ktaka's blog
ktaka's blog — Linux, セキュリティ, プログラミングの技術メモ
Zola
2026-03-07T00:00:00+00:00
https://ktaka.blog.ccmp.jp/atom.xml
fcitx5 で日本語・中国語・英語の3言語入力環境を構築する
2026-03-07T00:00:00+00:00
2026-03-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2026/Fcitx5MultilingualInput/
<p><em>筆者が普段使っている日本語・中国語・英語の3言語入力環境を、fcitx5 でどう設定しているかをまとめました。</em></p>
<hr />
<h2 id="hazimeni">はじめに</h2>
<p>複数の言語を日常的に使う場合、入力メソッドの切り替えがスムーズにできるかどうかは作業効率に直結します。</p>
<p>Linux の入力メソッドフレームワークは主に2つあります。</p>
<table><thead><tr><th>フレームワーク</th><th>特徴</th></tr></thead><tbody>
<tr><td><strong>fcitx5</strong></td><td>多言語対応に強く、複数の入力メソッドをグループ化して切り替えられる。多言語環境ではこちらが主流</td></tr>
<tr><td><strong>ibus</strong></td><td>GNOME のデフォルト。単一言語であれば十分だが、多言語の切り替えは fcitx5 の方がスムーズ</td></tr>
</tbody></table>
<p>この記事では、fcitx5 を使って以下の3言語を1つのキーで切り替えられる環境を構築します。</p>
<!-- TODO: タスクトレイのアイコンが keyboard-jp → mozc → pinyin と切り替わるスクリーンショット3枚 or GIF -->
<table><thead><tr><th>言語</th><th>入力メソッド</th><th>説明</th></tr></thead><tbody>
<tr><td>英語</td><td><code>keyboard-jp</code></td><td>JIS 配列キーボードでそのまま英数入力</td></tr>
<tr><td>日本語</td><td><code>mozc</code></td><td>Google 日本語入力の OSS 版。Linux 日本語入力のデファクトスタンダード</td></tr>
<tr><td>中国語</td><td><code>pinyin</code></td><td>fcitx5 内蔵のピンイン入力エンジン。簡体字・繁体字の両方に対応</td></tr>
</tbody></table>
<p>動作環境は Debian 13 (trixie) + Xfce4 ですが、他のディストリビューションやデスクトップ環境でも手順はほぼ同じです。</p>
<hr />
<h2 id="patukezinoinsutoru">パッケージのインストール</h2>
<p>必要なパッケージをインストールします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #B392F0;">sudo</span><span style="color: #9ECBFF;"> apt install fcitx5 fcitx5-mozc fcitx5-chinese-addons</span></span></code></pre><table><thead><tr><th>パッケージ</th><th>用途</th></tr></thead><tbody>
<tr><td><code>fcitx5</code></td><td>入力メソッドフレームワーク本体</td></tr>
<tr><td><code>fcitx5-mozc</code></td><td>日本語入力エンジン(Mozc)</td></tr>
<tr><td><code>fcitx5-chinese-addons</code></td><td>中国語入力のメタパッケージ(pinyin、簡繁変換等を含む)</td></tr>
</tbody></table>
<p><code>fcitx5-chinese-addons</code> をインストールすると、依存関係で <code>fcitx5-pinyin</code>(ピンイン入力エンジン)や簡繁変換アドオンなども一緒にインストールされます。</p>
<hr />
<h2 id="huan-jing-bian-shu-noshe-ding">環境変数の設定</h2>
<p>fcitx5 をすべてのアプリケーションで使えるようにするため、以下の環境変数が必要です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #F97583;">export</span><span> XMODIFIERS</span><span style="color: #F97583;">=</span><span>@im</span><span style="color: #F97583;">=</span><span>fcitx</span></span>
<span class="giallo-l"><span style="color: #F97583;">export</span><span> GTK_IM_MODULE</span><span style="color: #F97583;">=</span><span>fcitx</span></span>
<span class="giallo-l"><span style="color: #F97583;">export</span><span> QT_IM_MODULE</span><span style="color: #F97583;">=</span><span>fcitx</span></span></code></pre>
<p>Debian では <code>im-config</code> コマンドで設定するのが標準的な方法です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #B392F0;">im-config</span><span style="color: #79B8FF;"> -n</span><span style="color: #9ECBFF;"> fcitx5</span></span></code></pre>
<p>これにより <code>~/.xinputrc</code> に <code>run_im fcitx5</code> が書き込まれ、X セッション開始時に <code>/etc/X11/Xsession.d/70im-config_launch</code> 経由で環境変数が自動的に設定されます。手動で <code>~/.xprofile</code> 等に書く必要はありません。</p>
<p>設定後、ログインし直すと反映されます。</p>
<hr />
<h2 id="purohuairunoshe-ding">プロファイルの設定</h2>
<p>fcitx5 のプロファイル(<code>~/.config/fcitx5/profile</code>)で、使用する入力メソッドを定義します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="ini"><span class="giallo-l"><span style="color: #B392F0;">[Groups/0]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Group Name</span></span>
<span class="giallo-l"><span style="color: #F97583;">Name</span><span>=Default</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Layout</span></span>
<span class="giallo-l"><span>Default </span><span style="color: #F97583;">Layout</span><span>=jp</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Default Input Method</span></span>
<span class="giallo-l"><span style="color: #F97583;">DefaultIM</span><span>=mozc</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Groups/0/Items/0]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Name</span></span>
<span class="giallo-l"><span style="color: #F97583;">Name</span><span>=keyboard-jp</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Layout</span></span>
<span class="giallo-l"><span style="color: #F97583;">Layout</span><span>=</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Groups/0/Items/1]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Name</span></span>
<span class="giallo-l"><span style="color: #F97583;">Name</span><span>=mozc</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Layout</span></span>
<span class="giallo-l"><span style="color: #F97583;">Layout</span><span>=</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Groups/0/Items/2]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Name</span></span>
<span class="giallo-l"><span style="color: #F97583;">Name</span><span>=pinyin</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Layout</span></span>
<span class="giallo-l"><span style="color: #F97583;">Layout</span><span>=</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[GroupOrder]</span></span>
<span class="giallo-l"><span style="color: #F97583;">0</span><span>=Default</span></span></code></pre>
<ul>
<li><code>Default Layout=jp</code> — ベースのキーボードレイアウトを JIS 配列に設定</li>
<li><code>DefaultIM=mozc</code> — デフォルトの入力メソッドを Mozc に設定</li>
<li><code>Items/0</code>〜<code>Items/2</code> — トリガーキーで順に切り替わる入力メソッドの一覧</li>
</ul>
<p>GUI で設定する場合は <code>fcitx5-configtool</code> を使って、Input Method の一覧に keyboard-jp、mozc、pinyin を追加します。</p>
<!-- TODO: fcitx5-configtool の Input Method 一覧画面のスクリーンショット -->
<hr />
<h2 id="hotutokinoshe-ding">ホットキーの設定</h2>
<p>入力メソッドの切り替えキーは <code>~/.config/fcitx5/config</code> で設定します。主要な設定項目を抜粋します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="ini"><span class="giallo-l"><span style="color: #B392F0;">[Hotkey]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Skip first input method while enumerating</span></span>
<span class="giallo-l"><span style="color: #F97583;">EnumerateSkipFirst</span><span>=False</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Hotkey/TriggerKeys]</span></span>
<span class="giallo-l"><span style="color: #F97583;">0</span><span>=Shift+space</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Hotkey/EnumerateGroupForwardKeys]</span></span>
<span class="giallo-l"><span style="color: #F97583;">0</span><span>=Control+Shift+Shift_R</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #B392F0;">[Behavior]</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Share Input State</span></span>
<span class="giallo-l"><span style="color: #F97583;">ShareInputState</span><span>=No</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Show preedit in application</span></span>
<span class="giallo-l"><span style="color: #F97583;">PreeditEnabledByDefault</span><span>=True</span></span></code></pre>
<ul>
<li><strong>TriggerKeys</strong> (<code>Shift+Space</code>) — 入力メソッドを順に切り替えるキー。押すたびに keyboard-jp → mozc → pinyin → keyboard-jp ... と循環します</li>
<li><strong>EnumerateSkipFirst</strong> (<code>False</code>) — <code>False</code> にすると keyboard-jp(英語直接入力)も切り替え対象に含まれます。<code>True</code> にすると最初の入力メソッドをスキップします</li>
<li><strong>EnumerateGroupForwardKeys</strong> (<code>Control+Shift+Shift_R</code>) — 入力メソッドグループ全体を切り替えるキー。グループを1つしか使わない場合は不要ですが、将来グループを追加した場合(例: 別のキーボードレイアウト用グループ)に使えます</li>
<li><strong>ShareInputState</strong> (<code>No</code>) — ウィンドウごとに入力メソッドの状態を独立させます</li>
</ul>
<p>設定を変更したら fcitx5 を再起動します。<code>-r</code> は既存プロセスの置き換え(replace)、<code>-d</code> はデーモンとしてバックグラウンド実行です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #B392F0;">fcitx5</span><span style="color: #79B8FF;"> -r -d</span></span></code></pre>
<hr />
<h2 id="pinindefan-ti-zi-woru-li-suru">ピンインで繁体字を入力する</h2>
<p>fcitx5-chinese-addons に含まれる「簡繁変換」アドオン(<code>chttrans</code>)を使うと、ピンイン入力のまま簡体字と繁体字を切り替えられます。別の入力メソッドを追加する必要はありません。</p>
<h3 id="qie-riti-efang-fa">切り替え方法</h3>
<p>ピンイン入力中に <strong><code>Ctrl+Shift+F</code></strong> を押すと、出力が簡体字から繁体字に切り替わります。もう一度押すと簡体字に戻ります。</p>
<h3 id="she-ding-noque-ren">設定の確認</h3>
<p>このアドオンは <code>fcitx5-chinese-addons</code> に含まれているため、パッケージをインストールしていれば追加設定なしで使えます。<code>fcitx5-configtool</code> の Addons タブで「Simplified and Traditional Chinese Translation」が有効になっていることを確認してください。</p>
<hr />
<h2 id="toraburusiyuteingu">トラブルシューティング</h2>
<h3 id="purohuairugarisetutosareru">プロファイルがリセットされる</h3>
<p>まれに、リブート後に <code>~/.config/fcitx5/profile</code> がデフォルト(<code>keyboard-jp</code> のみ)にリセットされることがあります。原因はクラッシュや異常終了時のプロファイル書き戻し失敗が考えられます。</p>
<p>対策として、正常動作時のプロファイルと設定のバックアップを取っておくことをお勧めします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #B392F0;">cp</span><span style="color: #9ECBFF;"> ~/.config/fcitx5/profile ~/.config/fcitx5/profile.bak</span></span>
<span class="giallo-l"><span style="color: #B392F0;">cp</span><span style="color: #9ECBFF;"> ~/.config/fcitx5/config ~/.config/fcitx5/config.bak</span></span></code></pre><h3 id="fcitx5-gaqi-dong-sinai-ru-li-dekinai">fcitx5 が起動しない・入力できない</h3>
<p>環境変数が正しく設定されているか確認します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #79B8FF;">echo</span><span> $XMODIFIERS</span><span style="color: #6A737D;"> # @im=fcitx であること</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">echo</span><span> $GTK_IM_MODULE</span><span style="color: #6A737D;"> # fcitx であること</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">echo</span><span> $QT_IM_MODULE</span><span style="color: #6A737D;"> # fcitx であること</span></span></code></pre>
<p><code>fcitx5-diagnose</code> コマンドを実行すると、設定の問題を包括的に診断できます。</p>
<hr />
<h2 id="matome">まとめ</h2>
<p>fcitx5 で日本語・中国語・英語の3言語入力環境を構築しました。</p>
<ul>
<li><strong>fcitx5</strong> — 多言語切り替えに適した入力メソッドフレームワーク</li>
<li><strong>mozc</strong> — 日本語入力のデファクトスタンダード</li>
<li><strong>pinyin</strong> — 中国語ピンイン入力。<code>Ctrl+Shift+F</code> で簡繁変換も可能</li>
<li><strong>Shift+Space</strong> 一つで3言語を循環切り替え</li>
</ul>
<p>設定ファイルは <code>~/.config/fcitx5/profile</code>(入力メソッドの構成)と <code>~/.config/fcitx5/config</code>(ホットキーや動作設定)の2つだけなので、バックアップも容易です。</p>
パスワードなしの認証を試す: oauth2-passkey ライブデモ
2026-03-02T00:00:00+00:00
2026-03-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2026/Oauth2PasskeyDemo/
<p style="text-align: right"><a href="/en/2026/Oauth2PasskeyDemo">English version</a></p>
<p><em><a rel="external" href="https://github.com/ktaka-ccmp/oauth2-passkey">oauth2-passkey</a> は、OAuth2 と Passkey を組み合わせたパスワードレス認証を、少ないコードで Rust の Web アプリに組み込めるライブラリです。</em></p>
<p>デモサイト <a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a> を用意しました。
実際の操作を2本の動画で紹介し、その後にコードの使い方を説明します。</p>
<hr />
<h2 id="demo-1-google-dedeng-lu-site-passkey-wozhui-jia">デモ 1: Google で登録して Passkey を追加</h2>
<p><video width="408" src="/2026/Oauth2PasskeyDemo/video/o2p-2026-03-01_17.11.16-blurred.mp4" controls></video></p>
<p>まず新規ユーザーとしてログインする流れです。</p>
<ol>
<li>ログインページには「Register / Sign in with Google」と「Sign in with Passkey」の2つのボタンがあります。</li>
<li>「Register / Sign in with Google」を押すと、おなじみの Google アカウント選択画面が開きます。</li>
<li>Google 認証が終わると、すぐに <strong>「Passkey を作成しますか?」</strong> というダイアログが出ます。これがこのライブラリの特徴の一つである <strong>「Passkey プロモーション」</strong> です。OAuth2 でログインしたユーザーに Passkey の登録を自然に促します。</li>
<li>Passkey を作成するとダッシュボードに遷移し、My Account や Admin Panel にアクセスできます。</li>
<li>My Account ページでは、ユーザー情報・Passkey 資格情報・連携 OAuth2 アカウント・ログイン履歴を一覧で確認できます。</li>
</ol>
<p>いつもの Google ログインで始めて、そのまま Passkey も登録できるのがこの仕組みのよいところです。</p>
<h2 id="demo-2-passkey-desainin">デモ 2: Passkey でサインイン</h2>
<p><video width="408" src="/2026/Oauth2PasskeyDemo/video/o2p-2026-03-01_17.12.01-blurred.mp4" controls></video></p>
<p>続いて、同じユーザーが Passkey だけでログインする流れです。</p>
<ol>
<li>ログインページで「Sign in with Passkey」を押すと、ブラウザの Passkey ダイアログが表示されます。</li>
<li>指紋や顔認証で本人確認をすれば、それだけでログインが完了します。Google へのリダイレクトもパスワード入力も要りません。</li>
<li>ログイン履歴には Passkey と OAuth2 の両方のエントリーが残るので、いつ・どの方法でログインしたか確認できます。</li>
</ol>
<p>Passkey を一度登録してしまえば、普段のログインはこれだけです。高速で、フィッシングにも強い認証が手に入ります。</p>
<h2 id="shi-sitemiru">試してみる</h2>
<p>デモサイトはこちらです: <strong><a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a></strong></p>
<ul>
<li>Google でサインイン → Passkey を登録 → Passkey でサインイン、という一連の流れを試せます</li>
<li>デモでは全ユーザーに管理者権限が付与されるので、管理パネルも自由に操作できます</li>
<li>ログイン履歴ではデバイスや認証方法の詳細も確認できます</li>
</ul>
<p>データはメモリ上に保存されていて、サーバー再起動時にリセットされます。気軽にどうぞ。</p>
<h2 id="oauth2-passkey-toha">oauth2-passkey とは</h2>
<p><a rel="external" href="https://crates.io/crates/oauth2-passkey">oauth2-passkey</a> は、Web アプリにパスワードレス認証を追加するための Rust ライブラリです。2種類の認証方式を一つのライブラリで扱えます。</p>
<ul>
<li><strong>OAuth2 (Google)</strong> -- ユーザーにとって馴染みのある、ワンクリックの登録・ログイン</li>
<li><strong>Passkeys (WebAuthn/FIDO2)</strong> -- 指紋・顔・セキュリティキーによる、フィッシング耐性のあるログイン</li>
</ul>
<p>想定する運用フローは、まず Google で登録してもらい、その流れで Passkey も追加してもらう形です。デバイスを紛失した場合でも Google 経由でログインできるので、Passkey 一本に依存するリスクを回避できます。</p>
<h2 id="kuitukusutato">クイックスタート</h2>
<p>Axum アプリへの組み込みは以下のようになります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="rust"><span class="giallo-l"><span style="color: #F97583;">use</span><span style="color: #B392F0;"> axum</span><span style="color: #F97583;">::</span><span>{</span><span style="color: #B392F0;">Router</span><span>,</span><span style="color: #B392F0;"> routing</span><span style="color: #F97583;">::</span><span>get,</span><span style="color: #B392F0;"> response</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">IntoResponse</span><span>};</span></span>
<span class="giallo-l"><span style="color: #F97583;">use</span><span style="color: #B392F0;"> oauth2_passkey_axum</span><span style="color: #F97583;">::</span><span>{</span><span style="color: #B392F0;">AuthUser</span><span>, oauth2_passkey_full_router};</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>#[tokio</span><span style="color: #F97583;">::</span><span>main]</span></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> main</span><span>()</span><span style="color: #F97583;"> -></span><span style="color: #B392F0;"> Result</span><span><(),</span><span style="color: #B392F0;"> Box</span><span><</span><span style="color: #F97583;">dyn</span><span> std</span><span style="color: #F97583;">::</span><span>error</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">Error</span><span>>> {</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> oauth2_passkey_axum</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">init</span><span>()</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;"> let</span><span> app</span><span style="color: #F97583;"> =</span><span style="color: #B392F0;"> Router</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">new</span><span>()</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">route</span><span>(</span><span style="color: #9ECBFF;">"/"</span><span>,</span><span style="color: #B392F0;"> get</span><span>(home))</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">route</span><span>(</span><span style="color: #9ECBFF;">"/protected"</span><span>,</span><span style="color: #B392F0;"> get</span><span>(protected))</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">merge</span><span>(</span><span style="color: #B392F0;">oauth2_passkey_full_router</span><span>());</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;"> let</span><span> listener</span><span style="color: #F97583;"> =</span><span style="color: #B392F0;"> tokio</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">net</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">TcpListener</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">bind</span><span>(</span><span style="color: #9ECBFF;">"0.0.0.0:3001"</span><span>)</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> axum</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">serve</span><span>(listener, app)</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> Ok</span><span>(())</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> home</span><span>()</span><span style="color: #F97583;"> -> &</span><span>'</span><span style="color: #B392F0;">static str</span><span> {</span></span>
<span class="giallo-l"><span style="color: #9ECBFF;"> "Welcome! Visit /o2p/user/login to sign in"</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> protected</span><span>(user</span><span style="color: #F97583;">:</span><span style="color: #B392F0;"> AuthUser</span><span>)</span><span style="color: #F97583;"> -> impl</span><span style="color: #B392F0;"> IntoResponse</span><span> {</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> format!</span><span>(</span><span style="color: #9ECBFF;">"Hello, {}!"</span><span>, user</span><span style="color: #F97583;">.</span><span>account)</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p><code>oauth2_passkey_full_router()</code> を呼ぶと、<code>/o2p/*</code> 以下に、ログインページ・OAuth2 フロー・Passkey の登録/認証・ユーザーアカウント管理・管理パネルなど、一式のルートが追加されます。</p>
<p>あとは環境変数で Google OAuth2 のクレデンシャルとセッションシークレットを設定すれば動きます。詳しくは <a rel="external" href="https://ktaka-ccmp.github.io/oauth2-passkey/">Getting Started ガイド</a>をご覧ください。</p>
<h2 id="ji-neng-yi-lan">機能一覧</h2>
<table><thead><tr><th>機能</th><th>説明</th></tr></thead><tbody>
<tr><td><strong>デュアル認証</strong></td><td>OAuth2 (Google) と Passkeys を一つのライブラリで提供</td></tr>
<tr><td><strong>組み込み UI</strong></td><td>ログインページ、ユーザーアカウント画面、管理パネル付き</td></tr>
<tr><td><strong>Passkey プロモーション</strong></td><td>OAuth2 ユーザーに Passkey 登録を自然に提案</td></tr>
<tr><td><strong>ログイン履歴</strong></td><td>IP・User-Agent・認証器の詳細を自動記録</td></tr>
<tr><td><strong>セッション管理</strong></td><td>セキュアな Cookie、セッション競合ポリシー、強制ログアウト</td></tr>
<tr><td><strong>管理パネル</strong></td><td>ユーザー管理、監査ログ、管理者の誤操作防止</td></tr>
<tr><td><strong>テーマ</strong></td><td>9種の CSS テーマを同梱、カスタムテーマにも対応</td></tr>
<tr><td><strong>ストレージ</strong></td><td>SQLite(開発用)/PostgreSQL(本番用)、キャッシュは Redis またはインメモリに対応</td></tr>
</tbody></table>
<h2 id="rinku">リンク</h2>
<ul>
<li><strong>ライブデモ</strong>: <a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a></li>
<li><strong>GitHub</strong>: <a rel="external" href="https://github.com/ktaka-ccmp/oauth2-passkey">ktaka-ccmp/oauth2-passkey</a></li>
<li><strong>crates.io</strong>: <a rel="external" href="https://crates.io/crates/oauth2-passkey">oauth2-passkey</a> / <a rel="external" href="https://crates.io/crates/oauth2-passkey-axum">oauth2-passkey-axum</a></li>
<li><strong>ドキュメント</strong>: <a rel="external" href="https://ktaka-ccmp.github.io/oauth2-passkey/">ktaka-ccmp.github.io/oauth2-passkey</a></li>
</ul>
<h2 id="bei-jing">背景</h2>
<p>このライブラリは、2025年初頭に <a href="/2025/01/implementing-passkeys-authentication-in-rust-axum.html">Passkey 認証をスクラッチで実装した記事</a>がきっかけで生まれました。そのとき WebAuthn プロトコルを一から学んだ経験をもとに、OAuth2 連携・セッション管理・UI を備えた汎用ライブラリとして仕立て直しました。</p>
Try Passwordless Auth: oauth2-passkey Live Demo
2026-03-02T00:00:00+00:00
2026-03-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/en/2026/Oauth2PasskeyDemo/
<p style="text-align: right"><a href="/2026/Oauth2PasskeyDemo">日本語版</a></p>
<p><em>A live demo of <a rel="external" href="https://github.com/ktaka-ccmp/oauth2-passkey">oauth2-passkey</a>, a Rust library that adds OAuth2 and Passkey authentication to your web app with minimal code.</em></p>
<p>Two short videos below walk through the demo at <a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a> — first registering via Google and adding a Passkey, then signing in using only the Passkey.</p>
<hr />
<h2 id="demo-1-register-with-google-and-add-a-passkey">Demo 1: Register with Google and Add a Passkey</h2>
<p><video width="408" src="/2026/Oauth2PasskeyDemo/video/o2p-2026-03-01_17.11.16-blurred.mp4" controls></video></p>
<p>Here's what happens in the video:</p>
<ol>
<li>The <strong>login page</strong> offers two options: "Register / Sign in with Google" and "Sign in with Passkey".</li>
<li>Clicking <strong>"Register / Sign in with Google"</strong> opens the standard Google account chooser and consent screen.</li>
<li>Immediately after Google authentication, the app prompts: <strong>"Create a passkey to sign in?"</strong> — this is the <em>Passkey promotion</em> feature, encouraging OAuth2 users to register a Passkey for faster future logins.</li>
<li>After creating the Passkey, the user lands on the <strong>Dashboard</strong> with links to My Account and Admin Panel.</li>
<li>The <strong>My Account</strong> page shows User Information, Passkey Credentials, linked OAuth2 Accounts, and Recent Login History.</li>
</ol>
<p>The key idea: users start with the familiarity of Google sign-in, then immediately gain the speed and security of Passkeys.</p>
<h2 id="demo-2-sign-in-with-passkey">Demo 2: Sign in with Passkey</h2>
<p><video width="408" src="/2026/Oauth2PasskeyDemo/video/o2p-2026-03-01_17.12.01-blurred.mp4" controls></video></p>
<p>Now the same user signs in again, this time with their Passkey:</p>
<ol>
<li>On the <strong>login page</strong>, clicking <strong>"Sign in with Passkey"</strong> triggers the browser's built-in Passkey dialog.</li>
<li>After biometric verification (fingerprint, face, etc.), the user is <strong>logged in instantly</strong> —no redirect to Google, no password.</li>
<li>The <strong>Login History</strong> now shows both the Passkey login and the earlier OAuth2 login, so users can review their full authentication history.</li>
</ol>
<p>This is the daily login experience: fast, phishing-resistant, and free of external dependencies once the Passkey is registered.</p>
<h2 id="try-it-yourself">Try It Yourself</h2>
<p>Try it now: <strong><a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a></strong></p>
<ul>
<li>Sign in with Google, register a Passkey, then sign in with just the Passkey</li>
<li>Explore the admin panel (all demo users get admin access)</li>
<li>View login history with device and authenticator details</li>
</ul>
<p>Data is stored in memory and resets on server restart, so feel free to experiment.</p>
<h2 id="what-is-oauth2-passkey">What is oauth2-passkey?</h2>
<p><a rel="external" href="https://crates.io/crates/oauth2-passkey">oauth2-passkey</a> is a Rust library for adding passwordless authentication to web applications. It combines:</p>
<ul>
<li><strong>OAuth2 (Google)</strong> —One-click registration and login, familiar to users</li>
<li><strong>Passkeys (WebAuthn/FIDO2)</strong> —Phishing-resistant, biometric login (fingerprint, face, security key)</li>
</ul>
<p>Users sign up with Google, then optionally add a Passkey for faster daily logins. OAuth2 remains available as a fallback if a device is lost.</p>
<h2 id="quick-start">Quick Start</h2>
<p>Add oauth2-passkey to your Axum application:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="rust"><span class="giallo-l"><span style="color: #F97583;">use</span><span style="color: #B392F0;"> axum</span><span style="color: #F97583;">::</span><span>{</span><span style="color: #B392F0;">Router</span><span>,</span><span style="color: #B392F0;"> routing</span><span style="color: #F97583;">::</span><span>get,</span><span style="color: #B392F0;"> response</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">IntoResponse</span><span>};</span></span>
<span class="giallo-l"><span style="color: #F97583;">use</span><span style="color: #B392F0;"> oauth2_passkey_axum</span><span style="color: #F97583;">::</span><span>{</span><span style="color: #B392F0;">AuthUser</span><span>, oauth2_passkey_full_router};</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>#[tokio</span><span style="color: #F97583;">::</span><span>main]</span></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> main</span><span>()</span><span style="color: #F97583;"> -></span><span style="color: #B392F0;"> Result</span><span><(),</span><span style="color: #B392F0;"> Box</span><span><</span><span style="color: #F97583;">dyn</span><span> std</span><span style="color: #F97583;">::</span><span>error</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">Error</span><span>>> {</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> oauth2_passkey_axum</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">init</span><span>()</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;"> let</span><span> app</span><span style="color: #F97583;"> =</span><span style="color: #B392F0;"> Router</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">new</span><span>()</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">route</span><span>(</span><span style="color: #9ECBFF;">"/"</span><span>,</span><span style="color: #B392F0;"> get</span><span>(home))</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">route</span><span>(</span><span style="color: #9ECBFF;">"/protected"</span><span>,</span><span style="color: #B392F0;"> get</span><span>(protected))</span></span>
<span class="giallo-l"><span style="color: #F97583;"> .</span><span style="color: #B392F0;">merge</span><span>(</span><span style="color: #B392F0;">oauth2_passkey_full_router</span><span>());</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;"> let</span><span> listener</span><span style="color: #F97583;"> =</span><span style="color: #B392F0;"> tokio</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">net</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">TcpListener</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">bind</span><span>(</span><span style="color: #9ECBFF;">"0.0.0.0:3001"</span><span>)</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> axum</span><span style="color: #F97583;">::</span><span style="color: #B392F0;">serve</span><span>(listener, app)</span><span style="color: #F97583;">.await?</span><span>;</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> Ok</span><span>(())</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> home</span><span>()</span><span style="color: #F97583;"> -> &</span><span>'</span><span style="color: #B392F0;">static str</span><span> {</span></span>
<span class="giallo-l"><span style="color: #9ECBFF;"> "Welcome! Visit /o2p/user/login to sign in"</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #F97583;">async fn</span><span style="color: #B392F0;"> protected</span><span>(user</span><span style="color: #F97583;">:</span><span style="color: #B392F0;"> AuthUser</span><span>)</span><span style="color: #F97583;"> -> impl</span><span style="color: #B392F0;"> IntoResponse</span><span> {</span></span>
<span class="giallo-l"><span style="color: #B392F0;"> format!</span><span>(</span><span style="color: #9ECBFF;">"Hello, {}!"</span><span>, user</span><span style="color: #F97583;">.</span><span>account)</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>The <code>oauth2_passkey_full_router()</code> call adds all authentication routes under <code>/o2p/*</code>, including the login page, OAuth2 flow, Passkey registration and authentication, user account management, and the admin panel.</p>
<p>Set a few environment variables (Google OAuth2 credentials, session secret) and you're ready to go. See the <a rel="external" href="https://ktaka-ccmp.github.io/oauth2-passkey/">Getting Started guide</a> for details.</p>
<h2 id="features">Features</h2>
<table><thead><tr><th>Feature</th><th>Description</th></tr></thead><tbody>
<tr><td><strong>Dual auth</strong></td><td>OAuth2 (Google) + Passkeys in one library</td></tr>
<tr><td><strong>Built-in UI</strong></td><td>Login page, user account, admin panel</td></tr>
<tr><td><strong>Passkey promotion</strong></td><td>Prompts OAuth2 users to register a Passkey</td></tr>
<tr><td><strong>Login history</strong></td><td>Records IP, User-Agent, authenticator details</td></tr>
<tr><td><strong>Session management</strong></td><td>Secure cookies, conflict policies, force logout</td></tr>
<tr><td><strong>Admin panel</strong></td><td>User management, audit trail, admin safeguards</td></tr>
<tr><td><strong>Theme system</strong></td><td>9 built-in CSS themes + custom theme support</td></tr>
<tr><td><strong>Storage</strong></td><td>SQLite (development) or PostgreSQL (production), with Redis or in-memory caching</td></tr>
</tbody></table>
<h2 id="links">Links</h2>
<ul>
<li><strong>Live demo</strong>: <a rel="external" href="https://passkey-demo.ccmp.jp">passkey-demo.ccmp.jp</a></li>
<li><strong>GitHub</strong>: <a rel="external" href="https://github.com/ktaka-ccmp/oauth2-passkey">ktaka-ccmp/oauth2-passkey</a></li>
<li><strong>crates.io</strong>: <a rel="external" href="https://crates.io/crates/oauth2-passkey">oauth2-passkey</a> / <a rel="external" href="https://crates.io/crates/oauth2-passkey-axum">oauth2-passkey-axum</a></li>
<li><strong>Documentation</strong>: <a rel="external" href="https://ktaka-ccmp.github.io/oauth2-passkey/">ktaka-ccmp.github.io/oauth2-passkey</a></li>
</ul>
<h2 id="background">Background</h2>
<p>This library grew out of a <a href="/2025/01/implementing-passkeys-authentication-in-rust-axum.html">from-scratch Passkey implementation</a> I wrote in early 2025. That project gave me a deep understanding of the WebAuthn protocol, and I decided to package the result into a reusable library with OAuth2 integration, session management, and a complete UI.</p>
GNU Screen ユーザーのための tmux カスタマイズ
2026-03-01T00:00:00+00:00
2026-03-01T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2026/TmuxForScreenUsers/
<p><em>長年 GNU Screen を使ってきたユーザーが tmux に移行する際に、違和感を減らすためのカスタマイズ記録です。</em></p>
<hr />
<h2 id="hazimeni">はじめに</h2>
<p>20 年近く GNU Screen を使ってきました。ターミナルマルチプレクサとしては大きな不満もなく、乗り換える理由はありませんでした。</p>
<p>きっかけは Claude Code です。Claude Code はターミナル上で動作する AI コーディングアシスタントですが、Screen 上で使うと表示が崩れる問題がありました。具体的には、テキストの各単語に不正な背景色ブロックが付いて短冊状に表示されたり、起動時の ASCII アートロゴが白いブロックノイズに化けたりします。Screen が、Claude Code の TUI が使用するカラーエスケープシーケンスを正しく処理できていないようです。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2026/TmuxForScreenUsers/image/Scrot_screenshot-20260301_044515.png" alt="Claude Code 起動直後の画面。ロゴが化け、テキストに不正な背景色ブロックが付いている" /></p>
<p><img src="https://ktaka.blog.ccmp.jp/2026/TmuxForScreenUsers/image/Scrot_screenshot-20260301_044503.png" alt="workspace の trust 確認画面。同様に各単語に背景色ブロックが付いている" /></p>
<p>tmux ではこの問題は起きませんでした。Claude Code を快適に使うために、tmux への移行を決めました。</p>
<hr />
<h2 id="screen-yuzagahu-huo-upointo">Screen ユーザーが戸惑うポイント</h2>
<p>tmux に移行してまず戸惑ったのが、画面分割まわりの操作体系の違いです。</p>
<h3 id="purehuitukusuki">プレフィックスキー</h3>
<p>Screen のデフォルトプレフィックスは <code>Ctrl+a</code>、tmux は <code>Ctrl+b</code> です。これは <code>~/.tmux.conf</code> で簡単に変更できるので、すぐに解決しました。</p>
<h3 id="hua-mian-fen-ge-nokao-efang-gawei-u">画面分割の考え方が違う</h3>
<p>Screen の特徴として、「リージョン」と「ウィンドウ」が明確に分かれています。<code>Ctrl+a</code> → <code>S</code> で画面をリージョン分割し、各リージョンに既存のウィンドウを割り当てます。リージョンを閉じてもウィンドウ(シェル)は残ります。<code>Ctrl+a</code> → <code>Q</code> でリージョンを全解除して元の 1 画面に戻す、というのがよくある使い方でした。</p>
<p>tmux では「ペイン」がこれに相当しますが、ペインを作ると新しいシェルが自動起動します。Screen のように「画面を分割してから既存のウィンドウを割り当てる」という手順ではなく、「分割と同時に新しいシェルが生まれる」という動作です。</p>
<p>また、Screen の <code>Ctrl+a</code> → <code>Q</code>(リージョン全解除)に直接対応するキーがありません。tmux では <code>Ctrl+a</code> → <code>z</code> でペインをズーム(全画面化)するのが近い感覚ですが、他のペインを閉じるわけではないので挙動が異なります。</p>
<p>ペインを独立したウィンドウに戻したい場合は <code>Ctrl+a</code> → <code>!</code>(break-pane)で 1 つずつ分離する必要があります。複数ペインを一括で分離するコマンドはデフォルトにはありません。</p>
<p>こういった違いに戸惑うことが多かったので、Screen ユーザーが直感的に使えるキーバインドをカスタマイズしました。</p>
<hr />
<h2 id="tmux-conf">~/.tmux.conf</h2>
<p>以下がカスタマイズした設定です。カスタムキーバインドに加えて、デフォルトのよく使うキーバインドもコメントでチートシートとして埋め込んでいます。設定ファイル自体がリファレンスになるようにしています。</p>
<p>設定を変更した後は、tmux 内で <code>Ctrl+a</code> → <code>:</code> を押してコマンドモードに入り、<code>source-file ~/.tmux.conf</code> と入力するか、シェルから <code>tmux source-file ~/.tmux.conf</code> を実行すると反映されます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Custom keybindings</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Use Ctrl+a as prefix (same as GNU Screen)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">unbind</span><span style="color: #9ECBFF;"> C-b</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> prefix C-a</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> a: Send literal Ctrl+a to the terminal</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> a send-prefix</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Enable mouse for pane resizing, selection, and scrolling</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> mouse on</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> -: Split pane horizontally (top/bottom)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> - split-window</span><span style="color: #79B8FF;"> -v</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> |: Split pane vertically (left/right)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #F97583;"> |</span><span style="color: #B392F0;"> split-window</span><span style="color: #79B8FF;"> -h</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> @: Pull a pane from another window/session (interactive)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> @ choose-tree "join-pane -s '%%'"</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> S: Send current pane to another window/session (interactive)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> S choose-tree "join-pane -t '%%'"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Q: Break all panes into separate windows</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> Q run-shell 'while [ $(tmux list-panes | wc -l) -gt 1 ]; do tmux break-pane -d; done'</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Cheat sheet (default keybindings)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane navigation ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Arrow keys: Move between panes</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> o: Move to next pane</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> q: Display pane numbers (press number to jump)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> z: Toggle pane zoom (fullscreen)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane resizing ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Ctrl+Arrow keys: Resize pane by 1 cell</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Alt+Arrow keys: Resize pane by 5 cells</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Mouse drag on pane border: Resize interactively</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane arrangement ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> {: Swap pane forward (up/left)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> }: Swap pane backward (down/right)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Space: Cycle through layouts</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane/window management ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> !: Break current pane into a separate window</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Window navigation ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> c: Create new window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> n: Next window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> p: Previous window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> 0-9: Jump to window by number</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> w: List all windows/sessions (interactive tree)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Session navigation ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> s: List sessions (interactive selection)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> (: Previous session</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> ): Next session</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Cross-session window management (via command mode: Ctrl+a -> :) ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># move-window -t session_name: Move current window to another session</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># link-window -s session_name:N Share a window across sessions (same window, multiple sessions)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># unlink-window Remove shared window from current session</span></span></code></pre>
<hr />
<h2 id="kasutamukibaindonojie-shuo">カスタムキーバインドの解説</h2>
<h3 id="purehuitukusunobian-geng-ctrl-a">プレフィックスの変更(<code>Ctrl+a</code>)</h3>
<p>Screen と同じ <code>Ctrl+a</code> をプレフィックスにしています。<code>bind a send-prefix</code> で、<code>Ctrl+a</code> → <code>a</code> と押せば端末に素の <code>Ctrl+a</code>(行頭移動など)を送れます。これも Screen と同じ挙動です。</p>
<h3 id="peinfen-ge-to">ペイン分割(<code>-</code> と <code>|</code>)</h3>
<p>tmux のデフォルトでは <code>"</code> で横分割、<code>%</code> で縦分割ですが、少し覚えにくいと感じました。<code>-</code>(横線)で横分割、<code>|</code>(縦線)で縦分割にしています。</p>
<h3 id="peinnoqu-riip-mitosong-richu-si-to-s">ペインの取り込みと送り出し(<code>@</code> と <code>S</code>)</h3>
<p><code>@</code> は別のウィンドウやセッションからペインを現在のウィンドウに取り込みます。<code>S</code> は現在のペインを別のウィンドウやセッションに送ります。いずれもインタラクティブなツリー表示から選択できます。</p>
<p>なお、Screen では <code>Ctrl+a</code> → <code>S</code> は横分割(リージョン分割)です。この設定ではその機能を <code>-</code> に移しているため、<code>S</code> を「ペイン送り出し」に再割り当てしています。</p>
<h3 id="quan-peinfen-li-q">全ペイン分離(<code>Q</code>)</h3>
<p>Screen の <code>Ctrl+a</code> → <code>Q</code>(リージョン全解除)に近い操作です。現在のウィンドウにある全ペインをそれぞれ独立したウィンドウに分離します。「分割して作業した後、元の 1 ペイン 1 ウィンドウの状態に戻したい」という Screen 的な使い方ができます。</p>
<hr />
<h2 id="kibaindoyi-lan">キーバインド一覧</h2>
<h3 id="kasutamushe-ding">カスタム設定</h3>
<table><thead><tr><th>キー</th><th>操作</th></tr></thead><tbody>
<tr><td><code>Ctrl+a</code></td><td>プレフィックス(Screen と同じ)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>a</code></td><td>端末に素の Ctrl+a を送る</td></tr>
<tr><td><code>Ctrl+a</code> → <code>-</code></td><td>横分割(上下)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>|</code></td><td>縦分割(左右)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>@</code></td><td>別ウィンドウ/セッションからペインを取り込む</td></tr>
<tr><td><code>Ctrl+a</code> → <code>S</code></td><td>現在のペインを別ウィンドウ/セッションに送る</td></tr>
<tr><td><code>Ctrl+a</code> → <code>!</code></td><td>現在のペインを独立ウィンドウにする(デフォルト)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>Q</code></td><td>全ペインを独立ウィンドウにバラす</td></tr>
<tr><td>マウス</td><td>ペイン境界ドラッグでリサイズ、選択、スクロール</td></tr>
</tbody></table>
<h3 id="dehuorutokibaindo-yokushi-umono">デフォルトキーバインド(よく使うもの)</h3>
<p><strong>ペイン操作</strong></p>
<table><thead><tr><th>キー</th><th>操作</th></tr></thead><tbody>
<tr><td><code>Ctrl+a</code> → 矢印キー</td><td>ペイン間移動</td></tr>
<tr><td><code>Ctrl+a</code> → <code>o</code></td><td>次のペインに移動</td></tr>
<tr><td><code>Ctrl+a</code> → <code>q</code></td><td>ペイン番号表示(番号押下でジャンプ)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>z</code></td><td>ペインのズーム切替(全画面)</td></tr>
<tr><td><code>Ctrl+a</code> → <code>Space</code></td><td>レイアウト順次切替</td></tr>
</tbody></table>
<p><strong>ウィンドウ操作</strong></p>
<table><thead><tr><th>キー</th><th>操作</th></tr></thead><tbody>
<tr><td><code>Ctrl+a</code> → <code>c</code></td><td>新規ウィンドウ</td></tr>
<tr><td><code>Ctrl+a</code> → <code>n</code> / <code>p</code></td><td>次/前のウィンドウ</td></tr>
<tr><td><code>Ctrl+a</code> → <code>0-9</code></td><td>ウィンドウ番号でジャンプ</td></tr>
<tr><td><code>Ctrl+a</code> → <code>w</code></td><td>ウィンドウ/セッション一覧(ツリー表示)</td></tr>
</tbody></table>
<p><strong>セッション操作</strong></p>
<table><thead><tr><th>キー</th><th>操作</th></tr></thead><tbody>
<tr><td><code>Ctrl+a</code> → <code>s</code></td><td>セッション一覧</td></tr>
<tr><td><code>Ctrl+a</code> → <code>(</code> / <code>)</code></td><td>前/次のセッション</td></tr>
<tr><td><code>Ctrl+a</code> → <code>d</code></td><td>デタッチ(セッションを残して切断)</td></tr>
</tbody></table>
<h3 id="detatutitoatatuti">デタッチとアタッチ</h3>
<p>ターミナルマルチプレクサの最も基本的な機能であるデタッチ/アタッチは、Screen と tmux でほぼ同じです。</p>
<table><thead><tr><th>操作</th><th>Screen</th><th>tmux</th></tr></thead><tbody>
<tr><td>デタッチ</td><td><code>Ctrl+a</code> → <code>d</code></td><td><code>Ctrl+a</code> → <code>d</code></td></tr>
<tr><td>セッション一覧</td><td><code>screen -ls</code></td><td><code>tmux ls</code></td></tr>
<tr><td>アタッチ</td><td><code>screen -r</code></td><td><code>tmux attach</code> (<code>tmux a</code>)</td></tr>
<tr><td>名前付きセッション作成</td><td><code>screen -S name</code></td><td><code>tmux new -s name</code></td></tr>
<tr><td>名前指定でアタッチ</td><td><code>screen -r name</code></td><td><code>tmux attach -t name</code></td></tr>
</tbody></table>
<p>Screen ユーザーにとって最も馴染みのある操作なので、ここは移行のハードルが低いポイントです。</p>
<hr />
<h2 id="screen-tonogai-nian-nodui-ying">Screen との概念の対応</h2>
<table><thead><tr><th>Screen</th><th>tmux</th><th>備考</th></tr></thead><tbody>
<tr><td>リージョン</td><td>ペイン</td><td>tmux はペイン作成時にシェルが自動起動する</td></tr>
<tr><td>ウィンドウ</td><td>ウィンドウ</td><td>ほぼ同じ概念</td></tr>
<tr><td>(なし)</td><td>セッション</td><td>Screen にもセッション概念はあるが、tmux の方がセッション管理が強力</td></tr>
<tr><td><code>Ctrl+a</code> → <code>Q</code> (リージョン全解除)</td><td><code>Ctrl+a</code> → <code>Q</code> (全ペイン分離、カスタム)</td><td>デフォルトの <code>z</code>(ズーム)は一時的な全画面化でペインが残る。カスタム <code>Q</code> で Screen に近い挙動を再現</td></tr>
<tr><td><code>Ctrl+a</code> → <code>S</code> (横分割)</td><td><code>Ctrl+a</code> → <code>-</code> (カスタム)</td><td>デフォルトは <code>"</code></td></tr>
</tbody></table>
<p>tmux 固有の便利な機能として、<code>link-window</code> で同じウィンドウを複数セッションから共有できます。これは Screen にはない機能です。</p>
<hr />
<h2 id="kopi-pesutoto-os-kuritupubodolian-xi">コピー&ペーストと OS クリップボード連携</h2>
<p>tmux のコピーバッファと OS のクリップボードは、デフォルトでは連携していないようです。tmux 内でコピーしても OS 側に反映されません。また、<code>mouse on</code> にしていると tmux がマウスイベントを横取りするため、右クリックメニューからのコピペも効きません。</p>
<h3 id="osc-52-niyorujie-jue">OSC 52 による解決</h3>
<p>OSC 52 はターミナルのエスケープシーケンスを使ってクリップボードにアクセスする仕組みです。xclip などの外部ツールは不要で、SSH 越しでも動作します。</p>
<p>ターミナルエミュレータ側(Alacritty の例):</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="toml"><span class="giallo-l"><span>[</span><span style="color: #B392F0;">terminal</span><span>]</span></span>
<span class="giallo-l"><span>osc52 =</span><span style="color: #9ECBFF;"> "CopyPaste"</span></span></code></pre>
<p>tmux 側(<code>~/.tmux.conf</code>):</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> set-clipboard on</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> mode-keys vi</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> history-limit</span><span style="color: #79B8FF;"> 10000</span></span></code></pre>
<p><code>set-clipboard on</code> は tmux 3.2 以降ではデフォルトで有効ですが、明示しておくと意図が明確になります。<code>mode-keys vi</code> はコピーモードのキー操作を vi 式にします(hjkl 移動、<code>/</code> で検索など)。vi に馴染みがなければこの行を省略すれば emacs 式(デフォルト)のままで、OSC 52 によるクリップボード連携は同様に動作します。<code>history-limit</code> はスクロールバックの行数です(デフォルトは 2000 行)。</p>
<p>これだけで tmux のコピーが OS クリップボードに反映されます。</p>
<h3 id="kopicao-zuo">コピー操作</h3>
<ol>
<li><code>Ctrl+a</code> → <code>[</code> — コピーモードに入る</li>
<li><code>Space</code> — 選択開始</li>
<li><code>Enter</code> — コピー(OS クリップボードにも入る)</li>
<li>通常の <code>Ctrl+v</code> や中クリックで貼り付け</li>
</ol>
<p>tmux 内で貼り付ける場合は <code>Ctrl+a</code> → <code>]</code> です。</p>
<h3 id="shift-kide-tmux-wobaipasu">Shift キーで tmux をバイパス</h3>
<p><code>Shift</code> を押しながら操作すると tmux をバイパスしてターミナルエミュレータ側の操作になります。</p>
<ul>
<li><code>Shift</code> + ドラッグ: ターミナル側の選択</li>
<li><code>Shift</code> + 右クリック: ターミナルのコンテキストメニュー</li>
<li><code>Shift</code> + 中クリック / <code>Shift+Ctrl+V</code>: 貼り付け</li>
</ul>
<h3 id="screen-tonobi-jiao">Screen との比較</h3>
<table><thead><tr><th>操作</th><th>Screen</th><th>tmux (この設定)</th></tr></thead><tbody>
<tr><td>コピーモード開始</td><td><code>Ctrl+a</code> → <code>[</code></td><td><code>Ctrl+a</code> → <code>[</code></td></tr>
<tr><td>選択開始</td><td><code>Enter</code></td><td><code>Space</code></td></tr>
<tr><td>コピー</td><td><code>Enter</code></td><td><code>Enter</code></td></tr>
<tr><td>貼り付け</td><td><code>Ctrl+a</code> → <code>]</code></td><td><code>Ctrl+a</code> → <code>]</code></td></tr>
<tr><td>OS クリップボード連携</td><td>なし</td><td>OSC 52 で自動連携</td></tr>
</tbody></table>
<p>コピーモードの基本操作は Screen とほぼ同じです。大きな違いは OS クリップボードとの連携で、Screen にはこの機能がありませんでした。tmux + OSC 52 対応ターミナルの組み合わせでは、コピーした内容がそのまま OS のクリップボードに入るため、ブラウザや他のアプリケーションにそのまま貼り付けられます。</p>
<p>なお、OSC 52 対応はターミナルエミュレータに依存します。Alacritty、Ghostty、WezTerm、iTerm2、Windows Terminal などは対応していますが、xfce4-terminal は未対応です。</p>
<hr />
<h2 id="wan-quan-na-tmux-conf">完全な ~/.tmux.conf</h2>
<p>記事中で紹介した設定をまとめた完全版です。コピー&ペーストしてそのまま使えます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="shellscript"><span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Prefix key (same as GNU Screen)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #B392F0;">unbind</span><span style="color: #9ECBFF;"> C-b</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> prefix C-a</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> a send-prefix</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># General settings</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> mouse on</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> set-clipboard on</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> mode-keys vi</span></span>
<span class="giallo-l"><span style="color: #79B8FF;">set -g</span><span style="color: #9ECBFF;"> history-limit</span><span style="color: #79B8FF;"> 10000</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Custom keybindings</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Pane splitting: - for horizontal, | for vertical</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> - split-window</span><span style="color: #79B8FF;"> -v</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #F97583;"> |</span><span style="color: #B392F0;"> split-window</span><span style="color: #79B8FF;"> -h</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Pull a pane from another window/session (interactive)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> @ choose-tree "join-pane -s '%%'"</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Send current pane to another window/session (interactive)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> S choose-tree "join-pane -t '%%'"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># Break all panes into separate windows (like Screen's Ctrl+a -> Q)</span></span>
<span class="giallo-l"><span style="color: #B392F0;">bind</span><span style="color: #9ECBFF;"> Q run-shell 'while [ $(tmux list-panes | wc -l) -gt 1 ]; do tmux break-pane -d; done'</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Cheat sheet (default keybindings)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># =============================================</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane navigation ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Arrow keys: Move between panes</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> o: Move to next pane</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> q: Display pane numbers (press number to jump)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> z: Toggle pane zoom (fullscreen)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane resizing ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Ctrl+Arrow keys: Resize pane by 1 cell</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Alt+Arrow keys: Resize pane by 5 cells</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Mouse drag on pane border: Resize interactively</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane arrangement ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> {: Swap pane forward (up/left)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> }: Swap pane backward (down/right)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> Space: Cycle through layouts</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Pane/window management ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> !: Break current pane into a separate window</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Window navigation ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> c: Create new window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> n: Next window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> p: Previous window</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> 0-9: Jump to window by number</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> w: List all windows/sessions (interactive tree)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Session ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> d: Detach from session</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> s: List sessions (interactive selection)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> (: Previous session</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> ): Next session</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Cross-session window management (via command mode: Ctrl+a -> :) ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># move-window -t session_name: Move current window to another session</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># link-window -s session_name:N Share a window across sessions</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># unlink-window Remove shared window from current session</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span style="color: #6A737D;"># --- Copy mode ---</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> [: Enter copy mode</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Space: Start selection (vi mode) / Ctrl+Space (emacs mode)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Enter: Copy selection (also copies to OS clipboard via OSC 52)</span></span>
<span class="giallo-l"><span style="color: #6A737D;"># Ctrl+a -> ]: Paste from tmux buffer</span></span></code></pre>
<hr />
<h2 id="matome">まとめ</h2>
<p>Screen から tmux への移行で最も戸惑ったのは、ペイン分割まわりの操作体系の違いでした。Screen の「リージョンを分割・解除する」という考え方と、tmux の「ペインを作る・ズームする」という考え方はアプローチが異なります。</p>
<p>今回のカスタマイズでは、プレフィックスの変更に加えて、<code>Q</code>(全ペイン分離)や <code>@</code>/<code>S</code>(ペインの取り込み・送り出し)を追加することで、Screen 的なワークフローを tmux 上で再現できるようにしました。</p>
<p>移行のきっかけは Claude Code の表示崩れという消極的な理由でしたが、使ってみると tmux のセッション管理やペインの柔軟さは Screen より優れていると感じます。OSC 52 によるクリップボード連携など、tmux ならではの利点もあり、長年の慣れを差し引いても移行してよかったと感じています。Screen に慣れている方は、まずプレフィックスを <code>Ctrl+a</code> に変えるだけでも移行のハードルはかなり下がると思います。</p>
Blogspot の記事を Zola + GitHub Pages に移行した
2026-02-24T00:00:00+00:00
2026-02-24T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2026/BlogspotToZola/
<p><em>2008 年から書いてきた Blogspot の 107 記事を、Zola + GitHub Pages に一括移行した記録です。</em></p>
<hr />
<h2 id="hazimeni">はじめに</h2>
<p>個人ブログを Google Blogspot から GitHub Pages に移行しました。</p>
<p><a href="/2026/GcpToGitHubPages">前回の記事</a>ではコーポレートサイト(ccmp.jp)の GCP → GitHub Pages 移行を紹介しましたが、今回はその続きとして、個人ブログ(ktaka.blog.ccmp.jp)の Blogspot → GitHub Pages 移行についてまとめます。</p>
<p>移行の全体像は次の通りです:</p>
<ol>
<li><strong>GitHub Pages の立ち上げ</strong> — pandoc + GitHub Actions でまず公開</li>
<li><strong>Zola 導入</strong> — 静的サイトジェネレーターに切り替え</li>
<li><strong>Blogspot 全記事の移行</strong> — 107 記事を一括変換</li>
<li><strong>ドメイン切替</strong> — Blogspot と同じドメインで GitHub Pages を公開</li>
</ol>
<hr />
<h2 id="yi-xing-nobei-jing">移行の背景</h2>
<p>Blogspot は手軽にブログを始められるサービスですが、技術ブログとして使い続けるにはいくつかの不満がありました。</p>
<ul>
<li><strong>Markdown で書けない</strong>: HTML エディタが基本で、シンタックスハイライトもない</li>
<li><strong>変更履歴が残らない</strong>: Git のような差分確認やロールバックができない</li>
<li><strong>カスタマイズが面倒</strong>: テンプレートの自由度が低く、何か変えたいときに Blogger の作法を毎回調べ直す必要がある</li>
</ul>
<p>そして何より、ブログを書こうと思っても、Blogger のエディタを開いて HTML を調整する作業が億劫で、記事を書くモチベーションが上がらないことが一番の問題でした。</p>
<p>一方で、GitHub Pages + Zola なら:</p>
<ul>
<li>Markdown でそのまま入稿</li>
<li>シンタックスハイライト標準搭載</li>
<li>テンプレートを完全に自作可能</li>
<li>コンテンツを Git で管理(変更履歴・ロールバック)</li>
<li>ローカルプレビューが <code>zola serve</code> 一発</li>
</ul>
<hr />
<h2 id="phase-1-github-pages-noli-tishang-ge">Phase 1: GitHub Pages の立ち上げ</h2>
<p>まず、既存の Markdown 記事を GitHub Pages で公開するところから始めました。</p>
<h3 id="pandoc-github-actions-gou-cheng">pandoc + GitHub Actions 構成</h3>
<p>GitHub Actions ワークフロー(<code>.github/workflows/pages.yml</code>)を作成し、pandoc で Markdown → HTML 変換 + GitHub Pages デプロイを自動化しました。DNS CNAME レコードとカスタムドメイン設定で <code>kt.blog.ccmp.jp</code> として暫定公開しました。</p>
<h3 id="konogou-cheng-noke-ti">この構成の課題</h3>
<p>動くことは動きましたが、運用面で問題がありました:</p>
<ul>
<li><strong>記事追加ごとに YAML 手動編集</strong>: <code>mkdir</code>、<code>pandoc</code> コマンド、index 更新を毎回ワークフローに追加する必要がある</li>
<li><strong>ローカルプレビューが手動</strong>: pandoc を手で実行してブラウザで開く</li>
<li><strong>TOC 生成が外部ツール依存</strong>: <code>gh-md-toc</code> を別途実行</li>
<li><strong>シンタックスハイライトなし</strong>: pandoc のデフォルトでは対応していない</li>
<li><strong>RSS/サイトマップなし</strong>: 手動構成では現実的でない</li>
</ul>
<p>記事が 10 本程度のうちは何とかなりますが、Blogspot の 100 本以上の記事を移行するには、この構成では限界がありました。</p>
<hr />
<h2 id="phase-2-zola-dao-ru">Phase 2: Zola 導入</h2>
<p>pandoc 手動構成の限界を解消するため、静的サイトジェネレーター Zola を導入しました。</p>
<h3 id="zola-woxuan-ndali-you">Zola を選んだ理由</h3>
<table><thead><tr><th>項目</th><th>pandoc 手動構成</th><th>Zola 導入後</th></tr></thead><tbody>
<tr><td>記事追加</td><td>YAML 手動編集</td><td>MD ファイル作成のみ(自動検出)</td></tr>
<tr><td>ローカルプレビュー</td><td>pandoc 手動実行</td><td><code>zola serve</code>(ライブリロード)</td></tr>
<tr><td>TOC</td><td>外部ツール</td><td>標準搭載</td></tr>
<tr><td>シンタックスハイライト</td><td>なし</td><td>標準搭載(syntect)</td></tr>
<tr><td>RSS/Atom</td><td>なし</td><td>自動生成</td></tr>
<tr><td>多言語</td><td>手動リンク管理</td><td>標準搭載(<code>index.en.md</code> で自動認識)</td></tr>
</tbody></table>
<p>Zola は Rust 製の単一バイナリで、依存関係なしでインストールできます。Hugo や Jekyll と比べてエコシステムは小さいですが、必要な機能は揃っていました。</p>
<h3 id="jian-zheng-xiang-mu">検証項目</h3>
<p>導入前に以下を検証し、全項目をクリアしました:</p>
<table><thead><tr><th>検証項目</th><th>結果</th></tr></thead><tbody>
<tr><td>ビルド・ローカルプレビュー</td><td>OK(<code>zola serve</code> でライブリロード対応)</td></tr>
<tr><td>URL パス保持</td><td>OK(<code>path</code> front matter で任意のパスを指定可能)</td></tr>
<tr><td>多言語対応</td><td>OK(<code>index.en.md</code> で自動認識)</td></tr>
<tr><td>画像・動画の扱い</td><td>OK(<code>content/</code> 内に同居、相対パス参照)</td></tr>
<tr><td>シンタックスハイライト</td><td>OK(github-dark テーマ)</td></tr>
<tr><td>Atom フィード</td><td>OK(自動生成)</td></tr>
</tbody></table>
<h3 id="tenpuretozi-zuo">テンプレート自作</h3>
<p>既存のテーマは使わず、4 種のテンプレートを自作しました:</p>
<ul>
<li><strong>base.html</strong> — 共通レイアウト(ナビゲーション、CSS)</li>
<li><strong>index.html</strong> — トップページ(セクション一覧へリダイレクト)</li>
<li><strong>section.html</strong> — 記事一覧(日付降順)</li>
<li><strong>page.html</strong> — 記事本文(TOC、前後ナビ、ライトボックス)</li>
</ul>
<p>CSS は <code>github-markdown.css</code> をベースにしており、最小限のスタイルで十分な表示品質を実現しています。</p>
<h3 id="yi-xing-noshi-shi">移行の実施</h3>
<ul>
<li>既存の 11 記事を Zola 形式に変換(TOML front matter 追加、手動 TOC 削除)</li>
<li>GitHub Actions を pandoc → <code>zola build</code> に更新</li>
<li>旧ファイル(<code>gh-md-toc</code>、ルート CSS、pandoc ワークフロー)を削除</li>
</ul>
<hr />
<h2 id="phase-3-blogspot-quan-ji-shi-noyi-xing">Phase 3: Blogspot 全記事の移行</h2>
<p>Zola の基盤が整ったところで、Blogspot の全記事を移行しました。</p>
<h3 id="ekusupototobian-huan">エクスポートと変換</h3>
<p>Blogspot の記事データは Google Takeout でエクスポートしました。Blogger の管理画面からの XML エクスポートではなく、Google Takeout を使ったのは、HTML 形式で各記事が個別ファイルとして取得できるためです。</p>
<p>変換は Python スクリプトで自動化しました:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Google Takeout (HTML) → Python スクリプト → Zola 用 Markdown + 画像</span></span></code></pre>
<p>スクリプトが行う処理:</p>
<ol>
<li>HTML ファイルの解析</li>
<li>TOML front matter の自動生成(title, date, path)</li>
<li>HTML → Markdown 変換</li>
<li>画像ファイルのローカルコピーとパス書き換え</li>
<li><code>content/{year}/{slug}/index.md</code> として出力</li>
</ol>
<h3 id="pei-zhi-gou-zao">配置構造</h3>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>content/</span></span>
<span class="giallo-l"><span> 2008/</span></span>
<span class="giallo-l"><span> first-post/</span></span>
<span class="giallo-l"><span> index.md # 記事本文(Markdown + TOML front matter)</span></span>
<span class="giallo-l"><span> image/ # 画像</span></span>
<span class="giallo-l"><span> photo.jpg</span></span>
<span class="giallo-l"><span> second-post/</span></span>
<span class="giallo-l"><span> index.md</span></span>
<span class="giallo-l"><span> 2009/</span></span>
<span class="giallo-l"><span> ...</span></span>
<span class="giallo-l"><span> 2024/</span></span>
<span class="giallo-l"><span> ...</span></span></code></pre>
<p>107 記事(うち 1 記事は <code>draft = true</code>)を年別ディレクトリに配置しました。</p>
<h3 id="pin-zhi-jian-zheng">品質検証</h3>
<p>自動変換した記事の品質を確認するため、Claude Code を使って全 104 記事(draft 除く)を本番 Blogspot サイトと 1 記事ずつ比較しました。各記事について WebFetch で本番ページを取得し、ローカルの Markdown と突き合わせる作業を並列エージェントで実行しています。</p>
<p>結果:</p>
<ul>
<li><strong>100 記事</strong>: 問題なし</li>
<li><strong>4 記事を修正</strong>:</li>
</ul>
<table><thead><tr><th>記事</th><th>問題</th><th>対応</th></tr></thead><tbody>
<tr><td><code>2011/blog-post</code></td><td>画像 2 枚が未取得</td><td>Blogger CDN からダウンロード(WebP)</td></tr>
<tr><td><code>2011/hhkb-pro2</code></td><td>画像 1 枚が未取得</td><td>Blogger CDN からダウンロード(WebP)</td></tr>
<tr><td><code>2011/galaxy-blogger</code></td><td>画像 1 枚が消失</td><td>Blogger CDN から消失、復元不可</td></tr>
<tr><td><code>2011/gnu-tar124ok</code></td><td>変換アーティファクト</td><td>空 blockquote・空コードブロックを除去</td></tr>
</tbody></table>
<p>Blogger CDN から消失していた画像が 1 枚ありましたが、それ以外は全記事を正常に移行できました。</p>
<hr />
<h2 id="phase-4-domeinqie-ti">Phase 4: ドメイン切替</h2>
<p>コンテンツ移行の完了後、ドメインを切り替えました。</p>
<p>Blogspot で使っていたドメイン <code>ktaka.blog.ccmp.jp</code> を、そのまま GitHub Pages に向け替えました:</p>
<ol>
<li>Blogspot 管理画面でカスタムドメイン(<code>ktaka.blog.ccmp.jp</code>)を解除</li>
<li>DNS CNAME を <code>ktaka-ccmp.github.io</code> に変更</li>
<li>GitHub Pages のカスタムドメイン設定を更新</li>
<li>Zola の <code>config.toml</code>(<code>base_url</code>)と <code>static/CNAME</code> を更新</li>
</ol>
<p>暫定ドメイン <code>kt.blog.ccmp.jp</code> は廃止しました。</p>
<hr />
<h2 id="matome">まとめ</h2>
<table><thead><tr><th>項目</th><th>移行前(Blogspot)</th><th>移行後(Zola + GitHub Pages)</th></tr></thead><tbody>
<tr><td>入稿形式</td><td>HTML エディタ</td><td>Markdown</td></tr>
<tr><td>シンタックスハイライト</td><td>なし</td><td>あり(github-dark)</td></tr>
<tr><td>プレビュー</td><td>Blogger のプレビュー機能</td><td><code>zola serve</code>(ローカルでライブリロード)</td></tr>
<tr><td>バージョン管理</td><td>なし</td><td>Git</td></tr>
<tr><td>画像ホスト</td><td>Blogger CDN</td><td>リポジトリ内(Git 管理)</td></tr>
<tr><td>カスタマイズ</td><td>テンプレート制約あり</td><td>完全自作テンプレート</td></tr>
<tr><td>RSS/Atom</td><td>Blogger 独自形式</td><td>Zola 自動生成</td></tr>
<tr><td>ホスティングコスト</td><td>$0</td><td>$0</td></tr>
</tbody></table>
<p>大方の移行作業は 2 日間で完了しました。最も時間がかかったのは Blogspot 全記事の品質検証(104 記事の 1 対 1 比較)ですが、これは Claude Code の並列エージェントに任せたので、待ち時間が大半でした。</p>
<p>今まではブログを書こうと思っても、Blogger のエディタを開いて HTML を調整する作業が面倒で、かなり億劫に感じていました。Markdown なら文章を書くことに集中でき、それがそのままブログに変換されて CDN 配信されるので、記事を書くハードルがかなり下がりました。</p>
9年前に Joomla + wget で静的化したサイトを GitHub Pages へ移行した
2026-02-15T00:00:00+00:00
2026-02-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2026/GcpToGitHubPages/
<p><em>Joomla CMS + wget による静的サイト生成パイプラインが、ホスティング移行をシンプルにしてくれた事例です。</em></p>
<hr />
<h2 id="hazimeni">はじめに</h2>
<p>自社のコーポレートサイト(ccmp.jp)を、GCP 上の VM + Cloud Load Balancer + Cloud CDN 構成から GitHub Pages に移行しました。</p>
<p>もともと GitHub の有料プラン(Team)でリポジトリを管理していたため、GitHub Pages への移行で GCP 側の月額約 $23 のホスティングコストをまるごと削減できました。</p>
<p>移行がスムーズにいった最大の要因は、もともと Joomla CMS で入稿しつつ、配信は静的 HTML で行う構成を採っていたことでした。ホスティング先が変わっても、入稿ワークフローには一切手を入れる必要がありませんでした。</p>
<hr />
<h2 id="yi-xing-nobei-jing">移行の背景</h2>
<p>現在の GCP 構成は 9 年前に構築したものです。当時としては、将来的な拡張性も考慮した妥当な設計でした。</p>
<p>一方で、この 9 年の間に状況は変わりました。</p>
<ul>
<li>VM の OS アップデート対応が地味に負担</li>
<li>Terraform で再構築できるとはいえ、「本当に今も動くのか」という心理的な不安</li>
<li>静的サイト配信の選択肢が大きく増えた</li>
</ul>
<p>実際の運用では動的機能を追加することはなく、静的配信のみが続いていました。「この規模のサイトに VM は本当に必要だろうか?」と考えるようになったのが、今回の移行のきっかけです。</p>
<p>なお、CMS として Joomla を使っているのは歴史的経緯によるものです。非エンジニアによる入稿を目的として 20 年近く継続利用してきました。9 年前にはすでに、CMS の本番公開をやめて <code>wget</code> による静的化へ移行していました。この「入稿と配信の分離」が、今回のホスティング移行を容易にしてくれました。</p>
<hr />
<h2 id="yi-xing-qian-nogou-cheng-joomla-cms-gcp">移行前の構成: Joomla CMS + GCP</h2>
<h3 id="cms-ru-gao-jing-de-html-sheng-cheng-toiuakitekutiya">CMS 入稿 → 静的 HTML 生成というアーキテクチャ</h3>
<p>コーポレートサイトのコンテンツは Joomla CMS で管理しています。ただし、Joomla を本番サーバで動かしているわけではありません。入稿から配信までの流れは次のようになっています:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>[Joomla CMS] → wget でクローリング → 静的 HTML 生成 → GitHub リポジトリに push</span></span>
<span class="giallo-l"><span> ↓</span></span>
<span class="giallo-l"><span> 本番サーバで git pull → nginx 配信</span></span></code></pre>
<ol>
<li><strong>入稿</strong>: ローカル環境の Joomla CMS で記事を作成・編集</li>
<li><strong>静的化</strong>: <code>wget</code> で CMS の出力をクローリングし、静的 HTML ファイルとして <code>localhost/</code> ディレクトリに出力</li>
<li><strong>デプロイ</strong>: 生成した HTML を GitHub リポジトリにマージし、GCP VM 上で <code>git pull</code> → nginx で配信</li>
</ol>
<p>本番環境には PHP も MySQL も不要で、純粋な静的ファイル配信のみでした。前段に Cloud Load Balancer と Cloud CDN を配置し、キャッシュによるレスポンス高速化と VM への負荷軽減を行っていました。</p>
<h3 id="konoakitekutiyanomerituto">このアーキテクチャのメリット</h3>
<p>この「CMS で入稿、配信は静的 HTML」というアーキテクチャには、当初から以下のメリットがありました:</p>
<p><strong>入稿者にやさしい</strong>: 記事の作成・編集は Joomla の WYSIWYG エディタで行えます。Markdown や HTML を直接書く必要がなく、非エンジニアでも入稿できます。</p>
<p><strong>CMS の便利さを維持しつつ脆弱性を排除</strong>: Joomla や WordPress などの CMS は頻繁に脆弱性が報告され、攻撃の標的になりがちです。しかしこの構成では CMS はローカル環境でのみ動作し、本番には PHP も MySQL も存在しません。入稿者は CMS の WYSIWYG エディタやテンプレート機能をそのまま使えますが、攻撃者から見える本番環境は単なる静的ファイルだけです。CMS の利便性とセキュリティを両立できます。</p>
<p><strong>ホスティングの自由度が高い</strong>: 配信するのは単なる静的ファイルなので、ホスティング先を自由に選べます。今回の GCP → GitHub Pages の移行でも、入稿フロー側は一切変更なしで済みました。</p>
<p><strong>バージョン管理</strong>: 静的 HTML を GitHub リポジトリで管理しているため、変更履歴の追跡やロールバックが容易です。</p>
<p>そして、今回このメリットが最大限に活きました。移行作業はホスティング先の変更だけで完結し、コンテンツのワークフローには一切手を入れずに済みました。</p>
<hr />
<h2 id="yi-xing-xian-nojian-tao-github-pages-vs-netlify">移行先の検討: GitHub Pages vs Netlify</h2>
<h3 id="hou-bu-noxuan-ding-ji-zhun">候補の選定基準</h3>
<p>移行先の条件は以下の通りです:</p>
<ul>
<li><strong>追加コスト $0</strong>: 既存の GitHub プランで利用できる静的ホスティングサービス</li>
<li><strong>カスタムドメイン対応</strong>: ccmp.jp(apex ドメイン)で運用</li>
<li><strong>HTTPS 対応</strong>: TLS 証明書の自動発行・更新</li>
<li><strong>IPv6 対応</strong>: apex ドメインでも IPv6 到達可能</li>
<li><strong>自社 NS 維持</strong>: DNS のネームサーバは変更しない</li>
</ul>
<p>Cloudflare Pages は NS 移管が原則必要なため不採用としました。自社 NS では ccmp.jp 以外のドメインやサービスの DNS も管理しており、NS を Cloudflare に移管すると他のサービスへの影響が避けられません。GitHub Pages と Netlify の 2 候補でステージング検証を行いました。</p>
<h3 id="sutezingujian-zheng">ステージング検証</h3>
<p>それぞれサブドメインでステージング環境を構築し、実際の動作を検証しました。</p>
<p><strong>GitHub Pages(stg-g.ccmp.jp)</strong>: GitHub Actions ワークフローで <code>localhost/</code> を Pages にデプロイしました。CNAME と <code>.nojekyll</code> はワークフロー内で動的生成する構成としています(コンテンツ生成時に <code>rm -rf localhost/</code> されるため、ファイルを直接置けません)。全項目問題ありませんでした。</p>
<p><strong>Netlify(stg-n.ccmp.jp)</strong>: 今回のリポジトリは GitHub Organization 所有のプライベートリポジトリですが、Netlify Free プランではこの種のリポジトリの Git 連携が不可です(Pro $19/月が必要)。GitHub Actions から <code>netlify deploy --prod</code> で CLI デプロイする方式で回避しました。また、<code>wget</code> が生成するファイル名に <code>?</code> や <code>#</code> が含まれており Netlify が拒否するため、デプロイ前にクリーンアップが必要でした。</p>
<h3 id="bi-jiao-jie-guo">比較結果</h3>
<table><thead><tr><th>項目</th><th>GitHub Pages</th><th>Netlify Free</th></tr></thead><tbody>
<tr><td>追加コスト</td><td>$0</td><td>$0</td></tr>
<tr><td>apex ドメイン A レコード</td><td>4 IP</td><td>1 IP のみ</td></tr>
<tr><td><strong>apex ドメイン IPv6</strong></td><td><strong>OK(AAAA 4 IP)</strong></td><td><strong>NG(AAAA 非公開)</strong></td></tr>
<tr><td>Git 連携</td><td>ネイティブ</td><td>CLI 回避策が必要</td></tr>
<tr><td>ファイル名制約</td><td>なし</td><td><code>?</code> <code>#</code> 不可</td></tr>
</tbody></table>
<p><strong>GitHub Pages を採用しました</strong>。決め手は apex ドメインでの IPv6 対応、ネイティブ Git 連携、ファイル名制約がない点です。なお、CDN については GitHub Pages も Fastly ベースとされる CDN を内蔵しており、Cloud CDN を別途構築する必要がなくなりました。</p>
<hr />
<h2 id="ben-fan-yi-xing-noshi-shi">本番移行の実施</h2>
<p>ステージング検証で問題がないことを確認した翌日に本番移行を実施しました。ステージング検証から GCP 撤去完了まで、作業期間は 2 日間でした。</p>
<ol>
<li>GitHub Actions ワークフローの CNAME をステージング用からプロダクション用(<code>ccmp.jp</code>)に変更</li>
<li>GitHub の Settings → Pages → Custom domain を <code>ccmp.jp</code> に設定(DNS 切替前に実施し、TLS 証明書の発行を最速化)</li>
<li>自社 NS で ccmp.jp の A/AAAA レコードを GitHub Pages の IP に切替</li>
<li><code>www.ccmp.jp</code> の CNAME を追加(GitHub Pages が www → apex の自動リダイレクトを提供)</li>
<li>動作確認: HTTPS、Clean URL、リダイレクト、IPv4/IPv6 すべて OK</li>
</ol>
<p>TLS 証明書について:</p>
<ul>
<li>GitHub Pages は DNS が向いた時点で自動的に Let's Encrypt 証明書を発行します</li>
<li>旧 GCP VM の証明書との衝突はありません(Let's Encrypt は同一ドメインに複数証明書を許可)</li>
<li>GCP 側の証明書は自然に期限切れになるだけで、手動対応は不要です</li>
</ul>
<hr />
<h2 id="gcp-inhuranoche-qu">GCP インフラの撤去</h2>
<p>本番移行の完了後、旧 GCP インフラ(VM、VPC、ロードバランサー、固定 IP、SSL 証明書など計 20 リソース以上)を Terraform で一括撤去しました。再構築が必要になった場合に備え、Terraform コードと手順書はリポジトリに残してあります。</p>
<hr />
<h2 id="matome">まとめ</h2>
<table><thead><tr><th>項目</th><th>移行前(GCP)</th><th>移行後(GitHub Pages)</th></tr></thead><tbody>
<tr><td>GCP ホスティングコスト</td><td>約 $23/月</td><td>$0(GitHub Pages に移行)</td></tr>
<tr><td>TLS 証明書</td><td>自前で自動化(certbot)</td><td>GitHub にお任せ</td></tr>
<tr><td>IPv6</td><td>対応</td><td>対応</td></tr>
<tr><td>デプロイ</td><td>git pull + nginx</td><td>GitHub Actions 自動デプロイ</td></tr>
<tr><td>インフラ運用</td><td>VM・LB・CDN の管理が必要</td><td>不要</td></tr>
</tbody></table>
<p><strong>年間 $276 削減、管理対象リソース 20 → 0。</strong></p>
<p>※ GitHub Pages をプライベートリポジトリで利用するには GitHub Pro 以上のプランが必要です。今回は既に GitHub Team プランを利用していたため、追加コストなしで移行できました。パブリックリポジトリであれば Free プランでも利用でき、GitHub Actions の無料枠(月 2,000 分)の範囲内であれば完全に $0 で運用可能です。</p>
<p>9 年前の設計は、当時の最適解でした。そしてその設計が、9 年後の移行コストを最小化してくれました。</p>
<p>今回の移行で改めて実感したのは、<strong>入稿と配信を分離するアーキテクチャの強さ</strong>です。Joomla CMS による入稿ワークフローは一切変更せず、ホスティング先だけを差し替えることで移行が完了しました。コンテンツ管理と配信基盤を疎結合にしておくことで、将来また別のホスティングサービスに移る場合でも同様にスムーズな移行ができます。</p>
<p>もし「CMS は使いたいけど静的ホスティングのメリットも享受したい」という状況であれば、CMS + wget による静的サイト生成パイプラインは検討に値するアプローチだと思います。</p>
OAuth2 and OpenID Connect (OIDC) Flow Testing: A Comprehensive Analysis of Response Types and Modes
2025-07-07T00:00:00+00:00
2025-07-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2025/07/oauth2-flow-testing-comprehensive.html/
<p>When implementing OAuth2 authorization and OpenID Connect (OIDC)
authentication, developers face numerous configuration choices that
significantly impact both security and user experience. While the OAuth2
and OIDC specifications provide guidance, understanding how different
combinations of response types and response modes behave in practice
requires empirical testing.</p>
<p>This post presents a systematic analysis of OAuth2/OIDC flows using
Google’s implementation, revealing key insights about token delivery
patterns, security implications, and practical recommendations for
production deployments.</p>
<h2 id="the">The</h2>
<p>Challenge: Too Many Options, Too Little Clarity</p>
<p>OAuth2 and OpenID Connect (OIDC) offer multiple response types and
response modes that serve different purposes:</p>
<p><strong>OAuth2 Response Types</strong>: - <code>code</code> -
Authorization Code Grant (for access tokens) - <code>token</code> -
Implicit Grant (direct access tokens)</p>
<p><strong>OIDC Response Types</strong>: - <code>id_token</code> -
Identity tokens for authentication - <code>code token</code>,
<code>code id_token</code>, <code>token id_token</code>,
<code>code token id_token</code> - Hybrid flows</p>
<p><strong>Response Modes</strong> (both OAuth2/OIDC): -
<code>query</code>, <code>fragment</code>, <code>form_post</code> -
Different delivery methods</p>
<p>This creates a matrix of possibilities: 7 response types × 3 response
modes × various scope combinations = 42+ different flow configurations
to understand. Rather than rely on documentation alone, I built an
automated testing framework to examine how these flows actually
behave.</p>
<h2 id="methodology">Methodology:</h2>
<p>Automated OAuth2/OIDC Flow Testing</p>
<p>I created a Python script that systematically tests all OAuth2/OIDC
flow combinations:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># Core testing parameters</span></span>
<span class="giallo-l"><span>RESPONSE_TYPES = ['code', 'token', 'id_token', 'code token', 'code id_token', 'token id_token', 'code token id_token']</span></span>
<span class="giallo-l"><span>RESPONSE_MODES = ['query', 'fragment', 'form_post']</span></span>
<span class="giallo-l"><span>SCOPES = ['profile email', 'openid profile email']</span></span></code></pre>
<p>The testing framework:</p>
<ul>
<li>
<p><strong>Generates authorization URLs</strong> for each OAuth2/OIDC
combination</p>
</li>
<li>
<p><strong>Opens browser windows</strong> for user authentication</p>
</li>
<li>
<p><strong>Captures responses</strong> across query parameters, form
data, and URL fragments</p>
</li>
<li>
<p><strong>Performs token exchange</strong> when authorization codes
are present (OAuth2 code flow)</p>
</li>
<li>
<p><strong>Validates ID tokens</strong> when present (OIDC
authentication)</p>
</li>
<li>
<p><strong>Logs comprehensive results</strong> for analysis</p>
</li>
</ul>
<p>This approach provided empirical data on how Google’s OAuth2/OIDC
implementation handles each flow configuration.</p>
<h2 id="key-findings-response">Key Findings: Response</h2>
<p>Behavior Patterns</p>
<h3 id="pattern-1-location">Pattern 1: Location</h3>
<p>Predictability</p>
<p>The testing revealed consistent patterns in where tokens are
delivered:</p>
<p><strong>Query/Fragment Modes:</strong> - Single <code>code</code>
responses → Query parameters - Any token-containing responses → URL
fragments - Multiple tokens → Always delivered together</p>
<p><strong>Form Post Mode:</strong> - All responses → Form parameters
(consistent delivery)</p>
<h3 id="pattern-2-token-grouping">Pattern 2: Token Grouping</h3>
<p>When multiple tokens are requested
(<code>response_type=code token id_token</code>), they are always
delivered together in the same location. You never see mixed delivery
like code in query parameters while tokens appear in fragments.</p>
<h3 id="pattern-3-oidc-scope">Pattern 3: OIDC Scope</h3>
<p>Normalization</p>
<p>Regardless of requested scope, Google’s OIDC implementation
consistently: - Adds <code>openid</code> scope to all responses (making
them OIDC flows) - Expands scopes to include full URL versions -
Maintains identical behavior for <code>profile email</code> vs
<code>openid profile email</code> - Always includes identity information
when ID tokens are requested</p>
<h2 id="detailed-test-results">Detailed Test Results</h2>
<p>The comprehensive testing revealed distinct patterns across all
response mode and type combinations:</p>
<h3 id="query-response-mode-results">Query Response Mode Results</h3>
<table><thead><tr><th>Response Type</th><th>Scope</th><th>Response Location</th><th>Returned Tokens</th><th>Token Exchange</th></tr></thead><tbody>
<tr><td>code</td><td>profile email</td><td>query params</td><td>code</td><td>access_token, id_token</td></tr>
<tr><td>code</td><td>openid profile email</td><td>query params</td><td>code</td><td>access_token, id_token</td></tr>
<tr><td>token</td><td>both scopes</td><td>fragment</td><td>access_token</td><td>none</td></tr>
<tr><td>id_token</td><td>both scopes</td><td>fragment</td><td>id_token</td><td>none</td></tr>
<tr><td>code token</td><td>both scopes</td><td>fragment</td><td>code, access_token</td><td>access_token, id_token</td></tr>
<tr><td>code id_token</td><td>both scopes</td><td>fragment</td><td>code, id_token</td><td>access_token, id_token</td></tr>
<tr><td>token id_token</td><td>both scopes</td><td>fragment</td><td>access_token, id_token</td><td>none</td></tr>
<tr><td>code token id_token</td><td>both scopes</td><td>fragment</td><td>code, access_token, id_token</td><td>access_token, id_token</td></tr>
</tbody></table>
<h3 id="fragment-response-mode">Fragment Response Mode</h3>
<p>Results</p>
<table><thead><tr><th>Response Type</th><th>Scope</th><th>Response Location</th><th>Returned Tokens</th><th>Token Exchange</th></tr></thead><tbody>
<tr><td>code</td><td>both scopes</td><td>query params</td><td>code</td><td>access_token, id_token</td></tr>
<tr><td>token</td><td>both scopes</td><td>fragment</td><td>access_token</td><td>none</td></tr>
<tr><td>id_token</td><td>both scopes</td><td>fragment</td><td>id_token</td><td>none</td></tr>
<tr><td>code token</td><td>both scopes</td><td>fragment</td><td>code, access_token</td><td>access_token, id_token</td></tr>
<tr><td>code id_token</td><td>both scopes</td><td>fragment</td><td>code, id_token</td><td>access_token, id_token</td></tr>
<tr><td>token id_token</td><td>both scopes</td><td>fragment</td><td>access_token, id_token</td><td>none</td></tr>
<tr><td>code token id_token</td><td>both scopes</td><td>fragment</td><td>code, access_token, id_token</td><td>access_token, id_token</td></tr>
</tbody></table>
<h3 id="form-post-response-mode">Form Post Response Mode</h3>
<p>Results</p>
<table><thead><tr><th>Response Type</th><th>Scope</th><th>Response Location</th><th>Returned Tokens</th><th>Token Exchange</th></tr></thead><tbody>
<tr><td>code</td><td>both scopes</td><td>form params</td><td>code</td><td>access_token, id_token</td></tr>
<tr><td>token</td><td>both scopes</td><td>form params</td><td>access_token</td><td>none</td></tr>
<tr><td>id_token</td><td>both scopes</td><td>form params</td><td>id_token</td><td>none</td></tr>
<tr><td>code token</td><td>both scopes</td><td>form params</td><td>code, access_token</td><td>access_token, id_token</td></tr>
<tr><td>code id_token</td><td>both scopes</td><td>form params</td><td>code, id_token</td><td>access_token, id_token</td></tr>
<tr><td>token id_token</td><td>both scopes</td><td>form params</td><td>access_token, id_token</td><td>none</td></tr>
<tr><td>code token id_token</td><td>both scopes</td><td>form params</td><td>code, access_token, id_token</td><td>access_token, id_token</td></tr>
</tbody></table>
<h3 id="key-observations-from">Key Observations from</h3>
<p>Results</p>
<ul>
<li>
<p><strong>OAuth2 Code Exchange Pattern</strong>: Any flow that
includes “code” triggers a token exchange, always returning both
access_token and id_token (full OIDC response)</p>
</li>
<li>
<p><strong>OIDC Response Location Consistency</strong>: Code-only
responses go to query_params in query/fragment modes, while any
responses containing tokens or ID tokens are delivered via URL fragments
(regardless of whether response_mode is query or fragment). Only
