Problemi noti

Problemi noti 2024.x

Problemi noti 2024.x

........................

(2024.12 e 2024.12.01) Errore Regex durante la registrazione di un nuovo utente Cognito

Descrizione del bug

Se tenti di registrare utenti di AWS Cognito tramite il portale web che dispongono di prefissi e-mail che contengono» . «, ad esempio<firstname>.<lastname>@<company>.com, ciò comporterà un errore che indica che il nome utente di Cognito non corrisponde al modello regex definito.

Questo errore è causato dal fatto che RES genera automaticamente i nomi utente dal prefisso e-mail dell'utente. Tuttavia, i nomi utente con «.» non sono utenti validi per i VDI in alcune distribuzioni Linux supportate da RES. Questa correzione rimuove qualsiasi «.» nel prefisso e-mail durante la generazione di un nome utente in modo che il nome utente sia valido sui VDI RES Linux.

Versioni interessate

Versioni RES 2024.12 e 2024.12.01

Mitigazione

Eseguite i seguenti comandi per scaricare patch.py e cognito_sign_up_email_fix.patch per la versione 2024.12 o cognito_sign_up_email_fix.patch per la versione 2024.12.01, sostituendoli <output-directory> con la directory in cui volete scaricare lo script e il file di patch e <environment-name> con il nome dell'ambiente RES:
1. La patch si applica a RES 2024.12 e 2024.12.01.
2. Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
3. Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>
RES_VERSION=<res-version> # either 2024.12 or 2024.12.01

