Generative Data Intelligence

AI

Samþættu HyperPod klasa með Active Directory fyrir óaðfinnanlega fjölnotendainnskráningu | Amazon vefþjónusta

Útgefið af Platon
Útgefið af Platon

Dagsetning:

Views: 0

Amazon SageMaker HyperPod er sérsmíðað til að flýta fyrir grunnlíkanþjálfun (FM) og fjarlægja óaðgreindar þungar lyftingar sem taka þátt í stjórnun og hagræðingu á stórum þjálfunartölvuklasa. Með SageMaker HyperPod geturðu þjálfað FM í margar vikur og mánuði án truflana.

Venjulega eru HyperPod klasar notaðir af mörgum notendum: rannsakendum vélanáms (ML), hugbúnaðarverkfræðingum, gagnafræðingum og klasastjórnendum. Þeir breyta eigin skrám, reka sín eigin störf og vilja forðast að hafa áhrif á vinnu hvers annars. Til að ná þessu fjölnotendaumhverfi geturðu nýtt þér notenda- og hópkerfi Linux og búið til marga notendur á kyrrstöðu í hverju tilviki í gegnum líftímaforskriftir. Gallinn við þessa nálgun er hins vegar sá að notenda- og hópstillingar eru afritaðar yfir mörg tilvik í þyrpingunni, sem gerir það erfitt að stilla þær stöðugt í öllum tilvikum, svo sem þegar nýr liðsmaður gengur til liðs.

Til að leysa þennan sársaukapunkt getum við notað Lightweight Directory Access Protocol (LDAP) og LDAP yfir TLS/SSL (LDAPS) að samþætta við símaskrárþjónustu eins og AWS Directory Service fyrir Microsoft Active Directory. Með skráarþjónustunni geturðu miðlægt viðhaldið notendum og hópum og heimildum þeirra.

Í þessari færslu kynnum við lausn til að samþætta HyperPod klasa við AWS Stýrður Microsoft AD, og ​​útskýrum hvernig á að ná fram óaðfinnanlegu fjölnotenda innskráningarumhverfi með miðlægri möppu.

Lausn yfirlit

Lausnin notar eftirfarandi AWS þjónustu og auðlindir:

Við notum líka AWS CloudFormation að setja upp stafla til að búa til forsendur fyrir HyperPod klasann: VPC, undirnet, öryggishóp og Amazon FSx fyrir Luster bindi.

Eftirfarandi skýringarmynd sýnir háþróaða lausnararkitektúrinn.

Byggingarmynd fyrir HyperPod og Active Directory samþættingu

Í þessari lausn nota HyperPod klasatilvik LDAPS-samskiptareglur til að tengjast AWS-stýrðu Microsoft AD í gegnum NLB. Við notum TLS uppsögn með því að setja upp skírteini í NLB. Til að stilla LDAPS í HyperPod klasatilvikum, setur lífsferilshandritið upp og stillir System Security Services Daemon (SSSD)— opinn hugbúnaður fyrir biðlara fyrir LDAP/LDAPS.

Forkröfur

Þessi færsla gerir ráð fyrir að þú vitir nú þegar hvernig á að búa til grunn HyperPod þyrping án SSSD. Fyrir frekari upplýsingar um hvernig á að búa til HyperPod klasa, sjá Byrjaðu með SageMaker HyperPod og HyperPod verkstæði.

Einnig, í uppsetningarskrefunum, muntu nota Linux vél til að búa til sjálfstætt undirritað vottorð og fá óljóst lykilorð fyrir AD-lesara notandann. Ef þú ert ekki með Linux vél geturðu búið til EC2 Linux dæmi eða notað AWS CloudShell.

Búðu til VPC, undirnet og öryggishóp

Fylgdu leiðbeiningunum í Eigin reikningur hluta HyperPod verkstæðisins. Þú munt setja upp CloudFormation stafla og búa til nauðsynleg auðlindir eins og VPC, undirnet, öryggishóp og FSx fyrir Luster bindi. Þú þarft að búa til bæði aðalundirnet og varaundirnet þegar þú setur upp CloudFormation stafla, vegna þess að AWS Managed Microsoft AD krefst að minnsta kosti tveggja undirneta með mismunandi framboðssvæðum.

