As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conectar os cadernos do Studio em uma VPC para recursos externos
<a name="studio-notebooks-and-internet-access"></a>

O tópico a seguir fornece informações sobre como conectar os cadernos do Studio em uma VPC para recursos externos.

## Comunicação padrão com a internet
<a name="studio-notebooks-and-internet-access-default"></a>

Por padrão, o SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços, como Amazon S3 e CloudWatch, passa por um gateway de internet. O tráfego que acessa a SageMaker API e o tempo de execução da SageMaker IA também passa por um gateway de internet. O tráfego entre o domínio e o volume do Amazon EFS passa pela VPC que você identificou quando se integrou ao Studio ou chamou a API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) O diagrama a seguir mostra a configuração padrão.

![\[SageMaker Diagrama do Studio VPC mostrando o uso direto do acesso à Internet.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)


## Comunicação da `VPC only` com a internet
<a name="studio-notebooks-and-internet-access-vpc"></a>

Para impedir que a SageMaker IA forneça acesso à Internet aos seus notebooks Studio, desative o acesso à Internet especificando o tipo de acesso à `VPC only` rede. Especifique esse tipo de acesso à rede ao se [integrar ao Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou chamar a [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, não será possível executar um caderno do Studio, a menos que:
+ sua VPC tem um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet
+ seus grupos de segurança permitam conexões de saída.

O diagrama a seguir mostra uma configuração para usar o modo somente VPC.

![\[SageMaker Diagrama do Studio VPC mostrando o uso do modo somente VPC.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-private.png)


### Requisitos para usar o modo `VPC only`
<a name="studio-notebooks-and-internet-access-vpc-requirements"></a>

Quando você escolher `VpcOnly`, siga estas etapas:

1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo `VpcOnly`.

1. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio do Studio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado de endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade de endereço IP. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) para. IPv4
**nota**  
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

1. 
**Atenção**  
Ao usar o modo `VpcOnly`, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.

   Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:
   + [Tráfego NFS via TCP na porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre o domínio e o volume do Amazon EFS.
   + [Tráfego TCP dentro do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo `8192-65535`. 

   Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada para ele mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.

1. Se você quiser permitir o acesso à Internet, deverá usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) com acesso à Internet, por exemplo, por meio de um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

1. Para remover o acesso à Internet, [crie uma interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.
   + SageMaker API: `com.amazonaws.region.sagemaker.api` 
   + SageMaker Tempo de execução da IA:`com.amazonaws.region.sagemaker.runtime`. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos. 
   + Amazon S3: `com.amazonaws.region.s3`.
   + Para usar SageMaker projetos:`com.amazonaws.region.servicecatalog`.
   + Quaisquer outros AWS serviços de que você precise.

    Se você usa o [SDK do SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para executar trabalhos de treinamento remoto, também deve criar os seguintes endpoints da Amazon VPC.
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch:`com.amazonaws.region.logs`. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch

**nota**  
Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o SageMaker Studio ou entre o. JupyterServer KernelGateway Faça as seguintes verificações se você se deparar com um desses problemas ao usar o SageMaker Studio por trás de um firewall.  
Verifique se o URL do Studio está na lista de permissões da sua rede.
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa um websocket dentro do sistema. Se o KernelGateway aplicativo estiver InService, JupyterServer talvez não consiga se conectar ao KernelGateway. Você também deve ver esse problema ao abrir o Terminal do Sistema.

**Para saber mais**
+ [Protegendo a conectividade do Amazon SageMaker Studio usando uma VPC privada](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [VPC com sub-redes públicas e privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)