form_post mode consistently delivers all response types via the
specified method.</p>
</li>
<li>
<p><strong>Scope Independence</strong>: No difference in behavior
between “profile email” and “openid profile email” - OpenID scope is
always included, making all flows OIDC-compliant</p>
</li>
</ul>
<h2 id="security">Security</h2>
<p>Analysis: Most and Least Recommended OAuth2/OIDC Flows</p>
<h3 id="trophy-most">🏆 Most</h3>
<p>Recommended: Authorization Code Flow with Form Post</p>
<p><strong>Configuration</strong>: <code>response_type=code</code>,
<code>response_mode=form_post</code></p>
<p><strong>Why it’s secure:</strong> - No tokens in URLs or browser
history - Credentials don’t appear in server logs - Backend token
exchange enables client authentication (OAuth2) - Authorization code is
short-lived and single-use - Full OIDC compliance with secure ID token
delivery</p>
<p><strong>Implementation benefits:</strong> - Simple to implement and
debug - Reliable across all browsers - No client-side token handling
required - Works for both OAuth2 authorization and OIDC
authentication</p>
<h3 id="warning-least">⚠️ Least</h3>
<p>Recommended: Implicit and OIDC Implicit Flows</p>
<p><strong>Configuration</strong>: <code>response_type=token</code> or
<code>response_type=id_token</code></p>
<p><strong>Security concerns:</strong> - Tokens/ID tokens exposed in URL
fragments - No client authentication possible - Higher risk of token
leakage - ID tokens may be logged in browser history (OIDC security
risk)</p>
<p><strong>Functional limitations:</strong> - No refresh tokens
available - Shorter token lifetimes required - Limited error handling
capabilities - Deprecated in OAuth 2.1 draft</p>
<h2 id="practical-recommendations">Practical Recommendations</h2>
<h3 id="for-web-applications">For Web Applications</h3>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// Recommended: Authorization Code with Form Post + PKCE</span></span>
<span class="giallo-l"><span>const authUrl = `https://accounts.google.com/o/oauth2/v2/auth?` +</span></span>
<span class="giallo-l"><span> `response_type=code&` +</span></span>
<span class="giallo-l"><span> `response_mode=form_post&` +</span></span>
<span class="giallo-l"><span> `client_id=${clientId}&` +</span></span>
<span class="giallo-l"><span> `redirect_uri=${redirectUri}&` +</span></span>
<span class="giallo-l"><span> `scope=openid profile email&` +</span></span>
<span class="giallo-l"><span> `code_challenge=${codeChallenge}&` +</span></span>
<span class="giallo-l"><span> `code_challenge_method=S256&` +</span></span>
<span class="giallo-l"><span> `state=${state}`;</span></span></code></pre><h3 id="for-single-page-applications">For Single Page Applications</h3>
<p>(SPAs)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// Recommended: Use Backend-for-Frontend (BFF) Pattern</span></span>
<span class="giallo-l"><span>// SPA communicates with your BFF, BFF handles OAuth2/OIDC with provider</span></span>
<span class="giallo-l"><span>// BFF uses the secure web application flow:</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>const authUrl = `https://accounts.google.com/o/oauth2/v2/auth?` +</span></span>
<span class="giallo-l"><span> `response_type=code&` +</span></span>
<span class="giallo-l"><span> `response_mode=form_post&` +</span></span>
<span class="giallo-l"><span> `client_id=${clientId}&` +</span></span>
<span class="giallo-l"><span> `redirect_uri=${bffRedirectUri}&` + // Points to BFF, not SPA</span></span>
<span class="giallo-l"><span> `scope=openid profile email&` +</span></span>
<span class="giallo-l"><span> `code_challenge=${codeChallenge}&` +</span></span>
<span class="giallo-l"><span> `code_challenge_method=S256&` +</span></span>
<span class="giallo-l"><span> `state=${state}`;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>// Alternative: If BFF not feasible, Authorization Code + PKCE directly in SPA</span></span>
<span class="giallo-l"><span>const spaAuthUrl = `https://accounts.google.com/o/oauth2/v2/auth?` +</span></span>
<span class="giallo-l"><span> `response_type=code&` +</span></span>
<span class="giallo-l"><span> `response_mode=fragment&` +</span></span>
<span class="giallo-l"><span> `client_id=${clientId}&` +</span></span>
<span class="giallo-l"><span> `redirect_uri=${redirectUri}&` +</span></span>
<span class="giallo-l"><span> `scope=openid profile email&` +</span></span>
<span class="giallo-l"><span> `code_challenge=${codeChallenge}&` +</span></span>
<span class="giallo-l"><span> `code_challenge_method=S256&` +</span></span>
<span class="giallo-l"><span> `state=${state}`;</span></span></code></pre>
<p><strong>Note:</strong> For SPAs, the Backend-for-Frontend (BFF)
pattern is the recommended approach where your backend acts as the
OAuth2/OIDC Relying Party. The BFF can safely store client secrets,
handle token exchange, and manage session state. This avoids
browser-based security limitations and provides the most secure
implementation. If BFF is not feasible, use Authorization Code + PKCE
directly in the SPA, though this may require workarounds for
provider-specific limitations like Google’s client secret
requirement.</p>
<h3 id="security-enhancements">Security Enhancements</h3>
<p>Regardless of chosen flow, implement these security measures:</p>
<ul>
<li>
<p><strong>Always use PKCE</strong> for code-based flows
(OAuth2/OIDC)</p>
</li>
<li>
<p><strong>Implement state parameter</strong> for CSRF protection</p>
</li>
<li>
<p><strong>Use nonce parameter</strong> for OIDC ID token replay
protection</p>
</li>
<li>
<p><strong>Validate redirect URIs</strong> strictly</p>
</li>
<li>
<p><strong>Keep authorization codes short-lived</strong> (< 10
minutes)</p>
</li>
<li>
<p><strong>Verify ID token signatures</strong> and claims (OIDC)</p>
</li>
<li>
<p><strong>Validate token audiences</strong> and issuers</p>
</li>
</ul>
<h2 id="response-mode-comparison">Response Mode Comparison</h2>
<table><thead><tr><th>Response Mode</th><th>Security</th><th>Reliability</th><th>Use Case</th></tr></thead><tbody>
<tr><td><code>form_post</code></td><td>✅ Highest</td><td>✅ Excellent</td><td>Web applications</td></tr>
<tr><td><code>fragment</code></td><td>⚠️ Medium</td><td>✅ Good</td><td>SPAs, mobile apps</td></tr>
<tr><td><code>query</code></td><td>❌ Lowest</td><td>✅ Good</td><td>Legacy systems only</td></tr>
</tbody></table>
<h2 id="testing-your-own">Testing Your Own</h2>
<p>OAuth2/OIDC Implementation</p>
<p>The testing framework can be adapted for other OAuth2/OIDC
providers:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># Configuration for different providers</span></span>
<span class="giallo-l"><span>PROVIDERS = {</span></span>
<span class="giallo-l"><span> 'google': {</span></span>
<span class="giallo-l"><span> 'auth_endpoint': 'https://accounts.google.com/o/oauth2/v2/auth',</span></span>
<span class="giallo-l"><span> 'token_endpoint': 'https://oauth2.googleapis.com/token'</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> 'microsoft': {</span></span>
<span class="giallo-l"><span> 'auth_endpoint': 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',</span></span>
<span class="giallo-l"><span> 'token_endpoint': 'https://login.microsoftonline.com/common/oauth2/v2.0/token'</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h2 id="conclusion">Conclusion</h2>
<p>This systematic analysis reveals that OAuth2/OIDC flow selection
significantly impacts both security and implementation complexity. Key
takeaways:</p>
<ul>
<li>
<p><strong>Form Post mode</strong> provides the best security profile
for both OAuth2 and OIDC flows</p>
</li>
<li>
<p><strong>Authorization code flows</strong> remain the gold standard
for secure authentication and authorization</p>
</li>
<li>
<p><strong>Implicit flows</strong> should be avoided in favor of
code-based alternatives (deprecated in OAuth 2.1)</p>
</li>
<li>
<p><strong>OIDC scope normalization</strong> means most flows become
OpenID Connect flows automatically</p>
</li>
<li>
<p><strong>Consistent testing</strong> is essential for understanding
provider-specific behavior</p>
</li>
</ul>
<p>The OAuth2/OIDC landscape continues evolving, with new security
enhancements like PKCE and PAR (Pushed Authorization Requests) becoming
standard. However, the fundamental principles revealed through this
testing remain relevant: prioritize security, minimize token exposure,
understand the difference between OAuth2 authorization and OIDC
authentication, and thoroughly test your chosen configuration.</p>
<p>For production deployments, always combine empirical testing with
security best practices to ensure robust authentication and
authorization flows that protect both your application and your
users.</p>
<hr />
<p><em>The complete testing framework and detailed results are available
in the <a rel="external" href="https://gist.github.com/ktaka-ccmp/915a3680f04f1704742f13e898ca668d?permalink_comment_id=5665842#gistcomment-5665842">Gist
page</a>. Feel free to adapt the testing methodology for your own OAuth2
implementations.</em></p>
Google OAuth2/OIDC and PKCE: Understanding Client Secret Requirements
2025-07-07T00:00:00+00:00
2025-07-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2025/07/oogle-oauth2-and-pkce-understanding.html/
<p><em>A systematic test of Google’s OAuth2 PKCE implementation and its
implications for different application types.</em></p>
<p><strong>Key Finding</strong>: Google’s OAuth2 implementation requires
<code>client_secret</code> even when using PKCE for Web Application
client types, contrary to RFC 7636 standard expectations. This post
documents systematic testing that confirms this behavior and provides
architectural guidance for developers.</p>
<h2 id="background-pkce-and-public">Background: PKCE and Public</h2>
<p>Clients</p>
<p>PKCE (Proof Key for Code Exchange) was introduced in RFC 7636 to
address security concerns with public clients—applications that cannot
securely store credentials, such as mobile apps and single-page
applications (SPAs).</p>
<p>The standard OAuth2 flow requires a <code>client_secret</code>, but
PKCE provides an alternative mechanism:</p>
<ul>
<li>
<p>Generate a random <code>code_verifier</code></p>
</li>
<li>
<p>Create a <code>code_challenge</code> by hashing the verifier</p>
</li>
<li>
<p>Send the challenge with the authorization request</p>
</li>
<li>
<p>Exchange the authorization code using the verifier</p>
</li>
</ul>
<p>According to RFC 7636, this should eliminate the need for
<code>client_secret</code> in public clients.</p>
<h2 id="testing-google-s">Testing Google’s</h2>
<p>Implementation</p>
<p>I conducted a systematic test to understand how Google’s OAuth2
endpoints handle PKCE requests using a Web Application client type.</p>
<h3 id="test-setup">Test Setup</h3>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Generate PKCE parameters</span></span>
<span class="giallo-l"><span>code_verifier=$(openssl rand -base64 32 | tr -d "=+/" | cut -c1-43)</span></span>
<span class="giallo-l"><span>code_challenge=$(echo -n $code_verifier | openssl dgst -sha256 -binary | openssl base64 | tr -d '\n' | tr '+' '-' | tr '/' '_' | tr -d '=')</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>echo "=== PKCE Parameters ==="</span></span>
<span class="giallo-l"><span>echo "code_verifier: $code_verifier"</span></span>
<span class="giallo-l"><span>echo "code_challenge: $code_challenge"</span></span>
<span class="giallo-l"><span>echo ""</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># OAuth2 settings</span></span>
<span class="giallo-l"><span>client_id='[REDACTED_CLIENT_ID]'</span></span>
<span class="giallo-l"><span>redirect_uri='https://oauth2.example.com/result'</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Generate authorization URL</span></span>
<span class="giallo-l"><span>auth_url="https://accounts.google.com/o/oauth2/v2/auth?redirect_uri=${redirect_uri}&response_type=code&client_id=${client_id}&scope=openid+email+profile&access_type=online&code_challenge=${code_challenge}&code_challenge_method=S256&response_mode=fragment"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>echo "=== Authorization URL ==="</span></span>
<span class="giallo-l"><span>echo "$auth_url"</span></span>
<span class="giallo-l"><span>echo ""</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>echo "=== Token Exchange Command ==="</span></span>
<span class="giallo-l"><span>echo "curl -X POST \\"</span></span>
<span class="giallo-l"><span>echo " --data-urlencode \"code=\$CODE\" \\"</span></span>
<span class="giallo-l"><span>echo " --data-urlencode \"client_id=$client_id\" \\"</span></span>
<span class="giallo-l"><span>echo " --data-urlencode \"redirect_uri=$redirect_uri\" \\"</span></span>
<span class="giallo-l"><span>echo " --data-urlencode \"code_verifier=$code_verifier\" \\"</span></span>
<span class="giallo-l"><span>echo " -d 'grant_type=authorization_code' \\"</span></span>
<span class="giallo-l"><span>echo " https://oauth2.googleapis.com/token"</span></span></code></pre><h3 id="test-results">Test Results</h3>
<p><strong>Authorization Request</strong>: ✅ Successful Google accepted
the PKCE parameters (<code>code_challenge</code> and
<code>code_challenge_method=S256</code>) and returned an authorization
code.</p>
<p><strong>Token Exchange with PKCE only</strong>: ❌ Failed</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>curl -X POST \</span></span>
<span class="giallo-l"><span> --data-urlencode "code=$CODE" \</span></span>
<span class="giallo-l"><span> --data-urlencode "client_id=[REDACTED_CLIENT_ID]" \</span></span>
<span class="giallo-l"><span> --data-urlencode "redirect_uri=https://oauth2.example.com/result" \</span></span>
<span class="giallo-l"><span> --data-urlencode "code_verifier=[REDACTED_VERIFIER]" \</span></span>
<span class="giallo-l"><span> -d 'grant_type=authorization_code' \</span></span>
<span class="giallo-l"><span> https://oauth2.googleapis.com/token</span></span></code></pre>
<p><strong>Response:</strong></p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "error": "invalid_request",</span></span>
<span class="giallo-l"><span> "error_description": "client_secret is missing."</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h2 id="community-confirmation">Community Confirmation</h2>
<p>This limitation has been documented by the developer community:</p>
<p><strong>Stack Overflow Evidence:</strong> - <a rel="external" href="https://stackoverflow.com/questions/76528208/google-oauth-2-0-authorization-code-with-pkce-requires-a-client-secret">Google
OAuth 2.0 Authorization Code (with PKCE) requires a client secret</a> -
Multiple developers confirm this requirement - <a rel="external" href="https://stackoverflow.com/questions/78673050/is-a-client-secret-required-for-google-oauth-2-0-using-the-pkce-authorization-fl">Is
a Client Secret Required for Google OAuth 2.0 using the PKCE
Authorization Flow?</a> - Discussion of Google’s non-standard
implementation</p>
<p><strong>Google Cloud Community:</strong> - <a rel="external" href="https://www.googlecloudcommunity.com/gc/Developer-Tools/Authorization-Code-Flow-without-client-secret/m-p/814109">Authorization
Code Flow without client secret</a> - A Google representative
acknowledges: “Google’s Identity Platform as of today does not support
public applications under the ‘Web Application’ profile. Flows always
require a client_secret.”</p>
<p><strong>GitHub Issues:</strong> - <a rel="external" href="https://github.com/postmanlabs/postman-app-support/issues/9409">OAuth
2.0 with PKCE still requires client secret</a> - Tool developers
encounter this limitation</p>
<h2 id="understanding-the">Understanding the</h2>
<p>Implications</p>
<h3 id="for-server-side-applications">For Server-Side Applications</h3>
<p><strong>Recommendation</strong>: Use the traditional OAuth2 flow with
<code>client_secret</code> stored securely on your server.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>curl -X POST \</span></span>
<span class="giallo-l"><span> --data-urlencode "code=$code" \</span></span>
<span class="giallo-l"><span> --data-urlencode "client_id=$client_id" \</span></span>
<span class="giallo-l"><span> --data-urlencode "redirect_uri=$redirect_uri" \</span></span>
<span class="giallo-l"><span> -d "client_secret=$client_secret" \</span></span>
<span class="giallo-l"><span> -d 'grant_type=authorization_code' \</span></span>
<span class="giallo-l"><span> https://oauth2.googleapis.com/token</span></span></code></pre>
<p>This is the intended use case where <code>client_secret</code> can be
stored securely.</p>
<h3 id="for-single-page-applications">For Single-Page Applications</h3>
<p>(SPAs)</p>
<p><strong>Recommendation</strong>: Limit authentication to
<code>id_token</code> only and handle API access through your
backend.</p>
<p><strong>Critical Security Warning</strong>: Embedding a
<code>client_secret</code> in browser code exposes it to anyone with
access to the client, which is fundamentally insecure. This is why the
OAuth2 standard forbids it for public clients.</p>
<p>For SPAs that cannot securely store <code>client_secret</code>: 1.
Use the implicit flow or authorization code flow to obtain only
<code>id_token</code> for user authentication 2. Send the
<code>id_token</code> to your backend for verification 3. Handle Google
API calls from your backend using server-stored credentials</p>
<p>This approach separates authentication (client-side) from API access
(server-side).</p>
<p><strong>Note</strong>: As of this writing, Google’s official
documentation still directs SPAs toward the <a rel="external" href="https://developers.google.com/identity/protocols/oauth2/javascript-implicit-flow">implicit
flow</a>, which has been deprecated in OAuth 2.1 due to security
concerns. This inconsistency in guidance contributes to confusion around
best practices.</p>
<h3 id="for-mobile-and-desktop">For Mobile and Desktop</h3>
<p>Applications</p>
<p><strong>Current Reality</strong>: Google’s implementation requires
embedding <code>client_secret</code> in the application code.</p>
<p>Google’s documentation acknowledges this: “The process results in a
client ID and, in some cases, a client secret, which you embed in the
source code of your application. (In this context, the client secret is
obviously not treated as a secret.)”</p>
<p>While not ideal from a security perspective, this is Google’s
intended approach for native applications.</p>
<h2 id="technical-implementation">Technical Implementation</h2>
<p>Notes</p>
<h3 id="pkce-parameter-generation">PKCE Parameter Generation</h3>
<p>Google requires base64url encoding for the code challenge:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># Correct base64url encoding for Google</span></span>
<span class="giallo-l"><span>code_challenge=$(echo -n $code_verifier | openssl dgst -sha256 -binary | openssl base64 | tr -d '\n' | tr '+' '-' | tr '/' '_' | tr -d '=')</span></span></code></pre><h3 id="test-configuration">Test Configuration</h3>
<p>This testing used: - Web Application client type in Google Cloud
Console - Scopes: <code>openid email profile</code> - Standard OAuth2
endpoints (<code>https://accounts.google.com/o/oauth2/v2/auth</code> and
<code>https://oauth2.googleapis.com/token</code>) - PKCE method S256</p>
<h3 id="different-client-types">Different Client Types</h3>
<p>Google offers various OAuth2 client types that may have different
behaviors: - <strong>Web Application</strong>: In our testing, always
required <code>client_secret</code> - <strong>Android/iOS</strong>: May
have different requirements (needs further testing) -
<strong>Desktop</strong>: Reported to require secret but treat as
non-confidential - <strong>TV/Limited Input</strong>: Similar behavior
to desktop (based on community reports)</p>
<h2 id="summary-standard-vs-reality">Summary: Standard vs Reality</h2>
<p>According to OAuth2/PKCE standards, public clients should be able to
authenticate without embedding secrets. Here’s how Google’s
implementation compares:</p>
<table><thead><tr><th>Client Type</th><th>Standard PKCE (No Secret Needed)</th><th>Google’s Reality (Secret Required)</th><th>Security Impact</th></tr></thead><tbody>
<tr><td><strong>Server-side</strong></td><td>❌ No (secret required)</td><td>❌ No (secret required)</td><td>✅ Secure (secret stays on server)</td></tr>
<tr><td><strong>SPA (Browser)</strong></td><td>✅ Yes (recommended)</td><td>❌ No (not supported)</td><td>❌ Secret exposed to users</td></tr>
<tr><td><strong>Mobile/Desktop</strong></td><td>✅ Yes (recommended)</td><td>❌ No (not supported)</td><td>❌ Secret embedded in app</td></tr>
</tbody></table>
<p><strong>The Problem</strong>: Google requires secrets for all client
types, forcing developers to embed credentials in publicly distributed
code—exactly what PKCE was designed to prevent.</p>
<h2 id="architectural">Architectural</h2>
<p>Recommendations</p>
<h3 id="hybrid-approach-for-spas">Hybrid Approach for SPAs</h3>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Browser (SPA) → Authentication only (id_token)</span></span>
<span class="giallo-l"><span> ↓</span></span>
<span class="giallo-l"><span>Backend Server → API calls with client_secret</span></span></code></pre><h3 id="mobile-applications">Mobile Applications</h3>
<p>If using Google OAuth2 with mobile apps, implement additional
security measures: - Use certificate pinning - Implement runtime
application self-protection (RASP) - Monitor for application
tampering</p>
<h3 id="server-side-applications">Server-Side Applications</h3>
<p>Standard OAuth2 flow with proper secret management: - Store
<code>client_secret</code> in secure configuration - Use environment
variables or secret management systems - Rotate credentials
regularly</p>
<h2 id="community-feedback-welcome">Community Feedback Welcome</h2>
<p>The findings in this post are based on testing with a specific client
configuration (Web Application type) and may not represent all possible
scenarios. Google’s OAuth2 implementation is complex, with different
behaviors across client types, API versions, and configuration
options.</p>
<p><strong>If you have different results or experiences</strong>, please
share them: - Have you successfully used PKCE without client_secret with
Google OAuth2? - Do different client types (Android, iOS, Desktop)
behave differently? - Are there specific Google APIs or configurations
that work as expected? - Have there been recent changes to Google’s
implementation?</p>
<p>This post aims to document one specific finding to help other
developers, but the OAuth2 landscape is constantly evolving.
Contradicting evidence or alternative approaches would be valuable
additions to the community’s understanding.</p>
<h2 id="conclusion">Conclusion</h2>
<p>Google’s OAuth2 implementation requires <code>client_secret</code>
even when using PKCE for Web Application client types, which differs
from the RFC 7636 standard. This finding, supported by community
reports, indicates a consistent pattern in Google’s implementation.</p>
<p>Understanding this behavior helps in choosing appropriate
architectural patterns:</p>
<ul>
<li>
<p><strong>Server-side applications</strong>: Use standard OAuth2 with
secure secret storage</p>
</li>
<li>
<p><strong>SPAs</strong>: Limit to authentication-only flows, handle
API access server-side</p>
</li>
<li>
<p><strong>Mobile/Desktop</strong>: Accept the embedded secret
limitation or use hybrid architectures</p>
</li>
</ul>
<p>When implementing OAuth2 with Google, design your architecture around
these observed constraints. While other client types may behave
differently, the Web Application type consistently requires client
secrets alongside PKCE.</p>
<h2 id="references">References</h2>
<ul>
<li>
<p><a rel="external" href="https://tools.ietf.org/html/rfc7636">RFC 7636 - Proof Key
for Code Exchange by OAuth Public Clients</a></p>
</li>
<li>
<p><a rel="external" href="https://developers.google.com/identity/protocols/oauth2">Google
OAuth 2.0 Documentation</a></p>
</li>
<li>
<p><a rel="external" href="https://developers.google.com/identity/protocols/oauth2/native-app">Google
OAuth 2.0 for Mobile & Desktop Apps</a></p>
</li>
<li>
<p><a rel="external" href="https://developers.google.com/identity/protocols/oauth2/javascript-implicit-flow">Google
OAuth 2.0 JavaScript Implicit Flow</a></p>
</li>
<li>
<p><a rel="external" href="https://support.google.com/cloud/answer/15549257">Manage
OAuth Clients - Google Cloud Platform Console Help</a></p>
</li>
<li>
<p><a rel="external" href="https://stackoverflow.com/questions/76528208/google-oauth-2-0-authorization-code-with-pkce-requires-a-client-secret">Stack
Overflow: Google OAuth 2.0 Authorization Code (with PKCE) requires a
client secret</a></p>
</li>
<li>
<p><a rel="external" href="https://www.googlecloudcommunity.com/gc/Developer-Tools/Authorization-Code-Flow-without-client-secret/m-p/814109">Google
Cloud Community: Authorization Code Flow without client secret</a></p>
</li>
</ul>
Implementing Passkeys Authentication in Rust with Axum
2025-01-17T00:00:00+00:00
2025-01-17T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2025/01/implementing-passkeys-authentication-in-rust-axum.html/
<h1 id="introduction">Introduction</h1>
<p>As a developer learning web programming and authentication in Rust, I
recently undertook the challenge of implementing WebAuthn Passkeys using
the Axum web framework. In this post, I'll share my experience building
a basic Passkey authentication system from scratch, without relying on
full-featured WebAuthn library crates.</p>
<p>To keep things concise, I’ve included simplified code snippets for
key components. The full implementation is available in my <a rel="external" href="https://github.com/ktaka-ccmp/axum-passkey">GitHub
repository</a>.</p>
<p><video width="600" height="600" src="/2025/01/implementing-passkeys-authentication-in-rust-axum.html/image/blog-20250117-01.mp4" controls autoplay loop></video></p>
<h1 id="understanding-webauthn-and">Understanding WebAuthn and</h1>
<p>Passkeys</p>
<p>WebAuthn is a W3C standard for passwordless authentication that uses
public-key cryptography. The private keys are stored securely on user
devices while public keys remain on servers. WebAuthn supports both
platform authenticators (like Windows Hello or Touch ID) and roaming
authenticators (like security keys).</p>
<p>Passkeys extend WebAuthn by adding seamless account recovery through
cloud-synced credentials. They integrate with platform authenticators
like Google Password Manager or Apple Keychain, enabling users to
authenticate using biometrics or PINs across their devices. This
implementation is built on the FIDO2 protocol, which standardizes the
authentication flow and user interface.</p>
<h1 id="the-webauthn-flow">The WebAuthn Flow</h1>
<p>WebAuthn authentication involves two main phases: registration and
authentication. Let's examine how each phase works and then implement
them.</p>
<h2 id="registration-flow">Registration Flow</h2>
<p>During registration, the server first generates a cryptographic
challenge and sends it to the client along with registration options.
The client then requests its authenticator to create a new key pair and
generate an attestation object containing the public key. This
attestation object is sent back to the server, which verifies it and
stores the public key for future authentication.</p>
<img src="/2025/01/implementing-passkeys-authentication-in-rust-axum.html/image/fig-1.png" width="80%">
<p>The attestation object returned by the authenticator contains
authenticator data (including the new public key) and an attestation
statement that provides information about the authenticator itself. This
allows the server to verify the authenticator's authenticity and
securely obtain the user's public key.</p>
<h2 id="authentication-flow">Authentication Flow</h2>
<p>The authentication process begins with the server generating a new
challenge. The authenticator then signs this challenge using the user's
private key, and the server verifies the signature using the stored
public key.</p>
<img src="/2025/01/implementing-passkeys-authentication-in-rust-axum.html/image/fig-2.png" width="80%">
<h1 id="client-side-implementation">Client-Side Implementation</h1>
<p>The client-side implementation handles both registration and
authentication flows using the WebAuthn browser APIs. Let's walk through
each process step by step.</p>
<h2 id="registration-implementation">Registration Implementation</h2>
<p>The registration process begins by requesting options from the
server. This establishes the parameters for creating a new
credential:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>const response = await fetch('/register/start', {</span></span>
<span class="giallo-l"><span> method: 'POST',</span></span>
<span class="giallo-l"><span> headers: { 'Content-Type': 'application/json' },</span></span>
<span class="giallo-l"><span> body: JSON.stringify(username)</span></span>
<span class="giallo-l"><span>});</span></span>
<span class="giallo-l"><span>const options = await response.json();</span></span></code></pre>
<p>The server responds with registration options that specify how the
credential should be created. Here are the key parameters:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "challenge": "base64url-encoded-random-bytes",</span></span>
<span class="giallo-l"><span> "rp_id": "example.com",</span></span>
<span class="giallo-l"><span> "user": {</span></span>
<span class="giallo-l"><span> "id": "user-uuid",</span></span>
<span class="giallo-l"><span> "name": "username"</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> "authenticatorSelection": {</span></span>
<span class="giallo-l"><span> "authenticatorAttachment": "platform",</span></span>
<span class="giallo-l"><span> "residentKey": "required"</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>The challenge is a one-time cryptographic value that prevents replay
attacks. The rp_id binds the credential to our domain for phishing
protection, while the user.id provides a stable identifier for the
credential. The authenticatorSelection parameters determine how the
credential will be stored and used.</p>
<p>With these options, we can create the credential using the WebAuthn
API:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>const credential = await navigator.credentials.create({</span></span>
<span class="giallo-l"><span> publicKey: {</span></span>
<span class="giallo-l"><span> challenge: base64URLToBuffer(options.challenge),</span></span>
<span class="giallo-l"><span> rp: { id: options.rp_id },</span></span>
<span class="giallo-l"><span> user: {</span></span>
<span class="giallo-l"><span> id: base64URLToBuffer(options.user.id),</span></span>
<span class="giallo-l"><span> name: options.user.name</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>});</span></span></code></pre>
<p>This code triggers the authenticator to generate a new key pair. In
principle, the private key never leaves the authenticator, while the
public key is included in the response. We then send this response back
to the server:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>await fetch('/register/finish', {</span></span>
<span class="giallo-l"><span> method: 'POST',</span></span>
<span class="giallo-l"><span> headers: { 'Content-Type': 'application/json' },</span></span>
<span class="giallo-l"><span> body: JSON.stringify({</span></span>
<span class="giallo-l"><span> id: credential.id,</span></span>
<span class="giallo-l"><span> rawId: bufferToBase64URL(credential.rawId),</span></span>
<span class="giallo-l"><span> response: {</span></span>
<span class="giallo-l"><span> attestationObject: bufferToBase64URL(credential.response.attestationObject),</span></span>
<span class="giallo-l"><span> client_data_json: bufferToBase64URL(credential.response.clientDataJSON)</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> user_handle: options.user.id</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span>});</span></span></code></pre>
<p>The server will verify this response and store the public key for
future authentications.</p>
<h2 id="authentication">Authentication</h2>
<p>Implementation</p>
<p>The authentication flow follows a similar pattern but focuses on
proving possession of an existing credential. We start by requesting
authentication options:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>const response = await fetch('/auth/start', { method: 'POST' });</span></span>
<span class="giallo-l"><span>const options = await response.json();</span></span></code></pre>
<p>The server provides a challenge and information about accepted
credentials:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "challenge": "base64url-encoded-random-bytes",</span></span>
<span class="giallo-l"><span> "rp_id": "example.com",</span></span>
<span class="giallo-l"><span> // Sending "allow_credentials" is optional for discoverable credentials.</span></span>
<span class="giallo-l"><span> "allow_credentials": [</span></span>
<span class="giallo-l"><span> {</span></span>
<span class="giallo-l"><span> "type": "public-key",</span></span>
<span class="giallo-l"><span> "id": "credential-id"</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> ]</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Using these options, we ask the authenticator to sign the challenge
with the private key:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>const assertion = await navigator.credentials.get({</span></span>
<span class="giallo-l"><span> publicKey: {</span></span>
<span class="giallo-l"><span> challenge: base64URLToBuffer(options.challenge),</span></span>
<span class="giallo-l"><span> rpId: options.rp_id,</span></span>
<span class="giallo-l"><span> allowCredentials: options.allow_credentials.map(cred => ({</span></span>
<span class="giallo-l"><span> id: base64URLToBuffer(cred.id),</span></span>
<span class="giallo-l"><span> type: cred.type</span></span>
<span class="giallo-l"><span> }))</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>});</span></span></code></pre>
<p>The authenticator will prompt the user for consent (and potentially
biometric verification) before signing. We then send the signed
assertion to the server:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>await fetch('/auth/verify', {</span></span>
<span class="giallo-l"><span> method: 'POST',</span></span>
<span class="giallo-l"><span> headers: { 'Content-Type': 'application/json' },</span></span>
<span class="giallo-l"><span> body: JSON.stringify({</span></span>
<span class="giallo-l"><span> id: assertion.id,</span></span>
<span class="giallo-l"><span> response: {</span></span>
<span class="giallo-l"><span> signature: bufferToBase64URL(credential.response.signature),</span></span>
<span class="giallo-l"><span> authenticator_data: bufferToBase64URL(credential.response.authenticatorData),</span></span>
<span class="giallo-l"><span> client_data_json: bufferToBase64URL(credential.response.clientDataJSON),</span></span>
<span class="giallo-l"><span> user_handle: bufferToBase64URL(credential.response.userHandle)</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span>});</span></span></code></pre><h1 id="server-implementation-in">Server Implementation in</h1>
<p>Rust</p>
<p>The server side of our WebAuthn implementation handles credential
storage, challenge generation, and cryptographic verification. Our
Axum-based implementation is organized into focused modules that handle
different aspects of the authentication process:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>src/</span></span>
<span class="giallo-l"><span>├── main.rs # Server setup and routing</span></span>
<span class="giallo-l"><span>├── passkey.rs # Module definitions</span></span>
<span class="giallo-l"><span>└── passkey/</span></span>
<span class="giallo-l"><span> ├── attestation.rs # Attestation verification</span></span>
<span class="giallo-l"><span> ├── auth.rs # Authentication handling</span></span>
<span class="giallo-l"><span> └── register.rs # Registration handling</span></span></code></pre>
<p>The attestation module verifies new credentials during registration,
the auth module handles login attempts, and the register module manages
the credential creation process.</p>
<h2 id="state-management">State Management</h2>
<p>Before diving into the handlers, let's look at how we manage
server-side state:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#[derive(Clone)]</span></span>
<span class="giallo-l"><span>pub(crate) struct AppState {</span></span>
<span class="giallo-l"><span> store: ArcMutexAuthStore>>,</span></span>
<span class="giallo-l"><span> config: AppConfig,</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>This structure provides thread-safe access to our storage and
configuration. The AuthStore handles both temporary challenges and
permanent credentials:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#[derive(Default)]</span></span>
<span class="giallo-l"><span>struct AuthStore {</span></span>
<span class="giallo-l"><span> challenges: HashMapString, StoredChallenge>,</span></span>
<span class="giallo-l"><span> credentials: HashMapString, StoredCredential>,</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>For a production environment, you'd replace these HashMaps with
proper databases - perhaps Redis for challenges and PostgreSQL for
credentials.</p>
<h2 id="registration-handler">Registration Handler</h2>
<p>Implementation</p>
<p>The registration process consists of two main functions. The
start_registration function creates a new user identity and challenge,
preparing the server side for credential creation:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn start_registration(</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> Json(username): JsonString>,</span></span>
<span class="giallo-l"><span>) -> JsonRegistrationOptions> {</span></span>
<span class="giallo-l"><span> // Generate challenge and create user info</span></span>
<span class="giallo-l"><span> let challenge = generate_challenge();</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let user_info = PublicKeyCredentialUserEntity {</span></span>
<span class="giallo-l"><span> id: Uuid::new_v4().to_string(),</span></span>
<span class="giallo-l"><span> name: username.clone(),</span></span>
<span class="giallo-l"><span> display_name: username.clone(),</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Store challenge for verification</span></span>
<span class="giallo-l"><span> let stored_challenge = StoredChallenge {</span></span>
<span class="giallo-l"><span> challenge: challenge.clone(),</span></span>
<span class="giallo-l"><span> user: user_info.clone(),</span></span>
<span class="giallo-l"><span> timestamp: SystemTime::now()...</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let mut store = state.store.lock().await;</span></span>
<span class="giallo-l"><span> store</span></span>
<span class="giallo-l"><span> .challenges</span></span>
<span class="giallo-l"><span> .insert(user_info.id.clone(), stored_challenge);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Return registration options</span></span>
<span class="giallo-l"><span> Json(RegistrationOptions {</span></span>
<span class="giallo-l"><span> challenge: URL_SAFE.encode(&challenge),</span></span>
<span class="giallo-l"><span> rp_id: state.config.rp_id.clone(),</span></span>
<span class="giallo-l"><span> // ...other options</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>The finish_registration function processes the authenticator's
response, verifying the attestation and storing the new credential:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn finish_registration(</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> Json(reg_data): JsonRegisterCredential>,</span></span>
<span class="giallo-l"><span>) -> Result'static str, (StatusCode, String)> {</span></span>
<span class="giallo-l"><span> let mut store = state.store.lock().await;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Verify the challenge and client data</span></span>
<span class="giallo-l"><span> verify_client_data(&state, &reg_data, &store).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Extract the public key from attestation</span></span>
<span class="giallo-l"><span> let public_key = extract_credential_public_key(&reg_data, &state)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Store credential with user info</span></span>
<span class="giallo-l"><span> let credential_id = base64url_decode(&reg_data.raw_id)?;</span></span>
<span class="giallo-l"><span> let stored_user = store.challenges.get(&reg_data.user_handle)?.user.clone();</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> store.credentials.insert(</span></span>
<span class="giallo-l"><span> reg_data.raw_id.clone(),</span></span>
<span class="giallo-l"><span> StoredCredential {</span></span>
<span class="giallo-l"><span> credential_id,</span></span>
<span class="giallo-l"><span> public_key,</span></span>
<span class="giallo-l"><span> counter: 0,</span></span>
<span class="giallo-l"><span> user: stored_user,</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Remove used challenge</span></span>
<span class="giallo-l"><span> store.challenges.remove(&reg_data.user_handle);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Ok("Registration successful")</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>This function performs several critical security checks:</p>
<ul>
<li>
<p>Verifies that the client data matches expectations (challenge,
origin, operation type)</p>
</li>
<li>
<p>Extracts and verifies the public key from the attestation
object</p>
</li>
<li>
<p>Stores the credential with associated user information</p>
</li>
<li>
<p>Removes the used challenge to prevent replay attacks</p>
</li>
</ul>
<h2 id="authentication-handler">Authentication Handler</h2>
<p>Implementation</p>
<p>The authentication process also uses two main functions. The
start_authentication function generates a new challenge for an
authentication attempt:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn start_authentication(</span></span>
<span class="giallo-l"><span> State(state): StateAppState></span></span>
<span class="giallo-l"><span>) -> JsonAuthenticationOptions> {</span></span>
<span class="giallo-l"><span> // Generate new challenge</span></span>
<span class="giallo-l"><span> let challenge = generate_challenge();</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Create auth ID for this session</span></span>
<span class="giallo-l"><span> let auth_id = Uuid::new_v4().to_string();</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Store challenge for verification</span></span>
<span class="giallo-l"><span> let stored_challenge = StoredChallenge {</span></span>
<span class="giallo-l"><span> challenge: challenge.clone(),</span></span>
<span class="giallo-l"><span> user: Default::default(),</span></span>
<span class="giallo-l"><span> timestamp: SystemTime::now()...</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let mut store = state.store.lock().await;</span></span>
<span class="giallo-l"><span> store.challenges.insert(auth_id.clone(), stored_challenge);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Return auth options</span></span>
<span class="giallo-l"><span> Json(AuthenticationOptions {</span></span>
<span class="giallo-l"><span> challenge: URL_SAFE.encode(&challenge),</span></span>
<span class="giallo-l"><span> rp_id: state.config.rp_id.clone(),</span></span>
<span class="giallo-l"><span> // ... other options</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>The verify_authentication function processes the authenticator's
signed assertion, verifying the signature and associated data:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn verify_authentication(</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> Json(auth_response): JsonAuthenticatorResponse>,</span></span>
<span class="giallo-l"><span>) -> Result'static str, (StatusCode, String)> {</span></span>
<span class="giallo-l"><span> // Verify client data</span></span>
<span class="giallo-l"><span> let client_data = ParsedClientData::from_base64(&auth_response.response.client_data_json)?;</span></span>
<span class="giallo-l"><span> client_data.verify(&state, &stored_challenge.challenge)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Verify authenticator data</span></span>
<span class="giallo-l"><span> let auth_data = AuthenticatorData::from_base64(&auth_response.response.authenticator_data)?;</span></span>
<span class="giallo-l"><span> auth_data.verify(&state)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Verify signature</span></span>
<span class="giallo-l"><span> let credential = store.credentials.get(&auth_response.id)?;</span></span>
<span class="giallo-l"><span> let public_key = UnparsedPublicKey::new(verification_algorithm, &credential.public_key);</span></span>
<span class="giallo-l"><span> public_key.verify(&signed_data, &signature)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Ok("Authentication successful")</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>This function performs three main security checks:</p>
<ul>
<li>
<p>Verifies the client data (challenge, origin, operation type)</p>
</li>
<li>
<p>Validates the authenticator data (RP ID hash, user presence,
verification status)</p>
</li>
<li>
<p>Verifies the signature using the stored public key</p>
</li>
</ul>
<p>If these verifications are successful, a session can be created and
the user is regarded as logged in.</p>
<h1 id="webauthn-data">WebAuthn Data</h1>
<p>Structures and API Formats</p>
<p>Having seen both the client and server implementations, it's
important to understand how they communicate with each other. While the
WebAuthn standard precisely defines how browsers interact with
authenticators, it doesn't specify how WebAuthn data should be
transmitted between clients and servers. This gives implementations
flexibility in designing their API formats.</p>
<h2 id="data-flow-and">Data Flow and</h2>
<p>Transformations</p>
<p>The WebAuthn API deals with binary data in ArrayBuffer format, but
this needs to be transformed for client-server communication:</p>
<img src="/2025/01/implementing-passkeys-authentication-in-rust-axum.html/image/fig-3.png" width="80%">
<p>Our implementation makes several key design choices for data
transport:</p>
<ul>
<li>
<p>Uses JSON format for easy parsing and debugging</p>
</li>
<li>
<p>Base64url-encodes binary data for safe transport in JSON</p>
</li>
<li>
<p>Renames fields to match language conventions (camelCase in JS,
snake_case in Rust)</p>
</li>
<li>
<p>Omits optional fields to simplify the implementation</p>
</li>
<li>
<p>Makes some optional fields required where it helps our
implementation</p>
</li>
</ul>
<h2 id="registration-data-structures">Registration Data Structures</h2>
<h3 id="standard-webauthn-interfaces">Standard WebAuthn Interfaces</h3>
<p>The browser's <code>navigator.credentials.create()</code> accepts
<code>PublicKeyCredentialCreationOptions</code>:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>PublicKeyCredentialCreationOptions {</span></span>
<span class="giallo-l"><span> challenge: BufferSource, // Random bytes to prevent replay attacks</span></span>
<span class="giallo-l"><span> rp: {</span></span>
<span class="giallo-l"><span> id: string, // Domain name for phishing protection</span></span>
<span class="giallo-l"><span> name: string // Display name for the service</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> user: {</span></span>
<span class="giallo-l"><span> id: BufferSource, // Stable identifier for the user</span></span>
<span class="giallo-l"><span> name: string, // Username (can change)</span></span>
<span class="giallo-l"><span> displayName: string // User's full name or display name</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> // Allowed public key parameters</span></span>
<span class="giallo-l"><span> pubKeyCredParams: [{</span></span>
<span class="giallo-l"><span> type: "public-key", // Currently only "public-key" is supported</span></span>
<span class="giallo-l"><span> alg: number // Cryptographic algorithm identifier</span></span>
<span class="giallo-l"><span> }],</span></span>
<span class="giallo-l"><span> // Optional authenticator preferences</span></span>
<span class="giallo-l"><span> authenticatorSelection?: {</span></span>
<span class="giallo-l"><span> authenticatorAttachment?: "platform" | "cross-platform",</span></span>
<span class="giallo-l"><span> residentKey?: "required" | "preferred" | "discouraged",</span></span>
<span class="giallo-l"><span> userVerification?: "required" | "preferred" | "discouraged"</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> timeout?: number // Operation timeout in milliseconds</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>And returns <code>AuthenticatorAttestationResponse</code>:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>AuthenticatorAttestationResponse {</span></span>
<span class="giallo-l"><span> clientDataJSON: ArrayBuffer, // JSON containing challenge, origin, and type</span></span>
<span class="giallo-l"><span> attestationObject: ArrayBuffer // CBOR-encoded attestation data</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="our-implementation-s-api">Our Implementation's API</h3>
<p>Format</p>
<p>Our server's <code>/register/start</code> endpoint returns:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "challenge": "base64url-encoded-random-bytes",</span></span>
<span class="giallo-l"><span> "rp_id": "example.com",</span></span>
<span class="giallo-l"><span> "user": {</span></span>
<span class="giallo-l"><span> "id": "user-uuid", // String UUID for easier handling</span></span>
<span class="giallo-l"><span> "name": "username"</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> "authenticatorSelection": {</span></span>
<span class="giallo-l"><span> "authenticatorAttachment": "platform", // Prefer platform authenticators</span></span>
<span class="giallo-l"><span> "residentKey": "required" // Require discoverable credentials</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>And our <code>/register/finish</code> endpoint accepts:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "id": "credential-id", // Base64url credential identifier</span></span>
<span class="giallo-l"><span> "rawId": "base64url-encoded-credential-id",</span></span>
<span class="giallo-l"><span> "response": {</span></span>
<span class="giallo-l"><span> "attestationObject": "base64url-encoded-attestation-object",</span></span>
<span class="giallo-l"><span> "client_data_json": "base64url-encoded-client-data"</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> "user_handle": "user-uuid" // Links credential to user account</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Design choices for registration:</p>
<ul>
<li>
<p>Base64url-encode all binary data (challenge, credential ID,
attestation object)</p>
</li>
<li>
<p>Use string UUID for user.id instead of binary format</p>
</li>
<li>
<p>Require platform authenticators and resident keys for better UX</p>
</li>
<li>
<p>Add explicit user_handle to maintain credential-user connection</p>
</li>
<li>
<p>Omit timeout and other optional fields for simplicity</p>
</li>
</ul>
<h2 id="authentication-data">Authentication Data</h2>
<p>Structures</p>
<h3 id="standard-webauthn">Standard WebAuthn</h3>
<p>Interfaces</p>
<p>The browser's <code>navigator.credentials.get()</code> accepts
<code>PublicKeyCredentialRequestOptions</code>:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>PublicKeyCredentialRequestOptions {</span></span>
<span class="giallo-l"><span> challenge: BufferSource, // Random bytes to prevent replay attacks</span></span>
<span class="giallo-l"><span> rpId?: string, // Optional domain name restriction</span></span>
<span class="giallo-l"><span> allowCredentials?: [{ // Optional list of allowed credentials</span></span>
<span class="giallo-l"><span> type: "public-key",</span></span>
<span class="giallo-l"><span> id: BufferSource // Credential identifier</span></span>
<span class="giallo-l"><span> }],</span></span>
<span class="giallo-l"><span> // Optional user verification requirement</span></span>
<span class="giallo-l"><span> userVerification?: "required" | "preferred" | "discouraged",</span></span>
<span class="giallo-l"><span> timeout?: number // Operation timeout in milliseconds</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>And returns <code>AuthenticatorAssertionResponse</code>:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>AuthenticatorAssertionResponse {</span></span>
<span class="giallo-l"><span> clientDataJSON: ArrayBuffer, // JSON containing challenge, origin, and type</span></span>
<span class="giallo-l"><span> authenticatorData: ArrayBuffer, // CBOR-encoded authenticator data</span></span>
<span class="giallo-l"><span> signature: ArrayBuffer, // Cryptographic signature</span></span>
<span class="giallo-l"><span> userHandle?: ArrayBuffer // Optional user identifier</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="our-implementation-s-api-1">Our Implementation's API</h3>
<p>Format</p>
<p>Our server's <code>/auth/start</code> endpoint returns:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "challenge": "base64url-encoded-random-bytes",</span></span>
<span class="giallo-l"><span> "rp_id": "example.com",</span></span>
<span class="giallo-l"><span> // Optional for discoverable credentials</span></span>
<span class="giallo-l"><span> "allow_credentials": [</span></span>
<span class="giallo-l"><span> {</span></span>
<span class="giallo-l"><span> "type": "public-key",</span></span>
<span class="giallo-l"><span> "id": "credential-id"</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> ]</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>And our <code>/auth/verify</code> endpoint accepts:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> "id": "credential-id",</span></span>
<span class="giallo-l"><span> "response": {</span></span>
<span class="giallo-l"><span> "signature": "base64url-encoded-signature",</span></span>
<span class="giallo-l"><span> "authenticator_data": "base64url-encoded-authenticator-data",</span></span>
<span class="giallo-l"><span> "client_data_json": "base64url-encoded-client-data",</span></span>
<span class="giallo-l"><span> "user_handle": "base64url-encoded-user-handle"</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Design choices for authentication:</p>
<ul>
<li>
<p>Base64url-encode all binary data for transport</p>
</li>
<li>
<p>Use snake_case in API for consistency with Rust</p>
</li>
<li>
<p>Make user_handle required to simplify user lookup</p>
</li>
<li>
<p>Support discoverable credentials by making allow_credentials
optional</p>
</li>
<li>
<p>Omit timeout and user verification preferences for simplicity</p>
</li>
</ul>
<p>The client-side JavaScript handles all necessary conversions between
WebAuthn's ArrayBuffer format and our API's JSON format, using base64url
encoding for binary data. This separation of concerns keeps our API
clean while maintaining compatibility with the WebAuthn standard.</p>
<h1 id="what-s-next">What's Next</h1>
<p>While this basic implementation demonstrates the core concepts of
WebAuthn Passkeys, several enhancements would make it
production-ready:</p>
<h2 id="session-management">Session management</h2>
<p>In production session management using session cookie or
"Authentication: bearer token" header. This will enable us to identify
access from authenticated users.</p>
<h2 id="oauth2-oidc-integration">OAuth2/OIDC integration</h2>
<p>The system could integrate with OAuth2/OIDC providers like Google or
Apple, enabling single sign-on and unified account management. This
would allow users to seamlessly link their Passkey credentials with
existing accounts.</p>
<h2 id="storage">Storage</h2>
<p>The current in-memory storage would need to be replaced with proper
databases - SQL for user credentials and Redis for temporary challenge
states. This would provide the scalability and persistence needed for
production use.</p>
<h1 id="conclusion">Conclusion</h1>
<p>Building a WebAuthn Passkey implementation from scratch was an
enlightening experience that provided deep insights into both modern
authentication and Rust web development. The experience showed how
standards like WebAuthn and tools like Rust can make secure
authentication more accessible to developers, while still demanding
careful attention to security considerations.</p>
<p>While implementing core functionality from scratch proved to be an
invaluable learning experience, production systems should rely on
established, well-tested WebAuthn libraries that have undergone security
audits. The insights gained from this exercise, however, will prove
valuable when working with these production libraries, as understanding
WebAuthn's internals helps make better architectural decisions.</p>
<h1 id="resources">Resources</h1>
<ul>
<li>
<p><a rel="external" href="https://w3c.github.io/webauthn/">WebAuthn Specification</a></p>
</li>
<li>
<p>Official W3C standard</p>
</li>
<li>
<p><a rel="external" href="https://webauthn.guide/">WebAuthn Guide</a> - A practical
guide to implementing WebAuthn</p>
</li>
<li>
<p><a rel="external" href="https://passkeys.dev/">Passkeys.dev</a> - Best practices
for Passkey implementation</p>
</li>
<li>
<p><a rel="external" href="https://webauthn.io/">WebAuthn.io</a> - Interactive demo
and debugging tool</p>
</li>
</ul>
Axum Google OAuth2/OIDC implementation
2024-12-05T00:00:00+00:00
2024-12-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2024/12/axum-google-oauth2oidc-implementation.html/
<h2 id="introduction">Introduction</h2>
<p>Modern web applications often rely on OAuth2/OIDC for secure user
authentication. As part of a recent exploration into Rust and Axum, I
implemented a login system that integrates Google OAuth2. In this post,
I’ll walk through the details of the implementation, covering both the
theoretical aspects and practical steps involved in building a secure
authentication system.</p>
<p>To keep things concise, I’ve included simplified code snippets for
key components. The full implementation is available in my <a rel="external" href="https://github.com/ktaka-ccmp/axum-google-oauth2">GitHub
repository</a>.</p>
<p><video width="600" height="600" src="/2024/12/axum-google-oauth2oidc-implementation.html/image/blog-20241206-02.mp4" controls autoplay loop></video></p>
<h2 id="overview">Overview</h2>
<h3 id="what-are-oauth2-and-openid">What Are OAuth2 and OpenID</h3>
<p>Connect?</p>
<p>OAuth2 and OpenID Connect (OIDC) are key to modern authentication
systems, and understanding how they fit together can make implementing
secure authentication easier.</p>
<p>OAuth2 serves as a foundation, allowing users to grant applications
access to their resources without sharing credentials. Applications
interact with these resources through access tokens. For this
implementation, I used the authorization code flow, a secure and widely
adopted approach, to retrieve user information from the identity
provider.</p>
<p>OIDC builds on OAuth2, adding a standardized layer for
authentication. While OAuth2 focuses on “what can this app access?”,
OIDC answers “who is this user?” It introduces the ID token, a JSON Web
Token (JWT) that contains verified user identity information. This makes
it possible to authenticate users while managing access permissions in a
single, unified flow.</p>
<p>In a nutshell, OAuth2 becomes more secure when extended with the ID
token under the OIDC standard.</p>
<h3 id="how-authentication-works">How Authentication Works:</h3>
<p>Key Concepts</p>
<h4 id="basic-authentication-flow">Basic Authentication Flow</h4>
<p>This implementation follows a well-defined sequence for
authentication:</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation.html/image/fig-1.png" width="80%">
<p>The process begins when a user clicks the login button, which opens a
popup and redirects to Google’s authentication page. After a successful
login, Google returns an authorization code that the server exchanges
for tokens. The server verifies ID token, creates a user session, and
sets a session cookie in the response to the browser, completing the
authentication flow. The user is subsequently identified by this cookie
in all future requests.</p>
<h4 id="how-session-cookies-work">How Session Cookies Work</h4>
<p>Session cookies play a central role in maintaining authenticated
access. Once the server sets a session cookie during login, it is
automatically included in future browser requests. To ensure secure
session management, I used several measures:</p>
<ul>
<li>
<p><strong>HttpOnly flag</strong>: Prevents client-side script access
to cookies.</p>
</li>
<li>
<p><strong>Secure flag</strong>: Ensures cookies are only transmitted
over HTTPS.</p>
</li>
<li>
<p><strong>SameSite settings</strong>: Protects against CSRF
attacks.</p>
</li>
<li>
<p><strong><code>__Host-</code> prefix:</strong> Enforces HTTPS and
host-specific restrictions.</p>
</li>
</ul>
<p>These settings work together to maintain secure authentication
states, even across multiple tabs.</p>
<h4 id="oauth2-parameters">OAuth2 Parameters</h4>
<p>OAuth2 and OIDC define several parameters critical to the
authentication process. Here’s how I approached configuring some of the
key parameters:</p>
<ul>
<li>
<p><strong><code>response_type</code></strong>: Set to
<code>code</code>, as it securely delivers an authorization code.</p>
</li>
<li>
<p><strong><code>response_mode</code></strong>: Used
<code>form_post</code> for better security by avoiding sensitive data in
URLs.</p>
</li>
<li>
<p><strong><code>scope</code></strong>: Requested <code>openid</code>,
<code>email</code>, and <code>profile</code> for user identity and basic
information.</p>
</li>
<li>
<p><strong><code>state</code></strong>: Contains encoded security
tokens (CSRF token, nonce ID, and PKCE ID) to prevent CSRF attacks and
maintain session state.</p>
</li>
<li>
<p><strong><code>code_challenge</code></strong> and
<strong><code>code_challenge_method</code></strong>: Implements PKCE for
secure code exchange.</p>
</li>
<li>
<p><strong><code>nonce</code></strong>: Uniquely identifies the
authentication request and prevents replay attacks.</p>
</li>
</ul>
<p>These parameters are essential for controlling the authentication
flow and ensuring security.</p>
<h2 id="implementation-details">Implementation Details</h2>
<p>The following sections break down the implementation into key
components, explaining how the OAuth2 authentication flow integrates
with session management and security mechanisms.</p>
<h3 id="authentication-flow">Authentication Flow</h3>
<p>Our implementation uses a popup window for authentication to keep the
main page responsive. This approach:</p>
<ul>
<li>
<p>Handles the auth flow in a separate window</p>
</li>
<li>
<p>Maintains login state using shared cookies across the windows</p>
</li>
<li>
<p>Updates the main page automatically when complete</p>
</li>
</ul>
<p>The flow coordinates between four components: browser, server,
Google, and session store. The session store manages login sessions and
security tokens (CSRF, nonce, PKCE verifier).</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation.html/image/fig-2.png" width="80%">
<p>This diagram captures the flow of data and interactions at each
step.</p>
<h3 id="route-structure">Route Structure</h3>
<p>The application defines routes to manage each step of the
authentication and session flow:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>let app = Router::new()</span></span>
<span class="giallo-l"><span> .route("/", get(index))</span></span>
<span class="giallo-l"><span> .route("/auth/google", get(google_auth))</span></span>
<span class="giallo-l"><span> .route("/auth/authorized", get(get_authorized).post(post_authorized))</span></span>
<span class="giallo-l"><span> .route("/popup_close", get(popup_close))</span></span>
<span class="giallo-l"><span> .route("/logout", get(logout))</span></span>
<span class="giallo-l"><span> .route("/protected", get(protected));</span></span></code></pre><h3 id="main-page-behavior">Main Page Behavior</h3>
<p>The main page dynamically adjusts its content based on the user’s
authentication status:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn index(user: OptionUser>) -> impl IntoResponse {</span></span>
<span class="giallo-l"><span> match user {</span></span>
<span class="giallo-l"><span> Some(u) => {</span></span>
<span class="giallo-l"><span> let message = format!("Hey {}! You're logged in!", u.name);</span></span>
<span class="giallo-l"><span> let template = IndexTemplateUser { message: &message };</span></span>
<span class="giallo-l"><span> (StatusCode::OK, Html(template.render().unwrap())).into_response()</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> None => {</span></span>
<span class="giallo-l"><span> let message = "You're not logged in.\nClick the Login button below.".to_string();</span></span>
<span class="giallo-l"><span> let template = IndexTemplateAnon { message: &message };</span></span>
<span class="giallo-l"><span> (StatusCode::OK, Html(template.render().unwrap())).into_response()</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<ul>
<li>
<p>For authenticated users: Displays a personalized greeting.</p>
</li>
<li>
<p>For anonymous users: Displays a login button to trigger the
popup-based authentication flow.</p>
</li>
</ul>
<h3 id="initiating-the-oauth2-flow">Initiating the OAuth2 Flow</h3>
<p>The <code>/auth/google</code> endpoint initiates the OAuth2 flow:</p>
<ul>
<li>
<p>Generates security tokens (CSRF and nonce).</p>
</li>
<li>
<p>Stores these tokens in the session.</p>
</li>
<li>
<p>Redirects the browser to Google’s authentication page.</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn google_auth(</span></span>
<span class="giallo-l"><span> State(params): StateOAuth2Params>,</span></span>
<span class="giallo-l"><span> State(store): StateMemoryStore>,</span></span>
<span class="giallo-l"><span> headers: HeaderMap,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> // Generate and store security tokens</span></span>
<span class="giallo-l"><span> let (csrf_token, csrf_id) =</span></span>
<span class="giallo-l"><span> generate_store_token("csrf_session", expires_at, Some(user_agent), &store).await?;</span></span>
<span class="giallo-l"><span> let (nonce_token, nonce_id) =</span></span>
<span class="giallo-l"><span> generate_store_token("nonce_session", expires_at, None, &store).await?;</span></span>
<span class="giallo-l"><span> let (pkce_token, pkce_id) =</span></span>
<span class="giallo-l"><span> generate_store_token("pkce_session", expires_at, None, &store).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Generate PKCE challenge</span></span>
<span class="giallo-l"><span> let pkce_challenge = URL_SAFE_NO_PAD.encode(</span></span>
<span class="giallo-l"><span> Sha256::digest(pkce_token.as_bytes())</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Combine tokens into a state parameter</span></span>
<span class="giallo-l"><span> let encoded_state = encode_state(csrf_token, nonce_id, pkce_id);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Construct the Google OAuth2 URL with required parameters</span></span>
<span class="giallo-l"><span> let auth_url = format!(</span></span>
<span class="giallo-l"><span> "{}?{}&client_id={}&redirect_uri={}&state={}&nonce={}\</span></span>
<span class="giallo-l"><span> &code_challenge={}&code_challenge_method=S256",</span></span>
<span class="giallo-l"><span> OAUTH2_AUTH_URL, // e.g., https://accounts.google.com/o/oauth2/v2/auth</span></span>
<span class="giallo-l"><span> OAUTH2_QUERY_STRING, // e.g., response_type=code&scope=openid+email+profile...</span></span>
<span class="giallo-l"><span> params.client_id,</span></span>
<span class="giallo-l"><span> params.redirect_uri,</span></span>
<span class="giallo-l"><span> encoded_state,</span></span>
<span class="giallo-l"><span> nonce_token,</span></span>
<span class="giallo-l"><span> pkce_challenge,</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Set security cookie and prepare the redirect response</span></span>
<span class="giallo-l"><span> let mut headers = HeaderMap::new();</span></span>
<span class="giallo-l"><span> header_set_cookie(&mut headers, CSRF_COOKIE_NAME, csrf_id, expires_at)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Ok((headers, Redirect::to(&auth_url)))</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h4 id="state-parameter">State Parameter</h4>
<p>The state parameter combines:</p>
<ul>
<li>
<p>CSRF token: Protects against cross-site request forgery.</p>
</li>
<li>
<p>Nonce ID: Validates the ID token’s authenticity.</p>
</li>
<li>
<p>PKCE ID: Identifies the PKCE verifier of the request</p>
</li>
<li>
<p>Base64URL encoding: Embeds multiple parameters in a URL safe single
parameter.</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>fn encode_state(csrf_token: String, nonce_id: String, pkce_id: String) -> String {</span></span>
<span class="giallo-l"><span> let state_params = StateParams {</span></span>
<span class="giallo-l"><span> csrf_token,</span></span>
<span class="giallo-l"><span> nonce_id,</span></span>
<span class="giallo-l"><span> pkce_id</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"><span> URL_SAFE.encode(serde_json::json!(state_params).to_string())</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Google preserves and returns this state parameter unchanged, enabling
security validations in the callback.</p>
<h3 id="handling-oauth2-callback">Handling OAuth2 Callback</h3>
<p>After the user authenticates with Google, the application must
process the callback to complete the authentication process. This
includes exchanging the authorization code for tokens and validating
their authenticity.</p>
<p>Google returns the user’s authentication data via the
<code>/auth/authorized</code> endpoint. This endpoint supports two
modes:</p>
<h4 id="form-post-mode-recommended">Form Post Mode(Recommended)</h4>
<p>Google returns the authorization code and state to the browser. A
Google-provided javascript sends them to the endpoint as POST body. They
are processed by:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn post_authorized(</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> Form(form): FormAuthResponse>,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> validate_origin(&headers, &state.oauth2_params.auth_url).await?;</span></span>
<span class="giallo-l"><span> authorized(&form, state).await</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h4 id="query-mode">Query Mode</h4>
<p>Google returns a redirect response with the authorization code and
state as URL query parameters. They are processed by:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn get_authorized(</span></span>
<span class="giallo-l"><span> Query(query): QueryAuthResponse>,</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> TypedHeader(cookies): TypedHeaderheaders::Cookie>,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> csrf_checks(cookies.clone(), &state.store, &query, headers).await?;</span></span>
<span class="giallo-l"><span> authorized(&query, state).await</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Both callback modes eventually process the authentication response
through the authorized function. This function exchanges the code for
tokens, verifies their authenticity, and establishes a user session.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn authorized(auth_response: &AuthResponse, state: AppState) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> let (access_token, id_token) = exchange_code_for_token(...).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let user_data = user_from_verified_idtoken(id_token, &state, auth_response).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Optional check for user data from userinfo endpoint</span></span>
<span class="giallo-l"><span> let user_data_userinfo = fetch_user_data_from_google(access_token).await?;</span></span>
<span class="giallo-l"><span> if user_data.id != user_data_userinfo.id {</span></span>
<span class="giallo-l"><span> return Err(anyhow::anyhow!("ID mismatch").into());</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let session_id = create_and_store_session(user_data, ...).await?;</span></span>
<span class="giallo-l"><span> Ok((set_cookie_header(session_id), Redirect::to("/popup_close")))</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="managing-user-sessions">Managing User Sessions</h3>
<p>Sessions ensure secure, consistent authentication across requests.
