Como meu contêiner do SageMaker acessa dados do Amazon S3 e envia logs para o CloudWatch quando eu ativo o isolamento de rede?

Resolução

Quando você ativa o isolamento de rede, o SageMaker acessa o Amazon S3 e o CloudWatch isoladamente nos contêineres de treinamento ou inferência. Se você não especificar um Amazon Virtual Private Cloud (Amazon VPC), o acesso e o log de dados ocorrerá no lado do servidor. Nesse caso, o contêiner não pode acessar a rede.

Quando você especifica o VPCConfig no seu treinamento, processamento ou configuração de modelo, o SageMaker cria duas interfaces de rede elásticas no Amazon VPC especificado. Todo o tráfego é roteado por meio dessas duas interfaces de rede elásticas no VPC especificado. Uma interface de rede elástica é para o contêiner do algoritmo e a outra é para o Amazon S3 e o acesso ao log. Se você especificar um Amazon VPC no VPCConfig, a configuração de isolamento de rede não criará a interface de rede elástica para o contêiner do algoritmo. Isso bloqueia o contêiner de todas as chamadas de rede de saída. A outra interface de rede elástica permanece, e você pode usá-la para acessar o Amazon S3 e registrar o acesso.

Em ambos os casos, os processos internos do SageMaker que estão sendo executados nos nós baixam os dados. Em seguida, os canais de entrada especificados na definição do trabalho disponibilizam esses dados para o contêiner do algoritmo. Além disso, os processos internos que estão sendo executados no nó disponibilizam os logs e as métricas para o CloudWatch. Esses nós se conectam ao CloudWatch por meio do VPC que está no VPCConfig.

Independentemente de você especificar ou não o VPCConfig, o contêiner não tem acesso a nenhuma credencial da AWS para fazer chamadas de API para os serviços da AWS.

Informações relacionadas

Isolamento de rede