Problemas conocidos de la versión 2024.x

Problemas conocidos

Problemas conocidos de la versión 2024.x

Problemas conocidos de la versión 2024.x

........................

(2024.12 y 2024.12.01) Error de expresión regular al registrar un nuevo usuario de Cognito

Descripción del error

Si intenta registrar usuarios de AWS Cognito a través del portal web que tengan prefijos de correo electrónico que contengan» . «, por ejemplo<firstname>.<lastname>@<company>.com, esto provocará un error que indique que el nombre de usuario de Cognito no coincide con el patrón de expresiones regulares definido.

Este error se debe a que RES genera automáticamente nombres de usuario a partir del prefijo de correo electrónico del usuario. Sin embargo, los nombres de usuario con «.» no son usuarios válidos para los VDI en determinadas distribuciones de Linux compatibles con RES. Esta corrección elimina cualquier «.» del prefijo del correo electrónico al generar un nombre de usuario, de modo que el nombre de usuario sea válido en los VDI de RES Linux.

Versiones afectadas

Versiones RES 2024.12 y 2024.12.01

Mitigación

Ejecute los siguientes comandos para descargar patch.py y cognito_sign_up_email_fix.patch para las versiones 2024.12 o 2024.12.01 y <output-directory> sustitúyalos cognito_sign_up_email_fix.patch por el directorio en el que desee descargar el script y el archivo del parche, así como por el nombre de su entorno RES: <environment-name>
1. El parche se aplica a los RES 2024.12 y 2024.12.01.
2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>
RES_VERSION=<res-version> # either 2024.12 or 2024.12.01

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/cognito_sign_up_email_fix.patch --output ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch 
```

Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

Reinicie la instancia de Cluster Manager para su entorno. También puede cancelar la instancia desde la consola de administración de Amazon EC2.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Verifique el estado de la instancia de Cluster Manager comprobando la actividad del grupo de autoescalado empezando por el nombre<RES-EnvironmentName>-cluster-manager-asg. Espere hasta que la nueva instancia se lance correctamente.

........................

(2024.12.01 y versiones anteriores) Error de certificado incorrecto no válido al conectarse a VDI mediante un dominio personalizado

Descripción del error

Al implementar la receta de recursos externos y RES con un nombre de dominio de portal personalizado, CertificateRenewalNode no se actualiza el certificado TLS para la conexión VDI y aparece el siguiente error: /var/log/user-data.log


{
  "type": "urn:ietf:params:acme:error:unauthorized",
  "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
  "status": 403
}

Como resultado, aparecerá un error que indica net::ERR_CERT_DATE_INVALID (Chrome) o Error code: SSL_ERROR_BAD_CERT_DOMAIN (FireFox) cuando se conecte a sus VDI en el portal web de RES.

Versiones afectadas

2024.12.01 y versiones anteriores

Mitigación

Navegue hasta la consola EC2. Si hay una instancia con nombreCertificateRenewalNode-, finalice la instancia.
Vaya a la consola Lambda. Abra el código fuente de la función Lambda denominada. -CertificateRenewalLambda- Identifique la línea que comienza con el argumento ./acme.sh --issue --dns dns_aws --ocsp-must-staple --keylength 4096 y elimínelo. --ocsp-must-staple
Seleccione Implementar y espere a que el cambio de código surta efecto.
Para activar manualmente la función Lambda: vaya a la pestaña Prueba y, a continuación, seleccione Probar. No se requiere ninguna entrada adicional. Esto debería crear una instancia EC2 de certificado que actualice el certificado y PrivateKey los secretos en Secret Manager. La instancia finalizará automáticamente una vez que se actualicen los secretos.
Finalice la instancia dcv-gateway existente <env-name>-vdc-gateway y espere a que el grupo de autoescalado implemente automáticamente una nueva.

Detalles del error

Let's Encrypt finalizará el soporte de OCSP en 2025. A partir del 30 de enero de 2025, Must-Staple las solicitudes de OCSP fallarán a menos que la cuenta solicitante haya emitido previamente un certificado que contenga la extensión OCSP Must Staple. Consulte https://letsencrypt.org/2024/12/05/ending-ocsp/para obtener más información.

........................

(2024.12 y 2024.12.01) Los usuarios de Active Directory no pueden usar SSH a Bastion Host

Descripción del error

Los usuarios de Active Directory reciben un error de permiso denegado cuando se conectan al Bastion Host siguiendo las instrucciones del portal web de RES.

La aplicación Python que se ejecuta en el host Bastion no puede iniciar el servicio SSSD debido a la falta de una variable de entorno. Como resultado, el sistema operativo desconoce a los usuarios de AD y no pueden iniciar sesión.

Versiones afectadas

2024.12 y 2024.12.01

Mitigación

Conéctese a la instancia de Bastion Host desde la consola EC2.
Edite /etc/environment y añada environment_name=<res-environment-name> como una nueva línea en IDEA_CLUSTER_NAME.

Ejecuta los siguientes comandos en la instancia:


source /etc/environment
sudo service supervisord restart
sudo systemctl restart supervisord

Intente volver a conectarse al Bastion Host siguiendo las instrucciones del portal web de RES.

........................

(2024.10) Se interrumpe el autostop de VDI para entornos RES implementados en VPC aisladas

Descripción del error

Con la versión 2024.10 RES, se agregó la parada automática de VDI para los VDI que están inactivos durante un período de tiempo determinado. Este ajuste se puede configurar en Configuración del escritorio → Servidor → Sesión.

Actualmente, la parada automática de VDI no es compatible con los entornos RES implementados en VPC aisladas.

Versiones afectadas

2024.10

Mitigación

Actualmente estamos trabajando en una solución que se incluirá en una futura versión. Sin embargo, aún es posible detener manualmente los VDI en entornos RES implementados en VPC aisladas.

........................

(2024.10 y versiones anteriores) No se pudo iniciar VDI para los tipos de instancias mejoradas con gráficos

Descripción del error

Cuando se lanza una VDI de Amazon Linux 2 - x86_64, RHEL 8 - x86_64 o RHEL 9 x86_64 en un tipo de instancia con gráficos mejorados (g4, g5), la instancia se atascará en el estado de aprovisionamiento. Esto significa que la instancia nunca pasará al estado «Preparada» y estará disponible para la conexión.

Esto se debe a que el servidor X no crea instancias correctamente en las instancias. Después de aplicar este parche, también le sugerimos que aumente el tamaño del volumen raíz de las pilas de software para las instancias gráficas a 50 GB a fin de garantizar que haya espacio suficiente para instalar todas las dependencias.

Versiones afectadas

Todas las versiones 2024.10 o anteriores de RES.

Mitigación

Descargue patch.py y graphic_enhanced_instance_types_fix.patch <output-directory> sustituyéndolas por el directorio en el que desee descargar el script y el archivo del parche y por el nombre de su entorno RES en el siguiente comando: <environment-name>
1. El parche solo se aplica a la RES 2024.10.
2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patches/graphic_enhanced_instance_types_fix.patch --output ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch 
```

Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.10 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

Para finalizar la instancia de Virtual Desktop Controller (vdc-controller) de su entorno, ejecute los siguientes comandos y sustituya el nombre del entorno RES donde se muestra.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Lanza una nueva instancia cuando el grupo objetivo que comienza con el nombre <RES-EnvironmentName>-vdc-ext pase a estar en buen estado. Recomendamos que cualquier pila de software nueva que registre para las instancias de gráficos tenga al menos 50 GB de almacenamiento.

........................

(2024.08) Preparación del fallo de la AMI de la infraestructura

Descripción del error

Al preparar las AMI con EC2 Image Builder de acuerdo con las instrucciones que se indican en la documentación de requisitos previos, el proceso de creación falla y muestra el siguiente mensaje de error:


CmdExecution: [ERROR] Command execution has resulted in an error

Esto se debe a errores en el archivo de dependencias que se proporciona en la documentación.

Versiones afectadas

2024.08

Mitigación

Cree nuevos recursos de EC2 Image Builder:

(Siga estos pasos si nunca ha preparado AMI para instancias RES)

Descargue el archivo res-installation-scripts.tar.gz actualizado.
Siga los pasos que se indican en Preparar imágenes de máquinas de Amazon (AMI) en la página de requisitos previos.

Reutilización de recursos anteriores de EC2 Image Builder:

(Siga estos pasos si ha preparado AMI para instancias RES)

Descargue el archivo res-installation-scripts.tar.gz actualizado.
Vaya a EC2 Image Builder → Componentes → Haga clic en el componente creado para preparar las AMI RES.
Anote la ubicación del S3 que aparece en Contenido → DownloadRESInstallScripts paso → entradas → fuente.
La ubicación S3 que se encuentra arriba contiene el archivo de dependencias que se utilizó anteriormente. Sustituya este archivo por el archivo descargado en el primer paso.

