Come posso risolvere i problemi di connettività con JupyterLab e Code Editor quando utilizzo SageMaker Studio in modalità solo VPC?

5 minuti di lettura

Quando utilizzo il mio ambiente Amazon SageMaker Studio in modalità solo VPC, ho problemi di connettività con i miei spazi JupyterLab e Code Editor.

Breve descrizione

Se non configuri correttamente il cloud privato virtuale (VPC), in SageMaker Studio potrebbero verificarsi i seguenti problemi:

La schermata di caricamento dello spazio non risponde e in Amazon CloudWatch Logs viene visualizzato un messaggio di errore simile a "Connect timeout on endpoint URL: 'https://api.sagemaker.us-east-1.amazonaws.com/'".
L'applicazione JupyterLab o Code Editor non viene caricata.
Non c'è connettività Internet e quindi i comandi scadono.
Le estensioni JupyterLab o Code Editor non funzionano come previsto.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori relativi ad AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Configura i gruppi di sicurezza per SageMaker Studio

SageMaker Studio non richiede specifiche regole riguardanti le porte per la funzionalità di base, ma è necessario aggiungere una regola per il traffico in uscita da Amazon SageMaker AI. Per impostazione predefinita, SageMaker AI utilizza HTTPS (porta 443) per le comunicazioni API.

Per aggiungere una regola per il traffico in uscita da SageMaker Studio alle API AWS, completa i seguenti passaggi:

Apri la console Amazon Virtual Private Cloud (Amazon VPC).
Nel pannello di navigazione, scegli Gruppi di sicurezza.
Seleziona il gruppo di sicurezza collegato al dominio.
Scegli Operazioni, quindi Modifica le regole in uscita.
Scegli Aggiungi regola.
Per Tipo, scegli HTTPS.
In Destinazione inserisci 0.0.0.0.
Scegli Salva regole.

Potresti aver bisogno di porte e regole aggiuntive in base alle risorse a cui desideri accedere da SageMaker Studio. Ad esempio, il gruppo di sicurezza deve consentire le connessioni in entrata e in uscita sulla porta 2049 affinché il protocollo Network File System (NFS) utilizzi le seguenti risorse:

Amazon Elastic File System (Amazon EFS) personalizzato
Amazon SageMaker Studio Classic
Amazon EFS con montaggio automatico

Quando accedi alle risorse del VPC dal notebook SageMaker Studio, il traffico dell'account di servizio passa attraverso l'interfaccia di rete elastica. Tutte le app che crei nel dominio esistono all'interno del VPC dell'account di servizio SageMaker AI. Le app comunicano tra loro tramite le interfacce di rete che colleghi al VPC. Le app fanno parte dell'account di servizio del dominio di SageMaker Studio, ma vengono eseguite su diverse istanze Amazon Elastic Compute Cloud (Amazon EC2).

Per aggiornare i valori DefaultUserSettings e DefaultSpaceSettings del dominio di SageMaker Studio in modo da utilizzare il nuovo gruppo di sicurezza, esegui il comando AWS CLI update-domain:

aws sagemaker update-domain --domain-id d-12345abcde \
--default-user-settings '{
    "SecurityGroups": ["sg-0000"]
  }' \
--default-space-settings '{
    "ExecutionRole": "arn:aws:iam::111111111:role/SageMakerRole",
    "SecurityGroups": ["sg-0000"]
  }'

Nota: prima di eseguire il comando precedente, devi eliminare tutte le app con stato InService dai profili utente.

Quindi ricrea il dominio collegato ai gruppi di sicurezza necessari. L'output relativo al parametro SecurityGroups elenca tutti i gruppi di sicurezza per il VPC che SageMaker Studio utilizza per la comunicazione.

Per verificare che il gruppo di sicurezza sia stato aggiornato, esegui il comando describe-domain:

aws sagemaker describe-domain --domain-id d-12345abcde

Quindi avvia SageMaker Studio e verifica che le applicazioni funzionino correttamente. Per testare la connettività Internet, esegui questo comando da una cella del notebook:

!curl amazon.com

Per ulteriori informazioni, consulta Collega i notebook Connect Studio in un VPC a risorse esterne.