Upon successful login, a session is created and securely stored:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn create_and_store_session(</span></span>
<span class="giallo-l"><span> user_data: User,</span></span>
<span class="giallo-l"><span> store: &MemoryStore,</span></span>
<span class="giallo-l"><span> expires_at: DateTimeUtc>,</span></span>
<span class="giallo-l"><span>) -> ResultString, AppError> {</span></span>
<span class="giallo-l"><span> let mut session = Session::new();</span></span>
<span class="giallo-l"><span> session.insert("user", &user_data)?;</span></span>
<span class="giallo-l"><span> session.set_expiry(expires_at);</span></span>
<span class="giallo-l"><span> let session_id = store.store_session(session).await?;</span></span>
<span class="giallo-l"><span> Ok(session_id)</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>To protect sensitive routes, the function arguments include
<code>user: User</code>. The <code>User</code> extractor automatically
verifies the session cookie and retrieves the user data for subsequent
requests:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// The "user: User" argument ensures access to authenticated user data.</span></span>
<span class="giallo-l"><span>async fn protected(user: User) -> impl IntoResponse {</span></span>
<span class="giallo-l"><span> format!("Welcome, {}!", user.name)</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>// The User extractor</span></span>
<span class="giallo-l"><span>// Extract cookie from the request, and retrieve user data from the session store</span></span>
<span class="giallo-l"><span>#[async_trait]</span></span>
<span class="giallo-l"><span>implS> FromRequestPartsS> for User</span></span>
<span class="giallo-l"><span>where</span></span>
<span class="giallo-l"><span> MemoryStore: FromRefS>,</span></span>
<span class="giallo-l"><span> S: Send + Sync,</span></span>
<span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> async fn from_request_parts(parts: &mut Parts, state: &S) -> ResultSelf, Self::Rejection> {</span></span>
<span class="giallo-l"><span> let store = MemoryStore::from_ref(state);</span></span>
<span class="giallo-l"><span> let session_cookie = get_session_cookie(parts)?;</span></span>
<span class="giallo-l"><span> let user = load_user_from_session(store, session_cookie).await?;</span></span>
<span class="giallo-l"><span> Ok(user)</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>Having covered the implementation details, let’s examine the security
mechanisms that protect our authentication flow.</p>
<h2 id="security-considerations">Security Considerations</h2>
<p>Our authentication implementation relies on several security
mechanisms working together. Since we use ID token claims for
authentication, these mechanisms focus on protecting the authentication
process and verifying token authenticity.</p>
<h3 id="nonce-validation">Nonce Validation</h3>
<p>The nonce mechanism is crucial for verifying that the ID token we’ll
use for authentication was issued specifically for this request.</p>
<p>Nonce validation confirms the ID token’s authenticity by comparing
two values:</p>
<ul>
<li>
<p><strong>Nonce in the ID token:</strong> Embedded by Google in the
signed token.</p>
</li>
<li>
<p><strong>Nonce from the session store:</strong> Retrieved using the
<code>nonce_id</code> from the state parameter.</p>
</li>
</ul>
<p>This prevents replay attacks and ensures the token is tied to the
current authentication request.</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation.html/image/fig-3.png" width="80%">
<h3 id="csrf-protection">CSRF Protection</h3>
<p>Cross-Site Request Forgery (CSRF) protection ensures that
authentication callbacks come from legitimate auth flows initiated by
our application. Without it, malicious sites could trick authenticated
users into unwanted auth requests.</p>
<p>The security mechanism differs between response modes due to how
browsers handle redirects versus direct POST requests:</p>
<p><strong>Query Mode Flow:</strong></p>
<p>This mode requires cookie-based CSRF validation because the callback
comes as a browser redirect, which could originate from any site. The
CSRF token ensures the request chain started with our application:</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation.html/image/fig-4.png" width="80%">
<p><strong>Form Post Mode:</strong></p>
<p>In this mode, we can’t use CSRF cookie validation because:</p>
<ul>
<li>
<p>The callback comes as a cross-origin POST request from Google’s
domain</p>
</li>
<li>
<p>Browser security blocks our <code>__Host-CsrfId</code> cookie from
being sent with such requests</p>
</li>
</ul>
<p>Instead, we rely on two security measures:</p>
<ul>
<li>
<p><strong>Nonce validation:</strong> Confirms the ID token was issued
for our specific auth request</p>
</li>
<li>
<p><strong>Origin validation:</strong> Ensures the POST request comes
from Google’s domain</p>
</li>
</ul>
<p>This combination ensures that only Google can respond to our original
authentication request, preventing any malicious sites from initiating
or hijacking the authentication flow.</p>
<h3 id="pkce-validation">PKCE Validation</h3>
<p>PKCE (Proof Key for Code Exchange) is a security extension to OAuth
2.0 that protects authorization codes from being intercepted or
injected. Unlike CSRF and nonce validation which protect the
authentication flow, PKCE specifically secures the code exchange
process.</p>
<p>PKCE ensures that only the client that initiated the authentication
flow can exchange the authorization code for tokens:</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation.html/image/fig-5.png" width="80%">
<p>The implementation generates a random verifier and creates a
challenge using SHA-256:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>let (pkce_token, pkce_id) = generate_store_token("pkce_session", expires_at, None, &store).await?;</span></span>
<span class="giallo-l"><span>let pkce_challenge = URL_SAFE_NO_PAD.encode(Sha256::digest(pkce_token.as_bytes()));</span></span></code></pre>
<p>When exchanging the code for tokens, we include the original
verifier:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn exchange_code_for_token(</span></span>
<span class="giallo-l"><span> params: OAuth2Params,</span></span>
<span class="giallo-l"><span> code: String,</span></span>
<span class="giallo-l"><span> code_verifier: String, // Original PKCE verifier</span></span>
<span class="giallo-l"><span>) -> Result(String, String), AppError> {</span></span>
<span class="giallo-l"><span> let response = reqwest::Client::new()</span></span>
<span class="giallo-l"><span> .post(params.token_url)</span></span>
<span class="giallo-l"><span> .form(&[</span></span>
<span class="giallo-l"><span> // Other parameters...</span></span>
<span class="giallo-l"><span> ("code_verifier", code_verifier),</span></span>
<span class="giallo-l"><span> ])</span></span></code></pre>
<p>This mechanism prevents:</p>
<ul>
<li>
<p>Authorization code interception</p>
</li>
<li>
<p>Code injection attempts</p>
</li>
<li>
<p>Replay attacks</p>
</li>
<li>
<p>Man-in-the-middle attacks during code exchange</p>
</li>
</ul>
<h3 id="cookie-security">Cookie Security</h3>
<p>All cookies use comprehensive security settings:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>"{name}={value}; SameSite=Lax; Secure; HttpOnly; Path=/; Max-Age={max_age}"</span></span></code></pre>
<ul>
<li>
<p><strong><code>HttpOnly:</code></strong> Prevents JavaScript access
to cookies.</p>
</li>
<li>
<p><strong><code>Secure:</code></strong> Ensures transmission occurs
only over HTTPS.</p>
</li>
<li>
<p><strong><code>SameSite=Lax:</code></strong> Guards against CSRF
while allowing same-origin navigation.</p>
</li>
<li>
<p><strong><code>__Host-</code> prefix:</strong> Enforces HTTPS and
host-specific restrictions.</p>
</li>
</ul>
<p>These settings ensure cookies are protected from common attack
vectors.</p>
<h3 id="response-mode-security">Response Mode Security</h3>
<p><strong>Form Post Mode (Recommended)</strong></p>
<ul>
<li>
<p>Authorization code is included in the POST body, keeping it hidden
from URLs and logs.</p>
</li>
<li>
<p>Security relies on <strong>origin validation</strong> and
<strong>nonce verification</strong> .</p>
</li>
<li>
<p>The most secure option for production use.</p>
</li>
</ul>
<p><strong>Query Mode</strong></p>
<ul>
<li>
<p>Authorization code is visible in the URL, making it easier to debug
but more prone to exposure (e.g., logs, bookmarks).</p>
</li>
<li>
<p>Offers full CSRF protection but carries a higher risk of leakage in
environments where URLs are recorded.</p>
</li>
</ul>
<h3 id="authentication-with">Authentication with</h3>
<p>Authorization Code Flow</p>
<p>The authorization code flow (<code>response_type=code</code>) offers
key security advantages:</p>
<ul>
<li>
<p><strong>Secure Token Exchange:</strong> Tokens are obtained through
secure server-to-server communication</p>
</li>
<li>
<p><strong>Security Best Practice:</strong> Recommended approach for
production applications</p>
</li>
</ul>
<h3 id="id-token-validation">ID Token Validation</h3>
<p>The ID token, a cryptographically signed JWT, provides secure
authentication through its claims:</p>
<ul>
<li>
<p><code>aud</code>: Ensures token was issued for our application</p>
</li>
<li>
<p><code>iss</code>: Verifies Google as the token issuer</p>
</li>
<li>
<p><code>exp</code> and <code>iat</code>: Prevent token reuse and
replay attacks</p>
</li>
<li>
<p><code>nonce</code>: Binds token to our specific auth request</p>
</li>
</ul>
<p>While Google’s userinfo endpoint provides similar data, we rely on ID
token validation because:</p>
<ul>
<li>
<p>Claims are cryptographically secured by Google’s signature</p>
</li>
<li>
<p>Validation is faster than additional userinfo requests</p>
</li>
<li>
<p>Userinfo endpoint is better suited for fetching optional profile
data</p>
</li>
</ul>
<h2 id="conclusion">Conclusion</h2>
<p>In this implementation, I’ve walked through building a secure
OAuth2/OIDC authentication system with Axum. While implementing auth can
be complex, breaking it down into manageable components helped create a
system that’s both secure and maintainable. The code demonstrates
practical patterns that you might find useful in your own projects
for:</p>
<ul>
<li>
<p>Token validation and CSRF protection</p>
</li>
<li>
<p>PKCE implementation for code exchange security</p>
</li>
<li>
<p>Comprehensive session management</p>
</li>
</ul>
<p>I’ve posted the complete implementation on <a rel="external" href="https://github.com/ktaka-ccmp/axum-google-oauth2">GitHub</a>. Take
a look if you’re interested in the implementation details - I’m
particularly curious about your thoughts on the security measures and
session handling approach. If you spot any potential improvements or
have questions about specific design choices, I’d love to hear your
feedback!</p>
AxumでGoogle OAuth2/OIDC認証を実装する
2024-12-05T00:00:00+00:00
2024-12-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/
<p>この記事は<a rel="external" href="https://qiita.com/advent-calendar/2024/rust">Rust
Advent Calendar 2024</a> シリーズ2の6日目の記事です。</p>
<h2 id="hazimeni">はじめに</h2>
<p>RustとAxumを使って、Google
OAuth2でのログイン機能を実装しました。OAuth2とOIDCを使った認証は現代のWebアプリケーションでは一般的な方法です。この記事では、安全な認証システムを作るために必要な基礎知識と、具体的な実装方法を説明します。</p>
<p>ソースコードは<a rel="external" href="https://github.com/ktaka-ccmp/axum-google-oauth2">GitHubリポジトリ</a>で公開しています。記事中のコードは理解のために簡略化していますので、完全な実装はリポジトリをご覧ください。
(本稿は<a rel="external" href="https://ktaka.blog.ccmp.jp/2024/12/axum-google-oauth2oidc-implementation.html">英語版</a>からの翻訳記事です。)</p>
<p><video width="600" height="600" src="/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/image/blog-20241206-02.mp4" controls autoplay loop></video></p>
<h2 id="gai-yao">概要</h2>
<h3 id="oauth2toopenid-connecttoha">OAuth2とOpenID Connectとは</h3>
<p>OAuth2とOpenID
Connect(OIDC)は、現代のWebアプリケーションの認証を支える重要な技術です。</p>
<p>OAuth2は認証の基盤となる技術で、ユーザーが自分の認証情報を直接渡すことなく、アプリケーションに特定の機能へのアクセス権を与えることができます。アプリケーションはアクセストークン(access
token)を使ってこれらの機能を利用します。この実装では、広く使われている安全な方法である認可コードフロー(authorization
code flow)を使って、ユーザー情報を取得しています。</p>
<p>OpenID
Connect(OIDC)は、OAuth2を拡張して標準的な認証の仕組みを追加したものです。OAuth2が「アプリケーションに何を許可するか」を扱うのに対し、OIDCは「このユーザーは誰か」を確認することを主な目的としています。OIDCでは、ユーザー情報をJSON
Web Token(JWT)形式のIDトークン(ID
token)として提供します。これにより、ユーザーの認証とアクセス権限の管理を一度に行えます。</p>
<p>つまり、OIDCを使うことで、OAuth2をより安全に使えるようになります。</p>
<h3 id="ren-zheng-noshi-zu-mi">認証の仕組み</h3>
<h4 id="ji-ben-de-naren-zheng-huro">基本的な認証フロー</h4>
<p>この実装での認証は、以下のような手順で行われます:</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/image/fig-1.png" width="80%">
<p>認証の流れを詳しく説明します:</p>
<ul>
<li>
<p>ユーザーがログインボタンを押すと、ポップアップウィンドウが開きます</p>
</li>
<li>
<p>ポップアップウィンドウがGoogleの認証ページに移動します</p>
</li>
<li>
<p>ユーザーがGoogleアカウントでログインし、アプリケーションへの権限を承認します</p>
</li>
<li>
<p>Googleが認可コード(authorization code)を返します</p>
</li>
<li>
<p>この認可コードを使って、サーバーがトークンを取得します</p>
</li>
<li>
<p>サーバーがIDトークンを検証し、ユーザーセッションを作成します</p>
</li>
<li>
<p>セッションCookieをブラウザに設定して認証を完了します</p>
</li>
</ul>
<p>以降、ユーザーはこのセッションCookieを使って認証済みユーザーとして識別されます。</p>
<h4 id="setusiyoncookienoshi-zu-mi">セッションCookieの仕組み</h4>
<p>セッションCookieはユーザーの認証状態を維持するために使われます。ログイン時にサーバーが設定したCookieは、その後のすべてのリクエストに自動的に含まれます。セキュリティを確保するため、以下の設定を使用しています:</p>
<ul>
<li>
<p><strong>HttpOnly</strong>:
JavaScriptからCookieを読み取れないようにし、XSS攻撃から保護します</p>
</li>
<li>
<p><strong>Secure</strong>:
HTTPS接続でのみCookieを送信し、通信の安全性を確保します</p>
</li>
<li>
<p><strong>SameSite</strong>:
同じサイトからのリクエストのみCookieを送信可能にし、CSRF攻撃を防ぎます</p>
</li>
<li>
<p><strong><code>__Host-</code>プレフィックス</strong>:
CookieをHTTPSと特定のホストに限定し、セキュリティを強化します</p>
</li>
</ul>
<h4 id="oauth2noshe-ding">OAuth2の設定</h4>
<p>認証プロセスでは、以下のパラメータを使用します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>static OAUTH2_QUERY_STRING: &str = "response_type=code\</span></span>
<span class="giallo-l"><span>&scope=openid+email+profile\</span></span>
<span class="giallo-l"><span>&response_mode=form_post\</span></span>
<span class="giallo-l"><span>&access_type=online\</span></span>
<span class="giallo-l"><span>&prompt=consent";</span></span></code></pre>
<p>これらのパラメータの役割は:</p>
<ul>
<li>
<p><strong><code>response_type=code</code></strong>:
認可コードを使用した安全な認証方式を指定します</p>
</li>
<li>
<p><strong><code>scope=openid email profile</code></strong>:
アプリケーションが必要とするユーザー情報の範囲を指定します</p>
</li>
<li>
<p><strong><code>response_mode=form_post</code></strong>:
認証情報をURLに露出せず、POSTリクエストで送信します</p>
</li>
</ul>
<h2 id="shi-zhuang-noxiang-xi">実装の詳細</h2>
<p>ここからは、OAuth2認証フローの具体的な実装方法について説明します。認証フロー、セッション管理、セキュリティ機能がどのように連携しているかを見ていきましょう。</p>
<h3 id="ren-zheng-huronoshi-zhuang">認証フローの実装</h3>
<p>この実装では、ユーザー体験を向上させるため、ポップアップウィンドウで認証を行います:</p>
<ul>
<li>
<p>メインページは操作可能なまま、別ウィンドウで認証処理を実行</p>
</li>
<li>
<p>Cookieを使ってウィンドウ間で認証状態を共有</p>
</li>
<li>
<p>認証完了後、自動的にメインページを更新</p>
</li>
</ul>
<p>システムは以下の4つのコンポーネントで構成されています:</p>
<ul>
<li>
<p>ブラウザ: ユーザーインターフェースを提供</p>
</li>
<li>
<p>サーバー: 認証フローを制御</p>
</li>
<li>
<p>Google: 認証サービスを提供</p>
</li>
<li>
<p>セッションストア: セッションとセキュリティトークンを管理</p>
</li>
</ul>
<img src="/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/image/fig-2.png" width="80%">
<h3 id="apurikesiyonnogou-zao">アプリケーションの構造</h3>
<p>認証フローの各段階を処理するため、以下のようなルート構造を実装しています:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>let app = Router::new()</span></span>
<span class="giallo-l"><span> .route("/", get(index)) // メインページ</span></span>
<span class="giallo-l"><span> .route("/auth/google", get(google_auth)) // Google認証の開始</span></span>
<span class="giallo-l"><span> .route("/auth/authorized", get(get_authorized).post(post_authorized)) // 認証後のコールバック</span></span>
<span class="giallo-l"><span> .route("/popup_close", get(popup_close)) // ポップアップの終了</span></span>
<span class="giallo-l"><span> .route("/logout", get(logout)) // ログアウト</span></span>
<span class="giallo-l"><span> .route("/protected", get(protected)); // 認証必須ページ</span></span></code></pre><h3 id="meinpezinoshi-zhuang">メインページの実装</h3>
<p>メインページは、ユーザーの認証状態に応じて表示を切り替えます:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn index(user: OptionUser>) -> impl IntoResponse {</span></span>
<span class="giallo-l"><span> match user {</span></span>
<span class="giallo-l"><span> // 認証済みの場合</span></span>
<span class="giallo-l"><span> Some(u) => {</span></span>
<span class="giallo-l"><span> let message = format!("ようこそ、{}さん!", u.name);</span></span>
<span class="giallo-l"><span> let template = IndexTemplateUser { message: &message };</span></span>
<span class="giallo-l"><span> (StatusCode::OK, Html(template.render().unwrap())).into_response()</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> // 未認証の場合</span></span>
<span class="giallo-l"><span> None => {</span></span>
<span class="giallo-l"><span> let message = "ログインボタンをクリックしてください。";</span></span>
<span class="giallo-l"><span> let template = IndexTemplateAnon { message: &message };</span></span>
<span class="giallo-l"><span> (StatusCode::OK, Html(template.render().unwrap())).into_response()</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="ren-zheng-huronokai-shi">認証フローの開始</h3>
<p><code>/auth/google</code>エンドポイントでは、以下の3つの処理を行います:</p>
<ul>
<li>
<p>セキュリティトークンの生成</p>
</li>
<li>
<p>セッションへの保存</p>
</li>
<li>
<p>Google認証ページへのリダイレクト</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn google_auth(</span></span>
<span class="giallo-l"><span> State(params): StateOAuth2Params>,</span></span>
<span class="giallo-l"><span> State(store): StateMemoryStore>,</span></span>
<span class="giallo-l"><span> headers: HeaderMap,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> // セキュリティトークンを生成</span></span>
<span class="giallo-l"><span> let (csrf_token, csrf_id) = generate_store_token(</span></span>
<span class="giallo-l"><span> "csrf_session",</span></span>
<span class="giallo-l"><span> expires_at,</span></span>
<span class="giallo-l"><span> Some(user_agent)</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"><span> let (nonce_token, nonce_id) = generate_store_token(</span></span>
<span class="giallo-l"><span> "nonce_session",</span></span>
<span class="giallo-l"><span> expires_at,</span></span>
<span class="giallo-l"><span> None</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // Google認証URLの生成</span></span>
<span class="giallo-l"><span> let encoded_state = encode_state(csrf_token, nonce_id);</span></span>
<span class="giallo-l"><span> let auth_url = format!(</span></span>
<span class="giallo-l"><span> "{}?{}&client_id={}&redirect_uri={}&state={}&nonce={}",</span></span>
<span class="giallo-l"><span> OAUTH2_AUTH_URL,</span></span>
<span class="giallo-l"><span> OAUTH2_QUERY_STRING,</span></span>
<span class="giallo-l"><span> params.client_id,</span></span>
<span class="giallo-l"><span> params.redirect_uri,</span></span>
<span class="giallo-l"><span> encoded_state,</span></span>
<span class="giallo-l"><span> nonce_token</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // CSRFトークンをCookieに設定してリダイレクト</span></span>
<span class="giallo-l"><span> let mut headers = HeaderMap::new();</span></span>
<span class="giallo-l"><span> header_set_cookie(&mut headers, CSRF_COOKIE_NAME, csrf_id, expires_at)?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Ok((headers, Redirect::to(&auth_url)))</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="korubatukuchu-li">コールバック処理</h3>
<p>Googleからの認証データは、2つの方法で受け取ることができます:</p>
<h4 id="huomuposutomodo-tui-jiang">フォームポストモード(推奨)</h4>
<p>Google提供のJavaScriptがPOSTリクエストで認証データを送信します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn post_authorized(</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> Form(form): FormAuthResponse>,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> // リクエスト元の確認</span></span>
<span class="giallo-l"><span> validate_origin(&headers, &state.oauth2_params.auth_url).await?;</span></span>
<span class="giallo-l"><span> // 認証データの処理</span></span>
<span class="giallo-l"><span> authorized(&form, state).await</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h4 id="kuerimodo">クエリモード</h4>
<p>認証データがURLパラメータとして送信されます:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn get_authorized(</span></span>
<span class="giallo-l"><span> Query(query): QueryAuthResponse>,</span></span>
<span class="giallo-l"><span> State(state): StateAppState>,</span></span>
<span class="giallo-l"><span> TypedHeader(cookies): TypedHeaderheaders::Cookie>,</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> // CSRFトークンの検証</span></span>
<span class="giallo-l"><span> csrf_checks(cookies.clone(), &state.store, &query, headers).await?;</span></span>
<span class="giallo-l"><span> // 認証データの処理</span></span>
<span class="giallo-l"><span> authorized(&query, state).await</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>どちらのモードでも、最終的に<code>authorized</code>関数で認証処理を完了します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn authorized(</span></span>
<span class="giallo-l"><span> auth_response: &AuthResponse,</span></span>
<span class="giallo-l"><span> state: AppState</span></span>
<span class="giallo-l"><span>) -> Resultimpl IntoResponse, AppError> {</span></span>
<span class="giallo-l"><span> // 認可コードをトークンに交換</span></span>
<span class="giallo-l"><span> let (access_token, id_token) = exchange_code_for_token(...).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // IDトークンを検証してユーザー情報を取得</span></span>
<span class="giallo-l"><span> let user_data = user_from_verified_idtoken(</span></span>
<span class="giallo-l"><span> id_token,</span></span>
<span class="giallo-l"><span> &state,</span></span>
<span class="giallo-l"><span> auth_response</span></span>
<span class="giallo-l"><span> ).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // ユーザー情報の追加確認(オプション)</span></span>
<span class="giallo-l"><span> let user_data_userinfo = fetch_user_data_from_google(access_token).await?;</span></span>
<span class="giallo-l"><span> if user_data.id != user_data_userinfo.id {</span></span>
<span class="giallo-l"><span> return Err(anyhow::anyhow!("IDが一致しません").into());</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> // セッションの作成</span></span>
<span class="giallo-l"><span> let session_id = create_and_store_session(user_data, ...).await?;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Ok((</span></span>
<span class="giallo-l"><span> set_cookie_header(session_id),</span></span>
<span class="giallo-l"><span> Redirect::to("/popup_close")</span></span>
<span class="giallo-l"><span> ))</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h3 id="setusiyonguan-li">セッション管理</h3>
<p>認証後のユーザー情報は、セッションに保存して管理します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async fn create_and_store_session(</span></span>
<span class="giallo-l"><span> user_data: User,</span></span>
<span class="giallo-l"><span> store: &MemoryStore,</span></span>
<span class="giallo-l"><span> expires_at: DateTimeUtc>,</span></span>
<span class="giallo-l"><span>) -> ResultString, AppError> {</span></span>
<span class="giallo-l"><span> let mut session = Session::new();</span></span>
<span class="giallo-l"><span> session.insert("user", &user_data)?; // ユーザー情報を保存</span></span>
<span class="giallo-l"><span> session.set_expiry(expires_at); // セッション有効期限を設定</span></span>
<span class="giallo-l"><span> let session_id = store.store_session(session).await?;</span></span>
<span class="giallo-l"><span> Ok(session_id)</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>認証が必要なページは、<code>User</code>エクストラクタを使って保護します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// 認証が必要なページの例</span></span>
<span class="giallo-l"><span>async fn protected(user: User) -> impl IntoResponse {</span></span>
<span class="giallo-l"><span> format!("ようこそ、{}さん!", user.name)</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>// Userエクストラクタの実装</span></span>
<span class="giallo-l"><span>#[async_trait]</span></span>
<span class="giallo-l"><span>implS> FromRequestPartsS> for User</span></span>
<span class="giallo-l"><span>where</span></span>
<span class="giallo-l"><span> MemoryStore: FromRefS>,</span></span>
<span class="giallo-l"><span> S: Send + Sync,</span></span>
<span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> async fn from_request_parts(parts: &mut Parts, state: &S) -> ResultSelf, Self::Rejection> {</span></span>
<span class="giallo-l"><span> let store = MemoryStore::from_ref(state);</span></span>
<span class="giallo-l"><span> let session_cookie = get_session_cookie(parts)?;</span></span>
<span class="giallo-l"><span> let user = load_user_from_session(store, session_cookie).await?;</span></span>
<span class="giallo-l"><span> Ok(user)</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>}</span></span></code></pre><h2 id="sekiyuriteidui-ce-noxiang-xi">セキュリティ対策の詳細</h2>
<p>この実装では、複数のセキュリティメカニズムを組み合わせて認証の安全性を確保しています。IDトークンを用いた認証では、これらのメカニズムが認証プロセスの保護とトークンの正当性の検証に重要な役割を果たします。</p>
<h3 id="nonceniyorujian-zheng">Nonceによる検証</h3>
<p>nonceメカニズムは、IDトークンが特定のリクエストのために発行されたものであることを検証するために重要です。</p>
<p>Nonce検証は以下の2つの値を比較することでIDトークンの真正性を確認します:</p>
<ul>
<li>
<p><strong>IDトークン内のnonce:</strong>
Googleによって署名されたトークンに埋め込まれます</p>
</li>
<li>
<p><strong>セッションストアからのnonce:</strong>
stateパラメータの<code>nonce_id</code>を使用して取得します</p>
</li>
</ul>
<p>これによりリプレイ攻撃を防ぎ、トークンが現在の認証リクエストに紐付けられていることを確認します。</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/image/fig-3.png" width="80%">
<h3 id="csrfbao-hu">CSRF保護</h3>
<p>クロスサイトリクエストフォージェリ(CSRF)保護は、認証コールバックが我々のアプリケーションから開始された正当な認証フローからのものであることを確保します。これがないと、悪意のあるサイトが認証済みユーザーを望まない認証リクエストに誘導する可能性があります。</p>
<p>セキュリティメカニズムは、ブラウザがリダイレクトと直接のPOSTリクエストをどのように扱うかの違いにより、レスポンスモードによって異なります:</p>
<p><strong>クエリモードフロー:</strong></p>
<p>このモードではCookieベースのCSRF検証が必要です。コールバックはブラウザのリダイレクトとして来るため、任意のサイトから発生する可能性があるためです。CSRFトークンは、リクエストチェーンが我々のアプリケーションから開始されたことを確認します:</p>
<img src="/2024/12/axum-google-oauth2oidc-implementation_0937899567.html/image/fig-4.png" width="80%">
<p><strong>フォームポストモード:</strong></p>
<p>このモードではCSRF Cookie検証を使用できません。理由は:</p>
<ul>
<li>
<p>コールバックはGoogleのドメインからのクロスオリジンPOSTリクエストとして来る</p>
</li>
<li>
<p>ブラウザのセキュリティにより、そのようなリクエストで<code>__Host-CsrfId</code>
Cookieが送信されることがブロックされる</p>
</li>
</ul>
<p>代わりに、以下の2つのセキュリティ対策に依存します:</p>
<ul>
<li>
<p><strong>Nonce検証:</strong>
IDトークンが我々の特定の認証リクエストのために発行されたことを確認</p>
</li>
<li>
<p><strong>Origin検証:</strong>
POSTリクエストがGoogleのドメインから来ることを確認</p>
</li>
</ul>
<p>この組み合わせにより、Googleのみが我々の元の認証リクエストに応答できることを確保し、悪意のあるサイトが認証フローを開始または乗っ取ることを防ぎます。</p>
<h3 id="cookienosekiyuritei">Cookieのセキュリティ</h3>
<p>すべてのCookieは包括的なセキュリティ設定を使用します:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>"{name}={value}; SameSite=Lax; Secure; HttpOnly; Path=/; Max-Age={max_age}"</span></span></code></pre>
<ul>
<li>
<p><strong><code>HttpOnly:</code></strong>
JavaScriptからのCookieへのアクセスを防止</p>
</li>
<li>
<p><strong><code>Secure:</code></strong>
HTTPS経由でのみ送信されることを確保</p>
</li>
<li>
<p><strong><code>SameSite=Lax:</code></strong>
同一オリジンのナビゲーションを許可しながらCSRFを防止</p>
</li>
<li>
<p><strong><code>__Host-</code>プレフィックス:</strong>
HTTPSとホスト固有の制限を強制</p>
</li>
</ul>
<p>これらの設定により、Cookieが一般的な攻撃ベクトルから保護されます。</p>
<h3 id="resuponsumodonosekiyuritei">レスポンスモードのセキュリティ</h3>
<p><strong>フォームポストモード(推奨)</strong></p>
<ul>
<li>
<p>認可コードがPOSTボディに含まれ、URLやログから隠される</p>
</li>
<li>
<p>セキュリティは<strong>オリジン検証</strong>と<strong>nonce検証</strong>に依存</p>
</li>
<li>
<p>本番環境での使用に最も安全なオプション</p>
</li>
</ul>
<p><strong>クエリモード</strong></p>
<ul>
<li>
<p>認可コードがURLに表示され、デバッグは容易だが露出のリスクが高い(ログ、ブックマークなど)</p>
</li>
<li>
<p>完全なCSRF保護を提供するが、URLが記録される環境では漏洩のリスクが高い</p>
</li>
</ul>
<h3 id="ren-ke-kodohuroniyoruren-zheng">認可コードフローによる認証</h3>
<p>認可コードフロー(<code>response_type=code</code>)は重要なセキュリティ上の利点を提供します:</p>
<ul>
<li>
<p><strong>セキュアなトークン交換:</strong>
トークンはセキュアなサーバー間通信を通じて取得</p>
</li>
<li>
<p><strong>セキュリティのベストプラクティス:</strong>
本番アプリケーションに推奨されるアプローチ</p>
</li>
</ul>
<h3 id="idtokunnojian-zheng">IDトークンの検証</h3>
<p>IDトークンは暗号的に署名されたJWTで、そのクレームを通じてセキュアな認証を提供します:</p>
<ul>
<li>
<p><code>aud</code>:
トークンが我々のアプリケーションのために発行されたことを確認</p>
</li>
<li>
<p><code>iss</code>: Googleをトークン発行者として検証</p>
</li>
<li>
<p><code>exp</code>と<code>iat</code>:
トークンの再利用とリプレイ攻撃を防止</p>
</li>
<li>
<p><code>nonce</code>:
トークンを我々の特定の認証リクエストに紐付け</p>
</li>
</ul>
<p>Googleのuserinfoエンドポイントでも同様のデータが提供されますが、IDトークン検証を採用する理由は:</p>
<ul>
<li>
<p>クレームがGoogleの署名により暗号的に保護されている</p>
</li>
<li>
<p>userinfoリクエストよりも検証が高速</p>
</li>
<li>
<p>userinfoエンドポイントはオプションのプロフィールデータの取得に適している</p>
</li>
</ul>
<h2 id="owarini">おわりに</h2>
<p>本記事では、Axumを用いたセキュアなOAuth2/OIDC認証システムの構築方法について説明しました。認証の実装は複雑になりがちですが、機能を管理可能なコンポーネントに分割することで、セキュアで保守性の高いシステムを実現することができました。この実装は、トークンの検証、CSRF保護、セッション管理といった実践的なパターンを示しており、ご自身のプロジェクトに応用できるでしょう。</p>
<p>完全な実装コードは<a rel="external" href="https://github.com/ktaka-ccmp/axum-google-oauth2">GitHub</a>で公開しています。詳細に興味のある方はぜひご覧ください。特に、セキュリティ対策やセッション管理の設計に関するご意見をお聞かせいただければ幸いです。さらに改善の余地や特定の設計選択についての質問があれば、ぜひフィードバックをお寄せください!</p>
Sign in with Google vs OpenID Connect: Understanding the difference
2024-10-28T00:00:00+00:00
2024-10-28T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2024/10/sign-in-with-google-vs-openid-connect.html/
<h1 id="introduction">Introduction</h1>
<p>Third-party authentication has become ubiquitous in modern web
applications, allowing users to sign in using existing accounts from
major providers. While OAuth 2.0 and OpenID Connect (OIDC) are the
standard protocols for implementing such authentication, Google offers
two distinct approaches - the standard OIDC implementation and Sign in
with Google - whose relationship is often misunderstood. The similarity
between Sign in with Google and OIDC’s implicit flow can be particularly
misleading. Though they share some characteristics, such as direct ID
token delivery, they are fundamentally different implementations with
distinct capabilities and limitations.</p>
<p>This confusion is understandable. Sign in with Google’s token
delivery mechanism resembles OIDC’s implicit flow
(response_type=id_token), leading developers to assume it’s simply a
wrapper around OIDC. However, this surface-level similarity masks
significant differences in protocol implementation, security models, and
available features.</p>
<blockquote>
<p><strong>Note on Documentation</strong>: Google’s own <a rel="external" href="https://developers.google.com/identity/gsi/web/guides/overview">documentation</a>
states that “Sign in with Google is based on OAuth 2.0”. However, the
same documentation describes it as a proprietary SDK that “aims to offer
an easier and more secure experience for developers than the standard
OAuth and OpenID Connect protocols”. This mixed messaging has
contributed to developer confusion. While Sign in with Google might be
inspired by OAuth 2.0 concepts, its actual implementation is a
proprietary protocol that diverges significantly from standard OAuth
2.0/OIDC flows.</p>
</blockquote>
<h1 id="technical-relationship">Technical Relationship</h1>
<p>The resemblance between Sign in with Google and OIDC is apparent when
examining OIDC’s implicit flow configuration:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>response_type=id_token</span></span>
<span class="giallo-l"><span>response_mode=query</span></span></code></pre>
<p>Both approaches deliver ID tokens directly to the frontend. However,
this architectural similarity obscures fundamental differences in
implementation, security considerations, and extensibility. While Sign
in with Google provides a streamlined, Google-specific authentication
solution, OIDC offers a comprehensive, standardized protocol with
multiple flows and security options.</p>
<h1 id="implementation-comparison">Implementation Comparison</h1>
<h2 id="sign-in-with-google">Sign in with Google</h2>
<p>Sign in with Google provides a simplified implementation through its
Identity Services API:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// Simple initialization</span></span>
<span class="giallo-l"><span>google.accounts.id.initialize({</span></span>
<span class="giallo-l"><span> client_id: 'YOUR_CLIENT_ID',</span></span>
<span class="giallo-l"><span> callback: handleCredentialResponse, // for popup mode</span></span>
<span class="giallo-l"><span> login_uri: 'YOUR_LOGIN_URI' // for redirect mode</span></span>
<span class="giallo-l"><span>});</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>// Callback receives:</span></span>
<span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> credential: "eyJhbGci..." // JWT ID token containing user information</span></span>
<span class="giallo-l"><span> ...</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>The Google Sign in page (loaded either in a popup window or
redirected main window) receives an ID token from /gsi/issue endpoint
and then: In popup mode: passes it to the main window’s callback
function via gsi_client.js In redirect mode: posts it to the specified
login_uri</p>
<h2 id="standard-oidc">Standard OIDC</h2>
<p>OIDC provides multiple implementation options, accommodating
different security needs:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>// Implicit Flow (Similar to Sign in with Google)</span></span>
<span class="giallo-l"><span>/authorize?</span></span>
<span class="giallo-l"><span>response_type=id_token&</span></span>
<span class="giallo-l"><span>response_mode=query&</span></span>
<span class="giallo-l"><span>client_id=...&</span></span>
<span class="giallo-l"><span>scope=openid profile&</span></span>
<span class="giallo-l"><span>redirect_uri=...&</span></span>
<span class="giallo-l"><span>nonce=...</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>// Code Flow (More secure alternative)</span></span>
<span class="giallo-l"><span>/authorize?</span></span>
<span class="giallo-l"><span>response_type=code&</span></span>
<span class="giallo-l"><span>client_id=...&</span></span>
<span class="giallo-l"><span>scope=openid profile&</span></span>
<span class="giallo-l"><span>redirect_uri=...&</span></span>
<span class="giallo-l"><span>state=...&</span></span>
<span class="giallo-l"><span>nonce=...</span></span></code></pre>
<p>The client (on the web browser) can receive an ID token or
authorization code as parameters in the redirect URL.</p>
<h1 id="authentication-flows">Authentication Flows</h1>
<p>The flow differences reveal the architectural distinctions between
these approaches. Sign in with Google implements a flow similar to
OIDC’s implicit flow. However, OIDC also provides the code flow, which
offers enhanced security through backend token exchange.</p>
<h2 id="sign-in-with-google-flow">Sign in with Google Flow</h2>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>+-------------+ 1. Init Sign-in +----------------+</span></span>
<span class="giallo-l"><span>| Web App | ----------------> | |</span></span>
<span class="giallo-l"><span>| (Browser) | | Google Auth |</span></span>
<span class="giallo-l"><span>| |</span></span></code></pre>
<p>Sign in with Google implements a straightforward flow focused on ID
token delivery. While this approach simplifies implementation, it comes
with security considerations:</p>
<ul>
<li>
<p>Applications typically need to establish sessions with their backend
servers, requiring the ID token to be transmitted from the frontend to
the backend</p>
</li>
<li>
<p>ID tokens contain sensitive user information and are meant for
authentication</p>
</li>
<li>
<p>ID tokens are not designed to be passed between different parties -
they should ideally only flow from the authentication provider to the
intended recipient</p>
</li>
</ul>
<p>In contrast, authorization codes in OIDC’s code flow are specifically
designed for such transmission through the frontend.</p>
<h2 id="oidc-code-flow">OIDC Code Flow</h2>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>+-------------+ 1. Init Auth +----------------+</span></span>
<span class="giallo-l"><span>| Web App | ----------------> | |</span></span>
<span class="giallo-l"><span>| (Browser) | | Google Auth |</span></span>
<span class="giallo-l"><span>| | | |</span></span>
<span class="giallo-l"><span>| Server | code + client_id | Google's |</span></span>
<span class="giallo-l"><span>| | + client_secret | Token endpoint |</span></span>
<span class="giallo-l"><span>| | | |</span></span>
<span class="giallo-l"><span>| |</span></span></code></pre>
<p>The OIDC code flow demonstrates the protocol’s flexibility, offering
enhanced security through backend token exchange and supporting
additional features like refresh tokens.</p>
<h1 id="implementation-distinctions">Implementation Distinctions</h1>
<p>The divergence between these approaches manifests in several key
areas:</p>
<h2 id="protocol-implementation">Protocol Implementation</h2>
<p>Sign in with Google employs a proprietary implementation that, while
similar to OIDC’s implicit flow, uses custom mechanisms and focuses
solely on authentication. This specialization allows for a simpler
developer experience but limits flexibility and provider
portability.</p>
<p>Standard OIDC, conversely, implements a complete authentication and
authorization protocol. It supports multiple flows, token types, and
security models, enabling developers to choose the most appropriate
approach for their specific requirements.</p>
<h2 id="security-considerations">Security Considerations</h2>
<p>The security models reflect different priorities. Sign in with Google
optimizes for simplicity, handling tokens in the frontend with a
predetermined security model. OIDC provides more options, including the
secure code flow that keeps sensitive tokens server-side and supports
various security configurations.</p>
<h2 id="feature-scope">Feature Scope</h2>
<p>Sign in with Google’s focused approach provides efficient
authentication but limits additional capabilities. OIDC’s comprehensive
protocol supports various authentication and authorization scenarios,
multiple token types, and standardized endpoints.</p>
<h1 id="choosing-the-right-approach">Choosing the Right Approach</h1>
<p>The selection between Sign in with Google and OIDC should be guided
by specific project requirements:</p>
<p>Sign in with Google excels in scenarios requiring quick
implementation of Google-specific authentication, particularly when
additional OAuth features aren’t needed. Its simplified approach can
accelerate development for straightforward authentication needs.</p>
<p>Standard OIDC becomes essential when projects require provider
flexibility, enhanced security options, or additional OAuth features.
Its standardized approach supports long-term maintainability and
compliance requirements, though at the cost of increased implementation
complexity.</p>
<h1 id="conclusion">Conclusion</h1>
<p>While Sign in with Google shares surface similarities with OIDC’s
implicit flow, understanding their distinct implementations is crucial
for informed architectural decisions. The resemblance in token delivery
mechanisms can mask significant differences in protocol implementation,
security models, and available features.</p>
<p>Developers should consider carefully whether their projects benefit
more from Sign in with Google’s streamlined, focused approach or OIDC’s
comprehensive, standardized protocol. This decision impacts not only
initial implementation but also long-term maintenance, security posture,
and provider flexibility.</p>
<p>Remember: The similarity between Sign in with Google and OIDC’s
implicit flow can be misleading. While they share some characteristics,
they are different implementations with distinct capabilities and
limitations.</p>
Sign in with Google in HTMX+FastAPI
2024-02-02T00:00:00+00:00
2024-02-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2024/02/sign-in-with-google-in-htmxfastapi.html/
<h1 id="tl-dr">TL;DR</h1>
<p>The “Sign in with Google” feature has been integrated into a sample
HTMX+FastAPI web application. Either an HTML or JavaScript version of a
code snippet from Google’s code generator is included in the HTML to
display the button. The FastAPI backend has been configured to create a
session from the JWT and set “Set-Cookie: session_id” in the header,
enabling subsequent communications to maintain the login status through
a session cookie. Thanks to HTMX functionality, the application page can
dynamically fetch the navigation bar upon a change in login status,
indicating whether the user is logged in.</p>
<h1 id="introduction">Introduction</h1>
<p>As an aspiring full-stack software developer, I’ve been teaching
myself various front-end web technologies recently. These include
React.js, Svelte, and other shiny new JavaScript frameworks, which can
sometimes be overwhelming. I was considering settling on Svelte, thanks
to its simplicity in state management, when I discovered a concept
called Hypermedia as the Engine of Application State (HATEOAS) and a
library named htmx.js.</p>
<p>Initially, I didn’t quite grasp how it differed from other
technologies. However, after creating several web pages for practice, I
realized I didn’t need to switch into a dedicated front-end programming
mode. I felt liberated from the struggle of forcing myself into the
React mental model, which always seemed nonsensical to me. I often
questioned, ‘Why must I change my mental model every time I create a
small piece of a web page?’</p>
<p>With htmx.js, I can simply create a page, and when I need to change
parts of it, I just fire an AJAX request using hx-get and swap the DOM
elements with HTML fragments in the response. I understand that as a web
application becomes more complex, there might be situations where more
feature-rich technologies are necessary. But now, I’m no longer
intimidated by the overwhelming ecosystems of each technology.</p>
<p>Now, I wanted to explore how I could implement a login feature in a
web application, specifically using the ‘Sign in with Google’ feature on
a web page developed with HTMX and FastAPI. So, I did a bit of research
and figured out how to do it. Noticing a lack of use cases on the web
for this particular combination of technologies, I decided to share my
findings.</p>
<p>While integrating the ‘Sign in with Google’ button into an HTMX page
isn’t much different from incorporating it into a standard HTML page,
the following aspects seemed particularly noteworthy:</p>
<ul>
<li>
<p>How to display the status after a successful login or logout using
HTMX.</p>
</li>
<li>
<p>The handling of the JWT after a successful login on Google’s
side.</p>
</li>
<li>
<p>How to maintain a session via a cookie generated upon successful JWT
verification, rather than solely relying on the JWT for session
management.</p>
</li>
</ul>
<p>These points are especially relevant for beginners like myself.</p>
<h1 id="what-i-implemented">What I Implemented</h1>
<p>The webpage I developed using FastAPI and HTMX is shown in the figure
below. This page integrates a ‘Sign in with Google’ option, enhancing
user experience and offering a secure login method.</p>
<img src="/2024/02/sign-in-with-google-in-htmxfastapi.html/image/FastAPI-HTMX-Google-OAuth043.gif" width="80%">
<p>The process begins when a user clicks on the Google logo. A pop-up
window appears, guiding them through the Google account selection and
authentication process, which is then executed seamlessly in the
background.</p>
<p>After logging in, the webpage dynamically updates the navigation bar
to include the user’s Google account icon. Additionally, menu elements
like ‘Secret#1’ become accessible, revealing exclusive content with a
single click.</p>
<p>Logging out is just as intuitive. Clicking the ‘Exit’ icon signs the
user out, reverting the navigation bar to its default state for
anonymous visitors.</p>
<p>The source code is available on <a rel="external" href="https://github.com/ktaka-ccmp/fastapi-htmx-google-oauth/tree/v1.0.0">my
GitHub repo.</a></p>
<h2 id="anonymous-user-page">Anonymous User Page</h2>
<p>The figure below shows a screenshot of the anonymous user page, which
will be explained in more detail. The page consists of a navigation bar
and a content section. On the navigation bar, an anonymous user icon,
menus including the ones to secret pages, and a Google Sign-in button
are shown. In this example, the ‘Secret#1’ menu is disabled. The
‘Secret#2’ menu is not disabled; however, clicking it will return an
access forbidden error.</p>
<p>The section below the navigation bar is the content section showing
the “Incremental hx-get demo” page, which is accessible by both
anonymous and authenticated users.</p>
<img src="/2024/02/sign-in-with-google-in-htmxfastapi.html/image/page1.drawio.png" width="90%">
<h2 id="authenticated-user-page">Authenticated User Page</h2>
<p>The figure below shows a screenshot of the authenticated user page,
which also consists of a navigation bar and content section. Shown on
the navigation bar are the user’s Google account icon, menus including
the ones to secret pages, and a Sign-out button. When the user is
authenticated, the menus to the secret pages are both accessible and
return the contents.</p>
<p>The section below the navigation bar is the content section showing
the content of the ‘Secret#1’ page, which is accessible only by
authenticated users.</p>
<img src="/2024/02/sign-in-with-google-in-htmxfastapi.html/image/page2.drawio.png" width="90%">
<h1 id="htmx-with-fastapi">HTMX with FastAPI</h1>
<p>FastAPI can respond with an HTML page generated from a Jinja
template. The following code specifies that when the FastAPI server
receives a GET request to <code>/spa</code>, it will respond with an
HTML page generated from the Jinja template <code>spa.j2</code>.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>router = APIRouter()</span></span>
<span class="giallo-l"><span>templates = Jinja2Templates(directory='templates')</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>@router.get("/spa", response_class=HTMLResponse)</span></span>
<span class="giallo-l"><span>async def spa(request: Request):</span></span>
<span class="giallo-l"><span> context = {"request": request}</span></span>
<span class="giallo-l"><span> return templates.TemplateResponse("spa.j2", context)</span></span></code></pre>
<p>Shown below is what the template <code>spa.j2</code> looks like.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{% include 'head.j2' %}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {# Header #}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {# Content #}</span></span></code></pre>
<p>In the body section, there are two sub-sections: one is wrapped by
<code><header></header></code>, and the other is wrapped by
<code><div></div></code>.</p>
<p>The section wrapped by <code><header></header></code>
loads the navigation bar in a responsive manner. Within this section, we
encounter unfamiliar attributes: hx-get, hx-target, hx-swap, and
hx-trigger. These attributes are interpreted by the HTMX JavaScript
library loaded in <code>head.j2</code>.</p>
<p>The meanings of the attributes are summarized as follows:</p>
<table><thead><tr><th>Attribute</th><th>Description</th></tr></thead><tbody>
<tr><td>hx-get</td><td>issues a GET request to the given URL</td></tr>
<tr><td>hx-target</td><td>specifies an element for swapping</td></tr>
<tr><td>hx-swap</td><td>specifies how content is swapped</td></tr>
<tr><td>hx-trigger</td><td>specifies the event that triggers the request</td></tr>
</tbody></table>
<p>In this case, the HTMX library will
issue a GET request to the <code>/auth/auth_navbar</code> endpoint upon
this section’s first load and when the page receives a response with
“HX-Trigger: LoginStatusChange” in the header for an HTMX AJAX request.
The HTMX library will then replace the content inside the
<code><div></code> section with <code>id="auth_navbar"</code>.</p>
<p>The <code><div></code> section just below the
<code>{# Content #}</code> is there to load the main contents of the
page dynamically. It also has the same set of HTMX attributes summarized
in the table above. In this case, the HTMX library will issue a GET
request to the <code>/htmx/content.top</code> endpoint only upon this
section’s first load. The HTMX library will then replace the content
inside the <code><div></code> section with
<code>id="content_section"</code>.</p>
<p>To have the HTMX attribute properly interpreted, we need to add a
<code><script></code> tag in the document head, like this:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"></span></code></pre>
<p>The document head is included from the file <code>head.j2</code> in
the same directory as:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>{% include 'head.j2' %}</span></span></code></pre>
<p>These examples illustrate the basic usage of HTMX and FastAPI with
Jinja templating.</p>
<h1 id="sign-in">Sign In</h1>
<h2 id="overview">Overview</h2>
<p>The figure below shows a schematic diagram depicting the flow of the
authentication process.</p>
<img src="/2024/02/sign-in-with-google-in-htmxfastapi.html/image/htmx-fastapi01.drawio.png" width="80%">
<ul>
<li>
<p>When a user clicks ‘Sign in with Google’, an authentication request
is sent to Google.</p>
</li>
<li>
<p>Upon successful authentication, the user’s credentials are returned
as a JSON Web Token (JWT) to the page.</p>
</li>
<li>
<p>JavaScript code on the page forwards the JWT to
<code>/auth/login</code>, an authentication endpoint prepared using
FastAPI.</p>
</li>
<li>
<p>The JWT is then verified using a certificate fetched from
Google.</p>
</li>
<li>
<p>A user corresponding to the JWT is created in the SQLite database,
if one does not already exist.</p>
</li>
<li>
<p>A new session is also created and stored in the database.</p>
</li>
<li>
<p>FastAPI sends a response with a header containing the entry
“Set-Cookie: session_id=xxxxxx.”</p>
</li>
</ul>
<p>Thereafter, “Cookie: session_id=xxxxxx” is always set in subsequent
communications, until the cookie expires or until the user explicitly
hits the logout button on the web page.</p>
<h2 id="frontend-auth">Frontend Auth</h2>
<h3 id="sign-in-with-google-button">Sign in with Google button</h3>
<p>To display a <code>Sign in with Google</code> button, we need to use
a JavaScript library provided by Google and place a code snippet
somewhere in the HTML.</p>
<p>To load the JavaScript library, add the following
<code><script></code> tag in the document head:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"></span></code></pre>
<p>Inside the navigation bar, we place a code snippet to show the “Sign
in with Google” button. This code snippet is available in two versions:
JavaScript and HTML. Either version can be used.</p>
<h4 id="javascript-version">JavaScript Version</h4>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>script></span></span>
<span class="giallo-l"><span> google.accounts.id.initialize({</span></span>
<span class="giallo-l"><span> client_id: "{{ client_id }}",</span></span>
<span class="giallo-l"><span> callback: onSignIn,</span></span>
<span class="giallo-l"><span> ux_mode: "popup",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.renderButton(document.getElementById("signInDiv"), {</span></span>
<span class="giallo-l"><span> theme: "outline",</span></span>
<span class="giallo-l"><span> size: "large",</span></span>
<span class="giallo-l"><span> shape: "circle",</span></span>
<span class="giallo-l"><span> type: "icon",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {# google.accounts.id.prompt(); #}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>script></span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>div id="signInDiv">div></span></span></code></pre>
<p>The <code>google.accounts.id.initialize</code> function defines the
initialization and behavior of the sign-in process:</p>
<ul>
<li>
<p>The <code>client_id</code> specifies the <a rel="external" href="https://developers.google.com/identity/gsi/web/guides/get-google-api-clientid">OAuth
2.0 Client ID</a>, which is necessary.</p>
</li>
<li>
<p>The <code>callback</code> defines a JavaScript callback function for
a successful sign-in on Google’s side.</p>
</li>
<li>
<p>The <code>ux_mode</code> sets Google’s sign-in page mode, preferred
to be ‘popup’ instead of ‘redirect’.</p>
</li>
</ul>
<p>The <code>google.accounts.id.renderButton</code> function defines the
presentation style of the Sign in with Google button:</p>
<p>The <code>google.accounts.id.prompt</code> method displays the One
Tap prompt (and is disabled in this particular case).</p>
<h4 id="html-version">HTML Version</h4>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> src="https://accounts.google.com/gsi/client" async></span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> id="g_id_onload"</span></span>
<span class="giallo-l"><span> data-client_id="{{ client_id }}",</span></span>
<span class="giallo-l"><span> data-context="signin"</span></span>
<span class="giallo-l"><span> data-ux_mode="popup"</span></span>
<span class="giallo-l"><span> data-callback=onSignIn</span></span>
<span class="giallo-l"><span> data-close_on_tap_outside="true"</span></span>
<span class="giallo-l"><span> data-itp_support="true"</span></span>
<span class="giallo-l"><span> data-auto_prompt="false"</span></span>
<span class="giallo-l"><span> ></span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> class="g_id_signin"</span></span>
<span class="giallo-l"><span> data-type="icon"</span></span>
<span class="giallo-l"><span> data-shape="square"</span></span>
<span class="giallo-l"><span> data-theme="outline"</span></span>
<span class="giallo-l"><span> data-size="large"</span></span>
<span class="giallo-l"><span> ></span></span></code></pre>
<p>The <code><div id="g_id_onload"></code> element initializes and
configures the sign-in process:</p>
<ul>
<li>
<p><code>data-client_id="{{ client_id }}"</code> specifies the
necessary <a rel="external" href="https://developers.google.com/identity/gsi/web/guides/get-google-api-clientid">OAuth
2.0 Client ID</a>.</p>
</li>
<li>
<p><code>data-ux_mode="popup"</code> sets the mode of Google’s sign-in
page to ‘popup’ instead of the more intrusive ‘redirect’.</p>
</li>
<li>
<p><code>data-callback=onSignIn</code> specifies a JavaScript callback
function for a successful sign-in on Google’s side.</p>
</li>
<li>
<p>Setting <code>data-auto_prompt="false"</code> determines whether to
display One Tap or not.</p>
</li>
</ul>
<p>The <code><div id="g_id_sigin"></code> division defines the
presentation style of the Sign in with Google button.</p>
<h3 id="the-callback-function">The Callback Function</h3>
<p>Below is an implementation of the callback function to forward the
JWT to the backend:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>script></span></span>
<span class="giallo-l"><span> function onSignIn(response) {</span></span>
<span class="giallo-l"><span> htmx.ajax('POST', '{{ login_url }}',</span></span>
<span class="giallo-l"><span> { values: { 'credential': response.credential }, swap: 'none' })</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>script></span></span></code></pre>
<p>The <code>onSignIn</code> function sends the JWT received from
Google’s sign-in page to <code>{{ login_url }}</code>, a backend
endpoint designed to handle the received JWT.</p>
<h2 id="backend-auth">Backend Auth</h2>
<p>The backend endpoint receives the JWT, verifies it using Google’s
public certificate, and then creates a session to maintain a logged-in
status in subsequent communications.</p>
<p>Here is the code snippet of the backend endpoint, which performs the
following operations:</p>
<ul>
<li>
<p><code>VerifyToken</code>: Verifies the JWT.</p>
</li>
<li>
<p><code>GetOrCreateUser</code>: Creates the user in the database if
they don’t already exist.</p>
</li>
<li>
<p><code>create_session</code>: Creates a session and stores it in a
session database.</p>
</li>
<li>
<p><code>response.set_cookie</code>: Sets the session_id in the
cookie.</p>
</li>
<li>
<p>Returns the response to the frontend.</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>@router.post("/login")</span></span>
<span class="giallo-l"><span>async def login(request: Request, ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> body = await request.body()</span></span>
<span class="giallo-l"><span> jwt = dict(urllib.parse.parse_qsl(body.decode('utf-8'))).get('credential')</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> idinfo = await VerifyToken(jwt)</span></span>
<span class="giallo-l"><span> if not idinfo:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"><span> return Response("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> user = await GetOrCreateUser(idinfo, ds)</span></span>
<span class="giallo-l"><span> if not user:</span></span>
<span class="giallo-l"><span> print("Error: Failed to GetOrCreateUser")</span></span>
<span class="giallo-l"><span> return Response("Error: Failed to GetOrCreateUser for the JWT")</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> session_id = create_session(user, cs)</span></span>
<span class="giallo-l"><span> if not session_id:</span></span>
<span class="giallo-l"><span> print("Error: Failed to create session for", user.name)</span></span>
<span class="giallo-l"><span> return Response("Error: Failed to create session for"+user.name)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> max_age = 600</span></span>
<span class="giallo-l"><span> expires = datetime.now(timezone.utc) + timedelta(seconds=max_age)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> response = JSONResponse({"Authenticated_as": user.name})</span></span>
<span class="giallo-l"><span> response.set_cookie(</span></span>
<span class="giallo-l"><span> key="session_id",</span></span>
<span class="giallo-l"><span> value=session_id,</span></span>
<span class="giallo-l"><span> httponly=True,</span></span>
<span class="giallo-l"><span> samesite="lax",</span></span>
<span class="giallo-l"><span> max_age=max_age,</span></span>
<span class="giallo-l"><span> expires=expires,</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> response.headers["HX-Trigger"] = "LoginStatusChange"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> return response</span></span></code></pre>
<p>Please note that there is a line setting “HX-Trigger:
LoginStatusChange” in the response header. This triggers an hx-get to
The VerifyToken function below verifies the JWT from the frontend
using the <a rel="external" href="https://google-auth.readthedocs.io/en/stable/reference/google.oauth2.id_token.html">Google
OAuth2 Python library</a>.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>from google.oauth2 import id_token</span></span>
<span class="giallo-l"><span>from google.auth.transport import requests</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>async def VerifyToken(jwt: str):</span></span>
<span class="giallo-l"><span> try:</span></span>
<span class="giallo-l"><span> idinfo = id_token.verify_oauth2_token(</span></span>
<span class="giallo-l"><span> jwt,</span></span>
<span class="giallo-l"><span> requests.Request(),</span></span>
<span class="giallo-l"><span> settings.google_oauth2_client_id)</span></span>
<span class="giallo-l"><span> except ValueError:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token with GOOGLE_OAUTH2_CLIENT_ID=" + settings.google_oauth2_client_id +".")</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> print("idinfo: ", idinfo)</span></span>
<span class="giallo-l"><span> return idinfo</span></span></code></pre><h1 id="sign-out">Sign Out</h1>
<h2 id="overview-1">Overview</h2>
<p>The figure below shows a schematic diagram depicting the flow of the
sign out process.</p>
<img src="/2024/02/sign-in-with-google-in-htmxfastapi.html/image/htmx-fastapi02.drawio.png" width="80%">
<ul>
<li>
<p>When a user clicks the ‘Sign-out’ button, an hx-get request is sent
to /auth/logout, an endpoint prepared using FastAPI.</p>
</li>
<li>
<p>The session associated with the session_id is deleted in the
database.</p>
</li>
<li>
<p>FastAPI sends a response with a header containing the entry
<code>Set-Cookie: session_id="", max_age=0</code>.</p>
</li>
</ul>
<p>Thereafter, the browser unsets the <code>session_id</code> in the
Cookie header and will no longer send the <code>session_id</code> cookie
in subsequent requests.</p>
<h2 id="frontend">Frontend</h2>
<p>Here is a snippet of the Jinja template, which shows a logout button
for authenticated users in the navigation bar.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> class="navbar-nav me-auto mb-2 mb-lg-0"></span></span>
<span class="giallo-l"><span> hx-get="{{logout_url}}" hx-trigger="click" hx-target="#content_section" hx-swap="innerHTML"></span></span>
<span class="giallo-l"><span> class="rounded-circle" src="{{icon_url}}" alt="logout" name="logout"</span></span>
<span class="giallo-l"><span> style="width:2rem;height:2rem;border-radius:2rem"></span></span></code></pre>
<p>The <code>{{ logout_url }}</code> and <code>{{icon_url}}</code> will
returned to the client browsers.</p>
<p>Upon a click, the logout button fires an hx-get request to
<code>{{ logout_url }}</code>, which translates to
<code>/auth/logout</code>, an endpoint of the backend server. The
attributes <code>hx-target="#content_section"</code> and
<code>hx-swap="innerHTML"</code> will cause the HTMX libray to replace
the content in inside the
<code><div id="content_section"></div></code>.</p>
<h2 id="backend">Backend</h2>
<p>The backend endpoint receives an AJAX get request, deletes the
session associated with the session_id from the database, and instructs
the browser to unset the ‘Cookie: session_id’.</p>
<p>Here is the code snippet of the backend endpoint, which performs the
following operations:</p>
<ul>
<li>
<p><code>delete_session</code>: delete the session from the session
database.</p>
</li>
<li>
<p><code>response.delete_cookie</code>: Causes the browser to delete
the <code>session_id</code> cookie from the Cookie header by setting
<code>Set-Cookie: session_id="", max-age=0</code> in the response
header(see <a rel="external" href="https://fastapi.tiangolo.com/reference/response/#fastapi.Response.delete_cookie">explanation</a>
and <a rel="external" href="https://github.com/encode/starlette/blob/master/starlette/responses.py#L130">source
code</a>).</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>@router.get("/logout", response_class=HTMLResponse)</span></span>
<span class="giallo-l"><span>async def logout(request: Request, response: Response, hx_request: Optional[str] = Header(None), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"><span> if not hx_request:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_400_BAD_REQUEST,</span></span>
<span class="giallo-l"><span> detail="Only HX request is allowed to this end point."</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> req_session_id = request.cookies.get("session_id") # get session_id from cookie of request</span></span>
<span class="giallo-l"><span> if req_session_id:</span></span>
<span class="giallo-l"><span> delete_session(req_session_id, cs)</span></span>
<span class="giallo-l"><span> response.delete_cookie("session_id") # delete key="session_id" from cookie of response</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> context = {"request": request, "message": "User logged out"}</span></span>
<span class="giallo-l"><span> response = templates.TemplateResponse("content.error.j2", context)</span></span>
<span class="giallo-l"><span> response.headers["HX-Trigger"] = "LoginStatusChange"</span></span>
<span class="giallo-l"><span> return response</span></span></code></pre>
<p>Please also note that there is a line setting “HX-Trigger:
LoginStatusChange” in the response header as same as the case for
/auth/login endpoint. This triggers an hx-get to</p>
<h1 id="switch-navbar">Switch Navbar</h1>
<p>The following code snippet returns the partial HTML content to
display the navigation bar. Depending on the existence of the valid
session_id in the Cookie header, the code returns the different HTMLs.
When there is a valid session_id in the Cookie header, it returns the
HTML generated from a Jinja template <code>auth_navbar.logout.j2</code>
for authenticated users with the user’s Google account icon and logout
button. When there isn’t a valid session_id in the Cookie header, it
returns the HTML generated from a Jinja template
<code>auth_navbar.login.j2</code> for anonymous users with a “Sign in
with Google” button.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>@router.get("/auth_navbar", response_class=HTMLResponse)</span></span>
<span class="giallo-l"><span>async def auth_navbar(request: Request, hx_request: Optional[str] = Header(None), ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if not hx_request:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_400_BAD_REQUEST,</span></span>
<span class="giallo-l"><span> detail="Only HX request is allowed to this end point."</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> # For authenticated users, return the menu.logout component.</span></span>
<span class="giallo-l"><span> try:</span></span>
<span class="giallo-l"><span> session_id = request.cookies.get("session_id")</span></span>
<span class="giallo-l"><span> user = await get_current_user(session_id=session_id, cs=cs, ds=ds)</span></span>
<span class="giallo-l"><span> logout_url = settings.origin_server + "/auth/logout"</span></span>
<span class="giallo-l"><span> icon_url = settings.origin_server + "/img/logout.png"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> context = {"request": request, "session_id": session_id, "logout_url":logout_url, "icon_url": icon_url,</span></span>
<span class="giallo-l"><span> "name": user.name, "picture": user.picture, "email": user.email}</span></span>
<span class="giallo-l"><span> return templates.TemplateResponse("auth_navbar.logout.j2", context)</span></span>
<span class="giallo-l"><span> except:</span></span>
<span class="giallo-l"><span> print("User not logged-in.")</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> # For unauthenticated users, return the menu.login component.</span></span>
<span class="giallo-l"><span> client_id = settings.google_oauth2_client_id</span></span>
<span class="giallo-l"><span> login_url = settings.origin_server + "/auth/login"</span></span>
<span class="giallo-l"><span> icon_url = settings.origin_server + "/img/icon.png"</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> context = {"request": request, "client_id": client_id, "login_url": login_url, "icon_url": icon_url}</span></span>
<span class="giallo-l"><span> return templates.TemplateResponse("auth_navbar.login.j2", context)</span></span></code></pre>
<p>The <code>settings.origin_server</code> and
<code>settings.google_oauth2_client_id</code> are defined else where in
the code tree to provied necessary information from a <code>.env</code>
file.</p>
<h1 id="protecting-routes">Protecting Routes</h1>
<p>Access to the secret pages is controlled through the
<code>auth.is_authenticated</code> dependency, as shown in the following
code snippet. If the <code>auth.is_authenticated</code> does not raise
an exception, it allows access to the routes defined in
<code>htmx/htmx_secret.py</code>; otherwise, it disallows it.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>from htmx import htmx_secret</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app = FastAPI()</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app.include_router(</span></span>
<span class="giallo-l"><span> htmx_secret.router,</span></span>
<span class="giallo-l"><span> prefix="/htmx",</span></span>
<span class="giallo-l"><span> tags=["htmx"],</span></span>
<span class="giallo-l"><span> dependencies=[Depends(auth.is_authenticated)],</span></span>
<span class="giallo-l"><span>)</span></span></code></pre>
<p>The <code>auth.is_authenticated</code> is defined as the
following:</p>
<ul>
<li>
<p>In the function <code>get_current_user</code>, the user’s email is
retrieved from the session database, and then the other information is
retrieved from the user database.</p>
</li>
<li>
<p>The function <code>is_authenticated</code> raises an HTTPException
when there is no user information returned by the
<code>get_current_user</code> or the <code>user.disabled</code> is
true.</p>
</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async def get_current_user(session_id: str, ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"><span> if not session_id:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> session = get_session_by_session_id(session_id, cs)</span></span>
<span class="giallo-l"><span> if not session:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> user_dict = get_user_by_email(session["email"], ds)</span></span>
<span class="giallo-l"><span> user=UserBase(**user_dict)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> return user</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>@router.get("/is_authenticated")</span></span>
<span class="giallo-l"><span>async def is_authenticated(session_id: Annotated[str | None, Cookie()] = None, ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"><span> user = await get_current_user(session_id=session_id, cs=cs, ds=ds)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if not user:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_401_UNAUTHORIZED,</span></span>
<span class="giallo-l"><span> detail="NotAuthenticated"</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> elif user.disabled:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_403_FORBIDDEN,</span></span>
<span class="giallo-l"><span> detail="Disabled user"</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> else:</span></span>
<span class="giallo-l"><span> print("Authenticated.")</span></span>
<span class="giallo-l"><span> return JSONResponse({"message": "Authenticated"})</span></span></code></pre><h1 id="conclusion">Conclusion</h1>
<p>In this post, I’ve shared what I learned about integrating the Sign
in with Google feature with an HTMX+FastAPI web application. The “Sign
in with Google” button has been successfully integrated into a sample
HTMX+FastAPI web application. We included either an HTML or JavaScript
version of a code snippet from Google’s code generator in the HTML to
display the button. The FastAPI backend has been configured to create a
session from the JWT and set “Set-Cookie: session_id” in the header,
allowing subsequent communications to maintain the login status through
a session cookie. Thanks to HTMX functionality, the application page can
dynamically update the navigation bar upon a change in login status,
clearly indicating whether the user is logged in.</p>
<h1 id="seeking-oppotunities">Seeking Oppotunities</h1>
<p>I’m based in Japan and am seeking remote work opportunities overseas.
