza Studio aggiornata. Per informazioni sull’utilizzo dell’applicazione Studio Classic, consulta Amazon SageMaker Studio Classic.

L’argomento seguente fornisce informazioni su come connettere Amazon SageMaker Studio in un VPC a risorse esterne.

Comunicazione predefinita con Internet

Per impostazione predefinita, Amazon SageMaker Studio fornisce un’interfaccia di rete che consente la comunicazione con Internet tramite un VPC gestito da SageMaker AI. Il traffico verso servizi AWS come Amazon S3 e CloudWatch passa attraverso un gateway Internet, così come il traffico che accede all’API di SageMaker AI e al runtime di SageMaker AI. Il traffico tra il dominio e il volume Amazon EFS passa attraverso il VPC che hai specificato quando hai effettuato l’onboarding nel dominio o hai chiamato l’API CreateDomain.

Comunicazione VPC only con Internet

Per evitare che SageMaker AI fornisca l’accesso a Internet ai notebook Studio, puoi disabilitare l’accesso a Internet specificando il tipo di accesso di rete VPC only quando effettui l’onboarding in Studio o chiami l’API CreateDomain. Di conseguenza, non potrai eseguire Studio a meno che il VPC non disponga di un endpoint di interfaccia per l’API e il runtime di SageMaker oppure di un gateway NAT con accesso a Internet, e a condizione che i gruppi di sicurezza consentano connessioni in uscita.

Nota

Il tipo di accesso alla rete può essere modificato dopo la creazione del dominio utilizzando il parametro --app-network-access-type del comando update-domain.

Requisiti per l'utilizzo della modalità VPC only

Quando scegli VpcOnly, segui queste fasi:

  1. Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità VpcOnly.

  2. Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l'utilizzo stimato dell'indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l'utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, consulta VPC and subnet sizing for IPv4.

    Nota

    È possibile configurare solo le sottoreti con un VPC con tenancy predefinita in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo di tenancy per i VPC, consulta Istanze dedicate.

  3. avvertimento

    Quando utilizzi la modalità VpcOnly, sei in parte proprietario della configurazione di rete per il dominio. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegi minimi all'accesso in entrata e in uscita fornito dalle regole del gruppo di sicurezza. Configurazioni di regole in entrata eccessivamente permissive potrebbero consentire agli utenti con accesso al VPC di interagire con le applicazioni di altri profili utente senza autenticazione.

    Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che consentano il seguente traffico:

    Crea un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l'accesso in entrata dallo stesso gruppo di sicurezza. Si consiglia di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio.

  4. Se desideri consentire l'accesso a Internet, devi utilizzare un gateway NAT con accesso a Internet, ad esempio tramite un gateway Internet.

  5. Se non desideri consentire l'accesso a Internet, crea endpoint VPC di interfaccia (AWSPrivateLink) per consentire a Studio di accedere ai seguenti servizi con i nomi di servizio corrispondenti. Devi inoltre associare i gruppi di sicurezza per il tuo VPC a questi endpoint.

    • API SageMaker: com.amazonaws.region.sagemaker.api.

    • Runtime di SageMaker AI: com.amazonaws.region.sagemaker.runtime. Obbligatorio per eseguire le invocazioni degli endpoint.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Projects: com.amazonaws.region.servicecatalog.

    • SageMaker Studio: aws.sagemaker.region.studio.

    • Eventuali altri servizi AWS di cui hai bisogno.

    Se utilizzi l'SDK Python SageMaker per eseguire processi di addestramento remoti, devi anche creare i seguenti endpoint VPC Amazon.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs. Questo è necessario per consentire a SageMaker Python SDK di ottenere lo stato del processo di addestramento da remoto. Amazon CloudWatch

  6. Se utilizzi il dominio in modalità VpcOnly da una rete on-premises, stabilisci la connettività privata dalla rete dell’host che esegue Studio nel browser e nell’Amazon VPC di destinazione. Questo valore è necessario perché l’interfaccia utente di Studio invoca gli endpoint AWS utilizzando chiamate API con credenziali temporanee AWS. Queste credenziali temporanee sono associate al ruolo di esecuzione del profilo utente registrato. Se il dominio è configurato in modalità VpcOnly in una rete on-premises, il ruolo di esecuzione potrebbe definire condizioni della policy IAM che impongono l’esecuzione di chiamate API al servizio AWS solo tramite gli endpoint Amazon VPC configurati. Questo causa un errore delle chiamate API eseguite dall’interfaccia utente di Studio. Consigliamo di risolvere il problema utilizzando una connessione AWS Site-to-Site VPN o AWS Direct Connect.

Nota

Per i clienti che lavorano in modalità VPC, i firewall aziendali possono causare problemi di connessione con Studio o con le applicazioni. Effettua i seguenti controlli se riscontri uno di questi problemi quando utilizzi Studio con un firewall.

  • Verifica che l’URL di Studio e gli URL di tutte le tue applicazioni siano nell’elenco di elementi consentiti della rete. Per esempio:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verifica che le connessioni websocket non siano bloccate. Jupyter utilizza websocket.

Ulteriori informazioni