本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Virtual Private Cloud 中使用 Amazon SageMaker 地理空間功能
<a name="geospatial-notebooks-and-internet-access-vpc-requirements"></a>

以下主題提供如何在僅限 VPC 模式的 Amazon SageMaker AI 網域中，使用 SageMaker 筆記本搭配 SageMaker 地理空間影像的相關資訊。如需 Amazon SageMaker Studio Classic 中 VPC 的詳細資訊，請參閱[選擇 Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)。

## 與網際網路的 `VPC only` 通訊
<a name="studio-notebooks-and-internet-access-vpc-geospatial"></a>

根據預設，SageMaker AI 網域使用兩個 Amazon VPC。其中一個 Amazon VPC 由 Amazon SageMaker AI 管理，並提供直接網際網路存取。您可以指定另一個 Amazon VPC，該 VPC 可在網域和 Amazon Elastic File System (Amazon EFS) 磁碟區之間提供加密流量。

您可以變更此動作，讓 SageMaker AI 透過指定的 Amazon VPC 傳送所有流量。如果 `VPC only` 在 SageMaker AI 網域建立期間被選擇為網路存取模式，則需要考慮下列需求，才能持續允許在建立的 SageMaker AI 網域中使用 SageMaker Studio Classic 筆記本。

## 使用 `VPC only` 模式的要求
<a name="studio-notebooks-and-internet-access-vpc-geospatial-requirements"></a>

**注意**  
若要使用 SageMaker 地理空間功能的視覺化元件，您用來存取 SageMaker Studio Classic UI 的瀏覽器必須連線至網際網路。

當您選擇 `VpcOnly`，請遵循下列步驟：

1. 您必須僅使用私有子網路。您無法在 `VpcOnly` 模式中使用公用子網路。

1. 確保您的子網路具有所需數量的 IP 地址。每位使用者預期所需的 IP 地址數可能會因使用案例而有所不同。我們建議每位使用者介於 2 至 4 個 IP 地址之間。Studio Classic 網域的總 IP 位址容量是建立網域時所提供之每個子網路的可用 IP 位址總和。請確定您的預估 IP 地址使用量不超過您提供的子網路數目所支援的容量。此外，使用分散在許多可用區域的子網路也有助於提高 IP 地址的可用性。如需詳細資訊，請參閱 [VPC 和 IPv4 的子網路大小調整](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
**注意**  
針對訓練任務，您只能使用執行個體在共用硬體執行所在的預設租用 VPC 來設定子網路。如需 VPC 租用屬性的詳細資訊，請參閱[專用執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)。

1. 使用共同允許下列流量的輸入和輸出規則，來設定一或多個安全群組：
   + 網域和 Amazon EFS 磁碟區之間的[連接埠 2049 上的 TCP 上的 NFS 流量](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。
   + [安全群組內的 TCP 流量](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。JupyterServer 應用程式和 KernelGateway 應用程式之間的連線能力為必要。您必須至少允許存取範圍 `8192-65535` 內的連接埠。

1. 如果您想要允許網際網路存取，則必須使用可存取網際網路的 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)，例如透過[網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。

1. 如果您不想允許網際網路存取，請[建立介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink)，以允許 Studio Classic 使用對應的服務名稱存取下列服務。您還必須將 VPC 的安全群組與這些端點建立關聯。
**注意**  
目前，SageMaker 地理空間功能僅適用於美國西部 (奧勒岡) 區域的 SageMaker 地理空間。
   + SageMaker API：`com.amazonaws.us-west-2.sagemaker.api`
   + SageMaker AI 執行時期：`com.amazonaws.us-west-2.sagemaker.runtime`。若要使用 SageMaker 地理空間影像執行 Studio Classic 筆記本，這是必要的。
   + Amazon S3：`com.amazonaws.us-west-2.s3`。
   + 若要使用 SageMaker 專案：`com.amazonaws.us-west-2.servicecatalog`。
   + SageMaker 地理空間功能：`com.amazonaws.us-west-2.sagemaker-geospatial`

    如果您使用 [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) 執行遠端訓練任務，則還必須建立下列 Amazon VPC 端點。
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch：`com.amazonaws.region.logs`。 這是允許 SageMaker Python SDK 從中取得遠端訓練任務狀態的必要項目 Amazon CloudWatch。

**注意**  
針對在 VPC 模式下工作的客戶，公司防火牆可能會導致 SageMaker Studio Classic 或 JupyterServer 與 KernelGateway 之間的連線問題。如果您在防火牆後方使用 SageMaker Studio Classic 時遇到其中一個問題，請進行下列檢查。  
檢查 Studio Classic URL 是否在您的網路允許清單中。
檢查 websocket 連線是否被封鎖。Jupyter 在幕後使用 websocket。如果 KernelGateway 應用程式在 InService 中，則 JupyterServer 可能無法連線至 KernelGateway。開啟系統終端機時也應該會看到此問題。