Í þessari færslu, til einföldunar, notum við sama VPC, undirnet og öryggishóp fyrir bæði HyperPod þyrpinguna og skráarþjónustuna. Ef þú þarft að nota mismunandi net á milli þyrpingarinnar og skráaþjónustunnar skaltu ganga úr skugga um að öryggishópar og leiðartöflur séu stilltar þannig að þeir geti haft samskipti sín á milli.

Búðu til AWS-stýrt Microsoft AD á skráarþjónustu

Ljúktu við eftirfarandi skref til að setja upp möppuna þína:

  1. Á vefsíðu Stjórnborð skráaþjónustu, velja Möppur í siglingarúðunni.
  2. Veldu Settu upp möppu.
  3. fyrir Tegund möppuvelja AWS stýrði Microsoft AD.
  4. Veldu Næstu.
    Skjár fyrir val á skráartegund
  5. fyrir Útgáfavelja Standard Edition.
  6. fyrir DNS nafn skráar, sláðu inn valið DNS nafn möppu (til dæmis, hyperpod.abc123.com).
  7. fyrir Admin lykilorð¸ stilltu lykilorð og vistaðu það til síðari nota.
  8. Veldu Næstu.
    Stillingarskjár til að búa til möppu
  9. Í net kafla, tilgreindu VPC og tvö einka undirnet sem þú bjóst til.
  10. Veldu Næstu.
    Stillingarskjár netkerfisskrár
  11. Skoðaðu stillingar og verð, veldu síðan Búðu til möppu.
    Staðfestingarskjár til að búa til möppu
    Möppugerðin hefst. Bíddu þar til staðan breytist frá búa til til Virk, sem getur tekið 20–30 mínútur.
  12. Þegar staðan breytist í Virk, opnaðu upplýsingasíðu möppunnar og taktu eftir DNS vistföngunum til notkunar síðar.Skráarupplýsingar skjár

Búðu til NLB fyrir framan Directory Service

Til að búa til NLB skaltu ljúka eftirfarandi skrefum:

  1. Á vefsíðu Amazon EC2 leikjatölva, velja Markhópar í siglingarúðunni.
  2. Veldu Búa til markhópa.
  3. Búðu til markhóp með eftirfarandi breytum:
    1. fyrir Veldu marktegundvelja IP tölur.
    2. fyrir Nafn markhóps, koma inn LDAP.
    3. fyrir Bókun: Höfn, velja TCP og sláðu inn 389.
    4. fyrir Tegund IP töluvelja IPv4.
    5. fyrir VPC, velja SageMaker HyperPod VPC (sem þú bjóst til með CloudFormation sniðmátinu).
    6. fyrir Heilbrigðiseftirlit, velja TCP.
  4. Veldu Næstu.
    Stillingarskjár fyrir gerð álagsjöfnunarmarkmiða
  5. Í Skráðu markmið kafla, skráðu DNS vistföng möppuþjónustunnar sem markmið.
  6. fyrir Hafnir, velja Taka með sem í bið hér að neðan.Skráningarskjár fyrir hleðslujafnvægiHeimilisföngunum er bætt við í Farið yfir markmið kafla með Bíður stöðu.
  7. Veldu Búa til markhóp.Skoðunarskjár fyrir hleðslujöfnun
  8. Á vefsíðu Load Balancers stjórnborð, velja Búðu til álagsjafnvægi.
  9. undir Netálagsjafnari, velja Búa til.Skjár til að velja álagsjafnvægistegund
  10. Stilltu NLB með eftirfarandi breytum:
    1. fyrir Heiti álagsjafnara, sláðu inn nafn (til dæmis, nlb-ds).
    2. fyrir Áætlunvelja Innri.
    3. fyrir Tegund IP töluvelja IPv4.NLB sköpun grunnstillingarhluta
    4. fyrir VPC, velja SageMaker HyperPod VPC (sem þú bjóst til með CloudFormation sniðmátinu).
    5. undir Kortagerð, veldu einkaundirnetin tvö og CIDR svið þeirra (sem þú bjóst til með CloudFormation sniðmátinu).
    6. fyrir Öryggishópar, velja CfStackName-SecurityGroup-XYZXYZ (sem þú bjóst til með CloudFormation sniðmátinu).NLB sköpun netkorta og stillingar öryggishópa
  11. Í Hlustendur og leiðsögn kafla, tilgreindu eftirfarandi færibreytur:
    1. fyrir Siðareglur, velja TCP.
    2. fyrir Port, koma inn 389.
    3. fyrir Sjálfgefin aðgerð, veldu markhópinn sem nefndur er LDAP.

