Come fa il mio container SageMaker ad accedere ai dati di Amazon S3 e a inviare i log a CloudWatch quando attivo l'isolamento di rete?

Risoluzione

Quando si attiva l'isolamento di rete, SageMaker accede ad Amazon S3 e CloudWatch in modo isolato rispetto ai container di formazione o inferenza. Se non si specifica un Amazon Virtual Private Cloud (Amazon VPC), le operazioni di accesso ai dati e registrazione vengono eseguite sul lato server. In questo caso, il container non può accedere alla rete.

Quando si specifica VpcConfig nella formazione, elaborazione o configurazione del modello, SageMaker crea due interfacce di rete elastiche nell'Amazon VPC specificato. Tutto il traffico passa attraverso queste due interfacce di rete elastiche nel VPC specificato. Un'interfaccia di rete elastica è per il container degli algoritmi e l'altra è per Amazon S3. Se si specifica un Amazon VPC in ** VpcConfig**, l'impostazione di isolamento di rete non crea l'interfaccia di rete elastica per il container dell'algoritmo. Questo blocca il container da tutte le chiamate di rete in uscita. L'altra interfaccia di rete elastica rimane e può essere utilizzata per l'accesso ad Amazon S3.

In entrambi i casi, i processi SageMaker interni eseguiti sui nodi scaricano i dati. Quindi, i canali di input specificati nella definizione del lavoro rendono questi dati disponibili per il container dell'algoritmo. Inoltre, i processi interni eseguiti sul nodo rendono i log e le metriche disponibili per CloudWatch. Questi nodi si connettono a CloudWatch tramite il VPC gestito da SageMaker.

A prescindere che si specifichi VpcConfig, il container non dispone di accesso ad alcuna credenziale AWS per effettuare chiamate API ai servizi AWS.

Informazioni correlate

Isolamento di rete