Componentes del motor NetApp GenAI
Sugerir cambios
PDF
Cuando implementa la infraestructura GenAI, Workload Factory crea una instancia EC2 para el motor GenAI. También crea una función de IAM, un grupo de seguridad y puntos finales privados para esta instancia. Es posible que desee comprender más detalles sobre estos componentes que Workload Factory crea en su entorno de AWS.
- Tipo de instancia de EC2
-
m5.large
- Rol IAM
-
La instancia del motor de GenAI necesita permisos para enviar fragmentos de datos al modelo de integración en Amazon Bedrock y para comunicarse con el backend del servicio de IA de NetApp. El rol de IAM incluye los siguientes permisos:
Permisos de rol de IAM
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:DescribeDocument", "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetManifest", "ssm:ListInstanceAssociations", "ssm:ListAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*", "Effect": "Allow" }, { "Action": [ "fsx:DescribeVolumes", "fsx:DescribeStorageVirtualMachines", "fsx:DescribeFileSystems" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "fsx:TagResource", "fsx:ListTagsForResource" ], "Resource": [ "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "arn:aws:fsx:*:*:volume/*/*" ], "Effect": "Allow" }, { "Action": [ "fsx:CreateVolume" ], "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:storage-virtual-machine/*/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:kbId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:qConnectorId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:kbId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:qConnectorId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Action": [ "bedrock:InvokeModel", "bedrock:Rerank", "bedrock:GetFoundationModel", "bedrock:GetInferenceProfile", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:PutModelInvocationLoggingConfiguration" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:GetMessages", "ec2messages:GetEndpoint", "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "qbusiness:ListWebExperiences", "qbusiness:ListApplications", "qbusiness:GetApplication", "qbusiness:CreateDataSource", "qbusiness:DeleteDataSource", "qbusiness:ListIndices", "qbusiness:StartDataSourceSyncJob", "qbusiness:StopDataSourceSyncJob", "qbusiness:ListDataSourceSyncJobs", "qbusiness:BatchPutDocument", "qbusiness:BatchDeleteDocument" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/bedrock*", "arn:aws:logs:*:*:log-group:/netapp/wlmai/*:log-stream:*", "arn:aws:logs:*:*:log-group:/netapp/wlmai/*" ], "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" } ] } - Grupo de seguridad
-
Las reglas salientes están abiertas a todo el tráfico, mientras que las reglas entrantes están completamente cerradas.
- Puntos finales privados
-
Si la VPC de destino aún no los tiene, Workload Factory crea puntos finales privados para la instancia EC2 del motor GenAI para que pueda comunicarse con los siguientes servicios de AWS:
-
Roca base de Amazon
-
roca
-
tiempo de ejecución de bedrock
-
bedrock-agent-runtime
-
-
Registro de contenedores elásticos de Amazon (ECR)
-
API
-
docker
-
-
Administrador de sistemas AWS (SSM)
-
ssm
-
ec2messages
-
ssmmensajes
-
-
Amazon FSX para ONTAP de NetApp
-
Amazon CloudWatch
-