    Hér erum við að bæta við hlustanda fyrir LDAP. Við munum bæta við LDAPS síðar.

  12. Veldu Búðu til álagsjafnvægi.NLB hlustenda leiðarstillingarskjárBíddu þar til staðan breytist frá Útvegun í Active, sem getur tekið 3–5 mínútur.
  13. Þegar staðan breytist í Virk, opnaðu smáatriðissíðu hins útvegaða NLB og taktu eftir DNS nafninu (xyzxyz.elb.region-name.amazonaws.com) til síðari nota.NLB upplýsingaskjár

Búðu til sjálfundirritað vottorð og fluttu það inn í vottorðastjóra

Til að búa til sjálfstætt undirritað vottorð skaltu ljúka eftirfarandi skrefum:

  1. Í Linux-undirstaða umhverfi þínu (staðbundinni fartölvu, EC2 Linux dæmi eða CloudShell), keyrðu eftirfarandi OpenSSL skipanir til að búa til sjálfundirritað vottorð og einkalykil: 
    $ openssl genrsa 2048 > ldaps.key

$ openssl req -new -key ldaps.key -out ldaps_server.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Bellevue
Organization Name (eg, company) [Internet Widgits Pty Ltd]:CorpName
Organizational Unit Name (eg, section) []:OrgName
Common Name (e.g., server FQDN or YOUR name) []:nlb-ds-abcd1234.elb.region.amazonaws.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ openssl x509 -req -sha256 -days 365 -in ldaps_server.csr -signkey ldaps.key -out ldaps.crt

Certificate request self-signature ok
subject=C = US, ST = Washington, L = Bellevue, O = CorpName, OU = OrgName, CN = nlb-ds-abcd1234.elb.region.amazonaws.com, emailAddress = [email protected]

$ chmod 600 ldaps.key

  2. Á vefsíðu Stjórnborð vottorðastjóra, velja innflutningur.
  3. Sláðu inn vottorð og einkalykil, úr innihaldi ldaps.crt og ldaps.key sig.
  4. Veldu Næstu.Innflutningsskjár fyrir vottorð
  5. Bættu við valkvæðum merkjum og veldu síðan Næstu.Breytingarskjár fyrir vottorðsmerki
  6. Skoðaðu uppsetninguna og veldu innflutningur.Skoða skjár fyrir innflutning vottorða

Bættu við LDAPS hlustanda

Við bættum við hlustanda fyrir LDAP þegar í NLB. Nú bætum við við hlustanda fyrir LDAPS með innflutta vottorðinu. Ljúktu við eftirfarandi skref:

  1. Á vefsíðu Load Balancers stjórnborð, farðu á NLB upplýsingasíðuna.
  2. Á vefsíðu Hlustendur flipa, veldu Bættu við hlustanda.NLB listar skjár með hnappi til að bæta við hlustanda
  3. Stilltu hlustandann með eftirfarandi breytum:
    1. fyrir Siðareglur, velja TLS.
    2. fyrir Port, koma inn 636.
    3. fyrir Sjálfgefin aðgerð, velja LDAP.
    4. fyrir Uppruni vottorðsvelja Frá ACM.
    5. fyrir vottorð, sláðu inn það sem þú fluttir inn í ACM.
  4. Veldu Bæta við.NLB hlustendastillingarskjárNú hlustar NLB á bæði LDAP og LDAPS. Mælt er með því að eyða LDAP hlustandanum vegna þess að hann sendir gögn án dulkóðunar, ólíkt LDAPS.NLB lista með LDAP og LDAPS

