Problemas conhecidos - Estúdio de Pesquisa e Engenharia
Problemas conhecidos 2024.x

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Problemas conhecidos

Problemas conhecidos 2024.x

........................

(2024.12 e 2024.12.01) Falha de Regex ao registrar um novo usuário do Cognito

Descrição do bug

Se você tentar registrar usuários do AWS Cognito por meio do portal da web que tenham prefixos de e-mail que contenham” . “, por exemplo<firstname>.<lastname>@<company>.com, isso resultará em um erro informando que o nome de usuário do Cognito não corresponde ao padrão regex definido.

Esse erro é causado pela geração automática de nomes de usuário do RES a partir do prefixo de e-mail do usuário. No entanto, nomes de usuário com “.” não são usuários válidos VDIs em determinadas distribuições Linux suportadas pelo RES. Essa correção remove qualquer “.” no prefixo do e-mail ao gerar um nome de usuário para que o nome de usuário seja válido no RES Linux. VDIs

Versões afetadas

Versões RES 2024.12 e 2024.12.01

Mitigação

  1. Execute os comandos a seguir para baixar patch.py e cognito_sign_up_email_fix.patch para a versão 2024.12 ou cognito_sign_up_email_fix.patch para a versão 2024.12.01, <output-directory> substituindo pelo diretório em que você deseja baixar o script e o arquivo de patch e pelo nome do seu <environment-name> ambiente RES:

    1. O patch se aplica ao RES 2024.12 e 2024.12.01.

    2. O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    3. Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES. 

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>
RES_VERSION=<res-version> # either 2024.12 or 2024.12.01

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/cognito_sign_up_email_fix.patch --output ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

  2. Navegue até o diretório em que o script e o arquivo de patch foram baixados. Execute o seguinte comando de patch: 

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

  3. Reinicie a instância do Cluster Manager para seu ambiente. Você também pode encerrar a instância a partir do Amazon EC2 Management Console. 

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

  4. Verifique o status da instância do Cluster Manager verificando a atividade do grupo de auto scaling começando com o nome<RES-EnvironmentName>-cluster-manager-asg. Espere até que a nova instância seja iniciada com sucesso.

........................

(2024.12.01 e versões anteriores) Erro de certificado inválido ao se conectar à VDI usando um domínio personalizado

Descrição do bug

Quando você implanta a receita de Recursos Externos e o RES com um nome de domínio de portal personalizado, CertificateRenewalNode falha ao atualizar o certificado TLS para conexão VDI com o seguinte erro em: /var/log/user-data.log

{
  "type": "urn:ietf:params:acme:error:unauthorized",
  "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
  "status": 403
}

Como resultado, você encontrará um erro que indica net::ERR_CERT_DATE_INVALID (Chrome) ou Error code: SSL_ERROR_BAD_CERT_DOMAIN (FireFox) ao se conectar ao seu VDIs portal web do RES.

Versões afetadas

2024.12.01 e anteriores

Mitigação

  1. Navegue até o EC2 console. Se houver uma instância chamadaCertificateRenewalNode-, encerre-a.

  2. Navegue até o console do Lambda. Abra o código-fonte da função Lambda chamada. -CertificateRenewalLambda- Identifique a linha que começa com ./acme.sh --issue --dns dns_aws --ocsp-must-staple --keylength 4096 e remova o --ocsp-must-staple argumento.

  3. Selecione Implantar e aguarde até que a alteração do código entre em vigor.

  4. Para acionar manualmente a função Lambda: vá até a guia Teste e selecione Teste. Nenhuma entrada adicional é necessária. Isso deve criar uma EC2 instância de certificado que atualize o certificado e PrivateKey os segredos no Secret Manager. A instância será encerrada automaticamente quando os segredos forem atualizados.

  5. Encerre a instância existente do dcv-gateway: <env-name>-vdc-gateway e espere que o grupo de auto scaling implante automaticamente uma nova.

Detalhes do erro

O Let's Encrypt encerrará o suporte ao OCSP em 2025. A partir de 30 de janeiro de 2025, as solicitações OCSP Must-Staple falharão, a menos que a conta solicitante tenha emitido anteriormente um certificado que contenha a extensão OCSP Must Staple. Consulte https://letsencrypt.org/2024/12/05/ending-ocsp/ para obter mais detalhes.

........................