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/cognito_sign_up_email_fix.patch --output ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch 
```

Vai alla directory in cui sono stati scaricati lo script e il file di patch. Eseguite il seguente comando patch:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

Riavvia l'istanza di Cluster Manager per il tuo ambiente. Puoi anche terminare l'istanza dalla console di gestione Amazon EC2.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Verifica lo stato dell'istanza di Cluster Manager controllando l'attività del gruppo di auto scaling che inizia con il nome<RES-EnvironmentName>-cluster-manager-asg. Attendi che la nuova istanza venga lanciata correttamente.

........................

(2024.12.01 e versioni precedenti) Errore di certificato errato non valido durante la connessione a VDI utilizzando un dominio personalizzato

Descrizione del bug

Quando si distribuiscono la ricetta External Resources e RES con un nome di dominio del portale personalizzato, CertificateRenewalNode non riesce ad aggiornare il certificato TLS per la connessione VDI con il seguente errore in: /var/log/user-data.log


{
  "type": "urn:ietf:params:acme:error:unauthorized",
  "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
  "status": 403
}

Di conseguenza, si verificherà un errore che indica net::ERR_CERT_DATE_INVALID (Chrome) o Error code: SSL_ERROR_BAD_CERT_DOMAIN (FireFox) quando ci si connette ai VDI nel portale web RES.

Versioni interessate

2024.12.01 e versioni precedenti

Mitigazione

Vai alla console EC2. Se è presente un'istanza denominataCertificateRenewalNode-, interrompi l'istanza.
Vai alla console Lambda. Aprire il codice sorgente della funzione Lambda denominata. -CertificateRenewalLambda- Identifica la riga che inizia con ./acme.sh --issue --dns dns_aws --ocsp-must-staple --keylength 4096 e rimuovi l'--ocsp-must-stapleargomento.
Seleziona Deploy e attendi che la modifica al codice abbia effetto.
Per attivare manualmente la funzione Lambda: vai alla scheda Test e seleziona Test. Non è richiesto alcun input aggiuntivo. Questo dovrebbe creare un'istanza EC2 del certificato che aggiorni il certificato e PrivateKey i segreti in Secret Manager. L'istanza verrà terminata automaticamente una volta aggiornati i segreti.
Termina l'istanza dcv-gateway esistente <env-name>-vdc-gateway e attendi che l'auto scaling group ne distribuisca automaticamente una nuova.

Dettagli dell'errore

Let's Encrypt terminerà il supporto OCSP nel 2025. A partire dal 30 gennaio 2025, Must-Staple le richieste OCSP avranno esito negativo a meno che l'account richiedente non abbia precedentemente emesso un certificato contenente l'estensione OCSP Must Staple. Controlla per ulteriori dettagli. https://letsencrypt.org/2024/12/05/ending-ocsp/

........................

(2024.12 e 2024.12.01) Gli utenti di Active Directory non possono accedere tramite SSH a Bastion Host

Descrizione del bug

Gli utenti di Active Directory ricevono un errore di autorizzazione negata quando si connettono a Bastion Host seguendo le istruzioni del portale web RES.

L'applicazione Python in esecuzione su Bastion Host non riesce ad avviare il servizio SSSD a causa di una variabile di ambiente mancante. Di conseguenza, gli utenti AD sono sconosciuti al sistema operativo e non possono accedere.

Versioni interessate

2024.12 e 2024.12.01

Mitigazione

Connect all'istanza Bastion Host dalla console EC2.
Modifica /etc/environment e aggiungi environment_name=<res-environment-name> come nuova riga in IDEA_CLUSTER_NAME.

Eseguite i seguenti comandi sull'istanza:


source /etc/environment
sudo service supervisord restart
sudo systemctl restart supervisord

Prova a connetterti nuovamente a Bastion Host seguendo le istruzioni del portale web RES.

........................

(2024.10) Stop automatico VDI interrotto per ambienti RES implementati in VPC isolati

Descrizione del bug

Con la versione RES 2024.10, è stato aggiunto l'arresto automatico VDI per i VDI che sono inattivi per un determinato periodo di tempo. Questa impostazione può essere configurata in Impostazioni del desktop → Server → Sessione.

L'arresto automatico VDI non è attualmente supportato per gli ambienti RES distribuiti in VPC isolati.

Versioni interessate

2024.10

Mitigazione

Attualmente stiamo lavorando a una correzione che verrà inclusa in una versione futura. Tuttavia, è ancora possibile arrestare manualmente i VDI negli ambienti RES distribuiti in VPC isolati.

........................

(2024.10 e versioni precedenti) Errore nell'avvio di VDI for Graphic Enhanced

Descrizione del bug

Quando una VDI Amazon Linux 2 - x86_64, RHEL 8 - x86_64 o RHEL 9 x86_64 viene avviata su un tipo di istanza grafica avanzata (g4, g5), l'istanza rimarrà bloccata nello stato di provisioning. Ciò significa che l'istanza non raggiungerà mai lo stato «Pronto» e non sarà mai disponibile per la connessione.

