当我开启网络隔离时，我的 SageMaker 容器如何访问 Amazon S3 数据并将日志推送到 CloudWatch？

解决方法

当您开启网络隔离时，SageMaker 会单独访问训练或推理容器的 Amazon S3 和 CloudWatch。如果您未指定 Amazon Virtual Private Cloud (Amazon VPC)，则会在服务器端进行数据访问和日志记录。在这种情况下，容器无法访问网络。

当您在训练、处理或模型配置中指定 VpcConfig 时，SageMaker 会在指定的 Amazon VPC 中创建两个弹性网络接口。所有流量都会通过指定 VPC 中的这两个弹性网络接口路由。一个弹性网络接口用于算法容器，另一个用于 Amazon S3 和日志记录访问。如果您在 VpcConfig 中指定了 Amazon VPC，则网络隔离设置不会创建用于算法容器的弹性网络接口。这会阻止容器进行所有出站网络调用。另一个弹性网络接口仍然存在，您可以将其用于 Amazon S3 和日志记录访问。

在这两种情况下，节点上正在运行的内部 SageMaker 进程将会下载数据。然后，在作业定义中指定的输入通道会将这些数据提供给算法容器。此外，节点上正在运行的内部进程会将日志和指标提供给 CloudWatch。这些节点通过 VpcConfig 中的 VPC 连接到 CloudWatch。

无论您是否指定 VpcConfig，容器均无法访问任何 AWS 凭证来对 AWS 服务进行 API 调用。

相关信息

网络隔离