(2024.12 e 2024.12.01) Os usuários do Active Directory não podem usar SSH para o Bastion Host

Descrição do bug

Os usuários do Active Directory recebem um erro de permissão negada quando se conectam ao Bastion Host seguindo as instruções do portal web RES.

O aplicativo Python executado no Bastion Host falha ao iniciar o serviço SSSD devido à ausência de uma variável de ambiente. Como resultado, os usuários do AD são desconhecidos pelo sistema operacional e não conseguem fazer login.

Versões afetadas

2024.12 e 2024.12.01

Mitigação

  1. Conecte-se à instância do Bastion Host a partir do EC2 console.

  2. Edite /etc/environment e adicione environment_name=<res-environment-name> como uma nova linha em IDEA_CLUSTER_NAME.

  3. Execute os seguintes comandos na instância:

    source /etc/environment
sudo service supervisord restart
sudo systemctl restart supervisord

  4. Tente se conectar ao Bastion Host novamente seguindo as instruções do portal web RES.

........................

(2024.10) A parada automática de VDI foi interrompida para ambientes RES implantados em ambientes isolados VPCs

Descrição do bug

Com a versão 2024.10 RES, a parada automática VDI foi adicionada VDIs para aqueles que ficam inativos por um determinado período de tempo. Essa configuração pode ser definida em Configurações da área de trabalho → Servidor → Sessão.

Atualmente, a parada automática de VDI não é suportada para ambientes RES implantados isoladamente. VPCs

Versões afetadas

2024.10

Mitigação

No momento, estamos trabalhando em uma correção que será incluída em uma versão futura. No entanto, ainda é possível parar manualmente VDIs em ambientes RES implantados VPCs isoladamente.

........................

(2024.10 e versões anteriores) Falha ao iniciar a VDI para tipos de instância gráfica aprimorada

Descrição do bug

Quando uma VDI Amazon Linux 2 - x86_64, RHEL 8 - x86_64 ou RHEL 9 x86_64 é iniciada em um tipo de instância gráfica aprimorada (g4, g5), a instância fica presa no estado de provisionamento. Isso significa que a instância nunca chegará ao estado “Pronto” e estará disponível para conexão.

Isso acontece porque o Servidor X não instancia corretamente nas instâncias. Depois de aplicar esse patch, também sugerimos que você aumente o tamanho do volume raiz das pilhas de software para instâncias gráficas para 50 GB para garantir que haja espaço suficiente para instalar todas as dependências.

Versões afetadas

Todas as versões do RES 2024.10 ou anteriores.

Mitigação

  1. Baixe patch.py e graphic_enhanced_instance_types_fix.patch <output-directory> substituindo-os pelo diretório em que você deseja baixar o script e o arquivo do patch e pelo nome do seu ambiente RES no comando abaixo: <environment-name>

    1. O patch só se aplica ao RES 2024.10.

    2. O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    3. Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patches/graphic_enhanced_instance_types_fix.patch --output ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

  2. Navegue até o diretório em que o script e o arquivo de patch foram baixados. Execute o seguinte comando de patch:

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.10 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

  3. Para encerrar a instância do Virtual Desktop Controller (vdc-controller) do seu ambiente, execute os comandos a seguir, substituindo o nome do seu ambiente RES, onde mostrado.

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

  4. Inicie uma nova instância depois que o grupo-alvo que começa com o nome <RES-EnvironmentName>-vdc-ext ficar íntegro. Recomendamos que todas as novas pilhas de software registradas para instâncias gráficas tenham pelo menos 50 GB de armazenamento.

........................

(2024.08) Preparando a falha da AMI de infraestrutura

Descrição do bug

Quando você se prepara para AMIs usar o EC2 Image Builder de acordo com as instruções listadas na documentação de pré-requisitos, o processo de construção falha com a seguinte mensagem de erro:

CmdExecution: [ERROR] Command execution has resulted in an error

Isso ocorre devido a erros no arquivo de dependências fornecido na documentação.

Versões afetadas

2024.08

Mitigação

Crie novos recursos do EC2 Image Builder:

(Siga estas etapas se você nunca se preparou AMIs para instâncias RES)

  1. Baixe o res-infra-dependenciesarquivo.tar.gz atualizado.

  2. Siga as etapas listadas em Preparar imagens de máquina da Amazon (AMIs) na página de pré-requisitos.

Reutilizando recursos anteriores do EC2 Image Builder:

(Siga estas etapas se você se preparou AMIs para instâncias RES)

  1. Baixe o res-infra-dependenciesarquivo.tar.gz atualizado.

  2. Navegue até EC2 Image Builder → Components → Clique no componente criado para preparar o RES AMIs.

  3. Observe a localização do S3 listada em Conteúdo → Etapa de download de RESInstall scripts → entradas → fonte.

  4. A localização do S3 encontrada acima contém o arquivo de dependências que foi usado anteriormente. Substitua esse arquivo pelo arquivo baixado na primeira etapa.

