Masalah RunBooks - Studio Penelitian dan Teknik
Masalah instalasiMasalah manajemen identitasPenyimpananSnapshotInfrastrukturMeluncurkan Desktop VirtualKomponen Desktop VirtualPenghapusan EnvLingkungan demo

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah RunBooks

Bagian berikut berisi masalah yang mungkin terjadi, cara mendeteksinya, dan saran tentang cara mengatasi masalah tersebut.

Masalah instalasi

........................

Saya ingin mengatur domain khusus setelah saya menginstal RES

catatan

Prasyarat: Anda harus menyimpan Sertifikat dan PrivateKey konten dalam rahasia Secrets Manager sebelum melakukan langkah-langkah ini.

Tambahkan sertifikat ke klien web

  1. Perbarui sertifikat yang dilampirkan ke pendengar penyeimbang beban external-alb:

    1. Arahkan ke penyeimbang beban RES eksternal di AWS konsol di bawah> Load EC2Balancing> Load Balancers.

    2. Cari penyeimbang beban yang mengikuti konvensi <env-name>-external-alb penamaan.

    3. Periksa pendengar yang terpasang pada penyeimbang beban.

    4. Perbarui listener yang memiliki DefaultSSL/TLSsertifikat yang dilampirkan dengan detail sertifikat baru.

    5. Simpan perubahan Anda.

  2. Dalam tabel pengaturan cluster:

    1. Temukan tabel pengaturan cluster di DynamoDB -> Tabel ->. <env-name>.cluster-settings

    2. Pergi ke Jelajahi Item dan Filter berdasarkan Atribut — nama “kunci”, Ketik “string”, kondisi “berisi”, dan nilai “external_alb”.

    3. Setel cluster.load_balancers.external_alb.certificates.provided ke Benar.

    4. Perbarui nilaicluster.load_balancers.external_alb.certificates.custom_dns_name. Ini adalah nama domain khusus untuk antarmuka pengguna web.

    5. Perbarui nilaicluster.load_balancers.external_alb.certificates.acm_certificate_arn. Ini adalah Amazon Resource Name (ARN) untuk sertifikat terkait yang disimpan di Amazon Certificate Manager (ACM).

  3. Perbarui catatan subdomain Route53 yang sesuai yang Anda buat untuk klien web Anda untuk menunjuk ke DNS nama penyeimbang beban alb eksternal. <env-name>-external-alb

  4. Jika sudah SSO dikonfigurasi di lingkungan, konfigurasikan ulang SSO dengan input yang sama seperti yang Anda gunakan awalnya dari Pengaturan Umum > Penyedia Identitas > Single Sign On > Status > Edit tombol di portal RES web.

Tambahkan sertifikat ke VDIs

  1. Berikan izin RES aplikasi untuk melakukan GetSecret operasi pada rahasia dengan menambahkan tag berikut ke rahasia:

    • res:EnvironmentName : <env-name>

    • res:ModuleName : virtual-desktop-controller

  2. Dalam tabel pengaturan cluster:

    1. Temukan tabel pengaturan cluster di DynamoDB -> Tabel ->. <env-name>.cluster-settings

    2. Buka Jelajahi Item dan Filter berdasarkan Atribut — nama “kunci”, Ketik “string”, kondisi “berisi”, dan nilai “dcv_connection_gateway”.

    3. Setel vdc.dcv_connection_gateway.certificate.provided ke Benar.

    4. Perbarui nilaivdc.dcv_connection_gateway.certificate.custom_dns_name. Ini adalah nama domain khusus untuk VDI akses.

    5. Perbarui nilaivdc.dcv_connection_gateway.certificate.certificate_secret_arn. Ini adalah rahasia ARN yang menyimpan konten Sertifikat.

    6. Perbarui nilaivdc.dcv_connection_gateway.certificate.private_key_secret_arn. Ini adalah rahasia ARN yang menyimpan isi Private Key.

  3. Perbarui template peluncuran yang digunakan untuk instance gateway:

    1. Buka grup Auto Scaling di AWS Konsol di bawah> Auto Scaling EC2> Auto Scaling Groups.

    2. Pilih grup penskalaan otomatis gateway yang sesuai dengan RES lingkungan. Namanya mengikuti konvensi penamaan<env-name>-vdc-gateway-asg.

    3. Temukan dan buka Template Peluncuran di bagian detail.

    4. Di bawah Detail> Tindakan > pilih Ubah template (Buat versi baru).

    5. Gulir ke bawah ke detail lanjutan.

    6. Gulir ke bagian paling bawah, ke data Pengguna.

    7. Carilah kata-katanya CERTIFICATE_SECRET_ARN danPRIVATE_KEY_SECRET_ARN. Perbarui nilai-nilai ini dengan ARNs diberikan ke rahasia yang menyimpan konten Sertifikat (lihat langkah 2.c) dan Kunci Pribadi (lihat langkah 2.d).

    8. Pastikan grup Auto Scaling dikonfigurasi untuk menggunakan versi template peluncuran yang baru dibuat (dari halaman grup Auto Scaling).

  4. Perbarui catatan subdomain Route53 yang sesuai yang Anda buat untuk desktop virtual Anda untuk menunjuk ke DNS nama penyeimbang beban nlb eksternal:. <env-name>-external-nlb

  5. Hentikan instance dcv-gateway yang ada: <env-name>-vdc-gateway dan tunggu yang baru berputar.

........................

AWS CloudFormation tumpukan gagal dibuat dengan pesan "WaitCondition menerima pesan gagal. Kesalahan:Negara. TaskFailed”

Untuk mengidentifikasi masalah, periksa grup CloudWatch log Amazon bernama<stack-name>-InstallerTasksCreateTaskDefCreateContainerLogGroup<nonce>-<nonce>. Jika ada beberapa grup log dengan nama yang sama, periksa yang pertama tersedia. Pesan kesalahan dalam log akan memberikan informasi lebih lanjut tentang masalah ini.

catatan

Konfirmasikan bahwa nilai parameter tidak memiliki spasi.

........................

Pemberitahuan email tidak diterima setelah AWS CloudFormation tumpukan berhasil dibuat

Jika undangan email tidak diterima setelah AWS CloudFormation tumpukan berhasil dibuat, verifikasi hal berikut:

  1. Konfirmasikan parameter alamat email dimasukkan dengan benar.

    Jika alamat email salah atau tidak dapat diakses, hapus dan gunakan kembali lingkungan Studio Riset dan Teknik.

  2. Periksa EC2 konsol Amazon untuk bukti kejadian bersepeda.

    Jika ada EC2 instance Amazon dengan <envname> awalan yang muncul sebagai dihentikan dan kemudian diganti dengan instance baru, mungkin ada masalah dengan konfigurasi jaringan atau Direktori Aktif.

  3. Jika Anda menerapkan resep Komputasi Kinerja AWS Tinggi untuk membuat sumber daya eksternal, konfirmasikan bahwa subnet pribadi dan publik, serta parameter lain yang dipilih dibuat oleh tumpukan. VPC

    Jika salah satu parameter salah, Anda mungkin perlu menghapus dan menerapkan kembali lingkungan. RES Untuk informasi selengkapnya, lihat Copot pemasangan produk.