Búðu til EC2 Windows tilvik til að stjórna notendum og hópum í AD

Til að búa til og viðhalda notendum og hópum í AD skaltu ljúka eftirfarandi skrefum:

  1. Á Amazon EC2 vélinni skaltu velja Dæmi í siglingarúðunni.
  2. Veldu Ræstu tilvik.
  3. fyrir heiti, sláðu inn nafn fyrir tilvikið þitt.
  4. fyrir Amazon vélamynd, velja Microsoft Windows Server 2022 grunnur.
  5. fyrir Tegund tilviks, velja t2.micro.
  6. Í Netstillingar kafla, gefðu upp eftirfarandi færibreytur:
    1. fyrir VPC, velja SageMaker HyperPod VPC (sem þú bjóst til með CloudFormation sniðmátinu).
    2. fyrir Undirnet, veldu annað hvort tveggja undirneta sem þú bjóst til með CloudFormation sniðmátinu.
    3. fyrir Algengar öryggishópar, velja CfStackName-SecurityGroup-XYZXYZ (sem þú bjóst til með CloudFormation sniðmátinu).
  7. fyrir Stilla geymslu, stilltu geymslupláss á 30 GB gp2.
  8. Í Ítarlegar upplýsingar kafla, fyrir Skrá yfir lén¸ veldu AD sem þú bjóst til.
  9. fyrir IAM tilvikssnið, veldu an AWS auðkenni og aðgangsstjórnun (IAM) hlutverk með að minnsta kosti AmazonSSMManagedEC2InstanceDefaultPolicy stefna.
  10. Farðu yfir samantektina og veldu Ræstu dæmi.

Búðu til notendur og hópa í AD með því að nota EC2 Windows tilvikið

með Remote Desktop, tengdu við EC2 Windows tilvikið sem þú bjóst til í fyrra skrefi. Mælt er með því að nota RDP biðlara fram yfir að nota fjarstýrt skjáborð með vafra svo þú getir skipt um innihald klemmuspjaldsins við staðbundna vélina þína með því að nota copy-paste aðgerðir. Fyrir frekari upplýsingar um tengingu við EC2 Windows tilvik, sjá Tengstu við Windows tilvikið þitt.

Ef þú ert beðinn um innskráningarskilríki skaltu nota hyperpodAdmin (hvar hyperpod er fyrsti hluti af DNS-nafninu þínu) sem notandanafn og notaðu stjórnandalykilorðið sem þú stillir á skráarþjónustuna.

  1. Þegar Windows skjáborðsskjárinn opnast skaltu velja Server Manager frá Home valmyndinni.Mælaborðsskjár á Server Manager
  2. Veldu Staðbundinn netþjónn í yfirlitsrúðunni og staðfestu að lénið sé það sem þú tilgreindir fyrir skráarþjónustuna.Local Server skjár á Server Manager
  3. Á vefsíðu Stjórna valmynd, veldu Bættu við hlutverkum og eiginleikum.Fellivalmynd opnuð frá Stjórna hnappinum
  4. Veldu Næstu þangað til þú ert á Aðstaða síðu.Bæta við hlutverkum og eiginleikum Wizard
  5. Stækkaðu eiginleikann Remote Server Administration Tools, auka Verkfæri fyrir hlutverkastjórnunOg veldu AD DS og AD LDS verkfæri og Active Directory réttindastjórnunarþjónusta.
  6. Veldu Næstu og setja.Er með valskjáUppsetning eiginleika hefst.
  7. Þegar uppsetningu er lokið skaltu velja Loka.Framvinduskjár fyrir eiginleika uppsetningar
  8. Opna Active Directory notendur og tölvur frá Home valmyndinni.Active Directory notendur og tölvur gluggi
  9. undir hyperpod.abc123.com, auka hyperpod.
  10. Veldu (hægrismelltu) hyperpod, velja nýtt, og veldu Skipulagseining.Samhengisvalmynd opnuð til að búa til skipulagsheild
  11. Búðu til skipulagseiningu sem heitir Groups.Stofnunargluggi fyrir skipulagsheild
  12. Veldu (hægrismelltu) hópar, velja nýtt, og veldu Group.Samhengisvalmynd opnuð til að búa til hópa
  13. Búðu til hóp sem heitir ClusterAdmin.Hópastofnunargluggi fyrir ClusterAdmin
  14. Búðu til annan hóp sem heitir ClusterDev.Hópastofnunargluggi fyrir ClusterDev
  15. Veldu (hægrismelltu) Notendur, velja nýtt, og veldu Notandi.
  16. Búðu til nýjan notanda.Gluggi til að búa til notanda
  17. Veldu (hægrismelltu) notandann og veldu Bæta við hóp.Samhengisvalmynd opnuð til að bæta notanda við hóp
  18. Bættu notendum þínum við hópana ClusterAdmin or ClusterDev.Hópvalskjár til að bæta notanda við hópNotendum bætt við ClusterAdmin hópur mun hafa sudo forréttindi á klasanum.

