Como meu contêiner do SageMaker acessa os dados do Amazon S3 e envia logs para o CloudWatch quando eu ativo o isolamento de rede?

2 minuto de leitura
0

Eu ativei o isolamento de rede para meu contêiner Amazon SageMaker. Quero saber como o contêiner acessa os dados do Amazon Simple Storage Service (Amazon S3) e envia os logs para o Amazon CloudWatch.

Resolução

Quando você ativa o isolamento de rede, o SageMaker acessa o Amazon S3 e o CloudWatch isoladamente nos contêineres de treinamento ou inferência. Se você não especificar uma Amazon Virtual Private Cloud (Amazon VPC), o acesso aos dados e o registro acontecerão no lado do servidor. Nesse caso, o contêiner não pode acessar a rede.

Quando você especifica o VPCConfig em sua configuração de treinamento, processamento ou modelo, o SageMaker cria duas interfaces de rede elásticas na Amazon VPC especificada. Todas as rotas de tráfego por meio dessas duas interfaces de rede elástica na VPC especificada. Uma interface de rede elástica é para o contêiner do algoritmo e a outra é para o Amazon S3. Se você especificar um Amazon VPC no VPCConfig, a configuração de isolamento de rede não criará a interface de rede elástica para o contêiner do algoritmo. Isso bloqueia o contêiner de todas as chamadas de rede de saída. A outra interface de rede elástica permanece e você pode usá-la para acessar o Amazon S3.

Em ambos os casos, os processos internos do SageMaker que são executados nos nós baixam os dados. Em seguida, os canais de entrada que você especificou na definição do trabalho disponibilizam esses dados para o contêiner do algoritmo. Além disso, os processos internos executados no nó disponibilizam os logs e as métricas para o CloudWatch. Esses nós se conectam ao CloudWatch por meio da VPC gerenciada pelo SageMaker.

Independentemente de você especificar ou não o VPCConfig, o contêiner não tem acesso a nenhuma credencial da AWS para fazer chamadas de API aos serviços da AWS.

Informações relacionadas

Isolamento de rede

AWS OFICIAL
AWS OFICIALAtualizada há 6 meses