翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # IDEs とノートブック Amazon SageMaker は SageMaker HyperPod EKS クラスターに新機能を導入します。これにより、AI 開発者はインタラクティブな機械学習ワークロードを HyperPod EKS クラスターで直接実行できます。この機能は Amazon SageMaker Spaces という新しいアドオンを導入し、AI 開発者がノートブックを実行するための自己完結型環境を作成および管理できるようにします。 管理者は、SageMaker HyperPod コンソールを使用してクラスターにアドオンをインストールし、イメージ、コンピューティングリソース、ノートブック設定用のローカルストレージ (開発スペースにアタッチされる追加ストレージ)、ファイルシステム、初期化スクリプトなどのデフォルトのスペース設定を定義できます。管理者エクスペリエンスを簡素化するために、デフォルト設定でワンクリックインストールオプションを使用できます。管理者は、SageMaker HyperPod コンソール、kubectl、または HyperPod CLI を使用して、オペレータのインストール、デフォルト設定の作成、すべてのスペースの管理を一元的に行うことができます。 AI 開発者は、HyperPod CLI を使用して開発スペースを作成、更新、削除できます。管理者が提供するデフォルト設定を使用することも、設定をカスタマイズすることもできます。AI 開発者は、ローカル VS Code IDEs、および/または管理者が設定したカスタム DNS ドメインで JupyterLab または CodeEditor IDE をホストするウェブブラウザを使用して、HyperPod のスペースにアクセスできます。また、kubernetes のポート転送機能を使用して、ウェブブラウザからスペースにアクセスすることもできます。 ## 管理者 + [アクセス許可の設定](permission-setup.md) + [SageMaker AI Spaces アドオンをインストールする](operator-install.md) + [アドオンをカスタマイズする](customization.md) + [ユーザーを追加し、サービスアカウントをセットアップする](add-user.md) + [制限](ds-limits.md) + [HyperPod のインタラクティブスペースのタスクガバナンス](task-governance.md) + [オブザーバビリティ](observability.md) ## データサイエンティスト + [スペースの作成と管理](create-manage-spaces.md) + [ウェブブラウザアクセス](browser-access.md) + [SageMaker Spaces へのリモートアクセス](vscode-access.md) ## SageMaker Spaces マネージドインスタンスの料金 SageMaker Spaces アドオン/オペレーターには追加料金はかかりません。ただし、*リモート IDE 接続*機能に必要な SSH-over-SSM トンネリングをサポートするために、SageMaker Spaces は AWSマネージドインスタンスを使用します。このインスタンスは SSM でアドバンストオンプレミスインスタンスとして登録されるため、コンピューティング時間ごとに課金されます。 AWS Systems Manager の料金ページの「オンプレミスインスタンス管理」料金を参照してください。 AWS Systems Manager の料金: [https://aws.amazon.com/systems-manager/pricing/](https://aws.amazon.com/systems-manager/pricing.com) # アクセス許可の設定 ## アドオンとその依存関係に必要なロール ### SageMaker HyperPod の SageMaker スペースに必要な IAM ロール **SageMaker HyperPod (EKS) クラスターで SageMaker Spaces (a.k.aSageMaker** SageMaker **IDE / Notebooks SageMaker**) 機能を有効にする場合は、複数の IAM ロールを作成して割り当てる必要があります。 HyperPod これらのロールは、安全なアクセス、ルーティング、リモート IDE セッション、EBS ストレージのプロビジョニングをサポートします。次の表は、4 つのロールと、必要なタイミングをまとめたものです。 ### ロールの概要テーブル | IAM ロール | 必須? | 目的 | 誰がそれを使用しますか? | SageMaker コンソールでカスタマイズが許可されますか? | | --- | --- | --- | --- | --- | | Spaces アドオン実行ロール | 常に必須 | Spaces コントローラーによるスペースの管理、署名付き URLsの生成、SSM セッションの管理を許可する | アドオンコントローラーポッド (特権) | ✔ はい | | クラスター内ルーターロール | WebUI アクセスに必要です | ルーターポッドに JWT 署名の KMS オペレーションの実行を許可する (WebUI 認証) | クラスター内ルーターポッド (特権) | ✔ はい | | SSM マネージドインスタンスロール | リモート IDE アクセスに必要です | SSM エージェントのサイドカーが SSH-over-SSM リモート IDE セッションに使用する | スペース IDE ポッドの SSM エージェント (アドオンポッドではない) | ✔ はい | | EBS CSI ドライバーアドオンの IAM ロール | 常に必須 | EBS CSI ドライバーが Spaces ワークロードのボリュームcreate/attach/modifyできるようにする | EBS CSI ドライバーアドオン | 自動作成 | | 外部 DNS アドオンの IAM ロール | WebUI アクセスに必要です | これにより、スペースエンドポイントとクラスター内のコンポーネントに、お客様の Route 53 ホストゾーンで DNS 名を自動的に割り当てることができます。 | 外部 DNS アドオン | 自動作成 | ### 1. Spaces アドオン実行ロール (必須) Spaces アドオン実行ロールは、EKS アドオンを介してインストールされる管理コンポーネントである SageMaker Spaces アドオンコントローラーポッドで使用されるため、常に必要です。このロールにより、コントローラーはスペースの管理、リソースのプロビジョニング、SSM とのやり取り、リモート IDE と WebUI アクセスの両方の署名付き URLs の生成を行うことができます。また、WebUI https リクエストを認証するためのリクエスト署名に使用される KMS アクセスもサポートしています。このロールは、SageMaker コンソールを介して SageMaker Spaces アドオンがインストールされているときに自動的に作成できます。手動作成の場合、 は `AmazonSageMakerSpacesControllerPolicy`管理ポリシー AWS を提供します。 **参照信頼ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "{{accountId}}", "aws:SourceArn": "arn:aws:eks:{{region}}:{{accountId}}:cluster/{{eksClusterName}}" } } } ] } ``` ### 2. クラスター内ルーターロール (WebUI 認証に必須) クラスター内ルーターロールは、Spaces WebUI セッションを認証する特権コンポーネントである**ルーターポッド**によって使用されます。ルーターは KMS キーを使用して、特定の Spaces へのユーザーアクセスを許可する JWT トークンを作成して署名します。このロールにより、ルーターポッドはデータキーを生成して復号できます。コントローラーロールと同様に、タグおよびクラスターベースのスコープ制限を使用してセキュリティを適用します。このロールは、Spaces アドオンが AWS SageMaker コンソールを介してインストールされたときに自動的に生成できますが、お客様は手動で作成できます。 **参照信頼ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "{{accountId}}", "aws:SourceArn": "arn:aws:eks:{{region}}:{{accountId}}:cluster/{{eksClusterName}}" } } } ] } ``` **リファレンスアクセス許可ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "KMSDescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{kmsKeyId}}" }, { "Sid": "KMSKeyOperations", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{kmsKeyId}}", "Condition": { "StringEquals": { "kms:EncryptionContext:sagemaker:component": "amazon-sagemaker-spaces", "kms:EncryptionContext:sagemaker:eks-cluster-arn": "${aws:PrincipalTag/eks-cluster-arn}" } } } ] } ``` ### 3. SSM マネージドインスタンスロール (リモート IDE アクセスに必要) SSM マネージドインスタンスロールは、リモート IDE アクセスを有効にするために SSM マネージドインスタンスを登録するときに渡されます。このロールにより、SSM エージェントはポッドを SSM マネージドインスタンスとして登録し、リモート IDE (SSH-over-SSM) 接続に SSM セッションマネージャーチャネルを使用できます。SageMaker コンソールを使用する場合 AWS に自動的に作成できます。手動デプロイの場合、お客様はこのロールを作成し、Spaces アドオンに提供する必要があります。コントローラーポッド自体はこのロールを引き受けるのではなく、 を呼び出すときにのみ提供されます`ssm:CreateActivation`。 **参照信頼ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{account}}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:ssm:{{region}}:{{account}}:*" } } } ] } ``` **リファレンスアクセス許可ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation" ], "Resource": [ "arn:aws:ssm:{{region}}:{{account}}:association/*", "arn:aws:ssm:{{region}}:{{account}}:document/*", "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:GetDocument", "ssm:DescribeDocument" ], "Resource": "arn:aws:ssm:{{region}}:{{account}}:document/*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParameters" ], "Resource": "arn:aws:ssm:{{region}}:{{account}}:parameter/*" }, { "Effect": "Allow", "Action": [ "ssm:ListInstanceAssociations" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:PutComplianceItems" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:UpdateAssociationStatus" ], "Resource": [ "arn:aws:ssm:{{region}}:{{account}}:document/*", "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceAssociationStatus" ], "Resource": [ "arn:aws:ssm:{{region}}:{{account}}:association/*", "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account}}:instance/*", "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" ] }, { "Effect": "Allow", "Action": [ "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetManifest", "ssm:ListAssociations", "ssm:PutInventory", "ssm:PutConfigurePackageResult" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*", "Condition": { "ArnLike": { "ssm:SourceInstanceARN": "arn:aws:ssm:{{region}}:{{account}}:managed-instance/*" } } } ] } ``` ### 4. EBS CSI ドライバーアドオンの IAM ロール EBS CSI ドライバーは Spaces ワークロードの永続ボリュームをプロビジョニングするため、EBS CSI ドライバーの IAM ロールが必要です。 AWSマネージド [AmazonEBSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html) はベースラインアクセス許可を提供しますが、SageMaker HyperPod クラスターには、高速スナップショット復元の作成、クラスター所有ボリュームのタグ付け、HyperPod マネージドノードのボリュームのアタッチ/デタッチなどの[追加機能](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-ebs.html#sagemaker-hyperpod-eks-ebs-setup)が必要です。