I’m also open to on-site positions in North America, Australia, the EU,
etc., if visa support is available. <a rel="external" href="https://www.linkedin.com/in/ktaka-phd/">LinkedIn</a></p>
Google OAuth2 in Svelte + FastAPI: Create a Session Cookie from JWT
2024-01-09T00:00:00+00:00
2024-01-09T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2024/01/svelte-fastapi-session-cookie-jwt-01.html/
<h2 id="introduction">Introduction</h2>
<p>I have implemented Google Sign-In functionality in a sample website
built using Svelte and FastAPI. There are various methods to
authenticate users in the backend API server after a successful Google
Sign In. One common approach is to send the JWT received from Google in
the request header as <code>Authorization: "Bearer: JWT",</code> and if
the JWT is valid, authorization to access resources is granted. Another
typical method involves issuing a JWT on the backend and using it for
user authentication in the <code>Authorization</code> header. However,
using JWT directly for session management poses a challenge in immediate
invalidation if the JWT is leaked. Reference: <a rel="external" href="http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/">Stop
using JWT for sessions</a> . Therefore, I implemented a method in which,
following the receipt of the JWT from Google, FastAPI assigns a new
session_id. This session_id is set in a cookie to maintain the
session.</p>
<p>The session information is managed in FastAPI’s session database,
allowing administrators to invalidate sessions anytime. Additionally, by
adding Secure and HttpOnly attributes to the cookies, interception
during transmission and access from JavaScript are prevented, enabling
the development of a more secure website.</p>
<p>Note: I am self-taught in both Svelte and FastAPI, so I would
appreciate any advice on improving anything.</p>
<h2 id="what-i-implement">What I Implement</h2>
<p>With authentication implemented, unauthenticated access will redirect
to the login page, where you can log in with a Google account.</p>
<img src="/2024/01/svelte-fastapi-session-cookie-jwt-01.html/image/AuthLogin3-2.png" width="80%">
<p>The Customer page can only be displayed after successful
authentication.</p>
<img src="/2024/01/svelte-fastapi-session-cookie-jwt-01.html/image/AuthCustomer.png" width="80%">
<p>In FastAPI, the Swagger UI automatically generates a documentation
page.</p>
<img src="/2024/01/svelte-fastapi-session-cookie-jwt-01.html/image/fastapi01.png" width="80%">
<h2 id="frontend-implementation">Frontend implementation</h2>
<p>with Svelte</p>
<p>I implemented the frontend JavaScript application using Svelte. It
includes authentication functionality using Google OAuth2 and retrieves
customer data from the backend to display in a table.</p>
<p>Upon successful Google Sign-In, the obtained JWT is sent to the
backend API server. The backend verifies the JWT, creates a user
account, sets the session_id in a cookie, and returns a response.
Thereafter, the session_id is always sent in the cookie to maintain a
session.</p>
<p>The code for this implementation is available in the following
repository:</p>
<ul>
<li><a rel="external" href="https://github.com/ktaka-ccmp/google-oauth2-example/tree/v2.1.1/google-oauth/frontend-svelte">frontend-svelte
code</a></li>
</ul>
<p>I will explain the key points of implementing the login functionality
below.</p>
<h3 id="routing">Routing</h3>
<p>We use <code>svelete-routing</code> to set up routing as follows:</p>
<ul>
<li>
<p><strong>/customer</strong> : Displays the Customer component.</p>
</li>
<li>
<p><strong>/login</strong> : Displays the LoginPage component.</p>
</li>
</ul>
<p>Sample code for <code>App.svelte</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { Router, Link, Route } from "svelte-routing";</span></span>
<span class="giallo-l"><span> import Top from "./components/Top.svelte";</span></span>
<span class="giallo-l"><span> import Customer from "./components/Customer.svelte";</span></span>
<span class="giallo-l"><span> import NoMatch from "./components/NoMatch.svelte";</span></span>
<span class="giallo-l"><span> import LoginPage from "./components/LoginPage.svelte";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> export let url = "";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Top</span></span>
<span class="giallo-l"><span> Customer</span></span></code></pre><h3 id="login-page">Login Page</h3>
<p>We display Google’s Sign-In button and also use the OneTap interface.
After signing in with Google, the callback function
<code>backendAuth</code> is called. <code>backendAuth</code> sends the
response obtained from Google Sign-In to
<code>http://localhost/api/login</code>. The response includes the JWT
token. If the backend login is successful, it redirects to the previous
page. If it fails, the error is handled and “navigated” back to the
login page.</p>
<p>Sample code for <code>LoginPage.svelte</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios";</span></span>
<span class="giallo-l"><span> import { useLocation, navigate } from "svelte-routing";</span></span>
<span class="giallo-l"><span> import { jwtDecode } from "jwt-decode";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let location = useLocation();</span></span>
<span class="giallo-l"><span> let origin = $location.state?.from;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const backendAuth = (response) => {</span></span>
<span class="giallo-l"><span> const data = JSON.stringify(response, null, 2);</span></span>
<span class="giallo-l"><span> console.log("JWT fed to backendAuth:\n", data);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .post(`/api/login/`, data)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> console.log("Navigate back to: ", origin);</span></span>
<span class="giallo-l"><span> navigate(origin, { replace: true });</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => {</span></span>
<span class="giallo-l"><span> console.log("backendAuth failed. Redirecting to /login... ");</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"><span> const onLogin = backendAuth;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(() => {</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.initialize({</span></span>
<span class="giallo-l"><span> /* global google */</span></span>
<span class="giallo-l"><span> client_id: import.meta.env.VITE_APP_GOOGLE_OAUTH2_CLIENT_ID,</span></span>
<span class="giallo-l"><span> callback: (r) => onLogin(r),</span></span>
<span class="giallo-l"><span> ux_mode: "popup",</span></span>
<span class="giallo-l"><span> // ux_mode: "redirect",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.renderButton(document.getElementById("signInDiv"), {</span></span>
<span class="giallo-l"><span> theme: "filled_blue",</span></span>
<span class="giallo-l"><span> size: "large",</span></span>
<span class="giallo-l"><span> shape: "circle",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.prompt();</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Login page</span></span></code></pre><h3 id="setup-of-axios-instance">Setup of Axios Instance</h3>
<p>By setting <code>withCredentials: true</code>, axios will send
cookies. Axios’s interceptors are used for error handling. If
<code>401 Unauthorized</code> or <code>403 Forbidden</code> are returned
from the backend, it navigates to <code>/login</code>.</p>
<p>Sample code for <code>apiAxios.js</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>import axios from "axios";</span></span>
<span class="giallo-l"><span>import { navigate } from "svelte-routing";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>export const apiAxios = axios.create({</span></span>
<span class="giallo-l"><span> baseURL: `${import.meta.env.VITE_APP_API_SERVER}`,</span></span>
<span class="giallo-l"><span> withCredentials: true,</span></span>
<span class="giallo-l"><span>});</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>apiAxios.interceptors.response.use(</span></span>
<span class="giallo-l"><span> (response) => {</span></span>
<span class="giallo-l"><span> return response;</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> (error) => {</span></span>
<span class="giallo-l"><span> if (error.response.status === 401 || error.response.status === 403) {</span></span>
<span class="giallo-l"><span> console.log(</span></span>
<span class="giallo-l"><span> "apiAxios failed. Redirecting to /login... from",</span></span>
<span class="giallo-l"><span> location.pathname</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"><span> navigate("/login", { state: { from: location.pathname }, replace: true });</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> return Promise.reject(error);</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>);</span></span></code></pre><h3 id="logoutbutton-component">LogoutButton Component</h3>
<p>This component displays a Logout button. On mount, it accesses the
backend server to get information about the logged-in user. If there is
no session_id in the cookie, meaning the user is not logged in, the
attempt to get user information fails, and the user is redirected to the
<code>/login</code> page due to the error handling in
<code>apiAxios.interceptor</code>.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios.js";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let user;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(() => {</span></span>
<span class="giallo-l"><span> console.log("Logout Component Mounted");</span></span>
<span class="giallo-l"><span> getUser();</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const handleLogout = () => {</span></span>
<span class="giallo-l"><span> user = null;</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/logout/`)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> console.log("backendLogout", res);</span></span>
<span class="giallo-l"><span> getUser();</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => console.log("Logout failed: ", error));</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const getUser = () => {</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/user/`)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> user = res.data;</span></span>
<span class="giallo-l"><span> console.log("getUser: user:", user);</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => console.log("getUser failed: ", error.response));</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const onLogout = handleLogout;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Authenticated as {user?.username} &nbsp;</span></span>
<span class="giallo-l"><span> Sign Out</span></span></code></pre><h3 id="customer-component">Customer Component</h3>
<p>This component retrieves data from the backend server and displays it
in a table. Since the <code>LogoutButton</code> component is placed on
the page, if the user is not logged in, it redirects to the
<code>/login</code> page.</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios";</span></span>
<span class="giallo-l"><span> import LogoutButton from "./LogoutButton.svelte";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let customers = [];</span></span>
<span class="giallo-l"><span> let Loading = true;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(async () => {</span></span>
<span class="giallo-l"><span> await new Promise((r) => setTimeout(r, 1000));</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/customer/`)</span></span>
<span class="giallo-l"><span> .then((res) => (customers = res.data.results))</span></span>
<span class="giallo-l"><span> .catch((error) => console.log(error))</span></span>
<span class="giallo-l"><span> .finally(() => Loading = false);</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>This is Customer.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>{#if Loading}</span></span>
<span class="giallo-l"><span> Loading ...</span></span>
<span class="giallo-l"><span>{:else}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> id</span></span>
<span class="giallo-l"><span> name</span></span>
<span class="giallo-l"><span> email</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {#each customers as cs}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {cs.id}</span></span>
<span class="giallo-l"><span> {cs.name}</span></span>
<span class="giallo-l"><span> {cs.email}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {/each}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>{/if}</span></span></code></pre><h2 id="backend-implementation-with">Backend implementation with</h2>
<p>FastAPI</p>
<p>I implemented the backend API server using FastAPI. It verifies the
JWT received from the frontend Javascript apps, creates a user account,
issues a session_id, and registers it in the session database. The
created session_id is set in a cookie and returned in the response. The
backend API server creates a new user if a user corresponding to the JWT
does not exist in the database.</p>
<p>When a request to an endpoint that requires authentication is
received, FastAPI checks the session_id set in the cookie against the
session database and returns the requested data if valid session
information exists.</p>
<p>The code for this implementation is available in the following
repository:</p>
<ul>
<li><a rel="external" href="https://github.com/ktaka-ccmp/google-oauth2-example/tree/v2.1.1/google-oauth/backend-fastapi">backend-fastapi
code</a></li>
</ul>
<p>I will explain the key points of implementing the login functionality
below.</p>
<h3 id="api-login-endpoint">/api/login Endpoint</h3>
<p>The frontend app sends the JWT, and then the backend FastAPI app
verifies it using Google’s public certificates. If verification is
successful, the backend FastAPI app registers the user using the email
address in the JWT as the username in the user database. The information
of the newly created user and the session_id are registered in the
session database, and the session_id is set in a cookie in the
response.</p>
<p>Sample code for <code>auth/auth.py</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async def VerifyToken(jwt: str):</span></span>
<span class="giallo-l"><span> try:</span></span>
<span class="giallo-l"><span> idinfo = id_token.verify_oauth2_token(</span></span>
<span class="giallo-l"><span> jwt,</span></span>
<span class="giallo-l"><span> requests.Request(),</span></span>
<span class="giallo-l"><span> settings.google_oauth2_client_id)</span></span>
<span class="giallo-l"><span> except ValueError:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token with GOOGLE_OAUTH2_CLIENT_ID=" + settings.google_oauth2_client_id +".")</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> print("idinfo: ", idinfo)</span></span>
<span class="giallo-l"><span> return idinfo</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>@router.post("/login")</span></span>
<span class="giallo-l"><span>async def login(request: Request, response: Response, ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"><span> body = await request.body()</span></span>
<span class="giallo-l"><span> jwt = json.loads(body)["credential"]</span></span>
<span class="giallo-l"><span> if jwt == None:</span></span>
<span class="giallo-l"><span> return Response("Error: No JWT found")</span></span>
<span class="giallo-l"><span> print("JWT token: " + jwt)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> idinfo = await VerifyToken(jwt)</span></span>
<span class="giallo-l"><span> if not idinfo:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"><span> return Response("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> user = await GetOrCreateUser(idinfo, ds)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if user:</span></span>
<span class="giallo-l"><span> user_dict = get_user_by_name(user.name, ds)</span></span>
<span class="giallo-l"><span> if not user_dict:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_500_INTERNAL_SERVER_ERROR, detail="Error: User not exist in User table in DB.")</span></span>
<span class="giallo-l"><span> user = UserBase(**user_dict)</span></span>
<span class="giallo-l"><span> session_id = create_session(user, cs)</span></span>
<span class="giallo-l"><span> response.set_cookie(</span></span>
<span class="giallo-l"><span> key="session_id",</span></span>
<span class="giallo-l"><span> value=session_id,</span></span>
<span class="giallo-l"><span> httponly=True,</span></span>
<span class="giallo-l"><span> max_age=1800,</span></span>
<span class="giallo-l"><span> expires=1800,</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> else:</span></span>
<span class="giallo-l"><span> return Response("Error: Auth failed")</span></span>
<span class="giallo-l"><span> return {"Authenticated_as": user.name}</span></span></code></pre><h3 id="function-to-determine-active">Function to Determine Active</h3>
<p>Users</p>
<p>In the <code>get_current_user</code> function, FastAPI extracts the
session_id from the cookie of the received request and considers the
user logged in if it matches an entry in the session database. The
<code>get_current_active_user</code> checks whether the user is
disabled, and the <code>get_admin_user</code> checks whether the user
has admin privileges.</p>
<p>Sample code for <code>auth/auth.py</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async def get_current_user(ds: Session = Depends(get_db), cs: Session = Depends(get_cache), session_id: str = Depends(oauth2_scheme)):</span></span>
<span class="giallo-l"><span> if not session_id:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> session = get_session_by_session_id(session_id, cs)</span></span>
<span class="giallo-l"><span> if not session:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> username = session["name"]</span></span>
<span class="giallo-l"><span> user_dict = get_user_by_name(username, ds)</span></span>
<span class="giallo-l"><span> user=UserBase(**user_dict)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if not user:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_401_UNAUTHORIZED,</span></span>
<span class="giallo-l"><span> detail="Invalid authentication credentials",</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> return user</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>async def get_current_active_user(current_user: User = Depends(get_current_user)):</span></span>
<span class="giallo-l"><span> if not current_user:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_401_UNAUTHORIZED, detail="NotAuthenticated")</span></span>
<span class="giallo-l"><span> if current_user.disabled:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_403_FORBIDDEN, detail="Inactive user")</span></span>
<span class="giallo-l"><span> return current_user</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>async def get_admin_user(current_user: User = Depends(get_current_active_user)):</span></span>
<span class="giallo-l"><span> print("CurrentUser: ", current_user)</span></span>
<span class="giallo-l"><span> if not current_user.admin:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_403_FORBIDDEN, detail="Admin Privilege Required")</span></span>
<span class="giallo-l"><span> return current_user</span></span></code></pre><h3 id="protecting-various-endpoints">Protecting Various Endpoints</h3>
<p>The <code>/api/user/</code> endpoint is accessible only to logged-in
users due to <code>Depends(get_current_active_user)</code>.</p>
<p>Sample code for <code>auth/auth.py</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>@router.get("/user/")</span></span>
<span class="giallo-l"><span>async def get_user(user: UserBase = Depends(get_current_active_user)):</span></span>
<span class="giallo-l"><span> return {"username": user.name, "email": user.email,}</span></span></code></pre>
<p>Routes defined in <code>customer/customer.py</code> are accessible
only to authenticated users, and those in <code>admin/user.py</code> are
accessible only to Admin users.</p>
<p>Sample code for <code>main.py</code> is as follows:</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>import admin.debug, admin.user, auth.auth, auth.debug</span></span>
<span class="giallo-l"><span>import customer.customer</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app = FastAPI()</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app.include_router(</span></span>
<span class="giallo-l"><span> customer.customer.router,</span></span>
<span class="giallo-l"><span> prefix="/api",</span></span>
<span class="giallo-l"><span> tags=["CustomerForAuthenticatedUser"],</span></span>
<span class="giallo-l"><span> dependencies=[Depends(auth.auth.get_current_active_user)],</span></span>
<span class="giallo-l"><span>)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app.include_router(</span></span>
<span class="giallo-l"><span> admin.user.router,</span></span>
<span class="giallo-l"><span> prefix="/api",</span></span>
<span class="giallo-l"><span> tags=["AdminOnly"],</span></span>
<span class="giallo-l"><span> dependencies=[Depends(auth.auth.get_admin_user)],</span></span>
<span class="giallo-l"><span>)</span></span></code></pre><h2 id="conclusion">Conclusion</h2>
<p>I have implemented Google Sign-In functionality in a sample website
built using Svelte and FastAPI. After receiving the JWT from Google,
FastAPI issues a new session_id and maintains the session through
cookies. The session information is managed in FastAPI’s Session
database, allowing administrators to invalidate sessions anytime.
Additionally, adding Secure and HttpOnly attributes to the cookies can
prevent interception and JavaScript access, enabling a more secure
website development.</p>
Svelte+FastAPIでSign in with Googleを試してみた
2023-12-25T00:00:00+00:00
2023-12-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2023/12/sveltefastapisign-in-with-google.html/
<h1 id="hazimeni">はじめに</h1>
<p>SvelteとFastAPIを使用して構築したサンプルウェブサイトにGoogleのサインイン機能を実装しました。
Google Sign
Inに成功した後、バックエンドのAPIサーバーにログインするためには、様々な方法が考えられます。
Googleから受け取ったJWTを、Requestヘッダに<code>Authorization: "Bearer: JWT"</code>として送信し、正しいJWTであれば、認証されます。
また、バックエンドでJWTを発行し、<code>Authorization</code>ヘッダにセットして認証済みユーザーを識別する方法も一般的です。
しかし、JWTをそのままログインユーザーの識別に利用する場合、JWTの漏洩時に即時の無効化が難しい問題があります。
参考:<a rel="external" href="http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/">Stop
using JWT for sessions</a>。
そこで、GoogleからJWTを受け取った後、FastAPI側で新たにsession_idを発行し、Cookieを介してセッションを維持する方法で実装しました。</p>
<p>セッション情報はFastAPIのセッションデータベースで管理されており、管理者がいつでもセッションを無効にできます。
また、CookieにSecure属性とHttpOnly属性を付与することで、経路での盗聴防止やJavaScriptからのアクセス防止が可能になり、より安全なWebサイトの構築が可能です。</p>
<p>なお、SvelteもFastAPIも独学で学習中ですので、おかしな点があれば、アドバイスいただけると嬉しいです。</p>
<h1 id="shi-zhuang-surumono">実装するもの</h1>
<p>認証が実装されると、未ログイン時のアクセスはログインページにリダイレクトされ、そこでGoogleアカウントでログインできます。</p>
<img src="/2023/12/sveltefastapisign-in-with-google.html/image/AuthLogin3-2.png" width="80%">
<p>Customerページは、認証に成功した場合にのみ表示できます。</p>
<img src="/2023/12/sveltefastapisign-in-with-google.html/image/AuthCustomer.png" width="80%">
<p>FastAPIではSwagger UIによるドキュメントページが自動生成されます。</p>
<img src="/2023/12/sveltefastapisign-in-with-google.html/image/fastapi01.png" width="80%">
<h1 id="sveltedenohurontoendonoshi-zhuang">Svelteでのフロントエンドの実装</h1>
<p>Svelteを使用してフロントエンドを実装します。
バックエンドからcustomerデータを取得し、テーブル表示するページにGoogle
OAuth2を利用した認証機能を実装します。</p>
<p>Google Sign
Inに成功し、取得したJWTをバックエンドのAPIサーバーに送信します。
バックエンド側では、JWTをベリファイしユーザーアカウントを作成し、session_idをCookieにセットしてレスポンスを返信します。
これ以降、バックエンドへのリクエスト時には、常にCookieにsession_idをセットして送信します。</p>
<p>実装したコードは以下のリポジトリにあります。</p>
<ul>
<li><a rel="external" href="https://github.com/ktaka-ccmp/google-oauth2-example/tree/v2.1.1/google-oauth/frontend-svelte">frontend-svelteのコード</a></li>
</ul>
<p>ログイン機能の実装ポイントを以下に説明します。</p>
<h2 id="ruteingu">ルーティング</h2>
<p>svelete-routingを利用し、以下のようにルーティングを設定します。</p>
<ul>
<li>
<p><strong>/customer</strong>:
Customerコンポーネントを表示します。</p>
</li>
<li>
<p><strong>/login</strong>: LoginPageコンポーネントを表示します。</p>
</li>
</ul>
<p><code>App.svelte</code>のサンプルコードは次の通りです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { Router, Link, Route } from "svelte-routing";</span></span>
<span class="giallo-l"><span> import Top from "./components/Top.svelte";</span></span>
<span class="giallo-l"><span> import Customer from "./components/Customer.svelte";</span></span>
<span class="giallo-l"><span> import NoMatch from "./components/NoMatch.svelte";</span></span>
<span class="giallo-l"><span> import LoginPage from "./components/LoginPage.svelte";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> export let url = "";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Top</span></span>
<span class="giallo-l"><span> Customer</span></span></code></pre><h2 id="roguinpezi">ログインページ</h2>
<p>GoogleのSign Inボタンを表示し、OneTapインターフェースも利用します。
GoogleでSign
In後、コールバックファンクション<code>backendAuth</code>を呼び出します。
<code>backendAuth</code>では、Google Sign
Inで得られたレスポンスを<code>http://localhost/api/login</code>に送信します。
レスポンスにはJWTトークンが含まれます。
バックエンドでのログインが成功した場合、直前にいたページにリダイレクトします。
失敗した場合、エラー処理が行われ、再度ログインページにリダイレクトされます。</p>
<p><code>LoginPage.svelte</code>のサンプルコードは次の通りです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios";</span></span>
<span class="giallo-l"><span> import { useLocation, navigate } from "svelte-routing";</span></span>
<span class="giallo-l"><span> import { jwtDecode } from "jwt-decode";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let location = useLocation();</span></span>
<span class="giallo-l"><span> let origin = $location.state?.from;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const backendAuth = (response) => {</span></span>
<span class="giallo-l"><span> const data = JSON.stringify(response, null, 2);</span></span>
<span class="giallo-l"><span> console.log("JWT fed to backendAuth:\n", data);</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .post(`/api/login/`, data)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> console.log("Navigate back to: ", origin);</span></span>
<span class="giallo-l"><span> navigate(origin, { replace: true });</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => {</span></span>
<span class="giallo-l"><span> console.log("backendAuth failed. Redirecting to /login... ");</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"><span> const onLogin = backendAuth;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(() => {</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.initialize({</span></span>
<span class="giallo-l"><span> /* global google */</span></span>
<span class="giallo-l"><span> client_id: import.meta.env.VITE_APP_GOOGLE_OAUTH2_CLIENT_ID,</span></span>
<span class="giallo-l"><span> callback: (r) => onLogin(r),</span></span>
<span class="giallo-l"><span> ux_mode: "popup",</span></span>
<span class="giallo-l"><span> // ux_mode: "redirect",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.renderButton(document.getElementById("signInDiv"), {</span></span>
<span class="giallo-l"><span> theme: "filled_blue",</span></span>
<span class="giallo-l"><span> size: "large",</span></span>
<span class="giallo-l"><span> shape: "circle",</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> google.accounts.id.prompt();</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Login page</span></span></code></pre><h2 id="axiosinsutansunosetutoatupu">axiosインスタンスのセットアップ</h2>
<p><code>withCredentials: true</code>をセットすることでaxiosはCookieを送信するようになります。
axiosのinterceptorsでエラー処理を行い、バックエンドから<code>401 Unauthorized</code>、<code>403 Forbidden</code>が返ってきた場合、<code>/login</code>へリダイレクトします。</p>
<p><code>apiAxios.js</code>のサンプルコードは次の通りです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>import axios from "axios";</span></span>
<span class="giallo-l"><span>import { navigate } from "svelte-routing";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>export const apiAxios = axios.create({</span></span>
<span class="giallo-l"><span> baseURL: `${import.meta.env.VITE_APP_API_SERVER}`,</span></span>
<span class="giallo-l"><span> withCredentials: true,</span></span>
<span class="giallo-l"><span>});</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>apiAxios.interceptors.response.use(</span></span>
<span class="giallo-l"><span> (response) => {</span></span>
<span class="giallo-l"><span> return response;</span></span>
<span class="giallo-l"><span> },</span></span>
<span class="giallo-l"><span> (error) => {</span></span>
<span class="giallo-l"><span> if (error.response.status === 401 || error.response.status === 403) {</span></span>
<span class="giallo-l"><span> console.log(</span></span>
<span class="giallo-l"><span> "apiAxios failed. Redirecting to /login... from",</span></span>
<span class="giallo-l"><span> location.pathname</span></span>
<span class="giallo-l"><span> );</span></span>
<span class="giallo-l"><span> navigate("/login", { state: { from: location.pathname }, replace: true });</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> return Promise.reject(error);</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span>);</span></span></code></pre><h2 id="logoutbuttonkonponento">LogoutButtonコンポーネント</h2>
<p>Logoutボタンを表示するコンポーネントです。
onMount時に、バックエンドサーバにアクセスし、ログインしているユーザーの情報を取得します。
Cookieにsession_idが無い場合、すなわち未ログインの場合にはユーザー情報取得に失敗し、apiAxios.interceptorのエラー処理により、<code>/login</code>ページにリダイレクトされます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios.js";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let user;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(() => {</span></span>
<span class="giallo-l"><span> console.log("Logout Component Mounted");</span></span>
<span class="giallo-l"><span> getUser();</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const handleLogout = () => {</span></span>
<span class="giallo-l"><span> user = null;</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/logout/`)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> console.log("backendLogout", res);</span></span>
<span class="giallo-l"><span> getUser();</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => console.log("Logout failed: ", error));</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const getUser = () => {</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/user/`)</span></span>
<span class="giallo-l"><span> .then((res) => {</span></span>
<span class="giallo-l"><span> user = res.data;</span></span>
<span class="giallo-l"><span> console.log("getUser: user:", user);</span></span>
<span class="giallo-l"><span> })</span></span>
<span class="giallo-l"><span> .catch((error) => console.log("getUser failed: ", error.response));</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> const onLogout = handleLogout;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> Authenticated as {user?.username} &nbsp;</span></span>
<span class="giallo-l"><span> Sign Out</span></span></code></pre><h2 id="customerkonponento">Customerコンポーネント</h2>
<p>バックエンドサーバからデータを取得し、テーブル表示するコンポーネントです。<code>LogoutButton</code>
コンポーネントがページ内に配置されているので、未ログインの場合には、<code>/login</code>
ページにリダイレクトされます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> import { onMount } from "svelte";</span></span>
<span class="giallo-l"><span> import { apiAxios } from "../lib/apiAxios";</span></span>
<span class="giallo-l"><span> import LogoutButton from "./LogoutButton.svelte";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> let customers = [];</span></span>
<span class="giallo-l"><span> let Loading = true;</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> onMount(async () => {</span></span>
<span class="giallo-l"><span> await new Promise((r) => setTimeout(r, 1000));</span></span>
<span class="giallo-l"><span> apiAxios</span></span>
<span class="giallo-l"><span> .get(`/api/customer/`)</span></span>
<span class="giallo-l"><span> .then((res) => (customers = res.data.results))</span></span>
<span class="giallo-l"><span> .catch((error) => console.log(error))</span></span>
<span class="giallo-l"><span> .finally(() => Loading = false);</span></span>
<span class="giallo-l"><span> });</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>This is Customer.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>{#if Loading}</span></span>
<span class="giallo-l"><span> Loading ...</span></span>
<span class="giallo-l"><span>{:else}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> id</span></span>
<span class="giallo-l"><span> name</span></span>
<span class="giallo-l"><span> email</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {#each customers as cs}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {cs.id}</span></span>
<span class="giallo-l"><span> {cs.name}</span></span>
<span class="giallo-l"><span> {cs.email}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> {/each}</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>{/if}</span></span></code></pre><h1 id="fastapidenobatukuendoshi-zhuang">FastAPIでのバックエンド実装</h1>
<p>FastAPIを使用して、バックエンドのAPIサーバを実装します。
フロントエンドから受け取ったJWTを検証し、ユーザーアカウントを作成して、session_idを発行しセッションデータベースに登録します。
作成したsession_idをCookieにセットしてレスポンスを返信します。
受け取ったJWTに対応するユーザーがデータベースに存在しない場合、新たにユーザーを作成します。</p>
<p>認証で保護されたエンドポイントへのリクエストを受け取った場合、Cookieにセットされたsession_idとセッションデータベースを照合し、有効なセッション情報が存在している場合のみ、要求されたデータを返信します。</p>
<p>実装したコードは以下のリポジトリにあります。</p>
<ul>
<li><a rel="external" href="https://github.com/ktaka-ccmp/google-oauth2-example/tree/v2.1.1/google-oauth/backend-fastapi">backend-fastapiのコード</a></li>
</ul>
<p>ログイン機能の実装ポイントについて以下に説明します。</p>
<h2 id="api-loginendopointo">/api/loginエンドポイント</h2>
<p>フロントエンドからJWTを受け取り、Googleの公開証明書を使用してJWTを検証します。
検証に成功すると、JWT内のemailアドレスを使用してユーザーデータベースにユーザーを登録します。
新しく作成したユーザーの情報とsession_idをセッションデータベースに登録し、Cookieにsession_idをセットしてレスポンスを返します。</p>
<p>auth/auth.py</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async def VerifyToken(jwt: str):</span></span>
<span class="giallo-l"><span> try:</span></span>
<span class="giallo-l"><span> idinfo = id_token.verify_oauth2_token(</span></span>
<span class="giallo-l"><span> jwt,</span></span>
<span class="giallo-l"><span> requests.Request(),</span></span>
<span class="giallo-l"><span> settings.google_oauth2_client_id)</span></span>
<span class="giallo-l"><span> except ValueError:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token with GOOGLE_OAUTH2_CLIENT_ID=" + settings.google_oauth2_client_id +".")</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> print("idinfo: ", idinfo)</span></span>
<span class="giallo-l"><span> return idinfo</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>@router.post("/login")</span></span>
<span class="giallo-l"><span>async def login(request: Request, response: Response, ds: Session = Depends(get_db), cs: Session = Depends(get_cache)):</span></span>
<span class="giallo-l"><span> body = await request.body()</span></span>
<span class="giallo-l"><span> jwt = json.loads(body)["credential"]</span></span>
<span class="giallo-l"><span> if jwt == None:</span></span>
<span class="giallo-l"><span> return Response("Error: No JWT found")</span></span>
<span class="giallo-l"><span> print("JWT token: " + jwt)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> idinfo = await VerifyToken(jwt)</span></span>
<span class="giallo-l"><span> if not idinfo:</span></span>
<span class="giallo-l"><span> print("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"><span> return Response("Error: Failed to validate JWT token")</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> user = await GetOrCreateUser(idinfo, ds)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if user:</span></span>
<span class="giallo-l"><span> user_dict = get_user_by_name(user.name, ds)</span></span>
<span class="giallo-l"><span> if not user_dict:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_500_INTERNAL_SERVER_ERROR, detail="Error: User not exist in User table in DB.")</span></span>
<span class="giallo-l"><span> user = UserBase(**user_dict)</span></span>
<span class="giallo-l"><span> session_id = create_session(user, cs)</span></span>
<span class="giallo-l"><span> response.set_cookie(</span></span>
<span class="giallo-l"><span> key="session_id",</span></span>
<span class="giallo-l"><span> value=session_id,</span></span>
<span class="giallo-l"><span> httponly=True,</span></span>
<span class="giallo-l"><span> max_age=1800,</span></span>
<span class="giallo-l"><span> expires=1800,</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> else:</span></span>
<span class="giallo-l"><span> return Response("Error: Auth failed")</span></span>
<span class="giallo-l"><span> return {"Authenticated_as": user.name}</span></span></code></pre><h2 id="akuteibuyuzawopan-bie-suruguan-shu">アクティブユーザーを判別する関数</h2>
<p>FastAPIが受け取ったリクエストのCookieからsession_idを取り出し、セッションデータベース内のエントリと一致すればログイン済みとみなします。
<code>get_current_active_user</code>では、disabledのフラグが立っていないか判別し、<code>get_admin_user</code>では、adminのフラグが立っているかどうか判別します。</p>
<p>auth/auth.py</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>async def get_current_user(ds: Session = Depends(get_db), cs: Session = Depends(get_cache), session_id: str = Depends(oauth2_scheme)):</span></span>
<span class="giallo-l"><span> if not session_id:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> session = get_session_by_session_id(session_id, cs)</span></span>
<span class="giallo-l"><span> if not session:</span></span>
<span class="giallo-l"><span> return None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> username = session["name"]</span></span>
<span class="giallo-l"><span> user_dict = get_user_by_name(username, ds)</span></span>
<span class="giallo-l"><span> user=UserBase(**user_dict)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> if not user:</span></span>
<span class="giallo-l"><span> raise HTTPException(</span></span>
<span class="giallo-l"><span> status_code=status.HTTP_401_UNAUTHORIZED,</span></span>
<span class="giallo-l"><span> detail="Invalid authentication credentials",</span></span>
<span class="giallo-l"><span> )</span></span>
<span class="giallo-l"><span> return user</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>async def get_current_active_user(current_user: User = Depends(get_current_user)):</span></span>
<span class="giallo-l"><span> if not current_user:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_401_UNAUTHORIZED, detail="NotAuthenticated")</span></span>
<span class="giallo-l"><span> if current_user.disabled:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_403_FORBIDDEN, detail="Inactive user")</span></span>
<span class="giallo-l"><span> return current_user</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>async def get_admin_user(current_user: User = Depends(get_current_active_user)):</span></span>
<span class="giallo-l"><span> print("CurrentUser: ", current_user)</span></span>
<span class="giallo-l"><span> if not current_user.admin:</span></span>
<span class="giallo-l"><span> raise HTTPException(status_code=HTTP_403_FORBIDDEN, detail="Admin Privilege Required")</span></span>
<span class="giallo-l"><span> return current_user</span></span></code></pre><h2 id="ge-zhong-endopointonobao-hu">各種エンドポイントの保護</h2>
<p><code>Depends(get_current_active_user)</code>により、<code>/api/user/</code>エンドポイントはログインユーザーのみがアクセスできます。</p>
<p>auth/auth.py</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>@router.get("/user/")</span></span>
<span class="giallo-l"><span>async def get_user(user: UserBase = Depends(get_current_active_user)):</span></span>
<span class="giallo-l"><span> return {"username": user.name, "email": user.email,}</span></span></code></pre>
<p><code>customer/customer.py</code>で定義されたルートは認証済みユーザーのみ、<code>admin/user.py</code>で定義されたルートはAdminユーザーのみがアクセスできます。</p>
<p>main.py</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>import admin.debug, admin.user, auth.auth, auth.debug</span></span>
<span class="giallo-l"><span>import customer.customer</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app = FastAPI()</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app.include_router(</span></span>
<span class="giallo-l"><span> customer.customer.router,</span></span>
<span class="giallo-l"><span> prefix="/api",</span></span>
<span class="giallo-l"><span> tags=["CustomerForAuthenticatedUser"],</span></span>
<span class="giallo-l"><span> dependencies=[Depends(auth.auth.get_current_active_user)],</span></span>
<span class="giallo-l"><span>)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>app.include_router(</span></span>
<span class="giallo-l"><span> admin.user.router,</span></span>
<span class="giallo-l"><span> prefix="/api",</span></span>
<span class="giallo-l"><span> tags=["AdminOnly"],</span></span>
<span class="giallo-l"><span> dependencies=[Depends(auth.auth.get_admin_user)],</span></span>
<span class="giallo-l"><span>)</span></span></code></pre><h1 id="matome">まとめ</h1>
<p>SvelteとFastAPIを用いて構築したサンプルウェブサイトにGoogleのサインイン機能を実装しました。
GoogleからJWTを受け取った後、FastAPI側で新たにsession_idを発行し、Cookieを介してセッションを維持する方法で実装しました。
セッション情報はFastAPIのセッションデータベースで管理されており、いつでも管理者がセッションを無効にできます。
また、CookieにSecure属性とHttpOnly属性を付与することで、経路での盗聴防止やJavaScriptからのアクセス防止が可能になり、より安全なWebサイトの構築が可能です。</p>
UEFI/BIOSのどちらでもGRUB起動可能なUSBメモリを作る
2023-04-08T00:00:00+00:00
2023-04-08T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2023/04/uefibiosgrubusb.html/
<h2 id="yao-zhi">要旨</h2>
<p>UEFIモードとBIOSモードのどちらでもGRUBを起動可能なUSBメモリの作成を試みた。
どちらの場合でもGRUBの起動が可能であるはずのUSBメモリを作成した。
SupermicroワークステーションとIntel
NUCで実機検証したところ、Supermicroのワークステーションでは、どちらのモードでもブート可能であったが、Intel
NUCはそうではなかった。
ハードウェアによってはBIOSブート時にパーティションにbootable(active)フラグが必要であるものがあり、その場合は、UEFIブートと両立できないことがわかった。</p>
<h2 id="hazimeni">はじめに</h2>
<p>USBメモリからLinuxが起動できると便利である。サーバのメンテナンスや新規OSインストールなどの様々な場面で、ディスクレスなLinuxをUSBメモリから起動し役立てることができる。私の場合、自宅や会社のルータとして、USBから起動したDebian
Linuxを利用している。ファイルシステムをメモリ(tmpfs)上に展開しディスクレスで運用しているので、なにか設定をしくじった場合にも再起動すればもとの状態に戻すことができるし、ハードウェアが故障してしまった場合などは別のマシンにUSBメモリを差し替えれば簡単に復旧できるので大変重宝している。</p>
<p>Linuxを起動するにはGRUBというブートローダを利用することが多い。GRUBはLinuxカーネルのロードが可能なだけでなく、Windowsのチェインロードも可能である。
かつてのPCは、BIOSというファームウェアがドライブの先頭にあるGRUBをロードしていたが、最近のPCではUEFIがESPにあるGRUBをロードするように仕様に変わった。
BIOSとUEFIではブート仕様が異なるので、GRUBのインストールの方式も異なっていて、一方の方式でLinux及びGRUBインストールしたドライブをもう一方の方式のPCで利用することができない。通常は、HDDやSSD等の起動ドライブをPC間で移動することはあまりないのでそれぞれのPCにそれぞれ適した方式でインストールすれば問題ない。</p>
<p>しかしメンテナンス用のUSBメモリは、できれば、古いBIOS方式でも新しいUEFI方式でも、どちらでも使えるようにしておきたい。
そこで、今回、UEFIモードでもBIOSモードでも、GRUBを起動することができるUSBメモリの作成を試みた。</p>
<h2 id="yarifang">やり方</h2>
<p>LinuxパソコンにUSBメモリを挿したとき、/dev/sdaとして認識されているとし、そこにパーティションテーブルを作成しGRUBのインストールを行う。
以下の手順は、ストレージのパーティションを操作するので、/dev/sdaが確かに操作しようとしているUSBメモリなのかをよく確認してから行う必要がある。</p>
<h3 id="pateisiyonchu-qi-hua-tozuo-cheng">パーティション初期化と作成</h3>
<p>Linuxのルートパーティション、ESPパーティション、BIOSブートパーティションを作成する。ESPパーティションは先頭から512Mbyte、Linuxルートパーティションは残り全部を割り当てる。最近のパーティションツールは、先頭の先頭に2047セクタ分の空きを残すようなので、そこにBIOSブートパーティションを作成する。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>TOP_DIR=./</span></span>
<span class="giallo-l"><span>dev=/dev/sda</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Clear partition table</span></span>
<span class="giallo-l"><span>sgdisk -Z $dev</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Create ESP partition</span></span>
<span class="giallo-l"><span>sgdisk -n 2::+512M $dev</span></span>
<span class="giallo-l"><span>sgdisk -t 2:ef00 $dev</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Create Linux partition</span></span>
<span class="giallo-l"><span>sgdisk -n 1:: $dev</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Create BIOS boot partition</span></span>
<span class="giallo-l"><span>sgdisk -a 1 -n 3:34:2047 $dev</span></span>
<span class="giallo-l"><span>sgdisk -t 3:ef02 $dev</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Change the GPT name of each partition</span></span>
<span class="giallo-l"><span>sgdisk -c 1:Linux -c 2:ESP -c 3:BIOS $dev</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Show current status</span></span>
<span class="giallo-l"><span>sgdisk -p $dev</span></span></code></pre>
<p>LinuxルートパーティションとESPパーティションをフォーマットし、ファイルシステムにマウント。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># Format ESP and Linux partition</span></span>
<span class="giallo-l"><span>mkfs.fat -F32 -n ESP ${dev}2</span></span>
<span class="giallo-l"><span>mkfs.ext4 -F -L usbdebian ${dev}1</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Create mount point and mount file systems</span></span>
<span class="giallo-l"><span>mkdir -p ${TOP_DIR}/mnt</span></span>
<span class="giallo-l"><span>mount -L usbdebian ${TOP_DIR}/mnt</span></span>
<span class="giallo-l"><span>mkdir -p ${TOP_DIR}/mnt/boot/efi</span></span>
<span class="giallo-l"><span>mount -L ESP ${TOP_DIR}/mnt/boot/efi</span></span></code></pre>
<p>BIOS用GRUBのインストール。MBR(ディスクの先頭512Byte)とBIOSブートパーティションにgrubをインストール。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># BIOS setup</span></span>
<span class="giallo-l"><span>grub-install --target=i386-pc --boot-directory=./mnt/boot/ $dev</span></span></code></pre>
<p>動作確認用のGRUBメニューの設定ファイルを作成。今回はLinuxカーネルは入れず、このメニューが表示できるところまでがゴールなので、仮のもので良い。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># Create minimum grub.cfg for testing</span></span>
<span class="giallo-l"><span>cat ${TOP_DIR}/mnt/boot/grub/grub.cfg</span></span>
<span class="giallo-l"><span>set default=1</span></span>
<span class="giallo-l"><span>set timeout=5</span></span>
<span class="giallo-l"><span>menuentry "Debian Linux" {</span></span>
<span class="giallo-l"><span>linux /boot/vmlinuz</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"><span>EOF</span></span></code></pre>
<p>UEFIモードでブートするには、UEFI設定にブートするバイナリとその優先順位を登録することが一般的であるが、USBメモリの場合リームーバブルメディアであるので適さない。
UEFIブートではUEFI設定で他に指定がない場合、EFI/boot/bootx64.efiにフォールバックするので、grubx64.efiをその名前で置いておけば良い。grubx64.efiは同じディレクトリのgrub.cfgを参照するので、そこに/boot/grub/grub.cfgを更に参照するように書いておく。</p>
<p>UEFIモードの場合にはセキュアブートも可能である。その場合には、shimx64.efi
-> grubx64.efi ->
grub.cfgの順で読み込ませたいので、shimx64.efiをEFI/boot/bootx64.efiとして置き、同じディレクトリに、grubx64.efiとgrub.cfgを置けば良い。この時、shimx64.efiとgrubx64.efiは署名済みのものを用いる必要がある。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># UEFI boot setup</span></span>
<span class="giallo-l"><span>mkdir -p ${TOP_DIR}/mnt/boot/efi/EFI/boot</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>cp /usr/lib/grub/x86_64-efi/monolithic/grubx64.efi ${TOP_DIR}/mnt/boot/efi/EFI/boot/bootx64.efi</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>cat ${TOP_DIR}/mnt/boot/efi/EFI/boot/grub.cfg</span></span>
<span class="giallo-l"><span>search.fs_label usbdebian root</span></span>
<span class="giallo-l"><span>set prefix=($root)'/boot/grub'</span></span>
<span class="giallo-l"><span>configfile $prefix/grub.cfg</span></span>
<span class="giallo-l"><span>EOF</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># Unmount filesystem</span></span>
<span class="giallo-l"><span>umount ${TOP_DIR}/mnt/boot/efi/ && umount ${TOP_DIR}/mnt/</span></span></code></pre>
<p>作成したUSBメモリのパーティション構成</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@dyna:~# sgdisk -p /dev/sda</span></span>
<span class="giallo-l"><span>Disk /dev/sda: 60088320 sectors, 28.7 GiB</span></span>
<span class="giallo-l"><span>Model: Ultra Fit</span></span>
<span class="giallo-l"><span>Sector size (logical/physical): 512/512 bytes</span></span>
<span class="giallo-l"><span>Disk identifier (GUID): 21780B2C-8682-42A0-9564-D7E7D726A7EC</span></span>
<span class="giallo-l"><span>Partition table holds up to 128 entries</span></span>
<span class="giallo-l"><span>Main partition table begins at sector 2 and ends at sector 33</span></span>
<span class="giallo-l"><span>First usable sector is 34, last usable sector is 60088286</span></span>
<span class="giallo-l"><span>Partitions will be aligned on 2-sector boundaries</span></span>
<span class="giallo-l"><span>Total free space is 0 sectors (0 bytes)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Number Start (sector) End (sector) Size Code Name</span></span>
<span class="giallo-l"><span> 1 1050624 60088286 28.2 GiB 8300 Linux</span></span>
<span class="giallo-l"><span> 2 2048 1050623 512.0 MiB EF00 ESP</span></span>
<span class="giallo-l"><span> 3 34 2047 1007.0 KiB EF02 BIOS</span></span></code></pre>
<p>作成したUSBメモリのファイルシステム確認(unmout前に確認)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@dyna:~# tree -L 3 ${TOP_DIR}/mnt/</span></span>
<span class="giallo-l"><span>mnt/</span></span>
<span class="giallo-l"><span>├── boot</span></span>
<span class="giallo-l"><span>│ ├── efi</span></span>
<span class="giallo-l"><span>│ │ └── EFI</span></span>
<span class="giallo-l"><span>│ └── grub</span></span>
<span class="giallo-l"><span>│ ├── fonts</span></span>
<span class="giallo-l"><span>│ ├── grub.cfg</span></span>
<span class="giallo-l"><span>│ ├── grubenv</span></span>
<span class="giallo-l"><span>│ ├── i386-pc</span></span>
<span class="giallo-l"><span>│ └── locale</span></span>
<span class="giallo-l"><span>└── lost+found</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>8 directories, 2 files</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>root@dyna:~# tree ${TOP_DIR}/mnt/boot/efi/</span></span>
<span class="giallo-l"><span>mnt/boot/efi/</span></span>
<span class="giallo-l"><span>└── EFI</span></span>
<span class="giallo-l"><span> └── boot</span></span>
<span class="giallo-l"><span> ├── bootx64.efi</span></span>
<span class="giallo-l"><span> └── grub.cfg</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>2 directories, 2 files</span></span></code></pre>
<p>以上でGRUBまで立ち上がるUSBは完成である。</p>
<h3 id="nazekonogou-cheng-debios-uefiliang-dui-ying-ninarunoka">なぜこの構成でBIOS/UEFI両対応になるのか</h3>
<p>BIOSブートとUEFIブートでは、GRUBが読み込まれる場所が異なる。しかし、最終的に同じ <code>/boot/grub/grub.cfg</code>を参照するように構成することで、両対応が可能になる。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>BIOS: MBR → BIOS boot partition → /boot/grub/grub.cfg → kernel</span></span>
<span class="giallo-l"><span> ↑</span></span>
<span class="giallo-l"><span>UEFI: ESP → bootx64.efi → ESP/grub.cfg --┘</span></span></code></pre>
<p><strong>BIOSブートの場合:</strong></p>
<ol>
<li>BIOSがディスク先頭のMBR(Master Boot Record)を読む</li>
<li>MBRのブートコードがBIOS boot partition内のGRUB core.imgへジャンプ</li>
<li>GRUBが<code>/boot/grub/grub.cfg</code>を読み込み</li>
<li>設定に従ってカーネルをロード</li>
</ol>
<p><strong>UEFIブートの場合:</strong></p>
<ol>
<li>UEFIファームウェアがGPT上のESP(EFI System Partition)を探す</li>
<li>デフォルトパス<code>/EFI/boot/bootx64.efi</code>を実行(リムーバブルメディアのフォールバック)</li>
<li>同じディレクトリの<code>grub.cfg</code>を読む:<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>search.fs_label usbdebian root</span></span>
<span class="giallo-l"><span>set prefix=($root)'/boot/grub'</span></span>
<span class="giallo-l"><span>configfile $prefix/grub.cfg</span></span></code></pre></li>
<li>ラベル<code>usbdebian</code>のパーティションを見つけ、<code>/boot/grub/grub.cfg</code>を読み込み</li>
<li>設定に従ってカーネルをロード</li>
</ol>
<p><strong>ポイント:</strong></p>
<ul>
<li>ESPの<code>grub.cfg</code>は<strong>リダイレクト役</strong>。本体の設定ファイルへ誘導するだけ</li>
<li>メインの<code>/boot/grub/grub.cfg</code>を1箇所で管理できる</li>
<li><code>search.fs_label</code>でラベル指定することで、デバイス名(/dev/sdaなど)に依存しない</li>
</ul>
<h2 id="shi-ji-nibutodekirunoka">実際にブートできるのか</h2>
<p>作成したUSBメモリで実際にブート可能であるかを、SupermicroのワークステーションとIntel
NUCで試してみた。
Supermicroのワークステーションでは、UEFIブートであってもBIOSブートであっても、GRUBメーニュー画面が表示できた。
Intel
NUCの場合は、UEFIモードでは無事にGRUBのメニューが表示されたが、BIOSモードでのブートができなかった。</p>
<p>Intel
NUCの場合には、BIOSモードでブートする場合、次の手順でPMBRのパーティションテーブルでbootable(active)フラグを立ててやる必要があった。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@dyna:~# sfdisk -A /dev/sda 1</span></span>
<span class="giallo-l"><span>Activation is unsupported for GPT -- entering nested PMBR.</span></span>
<span class="giallo-l"><span>The bootable flag on partition 1 is enabled now.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>The partition table has been altered.</span></span>
<span class="giallo-l"><span>Syncing disks.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>root@dyna:~# sgdisk -O /dev/sda</span></span>
<span class="giallo-l"><span>Disk size is 60088320 sectors (28.7 GiB)</span></span>
<span class="giallo-l"><span>MBR disk identifier: 0x00000000</span></span>
<span class="giallo-l"><span>MBR partitions:</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Number Boot Start Sector End Sector Status Code</span></span>
<span class="giallo-l"><span> 1 * 1 60088319 primary 0xEE</span></span></code></pre>
<p>PMBRのパーティションテーブルでbootable(active)フラグを立てた場合、今度はUEFIブートができなくなってしまった。どうやらUEFIブートのUEFIブートの規格でPMBR上でそのフラグを立てることを明確に禁止しているらしい。
再度、UEFIブートするには、以下のように、bootable(active)フラグを戻す必要がある。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@dyna:~# sfdisk -A /dev/sda -</span></span>
<span class="giallo-l"><span>Activation is unsupported for GPT -- entering nested PMBR.</span></span>
<span class="giallo-l"><span>The bootable flag on partition 1 is disabled now.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>The partition table has been altered.</span></span>
<span class="giallo-l"><span>Syncing disks.</span></span></code></pre>
<p>古いハードウェアには、bootable(active)フラグが立っているパーティションが無いとBIOSブートできないものがあり、どうやらIntel
NUCはそのようなハードウェアのひとつであるようだ。</p>
<p>参考</p>
<ul>
<li>
<p>[Partitioning</p>
</li>
<li>
<p>wiki.archlinux.org](https://wiki.archlinux.org/title/Partitioning#Tricking_old_BIOS_into_booting_from_GPT) (このやり方はうまく行かなかった)</p>
</li>
<li>
<p><a rel="external" href="https://unix.stackexchange.com/a/325899">BIOS / GPT: do we
need a ‘boot’ flag?</a></p>
</li>
</ul>
<h2 id="matome">まとめ</h2>
<p>今回、UEFIモードでもBIOSモードでも、GRUBを起動することができるUSBメモリの作成を試みた。
作成したUSBメモリでGRUB画面の表示までたどり着けるか試してみた。
Supermicroのワークステーションでは、BIOSブート、UEFIブートのどちらでもGRUB画面にたどり着くことができたが、Intel
NUCではPMBR上でbootable(active)フラグの切り替えが必要であった、</p>
<p>UEFIブートの規格でPMBR上でそのフラグを立てることを明確に禁止しているらしい。
しかし古いハードウェアにはBIOSブート時に、bootable(active)フラグが立っているパーティションが必要であるものがあることが確認された。
その場合には、ブートモードに応じて作成したUSBメモリのbootable(active)フラグを切り替えることがどうしても必要になってしまうことがわかった。</p>
KVM再入門:Qemuコマンドラインで仮想マシンを起動し、Windows11ゲストをセットアップする。
2023-03-22T00:00:00+00:00
2023-03-22T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2023/03/kvmqemuwindows11.html/
<h2 id="hazimeni">はじめに</h2>
<p><a href="/2023/03/kvmqemuwindows.html">前回</a>に引き続き、KVM仮想マシン上にWindows11をインストールするやり方をまとめておきます。</p>
<p>Windows10の時とは以下のような違いがあります。</p>
<ul>
<li>
<p>Windows11の場合、TPMとUEFI Secure Bootが必須である。</p>
</li>
<li>
<p>KVMでTPMを使うには、ホストの/dev/tpm0をパススルーで使う方法と、ソフトウェアのTPMデバイスエミュレーター(swtpm)を使う方法がある。</p>
</li>
<li>
<p>KVMでUEFI Secure Bootするには、ovmfパッケージにより提供されるUEFI
firmwareを利用する。</p>
</li>
</ul>
<h2 id="window11noinsutoru">Window11のインストール</h2>
<h3 id="kvmjia-xiang-masinnoqi-dong-fang-fa">KVM仮想マシンの起動方法</h3>
<p>Windows11のインストールメディア、virtioドライバインストール用のisoイメージをダウンロードしておきます。</p>
<ul>
<li>
<p><a rel="external" href="https://www.microsoft.com/en-us/software-download/windows11">Download
Windows 11</a></p>
</li>
<li>
<p><a rel="external" href="https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-virtio/">Windows用virtioドライバのありか</a></p>
</li>
</ul>
<p>必要パッケジージのインストール</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo apt-get install qemu-system-x86 virt-viewer ovmf</span></span></code></pre>
<p>qcow2ディスクイメージを作成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>qemu-img create -f qcow2 win11pro.qcow2 40G</span></span></code></pre>
<p>書き込み用のFirmwareのローカルコピーを作成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>cp /usr/share/OVMF/OVMF_VARS_4M.ms.fd ./</span></span></code></pre><h4 id="hosutono-dev-tpm0wopasusurudeshi-uchang-he">ホストの/dev/tpm0をパススルーで使う場合</h4>
<p>以下のコマンドで仮想マシンを起動できます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span> -machine q35,accel=kvm \</span></span>
<span class="giallo-l"><span> -m 8192 -cpu host \</span></span>
<span class="giallo-l"><span> -smp 6,sockets=1,dies=1,cores=6,threads=1 \</span></span>
<span class="giallo-l"><span> -display spice-app \</span></span>
<span class="giallo-l"><span> -drive file=./win11pro.qcow2,if=virtio,format=qcow2,discard=unmap \</span></span>
<span class="giallo-l"><span> -drive file=~/Downloads/Win11_22H2_Japanese_x64v1.iso,index=0,media=cdrom \</span></span>
<span class="giallo-l"><span> -drive file=~/Downloads/virtio-win-0.1.229.iso,index=1,media=cdrom \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,unit=0,file=/usr/share/OVMF/OVMF_CODE_4M.ms.fd,readonly=on \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,file=./OVMF_VARS_4M.ms.fd \</span></span>
<span class="giallo-l"><span> -tpmdev passthrough,id=tpm0,path=/dev/tpm0,cancel-path=/dev/null \</span></span>
<span class="giallo-l"><span> -device tpm-tis,tpmdev=tpm0 \</span></span></code></pre><h4 id="sohutoueanotpmdebaisuemiyuretawoshi-uchang-he">ソフトウェアのTPMデバイスエミュレータを使う場合</h4>
<p>TPMデバイスエミュレータswtpmを起動しておきます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>mkdir mytpm</span></span>
<span class="giallo-l"><span>swtpm socket --tpmstate dir=./mytpm \</span></span>
<span class="giallo-l"><span>--tpm2 \</span></span>
<span class="giallo-l"><span>--ctrl type=unixio,path=./mytpm/swtpm-sock \</span></span>
<span class="giallo-l"><span>--log level=20</span></span></code></pre>
<p>以下のコマンドで仮想マシンを起動できます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span> -machine q35,accel=kvm \</span></span>
<span class="giallo-l"><span> -m 8192 -cpu host \</span></span>
<span class="giallo-l"><span> -smp 6,sockets=1,dies=1,cores=6,threads=1 \</span></span>
<span class="giallo-l"><span> -display spice-app \</span></span>
<span class="giallo-l"><span> -drive file=./win11pro.qcow2,if=virtio,format=qcow2,discard=unmap \</span></span>
<span class="giallo-l"><span> -drive file=~/Downloads/Win11_22H2_Japanese_x64v1.iso,index=0,media=cdrom \</span></span>
<span class="giallo-l"><span> -drive file=~/Downloads/virtio-win-0.1.229.iso,index=1,media=cdrom \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,unit=0,file=/usr/share/OVMF/OVMF_CODE_4M.ms.fd,readonly=on \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,file=./OVMF_VARS_4M.ms.fd \</span></span>
<span class="giallo-l"><span> -chardev socket,id=chrtpm,path=./mytpm/swtpm-sock \</span></span>
<span class="giallo-l"><span> -tpmdev emulator,id=tpm0,chardev=chrtpm \</span></span>
<span class="giallo-l"><span> -device tpm-tis,tpmdev=tpm0 \</span></span></code></pre><h3 id="jia-xiang-masingali-tishang-garuto-uefsierugaqi-dong-sitesimau">仮想マシンが立ち上がると、UEFシェルが起動してしまう。</h3>
<p>どうやらUEFIブートの場合、UEFIの設定画面でブートデバイスの優先順位を変更してやる必要があるようです。
UEFIシェルをexitで抜けるとUEFIの設定メニューに入るので、そこでUEFIシェルの優先順位をCDROM/DVDROMなどインストールメディアよりも低くします。
そして、RestまたはContinueで、Windowsインストール用のCDROMからブートします。</p>
<img src="/2023/03/kvmqemuwindows11.html/image/UEFI_Interactive_Shell01.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/UEFI_Menu03_2.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/UEFI_Menu05_2.png" width="30%">
<h3 id="insutoruxian-nodoraibugajian-enai">インストール先のドライブが見えない</h3>
<p>E:ドライブ(virtio-win-xx)にあるドライバを読み込むと、qcow2のディスクイメージが見えるようになるので、そこにWindows11をインストールします。</p>
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer03.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer04.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer06.png" width="30%">
<h3 id="insutorushi-nimicrosoftakauntohenosaininwoqiu-merareru">インストール時にMicrosoftアカウントへのサインインを求められる</h3>
<p>no@thankyou.comで一度サインインに失敗すると、ローカルアカウントが作成できます。</p>
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer10.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer12.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/Win11Installer13.png" width="30%">
<h3 id="can-rinovirtiodoraibawoinsutoru">残りのvirtioドライバーをインストール</h3>
<p>Windowsセットアップ完了後、Windows上でE:ドライブ(virtio-win-0.1.229)を開きます。そこにあるインストーラを起動し、virtioドライバをインストールしておきます。</p>
<img src="/2023/03/kvmqemuwindows11.html/image/virtio_install01.png" width="30%">
<img src="/2023/03/kvmqemuwindows11.html/image/virtio_install02.png" width="30%">
<p>以上で、ネットワーク関連は未設定状態ですが、Windows11がインストールされたqcow2ディスクイメージ、win11pro.qcow2ができあがります。</p>
<h2 id="pu-duan-shi-inotameni">普段使いのために</h2>
<p>Windows11のインストールは、ネットワーク無しで行った。仮想マシン上のWindows11を利用するには、ネットワークが使えないと困るでしょう。
ネットワークを使えるようにするためには、次の3つの準備が必要です。</p>
<ul>
<li>
<p>Linuxホスト上でのネットワーク設定</p>
</li>
<li>
<p>KVM起動コマンドをネットワークが使えるように修正</p>
</li>
<li>
<p>Windows11ゲストマシン上でネットワーク設定</p>
</li>
</ul>
<h3 id="linuxhosutononetutowakusetutoatupu">Linuxホストのネットワークセットアップ</h3>
<p>Linuxホスト上では、以下の設定を行えば十分です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>brdg=kbr0</span></span>
<span class="giallo-l"><span>outif=wlan0</span></span>
<span class="giallo-l"><span>addr=10.0.0.254/24</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># ブリッジインターフェースの準備</span></span>
<span class="giallo-l"><span>brctl addbr $brdg</span></span>
<span class="giallo-l"><span>ip add add dev $brdg $addr</span></span>
<span class="giallo-l"><span>ip link set dev $brdg up</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># IPマスカレード設定</span></span>
<span class="giallo-l"><span>iptables -t nat -A POSTROUTING -s $addr -o $outif -j MASQUERADE</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># IPフォワーディング許可</span></span>
<span class="giallo-l"><span>echo 1 > /proc/sys/net/ipv4/conf/$outif/forwarding</span></span>
<span class="giallo-l"><span>echo 1 > /proc/sys/net/ipv4/conf/$brdg/forwarding</span></span></code></pre>
<p>念の為、上記で用意したものをもとに戻すのは、以下のやり方で良いでしょう。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># IPフォワーディング許可を取り消す</span></span>
<span class="giallo-l"><span>echo 0 > /proc/sys/net/ipv4/conf/$outif/forwarding</span></span>
<span class="giallo-l"><span>echo 0 > /proc/sys/net/ipv4/conf/$brdg/forwarding</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># ブリッジインターフェースを消す</span></span>
<span class="giallo-l"><span>ip link set dev $brdg down</span></span>
<span class="giallo-l"><span>brctl delbr $brdg</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># IPマスカレード設定を消す</span></span>
<span class="giallo-l"><span>iptables -t nat -D POSTROUTING -s $addr -o $outif -j MASQUERADE</span></span></code></pre><h3 id="windowsgesutoqi-dong-komando">Windowsゲスト起動コマンド</h3>
<p>qemuコマンドはオプションが多いのでスクリプト化しておくと良いでしょう。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>run.win11.sh:</span></span>
<span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>sudo qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span> -m 8192 -cpu host \</span></span>
<span class="giallo-l"><span> -smp 6,sockets=1,dies=1,cores=6,threads=1 \</span></span>
<span class="giallo-l"><span> -drive file=./win11pro.qcow2,if=virtio,format=qcow2,discard=unmap \</span></span>