Búðu til skrifvarinn notanda í AD

Búðu til notanda sem heitir ReadOnly undir Users. Í ReadOnly notandi er notaður af klasanum til að fá forritaðan aðgang að notendum og hópum í AD.

Notendasköpunargluggi til að búa til skrifvarinn notanda

Taktu eftir lykilorðinu til notkunar síðar.

Innsláttarskjár lykilorðs fyrir skrifvarinn notanda

(Fyrir SSH opinbera auðkenningu) Bættu SSH opinberum lyklum við notendur

Með því að geyma SSH almenningslykil fyrir notanda í AD geturðu skráð þig inn án þess að slá inn lykilorð. Þú getur notað núverandi lyklapar, eða þú getur búið til nýtt lyklapar með OpenSSH's ssh-keygen skipun. Fyrir frekari upplýsingar um að búa til lyklapar, sjá Búðu til lyklapar fyrir Amazon EC2 tilvikið þitt.

  1. In Active Directory notendur og tölvur, Á Útsýni valmynd, virkja Ítarlegri Aðgerðir.Skoða valmynd opnuð til að virkja háþróaða eiginleika
  2. opna Eiginleikar glugga notandans.
  3. Á vefsíðu Eiginleikaritstjóri flipa, veldu altSecurityIdentities velja Breyta.Eiginleikaritill flipinn í notendaeiginleikum glugganum
  4. fyrir Gildi til að auka, velja Bæta við.
  5. fyrir Gildi, bættu við SSH almennum lykli.
  6. Veldu OK.Eiginleikaklippingargluggi fyrir altSecurityIdentitiesStaðfestu að SSH opinberi lykillinn birtist sem eiginleiki.Eiginleikaritill flipi með altSecurityIdentities stillt

Fáðu óskýrt lykilorð fyrir ReadOnly notandann

Til að koma í veg fyrir að innihalda lykilorð með einföldum texta í SSSD stillingarskránni, skýlirðu lykilorðinu. Fyrir þetta skref þarftu Linux umhverfi (staðbundin fartölvu, EC2 Linux dæmi eða CloudShell).

setja sssd-tools pakka á Linux vélinni til að setja upp Python eininguna pysss fyrir þoku:

# Ubuntu
$ sudo apt install sssd-tools

# Amazon Linux
$ sudo yum install sssd-tools

Keyrðu eftirfarandi einnar línu Python handrit. Sláðu inn lykilorðið á ReadOnly notandi. Þú færð skyggða lykilorðið.

$ python3 -c "import getpass,pysss; print(pysss.password().encrypt(getpass.getpass('AD reader user password: ').strip(), pysss.password().AES_256))"
AD reader user password: (Enter ReadOnly user password) 
AAAQACK2....

Búðu til HyperPod þyrping með SSSD-virku lífsferlisskriftu

Næst býrðu til HyperPod þyrping með LDAPS/Active Directory samþættingu.