Ciò accade perché l'X Server non crea correttamente le istanze sulle istanze. Dopo aver applicato questa patch, suggeriamo inoltre di aumentare la dimensione del volume root degli stack software per le istanze grafiche a 50 GB per garantire che ci sia spazio sufficiente per l'installazione di tutte le dipendenze.

Versioni interessate

Tutte le versioni RES 2024.10 o precedenti.

Mitigazione

Scarica patch.py e graphic_enhanced_instance_types_fix.patch sostituendoli <output-directory> con la directory in cui desideri scaricare lo script e il file di patch e con il nome del tuo ambiente RES nel comando seguente: <environment-name>

La patch si applica solo a RES 2024.10.
Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.


OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patches/graphic_enhanced_instance_types_fix.patch --output ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

Vai alla directory in cui sono stati scaricati lo script e il file di patch. Eseguite il seguente comando patch:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.10 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

Per terminare l'istanza di Virtual Desktop Controller (vdc-controller) per il tuo ambiente, esegui i seguenti comandi, sostituendo il nome dell'ambiente RES dove mostrato.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Avvia una nuova istanza dopo che il gruppo target che inizia con il nome è diventato integro. <RES-EnvironmentName>-vdc-ext Consigliamo che tutti i nuovi stack software registrati per le istanze grafiche abbiano almeno 50 GB di spazio di archiviazione.

........................

(2024.08) Preparazione dell'errore AMI dell'infrastruttura

Descrizione del bug

Quando prepari le AMI utilizzando EC2 Image Builder secondo le istruzioni elencate nella Documentazione sui prerequisiti, il processo di creazione fallisce e viene visualizzato il seguente messaggio di errore:


CmdExecution: [ERROR] Command execution has resulted in an error

Ciò è dovuto a errori nel file delle dipendenze fornito nella documentazione.

Versioni interessate

2024.08

Mitigazione

Crea nuove risorse EC2 Image Builder:

(Segui questi passaggi se non hai mai preparato le AMI per le istanze RES)

Scarica il file res-installation-scripts.tar.gz aggiornato.
Segui i passaggi elencati nella sezione Preparare Amazon Machine Images (AMI) nella pagina Prerequisiti.

Riutilizzo delle precedenti risorse di EC2 Image Builder:

(Segui questi passaggi se hai preparato AMI per le istanze RES)

Scarica il file res-installation-scripts.tar.gz aggiornato.
Vai a EC2 Image Builder → Componenti → Fai clic sul componente creato per preparare le AMI RES.
Nota la posizione S3 elencata in Contenuto → DownloadRESInstallScripts step → input → source.
La posizione S3 trovata sopra contiene il file delle dipendenze utilizzato in precedenza, sostituisci questo file con il file scaricato nel primo passaggio.

........................

(2024.08) I desktop virtuali non riescono a montare il bucket read/write Amazon S3 con ARN del bucket root e prefisso personalizzato

Descrizione del bug

Research and Engineering Studio 2024.08 non riesce a montare i bucket read/write S3 su un'istanza VDI (Virtual Desktop Infrastructure) quando si utilizza un root bucket ARN (ovveroarn:aws:s3:::example-bucket) e un prefisso personalizzato (nome del progetto o nome del progetto e nome utente).

Le configurazioni dei bucket che non sono interessate da questo problema includono:

bucket di sola lettura
read/write bucket con un prefisso come parte del bucket ARN (ovveroarn:aws:s3:::example-bucket/example-folder-prefix) e prefisso personalizzato (nome del progetto o nome del progetto e nome utente)
read/write bucket con un ARN del bucket root, ma senza prefisso personalizzato

Dopo aver effettuato il provisioning di un'istanza VDI, il bucket non verrà montato nella directory di montaggio specificata per quel bucket S3. Sebbene sia presente la directory di montaggio sul VDI, la directory sarà vuota e non conterrà il contenuto corrente del bucket. Quando si scrive un file nella directory utilizzando il terminale, viene generato l'errore Permission denied, unable to write a file e il contenuto del file non viene caricato nel bucket S3 corrispondente.

Versioni interessate

2024.08

Mitigazione

Per scaricare lo script di patch e il file di patch (patch.pyands3_mount_custom_prefix_fix.patch), esegui il comando seguente, sostituendolo <output-directory> con la directory in cui desideri scaricare lo script di patch e il file di patch e <environment-name> con il nome del tuo ambiente RES:
1. La patch si applica solo a RES 2024.08.
2. Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
3. Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni Amazon S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch 
```

