Como soluciono problemas de conectividade com o JupyterLab e o Code Editor quando uso o SageMaker Studio no modo somente VPC?

6 minuto de leitura

Quando uso meu ambiente do Amazon SageMaker Studio no modo somente VPC, tenho problemas de conectividade com meus espaços do JupyterLab e do Code Editor.

Breve descrição

Se você não configurar corretamente sua nuvem privada virtual (VPC), os seguintes problemas poderão ocorrer no SageMaker Studio:

A tela de carregamento do espaço não responde e você recebe uma mensagem de erro no Amazon CloudWatch Logs semelhante a “Connect timeout on endpoint URL: 'https://api.sagemaker.us-east-1.amazonaws.com/'”.
Falha ao carregar a aplicação JupyterLab ou Code Editor.
Não há conectividade com a Internet e, consequentemente, os comandos expiram.
As extensões do JupyterLab ou do Code Editor não funcionam conforme o esperado.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Configurar os grupos de segurança do SageMaker Studio

O SageMaker Studio não exige regras de porta específicas para a funcionalidade básica, mas você deve adicionar uma regra para o tráfego de saída do Amazon SageMaker AI. Por padrão, o SageMaker AI usa HTTPS (porta 443) para comunicações de API.

Para adicionar uma regra para o tráfego de saída do SageMaker Studio às APIs da AWS, conclua as seguintes etapas:

Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
No painel de navegação, escolha Grupos de segurança.
Selecione o grupo de segurança vinculado ao seu domínio.
Escolha Ações e, em seguida, Editar regras de saída.
Escolha Adicionar regra.
Em Tipo, selecione HTTPS.
Em Destino, insira 0.0.0.0.
Selecione Salvar regras.

Talvez você precise de portas e regras adicionais com base nos recursos que deseja acessar do SageMaker Studio. Por exemplo, seu grupo de segurança deve permitir conexões de entrada e saída na porta 2049 para que o protocolo Network File System (NFS) use os seguintes recursos:

Um Amazon Elastic File System (Amazon EFS) personalizado
Amazon SageMaker Studio Classic
Montagem automática do Amazon EFS

Ao acessar recursos em sua VPC a partir do caderno do SageMaker Studio, o tráfego da conta de serviço passa pela sua interface de rede elástica. Todas as aplicações criadas em seu domínio existem na VPC da sua conta de serviço do SageMaker AI. As aplicações comunicam-se entre si por meio das interfaces de rede que você conecta à sua VPC. As aplicações fazem parte da conta do serviço de domínio do SageMaker Studio, mas são executadas em diferentes instâncias do Amazon Elastic Compute Cloud (Amazon EC2).

Para atualizar as configurações DefaultUserSettings e DefaultSpaceSettings do seu domínio do SageMaker Studio para usar o novo grupo de segurança, execute o comando update-domain da AWS CLI:

aws sagemaker update-domain --domain-id d-12345abcde \
--default-user-settings '{
    "SecurityGroups": ["sg-0000"]
  }' \
--default-space-settings '{
    "ExecutionRole": "arn:aws:iam::111111111:role/SageMakerRole",
    "SecurityGroups": ["sg-0000"]
  }'

Observação: antes de executar o comando anterior, você deve excluir todas as aplicações com status InService dos seus perfis de usuário.

Em seguida, recrie o domínio vinculado aos grupos de segurança necessários. A saída do parâmetro SecurityGroups lista todos os grupos de segurança da VPC que o SageMaker Studio usa para comunicação.

Para confirmar que seu grupo de segurança foi atualizado, execute o comando describe-domain:

aws sagemaker describe-domain --domain-id d-12345abcde

Em seguida, inicie o SageMaker Studio e confirme se as aplicações estão funcionando corretamente. Para testar a conectividade com a Internet, execute o seguinte comando em uma célula de caderno:

!curl amazon.com

Para mais informações, consulte Conectar cadernos do Studio em uma VPC a recursos externos.

