本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Studio 與資料來源之間的網路存取 (適用於管理員)
本節提供管理員如何設定網路以在 Amazon SageMaker Studio 與 [Amazon Redshift](https://aws.amazon.com/redshift/) 或 [Amazon Athena](https://aws.amazon.com/athena/) 之間啟用通訊的相關資訊,無論是在私有 Amazon VPC 內還是透過網際網路。聯網指示會根據 Studio 網域與資料存放區是在私有 [Amazon 虛擬私有雲端](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (VPC) 內部署,還是透過網際網路進行通訊而有所不同。
根據預設,Studio 會在具有[網際網路存取](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-default)的 AWS 受管 VPC 中執行。使用網際網路連線時,Studio 會透過網際網路存取 AWS 資源,例如 Amazon S3 儲存貯體。不過,如果您有安全要求來控制對資料和任務容器的存取,建議您設定 Studio 和資料存放區 (Amazon Redshift 或 Athena),以便無法透過網際網路存取資料和容器。若要控制對資源的存取或在沒有公有網際網路存取的情況下執行 Studio,您可以在加入 [Amazon SageMaker AI 網域](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)時指定 `VPC only` 網路存取類型。在此案例,Studio 會透過私有 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)與其他 AWS 服務建立連線。如需在 `VPC only` 模式下設定 Studio 的相關資訊,請參閱[將 Studio 連線至 VPC 中的外部資源](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-vpc-only)。
**注意**
若要連線至 Snowflake,Studio 網域的 VPC 必須具有網際網路存取權。
前兩節描述如何確保 Studio 網域與 VPC 中資料存放區之間的通訊,而無需公有網際網路存取權。最後一節涵蓋如何確保 Studio 與資料存放區之間使用網際網路連線進行通訊。在沒有網際網路存取權的情況下連線 Studio 和資料存放區之前,請確定為 Amazon Simple Storage Service、Amazon Redshift 或 Athena、SageMaker AI,以及 Amazon CloudWatch 和 AWS CloudTrail (記錄和監控) 建立端點。
+ 如果 Studio 和資料存放區位於不同的 VPC 中,無論是在同一 AWS 帳戶中還是個別的帳戶中,請參閱 [Studio 和資料存放區部署在個別的 VPC 中](#sagemaker-sql-extension-networking-cross-vpc)。
+ 如果 Studio 和資料存放區位於相同的 VPC 中,請參閱 [Studio 和資料存放區部署在相同的 VPC 中](#sagemaker-sql-extension-networking-same-vpc)。
+ 如果您選擇透過公有網際網路連線 Studio 和資料存放區,請參閱[Studio 和資料存放區透過公有網際網路進行通訊](#sagemaker-sql-extension-networking-internet)。
## Studio 和資料存放區部署在個別的 VPC 中
若要允許 Studio 與部署在不同 VPC 中的資料存放區之間的通訊:
1. 首先,透過 VPC 對等互連連線您的 VPC。
1. 更新每個 VPC 中的路由表,以允許 Studio 子網路與資料存放區子網路之間的雙向網路流量。
1. 設定您的安全群組以允許傳入和傳出流量。
無論 Studio 和資料存放區部署在單一 AWS 帳戶或跨不同 AWS 帳戶,組態步驟都相同。
1.
**VPC 對等互連**
建立 [VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)以促進兩個 VPC (Studio 與資料存放區) 之間的聯網。
1. 從 Studio 帳戶中,在 VPC 儀表板上,選擇**對等互連**,然後選擇**建立對等互連**。
1. 建立您的請求,使 Studio VPC 與資料存放區 VPC 對等互連。在另一個 AWS 帳戶中請求對等互連時,請在**選取要對等互連的另一個 VPC** 中選擇另一個**帳戶**。
對於跨帳戶對等互連,管理員必須接受來自 SQL 引擎帳戶的請求。
當對等私有子網路時,您應該在 VPC 對等連線層級啟用私有 IP DNS 解析。
1.
**路由表**
設定路由以允許 Studio 與資料存放區 VPC 子網路之間的雙向網路流量。
在您建立對等互連之後,管理員 (在進行跨帳戶存取的每個帳戶上) 可以將路由新增至私有子網路路由表,以在 Studio 與資料存放區 VPC 子網路之間路由流量。您可以透過前往 VPC 儀表板每個 VPC 的**路由表**區段來定義這些路由。
1.
**Security groups (安全群組)**
最後,Studio 網域 VPC 的安全群組必須允許傳出流量,而資料存放區 VPC 的安全群組必須允許資料存放區連接埠上來自 Studio VPC 安全群組的傳入流量。
## Studio 和資料存放區部署在相同的 VPC 中
如果 Studio 和資料存放區位於相同 VPC 的不同私有子網路中,請在每個私有子網路的路由表中新增路由。路由應允許流量在 Studio 子網路與資料存放區子網路之間流動。您可以透過前往 VPC 儀表板每個 VPC 的**路由表**區段來定義這些路由。如果您已在相同的 VPC 和相同的子網路中部署 Studio 和資料存放區,則不需要路由流量。
無論任何路由表更新為何,Studio 網域 VPC 的安全群組都必須允許傳出流量,而資料存放區 VPC 的安全群組必須允許其連接埠上來自 Studio VPC 安全群組的傳入流量。
## Studio 和資料存放區透過公有網際網路進行通訊
根據預設,Studio 提供了一個網路介面,允許透過與 Studio 網域相關聯的 VPC 中的網際網路閘道與網際網路進行通訊。如果您選擇透過公有網際網路連線至資料存放區,則資料存放區需要接受其連接埠上的傳入流量。
必須使用 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with),允許多個 VPC 私有子網路中的執行個體在存取網際網路時共用[網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)所提供的單一公有 IP 位址。
**注意**
針對傳入流量開啟的每個連接埠都代表潛在的安全風險。請詳閱自訂安全群組,以確保您將漏洞數量降至最低。