これらのアクセス許可には、 などの SageMaker 固有の APIs も含まれます`sagemaker:AttachClusterNodeVolume`。EBS CSI ドライバーがインストールされていない場合、Spaces アドオンのインストール中に SageMaker コンソールによってこのロールが自動的に作成されるようになり、**お客様のアクションは必要ありません**。 ### 5. 外部 DNS アドオンの IAM ロール 外部 DNS アドオンは、HyperPod クラスター上のサービスとイングレスリソースの DNS レコードを管理します。これにより、スペースエンドポイントとクラスター内のコンポーネントに、お客様の Route 53 ホストゾーンで DNS 名を自動的に割り当てることができます。現在、お客様は EKS コンソールのワンクリックオプションを使用して外部 DNS を手動でインストールすることがよくあります。SageMaker Spaces エクスペリエンスの向上の一環として、Spaces アドオンのインストール中に SageMaker コンソールによってこのロールが自動的に作成されるようになり、**お客様のアクションは必要ありません**。 ## AWS Toolkit が SageMaker スペースにアクセスするためのアクセス許可の設定 AWS VS Code Toolkit リソースエクスプローラーサイドパネルが SageMaker Spaces を検出して接続できるようにするには、次の IAM アクセス許可が必要です。これらのアクセス許可により、Toolkit は使用可能な SageMaker HyperPod クラスターを一覧表示し、クラスターの詳細を取得して、関連付けられた Amazon EKS クラスターの接続トークンを取得できます。 **必要な IAM ポリシー** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListClusters", "Effect": "Allow", "Action": "sagemaker:ListClusters", "Resource": "*" }, { "Sid": "SageMakerDescribeCluster", "Effect": "Allow", "Action": "sagemaker:DescribeCluster", "Resource": "arn:aws:sagemaker:{{region}}:{{account}}:cluster/cluster-name" }, { "Sid": "EksDescribeCluster", "Effect": "Allow", "Action": "eks:DescribeCluster", "Resource": "arn:aws:eks:{{region}}:{{account}}:cluster/cluster-name" }, { "Sid": "EksGetToken", "Effect": "Allow", "Action": "eks:GetToken", "Resource": "*" } ] } ``` **スコープに関する推奨事項** + cluster-name を、ユーザーがアクセスする必要がある特定の SageMaker HyperPod クラスター (複数可) に置き換えます。 + eks:GetToken アクションは現在リソースレベルの制限をサポートしておらず、リソース「\$1」を使用する必要があります。これは AWS サービスの制限です。クライアント側の認証は、[EKS アクセスエントリ](https://docs.aws.amazon.com/eks/latest/userguide/access-entries.html)を介して実行されます。 # SageMaker AI Spaces アドオンをインストールする ## 依存関係 **Amazon EKS Pod Identity Agent アドオン** + オペレーターが AWS 認証情報を取得するために必要です + **通常、ほとんどの EKS クラスターにプリインストールされています** + インストール: EKS アドオン経由 **証明書マネージャー** + TLS 証明書管理に必須 + HyperPod クイッククラスター作成を使用する場合に**プリインストール済み** + インストール: EKS アドオン経由 **EBS CSI ドライバー** + スペース永続ストレージ (EBS ボリューム) に必要です + SageMaker コンソールを使用してインストールするときに**自動的に**インストールされる + `AmazonEBSCSIDriverPolicy` \$1 HyperPod 固有のアクセス許可を持つ IAM ロールが必要です + インストール: EKS アドオン経由。ただし、HyperPod に必要な追加のアクセス許可をインストールするには、 ガイドに従ってください。 + リファレンス: [ HyperPod での Amazon EBS CSI ドライバーの使用](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-ebs.html) ## WebUI Access のその他の依存関係 **AWS Load Balancerコントローラー** + HyperPod クイッククラスター作成を使用する場合に**プリインストール済み** + インストール: Helm 経由 + 手動インストールガイド: [AWS Load Balancerコントローラーのインストール](https://docs.aws.amazon.com/eks/latest/userguide/lbc-helm.html) **外部 DNS** + WebUI アクセスにカスタムドメインを使用する場合に必要です + Route53 DNS レコードを自動的に管理します + Route53 アクセス許可を持つ IAM ロールが必要です + インストール: EKS アドオン経由 ## インストール 開始する前に、以下を確認してください。 + Kubernetes バージョン 1.30 以降を実行しているワーカーノードが 1 つ以上あるアクティブな SageMaker HyperPod クラスター + 最小インスタンスタイプ (XX vCPU、YY GiB メモリ) のワーカーノードが 1 つ以上ある ### Amazon SageMaker Spaces アドオンのインストール SageMaker Spaces アドオンは、デフォルト設定の場合はクイックインストール、詳細設定の場合はカスタムインストールのいずれかを使用してインストールできます。 #### クイックインストール 1. Amazon SageMaker コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。 1. クラスターリストからクラスターを選択します。 1. IDE およびノートブックタブで、Amazon SageMaker Spaces を見つけ、クイックインストールを選択します。 クイックインストールは自動的に行われます。 + アドオンに必要な IAM ロールを作成します + Systems Manager に必要な IAM ロールでリモートアクセスモードを有効にする + アドオンをインストールし、ポッド ID の関連付けを設定します #### カスタムインストール 1. Amazon SageMaker コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。 