  4. Jika Anda menerapkan produk dengan sumber daya eksternal Anda sendiri, konfirmasikan jaringan dan Active Directory cocok dengan konfigurasi yang diharapkan.

    Mengonfirmasi bahwa instans infrastruktur berhasil bergabung dengan Active Directory sangat penting. Coba langkah-langkahnya Instance bersepeda atau vdc-controller dalam keadaan gagal untuk menyelesaikan masalah.

........................

Instance bersepeda atau vdc-controller dalam keadaan gagal

Penyebab paling mungkin dari masalah ini adalah ketidakmampuan sumber daya untuk menghubungkan atau bergabung dengan Active Directory.

Untuk memverifikasi masalah:

  1. Dari baris perintah, mulailah sesi dengan instance yang SSM sedang berjalan dari vdc-controller.

  2. Jalankan sudo su -.

  3. Jalankan systemctl status sssd.

Jika status tidak aktif, gagal, atau Anda melihat kesalahan di log, maka instance tidak dapat bergabung dengan Active Directory.

SSMlog kesalahan

SSMlog kesalahan

Untuk mengatasi masalah ini:

  • Dari instance baris perintah yang sama, jalankan cat /root/bootstrap/logs/userdata.log untuk menyelidiki log.

Masalah ini bisa memiliki salah satu dari tiga kemungkinan akar penyebab.

Tinjau log. Jika Anda melihat hal berikut diulang beberapa kali, instance tidak dapat bergabung dengan Active Directory.

+ local AD_AUTHORIZATION_ENTRY=
+ [[ -z '' ]]
+ [[ 0 -le 180 ]]
+ local SLEEP_TIME=34
+ log_info '(0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
++ date '+%Y-%m-%d %H:%M:%S,%3N'
+ echo '[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...
+ sleep 34
+ (( ATTEMPT_COUNT++ ))

  1. Verifikasi nilai parameter untuk berikut ini dimasukkan dengan benar selama pembuatan RES tumpukan.

    • directoryservice.ldap_connection_uri

    • directoryservice.ldap_base

    • directoryservice.users.ou

    • directoryservice.groups.ou

    • directoryservice.sudoers.ou

    • directoryservice.computers.ou

    • directoryservice.name

  2. Perbarui nilai yang salah dalam tabel DynamoDB. Tabel ditemukan di konsol DynamoDB di bawah Tabel. Nama tabel harus<stack name>.cluster-settings.

  3. Setelah Anda memperbarui tabel, hapus cluster-manager dan vdc-controller yang saat ini menjalankan instance lingkungan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru dari tabel DynamoDB.

Jika log kembaliInsufficient permissions to modify computer account, ServiceAccount nama yang dimasukkan selama pembuatan tumpukan bisa salah.

  1. Dari AWS Konsol, buka Secrets Manager.

  2. Cari directoryserviceServiceAccountUsername. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountUsername.

  3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia dan pilih Plaintext.

  4. Jika nilai diperbarui, hapus instance cluster-manager dan vdc-controller lingkungan yang sedang berjalan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru dari Secrets Manager.

Jika log ditampilkanInvalid credentials, ServiceAccount kata sandi yang dimasukkan selama pembuatan tumpukan mungkin salah.

  1. Dari AWS Konsol, buka Secrets Manager.

  2. Cari directoryserviceServiceAccountPassword. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountPassword.

  3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia dan pilih Plaintext.

  4. Jika Anda lupa kata sandi atau Anda tidak yakin apakah kata sandi yang dimasukkan benar, Anda dapat mengatur ulang kata sandi di Active Directory dan Secrets Manager.

    1. Untuk mengatur ulang kata sandi di AWS Managed Microsoft AD:

      1. Buka AWS konsol dan pergi ke AWS Directory Service.

      2. Pilih ID Direktori untuk RES direktori Anda, dan pilih Tindakan.

      3. Pilih Setel ulang kata sandi pengguna.

      4. Masukkan nama ServiceAccount pengguna.

      5. Masukkan kata sandi baru, dan pilih Reset kata sandi.

    2. Untuk mengatur ulang kata sandi di Secrets Manager:

      1. Buka AWS konsol dan pergi ke Secrets Manager.

      2. Cari directoryserviceServiceAccountPassword. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountPassword.

      3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia lalu pilih Plaintext.

      4. Pilih Edit.

      5. Tetapkan kata sandi baru untuk ServiceAccount pengguna dan pilih Simpan.

  5. Jika Anda memperbarui nilainya, hapus instance cluster-manager dan vdc-controller lingkungan yang sedang berjalan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru.

........................

CloudFormation Tumpukan lingkungan gagal dihapus karena kesalahan objek dependen

Jika penghapusan <env-name>-vdc CloudFormation tumpukan gagal karena kesalahan objek dependen sepertivdcdcvhostsecuritygroup, ini bisa disebabkan oleh EC2 instance Amazon yang diluncurkan ke subnet atau grup keamanan RES yang dibuat menggunakan Konsol. AWS

Untuk mengatasi masalah ini, temukan dan hentikan semua EC2 instans Amazon yang diluncurkan dengan cara ini. Anda kemudian dapat melanjutkan penghapusan lingkungan.

........................

Kesalahan ditemui untuk parameter CIDR blok selama pembuatan lingkungan

Saat membuat lingkungan, kesalahan muncul untuk parameter CIDR blok dengan status respons [FAILED].

Contoh kesalahan: 

Failed to update cluster prefix list: 
        An error occurred (InvalidParameterValue) when calling the ModifyManagedPrefixList operation: 
        The specified CIDR (52.94.133.132/24) is not valid. For example, specify a CIDR in the following form: 10.0.0.0/16.

Untuk mengatasi masalah ini, format yang diharapkan adalah x.x.x.0/24 atau x.x.x.0/32.

........................

CloudFormation kegagalan pembuatan tumpukan selama pembuatan lingkungan

Menciptakan lingkungan melibatkan serangkaian operasi pembuatan sumber daya. Di beberapa Wilayah, masalah kapasitas dapat terjadi yang menyebabkan pembuatan CloudFormation tumpukan gagal.

Jika ini terjadi, hapus lingkungan dan coba lagi pembuatannya. Atau, Anda dapat mencoba lagi pembuatan di Wilayah yang berbeda.

........................

Pembuatan tumpukan sumber daya eksternal (demo) gagal dengan AdDomainAdminNode CREATE _ FAILED

Jika pembuatan tumpukan lingkungan demo gagal dengan kesalahan berikut, mungkin karena EC2 tambalan Amazon terjadi secara tak terduga selama penyediaan setelah peluncuran instance. 

AdDomainAdminNode CREATE_FAILED  Failed to receive 1 resource signal(s) within the specified duration
Untuk menentukan penyebab kegagalan:

  1. Di Manajer SSM Negara, periksa apakah tambalan dikonfigurasi dan apakah itu dikonfigurasi untuk semua instance.

  2. Dalam riwayat eksekusi SSM RunCommand /Automation, periksa apakah eksekusi SSM dokumen terkait tambalan bertepatan dengan peluncuran instance.