<span class="giallo-l"><span> -display spice-app \</span></span>
<span class="giallo-l"><span> -machine q35,accel=kvm \</span></span>
<span class="giallo-l"><span> -rtc base=localtime,clock=host \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,unit=0,file=/usr/share/OVMF/OVMF_CODE_4M.ms.fd,readonly=on \</span></span>
<span class="giallo-l"><span> -drive if=pflash,format=raw,file=./OVMF_VARS_4M.ms.fd \</span></span>
<span class="giallo-l"><span> -tpmdev passthrough,id=tpm0,path=/dev/tpm0,cancel-path=/dev/null \</span></span>
<span class="giallo-l"><span> -device tpm-tis,tpmdev=tpm0 \</span></span>
<span class="giallo-l"><span> -device virtio-net-pci,netdev=dev1,mac=52:54:00:11:00:12,id=net1 \</span></span>
<span class="giallo-l"><span> -netdev tap,id=dev1,vhost=on,script=./qemu-ifup</span></span></code></pre>
<p>仮想マシン起動時にデバイスをホストのブリッジにアタッチします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>qemu-ifup:</span></span>
<span class="giallo-l"><span>#!/bin/sh</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>bridge=kbr0</span></span>
<span class="giallo-l"><span>/sbin/ip link set dev $1 up promisc off</span></span>
<span class="giallo-l"><span>/sbin/brctl addif $bridge $1</span></span></code></pre><h3 id="windowsgesutononetutowakushe-ding">Windowsゲストのネットワーク設定</h3>
<p>次のアドレスを設定</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>IPv4アドレス: 10.0.0.1/24</span></span>
<span class="giallo-l"><span>ゲートウェイ: 10.0.0.254</span></span>
<span class="giallo-l"><span>DNSサーバ: 192.168.40.1(Linuxホストと同じ設定にすると良いと思う。)</span></span></code></pre><img src="/2023/03/kvmqemuwindows11.html/image/network_setup01.png" width="30%">
<p>この他に、Windows 11 Proの場合はRemote
Desktop機能があるので、利用可能にしておくと良いでしょう。</p>
<h2 id="sonota-notips">その他のTips</h2>
<ul>
<li>一旦ビューワーを閉じたあともう一度接続するには</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>$ sudo virt-viewer -c spice+unix:///tmp/.JVB811/spice.sock</span></span></code></pre>
<ul>
<li>Remote Desktop接続は、例えば次のようにする</li>
</ul>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>user=ktaka</span></span>
<span class="giallo-l"><span>xfreerdp /u:$user /size:1900x1000 +fonts +clipboard /audio-mode:1 /v:10.0.0.1</span></span></code></pre>
<ul>
<li>qemu起動時にはwindowを表示せず、rdpのみで使うには
<code>--display spice-app</code>を<code>--display none</code>にすれば良い。</li>
</ul>
<h2 id="can-kao-wen-xian">参考文献</h2>
<h3 id="qemudenotpmnoshi-ifang">QemuでのTPMの使い方</h3>
<p>以下のドキュメントに十分な情報があります。</p>
<ul>
<li><a rel="external" href="https://qemu-project.gitlab.io/qemu/specs/tpm.html">QEMU
TPM Device</a></li>
</ul>
<h3 id="qemudenouefi-secure">QEMUでのUEFI Secure</h3>
<p>Bootのやり方</p>
<ul>
<li>
<p><a rel="external" href="https://wiki.debian.org/SecureBoot/VirtualMachine">SecureBootVirtualMachine</a></p>
</li>
<li>
<p><a rel="external" href="https://www.labbott.name/blog/2016/09/15/secure-ish-boot-with-qemu/">Secure(ish)
boot with QEMU</a></p>
</li>
</ul>
<h3 id="donouefi">どのUEFI</h3>
<p>firmwareを使うべきか</p>
<p>Debianのドキュメントに書いてあります。</p>
<ul>
<li>
<p>Secure Boot
pre-enabledな、OVMF_CODE_4M.ms.fdとOVMF_VARS_4M.ms.fdをセットで使う。</p>
</li>
<li>
<p>前者はRead Onlyで、後者はコピーしたものをRead
Write可能な状態で利用する。</p>
</li>
<li>
<p>UEFIのメニューでSaveした設定変更は、OVMF_VARS_4M.ms.fdのコピーに書き込まれる。</p>
</li>
</ul>
<p>/usr/share/doc/ovmf/README.Debian</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>The OVMF_CODE*.fd files provide UEFI firmware for a QEMU guest that is</span></span>
<span class="giallo-l"><span>intended to be read-only. The OVMF_VARS*.fd files provide UEFI variable</span></span>
<span class="giallo-l"><span>template images which are intended to be read-write, and therefore each</span></span>
<span class="giallo-l"><span>guest should be given its own copy. Here's an overview of each of them:</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_CODE_4M.fd</span></span>
<span class="giallo-l"><span> Use this for booting guests in non-Secure Boot mode. While this image</span></span>
<span class="giallo-l"><span> technically supports Secure Boot, it does so without requiring SMM</span></span>
<span class="giallo-l"><span> support from QEMU, so it is less secure. Use the OVMF_VARS.fd template</span></span>
<span class="giallo-l"><span> with this.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_CODE_4M.ms.fd</span></span>
<span class="giallo-l"><span> This is a symlink to OVMF_CODE_4M.secboot.fd. It is useful in the context</span></span>
<span class="giallo-l"><span> of libvirt because the included JSON firmware descriptors will tell libvirt</span></span>
<span class="giallo-l"><span> to pair OVMF_VARS.ms.fd with it, which has Secure Boot pre-enabled.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_CODE_4M.secboot.fd</span></span>
<span class="giallo-l"><span> Like OVMF_CODE_4M.fd, but will abort if QEMU does not support SMM.</span></span>
<span class="giallo-l"><span> Use this for guests for which you may enable Secure Boot. Be aware</span></span>
<span class="giallo-l"><span> that the included JSON firmware descriptors associate this with</span></span>
<span class="giallo-l"><span> OVMF_CODE_4M.fd. Which means, if you specify this image in libvirt, you'll</span></span>
<span class="giallo-l"><span> get a guest that is Secure Boot-*capable*, but has Secure Boot disabled.</span></span>
<span class="giallo-l"><span> To enable it, you'll need to manually import PK/KEK/DB keys and activate</span></span>
<span class="giallo-l"><span> Secure Boot from the UEFI setup menu. If you want Secure Boot active from</span></span>
<span class="giallo-l"><span> the start, consider using OVMF_CODE.ms.fd instead.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_VARS_4M.fd</span></span>
<span class="giallo-l"><span> This is an empty variable store template, which means it has no</span></span>
<span class="giallo-l"><span> built-in Secure Boot keys and Secure Boot is disabled. You can use</span></span>
<span class="giallo-l"><span> it with any OVMF_CODE image, but keep in mind that if you want to</span></span>
<span class="giallo-l"><span> boot in Secure Boot mode, you will have to enable it manually.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_VARS_4M.ms.fd</span></span>
<span class="giallo-l"><span> This template has distribution-specific PK and KEK1 keys, and</span></span>
<span class="giallo-l"><span> the default Microsoft keys in KEK/DB. It also has Secure Boot</span></span>
<span class="giallo-l"><span> already activated. Using this with OVMF_CODE.ms.fd will boot a</span></span>
<span class="giallo-l"><span> guest directly in Secure Boot mode.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF32_CODE_4M.secboot.fd</span></span>
<span class="giallo-l"><span>OVMF32_VARS_4M.fd</span></span>
<span class="giallo-l"><span> These images are the same as their "OVMF" variants, but for 32-bit guests.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_CODE.fd</span></span>
<span class="giallo-l"><span>OVMF_CODE.ms.fd</span></span>
<span class="giallo-l"><span>OVMF_CODE.secboot.fd</span></span>
<span class="giallo-l"><span>OVMF_VARS.fd</span></span>
<span class="giallo-l"><span>OVMF_VARS.ms.fd</span></span>
<span class="giallo-l"><span> These images are the same as their "4M" variants, but for use with guests</span></span>
<span class="giallo-l"><span> using a 2MB flash device. 2MB flash is no longer considered sufficient for</span></span>
<span class="giallo-l"><span> use with Secure Boot. This is provided only for backwards compatibility.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>OVMF_VARS_4M.snakeoil.fd</span></span>
<span class="giallo-l"><span> This image is **for testing purposes only**. It includes an insecure</span></span>
<span class="giallo-l"><span> "snakeoil" key in PK, KEK & DB. The private key and cert are also</span></span>
<span class="giallo-l"><span> shipped in this package as well, so that testers can easily sign</span></span>
<span class="giallo-l"><span> binaries that will be considered valid. Intended for use with</span></span>
<span class="giallo-l"><span> OVMF_CODE_4M.secboot.fd.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>PkKek-1-snakeoil.key</span></span>
<span class="giallo-l"><span>PkKek-1-snakeoil.pem</span></span>
<span class="giallo-l"><span> The private key and certificate for the snakeoil key. Use these</span></span>
<span class="giallo-l"><span> to sign binaries that can be verified by the key in the</span></span>
<span class="giallo-l"><span> OVMF_VARS.snakeoil.fd template. The password for the key is</span></span>
<span class="giallo-l"><span> 'snakeoil'.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> -- dann frazier , Fri, 11 Dec 2020 17:30:59 -0700</span></span></code></pre><h2 id="matome">まとめ</h2>
<p>QEMUコマンドのみでKVM仮想マシンを起動し、Windows11をインストールする方法についてまとめました。
Window10の場合との違いは、TPM及びUEFI Secure Bootが必須であることです。
Windows11の場合も、GUIプログラムvirt-managerでのインストール方法はネット上でよく見かけますが、qemuコマンドのみでのやり方はあまり多くないようです。
余計なものはなるべくインストールしたくない人、ソフトウェアスタックをミニマムに保って中身を理解しながら使いたい人の役に立てば幸いです。</p>
KVM再入門:Qemuコマンドラインで仮想マシンを起動し、Windows10ゲストをセットアップする。
2023-03-20T00:00:00+00:00
2023-03-20T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2023/03/kvmqemuwindows.html/
<h2 id="hazimeni">はじめに</h2>
<p>最近Debian
Linuxをインストールしたノートパソコン上に、KVM仮想マシンのゲストOSとして、Windows10をインストールする機会がありました。
はじめはGUI形式のvirt-managerをつかって、ボタンをポチポチ押しながらゲストOSをインストールしていました。
しかし、調べていくうちに、qemuコマンドラインのみで仮想マシンを起動しWindowsをインストールする方法にたどり着いたので、それについてまとめておこうと思います。</p>
<p>virt-managerは非常に便利ですが、libvirtやそれが依存する数多くのパッケージをインストールし、libvirtdなどをデーモンとして動かしておかなければなりません。
qemuコマンドラインのみでWindowsをインストールする方法をおさえておけば、本来不必要だったものをインストールしなくて済みますし、構成がシンプルであるため動作の仕組みが容易に理解でき、なにかトラブルがあった場合にも比較的容易にデバッグが可能になると期待できます。</p>
<h2 id="windows10insutoru">Windows10インストール</h2>
<h3 id="shi-qian-zhun-bei">事前準備</h3>
<h4 id="insutorumedeia-virtiodoraibanodaunrodo">インストールメディア、virtioドライバのダウンロード</h4>
<p>まず、あらかじめ必要なものをダウンロードしておきます。</p>
<ul>
<li>
<p>Windows10のインストールメディアWin10_22H2_Japanese_x64.isoを、<a rel="external" href="https://www.microsoft.com/ja-jp/software-download/windows10ISO">Microsoftのページ</a>からダウンロードする。</p>
</li>
<li>
<p>virtioドライバをが必要になるので、<a rel="external" href="https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-virtio/">Fedoraのページ</a>からダウンロードします。今回は、この記事の執筆時点で最新のvirtio-win-0.1.229.isoを利用しました。</p>
</li>
</ul>
<h4 id="bi-yao-patukezizinoinsutoru">必要パッケジージのインストール</h4>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo apt-get install qemu-system-x86 virt-viewer</span></span></code></pre><h4 id="insutoruxian-doraibunoimezihuairuzuo-cheng">インストール先ドライブのイメージファイル作成</h4>
<p>Windowsのインストール先として、40Gbyteのqcow2イメージファイルを作成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>qemu-img create -f qcow2 win10.qcow2 40G</span></span></code></pre><h4 id="bu-ju-he-hui-bi">不具合回避</h4>
<p>後述のコマンドラインで仮想マシンを起動しようとすると、以下のようなエラーメッセージが出て、仮想マシンが起動できない。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>qemu-system-x86_64: info: Launching display with URI: spice+unix:///tmp/.BHI811/spice.sock</span></span>
<span class="giallo-l"><span>qemu-system-x86_64: Failed to launch spice+unix:///tmp/.BHI811/spice.sock URI: Operation not supported</span></span>
<span class="giallo-l"><span>qemu-system-x86_64: You need a capable Spice client, such as virt-viewer 8.0</span></span></code></pre>
<p>これを回避するために/root/.config/mimeapps.listに以下の行を追加する。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>[Added Associations]</span></span>
<span class="giallo-l"><span>x-scheme-handler/spice+unix=remote-viewer.desktop</span></span></code></pre><h3 id="jia-xiang-masinnoqi-dong-towindowsnoinsutoru">仮想マシンの起動とWindowsのインストール</h3>
<p>以下のコマンドで仮想マシンを起動すると、Windowsのインストーラーウィンドウが現れますので、画面の指示に従ってインストールを進めます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span> -machine q35,accel=kvm \</span></span>
<span class="giallo-l"><span> -m 8192 -cpu host \</span></span>
<span class="giallo-l"><span> -smp 6,sockets=1,dies=1,cores=6,threads=1 \</span></span>
<span class="giallo-l"><span> -display spice-app \</span></span>
<span class="giallo-l"><span> -rtc base=localtime,clock=host \</span></span>
<span class="giallo-l"><span> -drive file=./win10pro.qcow2,if=virtio,format=qcow2,discard=unmap \</span></span>
<span class="giallo-l"><span> -drive file=./Win10_22H2_Japanese_x64.iso,index=0,media=cdrom \</span></span>
<span class="giallo-l"><span> -drive file=./virtio-win-0.1.229.iso,index=1,media=cdrom</span></span></code></pre>
<ul>
<li>
<p>最初はインストール先のドライブが見えないですが、ドライバーの読み込み→E:ドライブ→amd64→win10ディレクトリを選択しOKを押すと、virtioドライバが読み込まれ、ドライブ0が見えるようになります。</p>
</li>
<li>
<p>Windows10のインストールメディアにはいくつかのバージョンのWindowsが入っており、プロダクトキーの入力をスキップすると、インストールするバージョンを選択できるようになります。HomeかProかをそこで選択します。</p>
</li>
<li>
<p>Windowsのインストールを進めると、Microsoftアカウントへのサインインを求められますが、ローカルアカウントを作成し次に進めます。</p>
</li>
<li>
<p>ローカルアカウント作成の選択肢が提示されない場合は、メールアドレスにno@thankyou.com、パスワードに適当な文字列を入力するといったんサインインに失敗し、ローカルアカウント作成ができるようになるようです。</p>
</li>
<li>
<p>上記の仮想マシン起動コマンドではネットワークの設定を行っていないので、いずれにせよWindowsサインインは行われないはずです。</p>
</li>
<li>
<p>Windowsセットアップ完了後、Windows上でE:ドライブ(virtio-win-0.1.229)を開きます。そこにあるインストーラを起動し、virtioドライバをインストールしておきます。</p>
</li>
</ul>
<p>以上で、Windows10がインストールされたKVM用のqcow2イメージができあがります。</p>
<img src="/2023/03/kvmqemuwindows.html/image/KVM_Win10pro01.png" width="45%">
<img src="/2023/03/kvmqemuwindows.html/image/KVM_Win10pro02.png" width="45%">
<h2 id="jia-xiang-masinnoli-yong">仮想マシンの利用</h2>
<h3 id="raisensuren-zheng">ライセンス認証</h3>
<p>基本的に仮想マシン一台ごとにライセンスが必要ですので、仮想マシンのWindows上でプロダクトキーを入力し、ライセンス認証を行います。Windowsを消し、Linuxをインストールしたノートパソコン上では、プリインストールしてあったWindowsのプロダクトキーが利用可能であると思われます。しかし、あまり不正確なことはここに書けないので参考にしたリンクのみを以下に示します。</p>
<ul>
<li>
<p>http://blog.yottun8.com/archives/794</p>
</li>
<li>
<p>https://orebibou.com/ja/home/201905/20190527_001/</p>
</li>
</ul>
<p>https://superuser.com/questions/1313241/install-windows-10-from-an-unbooted-oem-drive-into-virtualbox</p>
<ul>
<li>https://gist.github.com/Informatic/49bd034d43e054bd1d8d4fec38c305ec</li>
</ul>
<h3 id="hosutolinuxnonetutowakushe-ding">ホストLinuxのネットワーク設定</h3>
<p>仮想マシンのネットワーク接続についてはいくつもやり方があります。私の場合、ゲストOSがWindowsであるかLinuxにあるかに関わらず、以下の方式を好んで利用しています。</p>
<ul>
<li>
<p>仮想マシン用のブリッジを予め作成しておき、仮想マシンの起動時にそこにアタッチする。</p>
</li>
<li>
<p>外部へはSNAT(MASQUERADE)で接続する。</p>
</li>
<li>
<p>ネットワークアドレスは、10.0.0.0/24を利用する。</p>
</li>
<li>
<p>仮想マシン上ではその帯域の固定IPを利用する。</p>
</li>
<li>
<p>DNSサーバは、ホストOSが使っているのと同じもの利用する。</p>
</li>
</ul>
<p>ブリッジインターフェースの作成は、Linuxのネットワーク設定ファイルに書いておき、ノートパソコン起動時に自動的に設定が行われます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/etc/network/interfaces.d/kbr0</span></span>
<span class="giallo-l"><span>auto kbr0</span></span>
<span class="giallo-l"><span>iface kbr0 inet static</span></span>
<span class="giallo-l"><span> bridge_ports none</span></span>
<span class="giallo-l"><span> bridge_fd 0</span></span>
<span class="giallo-l"><span> bridge_maxwait 0</span></span>
<span class="giallo-l"><span> address 10.0.0.254</span></span>
<span class="giallo-l"><span> netmask 255.255.255.0</span></span>
<span class="giallo-l"><span> up /etc/network/masquerade.sh</span></span></code></pre>
<p>iptables natの設定</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/etc/network/masquerade.sh</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>if ! iptables -t nat -C POSTROUTING -o eth0 -j MASQUERADE > /dev/null 2>&1 ; then</span></span>
<span class="giallo-l"><span> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE</span></span>
<span class="giallo-l"><span>fi</span></span></code></pre>
<p>仮想マシン起動時に仮想マシンのネットワークインターフェースをホストLinuxのブリッジにアタッチするためのスクリプトも用意しておきます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/etc/network/qemu-ifup</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>#!/bin/sh</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>bridge=kbr0</span></span>
<span class="giallo-l"><span>/sbin/ip link set dev $1 up promisc off</span></span>
<span class="giallo-l"><span>/sbin/brctl addif $bridge $1</span></span></code></pre><h3 id="jia-xiang-masinnoqi-dong-komandorain">仮想マシンの起動コマンドライン</h3>
<p>ネットワーク接続込のコマンドライン。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sudo qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span> -machine q35,accel=kvm \</span></span>
<span class="giallo-l"><span> -m 8192 -cpu host \</span></span>
<span class="giallo-l"><span> -smp 6,sockets=1,dies=1,cores=6,threads=1 \</span></span>
<span class="giallo-l"><span> -display spice-app \</span></span>
<span class="giallo-l"><span> -rtc base=localtime,clock=host \</span></span>
<span class="giallo-l"><span> -drive file=./win10pro.qcow2,if=virtio,format=qcow2,discard=unmap \</span></span>
<span class="giallo-l"><span> -device virtio-net-pci,netdev=dev1,mac=52:54:00:11:00:12,id=net1 \</span></span>
<span class="giallo-l"><span> -netdev tap,id=dev1,vhost=on,script=/etc/network/qemu-ifup</span></span></code></pre>
<p>そして、仮想マシンの起動後、Windows上でIPアドレス、DNSサーバー等の設定を行います。</p>
<h2 id="matome">まとめ</h2>
<p>QEMUコマンドのみでKVM仮想マシンを起動し、Windows10をインストールする方法についてまとめました。
ネット上にはvirshコマンドラインや、virt-managerのGUIでのインストール方法はよく見かけますが、qemuコマンドのみでのやり方はあまり多くないようです。
余計なものはなるべくインストールしたくない人、ソフトウェアスタックをミニマムにして中身を理解しながら使いたい人のお役に立てば幸いです。</p>
社外からSOCKS5プロキシ経由でRemoteDesktop接続
2021-01-22T00:00:00+00:00
2021-01-22T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2021/01/socks5remotedesktop.html/
<p>SOCKS5トンネル掘り </p>
<p>hirakegoma.sh</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>while true; do</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>echo "Connecting gw.example.com:22 ... "</span></span>
<span class="giallo-l"><span>ssh -4ND 18888 gw.example.com -p 22</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>sleep 1</span></span>
<span class="giallo-l"><span>echo retrying</span></span>
<span class="giallo-l"><span>done</span></span></code></pre>
<p>xfreerdpのラッパースクリプト</p>
<p>社内(≈名前解決可能)なら直接、そうでないならSOCKS5プロキシ経由でRDP接続する。</p>
<p>rdp.sh</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>case "$1" in</span></span>
<span class="giallo-l"><span> host1)</span></span>
<span class="giallo-l"><span> user=user1</span></span>
<span class="giallo-l"><span> host=host1.inside.example.com</span></span>
<span class="giallo-l"><span> ;;</span></span>
<span class="giallo-l"><span> host2)</span></span>
<span class="giallo-l"><span> user=user2</span></span>
<span class="giallo-l"><span> host=host2.inside.example.com</span></span>
<span class="giallo-l"><span> ;;</span></span>
<span class="giallo-l"><span> *)</span></span>
<span class="giallo-l"><span> echo Usage $1 host_nick_name</span></span>
<span class="giallo-l"><span> exit</span></span>
<span class="giallo-l"><span>esac</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>if host $host ; then</span></span>
<span class="giallo-l"><span> echo Connecting $user@$host</span></span>
<span class="giallo-l"><span> xfreerdp /u:$user /size:1400x900 /v:$host</span></span>
<span class="giallo-l"><span>else</span></span>
<span class="giallo-l"><span> echo Connecting $user@$host via SOCKS proxy</span></span>
<span class="giallo-l"><span> xfreerdp /u:$user /size:1400x900 /v:$host /proxy:socks5://localhost:18888</span></span>
<span class="giallo-l"><span>fi</span></span></code></pre>
SSH踏み台サーバを経由して社内サーバにアクセスする
2021-01-21T00:00:00+00:00
2021-01-21T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2021/01/ssh.html/
<p>最近のリモートワークの状況下で自宅から職場のサーバにアクセスしなければならないことも多いと思います。</p>
<p>VPNを使ったり、OAuth付きのproxyサーバを立てたり、いろいろとやり方があると思います。今回はSSHの踏み台サーバ経由で職場内のWEBサーバにアクセスする方法について、やり方を記録して置こうと思います。</p>
<p>昔から、1. SSHのダイナミックフォワードでトンネルを掘る、2. ブラウザにproxy.pacを読ませて特定の(社内サーバ)URLのみにそのトンネルを使わせる、といった方法は利用していましたが、あるバージョンを境にChromeでproxy.pacファイルを読まなくなってしまい、放置していました。</p>
<p>今回改めてやり方を調べてみたというのが背景です。</p>
<p>トンネル掘り</p>
<p>トンネルにはSSHのダイナミックフォワードを使います。例えば以下のような感じ。</p>
<p>hirakegoma.sh</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>while true; do</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>echo "Connecting gw.example.com:22 ... "</span></span>
<span class="giallo-l"><span>ssh -4ND 18888 gw.example.com -p 22</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>sleep 1</span></span>
<span class="giallo-l"><span>echo retrying</span></span>
<span class="giallo-l"><span>done</span></span></code></pre>
<p>職場内のサーバ、xxx.inside.example.comへのアクセスを上で作ったトンネルを経由させるには、例えば以下のようにすれば良い。</p>
<p>proxy.pac</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>function FindProxyForURL(url, host)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>{</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>if (dnsDomainIs(host, ".inside.example.com"))</span></span>
<span class="giallo-l"><span> if (isResolvable(host))</span></span>
<span class="giallo-l"><span> return "DIRECT";</span></span>
<span class="giallo-l"><span> else</span></span>
<span class="giallo-l"><span> return "SOCKS5 localhost:18888";</span></span>
<span class="giallo-l"><span> else</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>return "DIRECT";</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>会社内ではサーバ名前解決ができるであろうから、名前ができないときのみトンネルを通すようになっている。</p>
<p>Chrome起動オプション</p>
<p>Chromeでproxy.pacのありかを指定するには、システムの環境設定でやればいいらしい。残念なことにLinuxの場合にはそういうわけにもいかず、Chrome起動時にオプションを引数として渡してあげる必要がある。</p>
<p>以前は以下のような感じでうまく行っていた。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>google-chrome %U --proxy-pac-url=file:///home/ktaka/proxy.pac</span></span></code></pre>
<p>最近は"--proxy-pac-url=f"でファイルを指定しても無視されてしまうようなので、<a rel="external" href="https://bugs.chromium.org/p/chromium/issues/detail?id=839566#c22">ワークアラウンド</a>が必要である。</p>
<p>結局行き着いたのが以下のオプション。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>google-chrome %U --proxy-pac-url='data:application/x-javascript-config;base64,'$(base64 -w0 /home/me/proxy.pac)</span></span></code></pre>
<p>最近のサーバやワークステーションは、BMCというミニプロセッサが載っていて、Webブラウザー経由で電源のオンオフ、ハードリセット、BIOS設定の変更などができます。</p>
<p>今回のような簡易プロキシを使うことによって、これらの職場内にあるサーバに、外部から簡単にアクセスすることができるようになります。</p>
<p>BMC搭載の高性能なワークステーションはこちらをどうぞ→<a rel="external" href="https://ccmp.jp/hardware/workstation/373-amd-threadripper.html">AMD Ryzen™ Threadripper™ ECCメモリ IPMI搭載 ワークステーション</a></p>
Debian Linuxのノートパソコンでハイバネート
2021-01-17T00:00:00+00:00
2021-01-17T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2021/01/debian-linux.html/
<p>Linuxカーネルには、スワップ領域にメモリの内容を書き出してハイバネートする機能がある。 必要な要件等は以下の通り。</p>
<ul>
<li>十分な大きさのスワップデバイスまたはファイルを用意する。(メモリ容量と同じくらいあれば良いが、そこまでなくても良いという情報もある。)</li>
<li>カーネル起動オプションresume=デバイス名を加えカーネルを起動。</li>
<li>uswsuspを利用することもできるが、利用しなくても良い。その場合initrdをいじる必要は無い。</li>
</ul>
<p>参考文献</p>
<ul>
<li><a rel="external" href="https://wiki.archlinux.jp/index.php/%E3%82%B5%E3%82%B9%E3%83%9A%E3%83%B3%E3%83%89%E3%81%A8%E3%83%8F%E3%82%A4%E3%83%90%E3%83%8D%E3%83%BC%E3%83%88">https://wiki.archlinux.jp/index.php/サスペンドとハイバネート</a></li>
<li><a rel="external" href="https://www.kernel.org/doc/Documentation/power/states.txt">https://www.kernel.org/doc/Documentation/power/states.txt</a></li>
<li><a rel="external" href="https://www.kernel.org/doc/html/latest/power/basic-pm-debugging.html">https://www.kernel.org/doc/html/latest/power/basic-pm-debugging.html</a></li>
</ul>
<p>以下、実際の設定</p>
<p>/etc/fstab (該当部分のみ)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#/dev/nvme0n1p7 swap swap defaults 0 0</span></span>
<span class="giallo-l"><span>/swapfile swap swap defaults 0 0</span></span></code></pre>
<p>デバイスをスワップとして使う場合と、ファイル(/swapfile)をスワップとして使う場合とで必要なカーネルパラメータが異なる。 後者の場合はresume_offsetも必要。オフセット値は以下のように確認可能。この場合86093824がオフセット値。</p>
<p>sudo filefrag -v /swapfile</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Filesystem type is: ef53</span></span>
<span class="giallo-l"><span>File size of /swapfile is 17179869184 (4194304 blocks of 4096 bytes)</span></span>
<span class="giallo-l"><span> ext: logical_offset: physical_offset: length: expected: flags:</span></span>
<span class="giallo-l"><span> 0: 0.. 2047: 86093824.. 86095871: 2048:</span></span>
<span class="giallo-l"><span> 1: 2048.. 4095: 86167552.. 86169599: 2048: 86095872:</span></span>
<span class="giallo-l"><span> 2: 4096.. 8191: 86155264.. 86159359: 4096: 86169600:</span></span>
<span class="giallo-l"><span>以下略</span></span></code></pre>
<p>/boot/grub/grub.cfg (該当部分のみ)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>menuentry "Debian Linux resume-test1" {</span></span>
<span class="giallo-l"><span>linux /boot/vmlinuz root=/dev/nvme0n1p6 vga=0x305 panic=10 net.ifnames=0 biosdevname=0 resume=/dev/nvme0n1p7</span></span>
<span class="giallo-l"><span>}</span></span>
<span class="giallo-l"><span>menuentry "Debian Linux resume-test2" {</span></span>
<span class="giallo-l"><span>linux /boot/vmlinuz root=/dev/nvme0n1p6 vga=0x305 panic=10 net.ifnames=0 biosdevname=0 resume=/dev/nvme0n1p6 resume_offset=86093824</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>ノートパソコンのディスプレイを閉じたときにhibernateする設定</p>
<p>/etc/acpi/events/lid_down</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>event=button[ /]lid</span></span>
<span class="giallo-l"><span>action=/etc/acpi/lid_down.sh</span></span></code></pre>
<p>/etc/acpi/lid_down.sh</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/sh</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>grep -q closed /proc/acpi/button/lid/*/state</span></span>
<span class="giallo-l"><span>if [ $? -eq 0 ]</span></span>
<span class="giallo-l"><span>then</span></span>
<span class="giallo-l"><span> echo platform > /sys/power/disk ; echo disk > /sys/power/state</span></span>
<span class="giallo-l"><span>fi</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>exit 0</span></span></code></pre>
<p>以上で、ハイバネートできることを確認した。</p>
Debian LinuxのノートパソコンでドトールWiFiにつなぐ
2021-01-15T00:00:00+00:00
2021-01-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2021/01/debian-linuxwifi.html/
<p>ドトール、エクセルシオールカフェには無料のWiFiサービスがある。Linuxで接続するのにちょっと手間取ったので、やり方をメモしておく。</p>
<p>設定ファイルを作成。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/etc/network/interfaces.d/doutor</span></span>
<span class="giallo-l"><span>iface dt inet dhcp</span></span>
<span class="giallo-l"><span> wpa-ssid "DOUTOR_FREE_Wi-Fi"</span></span>
<span class="giallo-l"><span> wpa-key-mgmt NONE</span></span></code></pre>
<p>インターフェースをアップするとDHCP経由でアドレスの取得ができる。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>ktaka@dyna:~$ sudo ifup wlan0=dt</span></span>
<span class="giallo-l"><span>Internet Systems Consortium DHCP Client 4.4.1</span></span>
<span class="giallo-l"><span>Copyright 2004-2018 Internet Systems Consortium.</span></span>
<span class="giallo-l"><span>All rights reserved.</span></span>
<span class="giallo-l"><span>For info, please visit https://www.isc.org/software/dhcp/</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Listening on LPF/wlan0/3c:9c:0f:8d:c8:4a</span></span>
<span class="giallo-l"><span>Sending on LPF/wlan0/3c:9c:0f:8d:c8:4a</span></span>
<span class="giallo-l"><span>Sending on Socket/fallback</span></span>
<span class="giallo-l"><span>DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 8</span></span>
<span class="giallo-l"><span>DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 14</span></span>
<span class="giallo-l"><span>DHCPOFFER of 10.68.161.211 from 10.68.128.2</span></span>
<span class="giallo-l"><span>DHCPREQUEST for 10.68.161.211 on wlan0 to 255.255.255.255 port 67</span></span>
<span class="giallo-l"><span>DHCPACK of 10.68.161.211 from 10.68.128.2</span></span>
<span class="giallo-l"><span>bound to 10.68.161.211 -- renewal in 138 seconds.</span></span></code></pre>
<p>このあとブラウザで任意のページを閲覧しようとするとWEBの認証ページが表示されるので、承諾すればネットワークが使用可能になる。</p>
Dynabook GZ83/MLにDebian Linuxをのせて使ってます。
2021-01-15T00:00:00+00:00
2021-01-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2021/01/dynabook-gz83mldebian-linux.html/
<p>先日購入したノートパソコンのご紹介です。</p>
<p>ちまたではM1 Macbook Air/Proの評判が高いようですが、920gの12インチMacbookが出なかったことに落胆し、軽量なノートパソコンを購入してしまいました。</p>
<p>M1 Macの性能がものすごく高いようなので、失敗したかなと思いつつも、でもAirといっても1.3kgもあったら持って歩けないよなぁとか、やっぱり悩みつつもLinuxを日頃から触るのは楽しいよなぁとか、自分に言い聞かせながら悶々とした日々を過ごしております。</p>
<p>Macbook Airとても良いんですけどね、重くなければ。</p>
<p>そして購入したノートパソコンがこれ。Dynabook GZ83/ML。<a rel="external" href="https://dynabook.com/direct/pc/catalog/2020-spring/gz83m/spec.html">https://dynabook.com/direct/pc/catalog/2020-spring/gz83m/spec.html</a></p>
<img src="/2021/01/dynabook-gz83mldebian-linux.html/image/1610706729565933-0.png" width="400">
<img src="/2021/01/dynabook-gz83mldebian-linux.html/image/1610706724492470-1.png" width="400">
<img src="/2021/01/dynabook-gz83mldebian-linux.html/image/1610706719657116-2.png" width="400">
<p>洒落っ気も何も無いですけど、とにかく軽くて、そこそこ良いCPU積んでるんです。</p>
<p>仕様は<a rel="external" href="https://dynabook.com/direct/pc/catalog/2020-spring/gz83m/spec.html">このページ</a>にあるとおりですが、特に気に入ってる点は、</p>
<p>6コアCore i7 CPU、16GBメモリ、512GB NVMe SSD、859gという軽さなどです。</p>
<p>あと1GNICやHDMIのコネクタが最初からついていたり、USB Type-C PDで充電できたりするのも、とても便利です。</p>
<p>OSはもちろん、Debian Linuxにしてるんですけど、今回はWindowsもデュアルブートできるようにしてあります。</p>
<p>会計ソフトやNovaのお茶の間留学のソフトなんかが、Windowsじゃないと動かないので、仕方なく残している感じです。</p>
<p>デュアルブートも昔からありますが、最近のノートパソコンはBiosがUEFI化されていて、ちょっと昔とは勝手が違っていたりしました。</p>
<p>その辺りも、追々ブログにまとめられたらと思います。</p>
pingが通らない時
2020-11-25T00:00:00+00:00
2020-11-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2020/11/ping.html/
<p>pingができなくなるのは、うっかりファイルシステムをコピーした際にcapabilityを落としてしまったことが原因であることもあるらしい。
rsyncやtarでファイルシステムごとコピーする際は、--xattrsを忘れずに。</p>
<p>pingが通らない。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>$ ping str</span></span>
<span class="giallo-l"><span>ping: socket: Address family not supported by protocol</span></span>
<span class="giallo-l"><span>$ ping -4 str</span></span>
<span class="giallo-l"><span>ping: socket: Operation not permitted</span></span></code></pre>
<p>capabilityの確認。何も付いてない。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>$ sudo getcap /bin/ping</span></span></code></pre>
<p>capabilityの付与と確認。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>$ sudo setcap cap_net_raw=ep /bin/ping</span></span>
<span class="giallo-l"><span>$ sudo getcap /bin/ping</span></span>
<span class="giallo-l"><span>/bin/ping = cap_net_raw+ep</span></span></code></pre>
<p>"cap_net_raw+ep"が付与された。</p>
<p>そしてping通るようになった。</p>
<p> </p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>$ ping str</span></span>
<span class="giallo-l"><span>PING stretch.h.ccmp.jp (192.168.60.3) 56(84) bytes of data.</span></span>
<span class="giallo-l"><span>64 bytes from stretch.h.ccmp.jp (192.168.60.3): icmp_seq=1 ttl=64 time=6.89 ms</span></span>
<span class="giallo-l"><span>64 bytes from stretch.h.ccmp.jp (192.168.60.3): icmp_seq=2 ttl=64 time=3.100 ms</span></span>
<span class="giallo-l"><span>64 bytes from stretch.h.ccmp.jp (192.168.60.3): icmp_seq=3 ttl=64 time=3.53 ms</span></span></code></pre>
<p>以下ちょっと実験する際などに役立つコマンド達 </p>
<p>capability, xattrの確認コマンド、何もない時</p>
<p> </p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># getcap /bin/ping</span></span>
<span class="giallo-l"><span># getfattr -n security.capability /bin/ping</span></span>
<span class="giallo-l"><span>/bin/ping: security.capability: No such attribute</span></span>
<span class="giallo-l"><span># sudo getfattr -d /bin/ping</span></span>
<span class="giallo-l"><span># sudo attr -l /bin/ping</span></span></code></pre>
<p>capability, xattrの確認コマンド、権限がちゃんと付与されている時</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># getcap /bin/ping</span></span>
<span class="giallo-l"><span>/bin/ping = cap_net_raw+ep</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># attr -l /bin/ping</span></span>
<span class="giallo-l"><span>Attribute "capability" has a 20 byte value for /bin/ping</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span># getfattr -n security.capability /bin/ping</span></span>
<span class="giallo-l"><span>getfattr: Removing leading '/' from absolute path names</span></span>
<span class="giallo-l"><span># file: bin/ping</span></span>
<span class="giallo-l"><span>security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=</span></span></code></pre>
<p>xattrごと削除するコマンド</p>
<p> </p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># setfattr -x security.capability /bin/ping</span></span></code></pre>
<p>参考文献</p>
<ul>
<li><a rel="external" href="https://man7.org/linux/man-pages/man5/attr.5.html">https://man7.org/linux/man-pages/man5/attr.5.html</a></li>
<li>tarの場合 --xattrsを付ける <a rel="external" href="https://www.gnu.org/software/tar/manual/html_node/Extended-File-Attributes.html">https://www.gnu.org/software/tar/manual/html_node/Extended-File-Attributes.html</a></li>
<li>rsyncの場合も --xattrs, -Xを付ける <a rel="external" href="https://man7.org/linux/man-pages/man1/rsync.1.html">https://man7.org/linux/man-pages/man1/rsync.1.html</a></li>
<li><a rel="external" href="https://wiki.archlinux.org/index.php/capabilities">https://wiki.archlinux.org/index.php/capabilities</a></li>
</ul>
LinuxでのSLAAC IPv6アドレス自動設定
2020-05-17T00:00:00+00:00
2020-05-17T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2020/05/linuxslaac-ipv6.html/
<p>Linuxにおいて、SLAACによるIPv6アドレスアサインにはいくつかのモードがあり、以下のカーネルパラメータをセットすることで制御できるようです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>addr_gen_mode - INTEGER</span></span>
<span class="giallo-l"><span> Defines how link-local and autoconf addresses are generated.</span></span>
<span class="giallo-l"><span> 0: generate address based on EUI64 (default)</span></span>
<span class="giallo-l"><span> 1: do no generate a link-local address, use EUI64 for addresses generated</span></span>
<span class="giallo-l"><span> from autoconf</span></span>
<span class="giallo-l"><span> 2: generate stable privacy addresses, using the secret from</span></span>
<span class="giallo-l"><span> stable_secret (RFC7217)</span></span>
<span class="giallo-l"><span> 3: generate stable privacy addresses, using a random secret if unset</span></span></code></pre>
<p>モード2のRFC7217形式を利用するためには以下のように、stable_secretをあらかじめセットしておく必要があります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>stable_secret - IPv6 address</span></span>
<span class="giallo-l"><span> This IPv6 address will be used as a secret to generate IPv6</span></span>
<span class="giallo-l"><span> addresses for link-local addresses and autoconfigured</span></span>
<span class="giallo-l"><span> ones. All addresses generated after setting this secret will</span></span>
<span class="giallo-l"><span> be stable privacy ones by default. This can be changed via the</span></span>
<span class="giallo-l"><span> addrgenmode ip-link. conf/default/stable_secret is used as the</span></span>
<span class="giallo-l"><span> secret for the namespace, the interface specific ones can</span></span>
<span class="giallo-l"><span> overwrite that. Writes to conf/all/stable_secret are refused.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> It is recommended to generate this secret during installation</span></span>
<span class="giallo-l"><span> of a system and keep it stable after that.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> By default the stable secret is unset.</span></span></code></pre>
<p><a rel="external" href="https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt">https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt</a></p>
<h4 id="modo0">モード0:</h4>
<p><a rel="external" href="https://tools.ietf.org/html/rfc4291#appendix-A">RFC4291</a>形式のアドレスを自動生成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># echo 0 > /proc/sys/net/ipv6/conf/eth0/addr_gen_mode</span></span>
<span class="giallo-l"><span># ifdown eth0; ifup eth0</span></span>
<span class="giallo-l"><span># ip -6 add show dev eth0</span></span>
<span class="giallo-l"><span>4: eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP&gt; mtu 1500 state UP qlen 1000</span></span>
<span class="giallo-l"><span> inet6 fd00::40:c23f:d5ff:fe69:4af3/64 scope global dynamic mngtmpaddr</span></span>
<span class="giallo-l"><span> valid_lft 86383sec preferred_lft 14383sec</span></span>
<span class="giallo-l"><span> inet6 fe80::c23f:d5ff:fe69:4af3/64 scope link</span></span>
<span class="giallo-l"><span> valid_lft forever preferred_lft forever</span></span></code></pre>
<p>IPv6アドレスはRAから得られたPREFIX(fd00::40/64)と、MACアドレス(c0:3f:d5:69:4a:f3)を変換したEUI64アドレス(c23f:d5ff:fe69:4af3)から生成されていることがわかります。</p>
<h4 id="modo1">モード1:</h4>
<p>アドレスを自動生成しません。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># echo 1 > /proc/sys/net/ipv6/conf/eth0/addr_gen_mode</span></span>
<span class="giallo-l"><span># ifdown eth0; ifup eth0</span></span>
<span class="giallo-l"><span># ip -6 add show dev eth0</span></span>
<span class="giallo-l"><span>#</span></span></code></pre><h4 id="modo2">モード2:</h4>
<p>Semantically Opaque Interface Identifiers(SOII, <a rel="external" href="https://tools.ietf.org/html/rfc7217">RFC7217</a>)形式のアドレスを自動生成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># echo "::" > /proc/sys/net/ipv6/conf/eth0/stable_secret</span></span>
<span class="giallo-l"><span># echo 2 > /proc/sys/net/ipv6/conf/eth0/addr_gen_mode</span></span>
<span class="giallo-l"><span># ifdown eth0; ifup eth0</span></span>
<span class="giallo-l"><span># ip -6 add show dev eth0</span></span>
<span class="giallo-l"><span>4: eth0: mtu 1500 state UP qlen 1000</span></span>
<span class="giallo-l"><span> inet6 fd00::40:c81b:6763:31dc:887a/64 scope global dynamic mngtmpaddr stable-privacy</span></span>
<span class="giallo-l"><span> valid_lft 86398sec preferred_lft 14398sec</span></span>
<span class="giallo-l"><span> inet6 fe80::df74:fff4:bdf2:e8ae/64 scope link stable-privacy</span></span>
<span class="giallo-l"><span> valid_lft forever preferred_lft forever</span></span></code></pre>
<p>IPv6アドレスはRAから得られたPREFIX(fd00::40/64)と、<a rel="external" href="https://tools.ietf.org/html/rfc7217">RFC7217</a>に定められた方式で計算されるランダム識別子から生成されます。ランダム識別子は次のような関数から計算されsecret_keyに変更がなければ(すなわちstable_secretがセットされていれば)、毎回同じものになります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>RID = F(Prefix, Net_Iface, Network_ID, DAD_Counter, secret_key)</span></span></code></pre><h4 id="modo3">モード3:</h4>
<p>Semantically Opaque Interface Identifiers(SOII, RFC7217形式のアドレスを自動生成します。stable_secretがセットされている場合にはモード2と同じアドレスを生成し、されていない場合にはrandom secretを用いアドレスを生成します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># echo 3 > /proc/sys/net/ipv6/conf/eth0/addr_gen_mode</span></span>
<span class="giallo-l"><span># ifdown eth0; ifup eth0</span></span>
<span class="giallo-l"><span># ip -6 add show dev eth0</span></span>
<span class="giallo-l"><span>4: eth0: mtu 1500 state UP qlen 1000</span></span>
<span class="giallo-l"><span> inet6 fd00::40:73be:87b2:8746:6bb3/64 scope global dynamic mngtmpaddr stable-privacy</span></span>
<span class="giallo-l"><span> valid_lft 86395sec preferred_lft 14395sec</span></span>
<span class="giallo-l"><span> inet6 fe80::ddae:cc16:47e0:156d/64 scope link stable-privacy</span></span>
<span class="giallo-l"><span> valid_lft forever preferred_lft forever</span></span></code></pre>
<p>モード2との違いは、stable_secretがセットされていない場合に、毎回異なるランダム識別子からIPv6アドレスが生成されるということです。</p>
<p>addr_gen_modeのパラメータは以下のコマンドでもセットできるようです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>ip link set dev eth0 addrgenmode { eui64 | none | stable_secret | random }</span></span></code></pre><h4 id="can-kao-wen-xian">参考文献</h4>
<p>「クライアントOSのIPv6実装検証から見たネットワーク運用における課題の考察」</p>
<p><a rel="external" href="https://www.ipsj.or.jp/dp/contents/publication/36/S0904-R1701.html">https://www.ipsj.or.jp/dp/contents/publication/36/S0904-R1701.html</a></p>
<p>「TIPS: 拡張EUI-64を使わないIPv6アドレス生成」</p>
<p><a rel="external" href="http://www.drvlabo.jp/wp/archives/1713">http://www.drvlabo.jp/wp/archives/1713</a></p>
LinuxルーターでのDS-Lite設定
2020-05-05T00:00:00+00:00
2020-05-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2020/05/linuxds-lite.html/
<p>昨日に引き続き、自宅のLinuxルーター上でDS-Liteの設定を行いました。</p>
<p>BB.exciteコネクト(IPoE接続プラン)ではIPv6回線のトンネルを通して、インターネットにIPv4接続することが可能です。</p>
<p>実際のサービスはtransixのDS-Liteを使うことになるのですが、この回線を使うことで混み合っているNGNの網終端を通らずに済むことになるので、快適なネットライフが待っているらしいのです。</p>
<p>ところが我が家ではすでにPPPoEでのIPv4の固定IP契約があり、その固定IPをVPN、DNSサーバなどいろいろなサービスに使っていて、別のIPアドレスに変わってしまって困ります。またDS-Liteの場合にはグローバルIPアドレスを複数のユーザーで共有して使うので、なおさら外部からのアクセスなどには使うことができません。
そういった理由で、IPv4に関しては既存のPPPoEのままにするつもりでいました。</p>
<p>しかしながらWebページの閲覧やYutubeコンテンツの視聴に使われるHTTPやHTTPSに限れば固定IPは不要です。また、Linuxルーターの場合には、宛先のIPやプロトコル、ポート番号に応じてきめ細かく接続先の経路を選ぶことができます。そこで、せっかくなので今回、HTTPとHTTPSに限って、DS-Liteの経路を利用する設定を試してみました。</p>
<p>IPv4 over IPv6のトンネルセットアップ</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>ip -6 tunnel add dslite mode ip4ip6 \</span></span>
<span class="giallo-l"><span> remote 2404:8e00::feed:100 local 2409:x:x:x::1 dev eth0.10</span></span>
<span class="giallo-l"><span>ip link set dev dslite up</span></span></code></pre>
<p>宛先が192.168.0.0/16以外(宛先がWAN向き)で、宛先ポート80、443のパケットにマークをつける。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>iptables -A PREROUTING -i eth0 -t mangle \</span></span>
<span class="giallo-l"><span> ! -d 192.168.0.0/16 -p tcp --dport 443 -j MARK --set-mark 1</span></span>
<span class="giallo-l"><span>iptables -A PREROUTING -i eth0 -t mangle \</span></span>
<span class="giallo-l"><span> ! -d 192.168.0.0/16 -p tcp --dport 80 -j MARK --set-mark 1</span></span></code></pre>
<p>マークがついているパケットだけDS-Liteのトンネルを通るようにする。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>ip route add default dev dslite table 100</span></span>
<span class="giallo-l"><span>ip rule add from all fwmark 1 table 100 prio 100</span></span></code></pre>
<p>これで自宅LAN内の任意のマシンからDS-Lite回線をHTTP、HTTPS接続できるようになりました。</p>
<p>経路が変わっているかどうかは、WEB上にあるアクセス元IPを判別するページ(例えば<a rel="external" href="https://www.cman.jp/network/support/go_access.cgi">ここ</a>)などで確認可能で、ちゃんと切り替わっていることが確認できました。</p>
<p>いままで回線の遅さに悩んでいましたが、これで解決されるのか楽しみです。</p>
LinuxルーターでのIPv6 IPoE設定
2020-05-04T00:00:00+00:00
2020-05-04T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2020/05/linuxipv6-ipoe.html/
<p>こんにちは、コロナの影響でステイホームでリモートワークを励行しています。多くの人たちが業務のために自宅からインターネットにアクセスしたり、外に遊びに行けず自宅でネットコンテンツを長時間視聴するためか、日時を問わずNTTフレッツ回線のネットワークが非常に遅くなっているような気がします。</p>
<p>フレッツ回線の混雑の情報をネットで調べてみると、もともと回線設備の容量が少なめで、主にIPv4のPPPoE接続で利用しているNTTのNGNの網終端装置で回線が混み合っているのではないかということです。</p>
<p>(<a rel="external" href="https://eng-blog.iij.ad.jp/archives/5536">https://eng-blog.iij.ad.jp/archives/5536</a> <a rel="external" href="http://enog.jp/wp-content/uploads/2018/08/20180720-ENOG51-Kashiwazaki.pdf">http://enog.jp/wp-content/uploads/2018/08/20180720-ENOG51-Kashiwazaki.pdf</a>)</p>
<p>これを回避するには比較的空いているIPv6の接続口を利用するのが良いとのことでした。NTTのNGNネットワークとインターネットの境界の設備は、NTTの方針に依存せず増強できるとのことです。</p>
<p>そこでIPv6 IPoE + DS-Lite なプロバイダと契約し、もともと自宅で利用していたLinuxルーターをIPv6に対応させました。</p>
<p>今回契約したのはBB.exciteコネクト(IPoE接続プラン)というもので、既存のフレッツ回線に月々700円(税抜)追加でIPv6のインターネット接続を利用できるようになります。</p>
<p><a rel="external" href="https://bb.excite.co.jp/norikae/ipoe/">https://bb.excite.co.jp/norikae/ipoe/</a></p>
<p>ちなみに、本題から外れますが、我が家のルーターは手のひらサイズのIntelのNUCです。NICが一個しかついていないため、eth0からTag VLANを利用してeth0.10のインターフェースを仮想的に作りWAN側に用いています。eth0とeth0.10を後述のコマンド例で使いますが、前者が内側、後者が外側ということです。</p>
<img src="/2020/05/linuxipv6-ipoe.html/image/2020-05-04-4.jpg" width="320" height="240">
<img src="/2020/05/linuxipv6-ipoe.html/image/2020-05-04-5.jpg" width="320" height="240">
<p>ちなみに、ルーターのOSはDebian Busterをtarで固めたものをUSBメモリに入れ、起動時にtmpfsに展開して、ディスクレスで運用しています。こうすることで、万が一NUCが壊れたとしても適当なパソコンをルーターとしてブートすることが可能です。</p>
<img src="/2020/05/linuxipv6-ipoe.html/image/2020-05-04-3.jpg" width="320" height="240">
<h3 id="wanintahuesunoshe-ding">WANインターフェースの設定</h3>
<p>IPv6の世界では、Stateless Address Auto-Configuration(SLAAC)という仕組みがあり、基本的に何もしなくてもIPv6アドレスがアサインされます。</p>
<p>Linuxの場合、IPv6関連のコンフィグオプションを有効にしたカーネルがあり、かつicmpv6のパケットを送受信できる環境であれば、いつの間にか勝手にIPv6アドレスが付与されます。</p>
<p>今回契約したのBB.exciteコネクト(IPoE接続プラン)は、transixというVirtual Network Enabler(VNE)が実際の通信サービスを提供しており、transixから払い出された/64のプリフィックスがアドバタイズ(Router Advertisement (RA))され、それを受信したLinuxカーネルが、自動的にネットワーク設定を行います。</p>
<p>RAの内容はこのような感じになっています。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /bin/rdisc6 -1 -r 3 eth0.10</span></span>
<span class="giallo-l"><span>Soliciting ff02::2 (ff02::2) on eth0.10...</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Hop limit : 64 ( 0x40)</span></span>
<span class="giallo-l"><span>Stateful address conf. : No</span></span>
<span class="giallo-l"><span>Stateful other conf. : Yes</span></span>
<span class="giallo-l"><span>Mobile home agent : No</span></span>
<span class="giallo-l"><span>Router preference : medium</span></span>
<span class="giallo-l"><span>Neighbor discovery proxy : No</span></span>
<span class="giallo-l"><span>Router lifetime : 1800 (0x00000708) seconds</span></span>
<span class="giallo-l"><span>Reachable time : 300000 (0x000493e0) milliseconds</span></span>
<span class="giallo-l"><span>Retransmit time : 10000 (0x00002710) milliseconds</span></span>
<span class="giallo-l"><span>Source link-layer address: 00:yy:yy:yy:53:C3</span></span>
<span class="giallo-l"><span>MTU : 1500 bytes (valid)</span></span>
<span class="giallo-l"><span>Prefix : 2409:x:x:x::/64</span></span>
<span class="giallo-l"><span>On-link : Yes</span></span>
<span class="giallo-l"><span>Autonomous address conf.: Yes</span></span>
<span class="giallo-l"><span>Valid time : 2592000 (0x00278d00) seconds</span></span>
<span class="giallo-l"><span>Pref. time : 604800 (0x00093a80) seconds</span></span>
<span class="giallo-l"><span>from fe80::y:y:y:53c3</span></span></code></pre>
<p>(参考: <a rel="external" href="https://hirose31.hatenablog.jp/entry/20060418/1145354566">https://hirose31.hatenablog.jp/entry/20060418/1145354566</a> )</p>
<p>上記のRAに基づいて自動的に設定されたIPアドレスの様子。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>eth0.10@eth0: mtu 1500 qdisc noqueue state UP group default qlen 1000</span></span>
<span class="giallo-l"><span> link/ether c0:3f:d5:69:6f:b0 brd ff:ff:ff:ff:ff:ff</span></span>
<span class="giallo-l"><span> inet6 2409:x:x:x:y:y:y:6fb0/64 scope global dynamic mngtmpaddr</span></span></code></pre>
<p>同時に登録されるルーティング情報。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>2409:x:x:x::/64 dev eth0.10 proto kernel metric 256 pref medium</span></span>
<span class="giallo-l"><span>default via fe80::y:y:y:53c3 dev eth0.10 proto ra metric 1024 expires 1784sec hoplimit 64 pref medium</span></span></code></pre>
<p>SLAACによりアサインされるアドレスは、transixから払い出されたプリフィックス (2409:x:x:x::/64)とNICのMACアドレスを組み合わせたものです。</p>
<p>このようなIPv6アドレスを用いるとMACアドレスが一意であるため、これを用いてユーザーの行動が追跡される可能性があるなどプライバシーの上の問題があります。</p>
<p>この問題に対処するためにPrivacy Extensionという仕様が公開されており、これを用いると払い出されたプリフィックスとランダムな数字を組み合わせたIPv6アドレスを利用することができます。</p>
<p>つまりPrivacy Extensionを有効にするとMACアドレス由来でないアドレスもインターフェースにアサインすることができるのです。Linuxの場合はuse_tempaddrというパラメータを利用します。</p>
<p><a rel="external" href="https://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/ch06s05.html">https://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/ch06s05.html</a></p>
<p><a rel="external" href="https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt">https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt</a></p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>use_tempaddr - INTEGER</span></span>
<span class="giallo-l"><span> Preference for Privacy Extensions (RFC3041).</span></span>
<span class="giallo-l"><span> 1 : enable Privacy Extensions and prefer temporary</span></span>
<span class="giallo-l"><span> addresses over public addresses.</span></span>
<span class="giallo-l"><span> Default: 0 (for most devices)</span></span>
<span class="giallo-l"><span> -1 (for point-to-point devices and loopback devices)</span></span></code></pre>
<p>実際にパラメータを設定してみると、</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>echo 2 > /proc/sys/net/ipv6/conf/eth0.10/use_tempaddr</span></span></code></pre>
<p>Temporaryなアドレスもアサインされます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> inet6 2409:x:x:x:y:y:y:d384/64 scope global temporary dynamic</span></span>
<span class="giallo-l"><span> valid_lft 569580sec preferred_lft 50999sec</span></span></code></pre>
<p>(追記:最近ではSemantically Opaque Interface Identifiersと呼ばれる、よりプライバシーに考慮したアドレスアサイン方式があるようなのでそれにも<a href="/2020/05/linuxslaac-ipv6.html">対応しました</a>。)</p>
<h3 id="lanintahuesunoshe-ding">LANインターフェースの設定</h3>
<p>次にLAN側のネットワークをどうするか考えます。まず思いつくのは以下の3通りの方法です。</p>
<ul>
<li>
<p>WANインターフェースとLANインターフェースをブリッジ接続し、WANから流れてきたRAをLANにそのまま流す。</p>
</li>
<li>
<p>WAN側で受け取ったグローバルなプリフィックスを、radvdというプログラムでLANに再広報する。</p>
</li>
<li>
<p>WAN側とは別のプライベートなIPv6アドレス(ユニークローカルアドレス)のプリフィックスをradvdでLANに広報する。</p>
</li>
</ul>
<p>ある程度の試行錯誤の末、上記のうち3の方法を採用することにしました。</p>
<p>まず1の構成では、IPv6に関してはL3レベルでネットワークが分離されていないため、やはりセキュリティ設定に不安があります。まあ要するにLAN内に自分の知らないicmpv6のパケットが入ってくること自体が気持ち悪くて受け入れられないということです。</p>
<p>2の構成に関しては、以下に示すような技術課題があり、とりあえず設定はできるのですが、上手いルーティング設定とSLAAC自動設定が両立できません。 </p>
<ul>
<li>
<p>WANとLANで同じプリフィックスを利用すると、ゲートウェイ上でのルーティング設定がめんどう。</p>
</li>
<li>
<p>/64を/65に分割してつかうとSLAACが機能しない。</p>
</li>
</ul>
<p>WANで受け取ったプリフィックスを利用しLAN側のeth0にアドレスをアサインすると、ルーティングテーブルが以下のようになります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>2409:x:x:x::/64 dev eth0.10 proto kernel metric 256 expires 2591991sec pref medium</span></span>
<span class="giallo-l"><span>2409:x:x:x::/64 dev eth0 proto kernel metric 256 pref medium</span></span></code></pre>
<p>この場合の問題点は、2409:x:x:x::/64宛のパケットに対するルーティング設定が2行あり、eth0側にパケットを流したくても先にあるeth0.10側にパケットが流れてしまい、通信がうまくいきません。</p>
<p>2409:x:x:x::/64向けのパケットはeth0側に流したいので、1行目を削除すれば良いのですが、この1行目の設定は、WAN側のSLAACの自動設定により自動追加されるものなので、しばらくするとまた追加されてしまいます。</p>
<p>この問題を回避するために2409:x:x:x::/64で許されるアドレスレンジの内半分の2409:x:x:x:8000::/65を、LAN内プリフィックスとして利用することを試みました。ルーティングルールでは長いプリフィックスの方が優先されるので、2409:x:x:x:8000::/65宛のパケットを必ずeth0に流すことができるというもくろみです。</p>
<p>この方法でルーティング自体はうまくいくのですが、SLAACによる自動アドレス設定はプリフィックスが64であることが前提であるため、各マシンに手動でIPv6アドレスを設定する必要が出てきます。</p>
<p>つまり、IPoEで配布されるグローバルプリフィックスが/64である場合、ルーティングをきれいに動かすためにLANのプリフィックスをそれより長くすると、SLAACによるLAN内の自動アドレス設定ができなくなってしまいます。</p>
<p>(ひかり電話契約がある場合には/56のプレフィックスが配布されるらしいが、我が家はひかり電話では無いので/64で。。。みんな/56とか、せめて/63で配布してくれれば良いのに。)</p>
<p>結局、このような理由から、「2. WAN側で受け取ったグローバルなプリフィックスを、radvdというプログラムでLANに再広報する。」という方法は断念しました。</p>
<h3 id="lance-hapuraibetonaadoresuwoli-yong">LAN側はプライベートなアドレスを利用</h3>
<p>仕方が無いので、LAN内ではユニークローカルアドレスfd00::/8を利用する第3の方法を用いることにしました。具体的にはradvdでfd00:0:0:x::/64なプリフィックスを配布します。そうするとLAN内の様々なクライアントがSLAACにより自動的にアドレスを生成し、IPv6により通信できるようになります。</p>
<p>/etc/radvd.confの例</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>interface eth0</span></span>
<span class="giallo-l"><span>{</span></span>
<span class="giallo-l"><span> AdvSendAdvert on;</span></span>
<span class="giallo-l"><span> MinRtrAdvInterval 30;</span></span>
<span class="giallo-l"><span> MaxRtrAdvInterval 100;</span></span>
<span class="giallo-l"><span> prefix fd00:0:0:x::/64</span></span>
<span class="giallo-l"><span> {</span></span>
<span class="giallo-l"><span> AdvOnLink on;</span></span>
<span class="giallo-l"><span> AdvAutonomous on;</span></span>
<span class="giallo-l"><span> AdvRouterAddr off;</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"><span> RDNSS fd00:0:0:x::1</span></span>
<span class="giallo-l"><span> {</span></span>
<span class="giallo-l"><span> };</span></span>
<span class="giallo-l"><span>};</span></span></code></pre>
<p>この構成だとLAN内はグローバルIPではなく、外に出る際にMASQUERADEすることが必要になります。NATが必要無いというIPv6のメリットの一つを損なってしまいますが仕方が無いです。</p>
<p>考えようによっては、IPv4で慣れ親しんだ構成でもあるので、管理は難しく無いというメリットもあります。</p>
<p>外部からのL3フィルタリング設定も、慣れ親しんだiptableと同様に行うことができます。</p>
<p>ip6tables設定。</p>
<p>/etc/ip6t.save (使用例 /sbin/ip6tables-restore < /etc/ip6t.save)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>*nat</span></span>
<span class="giallo-l"><span>:PREROUTING ACCEPT [0:0]</span></span>
<span class="giallo-l"><span>:INPUT ACCEPT [0:0]</span></span>
<span class="giallo-l"><span>:POSTROUTING ACCEPT [0:0]</span></span>
<span class="giallo-l"><span>:OUTPUT ACCEPT [0:0]</span></span>
<span class="giallo-l"><span>-A POSTROUTING -o eth0.10 -j MASQUERADE # <- マスカレード設定</span></span>
<span class="giallo-l"><span>COMMIT</span></span>
<span class="giallo-l"><span>*filter</span></span>
<span class="giallo-l"><span>:INPUT DROP [0:0]</span></span>
<span class="giallo-l"><span>:FORWARD DROP [0:0]</span></span>
<span class="giallo-l"><span>:OUTPUT ACCEPT [0:0]</span></span>
<span class="giallo-l"><span>-A INPUT -i lo -j ACCEPT</span></span>
<span class="giallo-l"><span>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT</span></span>
<span class="giallo-l"><span>-A INPUT -s fd00:0:0:x::/64 -i eth0 -j ACCEPT</span></span>
<span class="giallo-l"><span>-A INPUT -p udp --dport 53 -j ACCEPT</span></span>
<span class="giallo-l"><span>-A INPUT -p tcp --dport 53 -j ACCEPT</span></span>
<span class="giallo-l"><span>-A INPUT -p ipv6-icmp -j ACCEPT</span></span>
<span class="giallo-l"><span>-A FORWARD -d fd00:0:0:x::/64 -j ACCEPT</span></span>
<span class="giallo-l"><span>-A FORWARD -s fd00:0:0:x::/64 -i eth0 -o eth0.10 -j ACCEPT</span></span>
<span class="giallo-l"><span>-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT</span></span>
<span class="giallo-l"><span>COMMIT</span></span></code></pre><h3 id="wai-bu-karanoakusesu">外部からのアクセス</h3>
<p>SLAACにより設定されるアドレスは、NICのMACアドレスから生成されるため決して覚えやすいものではありません。"プリフィックス::1"という分かり易いアドレスをマニュアルアサインすることで、外部からのアクセスが僅かながら容易になります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/sbin/ip add add 2409:x:x:x::1/64 dev eth0.10</span></span></code></pre>
<p>ただしtransixから払い出されるプリフィックスは固定であるという約束はありません。プリフックス変わった場合にはそれを検知してマニュアルアサインしたアドレスも付け直し、そしてDNSなどを更新する必要があるでしょう(これについてはいまのところ未実装です) 。</p>
<p>固定のプリフィックスを払い出してくれるISPがあったら乗り換えたいです。</p>
<h3 id=""></h3>
<h3 id="-1"></h3>
<h3 id="ipv4wodousuruka">IPv4をどうするか</h3>
<p>IPv4に関してはPPPoE接続の固定IPの契約が元々あるので、そのまま利用することにしました。</p>
<p>今回契約した、DS-Liteのサービスでは、IPv4 NATとIPIPトンネリングを利用したIPv4 over IPv6接続が利用できます。PPPoE接続をやめてこちらの経路を利用することでIPv4回線も空いている方を利用できることになりますが、グローバルなIPv4アドレスを他のユーザと共用する必要があるため、いまのところそれほど魅力を感じていません。</p>
<p>transixも固定IPのサービスがあるのでそれが利用可能かつ安価なISPがあれば考えたいです。(<a rel="external" href="https://www.mfeed.ad.jp/transix/staticip/">https://www.mfeed.ad.jp/transix/staticip/</a>)</p>
<p>(追記:後日、ポリシールーティングを使ってHTTP、HTTPSの通信のみDS-Liteを使うようにしました。→<a href="/2020/05/linuxds-lite.html">こちら</a>)</p>
<p>別のVNEである、JPNEからも同様な、v6オプション固定IPサービスがあるようなので、こちらも安価なISPがあれば考えたいです。(<a rel="external" href="https://www.jpne.co.jp/service/v6plus-static/">https://www.jpne.co.jp/service/v6plus-static/</a>)</p>
<h3 id="sonota-nozhu-yi-dian">その他の注意点</h3>
<p>Linuxボックスでipv6のフォワーディングを有効にするとルーティング情報が消えてしまい、これに悩まされました。</p>
<p>forwarding=1でもRouter Advertisement(RA)を受信できるようにするために、以下が必要です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>echo 1 > /proc/sys/net/ipv6/conf/all/forwarding</span></span>
<span class="giallo-l"><span>echo 2 > /proc/sys/net/ipv6/conf/eth0.10/accept_ra</span></span></code></pre>
<p>( <a rel="external" href="http://strugglers.net/~andy/blog/2011/09/04/linux-ipv6-router-advertisements-and-forwarding/">http://strugglers.net/~andy/blog/2011/09/04/linux-ipv6-router-advertisements-and-forwarding/</a> )</p>
<h3 id="matome">まとめ</h3>
<p>IPv6 IPoE + DS-Lite なプロバイダと契約し、LinuxルーターのIPv6設定を行いました。WAN側アドレスはSLAACにより自動的に設定されるものを用いました。LAN側アドレスはユニークローカルアドレスを利用し、MASQUERADEとフィルタリングの設定を行いました。</p>
<p>今後の課題としては、(1)64より短いプリフィックスが得られるなら、LAN内もグローバルアドレスを利用したい、(2)LinuxのルーティングがSLAACと両立できるようになったら、LAN内もグローバルアドレスを利用したい、(3)固定プリフィックスが利用できるISPがあれば乗り換えたい、(4)固定グローバルIPのIPv4 over IPv6が利用可能かつ安価なISPがあれば乗り換えたい、などがあります。</p>
Keepalivedで作るMySQLフェイルオーバーシステム
2015-12-22T00:00:00+00:00
2015-12-22T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/12/keepalivedmysql.html/
<h2 id="1-hazimeni">1. はじめに</h2>
<p>この記事は<a rel="external" href="http://qiita.com/advent-calendar/2015/mysql-casual">MySQL Casual Advent Calendar 2015</a>の22日目のエントリです。</p>
<p>先日、<a rel="external" href="http://mysql-casual.connpass.com/event/22334/">MySQL Casual Talks</a>という勉強会で登壇してきました。その時の内容をまとめておきたいと思います。</p>
<p>MySQLデータベースサーバに障害が起きた時、サービスを続けるには幾つかの方法があります。障害発生時にSlaveサーバーを手作業でMasterに昇格させる方法、<a rel="external" href="http://dev.mysql.com/downloads/utilities/">MySQL Utilities</a>に含まれるmysqlfailoverというユーティリティーを利用する方法などです。</p>
<p>今回、Keepalivedというソフトウェアと、MySQLの双方向レプリケーションを使って、ほぼ無停止でフェイルオーバーする構成を試してみたので、それについてまとめておきたいと思います。</p>
<h2 id="2-sisutemugou-cheng">2. システム構成</h2>
<p><img src="https://ktaka.blog.ccmp.jp/2015/12/keepalivedmysql.html/image/Fig1.png" alt="" /></p>
<p>db1、db2という二つのサーバで、それぞれmysqldとkeepalivedを動かします。mysqldはお互いがMasterとなる双方向レプリケーションを行います。keepalivedはそれぞれのサーバで<a rel="external" href="https://github.com/ktaka-ccmp/mysql-casual-20151220/blob/mysql56/files/etc/keepalived/vrrp/mysqlchk.sh">mysqldのヘルスチェック</a>を行い、どちらかがVRRPのMasterもう一方がBackupの状態となり、MasterにVirtual IP(VIP)を付与します。上の図ではdb1が現在のVRRP Masterということになります。双方向レプリケーションを行う場合に同時に両方のサーバへの書き込みを許可すると、データの不整合や、レプリケーションの停止を引き起こしてしまうことが知られています。今回VRRPスレーブに誤って書き込みが行われないようにスレーブにreadonly=1のフラグを立てておきます。</p>
<img src="/2015/12/keepalivedmysql.html/image/Fig2.png" width="640" height="400">
<p>もしdb1のmysqldが停止ししkeepalivedのヘルスチェックに失敗した場合、db1のkeepalivedはFAULTステートに移行します。一方db2のkeepalivedはVRRP Masterステートに移行しVIPが付与され、クライアントからのアクセスはdb2に向かうようになります。db2のkeepalivedがMasterに昇格する際には、<a rel="external" href="https://github.com/ktaka-ccmp/mysql-casual-20151220/blob/mysql56/files/etc/keepalived/vrrp/master.sh#L15">スクリプトによりreadonly=0となり書き込みが可能になるようにしています</a>。</p>
<p>この構成では、Keepalivedを使うことで迅速かつ安定的にフェイルオーバーが実行できること、あらかじめ双方向レプリケーションが行われているので障害発生時にCHANGE MASTER をする必要がなくシンプルであることがメリットだと考えられます。</p>
<h2 id="3-vrrptutenani">3. VRRPってなに?</h2>
<p>VRRP(Virtual Router Redundancy Protocol)は、もともと2台のルーターの冗長化のために作られたプロトコルで、RFCで規定されています。。下の図は、今回利用したKeepalived v1.2.13 が準拠している<a rel="external" href="https://tools.ietf.org/rfc/rfc3768.txt">VRRP version 2</a>の動きを説明するものです。</p>
<img src="/2015/12/keepalivedmysql.html/image/Fig3.png" width="640" height="400">
<p>VRRP v2では、プライオリティに基づいてMasterとBackupサーバーが決定され、MasterのみがVRRPアドバタイズパケットを予め定められた間隔、例えば1秒間隔で送信します。Masterからのアドバタイズパケットが一定期間途切れると、BackupサーバがMasterサーバに状態遷移します。</p>
<h4 id="herusutietuku">ヘルスチェック</h4>
<p>KeepalivedのVRRPデーモンには、RFCで規定されたVRRPプロコルの機能に加え、おまけとしてヘルスチェック機能があります。これによりスクリプトでmysqldの死活を監視し、監視が失敗するとKeepalivedのステータスをFAULTに遷移させることができます。この場合プライオリティ=0のVRRPアドバタイズパケットが送信され、直ちにBackupサーバがMasterに昇格します。</p>
<p>以下の設定は、<a rel="external" href="https://github.com/ktaka-ccmp/mysql-casual-20151220/blob/mysql56/files/etc/keepalived/vrrp/vrrp.conf">keepalivedの設定ファイル</a>の一部ですが1秒に一回ヘルスチェックスクリプト"/etc/keepalived/vrrp/mysqlchk.sh"を実行し、二回失敗したらFAULTステートにし、2回成功するとBACKUPかMASTERに戻しています。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> vrrp_script mysqlchk {</span></span>
<span class="giallo-l"><span> script "/etc/keepalived/vrrp/mysqlchk.sh"</span></span>
<span class="giallo-l"><span> interval 1 ← 1秒ごとにチェック</span></span>
<span class="giallo-l"><span> fall 2 ← 2回失敗したらFAULT</span></span>
<span class="giallo-l"><span> rise 2 ← 2回成功でBACKUP or MASTER</span></span>
<span class="giallo-l"><span> }</span></span></code></pre>
<p>ヘルスチェックファイル"mysqlchk.sh"の内容は、今回は次のようになっていて、ソケット経由で、"show variables like 'server_id';"に応答できるかどうかを確認しています。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> mysql -S $SOCK --connect-timeout=$TIMEOUT -e "show variables like 'server_id';"</span></span></code></pre><h4 id="vrrpnohueiruobashi-jian">VRRPのフェイルオーバー時間</h4>
<p>障害時にVRRPのフェイルオーバーにかかる時間は、大まかに以下のふた通りに分けることができます。</p>
<ul>
<li>
<p>mysqldのみ死んだ場合</p>
</li>
<li>
<p>keepalivedがFAULTステートになりpriority=0のVRRP Advertパケットを送信します。</p>
</li>
<li>
<p>これを受信したBACKUPステートにいるkeepalivedは直ちにMASTERに昇格します。</p>
</li>
<li>
<p>フェイルオーバーにかかる時間は、FAULTステート遷移に必要な2秒程度です。</p>
</li>
<li>
<p>サーバごと死んだ場合</p>
</li>
<li>
<p>元のサーバからのVRRPパケットが途絶え、BACKUPステートにいるkeepalivedがMASTERステートに昇格します。</p>
</li>
<li>
<p>BACKUPステートにいるkeepalivedが状態遷移を開始する時間はVRRPプロトコルで決まっており、(3 * Advertisement_Interval) + ( (256 - Priority) / 256 )になります。</p>
</li>
<li>
<p>VRRPアドバタイズパケットの間隔、すなわちAdvertisement_Intervalが1秒の場合は4秒程度でフェイルオーバーが完了します。</p>
</li>
</ul>
<p>以上により、この仕組みを利用する場合、2秒または4秒程度でフェイルオーバーが完了することになり、かなり速いと言って良いのではないでしょうか。</p>
<h2 id="4-shuang-fang-xiang-repurikesiyonnozhu-yi-dian">4. 双方向レプリケーションの注意点</h2>
<p>今回のシステム構成では、db1とdb2の間で双方向のレプリケーション構成にしています。この構成には落とし穴があるので、まず簡単にレプリケーションの仕組みをおさらいしておきたいと思います。</p>
<p>次の図で、db1でコミットされたトランザクションはbinlogに記録されます。binlogに記録されたトランザクションは、ネットワークを介してdb2に送られIOスレッドによりrelaylogに書き込まれ、SQLスレッドによりテーブルスペースに順次コミッされていきます。</p>
<p><a rel="external" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIkc-k6nMbEhTcZNQZEuw-j-eZ_4ST3qYbFahEqvMQdT49_-XFPJ9X_U-IpGIhBKlOyj2ppBYfKI4UNGKHXz7WERAqiJyZfbx3LdIM0suSZRcuac4PaCPy7Onh22d7YDDcMEvQzT81v3Y/s1600/Fig4.png"></a><a rel="external" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWdasRPYsn7I1WjYeuFJ6RIKnE5U2-E2joHNPDysaxhCjRTTyDBhHbcV5yRNwfy_7PwER8Ap04VePBCFgRwHFZdEQNydHKOuwhYy3uHeyKexGgBZM6C1QjoMkBnXv3_ajX1qqokdQ6ai0/s1600/Fig11.png"></a></p>
<img src="/2015/12/keepalivedmysql.html/image/Fig11.png" width="640" height="400">
<p>したがって、db1で完了したコミットはすぐにSlaveのテーブルスペースに書き込まれるわけではなく、有限時間の遅延が発生します。特にレプリケーションのSQLスレッドは、mysqld-5.6までは1スキーマに対して1スレッドでしか実行できないので、SQLスレッドによるテーブルスペースへのコミットが追いつかずrelaylogにデータが溜まっていく場合が、時々見られます。</p>
<p>レプリケーションが遅延している時に、VRRPのフェイルオーバーが起こると以下の図のような状態になります。relaylogに溜まっているデータはSQLスレッドにより順次コミットされていきますが、同時にクライアントからの書き込みが行われると、データに不整合が起こりレプリケーションが停止する場合があります。</p>
<p><a rel="external" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZUtMebWAzyXRO15xuHfnTpyH3aIpSTsng-k6BDcm1XYK8rikPNGhFWrjXS76N15i00Y9BSo2DUC20LcK6FHNPnAttqse6RofWTkqNDHI_uGDc-nmbrpVHzyRf5ohoYHu5sG7UxdhuCXQ/s1600/Fig6.png"></a></p>
<img src="/2015/12/keepalivedmysql.html/image/Fig12.png" width="640" height="400">
<p>今回の構成ではこれを防ぐために、フェイルオーバー時にVIPがdb2に移った時、すぐに書き込み可能な状態にするのではなく、レプリケーションの遅延がなくなるのを待っててreadonly=0をセットするようにしています。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> #!/bin/bash</span></span>
<span class="giallo-l"><span> SOCK=/var/run/mysqld/mysqld.sock</span></span>
<span class="giallo-l"><span> while true ; do</span></span>
<span class="giallo-l"><span> mysql -S $SOCK -e "show slave status\G;"|egrep "Seconds_Behind_Master: 0|Seconds_Behind_Master: NULL"</span></span>
<span class="giallo-l"><span> if [ "$?" = "0" ] ; then</span></span>
<span class="giallo-l"><span> break</span></span>
<span class="giallo-l"><span> else</span></span>
<span class="giallo-l"><span> echo Waiting until sql thread finish.</span></span>
<span class="giallo-l"><span> fi</span></span>
<span class="giallo-l"><span> sleep 1</span></span>
<span class="giallo-l"><span> done</span></span>
<span class="giallo-l"><span> mysql -S $SOCK -e "set @@global.read_only=0;"</span></span></code></pre><h2 id="5-matome">5. まとめ</h2>
<p>今回、keepalivedのVRRP機能と、MySQLの双方向レプリケーションを組み合わせた、MySQLサーバの冗長化について試してみました。</p>
<p>良いところ</p>
<ul>
<li>
<p>およそ4秒以内、ほぼ瞬時にフェイルオーバーする。</p>
</li>
<li>
<p>フェイルオーバー時にレプリケーション関連のオペレーションが入らないので、シンプルである。</p>
</li>
</ul>
<p>課題</p>
<ul>
<li>
<p>マルチマスターなので不整合に気をつける</p>
</li>
<li>
<p>repが遅いとなかなか昇格できない。MySQL5.7に期待。</p>
</li>
</ul>
マイKVM環境を晒しておきます。My Jessie on Jessie KVM environment.