........................

(2024.08) Os desktops virtuais falham ao montar o bucket read/write Amazon S3 com ARN do bucket raiz e prefixo personalizado

Descrição do bug

O Research and Engineering Studio 2024.08 não consegue montar buckets read/write S3 em uma instância de infraestrutura de desktop virtual (VDI) ao usar um ARN de bucket raiz (ou seja,arn:aws:s3:::example-bucket) e um prefixo personalizado (nome do projeto ou nome do projeto e nome do usuário).

As configurações de bucket que não são afetadas por esse problema incluem:

  • buckets somente para leitura

  • buckets de leitura/gravação com um prefixo como parte do ARN do bucket (ou seja,arn:aws:s3:::example-bucket/example-folder-prefix) e prefixo personalizado (nome do projeto ou nome do projeto e nome do usuário)

  • buckets de leitura/gravação com um ARN do bucket raiz, mas sem prefixo personalizado

Depois de provisionar uma instância de VDI, o diretório de montagem especificado para esse bucket do S3 não terá o bucket montado. Embora o diretório de montagem na VDI esteja presente, o diretório estará vazio e não conterá o conteúdo atual do bucket. Quando você grava um arquivo no diretório usando o terminal, o erro Permission denied, unable to write a file é gerado e o conteúdo do arquivo não é carregado no bucket S3 correspondente.

Versões afetadas

2024.08

Mitigação

  1. Para baixar o script de patch e o arquivo de patch (patch.pyes3_mount_custom_prefix_fix.patch), execute o comando a seguir, <output-directory> substituindo-o pelo diretório em que você deseja baixar o script e o arquivo de patch e <environment-name> pelo nome do seu ambiente RES:

    1. O patch só se aplica ao RES 2024.08.

    2. O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    3. Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do Amazon S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch:

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  3. Para encerrar a instância do Virtual Desktop Controller (vdc-controller) do seu ambiente, execute os comandos a seguir. (Você já definiu a ENVIRONMENT_NAME variável com o nome do seu ambiente RES na primeira etapa.)

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
    nota

    Para configurações de VPC privadas, se você ainda não tiver feito isso, para a <RES-EnvironmentName>-vdc-custom-credential-broker-lambda função, certifique-se de adicionar o nome AWS_STS_REGIONAL_ENDPOINTS e o valor Environment variable de. regional Consulte Pré-requisitos do bucket Amazon S3 para implantações isoladas de VPC para obter mais informações.

  4. Depois que o grupo-alvo que começa com o nome <RES-EnvironmentName>-vdc-ext ficar íntegro, VDIs será necessário lançar um novo grupo que terá os buckets read/write S3 com ARN do bucket raiz e prefixo personalizado montados corretamente.

........................

(2024.06) A aplicação do instantâneo falha quando o nome do grupo AD contém espaços

Problema

O RES 2024.06 não aplica instantâneos de versões anteriores se os grupos do AD contiverem espaços em seus nomes.

Os registros do gerenciador de clusters (no grupo de CloudWatch registros) incluirão o <environment-name>/cluster-manager seguinte erro durante a sincronização do AD:

[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

O erro resulta do fato de o RES aceitar apenas nomes de grupos que atendam aos seguintes requisitos:

  • Ele só pode conter letras ASCII minúsculas e maiúsculas, dígitos, traço (-), ponto (.) e sublinhado (_)

  • Não é permitido um traço (-) como primeiro caractere

  • Ele nome não pode conter espaços.

Versões afetadas

2024.06

Mitigação

  1. Para baixar o script de patch e o arquivo de patch (patch.py e groupname_regex.patch), execute o comando a seguir, <output-directory> substituindo-o pelo diretório em que você deseja colocar os arquivos e <environment-name> pelo nome do seu ambiente RES:

    1. O patch só se aplica ao RES 2024.06

    2. O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    3. Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES:

      OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch:

    python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

  3. Para reiniciar a instância do Cluster Manager para seu ambiente, execute os seguintes comandos: Você também pode encerrar a instância no Amazon EC2 Management Console.