Passa alla directory in cui vengono scaricati lo script e il file di patch. Eseguite il seguente comando patch:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

Per terminare l'istanza di Virtual Desktop Controller (vdc-controller) per il tuo ambiente, esegui i seguenti comandi. (La ENVIRONMENT_NAME variabile è già stata impostata sul nome dell'ambiente RES nel primo passaggio.)
```
INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 
```
Nota
Per le configurazioni VPC private, se non l'hai già fatto, per la <RES-EnvironmentName>-vdc-custom-credential-broker-lambda funzione assicurati di aggiungere il nome AWS_STS_REGIONAL_ENDPOINTS e il Environment variable valore di. regional Per ulteriori informazioni, consulta Prerequisiti del bucket Amazon S3 per distribuzioni VPC isolate.
Una volta che il gruppo target che inizia con il <RES-EnvironmentName>-vdc-ext nome sarà integro, sarà necessario lanciare nuovi VDI con i bucket read/write S3 con ARN del bucket root e prefisso personalizzato montati correttamente.

........................

(2024.06) Apply snapshot fallisce quando il nome del gruppo AD contiene spazi

Problema

RES 2024.06 non riesce ad applicare le istantanee delle versioni precedenti se i gruppi AD contengono spazi nei nomi.

I CloudWatch log del gestore del cluster (nel gruppo di /<environment-name>/cluster-manager log) includeranno il seguente errore durante la sincronizzazione AD:


[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

L'errore deriva dal fatto che RES accetta solo nomi di gruppo che soddisfano i seguenti requisiti:

Può contenere solo lettere ASCII minuscole e maiuscole, cifre, trattino (-), punto (.) e trattino basso (_)
Non è consentito utilizzare un trattino (-) come primo carattere
Non può contenere spazi.

Versioni interessate

2024.06

Mitigazione

Per scaricare lo script e il file di patch (patch.py e groupname_regex.patch), esegui il comando seguente, sostituendolo <output-directory> con la directory in cui desideri inserire i file e <environment-name> con il nome del tuo ambiente RES:
1. La patch si applica solo a RES 2024.06
2. Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
3. Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES:
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch 
```

Vai alla directory in cui vengono scaricati lo script e il file di patch. Eseguite il seguente comando patch:


python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

Per riavviare l'istanza di Cluster Manager per il tuo ambiente, esegui i seguenti comandi: Puoi anche terminare l'istanza dalla console di gestione Amazon EC2.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Nota

La patch consente ai nomi dei gruppi AD di contenere lettere ASCII minuscole e maiuscole, cifre, trattini (-), punto (.), trattini bassi (_) e spazi con una lunghezza totale compresa tra 1 e 30, inclusi.

........................

(2024.06 e versioni precedenti) I membri del gruppo non si sono sincronizzati con RES durante la sincronizzazione AD

Descrizione del bug

I membri del gruppo non si sincronizzeranno correttamente con RES se GroupOU è diverso dall'UserOU.

RES crea un filtro ldapsearch quando tenta di sincronizzare gli utenti di un gruppo AD. Il filtro corrente utilizza erroneamente il parametro userOU anziché il parametro GroupOU. Il risultato è che la ricerca non restituisce alcun utente. Questo comportamento si verifica solo nei casi in cui UsersOU e GroupOU sono diversi.

Versioni interessate

Tutte le versioni RES 2024.06 o precedenti

Mitigazione

Segui questi passaggi per risolvere il problema:

Per scaricare lo script patch.py e il file group_member_sync_bug_fix.patch, esegui i seguenti comandi, sostituendoli <output-directory> con la directory locale in cui desideri scaricare i file e con la versione di RES a cui desideri applicare le patch: <res_version>