  1. Finndu stillingarskrána config.py í lífsferlishandritaskránni þinni, opnaðu hana með textaritlinum þínum og breyttu eiginleikum í Config bekk og SssdConfig bekkur:
    1. Setja True fyrir enable_sssd til að virkja uppsetningu SSSD.
    2. The SssdConfig flokkur inniheldur stillingarfæribreytur fyrir SSSD.
    3. Gakktu úr skugga um að þú notir duldu lykilorðið fyrir ldap_default_authtok eign, ekki venjulegt lykilorð.
    # Basic configuration parameters
class Config:
         :
    # Set true if you want to install SSSD for ActiveDirectory/LDAP integration.
    # You need to configure parameters in SssdConfig as well.
    enable_sssd = True
# Configuration parameters for ActiveDirectory/LDAP/SSSD
class SssdConfig:

    # Name of domain. Can be default if you are not sure.
    domain = "default"

    # Comma separated list of LDAP server URIs
    ldap_uri = "ldaps://nlb-ds-xyzxyz.elb.us-west-2.amazonaws.com"

    # The default base DN to use for performing LDAP user operations
    ldap_search_base = "dc=hyperpod,dc=abc123,dc=com"

    # The default bind DN to use for performing LDAP operations
    ldap_default_bind_dn = "CN=ReadOnly,OU=Users,OU=hyperpod,DC=hyperpod,DC=abc123,DC=com"

    # "password" or "obfuscated_password". Obfuscated password is recommended.
    ldap_default_authtok_type = "obfuscated_password"

    # You need to modify this parameter with the obfuscated password, not plain text password
    ldap_default_authtok = "placeholder"

    # SSH authentication method - "password" or "publickey"
    ssh_auth_method = "publickey"

    # Home directory. You can change it to "/home/%u" if your cluster doesn't use FSx volume.
    override_homedir = "/fsx/%u"

    # Group names to accept SSH login
    ssh_allow_groups = {
        "controller" : ["ClusterAdmin", "ubuntu"],
        "compute" : ["ClusterAdmin", "ClusterDev", "ubuntu"],
        "login" : ["ClusterAdmin", "ClusterDev", "ubuntu"],
    }

    # Group names for sudoers
    sudoers_groups = {
        "controller" : ["ClusterAdmin", "ClusterDev"],
        "compute" : ["ClusterAdmin", "ClusterDev"],
        "login" : ["ClusterAdmin", "ClusterDev"],
    }

  2. Afritaðu skírteinisskrána ldaps.crt í sömu möppu (hvar config.py er til).
  3. Hladdu upp breyttum lífsferilsskriftuskrám á þinn Amazon einföld geymsluþjónusta (Amazon S3) fötu og búðu til HyperPod þyrping með henni.
  4. Bíddu þar til staðan breytist í Í þjónustu.

Staðfesting

Við skulum sannreyna lausnina með því að skrá okkur inn í þyrpinguna með SSH. Vegna þess að þyrpingin var búin til í einkaundirneti geturðu ekki SSH beint inn í þyrpinguna úr þínu staðbundnu umhverfi. Þú getur valið á milli tveggja valkosta til að tengjast þyrpingunni.

Valkostur 1: SSH innskráning í gegnum AWS Systems Manager

Þú getur notað AWS kerfisstjóri sem umboð fyrir SSH tenginguna. Bættu hýsingarfærslu við SSH stillingarskrána ~/.ssh/config með eftirfarandi dæmi. Fyrir HostName reit, tilgreinið markheiti Systems Manager á sniði sem sagemaker-cluster:[cluster-id]_[instance-group-name]-[instance-id]. Fyrir IdentityFile reit, tilgreindu skráarslóðina að SSH einkalykli notandans. Þessi reitur er ekki nauðsynlegur ef þú velur auðkenningu lykilorðs.

Host MyCluster-LoginNode
    HostName sagemaker-cluster:abcd1234_LoginGroup-i-01234567890abcdef
    User user1
    IdentityFile ~/keys/my-cluster-ssh-key.pem
    ProxyCommand aws --profile default --region us-west-2 ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p

Hlaupa ssh skipun með því að nota hýsilnafnið sem þú tilgreindir. Staðfestu að þú getir skráð þig inn á tilvikið með tilgreindum notanda.

