インターネットへの直接アクセスが無効になっている Amazon SageMaker ノートブックインスタンスからのネットワーク接続をトラブルシューティングする方法を教えてください。

最終更新日: 2022 年 11 月 18 日

Amazon SageMaker ノートブックインスタンスはAmazon Virtual Private Cloud (Amazon VPC) 内にあり、インターネットへの直接アクセスが無効になっています。ネットワーク設定のトラブルシューティングを行う必要があります。

解決方法

SageMaker ノートブックインスタンスは、パブリックインターネットまたは Amazon VPC を使用するように設定できます。Amazon VPC を使用する場合、SageMaker ノートブックインスタンスはパブリックインターネットの代わりに VPC を使用してモデルのトレーニングやデプロイを行います。

注意:SageMaker ノートブックインスタンスを作成した後は、ネットワーク構成設定を変更することはできません。これはパブリックインターネット専用VPC SageMaker ノートブックの両方に適用されます。SageMaker ノートブックのネットワーク設定を変更する必要がある場合は、新しいノートブックインスタンスを作成する必要があります。

インターネットへの直接アクセスが無効になっているノートブックインスタンスが VPC モードの場合、次の場合を除き、このインスタンスでノートブックからモデルをトレーニングまたはデプロイすることはできません。

ノートブックからのトラフィックがインターネットを通過しないようにするには、VPC エンドポイントを使用して SageMaker APISageMaker Runtime などのサービスに接続します。詳細については、「Connect to SageMaker though a VPC interface endpoint」(VPC インターフェイスエンドポイント経由で SageMaker に接続する) を参照してください。

NAT ゲートウェイを使用してダイレクトインターネットを非アクティブ化した状態で、Amazon VPC 内のノートブックインスタンスからのインターネットアクセスをアクティブ化する

前提条件として、ノートブックインスタンスの VPC と同じリージョンにプライベートサブネットとパブリックサブネットを作成します。

1.    Amazon VPC コンソールを開きます。

2.    ナビゲーションペインで、[NAT ゲートウェイ] を選択します。

3.    [NAT ゲートウェイの作成] を選択し、次の操作を行います。

  • (オプション) NAT ゲートウェイの名前を指定します。
  • パブリックサブネットを選択します。
  • [Elastic IP allocation ID] (Elastic IP アロケーション ID) で、Elastic IP を NAT ゲートウェイに関連付けます。Elastic IP アドレスがない場合は、割り当てることができます。

4.    [NAT ゲートウェイの作成] を選択します。

5.    NAT ゲートウェイをプライベートサブネットのルートテーブルに追加します。

Amazon VPC で SageMaker を使用する方法の詳細については、「Connect a notebook instance in a VPC to external resources」(VPC 内のノートブックインスタンスを外部リソースに接続する) を参照してください。

NAT ゲートウェイのトラブルシューティングチェックを実行する

  • VPC に既存の NAT ゲートウェイが関連付けられているかどうかを確認します。
  • VPC と NAT ゲートウェイが同じリージョンにあるかどうかを確認します。
  • NAT ゲートウェイがパブリックサブネット内に作成されていることを確認します。
  • NAT ゲートウェイがプライベートサブネットのルートテーブルのターゲットとして関連付けられているかどうかを確認します。
  • 送信先がインバウンドトラフィックとアウトバウンドトラフィックを許可していることを確認します。
  • Amazon VPC のセキュリティグループがアウトバウンド接続を許可しているかどうかを確認します。

NAT ゲートウェイの詳細については、「NAT ゲートウェイ」を参照してください。

VPC エンドポイントを使用してダイレクトインターネットを非アクティブ化した状態で、ノートブックインスタンスから AWS のサービスへのアクセスをアクティブ化する

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインから [Endpoints] (エンドポイント) を選択します。
  3. [Create endpoint] (エンドポイントを作成) を選択します。
  4. サービスカテゴリには、AWS サービスを選択します。
  5. [サービス名] で、サービスを選択します。
  6. VPC の場合は、SageMaker ノートブックインスタンスと同じリージョンにある VPC を選択します。
  7. プライベートサブネットに関連付けられたルートテーブルを選択します。
  8. [Create endpoint] (エンドポイントを作成) を選択します。

VPC エンドポイントの詳細については、「Access an AWS service using an interface VPC endpoint」(インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする) を参照してください。

VPC エンドポイントのトラブルシューティングチェックを実行する

  • Amazon VPC に、接続する AWS のサービスに関連付けられた既存の VPC エンドポイントがあることを確認します。
  • 接続する Amazon VPC と AWS サービスの両方が同じリージョンにあることを確認します。
  • VPC エンドポイントがプライベートサブネットルートテーブルに関連付けられていることを確認します。