1. クラスターリストからクラスターを選択します。 1. IDE およびノートブックタブで、Amazon SageMaker Spaces を見つけ、カスタムインストールを選択します。 1. 次のオプションを設定します。 **アドオンに必要な IAM ロール** + 推奨されるアクセス許可を持つ新しい IAM ロールを作成するか、必要なアクセス許可を持つ既存のロールを使用するかを選択します (上記の「管理者アクセス許可の設定」セクションを参照)。 **リモートアクセス設定** + を有効にして、ユーザーが AWS Systems Manager を使用してローカル Visual Studio Code からスペースに接続できるようにします + SSM マネージドインスタンスロールの場合: + **新しいロールの作成** – アドオンは、必要な Systems Manager アクセス許可を持つロールを作成および管理します。 + **既存のロールを使用する** – 必要な Systems Manager アクセス許可を持つ事前設定されたロールを選択します。 + Spaces アドオン実行ロールに SSM マネージドインスタンスロールの PassRole アクセス許可があることを確認します。 **注記** リモートアクセスを有効にすると、 AWS Systems Manager のアドバンストインスタンス層が有効になり、インスタンスごとの追加料金が発生します。料金の詳細については、「Systems Manager の料金」を参照してください。 **ウェブブラウザのアクセス設定** + Route 53 DNS 証明書と SSL 証明書を使用してユーザーがウェブブラウザ経由でスペースにアクセスできるようにするには、 を有効にします。 + **前提条件:** ブラウザアクセスを有効にする前に AWS Load Balancer Controller をインストールする + **Route 53 ホストゾーン:** 所有しているドメインまたはサブドメインの既存のホストゾーンを選択します。DNS 管理と SSL 証明書の検証を有効にするには、ドメインまたはサブドメインが登録され、ユーザーの管理下にある必要があります。 ドメイン登録の詳細については、Route 53 デベロッパーガイド[の「新しいドメインの登録](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#domain-register-procedure-section)」を参照してください。 + **サブドメイン:** サブドメインプレフィックスを入力します (英数字とハイフンのみ、最大 63 文字) + **SSL 証明書:** AWS Certificate Manager から既存の SSL 証明書を選択します。個々のスペースアクセス URLs をサポートするには、証明書が有効で、サブドメイン (subdomain.domain.com など) とワイルドカードサブドメイン (\$1.subdomain.domain.com など) の両方をカバーする必要があります。 + **トークン署名キー:** JWT トークン署名用の AWS KMS 非対称キーを選択します。キーは、安全な WebUI アクセスのために認証トークンを暗号化するために使用されます。KMS で新しい非対称キーを作成するか、アカウントがアクセスできる既存のキーを選択できます。 **注記** ホストゾーンと DNS クエリには、標準の Route 53 料金が適用されます。料金の詳細については、Route 53の料金」を参照してください。 #### EKS アドオンのインストール - WebUI を使用した Jupyter K8s ##### 設定ファイル を作成する`addon-config.yaml`: ``` jupyter-k8s: workspacePodWatching: enable: true jupyter-k8s-aws-hyperpod: clusterWebUI: enabled: true domain: "" awsCertificateArn: "" kmsEncryptionContext: enabled: true traefik: shouldInstall: true auth: kmsKeyId: "" ``` **次のプレースホルダーを置き換えます。** + : ドメイン名 (例: `jupyter.example.com`) + : ACM 証明書 ARN (例: `arn:aws:acm:us-west-2:111122223333:certificate/12345678-1234-1234-1234-123456789012` + : KMS キー ARN (例: `arn:aws:kms:us-west-2:111122223333:key/12345678-1234-1234-1234-123456789012` ##### によるインストール AWS CLI ``` aws eks create-addon \ --cluster-name \ --addon-name amazon-sagemaker-spaces \ --configuration-values file://addon-config.yaml \ --resolve-conflicts OVERWRITE \ --region ``` **既存のアドオンを更新するには:** ``` aws eks update-addon \ --cluster-name \ --addon-name amazon-sagemaker-spaces \ --configuration-values file://addon-config.yaml \ --resolve-conflicts OVERWRITE \ --region ``` ##### によるインストール AWS マネジメントコンソール 1. **EKS コンソール**に移動する → クラスターを選択する 1. **アドオン**タブをクリック → **新しい** を追加 1. **SageMaker Spaces **アドオンを選択する 1. 上記の YAML 設定を**オプションの 設定**に貼り付ける 1. **次**へをクリックし、アドオン設定を確認します。 1. [**作成**] をクリックします。 ##### インストールの検証 ``` # Check addon status aws eks describe-addon \ --cluster-name \ --addon-name amazon-sagemaker-spaces \ --region ``` ##### ALB 属性のカスタマイズ デフォルトでは、アドオンはウェブ UI で使用するパブリックロードバランサーを作成します。EKS アドオンプロパティを使用してロードバランサー属性をカスタマイズできます。 内部 ALB を作成するには、スキームを に設定します`internal`。 ``` jupyter-k8s-aws-hyperpod: clusterWebUI: enabled: true domain: "" awsCertificateArn: "" alb: scheme: "internal" # Default is "internet-facing" ``` `alb.annotations` フィールドを使用して ALB 設定をカスタマイズすることもできます。 ``` jupyter-k8s-aws-hyperpod: clusterWebUI: enabled: true domain: "" awsCertificateArn: "" alb: scheme: "internal" annotations: alb.ingress.kubernetes.io/security-groups: "" alb.ingress.kubernetes.io/subnets: "," alb.ingress.kubernetes.io/load-balancer-attributes: "idle_timeout.timeout_seconds=60" ``` **一般的な ALB 注釈:** + `alb.ingress.kubernetes.io/security-groups`: ALB のセキュリティグループを指定する + `alb.ingress.kubernetes.io/subnets`: ALB のサブネットを指定する + `alb.ingress.kubernetes.io/load-balancer-attributes`: ALB 属性を設定する (アイドルタイムアウト、アクセスログなど) 使用可能なすべての注釈については、[AWS 「 Load Balancer Controller のドキュメント](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/ingress/annotations/)」を参照してください。 ### アドオンのアップグレード/バージョニング ``` aws eks update-addon \ --cluster-name \ --addon-name amazon-sagemaker-spaces \ --configuration-values file://addon-config.yaml \ --resolve-conflicts OVERWRITE \ --region ``` # アドオンをカスタマイズする ## テンプレート テンプレートは再利用可能なワークスペース設定であり、ワークスペース作成の管理者が管理する設計図として機能します。ワークスペース設定値のデフォルトと、データサイエンティストが実行できる操作を制御するガードレールを提供します。テンプレートはクラスターレベルに存在し、名前空間間で再利用できます。 SageMaker Spaces は、データサイエンティストの開始点として 2 つのシステムテンプレートを作成します。1 つはコードエディタ用、もう 1 つは JupyterLab 用です。これらのシステムテンプレートはアドオンによって管理され、直接編集することはできません。代わりに、管理者は新しいテンプレートを作成し、デフォルトとして設定できます。 ## タスクガバナンス ``` apiVersion: workspace.jupyter.org/v1alpha1 kind: WorkspaceTemplate metadata: name: my-jupyter-template namespace: my-namespace labels: kueue.x-k8s.io/priority-class: -priority spec: displayName: "My Custom Jupyter Lab" description: "Custom Jupyter Lab with specific configurations" defaultImage: "public.ecr.aws/sagemaker/sagemaker-distribution:latest-cpu" allowedImages: - "public.ecr.aws/sagemaker/sagemaker-distribution:latest-cpu" - "public.ecr.aws/sagemaker/sagemaker-distribution:latest-gpu" defaultResources: requests: cpu: "1" memory: "4Gi" limits: cpu: "4" memory: "16Gi" primaryStorage: defaultSize: "10Gi" minSize: "5Gi" maxSize: "50Gi" defaultStorageClassName: "sagemaker-spaces-default-storage-class" defaultMountPath: "/home/sagemaker-user" defaultContainerConfig: command: ["/opt/amazon/sagemaker/workspace/bin/entrypoint-workspace-jupyterlab"] defaultPodSecurityContext: fsGroup: 1000 defaultOwnershipType: "Public" defaultAccessStrategy: name: "hyperpod-access-strategy" allowSecondaryStorages: true appType: "jupyterlab" ``` ## SMD / カスタムイメージ お客様は、デフォルトのイメージと許可されたイメージのリストを提供することで、 テンプレートを使用してイメージポリシーを設定できます。さらに、管理者はデータサイエンティストに独自のカスタムイメージの持ち込みを許可するかどうかを選択できます。システムはデフォルトで最新の SageMaker ディストリビューションを使用しますが、特定のバージョンに固定する場合は、テンプレートで使用する正確な SMD バージョンを指定できます。 カスタムイメージの要件: + `curl` アイドルシャットダウンを使用する場合 + ポート 8888 + リモートアクセス ## リモート IDE 要件 ### VS Code バージョン要件 VS Code バージョン [v1.90](https://code.visualstudio.com/updates/v1_90) 以降が必要です。[VS Code の最新の安定したバージョン](https://code.visualstudio.com/updates)を使用することをお勧めします。 ### オペレーティングシステムの要件 Studio スペースにリモート接続するには、次のいずれかのオペレーティングシステムが必要です。 + macOS 13 以降 + Windows 10 + [Windows 10 のサポートは、2025 年 10 月 14 日に終了します。](https://support.microsoft.com/en-us/windows/windows-10-support-ends-on-october-14-2025-2ca8b313-1946-43d3-b55c-2b95b107f281) + Windows 11 + Linux + [Linux 用の公式 Microsoft VS Code](https://code.visualstudio.com/docs/setup/linux) をインストールする + オープンソースバージョンではない ### ローカルマシンの前提条件 ローカル Visual Studio コードを Studio スペースに接続する前に、ローカルマシンに必要な依存関係とネットワークアクセスがあることを確認してください。 **注記** ソフトウェアのインストール制限がある環境では、ユーザーが必要な依存関係をインストールできない場合があります。 AWS Toolkit for Visual Studio Code は、リモート接続を開始するときにこれらの依存関係を自動的に検索し、不足している場合はインストールを求めます。