  3. Dalam file log untuk EC2 instans Amazon lingkungan, tinjau logging instans lokal untuk menentukan apakah instance di-boot ulang selama penyediaan.

Jika masalah disebabkan oleh patching, tunda patching untuk RES instance setidaknya 15 menit setelah peluncuran.

........................

Masalah manajemen identitas

Sebagian besar masalah dengan single sign-on (SSO) dan manajemen identitas terjadi karena kesalahan konfigurasi. Untuk informasi tentang pengaturan SSO konfigurasi Anda, lihat:

Untuk memecahkan masalah lain yang terkait dengan manajemen identitas, lihat topik pemecahan masalah berikut:

........................

Saya tidak berwenang untuk melakukan iam: PassRole

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan PassRole tindakan iam:, kebijakan Anda harus diperbarui agar Anda dapat meneruskan RES peran.

Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika IAM pengguna bernama marymajor mencoba menggunakan konsol untuk melakukan tindakan di. RES Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dalam hal ini, kebijakan Mary harus diperbarui untuk memungkinkannya melakukan iam: PassRole action. Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

........................

Saya ingin mengizinkan orang-orang di luar AWS akun saya untuk mengakses Studio Penelitian dan Teknik saya tentang AWS sumber daya

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:

........................

Saat masuk ke lingkungan, saya segera kembali ke halaman login

Masalah ini terjadi ketika SSO integrasi Anda salah dikonfigurasi. Untuk menentukan masalah, periksa log instance pengontrol dan tinjau pengaturan konfigurasi untuk kesalahan.

Untuk memeriksa log:

  1. Buka CloudWatch konsol.

  2. Dari grup Log, temukan grup bernama/<environment-name>/cluster-manager.

  3. Buka grup log untuk mencari kesalahan apa pun di aliran log.

Untuk memeriksa pengaturan konfigurasi:

  1. Buka konsol DynamoDB

  2. Dari Tabel, temukan tabel bernama<environment-name>.cluster-settings.

  3. Buka tabel dan pilih Jelajahi item tabel.

  4. Perluas bagian filter, dan masukkan variabel berikut:

    • Nama atribut - kunci

    • Kondisi - berisi

    • Nilai — sso

  5. Pilih Jalankan.

  6. Dalam string yang dikembalikan, verifikasi bahwa nilai SSO konfigurasi sudah benar. Jika salah, ubah nilai kunci sso_enabled menjadi False.

    Konsol DynamoDB dengan layar Edit item untuk nilai kunci sso_enabled.

  7. Kembali ke antarmuka RES pengguna untuk mengkonfigurasi ulang file. SSO

........................

Kesalahan “Pengguna tidak ditemukan” saat mencoba masuk

Jika pengguna menerima kesalahan “Pengguna tidak ditemukan” ketika mereka mencoba masuk ke RES antarmuka, dan pengguna hadir di Active Directory:

  • Jika pengguna tidak hadir RES dan Anda baru saja menambahkan pengguna ke AD
  • Jika pengguna hadir diRES:

    1. Pastikan pemetaan atribut dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Mengonfigurasi penyedia identitas Anda untuk single sign-on () SSO.

    2. Pastikan SAML subjek dan SAML email keduanya dipetakan ke alamat email pengguna.

........................

Pengguna ditambahkan di Direktori Aktif, tetapi hilang dari RES

Jika Anda telah menambahkan pengguna ke Active Directory tetapi tidak adaRES, sinkronisasi AD perlu dipicu. Sinkronisasi AD dilakukan setiap jam oleh fungsi Lambda yang mengimpor entri AD ke lingkungan. RES Terkadang, ada penundaan hingga proses sinkronisasi berikutnya berjalan setelah Anda menambahkan pengguna atau grup baru. Anda dapat memulai sinkronisasi secara manual dari Amazon Simple Queue Service.

Memulai proses sinkronisasi secara manual:

  1. Buka SQSkonsol Amazon.

  2. Dari Antrian, pilih. <environment-name>-cluster-manager-tasks.fifo

  3. Pilih Kirim dan terima pesan.

  4. Untuk isi Pesan, masukkan:

    { "name": "adsync.sync-from-ad", "payload": {} }

  5. Untuk ID grup Pesan, masukkan: adsync.sync-from-ad

  6. Untuk ID deduplikasi Pesan, masukkan string alfa-numerik acak. Entri ini harus berbeda dari semua panggilan yang dilakukan dalam lima menit sebelumnya atau permintaan akan diabaikan.

........................

Pengguna tidak tersedia saat membuat sesi

Jika Anda adalah administrator yang membuat sesi, tetapi menemukan bahwa pengguna yang berada di Direktori Aktif tidak tersedia saat membuat sesi, pengguna mungkin perlu masuk untuk pertama kalinya. Sesi hanya dapat dibuat untuk pengguna aktif. Pengguna aktif harus masuk ke lingkungan setidaknya sekali.

........................

Batas ukuran melebihi kesalahan dalam log CloudWatch pengelola klaster

2023-10-31T18:03:12.942-07:00 ldap.SIZELIMIT_EXCEEDED: {'msgtype': 100, 'msgid': 11, 'result': 4, 'desc': 'Size limit exceeded', 'ctrls': []}

Jika Anda menerima kesalahan ini di log CloudWatch pengelola klaster, pencarian ldap mungkin telah mengembalikan terlalu banyak catatan pengguna. Untuk memperbaiki masalah ini, tingkatkan IDP batas hasil pencarian ldap Anda.

........................

Penyimpanan

........................

Saya membuat sistem file melalui RES tetapi tidak dipasang di VDI host

Sistem file harus berada dalam keadaan “Tersedia” sebelum dapat dipasang oleh VDI host. Ikuti langkah-langkah di bawah ini untuk memvalidasi sistem file dalam keadaan wajib.

Amazon EFS

  1. Pergi ke EFSkonsol Amazon.

  2. Periksa apakah status sistem File Tersedia.

  3. Jika status sistem file tidak Tersedia, tunggu sebelum meluncurkan VDI host.

Amazon FSx ONTAP

  1. Pergi ke FSxkonsol Amazon.

  2. Periksa apakah statusnya tersedia.

  3. Jika Status tidak Tersedia, tunggu sebelum meluncurkan VDI host.

........................

Saya memasukkan sistem file RES tetapi tidak dipasang di host VDI

Sistem file yang terpasang RES harus memiliki aturan grup keamanan yang diperlukan yang dikonfigurasi untuk memungkinkan VDI host memasang sistem file. Karena sistem file ini dibuat secara eksternalRES, RES tidak mengelola aturan grup keamanan terkait.

Grup keamanan yang terkait dengan sistem file onboard harus mengizinkan lalu lintas masuk berikut:

  • NFSlalu lintas (port: 2049) dari host linux VDC

  • SMBlalu lintas (port: 445) dari host windows VDC

........................

Saya tidak dapat membaca/menulis dari host VDI

ONTAPmendukungUNIX, NTFS dan gaya MIXED keamanan untuk volume. Gaya keamanan menentukan jenis izin yang ONTAP digunakan untuk mengontrol akses data dan jenis klien apa yang dapat memodifikasi izin ini.

