本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路管理
<a name="network-management"></a>

 若要設定 SageMaker AI Studio 網域，您需要指定VPC網路、子網路和安全群組。指定 VPC和 子網路時，請務必IPs考量下列各節討論的使用量和預期成長。

## VPC 網路規劃
<a name="vpc-network-planning"></a>

 與 SageMaker AI Studio 網域相關聯的客戶VPC子網路必須使用適當的無類別網域間路由 (CIDR) 範圍建立，取決於下列因素：
+  使用者數量。
+  每個使用者的應用程式數量。
+  每個使用者的唯一執行個體類型數目。
+  每個使用者的平均訓練執行個體數量。
+  預期成長百分比。

SageMaker AI 和參與 AWS 服務針對下列使用案例，將[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 注入客戶VPC子網路：
+  Amazon EFS ENI會為 SageMaker AI 網域的EFS掛載目標注入 （連接至 SageMaker AI 網域的每個子網路/可用區域一個 IP)。
+  SageMaker AI Studio 會ENI為使用者設定檔或共用空間所使用的每個唯一執行個體注入 。例如：
  +  如果使用者描述檔執行*預設*的 Jupyter 伺服器應用程式 （一個「系統」執行個體）、*資料科學*應用程式和 *Base Python* 應用程式 （都在`ml.t3.medium`執行個體上執行），Studio 會注入兩個 IP 地址。
  +  如果使用者設定檔執行*預設*的 Jupyter 伺服器應用程式 （一個「系統」執行個體）、*Tensorflow GPU* 應用程式 (`ml.g4dn.xlarge`執行個體上） 和資料 wrangler 應用程式 (`ml.m5.4xlarge`執行個體上），Studio 會注入三個 IP 地址。
+  針對跨網域VPC子網路/可用區域ENI的每個VPC端點注入 ( SageMaker AI VPC端點IPs為四個；參與服務VPC端點IPs為 \~6 個ECR，例如 S3、 和 CloudWatch。) 
+  如果以相同的VPC組態啟動 SageMaker AI 訓練和處理任務，每個任務[每個執行個體都需要兩個 IP 地址](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-ip)。

**注意**  
 VPC SageMaker AI Studio 的設定，例如子網路和VPC僅限 流量，不會自動傳遞至從 SageMaker AI Studio 建立的訓練/處理任務。呼叫 Create\*Job 時，使用者需要視需要設定VPC設定和網路隔離APIs。如需詳細資訊，請參閱[在無網際網路模式下執行訓練和推論容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。

 **案例：資料科學家在兩種不同的執行個體類型上執行實驗** 

 在此案例中，假設 SageMaker AI 網域已設定為VPC僅限 流量模式。有VPC端點設定，例如 SageMaker AI API、 SageMaker AI 執行期、Amazon S3 和 Amazon ECR。

 資料科學家正在 Studio 筆記本上執行實驗，在兩種不同的執行個體類型 （例如 `ml.t3.medium`和 `ml.m5.large`) 上執行，並在每個執行個體類型中啟動兩個應用程式。

 假設資料科學家也同時在`ml.m5.4xlarge`執行個體上執行具有相同VPC組態的訓練任務。

 在此案例中， SageMaker AI Studio 服務將插入ENIs如下：

* 表 1：ENIs注入客戶VPC進行實驗案例 *


|   實體   |   目標   |   ENI 注入   |   備註   |   Level   | 
| --- | --- | --- | --- | --- | 
|  EFS 掛載目標  |  VPC 子網路  |  三個  |  三個 AZs/subnet  |  網域  | 
|  VPC 端點  |  VPC 子網路  |  30  |  三個 AZs/subnet，VPCE每個 10 個  |  網域  | 
|  Jupyter 伺服器  |  VPC 子網路  |  一  |  每個執行個體一個 IP  |  使用者  | 
|  KernelGateway 應用程式  |  VPC 子網路  |  Two  |  每個執行個體類型一個 IP  |  使用者  | 
|  培訓  |  VPC 子網路  |  Two  |  IPs 每個訓練執行個體兩個 <br /> 如果使用 [EFA](https://aws.amazon.com/hpc/efa/) ，則IPs每個訓練執行個體 5 個  |  使用者  | 

 在此案例中，客戶總共有 38 個IPs耗用量VPC，其中 33 IPs 個是在網域層級與使用者共用，而 5 個IPs是在使用者層級耗用。如果您有 100 名使用者在此網域中具有類似的使用者描述檔，同時執行這些活動，則除了網域層級 IP 消耗之外，還會IPs在使用者層級消耗 5 x 100 = 500，也就是IPs每個子網路 11 個，總共 511 個IPs。在此案例中，您需要CIDR使用 /22 建立VPC子網路，以配置 1024 個 IP 地址，並擁有成長空間。

## VPC 網路選項
<a name="vpc-network-options"></a>

 SageMaker AI Studio 網域支援使用下列其中一個選項來設定VPC網路：
+  僅限公有網際網路
+  僅限 VPC

 僅限**公有網際網路**選項允許 SageMaker AI API服務透過 AI 服務帳戶管理VPC的 中佈建的網際網路閘道使用公有 SageMaker 網際網路，如下圖所示：

![預設模式：透過 SageMaker AI 服務帳戶存取網際網路。](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/sagemaker-studio-admin-best-practices/images/default-mode.png)


 **VPC 唯一的**選項會停用 SageMaker AI 服務帳戶VPC管理之 的網際網路路由，並允許客戶設定要透過VPC端點路由的流量，如下圖所示：

![VPC 僅限 模式：無法透過 SageMaker AI 服務帳戶存取網際網路。](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/sagemaker-studio-admin-best-practices/images/vpc-only-mode.png)


 對於VPC僅以 模式設定的網域，為每個使用者設定檔設定安全群組，以確保完全隔離基礎執行個體。 AWS 帳戶中的每個網域都可以有自己的VPC組態和網際網路模式。如需設定VPC網路組態的詳細資訊，請參閱 [中的VPC將 SageMaker AI Studio 筆記本連接至外部資源](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html)。

## 限制
<a name="limitations"></a>
+  建立 SageMaker AI Studio 網域之後，您就無法將新的子網路與網域建立關聯。
+  網路VPC類型 (*僅限公有網際網路*或*VPC僅限）* 無法變更。