$ ssh MyCluster-LoginNode
   :
   :
   ____              __  ___     __             __ __                  ___          __
  / __/__ ____ ____ /  |/  /__ _/ /_____ ____  / // /_ _____  ___ ____/ _ ___  ___/ /
 _ / _ `/ _ `/ -_) /|_/ / _ `/  '_/ -_) __/ / _  / // / _ / -_) __/ ___/ _ / _  /
/___/_,_/_, /__/_/  /_/_,_/_/___/_/   /_//_/_, / .__/__/_/ /_/   ___/_,_/
         /___/                                    /___/_/
You're on the controller
Instance Type: ml.m5.xlarge
user1@ip-10-1-111-222:~$

Á þessum tímapunkti geta notendur samt notað sjálfgefna skeljalotu Systems Manager til að skrá sig inn í þyrpinguna sem ssm-user með stjórnunarréttindi. Til að loka fyrir sjálfgefinn Systems Manager skel aðgang og framfylgja SSH aðgangi geturðu stillt IAM stefnu þína með því að vísa til eftirfarandi dæmi:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-west-2:123456789012:cluster/abcd1234efgh",
                "arn:aws:ssm:us-west-2:123456789012:document/AWS-StartSSHSession"
            ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
            }
        }
    ]
}

Fyrir frekari upplýsingar um hvernig á að framfylgja SSH aðgangi, sjá Byrjaðu lotu með skjali með því að tilgreina lotuskjölin í IAM-reglum.

Valkostur 2: SSH innskráning í gegnum Bastion Host

Annar valkostur til að fá aðgang að þyrpingunni er að nota a Bastion gestgjafi sem umboð. Þú getur notað þennan valmöguleika þegar notandinn hefur ekki leyfi til að nota kerfisstjóralotur, eða til að leysa þegar kerfisstjóri virkar ekki.

  1. Búðu til bastion öryggishóp sem leyfir SSH aðgang á heimleið (TCP tengi 22) frá þínu staðbundnu umhverfi.
  2. Uppfærðu öryggishópinn fyrir þyrpinguna til að leyfa SSH aðgang á heimleið frá öryggishópnum Bastion.
  3. Búðu til EC2 Linux dæmi.
  4. fyrir Amazon vélamynd, velja Ubuntu Server 20.04LTS.
  5. fyrir Tegund tilviks, velja t3.lítil.
  6. Í Netstillingar kafla, gefðu upp eftirfarandi færibreytur:
    1. fyrir VPC, velja SageMaker HyperPod VPC (sem þú bjóst til með CloudFormation sniðmátinu).
    2. fyrir Undirnet, veldu opinbera undirnetið sem þú bjóst til með CloudFormation sniðmátinu.
    3. fyrir Algengar öryggishópar, veldu Bastion öryggishópinn sem þú bjóst til.
  7. fyrir Stilla geymslu, stilltu geymslupláss á 8 GB.
  8. Þekkja opinbera IP-tölu bastion-hýsilsins og einka-IP-tölu marktilviksins (til dæmis innskráningarhnút þyrpingarinnar) og bættu við tveimur hýsilfærslum í SSH-stillingunni, með því að vísa til eftirfarandi dæmi: 
    Host Bastion
    HostName 11.22.33.44
    User ubuntu
    IdentityFile ~/keys/my-bastion-ssh-key.pem

Host MyCluster-LoginNode-with-Proxy
    HostName 10.1.111.222
    User user1
    IdentityFile ~/keys/my-cluster-ssh-key.pem
    ProxyCommand ssh -q -W %h:%p Bastion

  9. Hlaupa ssh skipun með því að nota miðhýsilnafnið sem þú tilgreindir áðan og staðfestu að þú getir skráð þig inn á tilvikið með tilgreindum notanda: 
    $ ssh MyCluster-LoginNode-with-Proxy
   :
   :
   ____              __  ___     __             __ __                  ___          __
  / __/__ ____ ____ /  |/  /__ _/ /_____ ____  / // /_ _____  ___ ____/ _ ___  ___/ /
 _ / _ `/ _ `/ -_) /|_/ / _ `/  '_/ -_) __/ / _  / // / _ / -_) __/ ___/ _ / _  /
/___/_,_/_, /__/_/  /_/_,_/_/___/_/   /_//_/_, / .__/__/_/ /_/   ___/_,_/
         /___/                                    /___/_/
You're on the controller
Instance Type: ml.m5.xlarge
user1@ip-10-1-111-222:~$

