如何在Amazon FSx for Lustre上实现最小访问安全网络以进行SageMaker训练?
0
【以下的问题经过翻译处理】 我正在尝试为 Amazon SageMaker 训练找出一个最低许可但可操作的网络配置,以训练来自 Amazon FSx for Lustre 的数据。我的理解是文件系统和 SageMaker 实例都可以有自己的安全组,并且 FSx 在端口 988 和 1021-1023 上使用 TCP。因此,我认为将 SageMaker 与 FSx 一起使用的良好网络配置如下:
- SageMaker EC2 配备安全组 SM-SG,仅允许来自 FSX-SG 的 988 和 1021-1023 上的 TCP 入站。
- Amazon FSx 配备安全组 FSX-SG,仅允许在 988 和 1021-1023 上使用 TCP 出站到 SM-SG。 这种配置是否足以让训练发挥作用? FSx 和 SageMaker 是否需要打开其他端口和源才能正常运行?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 对于Amazon FSx的安全组(例如:FSx-SG),您需要添加以下额外的规则:
- FSx-SG需要从SageMaker的安全组(例如:SM-SG)获得入站访问权限。SageMaker实例需要启动与Amazon FSx文件系统的连接,这是一个入站TCP数据包到FSx。
- FSx-SG需要对自身进行入站和出站访问权限。这是因为Amazon FSx for Lustre是一个集群文件系统,每个文件系统通常由多个文件服务器驱动,这些文件服务器需要相互通信。
有关FSx-SG所需的最小规则集的更多信息,请参阅[使用Amazon VPC进行文件系统访问控制][1]。 [1]: https://docs.aws.amazon.com/fsx/latest/LustreGuide/limit-access-security-groups.html
相关内容
AWS 官方已更新 10 个月前- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前