Misalnya, jika volume menggunakan gaya UNIX keamanan, SMB klien masih dapat mengakses data (asalkan mereka benar mengautentikasi dan mengotorisasi) karena sifat multi-protokol. ONTAP Namun, ONTAP menggunakan UNIX izin yang hanya dapat dimodifikasi oleh UNIX klien menggunakan alat asli.

Contoh izin menangani kasus penggunaan

Menggunakan volume UNIX gaya dengan beban kerja Linux

Izin dapat dikonfigurasi oleh sudoer untuk pengguna lain. Misalnya, berikut ini akan memberikan semua anggota izin baca/tulis <group-ID> penuh pada direktori: /<project-name>

sudo chown root:<group-ID> /<project-name>
sudo chmod 770 /<project-name>

Menggunakan volume NTFS gaya dengan beban kerja Linux dan Windows

Izin Berbagi dapat dikonfigurasi menggunakan properti berbagi folder tertentu. Misalnya, diberikan pengguna user_01 dan foldermyfolder, Anda dapat mengatur izinFull Control,Change, atau Read ke Allow atauDeny:

Izin berbagi dapat diatur ke Izinkan atau Tolak untuk Kontrol Penuh, Ubah, atau Baca

Jika volume akan digunakan oleh klien Linux dan Windows, kita perlu mengatur pemetaan nama SVM yang akan mengaitkan nama pengguna Linux ke nama pengguna yang sama dengan format nama BIOS domain Net domain\ username. Ini diperlukan untuk menerjemahkan antara pengguna Linux dan Windows. Untuk referensi, lihat Mengaktifkan beban kerja multiprotokol dengan Amazon untuk. FSx NetApp ONTAP

........................

Saya membuat Amazon FSx untuk NetApp ONTAP dari RES tetapi tidak bergabung dengan domain saya

Saat ini, ketika Anda membuat Amazon FSx untuk NetApp ONTAP dari RES konsol, sistem file akan disediakan tetapi tidak bergabung dengan domain. Untuk menggabungkan sistem ONTAP file yang dibuat SVM ke domain Anda, lihat Bergabung SVMs ke Microsoft Active Directory dan ikuti langkah-langkah di FSxkonsol Amazon. Pastikan izin yang diperlukan didelegasikan ke Akun FSx Layanan Amazon di AD. Setelah berhasil SVM bergabung dengan domain, buka SVM Summary > Endpoints > SMB DNS name, dan salin DNS nama karena Anda akan membutuhkannya nanti.

Setelah bergabung ke domain, edit kunci SMB DNS konfigurasi di tabel DynamoDB pengaturan cluster:

  1. Buka konsol Amazon DynamoDB.

  2. Pilih Tabel, lalu pilih<stack-name>-cluster-settings.

  3. Di bawah Jelajahi item tabel, perluas Filter, dan masukkan filter berikut:

    • Nama atribut - kunci

    • Kondisi - Sama dengan

    • Nilai - shared-storage.<file-system-name>.fsx_netapp_ontap.svm.smb_dns

  4. Pilih item yang dikembalikan, lalu Tindakan, Edit item.

  5. Perbarui nilai dengan SMB DNS nama yang Anda salin sebelumnya.

  6. Pilih Save and close (Simpan dan pilih).

Selain itu, pastikan grup keamanan yang terkait dengan sistem file memungkinkan lalu lintas seperti yang direkomendasikan dalam Kontrol Akses Sistem File dengan Amazon VPC. VDIHost baru yang menggunakan sistem file sekarang akan dapat me-mount domain yang bergabung SVM dan sistem file.

Atau, Anda dapat menggunakan sistem file yang sudah ada yang sudah bergabung ke domain Anda menggunakan kemampuan Sistem File RES Onboard- dari Manajemen Lingkungan pilih Sistem File, Sistem File Onboard.

........................

Snapshot

........................

Snapshot memiliki status Gagal

Pada halaman RES Snapshots, jika snapshot memiliki status Gagal, penyebabnya dapat ditentukan dengan membuka grup CloudWatch log Amazon untuk pengelola klaster selama kesalahan terjadi.

[2023-11-19 03:39:20,208] [INFO] [snapshots-service] creating snapshot in S3 Bucket:
  asdf at path s31
[2023-11-19 03:39:20,381] [ERROR] [snapshots-service] An error occurred while
  creating the snapshot: An error occurred (TableNotFoundException)
  when calling the UpdateContinuousBackups operation: 
  Table not found: res-demo.accounts.sequence-config

........................

Snapshot gagal diterapkan dengan log yang menunjukkan bahwa tabel tidak dapat diimpor.

Jika snapshot yang diambil dari env sebelumnya gagal diterapkan di env baru, lihat CloudWatch log untuk pengelola klaster untuk mengidentifikasi masalah. Jika masalah menyebutkan bahwa cloud tabel yang diperlukan tidak diimpor, verifikasi bahwa snapshot dalam status valid.

  1. Unduh file metadata.json dan verifikasi bahwa ExportStatus untuk berbagai tabel memiliki status. COMPLETED Pastikan berbagai tabel memiliki ExportManifest bidang yang ditetapkan. Jika Anda tidak menemukan set bidang di atas, snapshot dalam keadaan tidak valid dan tidak dapat digunakan dengan fungsionalitas snapshot terapkan.

  2. Setelah memulai pembuatan snapshot, pastikan status Snapshot berubah menjadi masuk. COMPLETED RES Proses pembuatan Snapshot memakan waktu hingga 5 hingga 10 menit. Muat ulang atau kunjungi kembali halaman Manajemen Snapshot untuk memastikan Snapshot berhasil dibuat. Ini akan memastikan bahwa snapshot yang dibuat dalam keadaan valid.

........................

Infrastruktur

........................

Kelompok sasaran penyeimbang beban tanpa instance yang sehat

Jika masalah seperti pesan kesalahan server muncul di UI atau sesi desktop tidak dapat terhubung, itu mungkin menunjukkan masalah dalam infrastruktur EC2 instans Amazon.

Metode untuk menentukan sumber masalah adalah dengan terlebih dahulu memeriksa EC2 konsol Amazon untuk setiap EC2 instance Amazon yang tampaknya berulang kali dihentikan dan digantikan oleh instance baru. Jika itu masalahnya, memeriksa CloudWatch log Amazon dapat menentukan penyebabnya.

Metode lain adalah memeriksa penyeimbang beban dalam sistem. Indikasi bahwa mungkin ada masalah sistem adalah jika ada penyeimbang beban, yang ditemukan di EC2 konsol Amazon, tidak menunjukkan instans sehat yang terdaftar.

Contoh penampilan normal ditunjukkan di sini:

dasbor penyeimbang beban ec2

Jika entri Sehat adalah 0, itu menunjukkan bahwa tidak ada EC2 instans Amazon yang tersedia untuk memproses permintaan.

Jika entri Tidak Sehat adalah non-0, itu menunjukkan bahwa EC2 instance Amazon mungkin bersepeda. Ini bisa disebabkan oleh perangkat lunak aplikasi yang diinstal tidak lulus pemeriksaan kesehatan.