2015-10-29T00:00:00+00:00
2015-10-29T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/kvmmy-jessie-on-jessie-kvm-environment.html/
<p>皆さん、こんにちは。もうすっかり秋ですね。</p>
<p>最近、寒暖差が激しいので、お体には気をつけてくださいね。</p>
<p>さてさて、本日は、弊社で使っているDebian Jessie用のKVM環境をご紹介します。</p>
<p>KVMとはKernel Virtual Machineの略で、Linuxのカーネルで実装された仮想マシンハイパーバイザーのことです。一般的には、ハイパーバイザー自体を指すよりも、それを用いた仮想マシンの方式のことを指す場合も多いかと思います。</p>
<p>弊社ではKVMによる仮想環境を用い、各種サーバプログラム、WEBクラスターなどの検証を行っています。最近のLinuxディストリビューションでは、すでに簡単な操作で仮想マシンを立ち上げることが可能です。しかし、kvmが最初にバニラカーネルに組み込まれたlinux-2.6.20の頃から自家製スクリプトでkvm仮想マシンを利用しており、それが使い易く、興味を持ってくれる人もいるかもしれないのでここに公開する次第です。</p>
<p>仮想マシンの抽象化ライブラリであるlibvirtを介さずGUIなども無いので、比較的仕組みが理解しやすくカスタマイズが簡単であることがメリットかと考えています。カーネルの最新機能や最新のqemuに追従することもたやすくできます。</p>
<p>それでですね、ものはここにおいてあります。</p>
<p><a rel="external" href="https://github.com/ktaka-ccmp/kvm-setup-jessie">https://github.com/ktaka-ccmp/kvm-setup-jessie</a></p>
<p>Debian jessieで以下のように、</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> sudo apt-get install make aptitude git -y</span></span>
<span class="giallo-l"><span> git clone git@github.com:ktaka-ccmp/kvm-setup-jessie.git</span></span>
<span class="giallo-l"><span> sudo make all</span></span></code></pre>
<ul>
<li>
<p>gitとmakeとaptitudeをaptでインストール</p>
</li>
<li>
<p>githubからツールをクローン</p>
</li>
<li>
<p>make allする</p>
</li>
</ul>
<p>を行えばオッケーです。busyboxとkernelのコンパイル時にmenuconfig画面が表示されますが、通常はそのままExitしてください。</p>
<p>何か思うところがあってカスタマイズしたい場合は、そこでカスタマイズを行ってください。</p>
<p>仮想マシンの実行は、/kvm/sbin/kvmスクリプトで行います。中身を見てもらえばわかりますが、このスクリプトでやっていることは、qemuコマンドの実行と、unix domainソケットを通してのqemuプロセスの制御です。</p>
<p>ではまず、v001という仮想マシンを起動してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm create v001</span></span>
<span class="giallo-l"><span> booting v001 ....</span></span></code></pre>
<p>v001が生きているかどうかは、次のように確認できます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm chk v001</span></span>
<span class="giallo-l"><span> QEMU 2.4.0.1 monitor - type 'help' for more information</span></span>
<span class="giallo-l"><span> (qemu) info status</span></span>
<span class="giallo-l"><span> VM status: running</span></span>
<span class="giallo-l"><span> (qemu)</span></span></code></pre>
<p>次にv002を起動し、状態を確認してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm create v002</span></span>
<span class="giallo-l"><span> booting v002 ....</span></span>
<span class="giallo-l"><span> root@jessie64:~# kvm chk v002</span></span>
<span class="giallo-l"><span> QEMU 2.4.0.1 monitor - type 'help' for more information</span></span>
<span class="giallo-l"><span> (qemu) info status</span></span>
<span class="giallo-l"><span> VM status: running</span></span>
<span class="giallo-l"><span> (qemu)</span></span></code></pre>
<p>稼働中の仮想マシンの一覧は、以下のように確認できます。conのカラムはコンソールソケット、monのカラムはモニターソケット、imgのカラムはVMのイメージファイルの状態を表しています。v001の行を見るとv001 o o uとなっていますが、これはコンソール、モニターの両ソケットが接続可能で、イメージファイルが使用中(VMが稼働中)であることを表しています。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm list</span></span>
<span class="giallo-l"><span> id con mon img</span></span>
<span class="giallo-l"><span> test - - -</span></span>
<span class="giallo-l"><span> v001 o o u</span></span>
<span class="giallo-l"><span> v002 o o u</span></span></code></pre>
<p>今度は、v001のコンソールに接続してみます。コンソールに接続するとログインプロンプトが表示されるのでroot/rootでログインします。rootのパスワードはMakefileにベタ書きしてあり、イメージtemplate作成時に設定されます。コンソール接続を終了するには"Ctrl+]"をタイプします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm con v001</span></span>
<span class="giallo-l"><span> Debian GNU/Linux 8 v001 ttyS0</span></span>
<span class="giallo-l"><span> v001 login: root</span></span>
<span class="giallo-l"><span> Password:</span></span>
<span class="giallo-l"><span> Linux v001 4.2.4-64kvmg01 #1 SMP Wed Oct 28 03:50:51 UTC 2015 x86_64</span></span>
<span class="giallo-l"><span> The programs included with the Debian GNU/Linux system are free software;</span></span>
<span class="giallo-l"><span> the exact distribution terms for each program are described in the</span></span>
<span class="giallo-l"><span> individual files in /usr/share/doc/*/copyright.</span></span>
<span class="giallo-l"><span> Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent</span></span>
<span class="giallo-l"><span> permitted by applicable law.</span></span>
<span class="giallo-l"><span> root@v001:~# logout</span></span>
<span class="giallo-l"><span> Debian GNU/Linux 8 v001 ttyS0</span></span>
<span class="giallo-l"><span> v001 login:</span></span></code></pre>
<p>テンプレートイメージ作成時には、/root/.ssh/authorized_keysもコピーしていますので、ホストのマシンと同じ鍵でsshログインすることが可能です。</p>
<p>v001のIPアドレスはinitrdの中で172.16.1.1を決め打ちで設定しています。v002の場合は172.16.1.2、v250の場合は172.16.1.250が割り当てられ、v250を上限にしてあります。</p>
<p>これらのホスト名、IPは、セットアップ時にホストの/etc/hostsに追記してあります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# ssh v001</span></span>
<span class="giallo-l"><span> The programs included with the Debian GNU/Linux system are free software;</span></span>
<span class="giallo-l"><span> the exact distribution terms for each program are described in the</span></span>
<span class="giallo-l"><span> individual files in /usr/share/doc/*/copyright.</span></span>
<span class="giallo-l"><span> Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent</span></span>
<span class="giallo-l"><span> permitted by applicable law.</span></span>
<span class="giallo-l"><span> Last login: Thu Oct 29 16:42:31 2015 from 172.16.1.254</span></span>
<span class="giallo-l"><span> root@v001:~#</span></span></code></pre>
<p>ゲストマシンからは、ホストマシンのNATを介して外部のネットワークと通信が可能です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@v001:~# ping yahoo.jp</span></span>
<span class="giallo-l"><span> PING yahoo.jp (183.79.227.111) 56(84) bytes of data.</span></span>
<span class="giallo-l"><span> 64 bytes from yjpn110.mobile.vip.ogk.yahoo.co.jp (183.79.227.111): icmp_seq=1 ttl=54 time=13.2 ms</span></span>
<span class="giallo-l"><span> 64 bytes from yjpn110.mobile.vip.ogk.yahoo.co.jp (183.79.227.111): icmp_seq=2 ttl=54 time=13.3 ms</span></span>
<span class="giallo-l"><span> 64 bytes from yjpn110.mobile.vip.ogk.yahoo.co.jp (183.79.227.111): icmp_seq=3 ttl=54 time=13.9 ms</span></span>
<span class="giallo-l"><span> ^C</span></span>
<span class="giallo-l"><span> --- yahoo.jp ping statistics ---</span></span>
<span class="giallo-l"><span> 3 packets transmitted, 3 received, 0% packet loss, time 2001ms</span></span>
<span class="giallo-l"><span> rtt min/avg/max/mdev = 13.224/13.515/13.986/0.349 ms</span></span></code></pre>
<p>また、同じホスト上の仮想マシン間で通信することも可能です。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@v001:~# ping v002</span></span>
<span class="giallo-l"><span> PING v002 (172.16.1.2) 56(84) bytes of data.</span></span>
<span class="giallo-l"><span> 64 bytes from v002 (172.16.1.2): icmp_seq=1 ttl=64 time=1.33 ms</span></span>
<span class="giallo-l"><span> 64 bytes from v002 (172.16.1.2): icmp_seq=2 ttl=64 time=1.89 ms</span></span>
<span class="giallo-l"><span> 64 bytes from v002 (172.16.1.2): icmp_seq=3 ttl=64 time=5.51 ms</span></span>
<span class="giallo-l"><span> ^C</span></span>
<span class="giallo-l"><span> --- v002 ping statistics ---</span></span>
<span class="giallo-l"><span> 3 packets transmitted, 3 received, 0% packet loss, time 2003ms</span></span>
<span class="giallo-l"><span> rtt min/avg/max/mdev = 1.331/2.914/5.519/1.856 ms</span></span></code></pre>
<p>別ホストからは、直接仮想マシンにアクセスできないようになっていますので、別ホスト上の仮想マシンとは通信できません。もしそうしたい場合は、ブリッジとvlanの設定を工夫することで、通信可能になるでしょう。</p>
<p>仮想マシンを停止したいときは、仮想マシンにログインしpoweroffを実行するか、以下のようにshutdownコマンドを発行します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm shutdown v001</span></span>
<span class="giallo-l"><span> QEMU 2.4.0.1 monitor - type 'help' for more information</span></span>
<span class="giallo-l"><span> (qemu) system_powerdown</span></span>
<span class="giallo-l"><span> (qemu)</span></span>
<span class="giallo-l"><span> root@jessie64:~# kvm chk v001</span></span>
<span class="giallo-l"><span> 2015/10/29 17:04:52 socat[17586] E connect(5, AF=1 "/kvm/monitor/v001.sock", 24): Connection refused</span></span></code></pre>
<p>kvm listコマンドで見ると、停止しているv001は以下のように見えます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# kvm list</span></span>
<span class="giallo-l"><span> id con mon img</span></span>
<span class="giallo-l"><span> test - - -</span></span>
<span class="giallo-l"><span> v001 - - -</span></span>
<span class="giallo-l"><span> v002 o o u</span></span></code></pre>
<p>v001のイメージを完全に消したいときは、仮想マシンが停止した状態で、/kvm/data/v001.imgを消してください。</p>
<p>だいたい使い方は以上になります。</p>
<p>どうぞ、よろしくお願いいたします。</p>
Lessons of Steve Jobs: Guy Kawasaki at TEDxUCSD の要点
2015-10-18T00:00:00+00:00
2015-10-18T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/lessons-of-steve-jobs-guy-kawasaki-at.html/
<p>Guy Kawasakiのもう一つのビデオ"Lessons of Steve Jobs" 2013年UCSDでのTEDx です。</p>
<p>May he rest in peace, but may his influence continue to inspire us.</p>
<ul>
<li>
<p>Experts are clueless. Listen to your heart.</p>
</li>
<li>
<p>Customer cannot usually tell you what they want.</p>
</li>
<li>
<p>Get the next curve.</p>
</li>
<li>
<p>Big challenges beget the best work.</p>
</li>
<li>
<p>Design counts.</p>
</li>
<li>
<p>Use big graphics and big fonts.</p>
</li>
<li>
<p>Changing your mind is sign of intelligence.</p>
</li>
<li>
<p>Value not equal to price.</p>
</li>
<li>
<p>A players hire A+ players.</p>
</li>
<li>
<p>Real CEOs demo.</p>
</li>
<li>
<p>Real entrepreneurs ship.</p>
</li>
<li>
<p>Marketing = unique value.</p>
</li>
</ul>
<p>Bonus: Some things need to be believed to be seen.</p>
<p>I can tell you right now. In heaven Steve Jobs is telling God what to do.</p>
The art of innovation | Guy Kawasaki | TEDxBerkeley の要点メモ
2015-10-18T00:00:00+00:00
2015-10-18T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/the-art-of-innovation-guy-kawasaki.html/
<p>こんにちは、今日はいい天気にもかかわらず、自宅に引きこもってSNS眺めたり、Youtube見てました。本当はやらなきゃいけないお仕事があったんですが ^^;)</p>
<p>前からちょくちょく見ていたGuy KawasakiのTalkの一つの「The art of innovation(イノベーションの技術)」分用メモです。書き出しておかないと内容忘れて何度も見る羽目になってしまうので。</p>
<ul>
<li>
<p>Make meaning as opposed to make money. If you start off with the sole desire to make money, you won’t make money, you won’t make meaning, you won’t change the world, and you’ll probably fail. お金よりもそれをやる意味が大事。</p>
</li>
<li>
<p>Make Mantra. Two or three explanation why your meaning should exist. Nike: authentic athletic performance, Fedex: Peace of mind, Wendy: (should be) Healthy fast food. その意味が存在する必要を、2、3、4語のマントラにしておくと良い。</p>
</li>
<li>
<p>Jump to the next curve. Great innovation occurs when you get to the next curve. 10%の進歩ではなく次のカーブに乗ることが大事。</p>
</li>
<li>
<p>Roll the DICEE. Deep, Intelligent, Complete, Empowering, Elegant 深い進歩、賢さ(マスタングは鍵ごとに最高速がプログラムされいる)、完全さ(レクサス)、可能性を与えるもの(Macbook Air)、エレガントさなどの要素が必要。<a rel="external" href="http://alvinalexander.com/best-practices/guy-kawasaki-dicee-acronym">参考</a></p>
</li>
<li>
<p>Don’t worry be crappy. If you waited for perfect world, you would never ship. 完璧さを求めたらいつまでたっても出荷できない。革新的なプロダクトは多少のクラッピネスを恐れずにまず出荷することが大事。</p>
</li>
<li>
<p>Let 100 flowers blossom. One of the reasons why I believe in God is there is no other explanations for Apple’s continued survival than the existence of God. When the customer use your product if they say it’s the desktop publishing machine, haleluya, declare the victory, it is now a desktop publishing machine. Positioning branding ultimately comes down to what the customer decides, not to what you decides. マックはワープロ、スプレッドシート、データベースではダメだったけど、DTPマシンとして成功した。ポジショニング、ブランディングは究極的には、顧客が決めるものである。</p>
</li>
<li>
<p>Polarize people.The great product polarize people. Don’t be afraid of polarizing people. 偉大なプロダクトは時に敵を作るが恐れてはいけない。ただし、敵を作れと言っているのではない。</p>
</li>
<li>
<p>Churn, baby churn. As soon as you ship the product, you need to start listening people and keep evolving the product. 出荷するまではエキスパートの声を無視しなければいけないが、出荷されたら直ちにユーザーの声に耳を傾け、商品を進化させ続けなければならない。</p>
</li>
<li>
<p>Niche yourself. ユニーク、価値の2x2マトリックス、右上を取らなければいけない。</p>
</li>
<li>
<p>Perfect your pitch. Customize your introduction. 10 20 30 rules of presentation. 10 slides 20 minutes 30 point fonts. ピッチのTips。イントロを聴衆に合わせてカスタマイズ。10スライド、20分のトーク、30ポイントフォント。聴衆年齢の半分のフォントサイズ。</p>
</li>
<li>
<p>Don’t let the bozos grind you down. “I think there is a world of market for maybe five computers. Thomas Watson, IBM, 1943” 成功したbozo達の言葉に騙されるな。</p>
</li>
</ul>
debian jessieをdebootstrapでインストールした時のメモ
2015-10-14T00:00:00+00:00
2015-10-14T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/debian-jessiedebootstrap.html/
<p>こんばんは。</p>
<p>ブログを書くのは苦手だけど、なんでもいいから書いてみようシリーズです。</p>
<p>会社ではディスクレスのネットブート環境を作ってあって、新しいOSをインストールする時には、まずディスクレスでOSを立ち上げそのOS上でdebootstrapやyum groupinstallなどを使ってファイルシステムの中身を作成することが多いです。あるいはディスクレスでブートして、あらかじめ作成しておいた標準システムをネットワーク越しrsyncやddでコピーしたりすることもあります。</p>
<p>このようにすることで、毎回ブレの少ない、あるいは全くブレのないイメージを作成することができ、非常に便利です。</p>
<p>今回は、ネットブートした後にDebian jessieをdebootstrapした時のメモです。</p>
<p>そして想定読者は、未来の自分です。(最近前にやったことをすぐに忘れてしまうので^^;)</p>
<ol>
<li>ネットブートしたOS上でやること。</li>
</ol>
<p>apt.h.ccmp.jp:3142がMIRROR元のURLに挟んであるのは、apt-cacher-ngを間に挟んでaptの転送量を節約するためです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> parted /dev/sda</span></span>
<span class="giallo-l"><span> mkfs.ext4 /dev/sda1</span></span>
<span class="giallo-l"><span> mkswap /dev/sda2</span></span>
<span class="giallo-l"><span> mount /dev/sda1 /mnt/</span></span>
<span class="giallo-l"><span> apt-get install debootstrap</span></span>
<span class="giallo-l"><span> time debootstrap --include=openssh-server,openssh-client,rsync,pciutils,tcpdump,strace,libpam-systemd,ntpdate,openntpd jessie /mnt/ http://apt.h.ccmp.jp:3142/ftp.jp.debian.org/debian</span></span>
<span class="giallo-l"><span> mount -t proc none /mnt/proc/</span></span>
<span class="giallo-l"><span> mount -t devtmpfs none /mnt/dev/</span></span>
<span class="giallo-l"><span> mount -t sysfs none /mnt/sys/</span></span>
<span class="giallo-l"><span> rsync -av ~/.ssh/ /mnt/root/.ssh/</span></span>
<span class="giallo-l"><span> vi /mnt/etc/network/interfaces</span></span>
<span class="giallo-l"><span> vi /mnt/etc/fstab</span></span>
<span class="giallo-l"><span> echo "root:root" | chpasswd --root /mnt/</span></span>
<span class="giallo-l"><span> echo "Asia/Tokyo" > /mnt/etc/timezone</span></span>
<span class="giallo-l"><span> cp /mnt/usr/share/zoneinfo/Japan /mnt/etc/localtime</span></span>
<span class="giallo-l"><span> chroot /mnt/</span></span></code></pre>
<p>/etc/fstabの中身</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> /dev/sda1 / ext4 defaults 1 1</span></span>
<span class="giallo-l"><span> /dev/sda2 swap swap defaults 0 0</span></span></code></pre>
<p>/etc/network/interfacesの中身</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>auto lo</span></span>
<span class="giallo-l"><span>iface lo inet loopback</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>auto eth0</span></span>
<span class="giallo-l"><span>#iface eth0 inet dhcp</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>iface eth0 inet static</span></span>
<span class="giallo-l"><span> address 192.168.60.31</span></span>
<span class="giallo-l"><span> network 192.168.60.0</span></span>
<span class="giallo-l"><span> broadcast 192.168.63.255</span></span>
<span class="giallo-l"><span> netmask 255.255.252.0</span></span>
<span class="giallo-l"><span> gateway 192.168.60.1</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>source-directory /etc/network/interfaces.d/</span></span></code></pre>
<ol start="2">
<li>chroot後にイメージ内でやること</li>
</ol>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> apt-cache search linux-image</span></span>
<span class="giallo-l"><span> apt-get install linux-image-3.16.0-4-amd64 grub-pc</span></span>
<span class="giallo-l"><span> apt-get clean</span></span>
<span class="giallo-l"><span> grub-install /dev/sda</span></span>
<span class="giallo-l"><span> update-grub</span></span></code></pre>
<p>以上で、jessieのミニマム環境がインストールできます。
リブートしてちゃんと立ち上がればOKです。</p>
<p>そんなこんなで、立ち上がったOSの容量は。。。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> root@jessie64:~# df -h</span></span>
<span class="giallo-l"><span> Filesystem Size Used Avail Use% Mounted on</span></span>
<span class="giallo-l"><span> /dev/root 107G 585M 101G 1% /</span></span></code></pre>
<p>うーん、こんなもんかなー。</p>
pppoe接続のインターフェース名を変更する How to rename pppoe interface name.
2015-10-14T00:00:00+00:00
2015-10-14T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/pppoehow-to-rename-pppoe-interface-name.html/
<p>フレッツ回線などで、linuxルーターからpppoeセッションを張る場合、インターフェース名がppp0、ppp1などとなり、どのプロバイダへの接続なのか判別しづらく不便に感じることがあります。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> # ip add show dev ppp0</span></span>
<span class="giallo-l"><span> 8: ppp0: mtu 1454 qdisc pfifo_fast state UNKNOWN qlen 3</span></span>
<span class="giallo-l"><span> link/ppp</span></span>
<span class="giallo-l"><span> inet x.x.x.x peer x.x.x.x/32 scope global ppp0</span></span>
<span class="giallo-l"><span> valid_lft forever preferred_lft forever</span></span></code></pre>
<p>ここで、ppp0の部分を任意の名前、例えば接続先のプロバイダ名などにしておけば便利でしょう。Debian Wheezyの場合は次のようにしてやれば、そういうことが可能です。</p>
<p>/etc/network/interfaces</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> auto irevo</span></span>
<span class="giallo-l"><span> iface irevo inet ppp</span></span>
<span class="giallo-l"><span> provider irevo</span></span></code></pre>
<p>/etc/ppp/peers/irevo</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> noipdefault</span></span>
<span class="giallo-l"><span> hide-password</span></span>
<span class="giallo-l"><span> lcp-echo-interval 20</span></span>
<span class="giallo-l"><span> lcp-echo-failure 3</span></span>
<span class="giallo-l"><span> connect /bin/true</span></span>
<span class="giallo-l"><span> noauth</span></span>
<span class="giallo-l"><span> persist</span></span>
<span class="giallo-l"><span> mtu 1492</span></span>
<span class="giallo-l"><span> noaccomp</span></span>
<span class="giallo-l"><span> default-asyncmap</span></span>
<span class="giallo-l"><span> linkname "irevo"</span></span>
<span class="giallo-l"><span> plugin rp-pppoe.so eth0.10</span></span>
<span class="giallo-l"><span> user "xxxxx@i-revonet.jp"</span></span></code></pre>
<p>/etc/ppp/ip-up.d/02ifrename</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> #!/bin/bash</span></span>
<span class="giallo-l"><span> ifrename(){</span></span>
<span class="giallo-l"><span> if [ "$LINKNAME" != "" ]; then</span></span>
<span class="giallo-l"><span> ip link set $IFNAME down</span></span>
<span class="giallo-l"><span> ip link set $IFNAME name $LINKNAME</span></span>
<span class="giallo-l"><span> ip link set $LINKNAME up</span></span>
<span class="giallo-l"><span> else</span></span>
<span class="giallo-l"><span> exit</span></span>
<span class="giallo-l"><span> fi</span></span>
<span class="giallo-l"><span> }</span></span>
<span class="giallo-l"><span> if [ "$IFNAME" == "$(/sbin/ip route |grep default | cut -f 3 -d " ")" ]; then</span></span>
<span class="giallo-l"><span> ifrename</span></span>
<span class="giallo-l"><span> /sbin/ip route add default dev $LINKNAME</span></span>
<span class="giallo-l"><span> else</span></span>
<span class="giallo-l"><span> ifrename</span></span>
<span class="giallo-l"><span> fi</span></span></code></pre>
<p>試してみると確かにインターフェース名がirevoになっていることがわかりました。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> # ip add show dev irevo</span></span>
<span class="giallo-l"><span> 5: irevo: mtu 1454 qdisc pfifo_fast state UNKNOWN qlen 3</span></span>
<span class="giallo-l"><span> link/ppp</span></span>
<span class="giallo-l"><span> inet x.x.x.x peer x.x.x.x/32 scope global irevo</span></span>
<span class="giallo-l"><span> valid_lft forever preferred_lft forever</span></span></code></pre>
<p>Debian Jessie以降ではpppdに以下のページの修正が入っていて、上記の/etc/ppp/peers/irevoで「linkname "irevo"」とあるところを「ifname "irevo"」</p>
<p>などに変更することで、インターフェースの名前を任意に設定することができるそうです。</p>
<p><a rel="external" href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=458646">https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=458646</a></p>
<p>おそらく、こちらの方がpppdが知っている名前を変えずに済み問題が少いでしょう。</p>
<p>早く、ルーターのOSをDebian jessieにしようと思います。</p>
デスクトップパソコン新調
2015-10-03T00:00:00+00:00
2015-10-03T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2015/10/blog-post.html/
<p>みなさん、こんにちは。そろそろブログを書かなきゃなと思いつつ10ヶ月以上もブログ更新していないことに気づきました。もう何でもいいから書いてみようと思います(笑)</p>
<p>先日、会社で使っているデスクトップパソコンを新しくしました。パソコンのモデルは、Intelの<a rel="external" href="http://www.intel.co.jp/content/www/jp/ja/nuc/nuc-kit-dn2820fykh.html">NUC BOXDN2820FYKH0</a>というやつで、<a rel="external" href="http://ark.intel.com/ja/products/79052/Intel-Celeron-Processor-N2820-1M-Cache-up-to-2_39-GHz">Celeron N2820</a>というデュアルコアHTなCPUが乗っています。このCPUはTDPがわずか7.5Wととても低消費電力で、電気代が安く済むので、各拠点のルーターとしても重宝しています。今回はルータ用に買ったあまりをデスクトップ用に転用しました。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2015/10/blog-post.html/image/14438574284641.jpg" alt="" /></p>
<p>主なインターフェースは、HDMI、1G LAN(Realtek)、usb 2.0 x2 、usb 3.0 x 1などです。他にwifi/bluetooth用のチップも内蔵しています。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2015/10/blog-post.html/image/14438574196490.jpg" alt="" /></p>
<p>OSはもちろんLinux。今回はDebian jessieをインストールしました。</p>
<p>最近のLinuxはインストールするだけで、特に苦労もせずXや日本語入力環境が使えるので、非常に助かります。(Macイラねんじゃね?とはいえMacbook Air愛用しておりますが…)</p>
<p>備忘録 chrome音が出ない件。</p>
<p>以下のコマンドで見ると、HDA Intel PCHというデバイスが搭載されており、ALC283とHDMIの2つの出力デバイスがある。</p>
<blockquote>
<p>ktaka@jessie:~$ aplay -l</p>
<p>**** List of PLAYBACK Hardware Devices ****</p>
<p>card 0: PCH [HDA Intel PCH], device 0: ALC283 Analog [ALC283 Analog]</p>
<p> Subdevices: 1/1</p>
<p> Subdevice #0: subdevice #0</p>
<p>card 0: PCH [HDA Intel PCH], device 3: HDMI 0 [HDMI 0]</p>
<p> Subdevices: 1/1</p>
<p> Subdevice #0: subdevice #0</p>
</blockquote>
<p>次のコマンドで、音が出るかどうか試してみるとちゃんと出る。</p>
<blockquote>
<p>aplay -D plughw:0,3 /usr/share/sounds/alsa/Front_Center.wav </p>
</blockquote>
<p>次のファイルを書き換えXを再起動したところ、chromeでyoutubeなどの音声が聞こえるようになりました。</p>
<blockquote>
<p>/etc/asound.conf</p>
<p>pcm.!default { type hw; card 0 ; device 3; }</p>
<p>ctl.!default { type hw; card 0 ; device 3; }</p>
</blockquote>
<p>以上、オチもまとめもないんですけど、</p>
<p>最近のLinuxはデスクトップとしても簡単に使えるので、皆さん使ってみましょう!</p>
今日の逸品
2014-11-03T00:00:00+00:00
2014-11-03T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2014/11/blog-post.html/
<p>こんにちは。三連休の最終日、お天気は快晴で絶好の行楽日和となりましたね!</p>
<p>本当はどこかに出かけるか、外で思いっきりスポーツでもしたいところですが、某代理店さんからお借りしている最新の超高性能デバイスを本日中に返送しないといけないので、休日返上でブログを書きながらレポートしたいと思います(^^;)</p>
<p>まずは、写真をと。。。。じゃじゃーん!今日の逸品はこちらです!</p>
<img src="/2014/11/blog-post.html/image/IMG_20141028_000418_mini.jpg" width="320" height="180">
<p>IntelのPCI express typeのSSD DC P3700です。大きなヒートシンクに囲われていて、かっこいいですね!まあ、どんだけ熱くなるんだってお話もありますが。。。</p>
<img src="/2014/11/blog-post.html/image/IMG_20141028_000931_mini.jpg" width="320" height="180">
<p>裏面も、NANDチップがびっしりです。どんだけ大容量なんだ!</p>
<img src="/2014/11/blog-post.html/image/IMG_20141028_001036.jpg" width="320" height="180">
<p>どうやら1.6TBのようです!!</p>
<img src="/2014/11/blog-post.html/image/IMG_20141028_001253.jpg" width="320" height="180">
<p>こんな風に、サーバのPCIeスロットに装着します。ちょっと、見えづらいかも知れませんが、この1Uサイズのサーバは、PCIeスロットが二段になっていて、上段がP3700、下段がLSI RAIDカードとなっています。</p>
<p>インテル® Solid-State Drive DC P3700 シリーズのカタログスペックは、こんな感じです。</p>
<table><thead><tr><th>容量 </th><th>Sequencial Read/Write [MB/s]</th><th>4KB Random Read / Write [IOPS]</th><th>8KB Random Read / Write [IOPS]</th></tr></thead><tbody>
<tr><td>400 GB</td><td>2,700 / 1,080</td><td>450,000 / 75,000</td><td>275,000 / 32,000</td></tr>
<tr><td>800 GB</td><td>2,800 / 1,900</td><td>460,000 / 90,000</td><td>285,000 / 45,000</td></tr>
<tr><td>1.6 TB</td><td>2,800 / 1,900</td><td>450,000 / 150,000</td><td>290,000 / 75,000</td></tr>
<tr><td>2.0 TB</td><td>2,800 / 2,000</td><td>450,000 / 175,000</td><td>295,000 / 90,000</td></tr>
</tbody></table>
<p>( <a rel="external" href="http://www.intel.co.jp/content/www/jp/ja/solid-state-drives/intel-ssd-dc-family-for-pcie.html">http://www.intel.co.jp/content/www/jp/ja/solid-state-drives/intel-ssd-dc-family-for-pcie.html</a> こちらのページより抜粋 )</p>
<p>シーケンシャルのリード/ライトが2.8GB/s、1.9GB/s、4KBのランダムリード/ライトが45万IOPS、15万IOPS !!</p>
<p>一気に眠気が吹き飛びます!!</p>
<p>ちなみに、7200rpmのSATA HDDの場合は、ざっくりとシーケンシャル100MB、ランダム100IOPS程度ですので、どれだけ高性能かおわかりいただけるでしょう。</p>
<p>ライバルは、もしかしてこれ?</p>
<img src="/2014/11/blog-post.html/image/IMG_2038.JPG" width="320" height="240">
<p>使ってみたいですよね?それでは使ってみましょう。このカードは、PCIe SSDの新しい規格NVMe (<a rel="external" href="http://en.wikipedia.org/wiki/NVM_Express">http://en.wikipedia.org/wiki/NVM_Express</a>)に対応していますので、Linuxカーネルでnvmeドライバがロードされている必要があります。</p>
<p>バニラカーネルをコンパイルする際には、CONFIG_BLK_DEV_NVME=m などとなるようにします。</p>
<p>うまく認識されると、/dev/nvmexxxとして、見えるようになります。</p>
<blockquote>
<p>wheezy64:~# fdisk -l /dev/nvme0n1</p>
<p>Disk /dev/nvme0n1: 1600.3 GB, 1600321314816 bytes</p>
<p>64 heads, 32 sectors/track, 1526185 cylinders, total 3125627568 sectors</p>
<p>Units = sectors of 1 * 512 = 512 bytes</p>
<p>Sector size (logical/physical): 512 bytes / 512 bytes</p>
<p>I/O size (minimum/optimal): 512 bytes / 512 bytes</p>
<p>Disk identifier: 0xc55b79ff</p>
<p> Device Boot Start End Blocks Id System</p>
</blockquote>
<p>fdiskでパーティション作成します。</p>
<blockquote>
<p>wheezy64:~# fdisk /dev/nvme0n1</p>
<p>Command (m for help): n</p>
<p>Partition type:</p>
<p> p primary (0 primary, 0 extended, 4 free)</p>
<p> e extended</p>
<p>Select (default p): p</p>
<p>Partition number (1-4, default 1): 1</p>
<p>First sector (2048-3125627567, default 2048):</p>
<p>Using default value 2048</p>
<p>Last sector, +sectors or +size{K,M,G} (2048-3125627567, default 3125627567):</p>
<p>Using default value 3125627567</p>
<p>Command (m for help): p</p>
<p>Disk /dev/nvme0n1: 1600.3 GB, 1600321314816 bytes</p>
<p>64 heads, 32 sectors/track, 1526185 cylinders, total 3125627568 sectors</p>
<p>Units = sectors of 1 * 512 = 512 bytes</p>
<p>Sector size (logical/physical): 512 bytes / 512 bytes</p>
<p>I/O size (minimum/optimal): 512 bytes / 512 bytes</p>
<p>Disk identifier: 0xc55b79ff</p>
<p> Device Boot Start End Blocks Id System</p>
<p>/dev/nvme0n1p1 2048 3125627567 1562812760 83 Linux</p>
<p>Command (m for help): w</p>
<p>The partition table has been altered!</p>
<p>Calling ioctl() to re-read partition table.</p>
<p>Syncing disks.</p>
</blockquote>
<p>ファイルシステム作ります。</p>
<blockquote>
<p>wheezy64:~# time mkfs.ext4 /dev/nvme0n1p1</p>
<p>mke2fs 1.42.5 (29-Jul-2012)</p>
<p>Discarding device blocks: done </p>
<p>Filesystem label=</p>
<p>OS type: Linux</p>
<p>Block size=4096 (log=2)</p>
<p>Fragment size=4096 (log=2)</p>
<p>Stride=0 blocks, Stripe width=0 blocks</p>
<p>97681408 inodes, 390703190 blocks</p>
<p>19535159 blocks (5.00%) reserved for the super user</p>
<p>First data block=0</p>
<p>Maximum filesystem blocks=4294967296</p>
<p>11924 block groups</p>
<p>32768 blocks per group, 32768 fragments per group</p>
<p>8192 inodes per group</p>
<p>Superblock backups stored on blocks:</p>
<p> 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,</p>
<p> 4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,</p>
<p> 102400000, 214990848</p>
<p>Allocating group tables: done </p>
<p>Writing inode tables: done </p>
<p>Creating journal (32768 blocks): done</p>
<p>Writing superblocks and filesystem accounting information: done </p>
<p>real 0m13.304s</p>
<p>user 0m2.230s</p>
<p>sys 0m0.440s</p>
</blockquote>
<p>マウントします。</p>
<blockquote>
<p>wheezy64:~# mkdir /mnt/p3700</p>
<p>wheezy64:~# mount /dev/nvme0n1p1 /mnt/p3700/ </p>
</blockquote>
<blockquote>
<p>wheezy64:~# df -h</p>
<p>Filesystem Size Used Avail Use% Mounted on</p>
<p>rootfs 48G 510M 47G 2% /</p>
<p>tmpfs 48G 510M 47G 2% /</p>
<p>tmpfs 9.5G 228K 9.5G 1% /run</p>
<p>tmpfs 5.0M 0 5.0M 0% /run/lock</p>
<p>tmpfs 10M 0 10M 0% /dev</p>
<p>tmpfs 19G 0 19G 0% /run/shm</p>
<p>/dev/nvme0n1p1 1.5T 70M 1.4T 1% /mnt/p3700 </p>
</blockquote>
<p>とりあえず、100GB程度、読み書きしてみます。まずは、Write。</p>
<blockquote>
<p>wheezy64:~# time dd if=/dev/zero of=/mnt/p3700/hello bs=100M count=1000 oflag=direct</p>
<p>1000+0 records in</p>
<p>1000+0 records out</p>
<p>104857600000 bytes (105 GB) copied, 77.9616 s, <strong>1.3 GB/s</strong></p>
<p>real 1m17.964s</p>
<p>user 0m0.000s</p>
<p>sys 0m45.700s </p>
</blockquote>
<p>そして、Read。</p>
<blockquote>
<p>wheezy64:~# time dd of=/dev/null if=/mnt/p3700/hello bs=100M count=1000 iflag=direct</p>
<p>1000+0 records in</p>
<p>1000+0 records out</p>
<p>104857600000 bytes (105 GB) copied, 40.6814 s, <strong>2.6 GB/s</strong></p>
<p>real 0m40.684s</p>
<p>user 0m0.010s</p>
<p>sys 0m22.650s</p>
</blockquote>
<p>カタログスペックには若干届かないですけど、爆速です!!</p>
<p>大事なのでもう一度、<strong>爆速です!!</strong></p>
<p>ランダムIOを測ってみます。まずはrandomwrite。</p>
<blockquote>
<p>wheezy64:~# fio --filename=/mnt/p3700/hello --direct=1 --rw=randwrite --bs=4k --size=2G --numjobs=64 --runtime=180 --name=file1 --ioengine=aio --iodepth=512 --group_reporting</p>
<p>file1: (g=0): rw=randwrite, bs=4K-4K/4K-4K, ioengine=libaio, iodepth=512</p>
<p>...</p>
<p>file1: (g=0): rw=randwrite, bs=4K-4K/4K-4K, ioengine=libaio, iodepth=512</p>
<p>2.0.8</p>
<p>Starting 64 processes</p>
<p>Jobs: 1 (f=1): [_________________________________________________________<em><strong>w</strong></em>] [98.4% done] [0K/833.5M /s] [0 /213K iops] [eta 00m:03s]s]</p>
<p>file1: (groupid=0, jobs=64): err= 0: pid=20537</p>
<p> write: io=129218MB, bw=734950KB/s, iops=183737 , runt=180039msec</p>
<p> slat (usec): min=3 , max=2162.1K, avg=322.56, stdev=12338.02</p>
<p> clat (usec): min=12 , max=9825.2K, avg=166237.67, stdev=381829.66</p>
<p> lat (usec): min=20 , max=9825.2K, avg=166560.46, stdev=382293.33</p>
<p> clat percentiles (msec):</p>
<p> | 1.00th=[ 5], 5.00th=[ 6], 10.00th=[ 7], 20.00th=[ 8],</p>
<p> | 30.00th=[ 9], 40.00th=[ 11], 50.00th=[ 13], 60.00th=[ 22],</p>
<p> | 70.00th=[ 70], 80.00th=[ 208], 90.00th=[ 519], 95.00th=[ 898],</p>
<p> | 99.00th=[ 1844], 99.50th=[ 2343], 99.90th=[ 3458], 99.95th=[ 3884],</p>
<p> | 99.99th=[ 5211]</p>
<p> bw (KB/s) : min= 0, max=310600, per=1.82%, avg=13395.80, stdev=22803.92</p>
<p> lat (usec) : 20=0.01%, 50=0.01%, 100=0.01%, 250=0.01%, 500=0.01%</p>
<p> lat (usec) : 750=0.01%, 1000=0.01%</p>
<p> lat (msec) : 2=0.01%, 4=0.02%, 10=39.48%, 20=19.46%, 50=8.79%</p>
<p> lat (msec) : 100=4.69%, 250=9.58%, 500=7.63%, 750=3.74%, 1000=2.47%</p>
<p> lat (msec) : 2000=3.33%, >=2000=0.79%</p>
<p> cpu : usr=0.92%, sys=13.35%, ctx=29141732, majf=0, minf=3026598</p>
<p> IO depths : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0%</p>
<p> submit : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0%</p>
<p> complete : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.1%</p>
<p> issued : total=r=0/w=33079899/d=0, short=r=0/w=0/d=0</p>
<p>Run status group 0 (all jobs):</p>
<p> WRITE: io=129218MB, aggrb=734949KB/s, minb=734949KB/s, maxb=734949KB/s, mint=180039msec, maxt=180039msec</p>
<p>Disk stats (read/write):</p>
<p> nvme0n1: ios=0/33078988, merge=0/0, ticks=0/5930480, in_queue=5933370, util=99.60%</p>
</blockquote>
<p>そしてRandomRead。</p>
<blockquote>
<p>wheezy64:~# fio --filename=/mnt/p3700/hello --direct=1 --rw=randread --bs=4k --size=2G --numjobs=64 --runtime=180 --name=file1 --ioengine=aio --iodepth=512 --group_reporting</p>
<p>file1: (g=0): rw=randread, bs=4K-4K/4K-4K, ioengine=libaio, iodepth=512</p>
<p>...</p>
<p>file1: (g=0): rw=randread, bs=4K-4K/4K-4K, ioengine=libaio, iodepth=512</p>
<p>2.0.8</p>
<p>Starting 64 processes</p>
<p>Jobs: 12 (f=6): [r__r____r___r__r__________r_r_r_r________________________r_r_r__] [93.2% done] [1403M/0K /s] [359K/0 iops] [eta 00m:08s]]</p>
<p>file1: (groupid=0, jobs=64): err= 0: pid=21635</p>
<p> read : io=131072MB, bw=1194.3MB/s, iops=305724 , runt=109754msec</p>
<p> slat (usec): min=1 , max=104416 , avg=181.86, stdev=2273.95</p>
<p> clat (usec): min=88 , max=1698.4K, avg=94142.32, stdev=89737.06</p>
<p> lat (usec): min=102 , max=1698.5K, avg=94324.37, stdev=89854.71</p>
<p> clat percentiles (msec):</p>
<p> | 1.00th=[ 17], 5.00th=[ 27], 10.00th=[ 32], 20.00th=[ 37],</p>
<p> | 30.00th=[ 42], 40.00th=[ 57], 50.00th=[ 72], 60.00th=[ 85],</p>
<p> | 70.00th=[ 102], 80.00th=[ 131], 90.00th=[ 180], 95.00th=[ 241],</p>
<p> | 99.00th=[ 478], 99.50th=[ 594], 99.90th=[ 865], 99.95th=[ 979],</p>
<p> | 99.99th=[ 1270]</p>
<p> bw (KB/s) : min= 6, max=164272, per=1.77%, avg=21641.11, stdev=11545.90</p>
<p> lat (usec) : 100=0.01%, 250=0.01%, 500=0.01%, 750=0.01%, 1000=0.01%</p>
<p> lat (msec) : 2=0.01%, 4=0.03%, 10=0.40%, 20=1.29%, 50=34.99%</p>
<p> lat (msec) : 100=32.37%, 250=26.29%, 500=3.75%, 750=0.66%, 1000=0.15%</p>
<p> lat (msec) : 2000=0.05%</p>
<p> cpu : usr=1.34%, sys=37.50%, ctx=2798932, majf=0, minf=1003485</p>
<p> IO depths : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0%</p>
<p> submit : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0%</p>
<p> complete : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.1%</p>
<p> issued : total=r=33554432/w=0/d=0, short=r=0/w=0/d=0</p>
<p>Run status group 0 (all jobs):</p>
<p> READ: io=131072MB, aggrb=1194.3MB/s, minb=1194.3MB/s, maxb=1194.3MB/s, mint=109754msec, maxt=109754msec</p>
<p>Disk stats (read/write):</p>
<p> nvme0n1: ios=33536051/4, merge=0/0, ticks=4207010/0, in_queue=4260150, util=100.00%</p>
</blockquote>
<p>レポートから結果を抜粋してみると。 <strong>write 183,737iops、read 305,724iops</strong>とこれも**爆速****です!! ** </p>
<p>最後にざっくりとmysqlのベンチマークを実行してみます。</p>
<p>Intel SSD DC P3700の場合</p>
<p>MySQLバージョン: "5.5.38"</p>
<blockquote>
<p>root@kvm3:~# time mysqlslap --concurrency=50 --iterations=1 --auto-generate-sql --engine=innodb --auto-generate-sql-load-type=write --number-of-queries=5000000 --port=3306 --host=197.3.o -proot</p>
<p>Benchmark</p>
<p>Running for engine innodb</p>
<p>Average number of seconds to run all queries: 153.368 seconds</p>
<p>Minimum number of seconds to run all queries: 153.368 seconds</p>
<p>Maximum number of seconds to run all queries: 153.368 seconds</p>
<p>Number of clients running queries: 50</p>
<p>Average number of queries per client: 100000</p>
<p>real 2m33.485s</p>
<p>user 0m38.288s</p>
<p>sys 4m37.968s</p>
</blockquote>
<p>5,000,000クエリーを213.485秒で処理したので、約23,420クエリー/秒の処理性能でした。</p>
<p>ちなみに、AWSのRDSの場合は以下の通りでした。</p>
<p>インスタンスタイプ: db.t2.medium</p>
<p>MySQLバージョン: "5.6.17"</p>
<p>ストレージサイズ: 10GB</p>
<blockquote>
<p>root@aws2:~# time mysqlslap --concurrency=50 --iterations=1 --auto-generate-sql --engine=innodb --auto-generate-sql-load-type=write --number-of-queries=5000000 --port=3306 --host=test.hsjektsilal9.ap-northeast-1.rds.amazonaws.com -p -vv</p>
<p>Building Create Statements for Auto</p>
<p>Building Query Statements for Auto</p>
<p>Generating INSERT Statements for Auto</p>
<p>Parsing engines to use.</p>
<p>Starting Concurrency Test</p>
<p>Loading Pre-data</p>
<p>Generating primary key list</p>
<p>Generating stats</p>
<p>Benchmark</p>
<p> Running for engine innodb</p>
<p> Average number of seconds to run all queries: 1082.128 seconds</p>
<p> Minimum number of seconds to run all queries: 1082.128 seconds</p>
<p> Maximum number of seconds to run all queries: 1082.128 seconds</p>
<p> Number of clients running queries: 50</p>
<p> Average number of queries per client: 100000</p>
<p>real 18m2.874s</p>
<p>user 0m8.965s</p>
<p>sys 0m46.891s</p>
</blockquote>
<p>5,000,000クエリーを1082.128秒で処理したので、約4,620クエリー/秒の処理性能でした。</p>
<p>これも<strong>爆速</strong>といえるでしょう!!</p>
<p>MySQL用のストレージとして、Intel DC P3700いかがでしょうか?</p>
<p>現場からは以上です!</p>
今日のお仕事
2014-10-26T00:00:00+00:00
2014-10-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2014/10/blog-post.html/
<p>こんにちは。昨日、今日と暖かく過ごしやすい週末でしたね。</p>
<p>とはいえ、弊社では、サーバの納期が迫っていたため、休日返上で準備に追われていました。</p>
<p>今回のサーバはこんなやつです。</p>
<img src="/2014/10/blog-post.html/image/IMG_4850s.jpg" width="320" height="240">
<p>3Uのシャーシに3.5インチのHDDベイが16個並んでいて、一見ストレージサーバのように見えます。しかし、背面をのぞいてみると...</p>
<img src="/2014/10/blog-post.html/image/IMG_5021s.jpg" width="320" height="240">
<p>こんな、1ソケットのXeonサーバボードが....</p>
<img src="/2014/10/blog-post.html/image/IMG_4856s.jpg" width="320" height="240">
<p>こんな感じで、8ノード搭載されています!</p>
<img src="/2014/10/blog-post.html/image/IMG_4851s.jpg" width="320" height="240">
<p>IPMIも使えて、ssh経由のSMASH/CLPもなかなかグッドです。</p>
<p>WEBやキャッシュサーバなんかには、最適なんじゃないかと思います。</p>
<p>休日にも関わらず、出荷のお手伝いをしてくれたスタッフのMさん、ありがとう!</p>
出荷を待つサーバたち
2014-08-27T00:00:00+00:00
2014-08-27T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2014/08/blog-post.html/
<p>皆さんこんばんは。
今日は肌寒い一日でしたね。</p>
<p>季節の変り目には体調を崩しがちですので注意しましょうね。 </p>
<p>さて以下の写真は弊社で販売しているIntel IvyBridge Xeonプロセッサを2基搭載した、とっても高性能なサーバたちです。</p>
<img src="/2014/08/blog-post.html/image/1402285918006.jpg" width="320" height="180">
<p>メモリは、最大で512GB搭載可能で、最近は100GBを超えるものがよくご注文いただきます。LSIの高性能なRAIDカードが標準装備。8本のSSDと組み合わせることで、びっくりする位のIO性能をたたき出します。</p>
<p>オンラインゲームなどを支えるデータベースの高速化にぴったりです。 </p>
<p>お好みにより、10GBaseTのネットワークにも対応可能です。</p>
<p>商品紹介ページは<a rel="external" href="http://clustcom.com/products/345-2014-ivybridge-ep-xeon-dual-cpu-1u-e5-2600-v2">こちら</a></p>
<p>一家に一台。奥さんいかがですか!</p>
<p>追記、開腹写真もありましたので、貼っておきます。</p>
<img src="/2014/08/blog-post.html/image/DSC_0104.JPG" width="320" height="180">
Intel SSDの保証とsmart情報について
2014-08-11T00:00:00+00:00
2014-08-11T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2014/08/intel-ssd.html/
<p>こんにちは。暑い日が続きますね。</p>
<p>Intel SSDの保証期間について調べる機会がありましたので、 忘れないようにメモしておきます。</p>
<p>何のことはなくインテルの以下のページに、よくまとまってかかれています。</p>
<p><a rel="external" href="http://www.intel.com/jp/support/ssdc/hpssd/sb/CS-029645.htm">http://www.intel.com/jp/support/ssdc/hpssd/sb/CS-029645.htm</a></p>
<p>これによると、保証の条件は製品によって若干異なるようですが、大まかに言って、次の二つに大別されるようです。</p>
<ul>
<li>
<p>SSDのフラッシュメディアのWear out(摩耗)情報が取れるものに関しては、それが限度に達するか、5年または3年の保証。</p>
</li>
<li>
<p>上記に当てはまらないものは、5年または3年の保証。</p>
</li>
</ul>
<p>SSDには書き込み寿命がありますので、保証期間内であっても、メディアが寿命を越えてしまった場合には、保証の対象外となってしまう場合があるようです。</p>
<p>手元に、Intel 520 SSD 240GBと、DC S3500 120GBがありましたので、詳しく調べてみました。</p>
<h3 id="mazu-intel-520-ssd-240gbnochang-he">まず、Intel 520 SSD 240GBの場合。</h3>
<p>以下のページを見ると、520は、"E9 メディア消耗指数 (Media Wear-Out Indicator) が利用できない"らしく、上述の保証条件の2番に当てはまりそうです。</p>
<p><a rel="external" href="http://www.intel.com/jp/support/ssdc/hpssd/sb/cs-032511.htm">http://www.intel.com/jp/support/ssdc/hpssd/sb/cs-032511.htm</a></p>
<p>なるほど、"Media Wear-Out Indicator"は取得できないのですね…確かめてみましょう。</p>
<p>手元のIntel 520 SSD 240GBと言うのは、実は、LSIのMegaraid 9266-8iという、それはそれは高性能なRAIDカードの配下にぶら下がっています。</p>
<p>Megaraid配下のドライブの"Media Wear-Out Indicator"情報を取得するには、RAIDのユーティリティ(megacli, storcli等)でドライブIDを特定し、smartctlでsmart情報を取得すれば良いようです。</p>
<p>まず、storcliでDriveIDを取得します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0 /eall /sall show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Show Drive Information Succeeded.</span></span>
<span class="giallo-l"><span>Drive Information :</span></span>
<span class="giallo-l"><span>=================</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:0 8 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:1 46 UBad - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:2 48 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:3 9 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:4 37 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:5 11 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:6 47 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:7 12 JBOD - 232.375 GB SATA HDD N N 512B ST9250421AS U</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span></code></pre>
<p>この例では、{8,46,48,9,37,11,47,12}が各スロットにつながっているSSD/HDDのDriveIDとなります。</p>
<p>スロット0番のSSDのスマート情報を取得するには、例えば以下の様にすれば良いです。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># smartctl -d megaraid,8 /dev/sdb -A</span></span>
<span class="giallo-l"><span>smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.13.2-64kvmh01] (local build)</span></span>
<span class="giallo-l"><span>Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net</span></span>
<span class="giallo-l"><span>/dev/sdb [megaraid_disk_08] [SAT]: Device open changed type from 'megaraid' to 'sat'</span></span>
<span class="giallo-l"><span>=== START OF READ SMART DATA SECTION ===</span></span>
<span class="giallo-l"><span>SMART Attributes Data Structure revision number: 10</span></span>
<span class="giallo-l"><span>Vendor Specific SMART Attributes with Thresholds:</span></span>
<span class="giallo-l"><span>ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE</span></span>
<span class="giallo-l"><span> 5 Reallocated_Sector_Ct 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span> 9 Power_On_Hours 0x0032 000 000 000 Old_age Always - 257801117878698</span></span>
<span class="giallo-l"><span> 12 Power_Cycle_Count 0x0032 100 100 000 Old_age Always - 362</span></span>
<span class="giallo-l"><span>170 Unknown_Attribute 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>171 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>172 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>174 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 353</span></span>
<span class="giallo-l"><span>184 End-to-End_Error 0x0033 100 100 090 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>187 Reported_Uncorrect 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>192 Power-Off_Retract_Count 0x0032 100 100 000 Old_age Always - 353</span></span>
<span class="giallo-l"><span>225 Load_Cycle_Count 0x0032 100 100 000 Old_age Always - 1902970</span></span>
<span class="giallo-l"><span>226 Load-in_Time 0x0032 100 100 000 Old_age Always - 65535</span></span>
<span class="giallo-l"><span>227 Torq-amp_Count 0x0032 100 100 000 Old_age Always - 56</span></span>
<span class="giallo-l"><span>228 Power-off_Retract_Count 0x0032 100 100 000 Old_age Always - 65535</span></span>
<span class="giallo-l"><span>232 Available_Reservd_Space 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>233 Media_Wearout_Indicator 0x0032 097 097 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>241 Total_LBAs_Written 0x0032 100 100 000 Old_age Always - 1902970</span></span>
<span class="giallo-l"><span>242 Total_LBAs_Read 0x0032 100 100 000 Old_age Always - 2432048</span></span>
<span class="giallo-l"><span>249 Unknown_Attribute 0x0013 100 100 000 Pre-fail Always - 50803# smartctl -d megaraid,8 /dev/sdb -A</span></span>
<span class="giallo-l"><span>smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.13.2-64kvmh01] (local build)</span></span>
<span class="giallo-l"><span>Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net</span></span>
<span class="giallo-l"><span>/dev/sdb [megaraid_disk_08] [SAT]: Device open changed type from 'megaraid' to 'sat'</span></span>
<span class="giallo-l"><span>=== START OF READ SMART DATA SECTION ===</span></span>
<span class="giallo-l"><span>SMART Attributes Data Structure revision number: 10</span></span>
<span class="giallo-l"><span>Vendor Specific SMART Attributes with Thresholds:</span></span>
<span class="giallo-l"><span>ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE</span></span>
<span class="giallo-l"><span> 5 Reallocated_Sector_Ct 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span> 9 Power_On_Hours 0x0032 000 000 000 Old_age Always - 257801117878698</span></span>
<span class="giallo-l"><span> 12 Power_Cycle_Count 0x0032 100 100 000 Old_age Always - 362</span></span>
<span class="giallo-l"><span>170 Unknown_Attribute 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>171 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>172 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>174 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 353</span></span>
<span class="giallo-l"><span>184 End-to-End_Error 0x0033 100 100 090 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>187 Reported_Uncorrect 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>192 Power-Off_Retract_Count 0x0032 100 100 000 Old_age Always - 353</span></span>
<span class="giallo-l"><span>225 Load_Cycle_Count 0x0032 100 100 000 Old_age Always - 1902970</span></span>
<span class="giallo-l"><span>226 Load-in_Time 0x0032 100 100 000 Old_age Always - 65535</span></span>
<span class="giallo-l"><span>227 Torq-amp_Count 0x0032 100 100 000 Old_age Always - 56</span></span>
<span class="giallo-l"><span>228 Power-off_Retract_Count 0x0032 100 100 000 Old_age Always - 65535</span></span>
<span class="giallo-l"><span>232 Available_Reservd_Space 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>233 Media_Wearout_Indicator 0x0032 097 097 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>241 Total_LBAs_Written 0x0032 100 100 000 Old_age Always - 1902970</span></span>
<span class="giallo-l"><span>242 Total_LBAs_Read 0x0032 100 100 000 Old_age Always - 2432048</span></span>
<span class="giallo-l"><span>249 Unknown_Attribute 0x0013 100 100 000 Pre-fail Always - 50803</span></span></code></pre>
<p>上記のsmart情報で、16進数でE9、すなわち233番がMedia_Wearout_Indicatorとなっていることが分かります。上記の場合、現在の値が97で、ワースト値が97、しきい値が0ということになります。</p>
<p>よく分からないので調べてみると、どうやら、新品のSSDはMedia_Wearout_Indicatorの値が100で、使用するにつれてだんだん減っていき、1になるともうダメと言うことのようです。</p>
<blockquote>
<p>Media Wear-out Indicator は、正規化した (normalized) 値が 100 で (SSD が新規工場出荷時)、1 へと減少していきます。値が 1 になった時、それは消耗の限界に到達したことを意味し、データ消滅を防ぐためにその SSD を交換するか、バックアップを取ることが推奨されます。 </p>
</blockquote>
<blockquote>
<p><a rel="external" href="http://www.intel.com/jp/support/ssdc/hpssd/sb/CS-032510.htm">http://www.intel.com/jp/support/ssdc/hpssd/sb/CS-032510.htm</a></p>
</blockquote>
<p>しきい値0と言うのは、smartの世界では、障害予測に用いないということを意味する、特別な値を示しているようです。</p>
<blockquote>
<p><a rel="external" href="http://www.hdsentinel.com/smart/index.php">http://www.hdsentinel.com/smart/index.php</a><a rel="external" href="http://www.easis.com/smart-value-interpretation.html">http://www.easis.com/smart-value-interpretation.html</a> </p>
</blockquote>
<p>インテルの保証のページには、520シリーズのSSDは"Media Wear-out Indicatorが取得できない"種類のSSDに大別されていましたが、どうやら取得できてしまうようですσ(^_^;)</p>
<p>どうせ壊れるんなら、保証期間内かつMedia Wear-out Indicatorが1になる前に壊れてくれることを祈りましょう。。。</p>
<p>ちなみにデータシートによると、241のTotal_LBAs_WrittenのRawValueは総書き込み量を32MByteで割ったもの、同じく242のTotal_LBAs_ReadのRawValueは総読み出し量を32MByteで割ったものであるようです。</p>
<p>したがって、この場合の書き込み総量は、60,895,040Mbyte = 約61Tbyte、読み出し総量は、77,825,536Mbyte = 約78TByteとなります。</p>
<p>かなり書き込んでるにも関わらず、Media Wear-out Indicatorが3しか減っていないと言うのはうれしいですね。(この割合で行くと仮定すると、あと1PB位は余裕で書けちゃいそうですね。)</p>
<h3 id="ci-ni-dc-s3500-120gbnochang-he-desu">次に、DC S3500 120GBの場合です。</h3>
<p>以下のドキュメントによると、DC S3500シリーズのSSDは保証期間に加えて、Media Wear-out Indicatorも、保証の条件として考慮されるようです。</p>
<blockquote>
<p><a rel="external" href="http://download.intel.com/support/ssdc/hpssd/sb/DC_S3500_Warranty_r0_Japanese.pdf">http://download.intel.com/support/ssdc/hpssd/sb/DC_S3500_Warranty_r0_Japanese.pdf</a></p>
</blockquote>
<p>では、実際にMedia Wear-out Indicatorの値を確かめて見ましょう。</p>
<p>手元のDC 3500 120GBと言うのは、Adaptec 5805Zと言う、とっても高性能なRAIDコントローラーにぶら下がっています。</p>
<p>AdaptecのRAIDコントローラにぶら下がった、SSDやHDDのsmart情報を取得するには、次のようなコマンドを実行すれば良いはずです。</p>
<blockquote>
<h1 id="smartctl-d-sat-dev-sg3-i">smartctl -d sat /dev/sg3 -i</h1>
</blockquote>
<p>AdaptecのRAIDカードの場合、scsi genericドライバを読み込めば、/dev/sgXにデバイスファイルを作成してくれるので、それはそれは便利です。/dev/sgXのXの値が何になるかは、dmesgの出力を見て判別してもいいですが、/dev/sgXの数自体がそんなに多くなければ、順番にsmartctl -d sat /dev/sgX -iで調べていってもいいでしょう。</p>
<p>dmesgの出力例</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># dmesg |grep scsi</span></span>
<span class="giallo-l"><span>scsi0 : aacraid</span></span>
<span class="giallo-l"><span>scsi 0:0:0:0: Direct-Access Adaptec 1 V1.0 PQ: 0 ANSI: 2</span></span>
<span class="giallo-l"><span>scsi 0:0:1:0: Direct-Access Adaptec Device 1 V1.0 PQ: 0 ANSI: 2</span></span>
<span class="giallo-l"><span>scsi 0:1:0:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:1:0: Direct-Access INTEL SSDSC2CW24 400i PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:2:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:3:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:4:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:5:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:6:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:1:7:0: Direct-Access INTEL SSDSC2BB12 D201 PQ: 1 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:3:0:0: Enclosure ADAPTEC Virtual SGPIO 0 0001 PQ: 0 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 0:3:1:0: Enclosure ADAPTEC Virtual SGPIO 1 0001 PQ: 0 ANSI: 5</span></span>
<span class="giallo-l"><span>sd 0:0:0:0: Attached scsi generic sg0 type 0</span></span>
<span class="giallo-l"><span>sd 0:0:1:0: Attached scsi generic sg1 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:0:0: Attached scsi generic sg2 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:1:0: Attached scsi generic sg3 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:2:0: Attached scsi generic sg4 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:3:0: Attached scsi generic sg5 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:4:0: Attached scsi generic sg6 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:5:0: Attached scsi generic sg7 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:6:0: Attached scsi generic sg8 type 0</span></span>
<span class="giallo-l"><span>scsi 0:1:7:0: Attached scsi generic sg9 type 0</span></span>
<span class="giallo-l"><span>scsi 0:3:0:0: Attached scsi generic sg10 type 13</span></span>
<span class="giallo-l"><span>scsi 0:3:1:0: Attached scsi generic sg11 type 13</span></span>
<span class="giallo-l"><span>scsi1 : ata_piix</span></span>
<span class="giallo-l"><span>scsi2 : ata_piix</span></span>
<span class="giallo-l"><span>scsi3 : ata_piix</span></span>
<span class="giallo-l"><span>scsi4 : ata_piix</span></span>
<span class="giallo-l"><span>scsi 2:0:1:0: CD-ROM TEAC DV-28S-V 1.0B PQ: 0 ANSI: 5</span></span>
<span class="giallo-l"><span>scsi 2:0:1:0: Attached scsi generic sg12 type 5</span></span></code></pre>
<p>/dev/sg2で試して見ます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># smartctl -d sat /dev/sg2 -i</span></span>
<span class="giallo-l"><span>smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.14.4-64kvmh01] (local build)</span></span>
<span class="giallo-l"><span>Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net</span></span>
<span class="giallo-l"><span>=== START OF INFORMATION SECTION ===</span></span>
<span class="giallo-l"><span>Device Model: INTEL SSDSC2BB120G4</span></span>
<span class="giallo-l"><span>Serial Number: BTWL40150AQK120LGN</span></span>
<span class="giallo-l"><span>LU WWN Device Id: 5 5cd2e4 04b5637db</span></span>
<span class="giallo-l"><span>Firmware Version: D2010370</span></span>
<span class="giallo-l"><span>User Capacity: 120,034,123,776 bytes [120 GB]</span></span>
<span class="giallo-l"><span>Sector Sizes: 512 bytes logical, 4096 bytes physical</span></span>
<span class="giallo-l"><span>Device is: Not in smartctl database [for details use: -P showall]</span></span>
<span class="giallo-l"><span>ATA Version is: 8</span></span>
<span class="giallo-l"><span>ATA Standard is: ACS-2 revision 3</span></span>
<span class="giallo-l"><span>Local Time is: Mon Aug 11 13:57:01 2014 JST</span></span>
<span class="giallo-l"><span>SMART support is: Available - device has SMART capability.</span></span>
<span class="giallo-l"><span>SMART support is: Enabled</span></span></code></pre>
<p>Media Wear-out Indicatorの値は以下のように取得できます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># smartctl -d sat /dev/sg2 -A</span></span>
<span class="giallo-l"><span>smartctl 5.41 2011-06-09 r3365 [x86_64-linux-3.14.4-64kvmh01] (local build)</span></span>
<span class="giallo-l"><span>Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net</span></span>
<span class="giallo-l"><span>=== START OF READ SMART DATA SECTION ===</span></span>
<span class="giallo-l"><span>SMART Attributes Data Structure revision number: 1</span></span>
<span class="giallo-l"><span>Vendor Specific SMART Attributes with Thresholds:</span></span>
<span class="giallo-l"><span>ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE</span></span>
<span class="giallo-l"><span> 5 Reallocated_Sector_Ct 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span> 9 Power_On_Hours 0x0032 100 100 000 Old_age Always - 798</span></span>
<span class="giallo-l"><span> 12 Power_Cycle_Count 0x0032 100 100 000 Old_age Always - 14</span></span>
<span class="giallo-l"><span>170 Unknown_Attribute 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>171 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>172 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>174 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 9</span></span>
<span class="giallo-l"><span>175 Program_Fail_Count_Chip 0x0033 100 100 010 Pre-fail Always - 17188520638</span></span>
<span class="giallo-l"><span>183 Runtime_Bad_Block 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>184 End-to-End_Error 0x0033 100 100 090 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>187 Reported_Uncorrect 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>190 Airflow_Temperature_Cel 0x0022 074 074 000 Old_age Always - 26 (Min/Max 23/27)</span></span>
<span class="giallo-l"><span>192 Power-Off_Retract_Count 0x0032 100 100 000 Old_age Always - 9</span></span>
<span class="giallo-l"><span>194 Temperature_Celsius 0x0022 100 100 000 Old_age Always - 33</span></span>
<span class="giallo-l"><span>197 Current_Pending_Sector 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>199 UDMA_CRC_Error_Count 0x003e 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>225 Load_Cycle_Count 0x0032 100 100 000 Old_age Always - 6850</span></span>
<span class="giallo-l"><span>226 Load-in_Time 0x0032 100 100 000 Old_age Always - 30</span></span>
<span class="giallo-l"><span>227 Torq-amp_Count 0x0032 100 100 000 Old_age Always - 76</span></span>
<span class="giallo-l"><span>228 Power-off_Retract_Count 0x0032 100 100 000 Old_age Always - 47910</span></span>
<span class="giallo-l"><span>232 Available_Reservd_Space 0x0033 100 100 010 Pre-fail Always - 0</span></span>
<span class="giallo-l"><span>233 Media_Wearout_Indicator 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>234 Unknown_Attribute 0x0032 100 100 000 Old_age Always - 0</span></span>
<span class="giallo-l"><span>241 Total_LBAs_Written 0x0032 100 100 000 Old_age Always - 6850</span></span>
<span class="giallo-l"><span>242 Total_LBAs_Read 0x0032 100 100 000 Old_age Always - 21958</span></span></code></pre>
<p>Media_Wearout_Indicatorの値は100です。つまり、新品同様です。</p>
<p>Total_LBAs_WrittenやTotal_LBAs_Readで見ても、それぞれ、219,200Mbyte、702,656Mbyte相当となりますので、まだまだたくさん使えそうです。</p>
<h3 id="matome">まとめ</h3>
<p>Intel SSDの保証とsmart情報について調べて見ました。保証の条件は製品により異なりますが、Media Wearout Indicatorの値が取得できるとされる製品とそうでないものに大別され、前者の場合、Media Wearout Indicatorが1になってしまうと、保証交換が受けられないと考えられます。Media Wearout Indicatorはsmartctlコマンドで取得できます。手元にあったIntel 520とDC S3500は両方とも値が取得できました。SMART情報には、他にもTotal LBA WrittenなどSSDの使用状況を確認するのにちょうど良い値が記録されているので、いろいろ調べてみると良いでしょう。</p>
Lineのインフラセミナーに参加してきました。
2014-04-16T00:00:00+00:00
2014-04-16T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2014/04/line.html/
<p>昨日、LINE Developer Conference(テーマ:インフラ)に参加してきましたので、備忘録的にメモ。</p>
<ol>
<li>Systemのお話し(講演の途中から参加)</li>
</ol>
<ul>
<li>年末年始の障害、redisのレスポンスが悪化し、コネクションバースト。redisの処理とNIC割り込みを同じコアで処理していた。/proc/interruptをwatchして発見し、tasksetで解決。</li>
</ul>
<ol start="2">
<li>データベースのお話し</li>
</ol>
<ul>
<li>
<p>Lineツムツムのデータベースのお話し。multimasterのmysql replication。PerconaのMMM Managerを使用。write VIPとread VIPをMMMが管理。Failover時にVIPを移動。</p>
</li>
<li>
<p>Shardの自動追加。すべてのUIDに対しハッシュ関数を通しグループIDを発行。グループIDに対しshardを割り当てる。</p>
</li>
<li>
<p>MMMはカスタマイズして使っている。主に障害判断の部分。</p>
</li>
<li>
<p>shardの追加時には、移動するグループに対しselect/insert(update?)を複数回に分けて実行する。更新時刻でソートして実行しているので、マイグレーション中に更新されたデータも、もれなく移動することができる。</p>
</li>
</ul>
<p>3.ネットワークのお話し</p>
<ul>
<li>
<p>内部ネットワーク。Core-Pod-Edgeの3階層。unknown unicast flooding により、ギガビット大半の帯域を消費していた。Pod当たり数千台のサーバ。L2セグメントはPod単位だったのを、L2セグメントをEdge単位にした。</p>
</li>
<li>
<p>ロードバランサL3DSR採用。L2セグメントを小さくしたので必要になった。DSCP方式。Tosフィールドのdscp=1などを設定し、それに応じてソースアドレスをリアルサーバで付け替える。</p>
</li>
<li>
<p>ラックは24kVA 51U。スイッチは背面設置。サーバの排熱を避けるためにスイッチ3台を囲えるダクトを作成。</p>
</li>
<li>
<p>海外拠点はアメリカ、アジア3ヶ所、ヨーロッパ。リングトポロジー。専用線を節約し、冗長性を確保。MPLSでPseudo Wire。出来るだけルーティングに関与せずに、拠点間接続。</p>
</li>
<li>
<p>サーバ間接続とユーザーエッジへの接続を、別々のネットワークにした。ユーザーがどの拠点に接続するか、登録時のユーザー情報をもとにスタティックにマッピング。クライアント側で実装。</p>
</li>
<li>
<p>TCPコネクションはりっぱなし。ロードバランサのセッション、コネクションテーブルサイズがボトルネックになっていた。→ Stateless SLB ハッシュテーブルに基づいて、リクエストを分散。ソースIPをキーにハッシュ値計算すればいい。サーバが落ちるとハッシュ再計算。</p>
</li>
<li>
<p>ハッシュの再計算を部分的に行うタイプの機器で、Stateless SLBを実現。今年一月から。</p>
</li>
<li>
<p>箱物のロードバランサを使っているらしい。LVSとかじゃダメなのかな?</p>
</li>
</ul>
<img src="/2014/04/line.html/image/BlQaY7lCYAAI7Fj.jpg" width="320" height="180">
<p>お土産までいただきました。ありがとうございます!</p>
1CPU、Xeonサーバ紹介
2013-11-18T00:00:00+00:00
2013-11-18T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/11/1cpuxeon.html/
<p>少し前に、お客さんに納品したサーバですが、写真を撮ってあったので紹介たいと思います。 このサーバは、シングルソケットにXeon E3-1200シリーズCPUを搭載することができ、大変高速です。また、前面に2.5インチホットスワップベイを4つ搭載しているので、2.5インチのSSDを搭載することが可能で、運用も楽ちんです。</p>
<p>高速なWEBサーバ等に最適で、弊社のおすすめサーバの一つです。</p>
<img src="/2013/11/1cpuxeon.html/image/1cpu_xeon201311.jpg" width="320" height="189">
<p>スペックは、以下の通りです。</p>
<ul>
<li>
<p>CPU: Intel Xeon E3-1270v2(IvyBridge) 3.5GHz 4core </p>
</li>
<li>
<p>メモリ: DDR3 ECC, 4GByte x4 (合計16GByte)</p>
</li>
<li>
<p>ストレージ: Intel 530 SSD x2</p>
</li>
</ul>
<p>メモリスロットは4つあり、8Gbyteのメモリモジュールを用いることで、最大32GByteの構成が可能です。</p>
<img src="/2013/11/1cpuxeon.html/image/IMG_2831.jpg" width="320" height="240">
<p>シャーシの全面には、4つの2.5インチホットスワップベイがあり、2.5インチのSATA SSDを搭載可能です。そのおかげで、万が一SSDが故障した際にもサーバをラックから取り外すことなく、壊れたSSDを交換可能です。また、ソフトウェアRAIDを利用することにより、場合によっては、OSを停止することなく、SSDを交換してしまうことも可能です。</p>
<img src="/2013/11/1cpuxeon.html/image/IMG_4245.jpg" width="320" height="162">
<p>最近、このサーバの後継品も販売開始しました。</p>
<p><a rel="external" href="http://www.clustcom.com/products/220-intel-ssd-haswell-xeon-cpu-ez1u-e3-1200-v3">http://www.clustcom.com/products/220-intel-ssd-haswell-xeon-cpu-ez1u-e3-1200-v3</a></p>
<p>コストパフォーマンスの高いシンプルなサーバです。御社で導入してみてはいかがでしょうか。</p>
sshuttle最強すぎる
2013-07-31T00:00:00+00:00
2013-07-31T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/07/sshuttle.html/
<p>先日知った簡易vpn、sshuttleが強力過ぎる。</p>
<p>外出先から社内のWindowsサーバにリモートデスクトップ接続したいのだが、</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># sshuttle --dns -r ktaka@fumidai.clustcom.com:22 192.168.20.0/22</span></span>
<span class="giallo-l"><span>Connected.</span></span>
<span class="giallo-l"><span>ktaka@vaiox:~$ rdesktop -r sound:local -f winserver.intra.clustcom.com</span></span></code></pre>
<p>たったこれだけでOK。</p>
ノートパソコン(Debian Linux)からdocomo wifiへの接続法(メモ)
2013-07-25T00:00:00+00:00
2013-07-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/07/debian-linuxdocomo-wifi.html/
<p>パソコンからドコモwifiに繋ぐための設定。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>vaiox:~# cat /etc/wpa_supplicant.conf_docomo_wifi</span></span>
<span class="giallo-l"><span>ctrl_interface=/var/run/wpa_supplicant</span></span>
<span class="giallo-l"><span>network={</span></span>
<span class="giallo-l"><span> ssid="docomo"</span></span>
<span class="giallo-l"><span> scan_ssid=1</span></span>
<span class="giallo-l"><span> key_mgmt=IEEE8021X</span></span>
<span class="giallo-l"><span> eap=TTLS</span></span>
<span class="giallo-l"><span> identity="xxxxx-spmode@docomo"</span></span>
<span class="giallo-l"><span> password="xxxxxx"</span></span>
<span class="giallo-l"><span> ca_cert="/etc/PCA-3.pem"</span></span>
<span class="giallo-l"><span> phase2="auth=PAP"</span></span>
<span class="giallo-l"><span>}</span></span></code></pre>
<p>無線LANチップのドライバーをロードし、wpa_supplicantをデーモンとして起動、dhcpでアドレスを取得すればOK。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>modprobe ath9k</span></span>
<span class="giallo-l"><span>wpa_supplicant -Dwext -iwlan0 -c /etc/wpa_supplicant.conf_docomo_wifi -B</span></span>
<span class="giallo-l"><span>dhclient wlan0</span></span></code></pre>
sshuttle vpnでサーバのリモート管理を便利に
2013-07-25T00:00:00+00:00
2013-07-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/07/sshuttle-vpn.html/
<p>データセンタに置かれたサーバに外部からネットワーク経由でアクセスし、電源のON/OFFやBIOS設定、OSインストールなどを行うことができれば、非常に便利です。</p>
<p>最近のサーバには、ネットワーク経由で電源をON/OFFしたり、コーンソール画面を操作するための、IPMI準拠のリモートマネージメント機能が備わっていることが多いので、既に利用されている方も多いと思います。</p>
<p>通常、サーバは、ファイアウォールによりネットワーク的に守られた場所にあるので、踏み台サーバにsshログインして、そこからアクセスしている場合も多いでしょう。</p>
<p>このような場合、リモートマネージメント機能を使うには、オフィスからデータセンタにvpnを張れると便利なのですが、vpnを張るのもなかなか面倒です。</p>
<p>今回、sshuttle(<a rel="external" href="https://github.com/apenwarr/sshuttle">https://github.com/apenwarr/sshuttle</a>)という、sshポートのみの開放でOKな、簡易vpnツールを見つけたので紹介したいと思います。</p>
<p>sshuttleはLinuxとMacOSで利用可能な、簡易vpnです。踏み台サーバにはssh経由でアクセスするので、SSHのDynamic Port forwardingによるSOCKS proxyにプラスアルファしたような働きをします。</p>
<p>プラスアルファの部分は何かというと、あるIPアドレス、あるネットワークアドレスに対しては、クライアントプログラムでは何の設定も無しに透過的にproxyを使うことができるということです。</p>
<p>たとえば、以下のポンチ絵の様に、client、proxy、targetの3台のマシンがあったとします。</p>
<blockquote>
<p> |</p>
<p> | sshd:22</p>
<p> client proxy target(192.168.20.153)
|
|</p>
</blockquote>
<p>ここで、clientとproxyの間にはファイアウォールがあり、proxyへは22番ポートへのアクセスしか許可されていません。したがって、当然ながらclientからtargetへも直接アクセスできません。</p>
<p>踏み台サーバproxy:22へのsshコネクションを経由してtargetへアクセスできるようにするには次のコマンドのみでOKです。</p>
<blockquote>
<p>vaiox:~# sshuttle -r ktaka@proxy:22 192.168.20.153</p>
<p>Connected.</p>
</blockquote>
<p>これだけで、以下のようにclientとporxy間にトンネルが張られます。</p>