Nota
- Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
- Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
- La patch supporta solo le versioni RES 2024.04.02 e 2024.06. Se utilizzi 2024.04 o 2024.04.01, puoi seguire i passaggi elencati per aggiornare l'ambiente alla versione 2024.04.02 prima di Aggiornamenti di versione minori applicare la patch.
  
  Versione RES: RES 2024.04.02
  
  Link per il download della patch: 2024.04.02_group_member_sync_bug_fix.patch
  
  Versione RES: RES 2024.06
  
  Link per il download della patch: 2024.06_group_member_sync_bug_fix.patch
```
OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch 
```

Accedere alla directory in cui vengono scaricati lo script e il file della patch. Eseguite il seguente comando patch, sostituendolo <environment-name> con il nome del vostro ambiente RES:


cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

Per riavviare l'istanza di cluster-manager per il tuo ambiente, esegui i seguenti comandi:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 e versioni precedenti) CVE-2024-6387, RegressHion, vulnerabilità di sicurezza in RHEL9 e Ubuntu VDIS

Descrizione del bug

CVE-2024-6387, denominato RegressHion, è stato identificato nel server OpenSSH. Questa vulnerabilità consente agli aggressori remoti e non autenticati di eseguire codice arbitrario sul server di destinazione, presentando un grave rischio per i sistemi che utilizzano OpenSSH per comunicazioni sicure.

Per RES, la configurazione standard prevede il passaggio dall'host bastion a SSH nei desktop virtuali e l'host bastion non è interessato da questa vulnerabilità. Tuttavia, l'AMI (Amazon Machine Image) predefinita che forniamo per RHEL9 e Ubuntu2024 VDI (Virtual Desktop Infrastructure) in TUTTE le versioni RES utilizza una versione OpenSSH vulnerabile alla minaccia alla sicurezza.

Ciò significa che le VDI RHEL9 e Ubuntu2024 esistenti potrebbero essere sfruttabili, ma l'aggressore richiederebbe l'accesso all'host bastion.

Maggiori dettagli sul problema sono disponibili qui.

Versioni interessate

Tutte le versioni RES 2024.06 o precedenti.

Attenuazione

Sia RHEL9 che Ubuntu hanno rilasciato patch per OpenSSH che risolvono la vulnerabilità di sicurezza. Questi possono essere recuperati utilizzando il rispettivo gestore di pacchetti della piattaforma.

Se disponi già di VDI RHEL9 o Ubuntu, ti consigliamo di seguire le istruzioni PATCH EXISTING VDIs riportate di seguito. Per applicare patch ai VDI futuri, consigliamo di seguire le istruzioni PATCH FUTURE VDIs. Queste istruzioni descrivono come eseguire uno script per applicare l'aggiornamento della piattaforma sui VDI.

APPLICA PATCH AI VDI ESISTENTI

Esegui il seguente comando che patcherà tutti i VDI Ubuntu e RHEL9 esistenti:

Lo script di patch richiede AWS CLI v2.

Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni di AWS Systems Manager per inviare un comando Systems Manager Run.


aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

È possibile verificare che lo script sia stato eseguito correttamente nella pagina Esegui comando. Fai clic sulla scheda Cronologia dei comandi, seleziona l'ID di comando più recente e verifica che tutti gli ID di istanza abbiano un messaggio di successo.

APPLICA PATCH AI VDI FUTURE

Per scaricare lo script e il file di patch (patch.py e update_openssh.patch) esegui i seguenti comandi, sostituendoli <output-directory> con la directory in cui desideri scaricare i file e con il nome del tuo ambiente RES: <environment-name>
Nota
- La patch si applica solo a RES 2024.06.
- Lo script di patch richiede AWS CLI (v2), Python 3.9.16 o superiore e Boto3.
- Configura la tua copia della AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch 
```