Jika entri Sehat dan Tidak Sehat adalah 0, itu menunjukkan potensi kesalahan konfigurasi jaringan. Misalnya, subnet publik dan swasta mungkin tidak sesuaiAZs. Jika kondisi ini terjadi, mungkin ada teks tambahan pada konsol yang menunjukkan bahwa status jaringan ada.

........................

Meluncurkan Desktop Virtual

........................

Desktop virtual yang sebelumnya berfungsi tidak lagi dapat terhubung dengan sukses

Jika koneksi desktop ditutup atau Anda tidak dapat lagi terhubung dengannya, masalahnya mungkin disebabkan oleh kegagalan EC2 instans Amazon yang mendasarinya atau EC2 instans Amazon mungkin telah dihentikan atau dihentikan di luar lingkungan. RES Status UI Admin dapat terus menampilkan status siap tetapi upaya untuk menghubungkannya gagal.

EC2Konsol Amazon harus digunakan untuk menentukan apakah instance telah dihentikan atau dihentikan. Jika berhenti, coba mulai lagi. Jika status dihentikan, desktop lain harus dibuat. Setiap data yang disimpan di direktori home pengguna harus tetap tersedia saat instance baru dimulai.

Jika instance yang gagal sebelumnya masih muncul di UI Admin, mungkin perlu dihentikan menggunakan UI Admin.

........................

Saya hanya dapat meluncurkan 5 desktop virtual

Batas default untuk jumlah desktop virtual yang dapat diluncurkan pengguna adalah 5. Ini dapat diubah oleh admin menggunakan UI Admin sebagai berikut:

  • Buka Pengaturan Desktop.

  • Pilih tab Server.

  • Di panel DCVSesi, klik ikon edit di sebelah kanan.

  • Ubah nilai dalam Sesi yang Diizinkan Per Pengguna ke nilai baru yang diinginkan.

  • Pilih Kirim.

  • Segarkan halaman untuk mengonfirmasi bahwa pengaturan baru sudah ada.

........................

Upaya koneksi Windows Desktop gagal dengan “Koneksi telah ditutup. Kesalahan transportasi”

Jika koneksi desktop Windows gagal dengan kesalahan UI “Sambungan telah ditutup. Kesalahan transportasi”, penyebabnya dapat disebabkan oleh masalah dalam perangkat lunak DCV server yang terkait dengan pembuatan sertifikat pada instance Windows.

Grup CloudWatch log Amazon <envname>/vdc/dcv-connection-gateway dapat mencatat kesalahan upaya koneksi dengan pesan yang mirip dengan berikut ini:

Nov 24 20:24:27.631 DEBUG HTTP:Splicer Connection{id=9}:
Websocket{session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"}:
Resolver lookup{client_ip=Some(52.94.36.19) 
session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"
 protocol_type=WebSocket extension_data=None}:NoStrictCertVerification: 
 Additional stack certificate (0): [s/n: 0E9E9C4DE7194B37687DC4D2C0F5E94AF0DD57E]

Nov 24 20:25:15.384  INFO HTTP:Splicer Connection{id=21}:Websocket{
session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Connection initiated error: unreachable, server io error Custom { 
kind: InvalidData, error:
General("Invalid certificate: certificate has expired (code: 10)") }

Nov 24 20:25:15.384  WARN HTTP:Splicer Connection{id=21}:
Websocket{session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Error in websocket connection: Server unreachable: Server error: IO error: 
unexpected error: Invalid certificate: certificate has expired (code: 10)

Jika ini terjadi, resolusi mungkin menggunakan SSM Session Manager untuk membuka koneksi ke instance Windows dan menghapus 2 file terkait sertifikat berikut:

PS C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv> dir

    Directory: C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         8/4/2022  12:59 PM           1704 dcv.key
-a----         8/4/2022  12:59 PM           1265 dcv.pem

File harus dibuat ulang secara otomatis dan upaya koneksi berikutnya mungkin berhasil.

Jika metode ini menyelesaikan masalah dan jika peluncuran baru desktop Windows menghasilkan kesalahan yang sama, gunakan fungsi Create Software Stack untuk membuat tumpukan perangkat lunak Windows baru dari instance tetap dengan file sertifikat yang dibuat ulang. Itu dapat menghasilkan tumpukan perangkat lunak Windows yang dapat digunakan untuk peluncuran dan koneksi yang sukses.

........................

VDIsterjebak dalam status Penyediaan

Jika peluncuran desktop tetap dalam status penyediaan di UI Admin, ini mungkin karena beberapa alasan.

Untuk menentukan penyebabnya, periksa file log pada instance desktop dan cari kesalahan yang mungkin menyebabkan masalah. Dokumen ini berisi daftar file log dan grup CloudWatch log Amazon yang berisi informasi yang relevan di bagian berlabel sumber informasi log dan peristiwa yang berguna.

Berikut ini adalah penyebab potensial dari masalah ini.

  • AMIId yang digunakan telah terdaftar sebagai tumpukan perangkat lunak tetapi tidak didukung oleh. RES

    Skrip penyediaan bootstrap gagal diselesaikan karena Amazon Machine Image (AMI) tidak memiliki konfigurasi atau perkakas yang diharapkan yang diperlukan. File log pada instance, seperti /root/bootstrap/logs/ pada instance Linux, mungkin berisi informasi yang berguna mengenai hal ini. AMIsid yang diambil dari AWS Marketplace mungkin tidak berfungsi untuk instance RES desktop. Mereka memerlukan pengujian untuk mengkonfirmasi apakah mereka didukung.

  • Skrip data pengguna tidak dijalankan ketika instance desktop virtual Windows diluncurkan dari kustomAMI.

    Secara default, skrip data pengguna berjalan satu kali ketika EC2 instans Amazon diluncurkan. Jika Anda membuat AMI dari instance desktop virtual yang ada, kemudian mendaftarkan tumpukan perangkat lunak dengan AMI dan mencoba meluncurkan desktop virtual lain dengan tumpukan perangkat lunak ini, skrip data pengguna tidak akan berjalan pada instance desktop virtual baru.

    Untuk memperbaiki masalah ini, buka jendela PowerShell perintah sebagai Administrator pada instance desktop virtual asli yang Anda gunakan untuk membuatAMI, dan jalankan perintah berikut: 

    C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1 –Schedule

    Kemudian buat yang baru AMI dari instance. Anda dapat menggunakan yang baru AMI untuk mendaftarkan tumpukan perangkat lunak dan meluncurkan desktop virtual baru setelahnya. Perhatikan bahwa Anda juga dapat menjalankan perintah yang sama pada instance yang tetap dalam status penyediaan dan me-reboot instance untuk memperbaiki sesi desktop virtual, tetapi Anda akan mengalami masalah yang sama lagi saat meluncurkan desktop virtual lain dari konfigurasi yang salah. AMI

........................