<blockquote>
<p> |</p>
<p> sshuttlesshd:22
client proxy target(192.168.20.153)
|
|</p>
</blockquote>
<p>トンネルを張った後に、clientからtargetに http, https, vncなどでアクセスしようとすると、</p>
<p>sshuttlesshd:22のトンネルを通り、targetにアクセスできるようになります。</p>
<blockquote>
<p> | http, https</p>
<p> sshuttlesshd:22 ------------------->
client proxy target(192.168.20.153)
|
|</p>
</blockquote>
<p>クライアントマシンで、どうなっているかを見てみると。</p>
<ul>
<li>192.168.20.153宛のパケットはTTL=42以外であれば、全て12300番ポートにリダイレクトしています</li>
</ul>
<blockquote>
<p>vaiox:~# iptables -L -n -t nat</p>
<p>Chain PREROUTING (policy ACCEPT)</p>
<p>target prot opt source destination </p>
<p>sshuttle-12300 all -- 0.0.0.0/0 0.0.0.0/0 </p>
<p>Chain INPUT (policy ACCEPT)</p>
<p>target prot opt source destination </p>
<p>Chain OUTPUT (policy ACCEPT)</p>
<p>target prot opt source destination </p>
<p>sshuttle-12300 all -- 0.0.0.0/0 0.0.0.0/0 </p>
<p>Chain POSTROUTING (policy ACCEPT)</p>
<p>target prot opt source destination </p>
<p>Chain sshuttle-12300 (2 references)</p>
<p>target prot opt source destination </p>
<p>REDIRECT tcp -- 0.0.0.0/0 192.168.20.153 TTL match TTL != 42 redir ports 12300</p>
<p>RETURN tcp -- 0.0.0.0/0 127.0.0.0/8 </p>
</blockquote>
<ul>
<li>12300番ポートでは、pyhtonプログラム(sshuttle)が待ち受けています。</li>
</ul>
<blockquote>
<p>vaiox:~# netstat -lnp|grep 12300</p>
<p>tcp 0 0 127.0.0.1:12300 0.0.0.0:* LISTEN 5059/python </p>
</blockquote>
<p>これにより192.168.20.153宛のパケットは、ほぼ(TTL=42を除き) sshuttleが張ったコネクションを通るということになるのです。</p>
出荷を待つファイルサーバー
2013-07-03T00:00:00+00:00
2013-07-03T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/07/blog-post_3.html/
<p>某お客様向けのファイルサーバーです。フロントに2.5インチのホットスワップHDDベイを8個備えています。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2828.JPG" width="320" height="240">
<p>今回はSeagateの1TByte SATAドライブを8本搭載します。合計8TByteの構成です。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2830.JPG" width="320" height="240">
<p>HDDはバックプレーンからminiSASケーブルを介してLSIのRAIDカードMegaRAID SAS 9271-8iに接続されています。このカードにはキャッシュ保護のためにCacheVaultというモジュールが取り付けられています。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2832.JPG" width="320" height="240">
<p>CPUはXeon E3-1270v2、メモリは8GByte x4 合計32GByteと、なかなかハイスペックな構成です。8本のHDDドライブをSSDに交換すれば、そこそこ高速なDBサーバとしても使えそうです。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2831.JPG" width="320" height="240">
<p>12,000回転のカウンターローテイティングファンを5個でシステムを冷却。CPUもメモリもRAIDカードも十分に冷却できます。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2833.JPG" width="320" height="240">
<p>電源は500Wの電源モジュール2個で冗長化されています。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2835.JPG" width="320" height="240">
<p>IOインターフェースは、PS/2 マウス、キーボード、IPMI専用LANポート、USBx2、シリアルポート、VGAポート、GLANポートx2となっています。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2836.JPG" width="320" height="240">
<p>筐体内部のほぼ全体写真です。配線もまあまあ、スッキリしています。</p>
<img src="/2013/07/blog-post_3.html/image/IMG_2834.JPG" width="320" height="240">
<p>以上です。</p>
<p>こんなサーバが欲しいというご要望がありましたら、是非ともご相談ください。</p>
kvmによる仮想マシン"-cpu host"オプションで性能向上する場合がある
2013-05-22T00:00:00+00:00
2013-05-22T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/05/kvm-cpu.html/
<p>kvmのゲストマシンのチューニングをするために、以下のページを眺めていたら、</p>
<p><a rel="external" href="http://www.linux-kvm.org/page/Tuning_KVM">http://www.linux-kvm.org/page/Tuning_KVM</a></p>
<p>こんな、記述を発見しました。</p>
<blockquote>
<p>Modern processors come with a wide variety of performance enhancing features such as streaming instructions sets (sse) and other performance-enhancing instructions. These features vary from processor to processor. </p>
</blockquote>
<blockquote>
<p>QEMU and KVM default to a compatible subset of cpu features, so that if you change your host processor, or perform a live migration, the guest will see its cpu features unchanged. This is great for compatibility but comes at a performance cost. </p>
</blockquote>
<blockquote>
<p>To pass all available host processor features to the guest, use the command line switch</p>
<p> qemu -cpu host</p>
</blockquote>
<p>なるほど-cpu hostをつければ、CPUの高速演算機能が使えて、性能が向上するかもしれないのか…</p>
<p>ということで試してみました。</p>
<p>"-cpu host"が無いゲストマシン</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># egrep model /proc/cpuinfo</span></span>
<span class="giallo-l"><span>model : 2</span></span>
<span class="giallo-l"><span>model name : QEMU Virtual CPU version 1.4.1</span></span>
<span class="giallo-l"><span>model : 2</span></span>
<span class="giallo-l"><span>model name : QEMU Virtual CPU version 1.4.1</span></span>
<span class="giallo-l"><span># egrep flags /proc/cpuinfo</span></span>
<span class="giallo-l"><span>flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pse36 clflush mmx fxsr sse sse2 syscall nx lm rep_good nopl pni cx16 popcnt hypervisor lahf_lm</span></span>
<span class="giallo-l"><span>flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pse36 clflush mmx fxsr sse sse2 syscall nx lm rep_good nopl pni cx16 popcnt hypervisor lahf_lm</span></span></code></pre>
<p>"-cpu host"があるゲストマシン</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># egrep model /proc/cpuinfo</span></span>
<span class="giallo-l"><span>model : 45</span></span>
<span class="giallo-l"><span>model name : Intel(R) Xeon(R) CPU E5-2650 0 @ 2.00GHz</span></span>
<span class="giallo-l"><span>model : 45</span></span>
<span class="giallo-l"><span>model name : Intel(R) Xeon(R) CPU E5-2650 0 @ 2.00GHz</span></span>
<span class="giallo-l"><span># egrep flags /proc/cpuinfo</span></span>
<span class="giallo-l"><span>flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx hypervisor lahf_lm xsaveopt tsc_adjust</span></span>
<span class="giallo-l"><span>flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx hypervisor lahf_lm xsaveopt tsc_adjust</span></span></code></pre>
<p>CPUの認識のされ方、見えてるflagの数が違います。</p>
<p>実際にlinpackベンチマークを採ってみました。</p>
<p>"-cpu host"が無いゲストマシン 13.0GFlops</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># cat lin_xeon64.txt</span></span>
<span class="giallo-l"><span>Thu May 23 18:59:36 JST 2013</span></span>
<span class="giallo-l"><span>Intel(R) Optimized LINPACK Benchmark data</span></span>
<span class="giallo-l"><span>Current date/time: Thu May 23 18:59:36 2013</span></span>
<span class="giallo-l"><span>CPU frequency: 1.991 GHz</span></span>
<span class="giallo-l"><span>Number of CPUs: 2</span></span>
<span class="giallo-l"><span>Number of cores: 2</span></span>
<span class="giallo-l"><span>Number of threads: 2</span></span>
<span class="giallo-l"><span>Parameters are set to:</span></span>
<span class="giallo-l"><span>Number of tests: 15</span></span>
<span class="giallo-l"><span>Number of equations to solve (problem size) : 1000 2000 5000 10000 15000 18000 20000 22000 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Leading dimension of array : 1000 2000 5008 10000 15000 18008 20016 22008 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Number of trials to run : 4 2 2 2 2 2 2 2 2 2 1 1 1 1 1</span></span>
<span class="giallo-l"><span>Data alignment value (in Kbytes) : 4 4 4 4 4 4 4 4 4 4 4 1 1 1 1</span></span>
<span class="giallo-l"><span>Maximum memory requested that can be used=3873852256, at the size=22000</span></span>
<span class="giallo-l"><span>=================== Timing linear equation system solver ===================</span></span>
<span class="giallo-l"><span>Size LDA Align. Time(s) GFlops Residual Residual(norm) Check</span></span>
<span class="giallo-l"><span>1000 1000 4 0.073 9.1585 1.125766e-12 3.839152e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.058 11.5232 1.125766e-12 3.839152e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.058 11.5443 1.125766e-12 3.839152e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.059 11.2817 1.125766e-12 3.839152e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.440 12.1283 4.992673e-12 4.343014e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.440 12.1421 4.992673e-12 4.343014e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 6.610 12.6155 2.427966e-11 3.385603e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 6.605 12.6248 2.427966e-11 3.385603e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 51.994 12.8258 8.998519e-11 3.172969e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 51.965 12.8330 8.998519e-11 3.172969e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 174.335 12.9087 2.187028e-10 3.444605e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 173.510 12.9702 2.187028e-10 3.444605e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 298.936 13.0083 2.887995e-10 3.162709e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 298.826 13.0131 2.887995e-10 3.162709e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 409.500 13.0260 3.701985e-10 3.277068e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 408.885 13.0456 3.701985e-10 3.277068e-02 pass</span></span>
<span class="giallo-l"><span>22000 22008 4 544.380 13.0417 4.627267e-10 3.389291e-02 pass</span></span>
<span class="giallo-l"><span>22000 22008 4 544.508 13.0386 4.627267e-10 3.389291e-02 pass</span></span>
<span class="giallo-l"><span>Performance Summary (GFlops)</span></span>
<span class="giallo-l"><span>Size LDA Align. Average Maximal</span></span>
<span class="giallo-l"><span>1000 1000 4 10.8769 11.5443</span></span>
<span class="giallo-l"><span>2000 2000 4 12.1352 12.1421</span></span>
<span class="giallo-l"><span>5000 5008 4 12.6201 12.6248</span></span>
<span class="giallo-l"><span>10000 10000 4 12.8294 12.8330</span></span>
<span class="giallo-l"><span>15000 15000 4 12.9395 12.9702</span></span>
<span class="giallo-l"><span>18000 18008 4 13.0107 13.0131</span></span>
<span class="giallo-l"><span>20000 20016 4 13.0358 13.0456</span></span>
<span class="giallo-l"><span>22000 22008 4 13.0402 13.0417</span></span>
<span class="giallo-l"><span>Residual checks PASSED</span></span>
<span class="giallo-l"><span>End of tests</span></span>
<span class="giallo-l"><span>Done: Thu May 23 19:53:14 JST 2013</span></span></code></pre>
<p>"-cpu host"があるゲストマシン 28.1GFlops</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># cat lin_xeon64.txt</span></span>
<span class="giallo-l"><span>Thu May 23 18:58:46 JST 2013</span></span>
<span class="giallo-l"><span>Intel(R) Optimized LINPACK Benchmark data</span></span>
<span class="giallo-l"><span>Current date/time: Thu May 23 18:58:46 2013</span></span>
<span class="giallo-l"><span>CPU frequency: 1.991 GHz</span></span>
<span class="giallo-l"><span>Number of CPUs: 2</span></span>
<span class="giallo-l"><span>Number of cores: 2</span></span>
<span class="giallo-l"><span>Number of threads: 2</span></span>
<span class="giallo-l"><span>Parameters are set to:</span></span>
<span class="giallo-l"><span>Number of tests: 15</span></span>
<span class="giallo-l"><span>Number of equations to solve (problem size) : 1000 2000 5000 10000 15000 18000 20000 22000 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Leading dimension of array : 1000 2000 5008 10000 15000 18008 20016 22008 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Number of trials to run : 4 2 2 2 2 2 2 2 2 2 1 1 1 1 1</span></span>
<span class="giallo-l"><span>Data alignment value (in Kbytes) : 4 4 4 4 4 4 4 4 4 4 4 1 1 1 1</span></span>
<span class="giallo-l"><span>Maximum memory requested that can be used=3873852256, at the size=22000</span></span>
<span class="giallo-l"><span>=================== Timing linear equation system solver ===================</span></span>
<span class="giallo-l"><span>Size LDA Align. Time(s) GFlops Residual Residual(norm) Check</span></span>
<span class="giallo-l"><span>1000 1000 4 0.040 16.7342 1.029343e-12 3.510325e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.033 20.1526 1.029343e-12 3.510325e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.033 20.1592 1.029343e-12 3.510325e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.033 20.1368 1.029343e-12 3.510325e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.277 19.2876 4.298950e-12 3.739560e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.275 19.4285 4.298950e-12 3.739560e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 3.235 25.7781 2.581643e-11 3.599893e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 3.219 25.9008 2.581643e-11 3.599893e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 24.330 27.4089 9.603002e-11 3.386116e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 24.457 27.2672 9.603002e-11 3.386116e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 80.958 27.7979 2.042799e-10 3.217442e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 80.941 27.8037 2.042799e-10 3.217442e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 139.266 27.9224 2.894987e-10 3.170367e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 139.108 27.9542 2.894987e-10 3.170367e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 191.221 27.8951 4.097986e-10 3.627616e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 191.229 27.8940 4.097986e-10 3.627616e-02 pass</span></span>
<span class="giallo-l"><span>22000 22008 4 252.595 28.1068 4.548092e-10 3.331299e-02 pass</span></span>
<span class="giallo-l"><span>22000 22008 4 252.600 28.1062 4.548092e-10 3.331299e-02 pass</span></span>
<span class="giallo-l"><span>Performance Summary (GFlops)</span></span>
<span class="giallo-l"><span>Size LDA Align. Average Maximal</span></span>
<span class="giallo-l"><span>1000 1000 4 19.2957 20.1592</span></span>
<span class="giallo-l"><span>2000 2000 4 19.3581 19.4285</span></span>
<span class="giallo-l"><span>5000 5008 4 25.8395 25.9008</span></span>
<span class="giallo-l"><span>10000 10000 4 27.3381 27.4089</span></span>
<span class="giallo-l"><span>15000 15000 4 27.8008 27.8037</span></span>
<span class="giallo-l"><span>18000 18008 4 27.9383 27.9542</span></span>
<span class="giallo-l"><span>20000 20016 4 27.8946 27.8951</span></span>
<span class="giallo-l"><span>22000 22008 4 28.1065 28.1068</span></span>
<span class="giallo-l"><span>Residual checks PASSED</span></span>
<span class="giallo-l"><span>End of tests</span></span>
<span class="giallo-l"><span>Done: Thu May 23 19:25:57 JST 2013</span></span></code></pre>
<p>"-cpu host"無しで 13.0GFlops、有りで 28.1GFlops。</p>
<p>だいぶ違いますね。</p>
<p>使っている便利マークソフトが、Intelで最適化されたLinpackなので、最新のCPUの高速演算機能を使い倒せるようになっているのだと思います。</p>
<p>この他、sysbenchのcpuテストや、Unixbenchで比べてみましたが、"-cpu host"有り無しでの性能差はありませんでした。</p>
<p>そうすると、ものによっては、最適化によってCPUの機能(sse4やavx等)が使い倒せれば、速くなるということなのかもしれません。</p>
MegaRAIDのStorCLIを試してみました。
2013-05-22T00:00:00+00:00
2013-05-22T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/05/megaraidstorcli.html/
<p>みなさんこんにちは!</p>
<p>今日も相変わらず良い天気ですね。そろそろ、長袖のシャツでは暑く感じることも多くなってきました。</p>
<p>さて、本日は、LSIのRAIDカードの管理ユーティリティーツール、StorCLIについて、ご紹介したいと思います。</p>
<p>皆さんは、RAIDカードの管理ユーティリティーと言ったら、何を思い浮かべますか?</p>
<p>多くの方は、綺麗なGUIツールでRAIDのアレイ削除を行ったり、Webブラウザーを使って管理することを思い浮かべるかもしれません。</p>
<p>今回ご紹介するのは、そういうものではなくて、sshログインしたサーバ上でコマンドラインでRAIDの設定を行う、ソフトウェアです。</p>
<p>古くは、3wareのtw_cliであったり、Adaptecのarcconf、LSIのmegacliをご存知の方にとっては、お馴染みかもしれません。</p>
<p>私個人的には、tw_cliは使いこなしており、その後、arcconfなども使っておりましたが、LSIのmegacliはあまり使いやすいとは感じておりませんでした。</p>
<p>つい最近、LSIのサイトでドライバなどを探していた時に、たまたま、StorCLIという比較的新しいツールがリリースされていましたので、試しに使ってみました。</p>
<p>インストールは以下の通り</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># wget http://www.lsi.com/downloads/Public/MegaRAID%20Common%20Files/1.03.11_StorCLI.zip</span></span>
<span class="giallo-l"><span># unzip 1.03.11_StorCLI.zip</span></span>
<span class="giallo-l"><span># cd StorCli_All_OS/Linux/</span></span>
<span class="giallo-l"><span># alien -t storcli-1.03.11-1.noarch.rpm</span></span>
<span class="giallo-l"><span># tar tvf storcli-1.03.11.tgz</span></span>
<span class="giallo-l"><span>drwxr-xr-x root/root 0 2013-05-23 01:57 ./</span></span>
<span class="giallo-l"><span>drwxr-xr-x root/root 0 2013-05-23 01:57 ./opt/</span></span>
<span class="giallo-l"><span>drwxr-xr-x root/root 0 2013-05-23 01:57 ./opt/MegaRAID/</span></span>
<span class="giallo-l"><span>drwxr-xr-x root/root 0 2013-05-23 01:57 ./opt/MegaRAID/storcli/</span></span>
<span class="giallo-l"><span>-rwxr-xr-x root/root 4956856 2013-01-30 19:25 ./opt/MegaRAID/storcli/storcli64</span></span>
<span class="giallo-l"><span>-rwxr-xr-x root/root 4907676 2013-01-30 19:25 ./opt/MegaRAID/storcli/storcli</span></span>
<span class="giallo-l"><span># tar xf storcli-1.03.11.tgz -C /</span></span>
<span class="giallo-l"><span># tree /opt/</span></span>
<span class="giallo-l"><span>/opt/</span></span>
<span class="giallo-l"><span>`-- MegaRAID</span></span>
<span class="giallo-l"><span> `-- storcli</span></span>
<span class="giallo-l"><span> |-- storcli</span></span>
<span class="giallo-l"><span> `-- storcli64</span></span>
<span class="giallo-l"><span>2 directories, 2 files</span></span></code></pre>
<p>storcli64が64bit Linux用のバイナリです。早速、コマンドを叩いてみると、</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64</span></span>
<span class="giallo-l"><span> Storage Command Line Tool Ver 1.03.11 Jan 30, 2013</span></span>
<span class="giallo-l"><span> (c)Copyright 2012, LSI Corporation, All Rights Reserved.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>help - lists all the commands with their usage. E.g. storcli help</span></span>
<span class="giallo-l"><span>help - gives details about a particular command. E.g. storcli add help</span></span>
<span class="giallo-l"><span>List of commands:</span></span>
<span class="giallo-l"><span>Commands Description</span></span>
<span class="giallo-l"><span>-------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>add Adds/creates a new element to controller like VD,Spare..etc</span></span>
<span class="giallo-l"><span>delete Deletes an element like VD,Spare</span></span>
<span class="giallo-l"><span>show Displays information about an element</span></span>
<span class="giallo-l"><span>set Set a particular value to a property</span></span>
<span class="giallo-l"><span>start Start background operation</span></span>
<span class="giallo-l"><span>stop Stop background operation</span></span>
<span class="giallo-l"><span>pause Pause background operation</span></span>
<span class="giallo-l"><span>resume Resume background operation</span></span>
<span class="giallo-l"><span>download Downloads file to given device</span></span>
<span class="giallo-l"><span>expand expands size of given drive</span></span>
<span class="giallo-l"><span>insert inserts new drive for missing</span></span>
<span class="giallo-l"><span>transform downgrades the controller</span></span>
<span class="giallo-l"><span>/cx Controller specific commands</span></span>
<span class="giallo-l"><span>/ex Enclosure specific commands</span></span>
<span class="giallo-l"><span>/sx Slot/PD specific commands</span></span>
<span class="giallo-l"><span>/vx Virtual drive specific commands</span></span>
<span class="giallo-l"><span>/dx Disk group specific commands</span></span>
<span class="giallo-l"><span>/fx Foreign configuration specific commands</span></span>
<span class="giallo-l"><span>/px Phy specific commands</span></span>
<span class="giallo-l"><span>/bbu Battery Backup Unit related commands</span></span>
<span class="giallo-l"><span>Other aliases : cachecade, freespace, sysinfo</span></span>
<span class="giallo-l"><span>Use a combination of commands to filter the output of help further.</span></span>
<span class="giallo-l"><span>E.g. 'storcli cx show help' displays all the show operations on cx.</span></span>
<span class="giallo-l"><span>Use verbose for detailed description E.g. 'storcli add verbose help'</span></span>
<span class="giallo-l"><span>Use 'page=[x]' as the last option in all the commands to set the page break.</span></span>
<span class="giallo-l"><span>X=lines per page. E.g. 'storcli help page=10'</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Command options must be entered in the same order as displayed in the help of</span></span>
<span class="giallo-l"><span>the respective commands.</span></span></code></pre>
<p>新しいCLIツールと聞いて薄々感づいていましたが、どうやら、tw_cliと構文がそっくりです。</p>
<p>3wareは、2009年にLSIに買収されたのですが、使い易いと評判だった3wareのCLIの良い部分を、既存のMegaraidのプロダクトラインでも使えるようにしたのでしょう。</p>
<p>コントローラの情報を表示してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 show</span></span>
<span class="giallo-l"><span>Status Code = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"><span>Number of Controllers = 1</span></span>
<span class="giallo-l"><span>Host Name = 151</span></span>
<span class="giallo-l"><span>Operating System = Linux3.8.8-64kvmh01</span></span>
<span class="giallo-l"><span>System Overview :</span></span>
<span class="giallo-l"><span>===============</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Ctl Model Ports PDs DGs DNOpt VDs VNOpt BBU sPR DS EHS ASOs</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------</span></span>
<span class="giallo-l"><span> 0 9266-8i 8 6 0 0 0 0 Msng On 1&2 Y 2</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Ctl=Controller Index|DGs=Drive groups|VDs=Virtual drives|Fld=Failed</span></span>
<span class="giallo-l"><span>PDs=Physical drives|DNOpt=DG NotOptimal|VNOpt=VD NotOptimal|Opt=Optimal</span></span>
<span class="giallo-l"><span>Msng=Missing|Dgd=Degraded|NdAtn=Need Attention|Unkwn=Unknown</span></span>
<span class="giallo-l"><span>sPR=Scheduled Patrol Read|DS=DimmerSwitch|EHS=Emergency Hot Spare</span></span>
<span class="giallo-l"><span>Y=Yes|N=No|ASOs=Advanced Software Options|BBU=Battery backup unit</span></span></code></pre>
<p>コントローラ0番が9266-8i であることがわかりますね。ポート数は8で、現在接続されているドライブは6本、BBUはMissing … あってます。</p>
<p>下の方に書いてある、説明が地味に便利ですね。</p>
<p>コントローラ0番の情報を、さらに詳しく見てみましょう。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"><span>Product Name = LSI MegaRAID SAS 9266-8i</span></span>
<span class="giallo-l"><span>Serial Number = SV22625074</span></span>
<span class="giallo-l"><span>SAS Address = 500605b0050719c0</span></span>
<span class="giallo-l"><span>Mfg. Date = 07/03/12</span></span>
<span class="giallo-l"><span>System Time = 05/23/2013 02:16:39</span></span>
<span class="giallo-l"><span>Controller Time = 05/22/2013 17:16:38</span></span>
<span class="giallo-l"><span>FW Package Build = 23.9.0-0018</span></span>
<span class="giallo-l"><span>BIOS Version = 5.38.00_4.12.05.00_0x05180000</span></span>
<span class="giallo-l"><span>FW Version = 3.220.35-1998</span></span>
<span class="giallo-l"><span>Driver Name = megaraid_sas</span></span>
<span class="giallo-l"><span>Driver Version = 06.504.01.00-rc1</span></span>
<span class="giallo-l"><span>Controller Bus Type = N/A</span></span>
<span class="giallo-l"><span>PCI Slot = N/A</span></span>
<span class="giallo-l"><span>PCI Bus Number = 6</span></span>
<span class="giallo-l"><span>PCI Device Number = 0</span></span>
<span class="giallo-l"><span>PCI Function Number = 0</span></span>
<span class="giallo-l"><span>Physical Drives = 6</span></span>
<span class="giallo-l"><span>PD LIST :</span></span>
<span class="giallo-l"><span>=======</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:0 39 JBOD - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:1 8 JBOD - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:2 38 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:3 9 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:4 37 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:5 11 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span></code></pre>
<p>ああ、良いですね、いろんな情報とれてます。文法は、tw_cliそのまんまですね。</p>
<p>せっかくですので、RAIDのアレイを作ってみましょう…まずは、ヘルプを…</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 add help</span></span>
<span class="giallo-l"><span> Storage Command Line Tool Ver 1.03.11 Jan 30, 2013</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span> (c)Copyright 2012, LSI Corporation, All Rights Reserved.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>storcli /cx add vd type=raid[0|1|5|6|00|10|50|60]</span></span>
<span class="giallo-l"><span> [Size=,,..|all] [name=,..]</span></span>
<span class="giallo-l"><span> drives=e:s|e:s-x|e:s-x,y,e:s-x,y,z [PDperArray=x][SED]</span></span>
<span class="giallo-l"><span> [pdcache=on|off|default][pi][DimmerSwitch(ds)=default|automatic(auto)|</span></span>
<span class="giallo-l"><span> none|maximum(max)|MaximumWithoutCaching(maxnocache)][wt|wb][nora|ra]</span></span>
<span class="giallo-l"><span> [direct|cached] [CachedBadBBU|NoCachedBadBBU] [cachevd]</span></span>
<span class="giallo-l"><span> [Strip=] [AfterVd=X]</span></span>
<span class="giallo-l"><span> [Spares = [e:]s|[e:]s-x|[e:]s-x,y] [force]</span></span>
<span class="giallo-l"><span>storcli /cx add vd each type=raid0 [name=,..] [drives=e:s|e:s-x|e:s-x,y]</span></span>
<span class="giallo-l"><span> [SED] [pdcache=on|off|default][pi] [DimmerSwitch(ds)=default|automatic(auto)|</span></span>
<span class="giallo-l"><span> none|maximum(max)|MaximumWithoutCaching(maxnocache)] [wt|wb] [nora|ra]</span></span>
<span class="giallo-l"><span> [direct|cached] [CachedBadBBU|NoCachedBadBBU]</span></span>
<span class="giallo-l"><span> [Strip=]</span></span>
<span class="giallo-l"><span>storcli /cx add vd cachecade Type = raid[0,1,10] drives = [e:]s|[e:]s-x|</span></span>
<span class="giallo-l"><span> [e:]s-x,y [WT| WB] [assignvds = 0,1,2]</span></span>
<span class="giallo-l"><span>storcli /cx[/ex]/sx add hotsparedrive [DGs=] [enclaffinity] [nonrevertible]</span></span></code></pre>
<p>なるほど… スロット2,3,4のドライブを使って、RAID5のアレイ=バーチャルドライブを作ってみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0 add vd type=raid5 drives=252:2,252:3,252:4</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Add VD Succeeded</span></span></code></pre>
<p>うまくいったみたいなので、確認します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"><span>Product Name = LSI MegaRAID SAS 9266-8i</span></span>
<span class="giallo-l"><span>Serial Number = SV22625074</span></span>
<span class="giallo-l"><span>SAS Address = 500605b0050719c0</span></span>
<span class="giallo-l"><span>Mfg. Date = 07/03/12</span></span>
<span class="giallo-l"><span>System Time = 05/23/2013 02:36:32</span></span>
<span class="giallo-l"><span>Controller Time = 05/22/2013 17:36:30</span></span>
<span class="giallo-l"><span>FW Package Build = 23.9.0-0018</span></span>
<span class="giallo-l"><span>BIOS Version = 5.38.00_4.12.05.00_0x05180000</span></span>
<span class="giallo-l"><span>FW Version = 3.220.35-1998</span></span>
<span class="giallo-l"><span>Driver Name = megaraid_sas</span></span>
<span class="giallo-l"><span>Driver Version = 06.504.01.00-rc1</span></span>
<span class="giallo-l"><span>Controller Bus Type = N/A</span></span>
<span class="giallo-l"><span>PCI Slot = N/A</span></span>
<span class="giallo-l"><span>PCI Bus Number = 6</span></span>
<span class="giallo-l"><span>PCI Device Number = 0</span></span>
<span class="giallo-l"><span>PCI Function Number = 0</span></span>
<span class="giallo-l"><span>Drive Groups = 1</span></span>
<span class="giallo-l"><span>TOPOLOGY :</span></span>
<span class="giallo-l"><span>========</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG Arr Row EID:Slot DID Type State BT Size PDC PI SED DS3 FSpace</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span> 0 - - - - RAID5 Optl N 446.125 GB enbl N N none N</span></span>
<span class="giallo-l"><span> 0 0 - - - RAID5 Optl N 446.125 GB enbl N N none N</span></span>
<span class="giallo-l"><span> 0 0 0 252:2 38 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span> 0 0 1 252:3 9 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span> 0 0 2 252:4 37 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG=Disk Group Index|Arr=Array Index|Row=Row Index|EID=Enclosure Device ID</span></span>
<span class="giallo-l"><span>DID=Device ID|Type=Drive Type|Onln=Online|Rbld=Rebuild|Dgrd=Degraded</span></span>
<span class="giallo-l"><span>Pdgd=Partially degraded|Offln=Offline|BT=Background Task Active</span></span>
<span class="giallo-l"><span>PDC=PD Cache|PI=Protection Info|SED=Self Encrypting Drive|Frgn=Foreign</span></span>
<span class="giallo-l"><span>DS3=Dimmer Switch 3|dflt=Default|Msng=Missing|FSpace=Free Space Present</span></span>
<span class="giallo-l"><span>Virtual Drives = 1</span></span>
<span class="giallo-l"><span>VD LIST :</span></span>
<span class="giallo-l"><span>=======</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG/VD TYPE State Access Consist Cache sCC Size Name</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>0/0 RAID5 Optl RW No RaWTD - 446.125 GB</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>Cac=CacheCade|Rec=Recovery|OfLn=OffLine|Pdgd=Partially Degraded|dgrd=Degraded</span></span>
<span class="giallo-l"><span>Optl=Optimal|RO=Read Only|RW=Read Write|B=Blocked|Consist=Consistent|</span></span>
<span class="giallo-l"><span>Ra=Read Ahead Adaptive|R=Read Ahead Always|NR=No Read Ahead|WB=WriteBack|</span></span>
<span class="giallo-l"><span>AWB=Always WriteBack|WT=WriteThrough|C=Cached IO|D=Direct IO|sCC=Scheduled</span></span>
<span class="giallo-l"><span>Check Consistency</span></span>
<span class="giallo-l"><span>Physical Drives = 6</span></span>
<span class="giallo-l"><span>PD LIST :</span></span>
<span class="giallo-l"><span>=======</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:0 39 JBOD - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:1 8 JBOD - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:2 38 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>252:3 9 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:4 37 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>252:5 11 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span></code></pre>
<p>ドライブグループ0番と、バーチャルドライブ0番が、今作成したRAID5のアレイ=VDです。DG=0の情報だけを見るには、次のようにします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/d0 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Show Diskgroup Succeeded</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>TOPOLOGY :</span></span>
<span class="giallo-l"><span>========</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG Arr Row EID:Slot DID Type State BT Size PDC PI SED DS3 FSpace</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span> 0 - - - - RAID5 Optl N 446.125 GB enbl N N none N</span></span>
<span class="giallo-l"><span> 0 0 - - - RAID5 Optl N 446.125 GB enbl N N none N</span></span>
<span class="giallo-l"><span> 0 0 0 252:2 38 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span> 0 0 1 252:3 9 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span> 0 0 2 252:4 37 DRIVE Onln N 223.062 GB enbl N N none -</span></span>
<span class="giallo-l"><span>--------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG=Disk Group Index|Arr=Array Index|Row=Row Index|EID=Enclosure Device ID</span></span>
<span class="giallo-l"><span>DID=Device ID|Type=Drive Type|Onln=Online|Rbld=Rebuild|Dgrd=Degraded</span></span>
<span class="giallo-l"><span>Pdgd=Partially degraded|Offln=Offline|BT=Background Task Active</span></span>
<span class="giallo-l"><span>PDC=PD Cache|PI=Protection Info|SED=Self Encrypting Drive|Frgn=Foreign</span></span>
<span class="giallo-l"><span>DS3=Dimmer Switch 3|dflt=Default|Msng=Missing|FSpace=Free Space Present</span></span></code></pre>
<p>VD=0の情報だけを見るには、以下のようにします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/v0 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Virtual Drives :</span></span>
<span class="giallo-l"><span>==============</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG/VD TYPE State Access Consist Cache sCC Size Name</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>0/0 RAID5 Optl RW No RaWTD - 446.125 GB</span></span>
<span class="giallo-l"><span>-----------------------------------------------------------</span></span>
<span class="giallo-l"><span>Cac=CacheCade|Rec=Recovery|OfLn=OffLine|Pdgd=Partially Degraded|dgrd=Degraded</span></span>
<span class="giallo-l"><span>Optl=Optimal|RO=Read Only|RW=Read Write|B=Blocked|Consist=Consistent|</span></span>
<span class="giallo-l"><span>Ra=Read Ahead Adaptive|R=Read Ahead Always|NR=No Read Ahead|WB=WriteBack|</span></span>
<span class="giallo-l"><span>AWB=Always WriteBack|WT=WriteThrough|C=Cached IO|D=Direct IO|sCC=Scheduled</span></span>
<span class="giallo-l"><span>Check Consistency</span></span></code></pre>
<p>ライトキャッシュの設定がWTになっているので、AWBに変えてみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@151:~# /opt/MegaRAID/storcli/storcli64 /c0/v0 set wrcache=AWB</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"><span>Detailed Status :</span></span>
<span class="giallo-l"><span>===============</span></span>
<span class="giallo-l"><span>---------------------------------------</span></span>
<span class="giallo-l"><span>VD Property Value Status ErrCd ErrMsg</span></span>
<span class="giallo-l"><span>---------------------------------------</span></span>
<span class="giallo-l"><span> 0 wrCache AWB Success 0 -</span></span>
<span class="giallo-l"><span>---------------------------------------</span></span></code></pre>
<p>確認は次のようにします。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@151:~# /opt/MegaRAID/storcli/storcli64 /c0/v0 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Virtual Drives :</span></span>
<span class="giallo-l"><span>==============</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG/VD TYPE State Access Consist Cache sCC Size Name</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>0/0 RAID5 Optl RW No RaAWBD - 446.125 GB</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Cac=CacheCade|Rec=Recovery|OfLn=OffLine|Pdgd=Partially Degraded|dgrd=Degraded</span></span>
<span class="giallo-l"><span>Optl=Optimal|RO=Read Only|RW=Read Write|B=Blocked|Consist=Consistent|</span></span>
<span class="giallo-l"><span>Ra=Read Ahead Adaptive|R=Read Ahead Always|NR=No Read Ahead|WB=WriteBack|</span></span>
<span class="giallo-l"><span>AWB=Always WriteBack|WT=WriteThrough|C=Cached IO|D=Direct IO|sCC=Scheduled</span></span>
<span class="giallo-l"><span>Check Consistency</span></span></code></pre>
<p>AWB Always WriteBackに変わりました。</p>
<p>次に、ホットスペアドライブを設定してみます。まずはヘルプで、コマンドシンタックスを確認します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/e252/s5 add help</span></span>
<span class="giallo-l"><span> Storage Command Line Tool Ver 1.03.11 Jan 30, 2013</span></span>
<span class="giallo-l"><span> (c)Copyright 2012, LSI Corporation, All Rights Reserved.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>NAME: Add Hot Spare Drive</span></span>
<span class="giallo-l"><span>SYNTAX: storcli /cx[/ex]/sx add hotsparedrive [DGs=]</span></span>
<span class="giallo-l"><span> [enclaffinity] [nonrevertible]</span></span>
<span class="giallo-l"><span>DESCRIPTION: This command creates a hotspare drive.</span></span>
<span class="giallo-l"><span>OPTIONS:</span></span>
<span class="giallo-l"><span>DGs - Specifies the drive group to which the hotspare drive is</span></span>
<span class="giallo-l"><span> dedicated.</span></span>
<span class="giallo-l"><span>enclaffinity - Specifies the enclosure to which the hotspare is associated</span></span>
<span class="giallo-l"><span> with. If this option is specified, affinity is set; if it is</span></span>
<span class="giallo-l"><span> not specified, there is no affinity.NOTE Affinity cannot be</span></span>
<span class="giallo-l"><span> removed once it is set for a hotspare drive.</span></span>
<span class="giallo-l"><span>nonrevertible- Sets the drive as a nonrevertible hotspare.</span></span>
<span class="giallo-l"><span>CONVENTION:</span></span>
<span class="giallo-l"><span>/cx - specifies a controller where X is the controller index.</span></span>
<span class="giallo-l"><span>/ex - specifies a enclosure where X is the enclosure device ID.</span></span>
<span class="giallo-l"><span>/sx - specifies a physical drive where X is the slot number.</span></span></code></pre>
<p>そしてスロット5番のドライブをホットスペアに設定します。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/e252/s5 add hotsparedrive</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Add Hot Spare Succeeded.</span></span></code></pre>
<p>確認してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@151:~# /opt/MegaRAID/storcli/storcli64 /c0/e252/s5 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Show Drive Information Succeeded.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Drive Information :</span></span>
<span class="giallo-l"><span>=================</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:5 11 GHS - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span></code></pre>
<p>スロット5番のドライブがグローバルホットスペアになったようです。</p>
<p>グローバルホットスペアの機能を確認するために、今RAID5のアレイの作成に用いたドライブの内、スロット2番のドライブをオフラインにしてみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/e252/s2 set offline</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Set Drive Offline Succeeded.</span></span></code></pre>
<p>バーチャルドライブの状態を見てみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/v0 show all</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = None</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>/c0/v0 :</span></span>
<span class="giallo-l"><span>======</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>DG/VD TYPE State Access Consist Cache sCC Size Name</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>0/0 RAID5 Dgrd RW Yes RaAWBD - 446.125 GB</span></span>
<span class="giallo-l"><span>------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Cac=CacheCade|Rec=Recovery|OfLn=OffLine|Pdgd=Partially Degraded|dgrd=Degraded</span></span>
<span class="giallo-l"><span>Optl=Optimal|RO=Read Only|RW=Read Write|B=Blocked|Consist=Consistent|</span></span>
<span class="giallo-l"><span>Ra=Read Ahead Adaptive|R=Read Ahead Always|NR=No Read Ahead|WB=WriteBack|</span></span>
<span class="giallo-l"><span>AWB=Always WriteBack|WT=WriteThrough|C=Cached IO|D=Direct IO|sCC=Scheduled</span></span>
<span class="giallo-l"><span>Check Consistency</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>PDs for VD 0 :</span></span>
<span class="giallo-l"><span>============</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:5 11 Rbld 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:3 9 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:4 37 Onln 0 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>VD0 Properties :</span></span>
<span class="giallo-l"><span>==============</span></span>
<span class="giallo-l"><span>Strip Size = 256 KB</span></span>
<span class="giallo-l"><span>Span Depth = 1</span></span>
<span class="giallo-l"><span>Number of Drives Per Span = 3</span></span>
<span class="giallo-l"><span>Disk Cache Policy = Enabled</span></span>
<span class="giallo-l"><span>Encryption = None</span></span>
<span class="giallo-l"><span>Data Protection = Disabled</span></span>
<span class="giallo-l"><span>Active Operations = None</span></span>
<span class="giallo-l"><span>Exposed to OS = Yes</span></span>
<span class="giallo-l"><span>Creation Date = 22-05-2013</span></span>
<span class="giallo-l"><span>Creation Time = 05:28:54 PM</span></span>
<span class="giallo-l"><span>Emulation type = None</span></span></code></pre>
<p>vd0はDegradedとなり、ホットスペアにしてあったスロット5番のドライブがvd0に加わり、Rebuild状態になっていることがわかります。</p>
<p>最後にvd0を削除してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@151:~# /opt/MegaRAID/storcli/storcli64 /c0/v0 del</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Delete VD succeeded</span></span></code></pre><pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span># /opt/MegaRAID/storcli/storcli64 /c0/e252/s2-5 show</span></span>
<span class="giallo-l"><span>Controller = 0</span></span>
<span class="giallo-l"><span>Status = Success</span></span>
<span class="giallo-l"><span>Description = Show Drive Information Succeeded.</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Drive Information :</span></span>
<span class="giallo-l"><span>=================</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>252:2 38 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:3 9 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:4 37 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>252:5 11 UGood - 223.062 GB SATA SSD N N 512B INTEL SSDSC2CW240A3 U</span></span>
<span class="giallo-l"><span>----------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>EID-Enclosure Device ID|Slt-Slot No.|DID-Device ID|DG-DriveGroup</span></span>
<span class="giallo-l"><span>DHS-Dedicated Hot Spare|UGood-Unconfigured Good|GHS-Global Hotspare</span></span>
<span class="giallo-l"><span>UBad-Unconfigured Bad|Onln-Online|Offln-Offline|Intf-Interface</span></span>
<span class="giallo-l"><span>Med-Media Type|SED-Self Encryptive Drive|PI-Protection Info</span></span>
<span class="giallo-l"><span>SeSz-Sector Size|Sp-Spun|U-Up|D-Down|T-Transition|F-Foreign</span></span></code></pre>
<p>スロット2,3,4,5のドライブが、最初の状態Unconfigured Goodに戻りました。</p>
<p>以上、見てきたように、StorCLIの使い方について試してみました。</p>
<p>3wareのtw_cliに慣れた管理者の方には、直感的で大変使い易いのではないかと思います。</p>
<p>参考までにStorCLIのダウンロードリンクと、リファレンスマニュアルへの直リンクを貼っておきます。</p>
<p>StorCLI</p>
<p>http://www.lsi.com/downloads/Public/MegaRAID%20Common%20Files/1.03.11_StorCLI.zip</p>
<p>リファレンスマニュアル</p>
<p>http://www.lsi.com/downloads/Public/MegaRAID%20Common%20Files/StorCLI_RefMan_revf_.pdf</p>
もろもろLinpack Benchmarkしてみました
2013-05-21T00:00:00+00:00
2013-05-21T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/05/linpack-benchmark.html/
<p>こんにちは!</p>
<p>今日は、引きこもって仕事をするには、もったいないくらいの良いお天気でしたね♪</p>
<p>なかなか良い季節になってきたので、週末が楽しみです。</p>
<p>前回に引き続き、いくつかのサーバでベンチマークを採る機会があったので、ここに晒します。</p>
<p>Linpack ベンチマークは「一番じゃなきゃダメですか」で有名なスパコンのランキングを決定するためにも使われる、有名なベンチマークソフトです。</p>
<blockquote>
<p>LINPACK ベンチマークは LINPACK に基づいたベンチマークプログラムで、システムの浮動小数点演算性能を評価する。ジャック・ドンガラが考案したもので、理学・工学で一般的な n×n の線型方程式系 Ax = b を解く速度を測定する。このベンチマークの最新版はTOP500で世界の高速なコンピュータの性能値としてランキングに使用されている。 <a rel="external" href="http://ja.wikipedia.org/wiki/LINPACK">http://ja.wikipedia.org/wiki/LINPACK</a> より</p>
</blockquote>
<p> スパコンの評価のためには、並列計算用のMPIライブラリや、行列計算ライブラリ、LINPACK本体等、いろいろセットアップが必要です。</p>
<p>クラスター構成ではない普通のSMPマシンを評価するには、IntelのOptimized LINPACK Benchmarkというのを使えば、お手軽にベンチマークができそうです。</p>
<p>まず、以下のページから、tarボールをダウンロードし、展開します。</p>
<blockquote>
<p><a rel="external" href="http://software.intel.com/en-us/articles/intel-math-kernel-library-linpack-download/">http://software.intel.com/en-us/articles/intel-math-kernel-library-linpack-download/</a></p>
<p>wget http://registrationcenter.intel.com/irc_nas/3058/l_lpk_p_11.0.3.008.tgz</p>
<p>tar xvf l_lpk_p_11.0.3.008.tgz</p>
</blockquote>
<p>以下のディレクトリにベンチマーク本体、スクリプト、入力ファイルなどが用意されているので、そのディレクトリで標準的なrunme_xeon64などのスクリプトを実行すれば良さそうです。</p>
<blockquote>
<p>cd linpack_11.0.3/benchmarks/linpack/</p>
</blockquote>
<p> 試しに実行してみます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>./runme_xeon64</span></span>
<span class="giallo-l"><span>This is a SAMPLE run script for SMP LINPACK. Change it to reflect</span></span>
<span class="giallo-l"><span>the correct number of CPUs/threads, problem input files, etc..</span></span>
<span class="giallo-l"><span>Tue May 14 18:47:46 JST 2013</span></span>
<span class="giallo-l"><span>Intel(R) Optimized LINPACK Benchmark data</span></span>
<span class="giallo-l"><span>Current date/time: Tue May 14 18:47:46 2013</span></span>
<span class="giallo-l"><span>CPU frequency: 2.932 GHz</span></span>
<span class="giallo-l"><span>Number of CPUs: 1</span></span>
<span class="giallo-l"><span>Number of cores: 4</span></span>
<span class="giallo-l"><span>Number of threads: 8</span></span>
<span class="giallo-l"><span>Parameters are set to:</span></span>
<span class="giallo-l"><span>Number of tests: 15</span></span>
<span class="giallo-l"><span>Number of equations to solve (problem size) : 1000 2000 5000 10000 15000 18000 20000 22000 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Leading dimension of array : 1000 2000 5008 10000 15000 18008 20016 22008 25000 26000 27000 30000 35000 40000 45000</span></span>
<span class="giallo-l"><span>Number of trials to run : 4 2 2 2 2 2 2 2 2 2 1 1 1 1 1</span></span>
<span class="giallo-l"><span>Data alignment value (in Kbytes) : 4 4 4 4 4 4 4 4 4 4 4 1 1 1 1</span></span>
<span class="giallo-l"><span>Maximum memory requested that can be used=3202964416, at the size=20000</span></span>
<span class="giallo-l"><span>=================== Timing linear equation system solver ===================</span></span>
<span class="giallo-l"><span>Size LDA Align. Time(s) GFlops Residual Residual(norm) Check</span></span>
<span class="giallo-l"><span>1000 1000 4 0.038 17.4850 1.236872e-12 4.218050e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.037 17.9669 1.236872e-12 4.218050e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.037 17.9904 1.236872e-12 4.218050e-02 pass</span></span>
<span class="giallo-l"><span>1000 1000 4 0.037 18.0328 1.236872e-12 4.218050e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.271 19.7349 4.570122e-12 3.975446e-02 pass</span></span>
<span class="giallo-l"><span>2000 2000 4 0.270 19.7479 4.570122e-12 3.975446e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 2.512 33.1981 2.113014e-11 2.946428e-02 pass</span></span>
<span class="giallo-l"><span>5000 5008 4 2.492 33.4647 2.113014e-11 2.946428e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 17.385 38.3576 9.365270e-11 3.302289e-02 pass</span></span>
<span class="giallo-l"><span>10000 10000 4 17.431 38.2572 9.365270e-11 3.302289e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 59.425 37.8704 2.005595e-10 3.158845e-02 pass</span></span>
<span class="giallo-l"><span>15000 15000 4 60.409 37.2536 2.005595e-10 3.158845e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 103.157 37.6964 2.980711e-10 3.264245e-02 pass</span></span>
<span class="giallo-l"><span>18000 18008 4 102.891 37.7938 2.980711e-10 3.264245e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 142.172 37.5190 3.917629e-10 3.467960e-02 pass</span></span>
<span class="giallo-l"><span>20000 20016 4 142.003 37.5634 3.917629e-10 3.467960e-02 pass</span></span>
<span class="giallo-l"><span>Performance Summary (GFlops)</span></span>
<span class="giallo-l"><span>Size LDA Align. Average Maximal</span></span>
<span class="giallo-l"><span>1000 1000 4 17.8687 18.0328</span></span>
<span class="giallo-l"><span>2000 2000 4 19.7414 19.7479</span></span>
<span class="giallo-l"><span>5000 5008 4 33.3314 33.4647</span></span>
<span class="giallo-l"><span>10000 10000 4 38.3074 38.3576</span></span>
<span class="giallo-l"><span>15000 15000 4 37.5620 37.8704</span></span>
<span class="giallo-l"><span>18000 18008 4 37.7451 37.7938</span></span>
<span class="giallo-l"><span>20000 20016 4 37.5412 37.5634</span></span>
<span class="giallo-l"><span>Residual checks PASSED</span></span>
<span class="giallo-l"><span>End of tests</span></span>
<span class="giallo-l"><span>Done: Tue May 14 19:01:30 JST 2013</span></span></code></pre>
<p>上記は、4コア、8スレッドのCPUを搭載したサーバーですが、自動的にCPUの数を認識して、適切なThread数を設定してくれているようです。</p>
<p>runme_xeon64スクリプトの中で、"export OMP_NUM_THREADS=4"のように明示的にスレッド数を指定することも可能です。</p>
<p>入力ファイルでいくつかproblem sizeが指定されていますが、搭載しているメモリの容量から判断して、大きすぎるものは実行されないようです。</p>
<p>swapを含む、メモリ容量で実行可否を判断しているようなので、可能ならswapoff -aするか、あるいは、入力ファイルから大きすぎるものを削除した方が良いかもしれません。</p>
<p>上記の結果からは、最大で、38.4GFlopsの性能であると、判断できます。</p>
<p>さて、このLinpackベンチマークを、弊社にあるいくつかの物理マシン、仮想マシン上で実行してみました。</p>
<p>物理マシン</p>
<table><thead><tr><th>マシン名</th><th>CPU スペック</th><th>HT</th><th>メモリ GByte</th><th>総クロック GHz</th><th>スコア GFlops</th><th>スコア/総クロック</th></tr></thead><tbody>
<tr><td>1</td><td>Xeon E5-2650 2.00GHz 8 core x 2cpu</td><td>on</td><td>96</td><td>32</td><td>229.8</td><td>7.18</td></tr>
<tr><td>2</td><td>Xeon E5-2650 2.00GHz 8 core x 2cpu</td><td>off</td><td>96</td><td>32</td><td>231.0</td><td>7.22</td></tr>
<tr><td>3</td><td>Xeon E5-2650 2.00GHz 4 core x 2cpu</td><td>on</td><td>96</td><td>16</td><td>117.1</td><td>7.32</td></tr>
<tr><td>4</td><td>Xeon E5-2603 1.80GHz 4 core x 2cpu</td><td>na</td><td>96</td><td>14.4</td><td>103.8</td><td>7.21</td></tr>
<tr><td>5</td><td>Xeon X5650 2.67GHz 6 core x 2cpu</td><td>on</td><td>16</td><td>32.04</td><td>114.1</td><td>3.56</td></tr>
<tr><td>6</td><td>Xeon X3440 2.53GHz 4 core x 1cpu</td><td>on</td><td>4</td><td>10.12</td><td>38.0</td><td>3.75</td></tr>
<tr><td>7</td><td>Xeon X3440 2.53GHz 4 core x 1cpu</td><td>on</td><td>4</td><td>10.12</td><td>38.4</td><td>3.79</td></tr>
</tbody></table>
<p>マシンスペック</p>
<p>1,2,3は同一マシンで、Supermicro 1027R-WRF/Xeon E5-2650 x 2/メモリ 96MByte/Intel 520 SSD 240GB。2ではBIOSでHyperThreadingを無効化、3ではBIOSでアクティブコア数を4個に制限しています。</p>
<p>4 はSupermicro 1027R-WR/Xeon E5-2603 x 2/メモリ 96MByte/Intel 520 SSD 240GB</p>
<p>5 はIntel S5520SC/Xeon X5650 x 2/メモリ 16MByte/Adaptec ASR-5405/HGST SATA 2TB HDD</p>
<p>6,7 Intel S3420GP /Xeon X3440 x 1/メモリ 4MByte/Seagate SATA 320GB HDD</p>
<p>表中の総クロックGHzはクロックxコア数で計算してあります。</p>
<p>1と2を比べるとHyperThreadingをOFFにしても、スコアが変わらないことがわかります。また、1と3を比べると、コア数が半分になり総クロックが半分になると、スコアが約半分になっています。</p>
<p>また、3と4からは、総クロックにだいたい比例しているようです。</p>
<p>したがって、Linpack性能は、同じ世代のCPUであればHTの有無には依存せず、総クロックに比例すると考えられます。</p>
<p>CPUの世代の異なる1と5を比べると、最新のXeon E5-2650(Sandybridge)のスコアは約230GFlopsで、一世代前のXeon X5650(Westmere)のスコア約114GFlops比べて、倍以上の性能があることがわかります。</p>
<p>Xeon X5650(Westmere)とXeon X3440(Lynnfield)は同じ世代のプロセッサですが、 5と6を比べてみると、だいたい総クロックに比例した性能になっていることがわかります。</p>
<p>一番右の行にスコア/総クロックを示してみましたが、<a rel="external" href="http://ja.wikipedia.org/wiki/FLOPS">このページ</a>によると理論性能は、Nehalem/Westmere/Lynnfield世代で4、Sandybridge世代で8であるので、だいたいこれに近い値になっていることがわかります。</p>
<p>次の上記のマシン上に作成した仮想マシンの性能を調べてみました。</p>
<p>仮想マシン</p>
<table><thead><tr><th>マシン名</th><th>仮想マシン種類</th><th>CPU スペック</th><th>メモリGByte</th><th>総クロックGHz</th><th>スコアGFlops</th><th>スコア/総クロック</th></tr></thead><tbody>
<tr><td>kvm1</td><td>kvm</td><td>2.0GHz x 2 (Xeon E5-2650) </td><td>4</td><td>4</td><td>28.2</td><td>7.05</td></tr>
<tr><td>kvm2</td><td>kvm</td><td>2.0GHz x 16 (Xeon E5-2650)</td><td>4</td><td>32</td><td>187.3</td><td>5.85</td></tr>
<tr><td>kvm3</td><td>kvm</td><td>2.67GHz x 2 (Xeon X5650)</td><td>2</td><td>5.34</td><td>21.9</td><td>4.10</td></tr>
<tr><td>kvm4</td><td>kvm</td><td>2.53GHz x 2 (Xeon X3440)</td><td>2</td><td>5.06</td><td>20.13</td><td>3.98</td></tr>
<tr><td>sak1</td><td>Sakura VPS</td><td>2.4GHz x 2 (Core 2 DuoT7700)</td><td>1</td><td>4.8</td><td>11.7</td><td>2.43</td></tr>
<tr><td>xen1</td><td>xenserver 6.1</td><td>1.8GHz x 8 (Xeon E5-2603)</td><td>4</td><td>14.4</td><td>6.8</td><td>0.47</td></tr>
<tr><td>xen2</td><td>xenserver 6.1</td><td>1.8GHz x 1 (Xeon E5-2603)</td><td>4</td><td>1.8</td><td>6.8</td><td>3.78</td></tr>
</tbody></table>
<p>kvm1のスコア/総クロックは7.05で理論値の8に近く、上の物理マシン表と比べても遜色なく、なかなか優秀と言えます。しかしながらkvm2の場合には、5.85と若干下がった値になっています。kvmのゲストカーネルはNUMA対応カーネルにしていないので、それが原因かもしれません。</p>
<p>kvm3、kvm4のスコア/総クロックを見ると優秀ではありますが、理論値の4に非常に近いか、又は超えてしまっており、ちょっと不自然です。ターボブースト機能により、実際のコアのクロックが上がっているのかもしれません。</p>
<p>sak1のスコア/総クロックは2.43は、Core 2 Duoの理論値4よりもだいぶ小さく、あまり優秀ではありません。</p>
<p>xen1、xen2も、Sandybridge世代の理論値8よりもかなり小さく、全く優秀ではありません。xen1は8CPUにも関わらず、1CPUのxen2とスコアが変わらず、仮想の8CPUのスレッドが、一個の物理コア上で実行されているように見受けられます。</p>
<p>以上、まとめると、</p>
<p>Linpackの性能はCPUの世代間で進歩があり、同じ世代のCPUであれば、おおよそクロックxコア数に比例しています。</p>
<p>また、kvmの仮想マシンは総じて優秀であるが、NUMAアーキテクチャのホストでホストのCPUと同じくらいのCPUをゲストに割り当てようとすると、性能は総クロックで期待されるよりも落ちてしまう。</p>
<p>xenserverはあまり、優秀ではありません。</p>
<p>SakuraのVPSもあまり優秀ではありません。</p>
<p>性能を求めるなら、最新の物理サーバを用いるのがおすすめで、仮想マシンを使いたいなら、VPSサービスではなく、自前でkvmによる仮想環境作るのが良いと言えるでしょう。</p>
KVMのゲストマシンとさくらのVPSでUnixBench採ってみました
2013-05-09T00:00:00+00:00
2013-05-09T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/05/kvmvpsunixbench.html/
<p>みなさん、こんにちは(^^)/</p>
<p>楽しかったゴールデンウィークも終わってしましたが、いかがお過ごしでしょうか?</p>
<p>私はというと、行楽日和の晴天を横目に、薄暗い事務所の中でコンピューターに向かって黙々と仕事をこなす毎日ですw</p>
<p>さて、仕事でUnixBenchを採る機会がありましたので、個人的な備忘録の意味も含め、ここに記録して(晒して)おきたいと思います。</p>
<p>UnixBenchは以下のページから取ってきます。</p>
<p><a rel="external" href="https://code.google.com/p/byte-unixbench/">https://code.google.com/p/byte-unixbench/</a></p>
<blockquote>
<p>wget http://byte-unixbench.googlecode.com/files/UnixBench5.1.3.tgz</p>
<p>tar xvf UnixBench5.1.3.tgz</p>
<p>cd UnixBench</p>
</blockquote>
<p>USAGEをざっと眺めると、makeして./Runスクリプトを実行すれば用意されたすべてのテストが実行されるらしいです。</p>
<p>バージョン5.1から新しく用意されたGRAPHICテストを実行したい場合には、Makefileを編集し"GRAPHIC_TESTS = defined"の行を有効にしてmakeする必要がありますが、今回は不要です。 </p>
<p>CPUが二つ以上のシステムの場合、テストは二回実行されます。一回目は一セットのテストが同時実行され、二回目はCPUの数をNとすると、Nセットのテストが並列に同時実行されます。 </p>
<p>テストの実行時間は一セットおよそ29分で、マルチCPUマシン上で、GRAPHICテストを行わない場合、およそ、58分程度かかるということです。</p>
<p>今回UnixBenchを実行したのは以下のマシンです。</p>
<p>(1)さくらのVPS512@980円 </p>
<blockquote>
<p>CPU Intel(R) Core(TM)2 Duo CPU T7700 @ 2.40GHz x 2</p>
<p>メモリー 1GByte</p>
<p>OS Debian 6.0.7 Kernel 2.6.32 SMP x86_64</p>
</blockquote>
<p>(2)内製KVMゲストマシン1 (ホストCPU Xeon X5650 @ 2.67GHz)</p>
<blockquote>
<p>CPU QEMU Virtual CPU version 1.0 2.67GHz x 2</p>
<p>メモリー 512MByte</p>
<p>OS Debian 7.0 Kernel 3.9.1 SMP x86_64</p>
</blockquote>
<p>(3)内製KVMゲストマシン2 (ホストCPU Xeon X3440 @ 2.53GHz)</p>
<blockquote>
<p>CPU QEMU Virtual CPU version 1.0 2.52GHz x 2</p>
<p>メモリー 512MByte</p>
<p>OS Debian 7.0 Kernel 3.8.8 SMP x86_64</p>
</blockquote>
<p>(4)(3)のホストマシン </p>
<blockquote>
<p>CPU Intel(R) Xeon(R) CPU X3440 @ 2.53GHz 4core 8thread</p>
<p>メモリー 4GByte</p>
<p>OS Debian 6.0.7 Kernel 3.4.0 SMP x86_64</p>
</blockquote>
<p>(1)さくらのVPS512の結果</p>
<blockquote>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"></code></pre></blockquote>
<p>BYTE UNIX Benchmarks (Version 5.1.3)</p>
<p>System: sak1: GNU/Linux
OS: GNU/Linux -- 2.6.32-5-amd64 -- #1 SMP Mon Jan 9 20:49:59 UTC 2012
Machine: x86_64 (unknown)
Language: en_US.utf8 (charmap="ANSI_X3.4-1968", collate="ANSI_X3.4-1968")
CPU 0: Intel(R) Core(TM)2 Duo CPU T7700 @ 2.40GHz (5320.2 bogomips)
x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET
CPU 1: Intel(R) Core(TM)2 Duo CPU T7700 @ 2.40GHz (5320.2 bogomips)
x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET
13:48:04 up 146 days, 11:37, 1 user, load average: 0.22, 0.12, 0.04; runlevel</p>
<hr />
<p>Benchmark Run: Wed May 08 2013 13:48:04 - 14:16:18
2 CPUs in system; running 1 parallel copy of tests</p>
<p>Dhrystone 2 using register variables 24085942.4 lps (10.0 s, 7 samples)
Double-Precision Whetstone 3098.5 MWIPS (9.9 s, 7 samples)
Execl Throughput 2249.6 lps (30.0 s, 2 samples)
File Copy 1024 bufsize 2000 maxblocks 671875.9 KBps (30.0 s, 2 samples)
File Copy 256 bufsize 500 maxblocks 196527.3 KBps (30.0 s, 2 samples)
File Copy 4096 bufsize 8000 maxblocks 1413265.2 KBps (30.0 s, 2 samples)
Pipe Throughput 1897140.7 lps (10.0 s, 7 samples)
Pipe-based Context Switching 287952.8 lps (10.0 s, 7 samples)
Process Creation 5839.1 lps (30.0 s, 2 samples)
Shell Scripts (1 concurrent) 5899.8 lpm (60.0 s, 2 samples)
Shell Scripts (8 concurrent) 1365.4 lpm (60.0 s, 2 samples)
System Call Overhead 3301152.6 lps (10.0 s, 7 samples)</p>
<p>System Benchmarks Index Values BASELINE RESULT INDEX
Dhrystone 2 using register variables 116700.0 24085942.4 2063.9
Double-Precision Whetstone 55.0 3098.5 563.4
Execl Throughput 43.0 2249.6 523.2
File Copy 1024 bufsize 2000 maxblocks 3960.0 671875.9 1696.7
File Copy 256 bufsize 500 maxblocks 1655.0 196527.3 1187.5
File Copy 4096 bufsize 8000 maxblocks 5800.0 1413265.2 2436.7
Pipe Throughput 12440.0 1897140.7 1525.0
Pipe-based Context Switching 4000.0 287952.8 719.9
Process Creation 126.0 5839.1 463.4
Shell Scripts (1 concurrent) 42.4 5899.8 1391.5
Shell Scripts (8 concurrent) 6.0 1365.4 2275.7
System Call Overhead 15000.0 3301152.6 2200.8
========
System Benchmarks Index Score 1217.3</p>
<hr />
<p>Benchmark Run: Wed May 08 2013 14:16:18 - 14:44:33
2 CPUs in system; running 2 parallel copies of tests</p>
<p>Dhrystone 2 using register variables 48543864.7 lps (10.0 s, 7 samples)
Double-Precision Whetstone 6093.3 MWIPS (10.0 s, 7 samples)
Execl Throughput 6641.9 lps (29.6 s, 2 samples)
File Copy 1024 bufsize 2000 maxblocks 775102.5 KBps (30.0 s, 2 samples)
File Copy 256 bufsize 500 maxblocks 214100.7 KBps (30.0 s, 2 samples)
File Copy 4096 bufsize 8000 maxblocks 2170934.3 KBps (30.0 s, 2 samples)
Pipe Throughput 3701877.8 lps (10.0 s, 7 samples)
Pipe-based Context Switching 603992.9 lps (10.0 s, 7 samples)
Process Creation 21862.8 lps (30.0 s, 2 samples)
Shell Scripts (1 concurrent) 10135.8 lpm (60.0 s, 2 samples)
Shell Scripts (8 concurrent) 1410.2 lpm (60.0 s, 2 samples)
System Call Overhead 5432476.9 lps (10.0 s, 7 samples)</p>
<p>System Benchmarks Index Values BASELINE RESULT INDEX
Dhrystone 2 using register variables 116700.0 48543864.7 4159.7
Double-Precision Whetstone 55.0 6093.3 1107.9
Execl Throughput 43.0 6641.9 1544.6
File Copy 1024 bufsize 2000 maxblocks 3960.0 775102.5 1957.3
File Copy 256 bufsize 500 maxblocks 1655.0 214100.7 1293.7
File Copy 4096 bufsize 8000 maxblocks 5800.0 2170934.3 3743.0
Pipe Throughput 12440.0 3701877.8 2975.8
Pipe-based Context Switching 4000.0 603992.9 1510.0
Process Creation 126.0 21862.8 1735.1
Shell Scripts (1 concurrent) 42.4 10135.8 2390.5
Shell Scripts (8 concurrent) 6.0 1410.2 2350.3
System Call Overhead 15000.0 5432476.9 3621.7
========
System Benchmarks Index Score 2166.7</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"></span>
<span class="giallo-l"><span>(2)内製KVMゲストマシン1 (ホストCPU Xeon X5650 @ 2.67GHz)</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>> ```</span></span>
<span class="giallo-l"><span>BYTE UNIX Benchmarks (Version 5.1.3)</span></span>
<span class="giallo-l"><span> System: v147: GNU/Linux</span></span>
<span class="giallo-l"><span> OS: GNU/Linux -- 3.9.1-64kvmg01 -- #1 SMP Wed May 8 22:00:45 JST 2013</span></span>
<span class="giallo-l"><span> Machine: x86_64 (unknown)</span></span>
<span class="giallo-l"><span> Language: en_US.utf8 (charmap="ANSI_X3.4-1968", collate="ANSI_X3.4-1968")</span></span>
<span class="giallo-l"><span> CPU 0: QEMU Virtual CPU version 1.0 (5333.3 bogomips)</span></span>
<span class="giallo-l"><span> x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET</span></span>
<span class="giallo-l"><span> CPU 1: QEMU Virtual CPU version 1.0 (5333.3 bogomips)</span></span>
<span class="giallo-l"><span> x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET</span></span>
<span class="giallo-l"><span> 15:34:32 up 0 min, 1 user, load average: 0.16, 0.03, 0.01; runlevel 2</span></span>
<span class="giallo-l"><span>------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Benchmark Run: Thu May 09 2013 15:34:32 - 16:02:31</span></span>
<span class="giallo-l"><span>2 CPUs in system; running 1 parallel copy of tests</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 30879094.2 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 3749.0 MWIPS (9.1 s, 7 samples)</span></span>
<span class="giallo-l"><span>Execl Throughput 4534.2 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 1097888.6 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 301066.2 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 2055234.3 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Pipe Throughput 2216106.5 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 381391.5 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Process Creation 5417.9 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 9541.0 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 2040.2 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>System Call Overhead 4035159.8 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>System Benchmarks Index Values BASELINE RESULT INDEX</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 116700.0 30879094.2 2646.0</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 55.0 3749.0 681.6</span></span>
<span class="giallo-l"><span>Execl Throughput 43.0 4534.2 1054.5</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 3960.0 1097888.6 2772.4</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 1655.0 301066.2 1819.1</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 5800.0 2055234.3 3543.5</span></span>
<span class="giallo-l"><span>Pipe Throughput 12440.0 2216106.5 1781.4</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 4000.0 381391.5 953.5</span></span>
<span class="giallo-l"><span>Process Creation 126.0 5417.9 430.0</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 42.4 9541.0 2250.2</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 6.0 2040.2 3400.3</span></span>
<span class="giallo-l"><span>System Call Overhead 15000.0 4035159.8 2690.1</span></span>
<span class="giallo-l"><span> ========</span></span>
<span class="giallo-l"><span>System Benchmarks Index Score 1681.5</span></span>
<span class="giallo-l"><span>------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Benchmark Run: Thu May 09 2013 16:02:31 - 16:30:31</span></span>
<span class="giallo-l"><span>2 CPUs in system; running 2 parallel copies of tests</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 61886737.4 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 7438.8 MWIPS (9.1 s, 7 samples)</span></span>
