¿Cómo accede mi contenedor de SageMaker a los datos de Amazon S3 y envía los registros a CloudWatch cuando activo el aislamiento de red?

Resolución

Al activar el aislamiento de red, SageMaker accede a Amazon S3 y CloudWatch de forma aislada a los contenedores de entrenamiento o inferencia. Si no especificas una VPC de Amazon Virtual Private Cloud (Amazon VPC), el acceso a los datos y el registro se realizan en el servidor. En este caso, el contenedor no puede acceder a la red.

Al especificar VpcConfig en la configuración de entrenamiento, procesamiento o modelo, SageMaker crea dos interfaces de red elásticas en la VPC de Amazon VPC especificada. Todo el tráfico se dirige a través de estas dos interfaces de red elásticas en la VPC especificada. Una interfaz de red elástica es para el contenedor de algoritmos y la otra es para Amazon S3. Si especificas una VPC de Amazon VPC en VpcConfig, la configuración de aislamiento de red no crea la interfaz de red elástica para el contenedor de algoritmos. Esto bloquea al contenedor de todas las llamadas de red salientes. La otra interfaz de red elástica permanece y puedes utilizarla para acceder a Amazon S3.

En ambos casos, los procesos internos de SageMaker que se procesan en los nodos descargan los datos. A continuación, los canales de entrada que especificaste en la definición del trabajo hacen que estos datos estén disponibles para el contenedor de algoritmos. Además, los procesos internos que se procesan en el nodo hacen que los registros y las métricas estén disponibles para CloudWatch. Estos nodos se conectan a CloudWatch a través de la VPC administrada por SageMaker.

Independientemente de si especificas VpcConfig o no, el contenedor no tiene acceso a ninguna credencial de AWS para realizar llamadas de API a los servicios de AWS.

Información relacionada

Network isolation