Comment mon conteneur SageMaker accède-t-il aux données Amazon S3 et transmet-il les journaux à CloudWatch lorsque j'active l'isolement du réseau ?

Solution

Lorsque vous activez l'isolement du réseau, SageMaker accède à Amazon S3 et CloudWatch indépendamment des conteneurs d'apprentissage ou d'inférence. Si vous ne spécifiez pas un Amazon Virtual Private Cloud (Amazon VPC), l'accès aux données et la journalisation se font du côté serveur. Dans ce cas, le conteneur ne peut pas accéder au réseau.

Lorsque vous spécifiez VpcConfig dans votre configuration d'apprentissage, de traitement ou de modèle, SageMaker crée deux interfaces réseau Elastic dans le VPC Amazon spécifié. Tout le trafic est acheminé via ces deux interfaces réseau Elastic dans le VPC spécifié. Une interface réseau Elastic est destinée au conteneur d'algorithmes et l'autre à l'accès à Amazon S3 et à la journalisation. Si vous spécifiez un Amazon VPC dans VPCConfig, le paramètre d'isolement du réseau ne crée pas l'interface réseau Elastic pour le conteneur d'algorithmes. Cela bloque le conteneur pour tous les appels réseau sortants. L'autre interface réseau Elastic est conservée et vous pouvez l'utiliser pour l'accès à Amazon S3 et à la journalisation.

Dans les deux cas, les processus internes de SageMaker exécutés sur les nœuds téléchargent les données. Ensuite, les canaux d'entrée spécifiés dans la définition de la tâche mettent ces données à la disposition du conteneur d'algorithmes. De plus, les processus internes qui s'exécutent sur le nœud mettent les journaux et les métriques à la disposition de CloudWatch. Ces nœuds se connectent à CloudWatch via le VPC qui se trouve dans VPCConfig.

Que vous précisiez ou non VpcConfig, le conteneur n'a pas accès aux informations d'identification AWS pour effectuer des appels API vers les services AWS.

Informations connexes

Isolement du réseau