........................

(2024.08) Los escritorios virtuales no pueden montar el bucket de read/write Amazon S3 con el ARN del bucket raíz y un prefijo personalizado

Descripción del error

Research and Engineering Studio 2024.08 no puede montar los buckets read/write S3 en una instancia de infraestructura de escritorio virtual (VDI) cuando utiliza un ARN de bucket raíz (es decir,arn:aws:s3:::example-bucket) y un prefijo personalizado (nombre del proyecto o nombre del proyecto y nombre de usuario).

Entre las configuraciones de bucket que no se ven afectadas por este problema se incluyen las siguientes:

cubos de solo lectura
read/write buckets con un prefijo como parte del ARN del bucket (es decir,arn:aws:s3:::example-bucket/example-folder-prefix) y un prefijo personalizado (nombre del proyecto o nombre del proyecto y nombre de usuario)
read/write buckets con un ARN de bucket raíz, pero sin prefijos personalizados

Tras aprovisionar una instancia de VDI, el directorio de montaje especificado para ese bucket de S3 no tendrá el bucket montado. Aunque el directorio de montaje de la VDI estará presente, estará vacío y no contendrá el contenido actual del bucket. Al escribir un archivo en el directorio mediante la terminal, se Permission denied, unable to write a file generará el error y el contenido del archivo no se cargará en el depósito de S3 correspondiente.

Versiones afectadas

2024.08

Mitigación

Para descargar el script de parche y el archivo de parche (patch.pyys3_mount_custom_prefix_fix.patch), ejecute el siguiente comando y <output-directory> sustitúyalo por el directorio en el que desea descargar el script y el archivo de parche y <environment-name> por el nombre de su entorno RES:
1. El parche solo se aplica a la RES 2024.08.
2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
3. Configure la AWS CLI para la cuenta y la región en las que se implementa RES y asegúrese de tener permisos de Amazon S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch 
```

Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

Para finalizar la instancia de Virtual Desktop Controller (vdc-controller) de su entorno, ejecute los siguientes comandos. (Ya configuró la ENVIRONMENT_NAME variable con el nombre de su entorno RES en el primer paso).
```
INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 
```
nota
Para las configuraciones de VPC privadas, si aún no lo ha hecho, para la <RES-EnvironmentName>-vdc-custom-credential-broker-lambda función asegúrese de añadir el nombre AWS_STS_REGIONAL_ENDPOINTS y el Environment variable valor de. regional Para obtener más información, consulte Requisitos previos del bucket de Amazon S3 para implementaciones de VPC aisladas.
Una vez que el grupo objetivo que comienza con el nombre <RES-EnvironmentName>-vdc-ext pase a estar en buen estado, será necesario lanzar nuevos VDI que tengan los buckets read/write S3 con el ARN del bucket raíz y el prefijo personalizado montados correctamente.

........................

(2024.06) Se produce un error al aplicar la instantánea cuando el nombre del grupo de AD contiene espacios

Problema

El RES 2024.06 no aplica las instantáneas de versiones anteriores si los grupos de AD contienen espacios en sus nombres.

Los registros del administrador de clústeres (del grupo de CloudWatch registros) incluirán el /<environment-name>/cluster-manager siguiente error durante la sincronización de AD:


[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

El error se debe a que RES solo acepta nombres de grupos que cumplan los siguientes requisitos:

Solo puede contener letras ASCII mayúsculas y minúsculas, dígitos, guiones (-), puntos (.) y caracteres de subrayado (_)
No se permite usar un guión (-) como primer carácter
No puede contener espacios.

Versiones afectadas

2024.06

Mitigación

Para descargar el script y el archivo del parche (patch.py y groupname_regex.patch), ejecute el siguiente comando y <output-directory> sustitúyalos por el directorio en el que desee colocar los archivos y <environment-name> por el nombre del entorno RES:
1. El parche solo se aplica a la RES 2024.06
2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES:
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch 
```

Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:


python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

Para reiniciar la instancia de Cluster Manager para su entorno, ejecute los siguientes comandos: También puede finalizar la instancia desde la consola de administración de Amazon EC2.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

nota

El parche permite que los nombres de los grupos de AD contengan letras ASCII en minúsculas y mayúsculas, dígitos, guiones (-), puntos (.), guiones bajos (_) y espacios con una longitud total entre 1 y 30, ambos inclusive.