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
nota

O patch permite que os nomes dos grupos do AD contenham letras ASCII minúsculas e maiúsculas, dígitos, traço (-), ponto (.), sublinhado (_) e espaços com um comprimento total entre 1 e 30, inclusive.

........................

(2024.06 e anteriores) Membros do grupo não sincronizados com RES durante a sincronização do AD

Descrição do bug

Os membros do grupo não sincronizarão adequadamente com o RES se o GroupOU for diferente do UserOU.

O RES cria um filtro ldapsearch ao tentar sincronizar usuários de um grupo do AD. O filtro atual utiliza incorretamente o parâmetro userOU em vez do parâmetro groupOU. O resultado é que a pesquisa não retorna nenhum usuário. Esse comportamento ocorre somente nos casos em que os usuáriosSou e groupOU são diferentes.

Versões afetadas

Todas as versões do RES 2024.06 ou anteriores

Mitigação

Siga estas etapas para resolver o problema:

  1. Para baixar o script patch.py e o arquivo group_member_sync_bug_fix.patch, execute os seguintes comandos, <output-directory> substituindo-os pelo diretório local em que você gostaria de baixar os arquivos e pela versão do RES que você deseja corrigir: <res_version>

    nota
    OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch, <environment-name> substituindo-o pelo nome do seu ambiente RES:

    cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

  3. Para reiniciar a instância do cluster-manager do seu ambiente, execute os seguintes comandos:

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 e anteriores) CVE-2024-6387, Regre, Vulnerabilidade de segurança no Ubuntu SSHion RHEL9 VDIs

Descrição do bug

O CVE-2024-6387, apelidado de regre, foi identificado no servidor OpenSSHSSHion. Essa vulnerabilidade permite que atacantes remotos e não autenticados executem códigos arbitrários no servidor de destino, representando um risco grave para os sistemas que utilizam o OpenSSH para comunicações seguras.

Para RES, a configuração padrão é passar do bastion host para SSH em desktops virtuais, e o bastion host não é afetado por essa vulnerabilidade. No entanto, a AMI (Amazon Machine Image) padrão que fornecemos RHEL9 e o Ubuntu2024 VDIs (Virtual Desktop Infrastructure) em TODAS as versões do RES utilizam uma versão do OpenSSH que é vulnerável à ameaça à segurança.

Isso significa que o Ubuntu2024 existente RHEL9 e o Ubuntu2024 VDIs podem ser explorados, mas o atacante precisaria acessar o host bastion.

Mais detalhes sobre o problema podem ser encontrados aqui.

Versões afetadas

Todas as versões do RES 2024.06 ou anteriores.

Mitigação

Tanto o Ubuntu RHEL9 quanto o Ubuntu lançaram patches para o OpenSSH, que corrigem a vulnerabilidade de segurança. Eles podem ser extraídos usando o respectivo gerenciador de pacotes da plataforma.

Se você já RHEL9 tem um Ubuntu VDIs, recomendamos seguir as VDIs instruções do PATCH EXISTING abaixo. Para corrigir o futuro VDIs, recomendamos seguir as VDIs instruções do PATCH FUTURE. Essas instruções descrevem como executar um script para aplicar a atualização da plataforma em seu VDIs.

PATCH EXISTENTE VDIs

  1. Execute o seguinte comando que corrigirá todo o Ubuntu existente e RHEL9 VDIs:

    1. O script de patch requer AWS CLI v2.

    2. Configure a AWS CLI para a conta e a região em que o RES está implantado e verifique se você tem permissões do AWS Systems Manager para enviar um comando de execução do Systems Manager.

      aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

  2. Você pode verificar se o script foi executado com êxito na página Executar comando. Clique na guia Histórico de comandos, selecione o ID de comando mais recente e verifique se todas as instâncias IDs têm uma mensagem de SUCESSO.

FUTURO DO PATCH VDIs

  1. Para baixar o script e o arquivo de patch (patch.py e update_openssh.patch), execute os seguintes comandos, <output-directory> substituindo-os pelo diretório em que você deseja baixar os arquivos e <environment-name> pelo nome do seu ambiente RES:

    nota

    • O patch só se aplica ao RES 2024.06.

    • O script de patch requer AWS CLI (v2), Python 3.9.16 ou superior e Boto3.

