本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 网络管理
<a name="network-management"></a>

 要设置 SageMaker AI Studio 域，您需要指定VPC网络、子网和安全组。指定VPC和子网时，请确保在分配时IPs考虑以下各节中讨论的使用量和预期增长。

## VPC网络规划
<a name="vpc-network-planning"></a>

 与 SageMaker AI Studio 域关联的客户VPC子网必须使用相应的无类域间路由 (CIDR) 范围创建，具体取决于以下因素：
+  用户数。
+  每位用户的应用程序数量。
+  每位用户的唯一实例类型数量。
+  每位用户的训练实例平均数。
+  预期增长百分比。

SageMaker AI 和参与的 AWS 服务将[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 注入到客户VPC子网中，用于以下用例：
+  Amazon 为 ENI A SageMaker I 域EFS注入一个EFS挂载目标（每个子网/附加到 AI 域的可用区一个 IP）。 SageMaker 
+  SageMaker AI Studio 会ENI为用户个人资料或共享空间使用的每个唯一实例注入一个。例如：
  +  如果用户配置文件运行一个*默认* Jupyter 服务器应用程序（“系统”实例）、一个*数据科学*应用程序和一个 *Base Python* 应用程序（均运行在 `ml.t3.medium` 实例上），则 Studio 会注入两个 IP 地址。
  +  如果用户配置文件运行*默认* Jupyter 服务器应用程序（一个 “系统” 实例）、一个 *Tensorflow GPU* 应用程序（在一个`ml.g4dn.xlarge`实例上）和一个数据管理器应用程序（在一个`ml.m5.4xlarge`实例上），Studio 会注入三个 IP 地址。
+  ENI为跨域VPC子网/可用区域的每个VPC端点注入一个（ SageMaker AI VPC 端点IPs为四个；参与IPs的服务VPC端点（例如 S3、ECR和。） CloudWatch 
+  如果以相同的VPC配置启动 SageMaker AI 训练和处理作业，则每个作业需要[每个实例两个 IP 地址](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-ip)。

**注意**  
 VPC SageMaker AI Studio 的设置（例如子网和VPC仅限流量）不会自动传递到从 AI Studio 创建的训练/处理作业。 SageMaker 用户在调用 Create\* APIs Job 时需要根据需要VPC设置设置和网络隔离。有关更多信息，请参阅[在互联网免费模式下运行训练和推理容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。

 **场景：数据科学家在两种不同的实例类型上运行实验** 

 在这种情况下，假设 A SageMaker I 域设置为VPC仅限流量模式。设置了VPC终端节点，例如 SageMaker AI API、A SageMaker I 运行时、Amazon S3 和亚马逊ECR。

 数据科学家正在 Studio 笔记本上运行实验，选用两种不同的实例类型（如 `ml.t3.medium` 和 `ml.m5.large`）并分别启动两个应用程序。

 假设数据科学家还同时在`ml.m5.4xlarge`实例上运行具有相同VPC配置的训练作业。

 在这种情况下， SageMaker AI Studio 服务将按ENIs如下方式注入：

*表 1 — VPC 针对实验场景向客户ENIs注入*


|   值。  |   目标   |   ENI注射   |   注意   |   级别   | 
| --- | --- | --- | --- | --- | 
|  EFS挂载目标  |  VPC子网  |  三  |  三个 AZs /subnets  |  域  | 
|  VPC 端点  |  VPC子网  |  30  |  三个 AZs /子网，每个子网 10 VPCE  |  域  | 
|  Jupyter 服务器  |  VPC 子网  |  One  |  每个实例对应一个 IP  |  用户  | 
|  KernelGateway 应用程序  |  VPC 子网  |  二  |  每种实例类型对应一个 IP  |  用户  | 
|  训练  |  VPC 子网  |  二  |  IPs每个训练实例两个 <br /> 如果使用，[EFA](https://aws.amazon.com/hpc/efa/)则IPs每个训练实例五个  |  用户  | 

 在此场景中，客户总共使用了 38 IPs 个，VPC其中 33 IPs 个在域级别的用户之间共享，5 IPs 个在用户级别消费。如果您在该域中有 100 个用户配置文件相似的用户同时执行这些活动，那么除了域级别 IP 消耗（IPs每个子网 11 个）之外，您还将在用户级别消耗 5 x 100 = 500IPs，总共消耗 5 IPs 11 个。在这种情况下，您需要创建CIDR带有 /22 的子网，该VPC子网将分配 1024 个 IP 地址，并有增长空间。

## VPC网络选项
<a name="vpc-network-options"></a>

 A SageMaker I Studio 域支持使用以下选项之一配置VPC网络：
+  仅限公共互联网
+  仅限 VPC

 **仅限公共互联网**选项允许 SageMaker AI API 服务通过中配置的互联网网关使用公共互联网VPC，由 SageMaker AI 服务账户管理，如下图所示：

![默认模式：通过 SageMaker AI 服务帐户访问互联网。](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/sagemaker-studio-admin-best-practices/images/default-mode.png)


 **VPC唯一**的选项禁用由 SageMaker AI 服务帐户VPC管理的互联网路由，并允许客户将流量配置为通过VPC端点路由，如下图所示：

![VPC仅限模式：无法通过 SageMaker AI 服务帐户访问互联网。](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/sagemaker-studio-admin-best-practices/images/vpc-only-mode.png)


 对于在VPC仅限模式下设置的域，请为每个用户配置文件设置一个安全组，以确保底层实例完全隔离。 AWS 账户中的每个域名都可以有自己的VPC配置和互联网模式。有关设置VPC网络配置的更多详细信息，请参阅[外部资源中的 Connect SageMaker AI Studio 笔记本电脑](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html)。VPC

## 限制
<a name="limitations"></a>
+  创建 A SageMaker I Studio 域后，您无法将新子网关联到该域。
+  VPC网络类型（仅限*公共互联网或VPC仅**限公共互联网）*无法更改。