........................

(2024.06 y versiones anteriores) Los miembros del grupo no se sincronizaron con RES durante la sincronización de AD

Descripción del error

Los miembros del grupo no se sincronizarán correctamente con RES si el GroupOU es diferente del UserOU.

RES crea un filtro ldapsearch cuando intenta sincronizar usuarios de un grupo de AD. El filtro actual utiliza incorrectamente el parámetro UserOU en lugar del parámetro GroupOU. El resultado es que la búsqueda no devuelve ningún usuario. Este comportamiento solo se produce en los casos en que UserSou y GroupU son diferentes.

Versiones afectadas

Todas las versiones de RES 2024.06 o anteriores

Mitigación

Siga estos pasos para resolver el problema:

Para descargar el script patch.py y el archivo group_member_sync_bug_fix.patch, ejecute los siguientes comandos y <output-directory> sustitúyalos por el directorio local en el que desee descargar los archivos y <res_version> por la versión de RES a la que desee aplicar el parche:
nota
- El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
- Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
- El parche solo es compatible con las versiones 2024.04.02 y 2024.06 de RES. Si utiliza la 2024.04 o la 2024.04.01, puede seguir los pasos que se indican para actualizar primero su entorno Actualizaciones de versiones menores a la versión 2024.04.02 antes de aplicar el parche.
  
  Versión RES: RES 2024.04.02
  
  Enlace de descarga del parche: 2024.04.02_group_member_sync_bug_fix.patch
  
  Versión RES: RES 2024.06
  
  Enlace de descarga del parche: 2024.06_group_member_sync_bug_fix.patch
```
OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch 
```

Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:


cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

Para reiniciar la instancia del administrador de clústeres de su entorno, ejecute los siguientes comandos:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 y versiones anteriores) CVE-2024-6387, regresión y vulnerabilidad de seguridad en los VDI de Ubuntu y RHEL9

Descripción del error

CVE-2024-6387, denominada RegresHion, se ha identificado en el servidor OpenSSH. Esta vulnerabilidad permite a los atacantes remotos y no autenticados ejecutar código arbitrario en el servidor de destino, lo que representa un grave riesgo para los sistemas que utilizan OpenSSH para comunicaciones seguras.

En el caso de RES, la configuración estándar consiste en pasar por el host bastión para acceder mediante SSH a los escritorios virtuales, y el host bastión no se ve afectado por esta vulnerabilidad. Sin embargo, la AMI (Amazon Machine Image) predeterminada que proporcionamos para las VDI (infraestructura de escritorio virtual) de RHEL9 y Ubuntu 2024 en TODAS las versiones de RES utiliza una versión OpenSSH que es vulnerable a la amenaza de seguridad.

Esto significa que los VDI RHEL9 y Ubuntu2024 existentes podrían explotarse, pero el atacante necesitaría acceder al host bastión.

Puede encontrar más información sobre el problema aquí.

Versiones afectadas

Todas las versiones 2024.06 o anteriores de RES.

Mitigación

Tanto RHEL9 como Ubuntu han publicado parches para OpenSSH que corrigen la vulnerabilidad de seguridad. Estos se pueden extraer utilizando el administrador de paquetes respectivo de la plataforma.

Si ya tiene VDI de RHEL9 o Ubuntu, le recomendamos que siga las instrucciones de PATCH EXISTING VDI que aparecen a continuación. Para aplicar parches a los VDI futuros, le recomendamos seguir las instrucciones de los VDI de PATCH FUTURE. Estas instrucciones describen cómo ejecutar un script para aplicar la actualización de la plataforma a sus VDI.

PARCHE LOS VDI EXISTENTES

Ejecute el siguiente comando para aplicar parches a todos los VDI de Ubuntu y RHEL9 existentes:

El script del parche requiere AWS CLI v2.

Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de administrador de AWS sistemas para enviar un comando de ejecución de Systems Manager.


aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

Puede comprobar que el script se ha ejecutado correctamente en la página Ejecutar comandos. Haga clic en la pestaña Historial de comandos, seleccione el ID de comando más reciente y compruebe que todos los ID de instancia tengan un mensaje de ÉXITO.