IT 部門と連携して、これらのコンポーネントが使用可能であることを確認します。 **必要なローカル依存関係** ローカルマシンには、次のコンポーネントがインストールされている必要があります。 + **[https://code.visualstudio.com/docs/remote/ssh](https://code.visualstudio.com/docs/remote/ssh)** + — リモート開発用の標準 VS Code Marketplace 拡張機能 + **[Session Manager プラグイン](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html)** — 安全なセッション管理に必要です + **SSH クライアント** — ほとんどのマシンの標準コンポーネント ([Windows では OpenSSH を推奨](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse)) + **[https://code.visualstudio.com/docs/configure/command-line](https://code.visualstudio.com/docs/configure/command-line)** + 通常、VS Code のインストールに含まれています **プラットフォーム固有の要件** + **Windows ユーザー** — SSH ターミナル接続には PowerShell 5.1 以降が必要です **ネットワーク接続要件** ローカルマシンには、[Session Manager エンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html)へのネットワークアクセスが必要です。たとえば、米国東部 (バージニア北部) (us-east-1) では、次のようになります。 + `[ssm.us-east-1.amazonaws.com](http://ssm.us-east-1.amazonaws.com)` + `ssm.us-east-1.api.aws` + `[ssmmessages.us-east-1.amazonaws.com](http://ssmmessages.us-east-1.amazonaws.com)` + `[ec2messages.us-east-1.amazonaws.com](http://ec2messages.us-east-1.amazonaws.com)` ### イメージの要件 **SageMaker ディストリビューションイメージ** リモートアクセスで SageMaker Distribution を使用する場合は、[SageMaker Distribution ](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-distribution.html)バージョン 2.7 以降を使用します。 **カスタムイメージ** リモートアクセスで[独自のイメージ (BYOI) を使用する](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-byoi.html)ときは、[カスタムイメージ仕様](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-byoi-specs.html)に従い、次の依存関係がインストールされていることを確認してください。 + `curl` または `wget` — AWS CLI コンポーネントのダウンロードに必要です + `unzip` — AWS CLI インストールファイルの抽出に必要です + `tar` — アーカイブの抽出に必要です + `gzip` — 圧縮されたファイル処理に必要です ### インスタンスの要件 + **メモリ** — 8GB 以上 + 8GB 以上のメモリを持つインスタンスを使用します。メモリ不足 (8GB 未満) のため、次のインスタンスタイプはサポートされて*いません*。`ml.t3.medium`、`ml.c7i.large`、`ml.c6i.large`、`ml.c6id.large`、`ml.c5.large`。インスタンスタイプの詳細なリストについては、[Amazon EC2 オンデマンド料金ページ](https://aws.amazon.com/ec2/pricing/on-demand/)を参照してください。 ## コンテナイメージの事前ウォーミングによる Kubernetes 起動時間の最適化 コンテナイメージのプルパフォーマンスは、特に AI/ML ワークロードがますます大きなコンテナイメージに依存するため、多くの EKS 顧客にとって大きなボトルネックとなっています。これらの大きなイメージをプルおよび解凍するには、通常、各 EKS ノードで初めて使用する場合に数分かかります。この遅延により、SageMaker Spaces を起動する際のレイテンシーが大幅に増加し、ユーザーエクスペリエンスに直接影響します。特に、ノートブックやインタラクティブな開発ジョブなど、高速起動が不可欠な環境では顕著です。 イメージの事前ウォーミングは、特定のコンテナイメージを EKS/HyperPod クラスター内のすべてのノードに必要な前にプリロードするために使用される手法です。ポッドが大きなイメージの最初のプルをトリガーするのを待つ代わりに、クラスターはすべてのノードでイメージをプロアクティブにダウンロードしてキャッシュします。これにより、ワークロードの起動時に必要なイメージが既にローカルで利用可能になり、コールドスタートの遅延が長くなります。イメージの事前ウォーミングにより、SageMaker Spaces の起動速度が向上し、エンドユーザーにより予測可能で応答性の高いエクスペリエンスが提供されます。 ### DaemonSet による事前ウォーミング DaemonSet を使用してイメージをプリロードすることをお勧めします。DaemonSet は、クラスター内のすべてのノードで 1 つのポッドが実行されるようにします。DaemonSet ポッド内の各コンテナは、キャッシュするイメージを参照します。Kubernetes がポッドを起動すると、イメージが自動的にプルされ、各ノードのキャッシュがウォームアップされます。 次の例は、2 つの GPU イメージをプリロードする DaemonSet を作成する方法を示しています。各コンテナは軽量`sleep infinity`コマンドを実行して、最小限のオーバーヘッドでポッドをアクティブに保ちます。 ``` cat < ``` **スペースログの表示** ``` # View workspace container logs kubectl logs -l workspace.jupyter.org/workspace-name= -c workspace # View SSM agent sidecar logs (for remote IDE connectivity) kubectl logs -l workspace.jupyter.org/workspace-name= -c ssm-agent-sidecar # Follow logs in real-time kubectl logs -l workspace.jupyter.org/workspace-name= -c workspace -f ``` **スペース条件について** スペースは、ステータスに 4 つの条件タイプを報告します。 + **使用可能**: スペースが使用可能になった`True`とき。必要なすべてのリソース (ポッド、サービス、ストレージ) が実行されており、正常である。 + **進行中: **`True`スペースが作成、更新、または調整されている場合。安定`False`すると に移行します。 + **Degraded**: スペースリソースでエラーが検出され`True`た場合。詳細については、条件メッセージを確認してください。 + **Stopped**: `True` Space desired ステータスが に設定されている場合`Stopped`。ポッドは終了しますが、ストレージと設定は保持されます。 ## CloudWatch Logs の統合 CloudWatch ロギングアドオンをインストールして、スペースログを Amazon CloudWatch Logs に送信し、ログの管理と保持を一元化できます。これにより、複数のクラスター間でログを集約し、CloudWatch Insights と統合してクエリと分析を行うことができます。上記の使用可能な`kubectl`ログはすべて、このプラグインを使用して CloudWatch でクエリできます。 **リファレンス: **[https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster-cloudwatch-ci.html](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster-cloudwatch-ci.html)。 ## HyperPod Observability アドオン SageMaker HyperPod オブザーバビリティアドオンは、スペースリソースの使用率をモニタリングするための包括的なダッシュボードを提供します。アドオンをインストールしたら、Amazon Managed Grafana ダッシュボードにメトリクスを表示する HyperPod コンソールの**タスク**タブでスペースメモリと CPU 使用率を表示できます。 **リファレンス: **[https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-observability-addon.html](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-observability-addon.html) **利用可能な主要なメトリクス:** + スペースあたりの CPU とメモリの使用率 + GPU メトリクス (該当する場合) # スペースの作成と管理 データサイエンティストは、アクセスできるすべてのスペースを表示したり、テンプレートのいずれかを使用してスペースを作成したり、スペースを更新してイメージ、ファイルシステム、その他のスペース設定の属性を更新したり、スペースを削除したりできます。前提条件として、お客様は HyperPod CLI をインストールするか、kubectl を使用してスペースを作成および管理する必要があります。HyperPod CLI の詳細については、[こちら](https://github.com/aws/sagemaker-hyperpod-cli/blob/main/README.md#space)を参照してください。kubectl コマンドを使用するには、[このガイド](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html)を参照して kubectl をインストールしてください。 ## スペースを作成する **HyperPod CLI** Jupyter スペースを作成する ``` hyp create hyp-space \ --name myspace \ --display-name "My Space" \ --memory 8Gi \ --template-ref name=sagemaker-jupyter-template,namespace=jupyter-k8s-system ``` コードエディタスペースを作成する ``` hyp create hyp-space \ --name myspace \ --display-name "My Space" \ --memory 8Gi \ --template-ref name=sagemaker-code-editor-template,namespace=jupyter-k8s-system ``` **kubectl** ``` kubectl apply -f - < ``` ## スペースの説明 **HyperPod CLI** ``` hyp describe hyp-space --name myspace ``` **kubectl** ``` # Basic Status reporting kubectl get workspace my-workspace -n # Enhanced Workspace Information Retrieval kubectl get workspace my-workspace -n -o wide # Complete Workspace Information Retrieval kubectl get workspace my-workspace -n -o json kubectl get workspace my-workspace -n -o yaml ``` ## スペースを更新する **HyperPod CLI** ``` hyp update hyp-space \ --name myspace \ --display-name "Updated My Space" ``` **kubectl** 必要に応じて元のワークスペース YAML ファイルを更新し、再度適用します。メタデータ名が変更されていないことを確認してください。これらの kubectl コマンドを使用して、ワークスペース yaml 全体を再適用せずにフィールドを変更することもできます。 ``` # Open a Terminal IDE and modify the Workspace kubectl edit workspace -n # Patch a Workspace kubectl patch workspace --type='merge' -p \ '{"spec":{"":""}}' -n ``` ## スペースの開始/停止 **HyperPod CLI** ``` hyp start hyp-space --name myspace hyp stop hyp-space --name myspace ``` **kubectl** Workspace で目的のステータスフィールドを更新して、スペースを開始/停止できます。 ``` # Start a Workspace kubectl patch workspace --type='merge' -p \ '{"spec":{"desiredStatus":"Running"}}' -n # Stop a Workspace kubectl patch workspace --type='merge' -p \ '{"spec":{"desiredStatus":"Stopped"}}' -n ``` ## ログの取得 **HyperPod CLI** ``` hyp get-logs hyp-space --name myspace ``` **kubectl** ``` # Check Pod Logs kubectl logs -l workspace.jupyter.org/workspace-name= # Check Pod Events kubectl describe pod -l workspace.jupyter.org/workspace-name= # Check Operator Logs kubectl logs -n jupyter-k8s-system deployment/jupyter-k8s-controller-manager ``` ## スペースを削除する **HyperPod CLI** ``` hyp delete hyp-space --name myspace ``` **kubectl** ``` # Delete a Workspace kubectl delete workspace -n ``` # ウェブブラウザアクセス ウェブ UI アクセスを使用すると、安全なウェブブラウザインターフェイスを介して SageMaker HyperPod クラスターで実行されている開発スペースに直接接続できます。これにより、ローカルソフトウェアのインストールを必要とせずに、Jupyter Lab やその他のウェブベースの開発環境にすぐにアクセスできます。 ## 前提条件 ウェブ UI アクセスを設定する前に、以下が完了していることを確認してください。 + *SageMaker Spaces アドオンのインストール*: [SageMaker Spaces アドオンのインストール](https://docs.aws.amazon.com/sagemaker/latest/dg/operator-install.html)に従い、インストール中にウェブ UI アクセスを有効にします。 + *EKS クラスターへのユーザーアクセス*: ユーザーには、適切なアクセス許可で設定された EKS アクセスエントリが必要です。[EKS アクセスエントリの設定の詳細については、「ユーザーの追加」および「サービスアカウントの設定](https://docs.aws.amazon.com/sagemaker/latest/dg/add-user.html)」を参照してください。 + *開発スペース*: HyperPod クラスターで開発スペースを作成して開始する + *kubectl アクセス*: kubectl が EKS クラスターにアクセスするように設定されていることを確認します ## ウェブ UI アクセス URL の生成 **HyperPod CLI の使用** HyperPod CLI がインストールされている場合は、次の簡易コマンドを使用できます。 ``` hyp create hyp-space-access --name --connection-type web-ui ``` **kubectl を使用する** `kubectl` コマンドラインを使用して接続リクエストを作成することもできます。 ``` kubectl create -f - -o yaml < spec: workspaceName: workspaceConnectionType: web-ui EOF ``` URL は、このコマンド`status.workspaceConnectionUrl`の出力の にあります。 ## 開発スペースへのアクセス 1. 上記の方法のいずれかを使用して*ウェブ UI URL を生成する* 1. レスポンスから *URL をコピー*する 1. ウェブブラウザで *URL を開く* 1. ウェブインターフェイスから*開発環境にアクセスする* ## サポートされている開発環境 ウェブ UI は、以下へのアクセスを提供します。 + *Jupyter ラボ* + *コードエディタ* ## トラブルシューティング **アクセス URLsを生成できない** 以下をチェックしてください: + SageMaker Spaces アドオンが実行されています: kubectl get pods -n sagemaker-spaces-system + 開発スペースが実行中で正常である + ユーザーに適切な EKS アクセスエントリ許可がある # SageMaker Spaces へのリモートアクセス リモートアクセスを使用すると、ローカル Visual Studio コードを SageMaker HyperPod クラスターで実行されている開発スペースに直接接続できます。リモート接続は SSM を使用して、ローカルマシンと開発スペースの間に安全で暗号化されたトンネルを確立します。 ## 前提条件 リモートアクセスを設定する前に、以下が完了していることを確認してください。 + *SageMaker Spaces アドオンのインストール*: [SageMaker Spaces アドオンのインストール](https://docs.aws.amazon.com/sagemaker/latest/dg/operator-install.html)に従い、インストール中にリモートアクセスを有効にします (クイックインストールまたはリモートアクセス設定を有効にしたカスタムインストール)。 + *EKS クラスターへのユーザーアクセス*: ユーザーには、適切なアクセス許可で設定された EKS アクセスエントリが必要です。[EKS アクセスエントリの設定の詳細については、「ユーザーの追加」および「サービスアカウントの設定](https://docs.aws.amazon.com/sagemaker/latest/dg/add-user.html)」を参照してください。 + *開発スペース*: HyperPod クラスターで開発スペースを作成して開始する + *kubectl アクセス*: kubectl が EKS クラスターにアクセスするように設定されていることを確認します。 ## VS Code リモート接続を生成する ### HyperPod CLI の使用 HyperPod CLI がインストールされている場合は、次の簡易コマンドを使用できます。 ``` hyp create hyp-space-access --name --connection-type vscode-remote ``` ### kubectl を使用する `kubectl` コマンドラインを使用して接続リクエストを作成することもできます。 ``` kubectl create -f - -o yaml < spec: workspaceName: workspaceConnectionType: vscode-remote EOF ``` URL は、このコマンド`status.workspaceConnectionUrl`の出力の にあります。 ## VS Code との接続 1. 上記の方法のいずれかを使用して VS Code 接続 URL を生成する 1. レスポンスから VS Code URL をコピーする 1. URL をクリックするか、ブラウザに貼り付けます。 1. VS Code はリモート接続を開くように求めるプロンプトを表示します 1. 接続を確認してリモート開発環境を確立する ## サポートされている開発環境 ウェブ UI は、以下へのアクセスを提供します。 + *Jupyter ラボ* + *コードエディタ* ## トラブルシューティング **接続 URLsを生成できない** *以下を確認してください。* + SageMaker Spaces アドオンが実行されています: kubectl get pods -n sagemaker-spaces-system + 開発スペースが実行中で正常である + アドオンのインストール中にリモートアクセスが有効になりました + ユーザーに適切な EKS アクセスエントリ許可がある