Wie behebe ich Probleme bei der Netzwerkkonnektivität meiner Notebook-Instance für Amazon SageMaker, bei der der direkte Internetzugang deaktiviert ist?

Letzte Aktualisierung: 18.11.2022

Meine Notebook-Instance für Amazon SageMaker befindet sich in einer Amazon Virtual Private Cloud (Amazon VPC) mit deaktiviertem direktem Internetzugang und ich muss Probleme mit den Netzwerkeinstellungen beheben.

Lösung

SageMaker-Notebook-Instances können für die Nutzung des öffentlichen Internets oder einer Amazon VPC konfiguriert werden. Wenn Sie eine Amazon VPC nutzen, verwendet die SageMaker-Notebook-Instance die VPC anstelle des öffentlichen Internets zum Trainieren oder Bereitstellen von Modellen.

Hinweis: Nachdem Sie eine SageMaker-Notebook-Instance erstellt haben, können Sie die Netzwerkkonfigurationseinstellungen nicht ändern. Dies gilt sowohl für Public Internet Only und VPC-SageMaker-Notebooks. Wenn Ihr SageMaker-Notebook Änderungen an den Netzwerkeinstellungen erfordert, müssen Sie eine neue Notebook-Instance erstellen.

Wenn sich eine Notebook-Instance mit deaktiviertem direktem Internetzugang im VPC-Modus befindet, können Sie Modelle von Notebooks auf dieser Instance nicht trainieren oder bereitstellen, es sei denn:

  • Ihre VPC hat ein NAT-Gateway.
  • Ihre Instance-Sicherheitsgruppe erlaubt ausgehende Verbindungen.

Wenn Sie nicht möchten, dass der Datenverkehr vom Notebook über das Internet fließt, verwenden Sie VPC-Endpunkte, um eine Verbindung zu Services wie SageMaker API und SageMaker Runtime herzustellen. Weitere Informationen finden Sie unter Verbindung zu SageMaker über einen VPC-Schnittstellenendpunkt herstellen.

Aktivieren Sie den Internetzugang von einer Notebook-Instance in einer Amazon VPC mit deaktiviertem direktem Internet unter Verwendung eines NAT-Gateways

Erstellen Sie als Voraussetzung ein privates und ein öffentliches Subnetz in derselben Region wie die VPC der Notebook-Instance:

1.    Öffnen Sie die Amazon-VPC-Konsole.

2.    Wählen Sie im Navigationsbereich NAT-Gateways aus.

3.    Wählen Sie NAT-Gateway erstellen und gehen Sie wie folgt vor:

  • (Optional) Geben Sie einen Namen für das NAT-Gateway an.
  • Wählen Sie das öffentliche Subnetz.
  • Für die Elastic-IP-Zuweisungs-ID ordnen Sie dem NAT-Gateway eine Elastic IP zu. Sie können eine Elastic-IP-Adresse zuweisen, falls Sie keine haben.

4.    Wählen Sie NAT-Gateway erstellen.

5.    Fügen Sie das NAT-Gateway zur Routing-Tabelle des privaten Subnetzes hinzu.

Weitere Informationen zur Verwendung von SageMaker mit Ihrer Amazon VPC finden Sie unter Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen.

Prüfungen zur Fehlerbehebung bei NAT-Gateways durchführen

  • Überprüfen Sie, ob Ihrer VPC ein vorhandenes NAT-Gateway zugeordnet ist.
  • Überprüfen Sie, ob sich Ihre VPC und Ihr NAT-Gateway in derselben Region befinden.
  • Stellen Sie sicher, dass Ihr NAT-Gateway in einem öffentlichen Subnetz erstellt wurde.
  • Überprüfen Sie, ob das NAT-Gateway in der Routing-Tabelle für ein privates Subnetz als Ziel zugeordnet ist.
  • Stellen Sie sicher, dass Ihr Ziel eingehenden und ausgehenden Verkehr zulässt.
  • Überprüfen Sie, ob die Sicherheitsgruppe Ihrer Amazon VPC ausgehende Verbindungen zulässt.

Weitere Informationen zu NAT-Gateways finden Sie unter NAT-Gateways.

Aktivieren Sie den Zugriff auf AWS-Services über eine Notebook-Instance mit deaktiviertem direktem Internet über einen VPC-Endpunkt

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Endpunkte im Navigationsbereich aus.
  3. Wählen Sie Endpunkt erstellen aus.
  4. Wählen Sie für die Service-Kategorie die Option AWS-Services aus.
  5. Wählen Sie als Servicename den Service aus.
  6. Wählen Sie für VPC die VPC aus, die sich in derselben Region wie Ihre SageMaker-Notebook-Instance befindet.
  7. Wählen Sie die Routing-Tabelle, die dem privaten Subnetz zugeordnet ist.
  8. Wählen Sie Endpunkt erstellen aus.

Weitere Informationen über VPC-Endpunkte finden Sie unter Zugriff auf einen AWS-Service über einen Schnittstellen-VPC-Endpunkt.

Prüfungen zur Fehlerbehebung am VPC-Endpunkt durchführen

  • Stellen Sie sicher, dass Ihre Amazon VPC über einen vorhandenen VPC-Endpunkt verfügt, der dem AWS-Service zugeordnet ist, zu dem Sie eine Verbindung herstellen möchten.
  • Stellen Sie sicher, dass sich sowohl Ihre Amazon VPC als auch der AWS-Service, mit dem Sie eine Verbindung herstellen möchten, in derselben Region befinden.
  • Stellen Sie sicher, dass der VPC-Endpunkt mit einer privaten Subnetz-Routing-Tabelle verknüpft ist.