Componentes del motor NetApp GenAI
Sugerir cambios
PDF
Al implementar la infraestructura de GenAI, la fábrica de cargas de trabajo crea una instancia EC2 para el motor de GenAI. También crea un rol de IAM, un grupo de seguridad y puntos finales privados para esta instancia. Es posible que desee comprender más detalles sobre estos componentes que crea la fábrica de cargas de trabajo en su entorno de AWS.
- Tipo de instancia de EC2
-
m5.large
- Rol IAM
-
La instancia del motor de GenAI necesita permisos para enviar fragmentos de datos al modelo de integración en Amazon Bedrock y para comunicarse con el backend del servicio de IA de NetApp. El rol de IAM incluye los siguientes permisos:
Permisos de rol de IAM
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:DescribeDocument", "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetManifest", "ssm:ListInstanceAssociations", "ssm:ListAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*", "Effect": "Allow" }, { "Action": [ "fsx:DescribeVolumes", "fsx:DescribeStorageVirtualMachines", "fsx:DescribeFileSystems" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "fsx:TagResource", "fsx:ListTagsForResource" ], "Resource": [ "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "arn:aws:fsx:*:*:volume/*/*" ], "Effect": "Allow" }, { "Action": [ "fsx:CreateVolume" ], "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:storage-virtual-machine/*/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai: <ai-engine-id>:kbId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai: <ai-engine-id>:qConnectorId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai: <ai-engine-id>": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai: <ai-engine-id>:kbId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai: <ai-engine-id>:qConnectorId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Action": [ "bedrock:InvokeModel", "bedrock:Rerank", "bedrock:GetFoundationModel", "bedrock:GetInferenceProfile" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:GetMessages", "ec2messages:GetEndpoint", "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "qbusiness:ListWebExperiences", "qbusiness:GetApplication", "qbusiness:CreateDataSource", "qbusiness:DeleteDataSource", "qbusiness:ListIndices", "qbusiness:StartDataSourceSyncJob", "qbusiness:StopDataSourceSyncJob", "qbusiness:ListDataSourceSyncJobs", "qbusiness:BatchPutDocument", "qbusiness:BatchDeleteDocument" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/netapp/wlmai/*:log-stream:*", "arn:aws:logs:*:*:log-group:/netapp/wlmai/*" ], "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" } ] } - Grupo de seguridad
-
Las reglas salientes están abiertas a todo el tráfico, mientras que las reglas entrantes están completamente cerradas.
- Puntos finales privados
-
Si la VPC de destino aún no los tiene, la fábrica de cargas de trabajo crea puntos finales privados para la instancia de GenAI ENGINE EC2 para que pueda comunicarse con los siguientes servicios de AWS:
-
Roca base de Amazon
-
roca
-
tiempo de ejecución de bedrock
-
bedrock-agent-runtime
-
-
Registro de contenedores elásticos de Amazon (ECR)
-
API
-
docker
-
-
Administrador de sistemas AWS (SSM)
-
ssm
-
ec2messages
-
ssmmensajes
-
-
Amazon FSX para ONTAP de NetApp
-
Amazon CloudWatch
-