PARCHE LOS VDI FUTUROS

Para descargar el script y el archivo del parche (patch.py y update_openssh.patch), ejecute los siguientes comandos y <output-directory> sustitúyalos por el directorio en el que desee descargar los archivos y <environment-name> por el nombre del entorno RES:
nota
- El parche solo se aplica a la RES 2024.06.
- El script del parche requiere AWS CLI (v2), Python 3.9.16 o superior y Boto3.
- Configure su copia de la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch 
```

Ejecute el siguiente comando de parche:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

Reinicie la instancia de la controladora VDC de su entorno con los siguientes comandos:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

importante

La aplicación de parches a futuros VDI solo se admite en las versiones 2024.06 y posteriores de RES. Para parchear futuros VDI en entornos RES con versiones anteriores a la 2024.06, primero actualice el entorno RES a la 2024.06 siguiendo las instrucciones de:. Actualizaciones de versiones principales

........................

(2024.04-2024.04.02) Proporcionó un límite de permiso de IAM no asociado a la función de las instancias de VDI

¿El problema

Las sesiones de escritorios virtuales no heredan correctamente la configuración de límites de permisos de su proyecto. Esto se debe a que el límite de permisos definido por el IAMPermissionBoundary parámetro no se asignó correctamente a un proyecto durante su creación.

Versiones afectadas

2024.04 - 2024.04.02

Mitigación

Siga estos pasos para permitir que los VDI hereden correctamente el límite de permisos asignado a un proyecto:

Para descargar el script y el archivo del parche (patch.py y vdi_host_role_permission_boundary.patch), ejecute el siguiente comando y sustitúyalo por el directorio local en el que desee colocar los archivos: <output-directory>
1. El parche solo se aplica a la RES 2024.04.02. Si tiene la versión 2024.04 o 2024.04.01, puede seguir los pasos que se indican en el documento público para las actualizaciones de las versiones menores a fin de actualizar su entorno a la versión 2024.04.02.
2. El script del parche requiere AWS CLI (v2), Python 3.9.16 o superior y Boto3.
3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch 
```
Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch 
```

Reinicie la instancia del administrador de clústeres en su entorno ejecutando este comando, sustituyéndolo <environment-name> por el nombre de su entorno RES. También puede cancelar la instancia desde la consola de administración de Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 y versiones anteriores) Las instancias de Windows NVIDIA en ap-southeast-2 (Sídney) no se inician

¿El problema

Las Amazon Machine Images (AMI) se utilizan para activar escritorios virtuales (VDI) en RES con configuraciones específicas. Cada AMI tiene un identificador asociado que varía según la región. El ID de AMI configurado en RES para lanzar instancias de Windows Nvidia en ap-southeast-2 (Sídney) es incorrecto actualmente.

AMI-ID ami-0e190f8939a996cafpara este tipo de instancia, la configuración aparece incorrectamente en ap-southeast-2 (Sídney). En su lugar, se ami-027cf6e71e2e442f4 debe usar el ID de AMI.

Los usuarios recibirán el siguiente error al intentar lanzar una instancia con la ami-0e190f8939a996caf AMI predeterminada.


An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Pasos para reproducir el error, incluido un ejemplo de archivo de configuración:

Implemente RES en la región ap-southeast-2.
Lanza una instancia con la pila de software Windows-NVIDIA predeterminada (ID de AMIami-0e190f8939a996caf).

Versiones afectadas

Todas las versiones 2024.04.02 o anteriores de RES se ven afectadas

Mitigación

La siguiente mitigación se probó en la versión 2024.01.01 de RES:

Registre una nueva pila de software con la siguiente configuración
- ID de AMI: ami-027cf6e71e2e442f4
- Sistema operativo: Windows
- Fabricante de GPU: NVIDIA
- Mín. Tamaño de almacenamiento (GB): 30
- Mín. RAM (GB): 4
Utilice esta pila de software para lanzar Windows-NVIDIA instancias

........................

(2024.04 y 2024.04.01) Error al eliminar RES en GovCloud

¿El problema

Durante el flujo de trabajo de eliminación de RES, UnprotectCognitoUserPool Lambda desactiva la protección contra eliminación para los grupos de usuarios de Cognito que se eliminarán más adelante. La ejecución de Lambda se inicia con. InstallerStateMachine

Debido a las diferencias de versión de AWS CLI predeterminadas entre la versión comercial y GovCloud las regiones, la update_user_pool llamada en la Lambda fallará en GovCloud las regiones.

Los clientes recibirán el siguiente error al intentar eliminar RES en GovCloud las regiones:


Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Pasos para reproducir el error:

Implemente RES en una GovCloud región
Elimine la pila RES

Versiones afectadas

RES versiones 2024.04 y 2024.04.01

Mitigación