VDIsmasuk ke status Kesalahan setelah diluncurkan

Kemungkinan masalah 1: Sistem file beranda memiliki direktori untuk pengguna dengan izin yang berbeda. POSIX

Ini bisa menjadi masalah yang Anda hadapi jika skenario berikut benar:

  1. RESVersi yang digunakan adalah 2024.01 atau lebih tinggi.

  2. Selama penerapan RES tumpukan atribut untuk EnableLdapIDMapping disetel keTrue.

  3. Sistem file beranda yang ditentukan selama penerapan RES tumpukan digunakan dalam versi sebelum RES 2024.01 atau digunakan di lingkungan sebelumnya dengan disetel ke. EnableLdapIDMapping False

Langkah resolusi: Hapus direktori pengguna di sistem file.

  1. SSMke host pengelola klaster.

  2. cd /home.

  3. ls- harus mencantumkan direktori dengan nama direktori yang cocok dengan nama pengguna, sepertiadmin1,admin2.. dan sebagainya.

  4. Hapus direktori,sudo rm -r 'dir_name'. Jangan hapus direktori ssm-user dan ec2-user.

  5. Jika pengguna sudah disinkronkan ke env baru, hapus pengguna dari DDB tabel pengguna (kecuali clusteradmin).

  6. Memulai sinkronisasi AD - jalankan sudo /opt/idea/python/3.9.16/bin/resctl ldap sync-from-ad di pengelola klaster Amazon. EC2

  7. Reboot VDI instance dalam Error status dari RES halaman web. Validasi bahwa VDI transisi ke Ready negara bagian dalam waktu sekitar 20 menit.

........................

Komponen Desktop Virtual

........................

EC2Instans Amazon berulang kali ditampilkan dihentikan di konsol

Jika instance infrastruktur berulang kali ditampilkan sebagai dihentikan di EC2 konsol Amazon, penyebabnya mungkin terkait dengan konfigurasinya dan bergantung pada jenis instans infrastruktur. Berikut ini adalah metode untuk menentukan penyebabnya.

Jika instance vdc-controller menunjukkan status terminasi berulang di EC2 konsol Amazon, ini bisa disebabkan oleh tag Rahasia yang salah. Rahasia yang dikelola oleh RES memiliki tag yang digunakan sebagai bagian dari kebijakan kontrol IAM akses yang dilampirkan ke infrastruktur EC2 instans Amazon. Jika vdc-controller sedang bersepeda dan kesalahan berikut muncul di grup CloudWatch log, penyebabnya mungkin rahasia belum ditandai dengan benar. Perhatikan bahwa rahasia perlu ditandai dengan yang berikut:

{
    "res:EnvironmentName": "<envname>" # e.g. "res-demo"
    "res:ModuleName": "virtual-desktop-controller"
}

Pesan CloudWatch log Amazon untuk kesalahan ini akan muncul mirip dengan yang berikut:

An error occurred (AccessDeniedException) when calling the GetSecretValue
operation: User: arn:aws:sts::160215750999:assumed-role/<envname>-vdc-gateway-role-us-east-1/i-043f76a2677f373d0 
is not authorized to perform: secretsmanager:GetSecretValue on resource:
arn:aws:secretsmanager:us-east-1:160215750999:secret:Certificate-res-bi-Certs-5W9SPUXF08IB-F1sNRv 
because no identity-based policy allows the secretsmanager:GetSecretValue action

Periksa tag pada EC2 instance Amazon dan konfirmasikan bahwa tag tersebut cocok dengan daftar di atas.

........................

instance vdc-controller sedang bersepeda karena gagal bergabung dengan modul AD/e VDI menunjukkan Pemeriksaan Kesehatan Gagal API

Jika VDI modul e gagal pemeriksaan kesehatannya, itu akan menampilkan yang berikut di bagian Status Lingkungan.

contoh modul lingkungan dan dasbor status

Dalam hal ini, jalur umum untuk debugging adalah dengan melihat log pengelola klaster. CloudWatch (Cari grup log bernama<env-name>/cluster-manager.)

Kemungkinan masalah:

  • Jika log berisi teksInsufficient permissions, pastikan ServiceAccount nama pengguna yang diberikan saat tumpukan res dibuat dieja dengan benar.

    Contoh baris log:

    Insufficient permissions to modify computer account: CN=IDEA-586BD25043,OU=Computers,OU=RES,OU=CORP,DC=corp,DC=res,DC=com: 000020E7: AtrErr: DSID-03153943, #1: 0: 000020E7: DSID-03153943, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4 >> 432 ms - request will be retried in 30 seconds

    • Anda dapat mengakses Nama ServiceAccount Pengguna yang disediakan selama RES penerapan dari SecretsManager konsol. Temukan rahasia yang sesuai di Manajer Rahasia dan pilih Ambil teks Biasa. Jika Nama Pengguna salah, pilih Edit untuk memperbarui nilai rahasia. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan muncul dalam keadaan stabil.

    • Nama pengguna harus "ServiceAccount" jika Anda memanfaatkan sumber daya yang dibuat oleh tumpukan sumber daya eksternal yang disediakan. Jika DisableADJoin parameter disetel ke False selama penyebaran AndaRES, pastikan "ServiceAccount" pengguna memiliki izin untuk membuat objek Komputer di AD.

  • Jika nama pengguna yang digunakan benar, tetapi log berisi teksInvalid credentials, maka kata sandi yang Anda masukkan mungkin salah atau telah kedaluwarsa.

    Contoh baris log:

    {'msgtype': 97, 'msgid': 1, 'result': 49, 'desc': 'Invalid credentials', 'ctrls': [], 'info': '80090308: LdapErr: DSID-0C090569, comment: AcceptSecurityContext error, data 532, v4563'}

    • Anda dapat membaca kata sandi yang Anda masukkan selama pembuatan env dengan mengakses rahasia yang menyimpan kata sandi di konsol Secrets Manager. Pilih rahasia (misalnya,<env_name>directoryserviceServiceAccountPassword) dan pilih Ambil teks biasa.

    • Jika kata sandi dalam rahasia salah, pilih Edit untuk memperbarui nilainya dalam rahasia. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan menggunakan kata sandi yang diperbarui dan muncul dalam keadaan stabil.

    • Jika kata sandi benar, bisa jadi kata sandi telah kedaluwarsa di Direktori Aktif yang terhubung. Anda harus terlebih dahulu mengatur ulang kata sandi di Active Directory dan kemudian memperbarui rahasianya. Anda dapat mengatur ulang kata sandi pengguna di Active Directory dari konsol Directory Service:

      1. Pilih ID Direktori yang sesuai

      2. Pilih Tindakan, Setel ulang kata sandi pengguna lalu isi formulir dengan nama pengguna (misalnya, "ServiceAccount“) dan kata sandi baru.

      3. Jika kata sandi yang baru ditetapkan berbeda dari kata sandi sebelumnya, perbarui kata sandi dalam rahasia Manajer Rahasia yang sesuai (misalnya,<env_name>directoryserviceServiceAccountPassword.

      4. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan muncul dalam keadaan stabil.

........................

