Como soluciono problemas de conectividade de rede da minha instância de notebook do Amazon SageMaker que tem o acesso direto à Internet desativado?

Data da última atualização: 18/11/2022

Minha instância de notebook do Amazon SageMaker está em uma Amazon Virtual Private Cloud (Amazon VPC) com o acesso direto à Internet desativado e preciso solucionar problemas nas configurações da rede.

Resolução

Instâncias de notebook do SageMaker podem ser configuradas para usar a Internet pública ou uma Amazon VPC. Ao usar uma Amazon VPC, a instância de notebook do SageMaker usa a VPC para treinar ou implantar modelos em vez da Internet pública.

Observação: depois de criar uma instância de notebook do SageMaker, não é possível alterar as configurações de rede. Isso se aplica somente à Internet pública e a notebooks do SageMaker para VPC. Se o seu notebook SageMaker exigir alterações nas configurações de rede, você deverá criar uma nova instância de notebook.

Quando uma instância de notebook com acesso direto à Internet desativado está no modo de VPC, não é possível treinar ou implantar modelos a partir de notebooks nessa instância, a menos que:

  • Sua VPC tem um Gateway de NAT.
  • O grupo de segurança da sua instância permite conexões de saída.

Se você não quiser que o tráfego do notebook atravesse a Internet, use endpoints de VPC para se conectar a serviços como a API do SageMaker e o SageMaker Runtime. Para obter mais informações, consulte Conectar-se ao SageMaker por meio de um endpoint de interface VPC.

Ativar o acesso à Internet a partir de uma instância de notebook em uma Amazon VPC com a Internet direta desativada usando um gateway NAT

Como pré-requisito, crie uma sub-rede pública e privada na mesma região da VPC da instância do notebook:

1.    Abra o console da Amazon VPC.

2.    No painel de navegação, escolhaNAT Gateways (Gateways NAT).

3.    Escolha Create NAT Gateway (Create gateway NAT) e faça o seguinte:

  • (Opcional) Especifique um nome para o gateway NAT.
  • Escolha a sub-rede pública.
  • Para Elastic IP allocation ID (ID de alocação de IP elástico), associe um IP elástico ao gateway NAT. Você pode alocar um endereço IP elástico se não tiver um.

4.    Escolha Create a NAT Gateway (Criar um gateway NAT).

5.    Adicione o Gateway NAT à tabela de rotas da sub-rede privada.

Para obter mais informações sobre como usar o SageMaker com sua Amazon VPC, consulte Conectar uma instância de notebook em uma VPC a recursos externos.

Fazer verificações para solução de problemas com o gateway NAT

  • Verifique se a sua VPC tem um gateway NAT existente associado a ela.
  • Verifique se o gateway NAT e a VPC estão na mesma região.
  • Verifique se o gateway NAT foi criado em uma sub-rede pública.
  • Verifique se o gateway NAT está associado como destino na tabela de rotas de uma sub-rede privada.
  • Verifique se seu destino permite tráfego de entrada e saída.
  • Verifique se o grupo de segurança da Amazon VPC permite conexões de saída.

Para obter mais informações sobre gateways NAT, consulte Gateways NAT.

Ativar o acesso a serviços da AWS a partir de uma instância de caderno com a Internet direta desativada usando um endpoint da VPC

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, escolha Endpoints.
  3. Escolha Create endpoint (Criar endpoint).
  4. Em Service category (Categoria serviço), escolha AWS services (Serviços da AWS).
  5. Em Service name (Nome do serviço), selecione o serviço.
  6. Para VPC, selecione a VPC na mesma região da sua instância de notebook do SageMaker.
  7. Selecione a tabela de rotas associada à sub-rede privada.
  8. Escolha Create endpoint (Criar endpoint).

Para obter mais informações sobre endpoints de VPC, consulte Acessar um serviço da AWS usando um endpoint da VPC de interface.

Fazer verificações para solução de problemas com endpoints da VPC

  • Verifique se a sua Amazon VPC tem um endpoint da VPC associado ao serviço da AWS ao qual você deseja se conectar.
  • Verifique se a Amazon VPC e o serviço da AWS ao qual você deseja se conectar estão localizados na mesma região.
  • Verifique se o endpoint da VPC está associado a uma tabela de rotas de sub-rede privada.