    • Configure sua cópia da AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch

  2. Execute o seguinte comando de patch: 

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

  3. Reinicie a instância do VDC Controller para seu ambiente com os seguintes comandos: 

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
Importante

O patching future só VDIs é suportado nas versões 2024.06 e posteriores do RES. Para corrigir o futuro VDIs em ambientes RES com versões anteriores a 2024.06, primeiro atualize o ambiente RES para 2024.06 usando as instruções em:. Principais atualizações da versão

........................

(2024.04-2024.04.02) Limite de permissão do IAM fornecido não anexado à função das instâncias de VDI

O problema

As sessões de desktop virtual não estão herdando adequadamente a configuração do limite de permissão do projeto. Isso é resultado do limite de permissões definido pelo parâmetro IAMPermission Boundary não ter sido atribuído adequadamente a um projeto durante a criação desse projeto.

Versões afetadas

2024.04 - 2024.04.02

Mitigação

Siga estas etapas para permitir VDIs herdar adequadamente o limite de permissões atribuído a um projeto:

  1. Para baixar o script e o arquivo de patch (patch.py e vdi_host_role_permission_boundary.patch), execute o comando a seguir, substituindo-o pelo diretório local em que você gostaria de colocar os arquivos: <output-directory>

    1. O patch só se aplica ao RES 2024.04.02. Se você estiver na versão 2024.04 ou 2024.04.01, siga as etapas listadas no documento público para pequenas atualizações de versão para atualizar seu ambiente para 2024.04.02.

    2. O script de patch requer AWS CLI (v2), Python 3.9.16 ou superior e Boto3.

    3. Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch, <environment-name> substituindo-o pelo nome do seu ambiente RES:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch

  3. Reinicie a instância do cluster-manager em seu ambiente executando esse comando, <environment-name> substituindo-o pelo nome do seu ambiente RES. Você também pode encerrar a instância a partir do Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e anteriores) As instâncias do Windows NVIDIA em ap-southeast-2 (Sydney) falham ao iniciar

O problema

As Amazon Machine Images (AMIs) são usadas para criar desktops virtuais (VDIs) em RES com configurações específicas. Cada AMI tem uma ID associada que difere por região. A ID da AMI configurada no RES para iniciar instâncias Windows Nvidia em ap-southeast-2 (Sydney) está incorreta no momento.

O AMI-ID ami-0e190f8939a996caf para esse tipo de configuração de instância está listado incorretamente em ap-southeast-2 (Sydney). Em vez disso, o ID da AMI ami-027cf6e71e2e442f4 deve ser usado.

Os usuários receberão o seguinte erro ao tentarem iniciar uma instância com a ami-0e190f8939a996caf AMI padrão.

An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Etapas para reproduzir o bug, incluindo um exemplo de arquivo de configuração:

  • Implante o RES na região ap-southeast-2.

  • Execute uma instância usando a pilha de software padrão Windows-NVIDIA (ID AMI). ami-0e190f8939a996caf

Versões afetadas

Todas as versões do RES 2024.04.02 ou anteriores são afetadas

Mitigação

A seguinte mitigação foi testada na versão 2024.01.01 do RES:

  • Registre uma nova pilha de software com as seguintes configurações

    • ID da AMI: ami-027cf6e71e2e442f4

    • Sistema operacional: Windows

    • Fabricante da GPU: NVIDIA

    • Min. Tamanho de armazenamento (GB): 30

    • Min. MEMÓRIA RAM (GB): 4

  • Use essa pilha de software para iniciar instâncias Windows-NVIDIA

........................

(2024.04 e 2024.04.01) Falha na exclusão de RES em GovCloud

O problema

Durante o fluxo de trabalho de exclusão do RES, o UnprotectCognitoUserPool Lambda inativa a Proteção de Exclusão para grupos de usuários do Cognito, que serão excluídos posteriormente. A execução do Lambda é iniciada pelo. InstallerStateMachine

Devido às diferenças de versão padrão da AWS CLI entre Commercial e GovCloud regiões, a update_user_pool chamada no Lambda falhará nas regiões. GovCloud

Os clientes receberão o seguinte erro ao tentarem excluir RES em GovCloud regiões:

Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Etapas para reproduzir o bug:

  • Implemente RES em uma GovCloud região

  • Exclua a pilha RES

Versões afetadas

RES versões 2024.04 e 2024.04.01

Mitigação

A seguinte mitigação foi testada na versão 2024.04 do RES:

  • Abra o UnprotectCognitoUserPool Lambda

    • Convenção de nomenclatura: <env-name>-InstallerTasksUnprotectCognitoUserPool-...