Hreinsa upp

Hreinsaðu tilföngin í eftirfarandi röð:

  1. Eyða HyperPod þyrpingunni.
  2. Eyddu Network Load Balancer.
  3. Eyða álagsjöfnun markhópnum.
  4. Eyddu vottorðinu sem flutt var inn í vottorðastjóra.
  5. Eyddu EC2 Windows tilvikinu.
  6. Eyddu EC2 Linux tilvikinu fyrir Bastion gestgjafann.
  7. Eyða AWS stýrðu Microsoft AD.
  8. Eyddu CloudFormation staflanum fyrir VPC, undirnet, öryggishóp og FSx fyrir Luster bindi.

Niðurstaða

Þessi færsla veitti skref til að búa til HyperPod þyrping samþættan Active Directory. Þessi lausn fjarlægir fyrirhöfn notendaviðhalds á stórum klösum og gerir þér kleift að stjórna notendum og hópum miðlægt á einum stað.

Fyrir frekari upplýsingar um HyperPod, skoðaðu HyperPod verkstæði og SageMaker HyperPod þróunarleiðbeiningar. Skildu eftir athugasemdir þínar um þessa lausn í athugasemdahlutanum.

Um höfunda

Tomonori Shimomura er Senior Solutions Architect í Amazon SageMaker teyminu, þar sem hann veitir ítarlega tæknilega ráðgjöf til SageMaker viðskiptavinum og stingur upp á vöruumbótum fyrir vöruteymið. Áður en hann gekk til liðs við Amazon vann hann við hönnun og þróun innbyggðs hugbúnaðar fyrir tölvuleikjatölvur og nú nýtir hann sér ítarlega færni sína í skýjahliðartækni. Í frítíma sínum nýtur hann þess að spila tölvuleiki, lesa bækur og skrifa hugbúnað.

Giuseppe Angelo Porcelli er aðal lausnaarkitektur í vélanámi fyrir Amazon Web Services. Með nokkurra ára hugbúnaðarverkfræði og ML bakgrunn vinnur hann með viðskiptavinum af hvaða stærð sem er til að skilja viðskipta- og tækniþarfir þeirra og hanna gervigreind og ML lausnir sem nýta AWS skýið og Amazon Machine Learning staflan sem best. Hann hefur unnið að verkefnum á mismunandi sviðum, þar á meðal MLOps, tölvusjón og NLP, sem felur í sér breitt safn af AWS þjónustu. Í frítíma sínum nýtur Giuseppe að spila fótbolta.

Monidipa Chakraborty starfar nú sem yfirmaður hugbúnaðarþróunarverkfræðings hjá Amazon Web Services (AWS), sérstaklega innan SageMaker HyperPod teymisins. Hún er staðráðin í að aðstoða viðskiptavini með því að hanna og innleiða öflug og stigstærð kerfi sem sýna framúrskarandi rekstrarhæfileika. Með næstum áratug af reynslu af hugbúnaðarþróun hefur Monidipa lagt sitt af mörkum til ýmissa geira innan Amazon, þar á meðal Video, Retail, Amazon Go og AWS SageMaker.

Satish Pasumarthi er hugbúnaðarhönnuður hjá Amazon Web Services. Með nokkurra ára hugbúnaðarverkfræði og ML bakgrunn elskar hann að brúa bilið á milli ML og kerfanna og hefur brennandi áhuga á að byggja upp kerfi sem gera þjálfun í stórum stíl mögulega. Hann hefur unnið að verkefnum á ýmsum sviðum, þar á meðal vélanámsramma, módelviðmiðun, byggingu hyperpod beta sem felur í sér breitt safn af AWS þjónustu. Í frítíma sínum nýtur Satish að spila badminton.

blettur_img

Nýjasta upplýsingaöflun

blettur_img

Höfundarréttur @ 2024 Plato Technologies Inc.

Spjallaðu við okkur

Sæll! Hvernig get ég aðstoðað þig?