Verifica che la sottorete abbia gli endpoint VPC corretti

Se le risorse di SageMaker Studio non richiedono l'accesso a Internet, non serve aggiungere un gateway NAT. Tuttavia, un notebook Studio richiede questi endpoint per avviare ed eseguire operazioni di base:

API di SageMaker: com.amazonaws.your-aws-region.sagemaker.api
Runtime di SageMaker: com.amazonaws.your-aws-region.sagemaker.runtime

Nota: sostituisci your-aws-region con la tua Regione AWS.

Per accedere ai modelli di progetti Amazon SageMaker e Amazon Simple Storage Service (Amazon S3), crea i seguenti endpoint:

Per Amazon S3: com.amazonaws.your-aws-region.s3
Per i modelli di progetti SageMaker: com.amazonaws.your-aws-region.servicecatalog

Nota: sostituisci your-aws-region con la tua Regione.

Per associare i gruppi di sicurezza agli endpoint VPC, completa i seguenti passaggi:

Apri la console Amazon VPC.
Nel pannello di navigazione, scegli Endpoint.
Seleziona l'endpoint che desideri aggiornare.
Scegli Operazioni, quindi Gestisci gruppi di sicurezza.
Seleziona il gruppo di sicurezza.
Scegli Salva.

Per ulteriori informazioni, consulta Accesso dei job di addestramento SageMaker AI alle risorse in Amazon VPC e Comunicazione solo VPC con Internet.

Connetti il dominio a una sottorete privata e a un gateway NAT attivo

Quando le risorse di SageMaker Studio richiedono l'accesso a Internet, configura il dominio per connettersi a sottoreti private. Quindi crea un gateway NAT e consenti il traffico dal gateway NAT attraverso la tabella di routing della sottorete privata. Per ulteriori informazioni, consulta Come posso configurare un gateway NAT per una sottorete privata in Amazon VPC?

Nota: il dominio di SageMaker Studio connesso a una sottorete pubblica non consente la connessione a Internet.

Verifica che il VPC soddisfi i requisiti

Se avvii SageMaker Studio in modalità solo VPC, il VPC deve soddisfare i seguenti requisiti:

Le sottoreti devono avere un numero sufficiente di indirizzi IP disponibili per l'istanza.
Se utilizzi un endpoint VPC per eseguire le API di SageMaker, imposta Abilita hostname DNS e Enable DNS Support (Abilita supporto DNS) su true per il VPC. Il VPC richiede che gli attributi si connettano all'endpoint dell'API SageMaker AI quando utilizzi le funzionalità di SageMaker AI.

Risolvi i problemi di configurazione

Se i problemi persistono dopo l'aggiornamento della configurazione del VPC, riavvia l'applicazione.

Se hai configurato gli utenti di SageMaker Studio con un ruolo di esecuzione diverso, potrebbero verificarsi problemi di connettività.

Assicurati che le autorizzazioni del ruolo di esecuzione dell'utente includano le policy necessarie per consentire al ruolo di eseguire queste azioni:

CreateNetworkInterface
CreatePresignedDomainUrl
CreateSpace
CreateApp
DescribeApp

Argomenti: Machine Learning & AI Storage
Tag: Amazon SageMaker
Lingua: Italiano

AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente

Come posso risolvere i problemi relativi all'accesso a un progetto Amazon SageMaker in SageMaker Studio?
AWS UFFICIALEAggiornata 3 anni fa
Come posso risolvere l'errore ConnectTimeoutError quando mi connetto a un cluster Amazon EMR dal mio notebook Amazon SageMaker Studio?
AWS UFFICIALEAggiornata 3 anni fa
Perché non riesco ad avviare Amazon SageMaker Studio?
AWS UFFICIALEAggiornata 5 mesi fa
Perché ricevo errori quando avvio un URL prefirmato su istanze del notebook SageMaker AI o su domini SageMaker Studio?
AWS UFFICIALEAggiornata 7 mesi fa