Proyek tidak muncul di pull down saat mengedit Software Stack untuk menambahkannya

Masalah ini mungkin terkait dengan masalah berikut yang terkait dengan sinkronisasi akun pengguna dengan AD. Jika masalah ini muncul, periksa grup log CloudWatch Amazon pengelola klaster untuk kesalahan <user-home-init> account not available yet. waiting for user to be synced "" untuk menentukan apakah penyebabnya sama atau terkait.

........................

pengelola klaster Log CloudWatch Amazon menunjukkan “user-home-init< > akun belum tersedia. menunggu pengguna untuk disinkronkan” (di mana akun adalah nama pengguna)

SQSPelanggan sibuk dan terjebak dalam loop tak terbatas karena tidak dapat masuk ke akun pengguna. Kode ini dipicu saat mencoba membuat sistem file beranda untuk pengguna selama sinkronisasi pengguna.

Alasan mengapa tidak dapat masuk ke akun pengguna mungkin RES karena tidak dikonfigurasi dengan benar untuk AD yang digunakan. Contohnya mungkin ServiceAccountCredentialsSecretArn parameter yang digunakan pada pembuatan BI/ RES lingkungan bukanlah nilai yang benar.

........................

Desktop Windows pada upaya login mengatakan “Akun Anda telah dinonaktifkan. Silakan lihat administrator Anda”

layar kesalahan dinonaktifkan akun

Jika pengguna tidak dapat masuk kembali ke layar yang terkunci, ini mungkin menunjukkan bahwa pengguna telah dinonaktifkan di AD yang dikonfigurasi RES setelah berhasil masuk melaluiSSO.

SSOLogin akan gagal jika akun pengguna telah dinonaktifkan di AD.

........................

DHCPMasalah opsi dengan konfigurasi AD eksternal/pelanggan

Jika Anda menemukan kesalahan yang menyatakan "The connection has been closed. Transport error" dengan desktop virtual Windows saat menggunakan RES dengan Direktori Aktif Anda sendiri, periksa CloudWatch log dcv-connection-gateway Amazon untuk sesuatu yang mirip dengan yang berikut ini:

Oct 28 00:12:30.626  INFO HTTP:Splicer Connection{id=263}:
Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Connection initiated error: unreachable, server io error Custom { kind: Uncategorized, error: "failed to lookup address information: Name or service not known" } 

Oct 28 00:12:30.626  WARN HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Error in websocket connection: Server unreachable: Server error: IO error: failed to lookup address information: Name or service not known
 
Oct 28 00:12:30.627 DEBUG HTTP:Splicer Connection{id=263}: ConnectionGuard dropped

Jika Anda menggunakan pengontrol domain AD untuk DHCP Opsi Anda sendiriVPC, Anda perlu:

  1. Tambahkan AmazonProvided DNS ke dua pengontrol domainIPs.

  2. Atur nama domain ke ec2.internal.

Sebuah contoh ditampilkan di sini. Tanpa konfigurasi ini, desktop Windows akan memberi Anda kesalahan Transport, karenaRES/DCVmencari nama host ip-10-0-x-xx.ec2.internal.

contoh nama domain dan server nama domain

........................

Kesalahan Firefox MOZILLA _ PKIX _ ERROR _ REQUIRED _ TLS _ FEATURE _ MISSING

Ketika Anda menggunakan browser web Firefox, Anda mungkin menemukan jenis pesan kesalahan MOZILLA _ PKIX _ ERROR _ REQUIRED TLS _ FEATURE _ MISSING ketika Anda mencoba untuk terhubung ke desktop virtual.

Penyebabnya adalah server RES web diatur TLS dengan+ Stapling On tetapi tidak merespons dengan Validasi Stapling (lihat https://support.mozilla. org/en-US/questions/1372483.

Anda dapat memperbaikinya dengan mengikuti petunjuk di: https://really-simple-ssl.com/mozilla_pkix_error_required_tls_feature_missing.

........................

Penghapusan Env

........................

res-xxx-cluster tumpuk dalam status FAILED "DELETE_" dan tidak dapat dihapus secara manual karena kesalahan “Peran tidak valid atau tidak dapat diasumsikan”

Jika Anda melihat bahwa tumpukan res-xxx-cluster "" berada dalam status FAILED "DELETE_" dan tidak dapat dihapus secara manual, Anda dapat melakukan langkah-langkah berikut untuk menghapusnya.

Jika Anda melihat tumpukan dalam status "DELETE_FAILED", pertama-tama cobalah untuk menghapusnya secara manual. Ini mungkin memunculkan dialog yang mengonfirmasi Hapus Tumpukan. Pilih Hapus.

hapus layar popup konfirmasi tumpukan

Terkadang, bahkan jika Anda menghapus semua sumber daya tumpukan yang diperlukan, Anda mungkin masih melihat pesan untuk memilih sumber daya yang akan disimpan. Dalam hal ini, pilih semua sumber daya sebagai “sumber daya untuk dipertahankan” dan pilih Hapus.

Anda mungkin melihat kesalahan yang terlihat seperti Role: arn:aws:iam::... is Invalid or cannot be assumed

CloudFormation jendela tumpukan yang menunjukkan kesalahan peran yang tidak valid

Ini berarti bahwa peran yang diperlukan untuk menghapus tumpukan dihapus terlebih dahulu sebelum tumpukan. Untuk menyiasatinya, salin nama perannya. Buka IAM konsol dan buat peran dengan nama itu menggunakan parameter seperti yang ditunjukkan di sini, yaitu:

  • Untuk jenis entitas Tepercaya pilih AWS layanan.

  • Untuk kasus Penggunaan, di bawah Use cases for other AWS services pilihCloudFormation.

IAMJendela peran membuat peran langkah 1 memungkinkan Anda memilih entitas tepercaya

Pilih Berikutnya. Pastikan Anda memberikan izin peran 'AWSCloudFormationFullAccess' dan AdministratorAccess ''. Halaman ulasan Anda akan terlihat seperti ini:

IAMlayar ini memungkinkan Anda memberi nama, meninjau, dan membuat peran

Kemudian kembali ke CloudFormation konsol dan hapus tumpukan. Anda sekarang harus dapat menghapusnya sejak Anda membuat peran. Terakhir, buka IAM konsol dan hapus peran yang Anda buat.

........................

Mengumpulkan Log

Masuk ke EC2 instance dari EC2 konsol

  • Ikuti petunjuk ini untuk masuk ke EC2 instans Linux Anda.

  • Ikuti petunjuk ini untuk masuk ke EC2 instans Windows Anda. Kemudian buka Windows PowerShell untuk menjalankan perintah apa pun.

Mengumpulkan log host Infrastruktur

  1. Cluster-manager: Dapatkan log untuk pengelola klaster dari tempat-tempat berikut dan lampirkan ke tiket.

    1. Semua log dari grup CloudWatch log<env-name>/cluster-manager.

    2. Semua log di bawah /root/bootstrap/logs direktori pada <env-name>-cluster-manager EC2 instance. Ikuti petunjuk yang ditautkan dari “Masuk ke EC2 instance dari EC2 konsol” di awal bagian ini untuk masuk ke instans Anda.