Esegui il seguente comando patch:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

Riavvia l'istanza del controller VDC per il tuo ambiente con i seguenti comandi:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Importante

L'applicazione di patch ai VDI futuri è supportata solo nelle versioni RES 2024.06 e successive. Per applicare patch alle future VDI negli ambienti RES con versioni precedenti alla 2024.06, è necessario innanzitutto aggiornare l'ambiente RES alla versione 2024.06 utilizzando le istruzioni disponibili all'indirizzo:. Principali aggiornamenti delle versioni

........................

(2024.04-2024.04.02) Limite di autorizzazione IAM fornito non collegato al ruolo delle istanze VDI

Il problema

Le sessioni di desktop virtuale non ereditano correttamente la configurazione dei limiti di autorizzazione del progetto. Ciò è dovuto al fatto che il limite delle autorizzazioni definito dal IAMPermissionBoundary parametro non viene assegnato correttamente a un progetto durante la creazione di quel progetto.

Versioni interessate

2024.04 - 2024.04.02

Mitigazione

Segui questi passaggi per consentire ai VDI di ereditare correttamente il limite delle autorizzazioni assegnato a un progetto:

Per scaricare lo script e il file di patch (patch.py e vdi_host_role_permission_boundary.patch), esegui il comando seguente, sostituendolo con la directory locale in cui desideri inserire i file: <output-directory>
1. La patch si applica solo a RES 2024.04.02. Se utilizzi la versione 2024.04 o 2024.04.01, puoi seguire i passaggi elencati nel documento pubblico per gli aggiornamenti minori delle versioni per aggiornare il tuo ambiente alla versione 2024.04.02.
2. Lo script di patch richiede AWS CLI (v2), Python 3.9.16 o superiore e Boto3.
3. Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch 
```
Vai alla directory in cui vengono scaricati lo script e il file di patch. Eseguite il seguente comando patch, sostituendolo <environment-name> con il nome del vostro ambiente RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch 
```

Riavviate l'istanza del cluster-manager nel vostro ambiente eseguendo questo comando, sostituendolo <environment-name> con il nome dell'ambiente RES. Puoi anche terminare l'istanza dalla console di gestione Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e versioni precedenti) Le istanze Windows NVIDIA in ap-southeast-2 (Sydney) non vengono avviate

Il problema

Amazon Machine Images (AMI) vengono utilizzate per avviare desktop virtuali (VDI) in RES con configurazioni specifiche. Ogni AMI ha un ID associato che varia in base alla regione. L'ID AMI configurato in RES per avviare le istanze Windows Nvidia in ap-southeast-2 (Sydney) non è attualmente corretto.

AMI-ID ami-0e190f8939a996cafper questo tipo di istanza la configurazione è elencata erroneamente in ap-southeast-2 (Sydney). Al suo posto ami-027cf6e71e2e442f4 dovrebbe essere usato un ID AMI.

Gli utenti riceveranno il seguente errore quando tentano di avviare un'istanza con l'ami-0e190f8939a996cafAMI predefinita.


An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Passaggi per riprodurre il bug, incluso un file di configurazione di esempio:

Implementa RES nella regione ap-southeast-2.
Avvia un'istanza utilizzando lo stack software Windows-NVIDIA predefinito (ID AMIami-0e190f8939a996caf).

Versioni interessate

Tutte le versioni RES 2024.04.02 o precedenti sono interessate

Mitigazione

La seguente mitigazione è stata testata sulla versione RES 2024.01.01:

Registra un nuovo stack software con le seguenti impostazioni
- ID AMI: ami-027cf6e71e2e442f4
- Sistema operativo: Windows
- Produttore di GPU: NVIDIA
- Min. Dimensione di archiviazione (GB): 30
- Min. RAM (GB): 4
Usa questo stack di software per avviare Windows-NVIDIA le istanze

........................

(2024.04 e 2024.04.01) Errore di eliminazione RES in GovCloud

Il problema

Durante il flusso di lavoro di eliminazione RES, UnprotectCognitoUserPool Lambda disattiva la protezione dalla cancellazione per i pool di utenti di Cognito che verranno successivamente eliminati. L'esecuzione Lambda viene avviata da. InstallerStateMachine

A causa delle differenze di versione AWS CLI predefinita tra Commercial e GovCloud Regions, la update_user_pool chiamata in Lambda avrà esito negativo nelle regioni. GovCloud

I clienti riceveranno il seguente errore quando tentano di eliminare RES nelle GovCloud regioni:


Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Procedura per riprodurre il bug:

Implementa RES in una regione GovCloud
Elimina lo stack RES

Versioni interessate

Versione RES 2024.04 e 2024.04.01

Mitigazione

La seguente mitigazione è stata testata sulla versione RES 2024.04:

Apri la UnprotectCognitoUserPool Lambda
- Convenzione di denominazione: <env-name>-InstallerTasksUnprotectCognitoUserPool-...
Impostazioni di runtime -> Modifica -> Seleziona Runtime Python 3.11 -> Salva.
Apri CloudFormation.
Eliminare lo stack RES -> lasciare la voce Retain Installer Resource DESELEZIONATA -> Elimina.

........................

(2024.04 - 2024.04.02) Il desktop virtuale Linux potrebbe rimanere bloccato nello stato «RIPRESA» al riavvio

Il problema

I desktop virtuali Linux possono rimanere bloccati nello stato «RIPRESA» quando vengono riavviati dopo un arresto manuale o programmato.