Verificar se a sub-rede tem os endpoints da VPC corretos

Se seus recursos do SageMaker Studio não precisarem de acesso à Internet, você não precisará adicionar um gateway NAT. No entanto, um caderno do Studio requer os seguintes endpoints para executar e realizar operações básicas:

API do SageMaker: com.amazonaws.your-aws-region.sagemaker.api
Runtime do SageMaker: com.amazonaws.your-aws-region.sagemaker.runtime

Observação: substitua your-aws-region pela sua região da AWS.

Para acessar os modelos do Amazon Simple Storage Service (Amazon S3) e do Amazon SageMaker Projects, crie os seguintes endpoints:

Para Amazon S3: com.amazonaws.your-aws-region.s3
Para modelos do SageMaker Project: com.amazonaws.your-aws-region.servicecatalog

Observação: substitua your-aws-region pela sua região.

Para associar os grupos de segurança aos endpoints da VPC, conclua as seguintes etapas:

Abra o console da Amazon VPC.
No painel de navegação, selecione Endpoints.
Selecione o endpoint que deseja atualizar.
Escolha Ações e, em seguida, Gerenciar grupos de segurança.
Selecione o grupo de segurança.
Escolha Salvar.

Para mais informações, consulte Conceder às tarefas de treinamento do SageMaker AI acesso aos recursos na sua Amazon VPC e Comunicação somente VPC com a Internet.

Conectar o domínio a uma sub-rede privada e a um gateway NAT ativo

Quando seus recursos do SageMaker Studio precisarem de acesso à Internet, configure seu domínio para se conectar a sub-redes privadas. Em seguida, crie um gateway NAT e permita que o tráfego do gateway NAT passe pela tabela de rotas da sua sub-rede privada. Para mais informações, consulte Como configuro um gateway NAT para uma sub-rede privada na Amazon VPC?

Observação: o domínio do SageMaker Studio conectado a uma sub-rede pública não permite que você se conecte à Internet.

Confirmar se a VPC atende aos requisitos

Se você iniciar seu SageMaker Studio no modo somente VPC, sua VPC deverá atender aos seguintes requisitos:

As sub-redes devem ter endereços IP disponíveis suficientes para a instância.
Se você usa um endpoint da VPC para executar as APIs do SageMaker, defina Ativar nomes de host DNS e Ativar suporte DNS como verdadeiro em sua VPC. Sua VPC exige que os atributos se conectem ao endpoint da API do SageMaker AI quando você usa os recursos do SageMaker AI.

Solucionar problemas de configuração

Se você ainda tiver problemas depois de atualizar a configuração da VPC, reinicie a aplicação.

Se você configurou os usuários do SageMaker Studio com um perfil de execução diferente, poderão ocorrer problemas de conectividade.

Certifique-se de que as permissões do perfil de execução do usuário incluam as políticas necessárias para permitir que o perfil execute as seguintes ações:

CreateNetworkInterface
CreatePresignedDomainUrl
CreateSpace
CreateApp
DescribeApp

Tópicos: Machine Learning & AI Storage
Tags: Amazon SageMaker
Idioma: Português

AWS OFICIALAtualizada há 6 meses

Sem comentários

Conteúdo relevante

Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há 7 meses
Como criar um novo Cluster com a conta Free Tier?
Iury Rodrigues
feita há 2 meses
Possível cobranca
Pedro Velosa
feita há 4 meses
Stack perdeu o vinculo com meu Pool no Cognito
rePost-User-3170605
feita há 6 meses
AWS RDS MYSQL 8.4.5
Juliano
feita há 5 meses
Como solucionar problemas ao acessar um projeto do Amazon SageMaker no SageMaker Studio?
AWS OFICIALAtualizada há 3 anos
Por que não consigo iniciar o Amazon SageMaker Studio?
AWS OFICIALAtualizada há 5 meses
Como resolver o erro ConnectTimeoutError ao conectar-se a um cluster do Amazon EMR do meu notebook Amazon SageMaker Studio?
AWS OFICIALAtualizada há 3 anos
Como posso solucionar problemas de trabalhos de cadernos programados no SageMaker Studio?
AWS OFICIALAtualizada há 2 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 3 meses