La siguiente mitigación se probó en la versión 2024.04 de RES:

Abra la UnprotectCognitoUserPool Lambda
- Convención de nomenclatura: <env-name>-InstallerTasksUnprotectCognitoUserPool-...
Configuración del tiempo de ejecución -> Editar -> Seleccionar tiempo de ejecución Python 3.11 -> Guardar.
Abrir CloudFormation.
Elimine la pila RES -> deje sin marcar Retain Installer Resource -> Eliminar.

........................

(2024.04 - 2024.04.02) Es posible que el escritorio virtual Linux quede atrapado en el estado «REANUDANDO» al reiniciarse

¿El problema

Los escritorios virtuales Linux pueden quedarse atascados en el estado «REANUDANDO» al reiniciarse después de una parada manual o programada.

Una vez reiniciada la instancia, el AWS Systems Manager no ejecuta ningún comando remoto para crear una nueva sesión de DCV y falta el siguiente mensaje de registro en los registros del controlador de vdc (en el grupo de CloudWatch registros): /<environment-name>/vdc/controller CloudWatch


Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versiones afectadas

2024.04 - 2024.04.02

Mitigación

Para recuperar los escritorios virtuales que están atrapados en el estado «REANUDANDO»:

Acceda mediante SSH a la instancia problemática desde la consola EC2.

Ejecute los siguientes comandos en la instancia:


sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

Espera a que la instancia se reinicie.

Para evitar que los nuevos escritorios virtuales sufran el mismo problema:

Para descargar el script y el archivo del parche (patch.py y vdi_stuck_in_resuming_status.patch), ejecute el siguiente comando y reemplácelo por el directorio en el que desee colocar los archivos: <output-directory>
nota
- El parche solo se aplica a la RES 2024.04.02.
- El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
- Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch 
```
Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche y <environment-name> sustitúyalo por el nombre de su entorno RES y <aws-region> por la región en la que se implementa RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region> 
```

Para reiniciar la instancia del controlador VDC de su entorno, ejecute los siguientes comandos y <environment-name> sustitúyalos por el nombre de su entorno RES:


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(02 de abril de 2020 y versiones anteriores) No se sincronizan los usuarios de AD cuyo SAMAccountName atributo incluye letras mayúsculas o caracteres especiales

¿El problema

RES no sincroniza a los usuarios de AD después de configurar el SSO durante al menos dos horas (dos ciclos de sincronización de AD). Los registros del administrador de clústeres (del grupo de CloudWatch registros) incluyen el /<environment-name>/cluster-manager siguiente error durante la sincronización de AD:


Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

El error se debe a que RES solo acepta un nombre de usuario de SAMAccount que cumpla los siguientes requisitos:

Solo puede contener letras ASCII minúsculas, dígitos, puntos (.) y caracteres de subrayado (_).
No se permite un punto o un guión bajo como primer o último carácter.
No puede contener dos puntos o guiones bajos continuos (por ejemplo,.., __, ._, _.).

Versiones afectadas

2024.04.02 y anteriores

Mitigación

Para descargar el script y el archivo del parche (patch.py y samaccountname_regex.patch), ejecute el siguiente comando y sustitúyalo por el directorio en el que desee colocar los archivos: <output-directory>
nota
- El parche solo se aplica al RES 2024.04.02.
- El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.
- Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch 
```
Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch 
```

Para reiniciar la instancia de Cluster Manager para su entorno, ejecute los siguientes comandos y <environment-name> sustitúyalos por el nombre de su entorno RES. También puede cancelar la instancia desde la consola de administración de Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(02 de abril de 2020 y versiones anteriores) La clave privada para acceder al host del bastión no es válida

¿El problema

Cuando un usuario descarga la clave privada para acceder al servidor del bastión desde el portal web de RES, la clave no está bien formateada: se descargan varias líneas en una sola línea, lo que invalida la clave. El usuario recibirá el siguiente error cuando intente acceder al host del bastión con la clave descargada:


Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versiones afectadas

2024.04.02 y anteriores

Mitigación

Recomendamos usar Chrome para descargar las claves, ya que este navegador no se ve afectado.

Como alternativa, se puede volver a formatear el archivo clave creando una nueva línea después -----BEGIN PRIVATE KEY----- y otra línea nueva justo antes. -----END PRIVATE KEY-----

........................

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Problema RunBooks

Política de soporte de Research and Engineering Studio