Dopo il riavvio dell'istanza, AWS Systems Manager non esegue alcun comando remoto per creare una nuova sessione DCV e il seguente messaggio di registro non è presente nei log di vdc-controller (nel gruppo di CloudWatch log): /<environment-name>/vdc/controller CloudWatch


Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versioni interessate

2024.04 - 2024.04.02

Mitigazione

Per ripristinare i desktop virtuali bloccati nello stato «RIPRESA»:

Accesso SSH all'istanza problematica dalla console EC2.

Esegui i seguenti comandi sull'istanza:


sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

Attendi il riavvio dell'istanza.

Per evitare che nuovi desktop virtuali si verifichino lo stesso problema:

Per scaricare lo script e il file di patch (patch.py e vdi_stuck_in_resuming_status.patch), esegui il comando seguente, sostituendolo con la directory in cui desideri inserire i file: <output-directory>
Nota
- La patch si applica solo a RES 2024.04.02.
- Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
- Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch 
```
Vai alla directory in cui vengono scaricati lo script e il file di patch. Eseguite il seguente comando di patch, sostituendolo <environment-name> con il nome del vostro ambiente RES e <aws-region> con la regione in cui è distribuito RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region> 
```

Per riavviare l'istanza VDC Controller per il tuo ambiente, esegui i seguenti comandi, sostituendoli <environment-name> con il nome dell'ambiente RES:


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e versioni precedenti) Non riesce a sincronizzare gli utenti AD il cui SAMAccountName attributo include lettere maiuscole o caratteri speciali

Il problema

RES non riesce a sincronizzare gli utenti AD dopo che l'SSO è stato configurato per almeno due ore (due cicli di sincronizzazione AD). I CloudWatch log del gestore del cluster (nel gruppo di /<environment-name>/cluster-manager log) includono il seguente errore durante la sincronizzazione AD:


Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

L'errore deriva dal fatto che RES accetta solo un nome utente SAMAccount che soddisfa i seguenti requisiti:

Può contenere solo lettere ASCII minuscole, cifre, punto (.), trattino basso (_).
Non è consentito inserire un punto o un carattere di sottolineatura come primo o ultimo carattere.
Non può contenere due punti continui o caratteri di sottolineatura (ad esempio.., __, ._, _.).

Versioni interessate

2024.04.02 e precedenti

Mitigazione

Per scaricare lo script e il file di patch (patch.py e samaccountname_regex.patch), esegui il comando seguente, sostituendolo <output-directory> con la directory in cui desideri inserire i file:
Nota
- La patch si applica solo a RES 2024.04.02.
- Lo script di patch richiede AWS CLI v2, Python 3.9.16 o superiore e Boto3.
- Configura la AWS CLI per l'account e la regione in cui viene distribuito RES e assicurati di disporre delle autorizzazioni S3 per scrivere nel bucket creato da RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch 
```
Vai alla directory in cui vengono scaricati lo script e il file di patch. Eseguite il seguente comando patch, sostituendolo <environment-name> con il nome del vostro ambiente RES:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch 
```

Per riavviare l'istanza di Cluster Manager per il tuo ambiente, esegui i seguenti comandi, sostituendoli <environment-name> con il nome dell'ambiente RES. Puoi anche terminare l'istanza dalla console di gestione Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e versioni precedenti) La chiave privata per l'accesso all'host bastion non è valida

Il problema

Quando un utente scarica la chiave privata per accedere all'host bastion dal portale web RES, la chiave non è ben formattata: più righe vengono scaricate come una singola riga, il che rende la chiave non valida. L'utente riceverà il seguente errore quando tenta di accedere all'host bastion con la chiave scaricata:


Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versioni interessate

2024.04.02 e precedenti

Mitigazione

Ti consigliamo di utilizzare Chrome per scaricare le chiavi, poiché questo browser non è interessato.

In alternativa, il file delle chiavi può essere riformattato creando una nuova riga dopo -----BEGIN PRIVATE KEY----- e un'altra riga appena prima. -----END PRIVATE KEY-----

........................

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Problema RunBooks

Politica di supporto di Research and Engineering Studio