  2. VDC-controller: Dapatkan log untuk vdc-controller dari tempat-tempat berikut dan lampirkan ke tiket.

    1. Semua log dari grup CloudWatch log<env-name>/vdc-controller.

    2. Semua log di bawah /root/bootstrap/logs direktori pada <env-name>-vdc-controller EC2 instance. Ikuti petunjuk yang ditautkan dari “Masuk ke EC2 instance dari EC2 konsol” di awal bagian ini untuk masuk ke instans Anda.

Salah satu cara untuk mendapatkan log dengan mudah adalah dengan mengikuti instruksi di Mengunduh log dari EC2 instance Linux bagian. Nama modul akan menjadi nama instance.

Mengumpulkan VDI log

Identifikasi EC2 instans Amazon yang sesuai

Jika pengguna meluncurkan nama sesi VDI denganVDI1, nama instance yang sesuai di EC2 konsol Amazon adalah<env-name>-VDI1-<user name>.

Kumpulkan VDI log Linux

Masuk ke EC2 instans Amazon yang sesuai dari EC2 konsol Amazon dengan mengikuti instruksi yang ditautkan ke “Masuk ke EC2 instance dari EC2 konsol” di awal bagian ini. Dapatkan semua log di bawah /var/log/dcv/ direktori /root/bootstrap/logs dan di EC2 instance VDI Amazon.

Salah satu cara untuk mendapatkan log adalah dengan mengunggahnya ke s3 dan kemudian mengunduhnya dari sana. Untuk itu, Anda dapat mengikuti langkah-langkah ini untuk mendapatkan semua log dari satu direktori dan kemudian mengunggahnya:

  1. Ikuti langkah-langkah ini untuk menyalin log dcv di bawah /root/bootstrap/logs direktori:

    sudo su - 
cd /root/bootstrap
mkdir -p logs/dcv_logs
cp -r /var/log/dcv/* logs/dcv_logs/

  2. Sekarang, ikuti langkah-langkah yang tercantum di bagian berikutnya- Mengunduh VDI Log untuk mengunduh log.

Kumpulkan VDI log Windows

Masuk ke EC2 instans Amazon yang sesuai dari EC2 konsol Amazon dengan mengikuti instruksi yang ditautkan ke “Masuk ke EC2 instance dari EC2 konsol” di awal bagian ini. Dapatkan semua log di bawah $env:SystemDrive\Users\Administrator\RES\Bootstrap\Log\ direktori pada VDI EC2 instance.

Salah satu cara untuk mendapatkan log adalah dengan mengunggahnya ke S3 dan kemudian mengunduhnya dari sana. Untuk melakukan itu, ikuti langkah-langkah yang tercantum di bagian berikutnya-Mengunduh VDI Log.

........................

Mengunduh VDI Log

  1. Perbarui IAM peran VDI EC2 instance untuk memungkinkan akses S3.

  2. Buka EC2 konsol dan pilih VDI instance Anda.

  3. Pilih IAM peran yang digunakannya.

  4. Di bagian Kebijakan Izin dari menu tarik-turun Tambahkan izin, pilih Lampirkan Kebijakan lalu pilih kebijakan AmazonS3. FullAccess

  5. Pilih Tambahkan izin untuk melampirkan kebijakan tersebut.

  6. Setelah itu, ikuti langkah-langkah yang tercantum di bawah ini berdasarkan VDI jenis Anda untuk mengunduh log. Nama modul akan menjadi nama instance.

    1. Mengunduh log dari EC2 instance Linuxuntuk Linux.

    2. Mengunduh log dari EC2 instance Windowsuntuk Windows.

  7. Terakhir, edit peran untuk menghapus AmazonS3FullAccess kebijakan.

catatan

Semua VDIs menggunakan IAM peran yang sama yaitu <env-name>-vdc-host-role-<region>

........................

Mengunduh log dari EC2 instance Linux

Masuk ke EC2 instance tempat Anda ingin mengunduh log dan jalankan perintah berikut untuk mengunggah semua log ke bucket s3:

sudo su -
ENV_NAME=<environment_name>
REGION=<region>
ACCOUNT=<aws_account_number>
MODULE=<module_name>

cd /root/bootstrap
tar -czvf ${MODULE}_logs.tar.gz logs/ --overwrite
aws s3 cp ${MODULE}_logs.tar.gz s3://${ENV_NAME}-cluster-${REGION}-${ACCOUNT}/${MODULE}_logs.tar.gz

Setelah ini, buka konsol S3, pilih bucket dengan nama <environment_name>-cluster-<region>-<aws_account_number> dan unduh file yang diunggah <module_name>_logs.tar.gz sebelumnya.

........................

Mengunduh log dari EC2 instance Windows

Masuk ke EC2 instance tempat Anda ingin mengunduh log dan jalankan perintah berikut untuk mengunggah semua log ke bucket S3:

$ENV_NAME="<environment_name>"
$REGION="<region>"
$ACCOUNT="<aws_account_number>"
$MODULE="<module_name>"

$logDirPath = Join-Path -Path $env:SystemDrive -ChildPath "Users\Administrator\RES\Bootstrap\Log"
$zipFilePath = Join-Path -Path $env:TEMP -ChildPath "logs.zip"
Remove-Item $zipFilePath
Compress-Archive -Path $logDirPath -DestinationPath $zipFilePath
$bucketName = "${ENV_NAME}-cluster-${REGION}-${ACCOUNT}"
$keyName = "${MODULE}_logs.zip"
Write-S3Object -BucketName $bucketName -Key $keyName -File $zipFilePath

Setelah ini, buka konsol S3, pilih bucket dengan nama <environment_name>-cluster-<region>-<aws_account_number> dan unduh file yang diunggah <module_name>_logs.zip sebelumnya.

........................

Mengumpulkan ECS log untuk WaitCondition kesalahan

  1. Buka tumpukan yang digunakan dan pilih tab Sumber Daya.

  2. Perluas DeployResearchAndEngineeringStudioInstallerTasksCreateTaskDefCreateContainerLogGroup, dan pilih grup log untuk membuka CloudWatch log.

  3. Ambil log terbaru dari grup log ini.

........................

Lingkungan demo

........................

Kesalahan login lingkungan demo saat menangani permintaan otentikasi ke penyedia identitas

Masalah

Jika Anda mencoba masuk dan mendapatkan 'Kesalahan tak terduga saat menangani permintaan otentikasi ke penyedia identitas', kata sandi Anda mungkin kedaluwarsa. Ini bisa berupa kata sandi untuk pengguna yang Anda coba masuk sebagai atau Active Directory Service Account Anda.

Mitigasi

  1. Setel ulang kata sandi akun pengguna dan layanan di konsol layanan direktori.

  2. Perbarui kata sandi Akun Layanan di Secrets Manager agar sesuai dengan kata sandi baru yang Anda masukkan di atas:

    • untuk tumpukan Keycloak: PasswordSecret-... - RESExternal-... - DirectoryService-... dengan Deskripsi: Kata Sandi untuk Microsoft Active Directory

    • untukRES: res- ServiceAccountPassword -... dengan Deskripsi: Active Directory Service Account Password

  3. Buka EC2konsol dan hentikan instance cluster-manager. Aturan Auto Scaling akan secara otomatis memicu penerapan instance baru.

........................