Ich habe die Netzwerkisolation für meinen Amazon SageMaker-Container aktiviert. Ich möchte wissen, wie der Container auf die Daten des Amazon Simple Storage Service (Amazon S3) zugreift und die Protokolle mithilfe von Push an Amazon CloudWatch überträgt.
Lösung
Wenn du die Netzwerkisolation aktivierst, greift SageMaker isoliert auf Amazon S3 und CloudWatch zu, um die Trainings- oder Inference-Container zu nutzen. Wenn du keine Amazon Virtual Private Cloud (Amazon VPC) angibst, erfolgt der Datenzugriff und die Protokollierung auf der Serverseite. In diesem Fall kann der Container nicht auf das Netzwerk zugreifen.
Wenn du VpcConfig in deiner Trainings-, Verarbeitungs- oder Modellkonfiguration angibst, erstellt SageMaker zwei Elastic Network-Schnittstellen in der angegebenen Amazon VPC. Der gesamte Datenverkehr wird über diese beiden Elastic Network-Schnittstellen in der angegebenen VPC geleitet. Eine Elastic Network-Schnittstelle ist für den Algorithmus-Container und die andere für Amazon S3. Wenn du in VpcConfig eine Amazon VPC angibst, erstellt die Netzwerkisolationseinstellung nicht die Elastic Network-Schnittstelle für den Algorithmus-Container. Dadurch wird der Container vor allen ausgehenden Netzwerkanrufen geschützt. Die andere Elastic Network-Schnittstelle bleibt erhalten, und du kannst sie für den Amazon S3-Zugriff verwenden.
In beiden Fällen laden die internen SageMaker-Prozesse, die auf den Knoten ausgeführt werden, die Daten herunter. Anschließend stellen die Eingabekanäle, die du in der Auftragsdefinition angegeben hast, diese Daten dem Algorithmus-Container zur Verfügung. Außerdem stellen die internen Prozesse, die auf dem Knoten ausgeführt werden, die Protokolle und Metriken für CloudWatch zur Verfügung. Diese Knoten stellen über die von SageMaker verwaltete VPC eine Verbindung zu CloudWatch her.
Unabhängig davon, ob du VpcConfig angibst oder nicht, hat der Container keinen Zugriff auf AWS-Anmeldeinformationen, um API-Aufrufe an AWS-Services zu tätigen.
Ähnliche Informationen
Netzwerkisolation