  • Configurações de tempo de execução -> Editar -> Selecione Tempo de execução Python 3.11 -> Salvar.

  • Aberto CloudFormation.

  • Exclua a pilha RES -> deixe o recurso do instalador do Retain DESMARCADO -> Excluir.

........................

(2024.04 - 2024.04.02) O desktop virtual Linux pode ficar preso no status “RETOMANDO” na reinicialização

O problema

Os desktops virtuais Linux podem ficar presos no status “RETOMANDO” ao serem reiniciados após uma parada manual ou programada.

Depois que a instância é reinicializada, o AWS Systems Manager não executa nenhum comando remoto para criar uma nova sessão DCV e a seguinte mensagem de registro está ausente nos registros do vdc-controller (no grupo de CloudWatch registros): <environment-name>/vdc/controller CloudWatch 

Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versões afetadas

2024.04 - 2024.04.02

Mitigação

Para recuperar os desktops virtuais que estão presos no estado “RETOMANDO”:

  1. SSH na instância problemática a partir do EC2 console.

  2. Execute os seguintes comandos na instância:

    sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

  3. Aguarde a reinicialização da instância.

Para evitar que novos desktops virtuais tenham o mesmo problema:

  1. Para baixar o script e o arquivo de patch (patch.py e vdi_stuck_in_resuming_status.patch), execute o comando a seguir, substituindo-o pelo diretório em que você deseja colocar os arquivos: <output-directory>

    nota

    • O patch só se aplica ao RES 2024.04.02.

    • O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    • Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch, <environment-name> substituindo-o pelo nome do seu ambiente RES e <aws-region> pela região em que o RES está implantado:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region>

  3. Para reiniciar a instância do VDC Controller para seu ambiente, execute os seguintes comandos, <environment-name> substituindo-os pelo nome do seu ambiente RES:

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e anteriores) Falha ao sincronizar usuários do AD cujo atributo SAMAccount Name inclui letras maiúsculas ou caracteres especiais

O problema

O RES não sincroniza os usuários do AD após a configuração do SSO por pelo menos duas horas (dois ciclos de sincronização do AD). Os registros do gerenciador de cluster (no grupo de CloudWatch registros) incluem o <environment-name>/cluster-manager seguinte erro durante a sincronização do AD:

Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

O erro resulta do fato de o RES aceitar apenas um SAMAccount nome de usuário que atenda aos seguintes requisitos:

  • Ele só pode conter letras ASCII minúsculas, dígitos, ponto (.), sublinhado (_).

  • Não é permitido um ponto ou sublinhado como primeiro ou último caractere.

  • Ele não pode conter dois pontos contínuos ou sublinhados (por exemplo,.., __, ._, _.).

Versões afetadas

2024.04.02 e anteriores

Mitigação

  1. Para baixar o script e o arquivo de patch (patch.py e samaccountname_regex.patch), execute o comando a seguir, substituindo-o pelo diretório em que você deseja <output-directory> colocar os arquivos:

    nota

    • O patch só se aplica ao RES 2024.04.02.

    • O script de patch requer AWS CLI v2, Python 3.9.16 ou superior e Boto3.

    • Configure a AWS CLI para a conta e a região em que o RES está implantado e certifique-se de ter permissões do S3 para gravar no bucket criado pelo RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch

  2. Navegue até o diretório em que o script de patch e o arquivo de patch são baixados. Execute o seguinte comando de patch, <environment-name> substituindo-o pelo nome do seu ambiente RES:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch

  3. Para reiniciar a instância do Cluster Manager para seu ambiente, execute os comandos a seguir, <environment-name> substituindo-a pelo nome do seu ambiente RES. Você também pode encerrar a instância a partir do Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 e anteriores) A chave privada para acessar o bastion host é inválida

O problema

Quando um usuário baixa a chave privada para acessar o bastion host a partir do portal web RES, a chave não está bem formatada — várias linhas são baixadas como uma única linha, o que torna a chave inválida. O usuário receberá o seguinte erro ao tentar acessar o bastion host com a chave baixada:

Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versões afetadas

2024.04.02 e anteriores

Mitigação

Recomendamos usar o Chrome para baixar as chaves, pois esse navegador não é afetado.

Como alternativa, o arquivo de chave pode ser reformatado criando uma nova linha depois -----BEGIN PRIVATE KEY----- e outra nova linha logo antes. -----END PRIVATE KEY-----

........................