<span class="giallo-l"><span>Execl Throughput 8960.8 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 1356632.6 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 228901.8 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 3404779.9 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Pipe Throughput 4411432.3 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 792350.4 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Process Creation 29506.4 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 16737.4 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 2339.6 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>System Call Overhead 6544409.1 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>System Benchmarks Index Values BASELINE RESULT INDEX</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 116700.0 61886737.4 5303.1</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 55.0 7438.8 1352.5</span></span>
<span class="giallo-l"><span>Execl Throughput 43.0 8960.8 2083.9</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 3960.0 1356632.6 3425.8</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 1655.0 228901.8 1383.1</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 5800.0 3404779.9 5870.3</span></span>
<span class="giallo-l"><span>Pipe Throughput 12440.0 4411432.3 3546.2</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 4000.0 792350.4 1980.9</span></span>
<span class="giallo-l"><span>Process Creation 126.0 29506.4 2341.8</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 42.4 16737.4 3947.5</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 6.0 2339.6 3899.4</span></span>
<span class="giallo-l"><span>System Call Overhead 15000.0 6544409.1 4362.9</span></span>
<span class="giallo-l"><span> ========</span></span>
<span class="giallo-l"><span>System Benchmarks Index Score 2963.7</span></span></code></pre>
<p>(3)内製KVMゲストマシン2 (ホストCPU Xeon X3440 @ 2.53GHz)</p>
<blockquote>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"></code></pre></blockquote>
<h2 id="byte-unix-benchmarks-version-5-1-3-system-v153-gnu-linuxos-gnu-linux-3-8-8-64kvmg01-1-smp-mon-apr-22-23-44-25-jst-2013machine-x86-64-unknown-language-en-us-utf8-charmap-ansi-x3-4-1968-collate-ansi-x3-4-1968-cpu-0-qemu-virtual-cpu-version-1-4-1-5066-6-bogomips-x86-64-mmx-physical-address-ext-sysenter-sysexit-syscall-sysretcpu-1-qemu-virtual-cpu-version-1-4-1-5066-6-bogomips-x86-64-mmx-physical-address-ext-sysenter-sysexit-syscall-sysret04-21-48-up-2-min-2-users-load-average-0-06-0-02-0-01-runlevel-2">BYTE UNIX Benchmarks (Version 5.1.3)
System: v153: GNU/Linux
OS: GNU/Linux -- 3.8.8-64kvmg01 -- #1 SMP Mon Apr 22 23:44:25 JST 2013
Machine: x86_64 (unknown)
Language: en_US.utf8 (charmap="ANSI_X3.4-1968", collate="ANSI_X3.4-1968")
CPU 0: QEMU Virtual CPU version 1.4.1 (5066.6 bogomips)
x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET
CPU 1: QEMU Virtual CPU version 1.4.1 (5066.6 bogomips)
x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET
04:21:48 up 2 min, 2 users, load average: 0.06, 0.02, 0.01; runlevel 2</h2>
<h2 id="benchmark-run-fri-may-10-2013-04-21-48-04-49-562-cpus-in-system-running-1-parallel-copy-of-testsdhrystone-2-using-register-variables-28700468-1-lps-10-0-s-7-samples-double-precision-whetstone-3603-2-mwips-10-0-s-7-samples-execl-throughput-4820-8-lps-30-0-s-2-samples-file-copy-1024-bufsize-2000-maxblocks-1136729-9-kbps-30-0-s-2-samples-file-copy-256-bufsize-500-maxblocks-313902-4-kbps-30-0-s-2-samples-file-copy-4096-bufsize-8000-maxblocks-2329713-1-kbps-30-0-s-2-samples-pipe-throughput-1937085-6-lps-10-0-s-7-samples-pipe-based-context-switching-416442-2-lps-10-0-s-7-samples-process-creation-4905-0-lps-30-0-s-2-samples-shell-scripts-1-concurrent-5206-7-lpm-60-0-s-2-samples-shell-scripts-8-concurrent-2342-7-lpm-60-0-s-2-samples-system-call-overhead-3696866-5-lps-10-0-s-7-samples-system-benchmarks-index-values-baseline-result-indexdhrystone-2-using-register-variables-116700-0-28700468-1-2459-3double-precision-whetstone-55-0-3603-2-655-1execl-throughput-43-0-4820-8-1121-1file-copy-1024-bufsize-2000-maxblocks-3960-0-1136729-9-2870-5file-copy-256-bufsize-500-maxblocks-1655-0-313902-4-1896-7file-copy-4096-bufsize-8000-maxblocks-5800-0-2329713-1-4016-7pipe-throughput-12440-0-1937085-6-1557-1pipe-based-context-switching-4000-0-416442-2-1041-1process-creation-126-0-4905-0-389-3shell-scripts-1-concurrent-42-4-5206-7-1228-0shell-scripts-8-concurrent-6-0-2342-7-3904-5system-call-overhead-15000-0-3696866-5-2464-6-system-benchmarks-index-score-1606-1">Benchmark Run: Fri May 10 2013 04:21:48 - 04:49:56
2 CPUs in system; running 1 parallel copy of tests
Dhrystone 2 using register variables 28700468.1 lps (10.0 s, 7 samples)
Double-Precision Whetstone 3603.2 MWIPS (10.0 s, 7 samples)
Execl Throughput 4820.8 lps (30.0 s, 2 samples)
File Copy 1024 bufsize 2000 maxblocks 1136729.9 KBps (30.0 s, 2 samples)
File Copy 256 bufsize 500 maxblocks 313902.4 KBps (30.0 s, 2 samples)
File Copy 4096 bufsize 8000 maxblocks 2329713.1 KBps (30.0 s, 2 samples)
Pipe Throughput 1937085.6 lps (10.0 s, 7 samples)
Pipe-based Context Switching 416442.2 lps (10.0 s, 7 samples)
Process Creation 4905.0 lps (30.0 s, 2 samples)
Shell Scripts (1 concurrent) 5206.7 lpm (60.0 s, 2 samples)
Shell Scripts (8 concurrent) 2342.7 lpm (60.0 s, 2 samples)
System Call Overhead 3696866.5 lps (10.0 s, 7 samples)
System Benchmarks Index Values BASELINE RESULT INDEX
Dhrystone 2 using register variables 116700.0 28700468.1 2459.3
Double-Precision Whetstone 55.0 3603.2 655.1
Execl Throughput 43.0 4820.8 1121.1
File Copy 1024 bufsize 2000 maxblocks 3960.0 1136729.9 2870.5
File Copy 256 bufsize 500 maxblocks 1655.0 313902.4 1896.7
File Copy 4096 bufsize 8000 maxblocks 5800.0 2329713.1 4016.7
Pipe Throughput 12440.0 1937085.6 1557.1
Pipe-based Context Switching 4000.0 416442.2 1041.1
Process Creation 126.0 4905.0 389.3
Shell Scripts (1 concurrent) 42.4 5206.7 1228.0
Shell Scripts (8 concurrent) 6.0 2342.7 3904.5
System Call Overhead 15000.0 3696866.5 2464.6
========
System Benchmarks Index Score 1606.1</h2>
<p>Benchmark Run: Fri May 10 2013 04:49:56 - 05:18:04
2 CPUs in system; running 2 parallel copies of tests
Dhrystone 2 using register variables 54903785.4 lps (10.0 s, 7 samples)
Double-Precision Whetstone 6894.6 MWIPS (10.0 s, 7 samples)
Execl Throughput 9306.8 lps (30.0 s, 2 samples)
File Copy 1024 bufsize 2000 maxblocks 1347898.4 KBps (30.0 s, 2 samples)
File Copy 256 bufsize 500 maxblocks 354944.7 KBps (30.0 s, 2 samples)
File Copy 4096 bufsize 8000 maxblocks 3256880.8 KBps (30.0 s, 2 samples)
Pipe Throughput 3680672.6 lps (10.0 s, 7 samples)
Pipe-based Context Switching 740043.1 lps (10.0 s, 7 samples)
Process Creation 34071.7 lps (30.0 s, 2 samples)
Shell Scripts (1 concurrent) 17647.1 lpm (60.0 s, 2 samples)
Shell Scripts (8 concurrent) 2415.1 lpm (60.0 s, 2 samples)
System Call Overhead 5929544.7 lps (10.0 s, 7 samples)
System Benchmarks Index Values BASELINE RESULT INDEX
Dhrystone 2 using register variables 116700.0 54903785.4 4704.7
Double-Precision Whetstone 55.0 6894.6 1253.6
Execl Throughput 43.0 9306.8 2164.4
File Copy 1024 bufsize 2000 maxblocks 3960.0 1347898.4 3403.8
File Copy 256 bufsize 500 maxblocks 1655.0 354944.7 2144.7
File Copy 4096 bufsize 8000 maxblocks 5800.0 3256880.8 5615.3
Pipe Throughput 12440.0 3680672.6 2958.7
Pipe-based Context Switching 4000.0 740043.1 1850.1
Process Creation 126.0 34071.7 2704.1
Shell Scripts (1 concurrent) 42.4 17647.1 4162.0
Shell Scripts (8 concurrent) 6.0 2415.1 4025.1
System Call Overhead 15000.0 5929544.7 3953.0
========
System Benchmarks Index Score 2991.1</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"></span>
<span class="giallo-l"><span>(4)(3)のホストマシン </span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>> ```</span></span>
<span class="giallo-l"><span>BYTE UNIX Benchmarks (Version 5.1.3)</span></span>
<span class="giallo-l"><span> System: kvm: GNU/Linux</span></span>
<span class="giallo-l"><span> OS: GNU/Linux -- 3.4.0-64kvmh01 -- #1 SMP Fri May 25 14:59:18 JST 2012</span></span>
<span class="giallo-l"><span> Machine: x86_64 (unknown)</span></span>
<span class="giallo-l"><span> Language: en_US.utf8 (charmap="ANSI_X3.4-1968", collate="ANSI_X3.4-1968")</span></span>
<span class="giallo-l"><span> CPU 0: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 1: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 2: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 3: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 4: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 5: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 6: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> CPU 7: Intel(R) Xeon(R) CPU X3440 @ 2.53GHz (5066.2 bogomips)</span></span>
<span class="giallo-l"><span> Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization</span></span>
<span class="giallo-l"><span> 20:37:04 up 113 days, 7:51, 2 users, load average: 0.50, 0.22, 0.52; runlevel 2</span></span>
<span class="giallo-l"><span>------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Benchmark Run: Thu May 09 2013 20:37:04 - 21:05:17</span></span>
<span class="giallo-l"><span>8 CPUs in system; running 1 parallel copy of tests</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 28301315.7 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 3470.1 MWIPS (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Execl Throughput 1569.0 lps (29.9 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 841958.4 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 235274.3 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 1938405.5 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Pipe Throughput 1827474.3 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 54481.2 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Process Creation 3844.0 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 3859.0 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 2910.4 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>System Call Overhead 3240538.1 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>System Benchmarks Index Values BASELINE RESULT INDEX</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 116700.0 28301315.7 2425.1</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 55.0 3470.1 630.9</span></span>
<span class="giallo-l"><span>Execl Throughput 43.0 1569.0 364.9</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 3960.0 841958.4 2126.2</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 1655.0 235274.3 1421.6</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 5800.0 1938405.5 3342.1</span></span>
<span class="giallo-l"><span>Pipe Throughput 12440.0 1827474.3 1469.0</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 4000.0 54481.2 136.2</span></span>
<span class="giallo-l"><span>Process Creation 126.0 3844.0 305.1</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 42.4 3859.0 910.1</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 6.0 2910.4 4850.6</span></span>
<span class="giallo-l"><span>System Call Overhead 15000.0 3240538.1 2160.4</span></span>
<span class="giallo-l"><span> ========</span></span>
<span class="giallo-l"><span>System Benchmarks Index Score 1104.1</span></span>
<span class="giallo-l"><span>------------------------------------------------------------------------</span></span>
<span class="giallo-l"><span>Benchmark Run: Thu May 09 2013 21:05:17 - 21:33:41</span></span>
<span class="giallo-l"><span>8 CPUs in system; running 8 parallel copies of tests</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 110467624.7 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 21211.4 MWIPS (9.9 s, 7 samples)</span></span>
<span class="giallo-l"><span>Execl Throughput 12952.9 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 495833.5 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 134897.1 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 1547822.4 KBps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Pipe Throughput 2276741.3 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 455844.3 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>Process Creation 30000.0 lps (30.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 28230.5 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 3724.5 lpm (60.0 s, 2 samples)</span></span>
<span class="giallo-l"><span>System Call Overhead 3454619.9 lps (10.0 s, 7 samples)</span></span>
<span class="giallo-l"><span>System Benchmarks Index Values BASELINE RESULT INDEX</span></span>
<span class="giallo-l"><span>Dhrystone 2 using register variables 116700.0 110467624.7 9465.9</span></span>
<span class="giallo-l"><span>Double-Precision Whetstone 55.0 21211.4 3856.6</span></span>
<span class="giallo-l"><span>Execl Throughput 43.0 12952.9 3012.3</span></span>
<span class="giallo-l"><span>File Copy 1024 bufsize 2000 maxblocks 3960.0 495833.5 1252.1</span></span>
<span class="giallo-l"><span>File Copy 256 bufsize 500 maxblocks 1655.0 134897.1 815.1</span></span>
<span class="giallo-l"><span>File Copy 4096 bufsize 8000 maxblocks 5800.0 1547822.4 2668.7</span></span>
<span class="giallo-l"><span>Pipe Throughput 12440.0 2276741.3 1830.2</span></span>
<span class="giallo-l"><span>Pipe-based Context Switching 4000.0 455844.3 1139.6</span></span>
<span class="giallo-l"><span>Process Creation 126.0 30000.0 2381.0</span></span>
<span class="giallo-l"><span>Shell Scripts (1 concurrent) 42.4 28230.5 6658.1</span></span>
<span class="giallo-l"><span>Shell Scripts (8 concurrent) 6.0 3724.5 6207.5</span></span>
<span class="giallo-l"><span>System Call Overhead 15000.0 3454619.9 2303.1</span></span>
<span class="giallo-l"><span> ========</span></span>
<span class="giallo-l"><span>System Benchmarks Index Score 2686.9</span></span></code></pre>
<p>以上の結果を見ると、CPU8個のサーバより、2CPUの仮想マシンゲストの方が最終スコアが高かったり、FileCopy関連のインデックスが仮想マシンの方が軒並み高かったり、理解に苦しむ結果が出ています。</p>
<p>今後、別のベンチマークツールで試してみたいと思います。</p>
<p>追記 System Benchmarks Index Scoreではなく、個別のテストごとに比較すべきか。</p>
出荷を待つサーバたち
2013-04-03T00:00:00+00:00
2013-04-03T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/04/blog-post.html/
<p>出荷前テスト中のサーバたちです。</p>
<img src="/2013/04/blog-post.html/image/IMG_2779.JPG" width="400" height="300">
<p>サーバの組上げ後、一日から二日かけて、様々な動作チェック、メモリテストや負荷テストなどを行い、お客様の元へお届けしています。パーツに初期不良がある場合、通常、この段階で発覚します。</p>
<img src="/2013/04/blog-post.html/image/IMG_2775.JPG" width="400" height="300">
<p>今回のサーバは、デュアルXeon E5-2650、メモリー96GB、LSI 9266-8i、Intel 520 SSD という非常に高性能な構成です。</p>
<p>お客様の元で、DBサーバとして大活躍することを期待しております。</p>
CentOSをネットワークインストールしてみる
2013-01-10T00:00:00+00:00
2013-01-10T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2013/01/centos.html/
<p>みなさんこんにちは!</p>
<p>ここ2、3年、OSのインストールも自分でやらなくなってしまった気がしますが、とあるサーバーにCentOS 6.3をインストールすることになりました。備忘録的に記録を書いておこうと思います。</p>
<p>CentOSのダウンロードサイトは、<a rel="external" href="http://www.centos.org/modules/tinycontent/index.php?id=30">この辺り</a>にリスト化されているので、この中のどれかから持ってくれば良さそうです。</p>
<p>今回、linuxカーネルダウンロードでおなじみの<a rel="external" href="http://mirrors.kernel.org/centos/">kernel.orgのサイト</a>からダウンロードして来ようと思います。</p>
<p>ディレクトリを眺めていると、/centos/6.3/os/x86_64/images/pxeboot にネットワークインストールに必要なカーネルとinitrdイメージが置いてあるようなので、ダウンロードしてpxeサーバに置いておきます。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>initrd.img 06-Jul-2012 10:13 30M</span></span>
<span class="giallo-l"><span>vmlinuz 06-Jul-2012 10:13 3.8M</span></span></code></pre>
<p>それにしても、カーネルもinitrdもでかいですね…(^_^;)</p>
<p>pxelinux..cfg/defaultに以下の行を追加</p>
<blockquote>
<p>label cent63
kernel img/centos/6.3-x86_64/vmlinuz
append vga=normal initrd=img/centos/6.3-x86_64/initrd.img panic=10 text console=tty0 </p>
</blockquote>
<p>上記で指定した場所に、先ほどファイルを置いておきます。</p>
<blockquote>
<h1 id="tree-img-centos-6-3-x86-64">tree img/centos/6.3-x86_64/</h1>
<p>img/centos/6.3-x86_64/
├── initrd.img
└── vmlinuz
0 directories, 2 files</p>
</blockquote>
<p>そして対象サーバをpxebootすると、弊社のサーバでは以下の様なメニュー画面が表示されます。</p>
<img src="/2013/01/centos.html/image/20130110_01.jpg" width="400" height="243">
<p>cent63を選択すると、無事インストーラが立ち上がりました。</p>
<img src="/2013/01/centos.html/image/20130110_02.jpg" width="400" height="243">
<p>後は普通にインストールを進めます。</p>
<p>ネットワーク経由でインストールするので、次のメニューではURLを選択します。</p>
<img src="/2013/01/centos.html/image/20130110_03.jpg" width="400" height="242">
<p>URLには、 http://mirrors.kernel.org/centos/6.3/os/x86_64/ と入力し、OKを押します。</p>
<img src="/2013/01/centos.html/image/20130110_04.jpg" width="400" height="243">
<p>すると、インストールイメージを取得します。</p>
<img src="/2013/01/centos.html/image/20130110_05.jpg" width="400" height="243">
<p>その後メニューで、textモードを選択するとインストーラーが起動します。</p>
<img src="/2013/01/centos.html/image/20130110_06.jpg" width="400" height="243">
<p>後は、普通にインストールすればOKです。</p>
シングルソケット ローコスト Intelサーバー
2012-11-13T00:00:00+00:00
2012-11-13T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/11/intel.html/
<p>こんにちは。</p>
<p>Intelのローコスト、シングルソケットサーバの写真です。</p>
<p>固定式HDDベイが4つ、奥行きも短くシンプルなサーバです。</p>
<p>WEBサーバやLinuxルータ用にいかがでしょうか。</p>
<p>(<a rel="external" href="http://clustcom.com/-mainmenu-34/204--ez1ui-e31270ssd">製品紹介ページ</a>)</p>
<img src="/2012/11/intel.html/image/IMG_2113_2.jpg" width="320" height="242">
<img src="/2012/11/intel.html/image/IMG_2104.JPG" width="320" height="240">
iodrive2入荷しました
2012-10-05T00:00:00+00:00
2012-10-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/10/iodrive2.html/
<p>FusionIOが製造しているpci expressタイプのフラッシュストレージiodrive2が入荷しました。<a rel="external" href="http://www.fusionio.com/platforms/iodrive2/">http://www.fusionio.com/platforms/iodrive2/</a></p>
<img src="/2012/10/iodrive2.html/image/IMG_2037.JPG" width="320" height="240">
<p>SSD等のフラッシュメモリを利用したデバイスの登場により、人気のWEBサイト、ゲームサイトなどでボトルネックになりがちだった、データベースサーバが革新的に高速になるようです。</p>
<p>512ByteのランダムIO性能(IOPS)は、Readが143k、Writeが535kだそうです。 バンド幅に換算すると、それぞれ71.5MB/sec、267.5MB/secと、驚異的な性能です。</p>
<p>弊社ではFusionIOのiodriveシリーズを搭載可能なサーバを扱っております。</p>
<p>今回は、下の写真のようなサーバに組み込んで出荷しました。</p>
<img src="/2012/10/iodrive2.html/image/IMG_2041.JPG" width="320" height="240">
ブログ
2012-07-06T00:00:00+00:00
2012-07-06T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/07/blog-post.html/
<p>構えて文章を書こうとするので、なかなか記事が書けない。下書きに未完の記事がいくつかたまっていて、旬を過ぎてしまったものもちらほら…</p>
<p>そういう意味では、構えずに書けるマイクロブログ、Twitterの登場は革命的だったのだけど、人の言動が気になってしまうのと、ソーシャル的なやり取りが面倒くさい。</p>
<p>非ソーシャルなつぶやきとして、書いて行こうかな…</p>
<p>この投稿もたいした結論が無いので、公開をためらっているナウ</p>
KVM用のマシンの引越し
2012-05-29T00:00:00+00:00
2012-05-29T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/05/kvm.html/
<p><a rel="external" href="http://ktaka.blog.clustcom.com/2012_02_01_archive.html">先日立ち上げたKVM用のマシン</a>ですが、同じ機種のwindows serverマシンが故障で起動不能になってしまったため、代替機として使用することになってしまいました。そこで、弊社で過去に販売していたIntel製の1Uサーバに引っ越すことにしました。</p>
<p>スペックは</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>CPU: Intel QuadCore Xeon X3440, 2.53GHz, cache 8 MB </span></span>
<span class="giallo-l"><span>MEM: DDR2 800MHz ECC Unbuffered 2GB x2 </span></span>
<span class="giallo-l"><span>HDD: Seagate ST3320613AS 320GB SATA </span></span>
<span class="giallo-l"><span>NIC: Intel 82574L / 82578DM</span></span></code></pre>
<p>と、メモリが若干少ないですが、なかなか素敵なサーバです。メモリは機会を見て増設することにします。</p>
<img src="/2012/05/kvm.html/image/IMG_2028.JPG" width="320" height="240">
<img src="/2012/05/kvm.html/image/IMG_2030.JPG" width="320" height="240">
<p>ちなみに、このサーバの後継機種は<a rel="external" href="http://www.clustcom.com/-mainmenu-34/205--ez1ui-e31270">こちら</a>になります。最新のIntel Xeon E3-12xx v2(Ivybridge)シリーズのプロセッサを搭載していて大変コストパフォーマンスに優れています。</p>
<p>引越し作業は次の様にしました。まず、HDDを載せ替えてブートしてみます。ネットワークが認識しなかったので、ホストカーネルをコンパイルし直しe1000eを有効にしました。</p>
<p>このマシンのKVM環境、前回のブログを書いてからそのまま放置していたので、まだ完成していません。</p>
<p>近いうちにちゃんと使えるようにしておきたいと思います。</p>
10GBaseTとSFP+DACの比較
2012-05-14T00:00:00+00:00
2012-05-14T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/05/10gbasetsfpdac.html/
<p>タイトルの件について調べ物をしたので、メモ。</p>
<p>レイテンシ</p>
<p>10GBaseTの規格ではエラー無くデータを転送するために、ブロックエンコーディングを行う。そのためには、ブロックサイズ分のデータを送信PHYに読み込み、エンコーディングを行ったのち、送信することが必要である。受信側では、その反対が必要である。規格によると、送受信PHYのペアで2.56μsの遅延を許容している。ブロックデータのサイズを考慮に入れると、リンクあたり2μs以下にすることは不可能である。</p>
<p>SFP+の場合には、ブロックエンコーディングが無く、より単純なエレクトロニクス構成であるため、遅延は典型値で300ns程度である。</p>
<p>それぞれの場合に、さらにメディア遅延を考慮する必用があるが、光であれ電気信号であれ、およそ5ns/m程度である。</p>
<p>最大ケーブル長</p>
<p>10GBaseTの場合、Cat6AまたはCat7ケーブルの利用により、100mまで通信可能である。</p>
<p>パッチパネルも使用可能である。</p>
<p>ダイレクトアタッチケーブルの場合、8.5mまでである。</p>
<p>25mまで大丈夫なケーブルも提案されている。</p>
<p>消費電力</p>
<p>10GBaseTは4W-6W/port(片側)</p>
<p>SFP+DACは1.5W/port(片側)</p>
<p>ソースは以下のホワイトペーパー</p>
<p><a rel="external" href="http://www.missioncriticalmagazine.com/ext/resources/MC/Home/Files/PDFs/WP_Blade_Ethernet_Cabling.pdf">http://www.missioncriticalmagazine.com/ext/resources/MC/Home/Files/PDFs/WP_Blade_Ethernet_Cabling.pdf</a></p>
<p>HPCなどの分野では遅延が少ない方が良いので、SFP+DACの方がお勧めということらしい。</p>
<p>Webやゲームのデータセンター用途で、2.6µsの遅延が問題になるのか、気になるところ。</p>
<p>ちなみにアリスタの10Gスイッチの遅延は、以下のサイトによると10GBaseTで3-3.6µs、SFP+で0.8-1.15µsである。</p>
<p><a rel="external" href="http://www.aristanetworks.com/jp/products/7050series/7050t">http://www.aristanetworks.com/jp/products/7050series/7050t</a></p>
<p><a rel="external" href="http://www.aristanetworks.com/jp/products/7050series/7050s">http://www.aristanetworks.com/jp/products/7050series/7050s</a></p>
Intel 10GBaseT NICのドライバ
2012-05-14T00:00:00+00:00
2012-05-14T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/05/intel-10gbaset-nic.html/
<p>linuxでは、Intel の10G NIC X540はixgbeでサポートされるようだ。</p>
<p>Device 8086:1528</p>
<p><a rel="external" href="http://pci-ids.ucw.cz/read/PC/8086/1528">http://pci-ids.ucw.cz/read/PC/8086/1528</a></p>
<p>2.6.38からサポートされている</p>
<p><a rel="external" href="http://kernelnewbies.org/Linux_2_6_38-DriversArch">http://kernelnewbies.org/Linux_2_6_38-DriversArch</a></p>
<p>drivers/net/ethernet/intel/ixgbe/ixgbe_x540.c</p>
<p>バニラカーネルであれば使えそう。</p>
10GBaseTイーサネットに関して調べ物
2012-05-10T00:00:00+00:00
2012-05-10T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/05/10gbaset.html/
<p>10GbeのインターフェイスにはCX4、SFP+ファイバー、SFP+ダイレクトアタッチカッパー(DAC)、10GBaseTなどがある。</p>
<p>CX4</p>
<ul>
<li>古い技術で、ケーブルの太さやコネクタの大きさなどから、高集積化には向かない。ケーブル長15mまで。</li>
</ul>
<p>SFP+ファイバー 10GBase-SR</p>
<ul>
<li>
<p>高価である</p>
</li>
<li>
<p>低消費電力、ケーブル長300mまで。</p>
</li>
<li>
<p>サーバにネットワークカードの増設が必用。</p>
</li>
</ul>
<p>SFP+DAC</p>
<ul>
<li>
<p>比較的安価である。ケーブル長は7mまで。</p>
</li>
<li>
<p>サーバにネットワークカードの増設が必用。</p>
</li>
</ul>
<p>10GBaseT</p>
<ul>
<li>
<p>安価である。</p>
</li>
<li>
<p>従来、消費電力が大きく、高コストであると思われていたが、最近のプロセステクノロジーによりそうでもなくなった。NICの消費電力が初期の25W/portから6W/portに低下した。</p>
</li>
<li>
<p>1000BaseTイーサネット環境とポート互換性がある。1ギガビットのNICを持つサーバを10GBaseTのスイッチに接続でき、10GBaseTのNICを持つサーバを1ギガのスイッチに接続することができる。</p>
</li>
<li>
<p>サーバにネットワークカードの増設が必用。10GBaseTポートが搭載されたマザーが出始めている。</p>
</li>
<li>
<p>レイテンシー2μs~4μs。HPCユーザや高頻度な金融取引の用途では、気になるかもしれない。</p>
</li>
<li>
<p>普通はCPUの割り込み負荷低減のために、Interrupt Moderationが使われ、その場合には~100μsのレイテンシーが意図的に追加されるので問題ない。</p>
</li>
</ul>
<p>以上、Intelのホワイトペーパーより</p>
<p><a rel="external" href="http://www.intel.com/content/www/us/en/network-adapters/10-gigabit-network-adapters/10-gigabit-ethernet-10gbase-t-paper.html">http://www.intel.com/content/www/us/en/network-adapters/10-gigabit-network-adapters/10-gigabit-ethernet-10gbase-t-paper.html</a></p>
<p>10GBaseTポート標準搭載のサーバの例</p>
<p>Supermicro 1027R-WRFT+</p>
<p><a rel="external" href="http://www.supermicro.com/products/system/1U/1027/SYS-1027R-WRFT_.cfm">http://www.supermicro.com/products/system/1U/1027/SYS-1027R-WRFT_.cfm</a></p>
<p>Supermicro 6017R-N3RFT+</p>
<p><a rel="external" href="http://www.supermicro.com/products/system/1U/6017/SYS-6017R-N3RFT_.cfm">http://www.supermicro.com/products/system/1U/6017/SYS-6017R-N3RFT_.cfm</a></p>
<p>10GBaseT x 48ポートスイッチ</p>
<p>Arista 7050T-52/7050T-64</p>
<p><a rel="external" href="http://www.aristanetworks.com/jp/products/7050series/7050t">http://www.aristanetworks.com/jp/products/7050series/7050t</a></p>
<p>いずれも弊社から、販売可能です!</p>
10ギガビットイーサネット
2012-05-08T00:00:00+00:00
2012-05-08T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/05/10.html/
<p>そろそろ、10ギガビットイーサネットの時代に入ってきました。</p>
<p>データセンター向けのハイエンドソリューションやHPC向けの高速ネットワーク用途では、10ギガビットのソリューションは数年前から利用されてきたようです。</p>
<p>しかし、数ある10ギガの規格のうちどれがが標準になるか見極めるのが難しく、機器も高価で、なかなか導入が広まらない状況にあったと思います。</p>
<p>最近になって、SFP+ Direct Attach ケーブルを利用したソリューションや、10GBaseTソリューションで、比較的安価な製品が出始めています。</p>
<p>今年は、一気に10ギガビットイーサネットのソリューションが普及するのではないでしょうか。</p>
<p>弊社では、10GBaseT デュアルポートをオンボード搭載したサーバ、Arista Networks社の10GBaseTスイッチなどを、販売していきたいと思います。</p>
Intel SSD 520 240GB 購入しました
2012-04-14T00:00:00+00:00
2012-04-14T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/04/intel-ssd-520-240gb.html/
<p>先日発売されたIntel 520 SSDを購入しました。</p>
<p>インターフェースはSATA 6Gb/s、カタログスペックはシーケンシャルリード 550MB/s、シーケンシャルライト 520MB/s、4KB Random Read 50,000 IOPS、4KB Random Write 80,000 IOPSと大変高性能です。またMTBFは1,200,000時間でニアラインクラスのHDDと同等の信頼性です。</p>
<table><thead><tr><th><img src="/2012/04/intel-ssd-520-240gb.html/image/IMG_1885.JPG" width="320" height="240"></th></tr></thead><tbody>
<tr><td>Intelのカッコいい箱はCPU等と同様のカラーリング。</td></tr>
</tbody></table>
<table><thead><tr><th><img src="/2012/04/intel-ssd-520-240gb.html/image/IMG_1891.JPG" width="320" height="240"></th></tr></thead><tbody>
<tr><td>同梱物の写真 SSD本体、3.5インチマウンター、CD、説明書、シール、 電源ケーブル、SATAケーブル、ネジが同梱されています。</td></tr>
</tbody></table>
<table><thead><tr><th><img src="/2012/04/intel-ssd-520-240gb.html/image/IMG_1895.JPG" width="320" height="240"></th></tr></thead><tbody>
<tr><td>3.5インチマウンタ。通常の電源ケーブルとSATAケーブルを利用する。</td></tr>
</tbody></table>
<table><thead><tr><th><img src="/2012/04/intel-ssd-520-240gb.html/image/IMG_1892.JPG" width="320" height="240"></th></tr></thead><tbody>
<tr><td>SSD本体</td></tr>
</tbody></table>
<table><thead><tr><th><img src="/2012/04/intel-ssd-520-240gb.html/image/IMG_1896.JPG" width="320" height="240"></th></tr></thead><tbody>
<tr><td>カッコいいシールはパソコンに貼るも善し。</td></tr>
</tbody></table>
<p>Raidカードに8本ぶら下げたら、FusionIOなんかよりもお得かも知れないですね。</p>
Kernel Virtual Machine(kvm)のセットアップ
2012-02-15T00:00:00+00:00
2012-02-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/02/kvm.html/
<p>いくつもあるサーバを、仮想化によりまとめることができれば、サーバの保管場所や電気代の節約になる。私の会社ではいくつかのサーバを仮想マシン上で運用している。kvmによる仮想環境の再構築する機会があったので、備忘録的にノウハウというか、工夫した部分について、まとめておきたいと思う。</p>
<p>kvmはそれ用に構築したLinuxカーネルをハイパーバイザーとする仮想マシンである。GuestOSはWindowsやLinuxのみならず、様々なOSがサポートされている。</p>
<p><a rel="external" href="http://www.linux-kvm.org/page/Guest_Support_Status">http://www.linux-kvm.org/page/Guest_Support_Status</a> </p>
<p>今回はDebianLinux上で、バニラカーネルをkvmホスト用に自前でコンパイルしたものに入れ替え、ゲストOSとしてDebianLinuxを複数動かせるようにする。ゲストOSはWEBサーバなどのネットワークサーバ用途を想定しているので、GUI機能は必要ない。したがって、コンソールログインとSSHログインが可能になれば良しとすることにした。</p>
<p>最近のDebianLinuxでは、おそらく標準でGUIを使ってkvmを利用可能である。しかし、仕事で使うとなると中身や仕組みをできるだけ熟知していたくもあるので、余分な機能で被われたディストリビューション標準のツールをあえて使わないことにした。</p>
<p>ハードウェアは、ちょっと昔のDellT105が遊んでいたので、これを使うことにした。今となってはそれほど強力なマシンではないが、4コアのAMD Opteronを搭載しており、メモリスロットも4つある。これにDDR2 ECC 2GBを4本積んで、8GBのメモリを確保した。</p>
<img src="/2012/02/kvm.html/image/IMG_1596.JPG" width="320" height="240">
<img src="/2012/02/kvm.html/image/IMG_1605.JPG" width="320" height="240">
<p><strong>1. ハードウェアスペック</strong>
**
**</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>CPU: Quad-Core AMD Opteron 1352, 2.1GHz, cache 512 KB</span></span>
<span class="giallo-l"><span>MEM: DDR2 800MHz ECC Unbuffered 4GB x8</span></span>
<span class="giallo-l"><span>HDD: Seagate ST3320613AS 320GB SATA</span></span>
<span class="giallo-l"><span>NIC: Broadcom NetXtreme BCM5722</span></span></code></pre>
<p>kvmで仮想マシンを作る場合、IntelのCPUであればIntel VT、AMDのCPUであればAMD-Vに対応している必要がある。CPUのそれらの仮想化支援機能が無ければただの低速エミュレーターになってしまう。</p>
<p>CPUにそれらの機能が備わっているかどうかはメーカーのサイトで確認してもいいし、Linuxが既に動いている実機上で、以下のように確認しても良い。</p>
<p>AMDのマシンであれば、/proc/cpuinfoのflagsを見て、svmというのがあれば良い。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# egrep flags /proc/cpuinfo |head -n 1</span></span>
<span class="giallo-l"><span>flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca</span></span>
<span class="giallo-l"><span>cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext</span></span>
<span class="giallo-l"><span>fxsr_opt pdpe1gb rdtscp lm 3dnowext 3dnow constant_tsc</span></span>
<span class="giallo-l"><span>rep_good nopl nonstop_tsc extd_apicid pni monitor cx16 popcnt</span></span>
<span class="giallo-l"><span>lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse</span></span>
<span class="giallo-l"><span>3dnowprefetch osvw ibs npt lbrv svm_lock</span></span></code></pre>
<p>Intelのマシンの場合、vmxというのがあれば良い。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>ktaka@hana:~$ egrep flags /proc/cpuinfo |head -n 1</span></span>
<span class="giallo-l"><span>flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge</span></span>
<span class="giallo-l"><span>mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm</span></span>
<span class="giallo-l"><span>pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs</span></span>
<span class="giallo-l"><span>bts rep_good nopl xtopology nonstop_tsc aperfmperf pni</span></span>
<span class="giallo-l"><span>pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr</span></span>
<span class="giallo-l"><span>pdcm pcid dca sse4_1 sse4_2 popcnt aes lahf_lm ida arat epb</span></span>
<span class="giallo-l"><span>dts tpr_shadow vnmi flexpriority ept vpid</span></span></code></pre>
<p>**
**</p>
<p><strong>2. ホストカーネルの構築</strong></p>
<p>カーネルはkernel.orgにあるlinux-3.2.9をコンパイルして利用する。</p>
<p><a rel="external" href="http://www.linux-kvm.org/page/Tuning_Kernel">このページ</a>にKVMのホストカーネルの構築に必要なコンパイルフラグがまとめてあるので、これを参考にカーネルを構築した。実際には以下の関連フラグを有効にした。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>CONFIG_CGROUPS=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_DEBUG=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_FREEZER=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_DEVICE=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_CPUACCT=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_MEM_RES_CTLR=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_PERF=y</span></span>
<span class="giallo-l"><span>CONFIG_CGROUP_SCHED=y</span></span>
<span class="giallo-l"><span>CONFIG_BLK_CGROUP=m</span></span>
<span class="giallo-l"><span>CONFIG_DEBUG_BLK_CGROUP=y</span></span>
<span class="giallo-l"><span>CONFIG_HIGH_RES_TIMERS=y</span></span>
<span class="giallo-l"><span>CONFIG_HPET_TIMER=y</span></span>
<span class="giallo-l"><span>CONFIG_HPET_EMULATE_RTC=y</span></span>
<span class="giallo-l"><span>CONFIG_COMPACTION=y</span></span>
<span class="giallo-l"><span>CONFIG_MIGRATION=y</span></span>
<span class="giallo-l"><span>CONFIG_KSM=y</span></span>
<span class="giallo-l"><span>CONFIG_HPET=y</span></span>
<span class="giallo-l"><span>CONFIG_HPET_MMAP=y</span></span>
<span class="giallo-l"><span>CONFIG_HAVE_KVM=y</span></span>
<span class="giallo-l"><span>CONFIG_HAVE_KVM_IRQCHIP=y</span></span>
<span class="giallo-l"><span>CONFIG_HAVE_KVM_EVENTFD=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM_APIC_ARCHITECTURE=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM_MMIO=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM_ASYNC_PF=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTUALIZATION=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM=m</span></span>
<span class="giallo-l"><span>CONFIG_KVM_INTEL=m</span></span>
<span class="giallo-l"><span>CONFIG_KVM_AMD=m</span></span>
<span class="giallo-l"><span>CONFIG_KVM_MMU_AUDIT=y</span></span>
<span class="giallo-l"><span>CONFIG_VHOST_NET=m</span></span></code></pre>
<p>KVMホスト上でブリッジネットワークを利用するために必要な以下のフラグも有効にした。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>CONFIG_BRIDGE_NETFILTER=y</span></span>
<span class="giallo-l"><span>CONFIG_BRIDGE=m</span></span>
<span class="giallo-l"><span>CONFIG_BRIDGE_IGMP_SNOOPING=y</span></span>
<span class="giallo-l"><span>CONFIG_STP=m</span></span>
<span class="giallo-l"><span>CONFIG_LLC=m</span></span></code></pre>
<p>カーネルコンパイル&インストール後、新規カーネルでブートしバージョン確認</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# uname -a</span></span>
<span class="giallo-l"><span>Linux kvm 3.2.9-64kvmh01 #1 SMP Mon Mar 5 21:47:42 JST 2012</span></span>
<span class="giallo-l"><span>x86_64 GNU/Linux</span></span></code></pre>
<p>関連モジュールの確認</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# lsmod |egrep "kvm|bridge"</span></span>
<span class="giallo-l"><span>kvm_amd 71505 0</span></span>
<span class="giallo-l"><span>kvm 566158 1 kvm_amd</span></span>
<span class="giallo-l"><span>bridge 125971 0</span></span>
<span class="giallo-l"><span>stp 2987 1 bridge</span></span>
<span class="giallo-l"><span>llc 8862 2 bridge,stp</span></span></code></pre>
<p><strong>3. ホストOSのネットワーク設定</strong></p>
<p>kvm用のブリッジインターフェースkbr0を作成する。</p>
<p>以下の内容で設定ファイル/etc/network/interfacesを作成する。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>auto lo kbr0</span></span>
<span class="giallo-l"><span>iface lo inet loopback</span></span>
<span class="giallo-l"><span>iface kbr0 inet static</span></span>
<span class="giallo-l"><span> bridge_ports eth0</span></span>
<span class="giallo-l"><span> bridge_stp off</span></span>
<span class="giallo-l"><span> bridge_maxwait 2</span></span>
<span class="giallo-l"><span> address 192.168.20.9</span></span>
<span class="giallo-l"><span> netmask 255.255.252.0</span></span>
<span class="giallo-l"><span> network 192.168.20.0</span></span>
<span class="giallo-l"><span> broadcast 192.168.20.255</span></span>
<span class="giallo-l"><span> gateway 192.168.20.1</span></span>
<span class="giallo-l"><span> pre-up /sbin/ip link set dev eth0 up</span></span></code></pre>
<p>ホストOSを再起動すると、以下の様な状態になります。</p>
<p>ブリッジの状態確認</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# brctl show</span></span>
<span class="giallo-l"><span>bridge name bridge id STP enabled interfaces</span></span>
<span class="giallo-l"><span>kbr0 8000.0022190601e3 no eth0</span></span></code></pre>
<p>ブリッジインターフェースkbr0が作成され、eth0が接続されている。</p>
<p>IPアドレスの確認</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# ip add</span></span>
<span class="giallo-l"><span>1: lo: mtu 16436 qdisc noqueue state UNKNOWN</span></span>
<span class="giallo-l"><span> link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00</span></span>
<span class="giallo-l"><span> inet 127.0.0.1/8 scope host lo</span></span>
<span class="giallo-l"><span>2: eth0: mtu 1500 qdisc mq master kbr0 state UP qlen 1000</span></span>
<span class="giallo-l"><span> link/ether 00:22:19:06:01:e3 brd ff:ff:ff:ff:ff:ff</span></span>
<span class="giallo-l"><span>3: kbr0: mtu 1500 qdisc noqueue state UP</span></span>
<span class="giallo-l"><span> link/ether 00:22:19:06:01:e3 brd ff:ff:ff:ff:ff:ff</span></span>
<span class="giallo-l"><span> inet 192.168.20.9/22 brd 192.168.20.255 scope global kbr0</span></span></code></pre>
<p>ブリッジインターフェースkbr0に192.168.20.9というアドレスが割り当てられている。</p>
<p><strong>4. qemuのコンパイル</strong></p>
<p>kvmによる仮想マシンではLinuxハイパーバイザー上で、kvmに対応したqemuエミュレーターを動作させる。qemuエミュレータ上ではwindowsやlinuxなど、サポートされているOSをゲストOSとして起動することが可能である。</p>
<p>当初はkvmに対応したqemuのソースをkvmプロジェクトのサイトから取得する必要があったが、最近ではqemuの本家のソースにkvmのパッチが既にマージされている。</p>
<p>従って、kvmの開発の最先端のソースを利用したいと言うのでなければ、qemuの本家サイトからソースを取ってくれば良い。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>wget http://wiki.qemu.org/download/qemu-1.0.1.tar.gz</span></span></code></pre>
<p>普通にtarボールを展開して、コンパイル&インストールする。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>tar xf qemu-1.0.1.tar.gz ; cd qemu-1.0.1</span></span>
<span class="giallo-l"><span>./configure --prefix=/kvm/qemu/qemu-1.0.1/ --enable-kvm</span></span>
<span class="giallo-l"><span>make install</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>tree -L 2 /kvm/qemu/</span></span>
<span class="giallo-l"><span>/kvm/qemu/</span></span>
<span class="giallo-l"><span>`-- qemu-1.0.1</span></span>
<span class="giallo-l"><span> |-- bin</span></span>
<span class="giallo-l"><span> |-- etc</span></span>
<span class="giallo-l"><span> `-- share</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>root@kvm:~# /kvm/qemu/qemu-1.0.1/bin/qemu-x86_64 -version</span></span>
<span class="giallo-l"><span>qemu-x86_64 version 1.0,1, Copyright (c) 2003-2008 Fabrice Bellard</span></span></code></pre>
<p><strong>5. ゲストOSイメージの作成</strong></p>
<p>qemuエミュレーター上で動かすゲストLinuxOSイメージを作成する。手順は以下の通り。</p>
<ul>
<li>
<p>スパースなイメージファイルを作成</p>
</li>
<li>
<p>ext4でファイルシステム作成</p>
</li>
<li>
<p>debootstrapでOSインストール</p>
</li>
<li>
<p>ネットワークやルートパスワードの設定等々細々としたを行う</p>
</li>
</ul>
<p>イメージ作成</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>dd if=/dev/zero of=./kvm.img bs=1024 seek=9999999 count=1</span></span></code></pre>
<p>ファイルシステム作成</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>mkfs.ext4 kvm.img</span></span></code></pre>
<p>debootstrapでDebianインストール</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>mount -o loop kvm.img /mnt/tmp/</span></span>
<span class="giallo-l"><span>debootstrap --include=openssh-server,openssh-client,\</span></span>
<span class="giallo-l"><span>rsync,pciutils,acpid squeeze /mnt/tmp/</span></span></code></pre>
<p>その他の細々した設定</p>
<p>シリアルコンソール設定</p>
<p>/mnt/tmp/etc/inittab にttyS0の設定を加える</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>T0:23:respawn:/sbin/getty -L ttyS0 19200 vt100</span></span></code></pre>
<p>BIOSクロックをUTCと見做さない設定(JSTのsystem dateが終了時にBIOSに書き込まれる。仮想マシンでは関係ないかも?)</p>
<p>/mnt/tmp/etc/default/rcS</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>UTC=no</span></span></code></pre>
<p>ネットワーク設定(DHCPでアドレスを取得するようにする。) </p>
<p>/mnt/tmp/etc/network/interfaces</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>auto lo eth0</span></span></code></pre><pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span> iface lo inet loopback</span></span>
<span class="giallo-l"><span> iface eth0 inet dhcp</span></span></code></pre>
<p>余計なudevルールの削除</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>rm /mnt/tmp/etc/udev/rules.d/70-persistent-net.rules</span></span></code></pre>
<p>パスワード初期設定、apt-cache掃除、timezoneをJSTに。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>chroot /mnt/tmp/</span></span>
<span class="giallo-l"><span>passwd</span></span>
<span class="giallo-l"><span>apt-get clean</span></span>
<span class="giallo-l"><span>dpkg-reconfigure tzdata</span></span></code></pre>
<p><strong>6. ゲストカーネルのコンパイル</strong></p>
<p>kvm上で仮想マシンを動かす場合、ゲストOSは改変不要でハードウェア上で動かす場合のカーネルがそのまま動く。これはしばしば完全仮想化と呼ばれる。しかしながら、仮想マシン用のドライバを使うようにしてやることで、ゲストOSの性能を大幅に向上することが可能である。仮想マシン用のドライバを利用した方法は、しばしば準仮想化と呼ばれる。</p>
<p>今回も準仮想化を使いたいし、なるべく必要最小限のドライバのみを有効にした、シンプルなカーネルを使いたいので、バニラソースからカーネルをコンパイルする。</p>
<p>必要なコンパイルフラグは、ホストカーネルの場合と同様に<a rel="external" href="http://www.linux-kvm.org/page/Tuning_Kernel">このページ</a>を参考にして有効にした。結局以下の関連フラグが有効にしてある。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>CONFIG_HOTPLUG=y</span></span>
<span class="giallo-l"><span>CONFIG_TICK_ONESHOT=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT_GUEST=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT_TIME_ACCOUNTING=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM_CLOCK=y</span></span>
<span class="giallo-l"><span>CONFIG_KVM_GUEST=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT_SPINLOCKS=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT_CLOCK=y</span></span>
<span class="giallo-l"><span>CONFIG_PARAVIRT_DEBUG=y</span></span>
<span class="giallo-l"><span>CONFIG_MEMORY_HOTPLUG=y</span></span>
<span class="giallo-l"><span>CONFIG_MEMORY_HOTPLUG_SPARSE=y</span></span>
<span class="giallo-l"><span>CONFIG_MEMORY_HOTREMOVE=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRT_TO_BUS=y</span></span>
<span class="giallo-l"><span>CONFIG_HOTPLUG_CPU=y</span></span>
<span class="giallo-l"><span>CONFIG_ARCH_ENABLE_MEMORY_HOTPLUG=y</span></span>
<span class="giallo-l"><span>CONFIG_ARCH_ENABLE_MEMORY_HOTREMOVE=y</span></span>
<span class="giallo-l"><span>CONFIG_ACPI_HOTPLUG_CPU=y</span></span>
<span class="giallo-l"><span>CONFIG_PCI_MSI=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_BLK=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_NET=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_CONSOLE=y</span></span>
<span class="giallo-l"><span>CONFIG_HW_RANDOM_VIRTIO=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_RING=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_PCI=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_BALLOON=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRTIO_MMIO=y</span></span>
<span class="giallo-l"><span>CONFIG_VIRT_DRIVERS=y</span></span>
<span class="giallo-l"><span>CONFIG_HAVE_KVM=y</span></span></code></pre>
<p>今回、モジュールを使わずにモノリシックなカーネルにした。コンパイルしたカーネルは、適当決めたディレクトリ/kvm/bootに置いた。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>root@kvm:~# ls -la /kvm/boot/</span></span>
<span class="giallo-l"><span>total 8728</span></span>
<span class="giallo-l"><span>drwxr-xr-x 2 root root 4096 Mar 8 03:38 .</span></span>
<span class="giallo-l"><span>drwxr-xr-x 10 root root 4096 Mar 6 17:12 ..</span></span>
<span class="giallo-l"><span>-rw-r--r-- 1 root root 1105677 Mar 8 03:38 System.map-3.2.9-64kvmg01</span></span>
<span class="giallo-l"><span>-rw-r--r-- 1 root root 44798 Mar 8 03:38 config-3.2.9-64kvmg01</span></span>
<span class="giallo-l"><span>-rw-r--r-- 1 root root 3152304 Mar 8 03:38 vmlinuz-3.2.9-64kvmg01</span></span></code></pre>
<p>**</p>
<p>**
7. ゲストOSの起動コマンド</p>
<p>ゲストOSはqemuエミュレーター上で動作する。ゲストOSを起動するには、qemuコマンドを適切なオプションで実行すれば良い。kvmによる仮想マシンは、ホストOS(Linuxハイパーバイザー)上からは単なるqemuプロセスに見える。従って、それぞれのゲストOSがどのくらいのCPU、メモリ等のリソースを消費しているかは、ホストOS上でqemuプロセスがどのくらいそれらのリソースを消費しているかを見れば良い。不要になったゲストOSはいざとなったら、qemuプロセスをkillコマンドでkillすることで、終了させることも可能である。(実際にはもう少し丁寧にshutdownすべきであるが。)</p>
<p>さて、qemuのコマンドのオプションはqemu-system-x86_64 --helpで確認することが可能である。それぞれオプションを試行錯誤し、最終的に我々にとって使い易くしたものが、以下のものである。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>/kvm/qemu/qemu-kvm-1.0/bin/qemu-system-x86_64 \</span></span>
<span class="giallo-l"><span>--enable-kvm -nographic -daemonize \</span></span>
<span class="giallo-l"><span>-drive file=/kvm/data/kvm.img,if=virtio -m 512 \</span></span>
<span class="giallo-l"><span>-kernel /kvm/boot/vmlinuz-3.2.9-64kvmg01 \</span></span>
<span class="giallo-l"><span>-append "console=ttyS0,19200n8 root=/dev/vda" \</span></span>
<span class="giallo-l"><span>-net nic,vlan=0,macaddr=52:54:00:21:00:01,model=virtio \</span></span>
<span class="giallo-l"><span>-net tap,vlan=0,script=/kvm/etc/qemu-ifup,ifname=hoge \</span></span>
<span class="giallo-l"><span>-serial unix:/tmp/con.sock,server,nowait \</span></span>
<span class="giallo-l"><span>-monitor unix:/tmp/mon.sock,server,nowait</span></span></code></pre>
<p>以下、それぞれのオプションについて説明する。</p>
<p><strong>--enable-kvm</strong> Intel-VT またはAMD-Vのハードウェア仮想化支援機能を利用する</p>
<p><strong>-nographic</strong> グラフィカルな出力を無効にし、シリアルをコンソールにリダイレクトする</p>
<p><strong>-daemonize</strong> qemuをデーモンとして起動する</p>
<p><strong>-m 512</strong> メモリを512MByte 割り当てる</p>
<p><strong>-smp 1</strong> 仮想マシンにプロセッサを一つ割り当てる</p>
<p><strong>-kernel</strong> ゲストカーネルを指定。イメージの外、ホストOS上に置くことができる</p>
<p><strong>-append</strong> カーネルに与えるオプションを指定</p>
<p><strong>-drive</strong> <strong>file=</strong> イメージファイルの指定。if=virtioオプションによりパラヴァーチャルなブロックデバイスとして見せる </p>
<p><strong>-net nic,vlan=0,macaddr= ,model=virtio</strong> </p>
<p>NICを作成しvlan=0に接続する。model=virtioオプションによりパラバーチャルなNICに見せる。 </p>
<p><strong>-net tap,vlan=0,script=/kvm/etc/qemu-ifup,ifname=hoge</strong> </p>
<p>ホストにtapデバイスhogeを作成しvlan=0に接続する。そしてスクリプト/kvm/etc/qemu-ifupを実行する。</p>
<p><strong>-serial unix:/tmp/con.sock,server,nowait</strong> シリアルポートをUNIXドメインソケット/tmp/con.sockにリダイレクトする。</p>
<p><strong>-monitor unix:/tmp/mon.sock,server,nowait</strong> </p>
<p>QemuのモニターをUNIXドメインソケット/tmp/mon.sockにリダイレクトする。</p>
<p>serial,monitorのUNIXドメインソケットへのリダイレクトがミソ。</p>
<p>nographic, daemonizeオプションによりバックグラウンドで実行している仮想マシンを/tmp/mon.sock、/tmp/con.sockから制御することが可能である。serial、monitorをtcpやtelnetなどなどのネットワーク接続口にリダイレクトすることも可能であるが、その場合、認証無しでmonitorコンソールアクセスしqemuをコントロールすることができてしまう。UNIXドメインソケットを利用する場合、rootユーザのみにUNIXドメインソケットへの読み書き許可を与えることで、ホストOS上ののrootユーザのみにアクセス許可を与えることができるようになる。</p>
<p><strong>8. script=/kvm/etc/qemu-ifupで何をしているのか</strong></p>
<p>**</p>
<p>**</p>
<p>/kvm/etc/qemu-ifupの内容</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/sh</span></span>
<span class="giallo-l"><span>/sbin/ip link set dev $1 up promisc off</span></span>
<span class="giallo-l"><span>/usr/sbin/brctl addif kbr0 $1</span></span></code></pre>
<p>タップデバイスhogeがブリッジkbr0に接続されている。</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>brctl show</span></span>
<span class="giallo-l"><span>bridge name bridge id STP enabled interfaces</span></span>
<span class="giallo-l"><span>kbr0 8000.0022190601e3 no eth0</span></span>
<span class="giallo-l"><span> hoge</span></span></code></pre>
<p><strong>9. UNIXドメインソケットへの接続方法</strong></p>
<p>socatコマンドで接続可能である。</p>
<p>QEMUモニタへの接続</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>socat -,icanon=0,echo=0 unix-connect:/tmp/mon.sock</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>QEMU 1.0,1 monitor - type 'help' for more information</span></span>
<span class="giallo-l"><span>(qemu)</span></span></code></pre>
<p>シリアルコンソールへの接続</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>socat -,icanon=0,echo=0 unix-connect:/tmp/con.sock</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>Debian GNU/Linux 6.0 (none) ttyS0</span></span>
<span class="giallo-l"></span>
<span class="giallo-l"><span>(none) login:</span></span></code></pre>
<p>ただし、このままではctl-cでシリアルコンソール内のプロセスを終了しようとしても、socat自身がグナルを受け取ってしまうので、そのプロセスを終了することができない。その様な場合には、intrなを適当なキーに割り当てると良い。</p>
<p>例えば、次の様なラッパスクリプトを利用することで、socatにinterruptシグナルを送る場合のキーバインディングをctl+]に変更することができる。ctl+cを叩いた場合、socat自身gはシグナルとして受け取らず、接続先のプロセスがctl+cをinterruptシグナルとして受け取ることになる。</p>
<p>test_con.sh</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>#!/bin/bash</span></span>
<span class="giallo-l"><span>tty_setting=`stty -g`</span></span>
<span class="giallo-l"><span>stty intr ^]</span></span>
<span class="giallo-l"><span>socat -,icanon=0,echo=0 unix-connect:/tmp/con.sock</span></span>
<span class="giallo-l"><span>stty $tty_setting</span></span></code></pre>
<p>**A1. 素のqemuとkvmどのくらい速さが違うの? **</p>
<p>sysbenchと言うベンチマークツールを使って、簡単にCPUベンチマークを実行してみた。</p>
<p>ベンチマークコマンド</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sysbench --num-threads=24 --test=cpu --cpu-max-prime=10000 run</span></span></code></pre>
<p>素のqemu (qemu-system-x86_64 .... )</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Test execution summary:</span></span>
<span class="giallo-l"><span> total time: 58.5005s</span></span></code></pre>
<p>kvmオプション付き (qemu-system-x86_64 <strong>--enable-kvm</strong> .... )</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Test execution summary:</span></span>
<span class="giallo-l"><span> total time: 17.3854s</span></span></code></pre>
<p>約3.4倍高速であった。</p>
<p><strong>A2. qemu-kvmと本家qemuどちらを使うべき?(2012/3現在)</strong></p>
<p>以前は、kvmを使うためには、それ用にパッチの当たったqemuを使う必要があったが、現在kvmサポートパッチは本家qemuにマージされている。しかしながら、wiki.qemu.org/downloadの他にも、sourceforgeにqemu-kvmが存在している。</p>
<p>そこで、sysbenchでベンチマークしてみた。</p>
<p>ベンチマークコマンド</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>sysbench --num-threads=24 --test=cpu --cpu-max-prime=10000 run</span></span></code></pre>
<p>qemu-1.0.1の場合(--enable-kvmオプション付き)</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Test execution summary:</span></span>
<span class="giallo-l"><span> total time: 17.3854s</span></span></code></pre>
<p>qemu-kvm-1.0の場合</p>
<pre class="giallo" style="color: #E1E4E8; background-color: #24292E;"><code data-lang="plain"><span class="giallo-l"><span>Test execution summary:</span></span>
<span class="giallo-l"><span> total time: 17.2720s</span></span></code></pre>
<p>大きな差は見られない。</p>
<p>以上、kvmによる仮想マシンの構築について、備忘録的にまとめた。</p>
<p>部分的であれ記載した情報がお役に立てば幸いである。</p>
1U 4ノードサーバ SR1640TH
2012-01-12T00:00:00+00:00
2012-01-12T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/01/1u-4sr1640th.html/
<p>Intelのクアッドノード、サーバベアボーン</p>
<p>Xeon X3400系ですので、ちょっと古いですが…</p>
<img src="/2012/01/1u-4sr1640th.html/image/IMG_1443.JPG" width="320" height="240">
<p>1Uのシャーシに電源も独立したサーバユニットが二つ。</p>
<img src="/2012/01/1u-4sr1640th.html/image/IMG_1450.JPG" width="320" height="240">
<p>それぞれのサーバユニットにはソケットが二つ。デュアルCPUサーバ一台ではなく、独立したシングルCPUのサーバ二台が、一枚のマザーに載っているという構成。</p>
<img src="/2012/01/1u-4sr1640th.html/image/IMG_1451.JPG" width="320" height="240">
<p>サーバユニットは全面から引き出し可能。メンテナンスは2ノード毎に行うことになる。</p>
<img src="/2012/01/1u-4sr1640th.html/image/IMG_1454.JPG" width="320" height="240">
<p>ServerEnginesのBMC</p>
<img src="/2012/01/1u-4sr1640th.html/image/IMG_1445.JPG" width="320" height="240">
<p>サーバユニットを、シャーシの上に乗せてみました。</p>
1U Sandy Bridge Xeon ファイルサーバ
2012-01-12T00:00:00+00:00
2012-01-12T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2012/01/1u-sandy-bridge-xeon.html/
<p>先日、お客様に納品した1Uサーバのご紹介です。</p>
<p>1UシャーシにSandy Bridge Xeon E3-1270を一個搭載しています。</p>
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1500.JPG" width="320" height="240">
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1498.JPG" width="320" height="240">
<p>フロントには2.5インチのHDDベイが8個あり、SATA、SAS HDD、SSDなどを8本搭載可能です。</p>
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1510.JPG" width="320" height="240">
<p>マザーボードはSupermicro X8SIU-F。このマザーボードは横方向に短いため、1Uシャーシ内への拡張カードの装着が容易になります。今回は、キャパシタ付のRAIDカードASR-5805Zを装着しましたが、いつもは置き場所に困るキャパシタが、余裕で取り付けられました。PCIスロットを二つ占有する、Teslaなどにも向いているのではないかと思います。</p>
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1507.JPG" width="320" height="240">
<p>6本あるメモリスロットは、4Gbyte DDR3 ECC Reg.モジュールで、フル実装。合計24GByteのメモリを搭載しています。</p>
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1505.JPG" width="320" height="240">
<p>ASR-5805Zは1.2GHzのデュアルコアRAIDチップを搭載しているため、比較的発熱が大きいです。十分にカードを冷却するために、FANを二つ増設しています。</p>
<img src="/2012/01/1u-sandy-bridge-xeon.html/image/IMG_1503.JPG" width="320" height="240">
<p>今回は冗長化電源付のシャーシをご希望されました。</p>
今日は自転車通勤
2011-04-25T00:00:00+00:00
2011-04-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/blog-post.html/
<p>暖かくなってきたので、自転車が気持ち良い(^^)</p>
<p><img src="https://ktaka.blog.ccmp.jp/2011/04/blog-post.html/bike1.webp" alt="自転車通勤1" /></p>
<p><img src="https://ktaka.blog.ccmp.jp/2011/04/blog-post.html/bike2.webp" alt="自転車通勤2" /></p>
Galaxy からBlogger アプリ
2011-04-25T00:00:00+00:00
2011-04-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/galaxy-blogger.html/
<p>Galaxy からBlogger アプリを使って投稿。編集機能は不十分だが、気軽に投稿できるのは便利。写真も簡単に貼り付けることができる。</p>
<p>ちなみに、愛用のメガネです。</p>
<!-- 元の画像(メガネの写真)はBlogger CDNから取得不可 -->
HHKB Pro2
2011-04-25T00:00:00+00:00
2011-04-25T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/hhkb-pro2.html/
<p>愛用のキーボードは、Happy Hacking Keyboard Professional 2です。キータッチが秀逸です。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2011/04/hhkb-pro2.html/hhkb.webp" alt="HHKB Pro2" /></p>
rsync --updateオプションで悩む
2011-04-13T00:00:00+00:00
2011-04-13T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/rsync-update.html/
<p>rsyncの--updateオプションは、転送先ファイルのmtimeが転送元よりも新しい場合に、そのファイルのコピーをスキップするオプションである。</p>
<p>しかしながら、シンボリックリンクやスペシャルファイルの場合は、このオプションがあっても、コピーはスキップされない。</p>
<blockquote>
<p>-u, --update</p>
</blockquote>
<blockquote>
<p>This forces rsync to skip any files which exist on the destination and have a modified time that is newer than the source file. (If an existing destination file has a modification time equal to the source file’s, it will be updated if the sizes are different.)</p>
</blockquote>
<blockquote>
<p><strong>Note that this does not affect the copying of symlinks or other special files.</strong> Also, a difference of file format between the sender and receiver is always considered to be important enough for an update, no matter what date is on the objects. In other words, if the source has a directory where the destination has a file, the transfer would occur regardless of the timestamps.</p>
</blockquote>
<p>コピー先のシンボリックの方が新しい場合には、コピーをスキップしたいのだが、どうすれば良いのでしょう?</p>
aufs2.1を試してみる。
2011-04-09T00:00:00+00:00
2011-04-09T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/aufs21.html/
<p>Aufs(AnotherUnionfs)は、複数のディレクトリを単一のディレクトリに見せるスタッカブルなファイルシステムです。Aufsを用いると、リードオンリーなディレクトリの上に、読み書き専用のディレクトリを重ねてマウントすることができます。</p>
<p>今回、これについて試してみました。</p>
<p><strong>インストール手順</strong></p>
<p><a rel="external" href="http://aufs.sourceforge.net/">http://aufs.sourceforge.net/</a>にあるドキュメントを参考にインストールします。</p>
<p>レポジトリの同期とチェックアウト</p>
<p>今回はバニラカーネルにパッチを当てて、カーネルモジュールとしてコンパイルするので、aufs2-standalone.gitのみ同期します。</p>
<blockquote>
<p>root@hana:~/tmp# git clone http://git.c3sl.ufpr.br/pub/scm/aufs/aufs2-standalone.git aufs2-standalone.git</p>
<p>Cloning into aufs2-standalone.git... </p>
</blockquote>
<p>使用するバニラカーネルのバージョンは2.6.38.2なので、aufs2.1-38 をチェックアウトします。</p>
<blockquote>
<p>root@hana:~/tmp# cd aufs2-standalone.git/ </p>
</blockquote>
<blockquote>
<p>root@hana:~/tmp/aufs2-standalone.git# git checkout origin/aufs2.1-38</p>
<p>Note: checking out 'origin/aufs2.1-38'.</p>
<p>You are in 'detached HEAD' state. You can look around, make experimental</p>
<p>changes and commit them, and you can discard any commits you make in this</p>
<p>state without impacting any branches by performing another checkout.</p>
<p>If you want to create a new branch to retain commits you create, you may</p>
<p>do so (now or later) by using -b with the checkout command again. Example:</p>
<p> git checkout -b new_branch_name</p>
<p>HEAD is now at 4c5ce8c... aufs2.1 standalone version for linux-2.6.38 </p>
</blockquote>
<blockquote>
<p>root@hana:~/tmp/aufs2-standalone.git# ls -la</p>
<p>total 356</p>
<p>drwxr-xr-x 7 root root 4096 Apr 8 14:08 .</p>
<p>drwxr-xr-x 3 root root 4096 Apr 8 14:06 ..</p>
<p>drwxr-xr-x 8 root root 4096 Apr 8 14:08 .git</p>
<p>-rw-r--r-- 1 root root 17990 Apr 8 14:07 COPYING</p>
<p>-rw-r--r-- 1 root root 268285 Apr 8 14:08 ChangeLog</p>
<p>drwxr-xr-x 3 root root 4096 Apr 8 14:08 Documentation</p>
<p>-rw-r--r-- 1 root root 1365 Apr 8 14:07 Makefile</p>
<p>-rw-r--r-- 1 root root 14421 Apr 8 14:08 README</p>
<p>-rw-r--r-- 1 root root 2971 Apr 8 14:08 aufs2-base.patch</p>
<p>-rw-r--r-- 1 root root 978 Apr 8 14:08 aufs2-kbuild.patch</p>
<p>-rw-r--r-- 1 root root 8732 Apr 8 14:08 aufs2-standalone.patch</p>
<p>-rw-r--r-- 1 root root 2793 Apr 8 14:08 config.mk</p>
<p>drwxr-xr-x 2 root root 4096 Apr 8 14:08 design</p>
<p>drwxr-xr-x 3 root root 4096 Apr 8 14:08 fs</p>
<p>drwxr-xr-x 3 root root 4096 Apr 8 14:07 include</p>
</blockquote>
<p>linux-2.6.38用のパッチが作成されました。</p>
<p>カーネルソースディレクトリに移動し、パッチを当てます。</p>
<blockquote>
<p>root@hana:~/Kernel/linux-2.6.38.2# patch -p1
patching file fs/splice.c</p>
<p>patching file include/linux/namei.h</p>
<p>patching file include/linux/splice.h</p>
<p>root@hana:~/Kernel/linux-2.6.38.2# patch -p1
patching file fs/Kconfig</p>
<p>patching file fs/Makefile</p>
<p>patching file include/linux/Kbuild</p>
<p>root@hana:~/Kernel/linux-2.6.38.2# patch -p1
patching file fs/file_table.c</p>
<p>patching file fs/inode.c</p>
<p>patching file fs/namei.c</p>
<p>patching file fs/namespace.c</p>
<p>patching file fs/notify/group.c</p>
<p>patching file fs/notify/mark.c</p>
<p>patching file fs/open.c</p>
<p>patching file fs/splice.c</p>
<p>patching file security/commoncap.c</p>
<p>patching file security/device_cgroup.c</p>
<p>patching file security/security.c</p>
</blockquote>
<p>必要なファイルもコピーします。</p>
<blockquote>
<p>root@hana:~/Kernel/linux-2.6.38.2# cp -R ~/tmp/aufs2-standalone.git/Documentation ./</p>
<p>root@hana:~/Kernel/linux-2.6.38.2# cp -R ~/tmp/aufs2-standalone.git/fs ./</p>
<p>root@hana:~/Kernel/linux-2.6.38.2# cp -R ~/tmp/aufs2-standalone.git/include/linux/aufs_type.h ./include/linux/ </p>
</blockquote>
<p>make menuconfig で必要な設定をします。aufsに関する設定パラメータは以下の通りです。</p>
<blockquote>
<p>root@hana:~/Kernel/linux-2.6.38.2# egrep AUFS .config</p>
<p>CONFIG_AUFS_FS=m</p>
<p>CONFIG_AUFS_BRANCH_MAX_127=y</p>
<h1 id="config-aufs-branch-max-511-is-not-set">CONFIG_AUFS_BRANCH_MAX_511 is not set</h1>
<h1 id="config-aufs-branch-max-1023-is-not-set">CONFIG_AUFS_BRANCH_MAX_1023 is not set</h1>
<h1 id="config-aufs-branch-max-32767-is-not-set">CONFIG_AUFS_BRANCH_MAX_32767 is not set</h1>
<p>CONFIG_AUFS_SBILIST=y</p>
<p>CONFIG_AUFS_HNOTIFY=y</p>
<p>CONFIG_AUFS_HFSNOTIFY=y</p>
<p>CONFIG_AUFS_RDU=y</p>
<p>CONFIG_AUFS_SP_IATTR=y</p>
<p>CONFIG_AUFS_SHWH=y</p>
<p>CONFIG_AUFS_BR_RAMFS=y</p>
<p>CONFIG_AUFS_BR_FUSE=y</p>
<p>CONFIG_AUFS_POLL=y</p>
<p>CONFIG_AUFS_BDEV_LOOP=y</p>
<p>CONFIG_AUFS_DEBUG=y</p>
<p>CONFIG_AUFS_MAGIC_SYSRQ=y</p>
</blockquote>
<p>カーネルをコンパイル、インストールして再起動します。</p>
<blockquote>
<p>root@hana:~# modprobe aufs</p>
</blockquote>
<blockquote>
<p>root@hana:~# lsmod |grep auf</p>
<p>aufs 464609 0 </p>
</blockquote>
<blockquote>
<p>root@hana:~# modinfo aufs</p>
<p>filename: /lib/modules/2.6.38.2-64aufs01/kernel/fs/aufs/aufs.ko</p>
<p>version: 2.1-standalone.tree-38-20110404</p>
<p>description: aufs -- Advanced multi layered unification filesystem</p>
<p>author: Junjiro R. Okajima</p>
<p>license: GPL</p>
<p>srcversion: D52E89D4B96A545C9E3E064</p>
<p>depends: </p>
<p>vermagic: 2.6.38.2-64aufs01 SMP mod_unload modversions</p>
<p>parm: sysrq:MagicSysRq key for aufs (charp)</p>
<p>parm: debug:debug print (int)</p>
<p>parm: brs:use /fs/aufs/si_*/brN (int)</p>
</blockquote>
<p>インストールは以上です。Debian squeezeだとmountコマンドは最初からaufsをサポートしているようです(?要確認)</p>
<p><strong>試してみます。</strong></p>
<p>テストディレクトリを作成する。</p>
<blockquote>
<p>mkdir /tmp/{base,cover,mnt}</p>
</blockquote>
<blockquote>
<p>/tmp/base ベースディレクトリ、リードオンリーマウントする</p>
<p>/tmp/cover 上から重ねるディレクトリ。書き込み可能</p>
<p>/tmp/mnt マウントポイント</p>
</blockquote>
<p>ベースディレクトリにテストディレクトリdir1、テストファイルfile1、file11を作成する。</p>
<blockquote>
<p>mkdir /tmp/base/dir1</p>
<p>echo 1 > /tmp/base/file1</p>
<p>echo 11 > /tmp/base/dir1/file11</p>
</blockquote>
<p>aufsでマウントする。</p>
<blockquote>
<p>mount -t aufs -o br=/tmp/cover=rw:/tmp/base=ro none /tmp/mnt/</p>
<p>mount|grep aufs</p>
<p>none on /tmp/mnt type aufs (rw,br=/tmp/cover=rw:/tmp/base=ro)</p>
</blockquote>
<p>ディレクトリ構造は、それぞれ次のようになる。</p>
<blockquote>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>`-- .wh..wh.plnk</p>
<p>/tmp/mnt</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>4 directories, 5 files</p>
</blockquote>
<p>マウントしたディレクトリに新たにファイルを作成する。</p>
<blockquote>
<p>echo 2 > /tmp/mnt/file2</p>
</blockquote>
<p>リードオンリーの/tmp/baseは変わらずに、書き込み可能な/tmp/coverにfile2が作成される。</p>
<blockquote>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- file2</p>
<p>/tmp/mnt</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>|-- file1</p>
<p>`-- file2</p>
<p>4 directories, 7 files</p>
</blockquote>
<p>ファイルの削除</p>
<p>/tmp/mnt/file1を削除すると、/tmp/cover/.wh.file1が作成され、/tmp/mnt/file1が見えなくなる。</p>
<p>/tmp/mnt/file2を削除すると、単純に/tmp/coverからfile2が消える。</p>
<blockquote>
<p>rm /tmp/mnt/file{1,2}</p>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- .wh.file1</p>
<p>/tmp/mnt</p>
<p>`-- dir1</p>
<p> `-- file11 </p>
</blockquote>
<blockquote>
<p>4 directories, 5 files</p>
</blockquote>
<p>元とは違う内容で/tmp/mnt/file1を作成すると、/tm/cover/にもfile1が作成される。</p>
<blockquote>
<p>echo x > /tmp/mnt/file1</p>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- file1</p>
<p>/tmp/mnt</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>4 directories, 6 files</p>
</blockquote>
<p>それぞれのファイルの内容を確認すると、/tmp/base/file1のみが元の内容のままで、/tmp/cover/file1、/tmp/mnt/file1は新しい内容になっていることがわかる。</p>
<blockquote>
<p>head /tmp/{base,cover,mnt}/file1</p>
<p>==> /tmp/base/file1 /tmp/cover/file1 /tmp/mnt/file1
x</p>
</blockquote>
<p>ディレクトリの削除</p>
<p>/tmp/mnt/dir1を削除すると/tmp/mntからはdir1が消え、/tmp/coverに.wh.dir1が作成される。</p>
<blockquote>
<p>rm -r /tmp/mnt/dir1</p>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- .wh.dir1</p>
<p>/tmp/mnt</p>
<p>`-- file1</p>
<p>3 directories, 5 files</p>
</blockquote>
<p>もう一度/tmp/mnt/dir1を作成してみると、/tmp/coverにあった.wh.dir1が無くなり、新たに/tmp/cover/dir1、/tmp/cover/dir1/.wh..wh..opqが作成される。</p>
<blockquote>
<p>mkdir /tmp/mnt/dir1</p>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- dir1</p>
<p> `-- .wh..wh..opq</p>
<p>/tmp/mnt</p>
<p>|-- dir1</p>
<p>`-- file1</p>
<p>5 directories, 5 files</p>
</blockquote>
<p>/tmp/cover/dir1/.wh..wh..opq の中身は空である。</p>
<blockquote>
<p>file /tmp/cover/dir1/.wh..wh..opq</p>
<p>/tmp/cover/dir1/.wh..wh..opq: empty</p>
</blockquote>
<p>/tmp/mnt/dir1/file11を作成してみると、/tmp/cover/dir1/file11が作成される。</p>
<blockquote>
<p>echo xx > /tmp/mnt/dir1/file11</p>
<p>tree -a /tmp/{base,cover,mnt}</p>
<p>/tmp/base</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>/tmp/cover</p>
<p>|-- .wh..wh.aufs</p>
<p>|-- .wh..wh.orph</p>
<p>|-- .wh..wh.plnk</p>
<p>`-- dir1</p>
<p> |-- .wh..wh..opq</p>
<p> `-- file11</p>
<p>/tmp/mnt</p>
<p>|-- dir1</p>
<p>| `-- file11</p>
<p>`-- file1</p>
<p>5 directories, 7 files</p>
</blockquote>
<p>それぞれのディレクトリにあるfile11の内容は以下の通りで、/tmp/base/dir1/file11が元の内容、/tmp/cover/dir1/file11、/tmp/mnt/dir1/file11が新しい内容である。</p>
<blockquote>
<p>head /tmp/{base,cover,mnt}/dir1/file11</p>
<p>==> /tmp/base/dir1/file11 /tmp/cover/dir1/file11 /tmp/mnt/dir1/file11
xx</p>
</blockquote>
<p><strong>まとめ</strong></p>
<p>スタッカブルなファイルシステムaufsについて試してみた。リードオンリーなディレクトリの上に、読み書き専用のディレクトリを重ねてマウントできることが確認できた。</p>
<p>また、簡単な例のみであるが、ファイルの作成、削除、ディレクトリの作成、削除を行った際に、どのような動作をするのか何となくわかった。</p>
BloggerのDynamic viewがおしゃれ
2011-04-07T00:00:00+00:00
2011-04-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/bloggerdynamic-view.html/
<p>このブログのは<a rel="external" href="http://ktaka.blog.clustcom.com/">http://ktaka.blog.clustcom.com/</a>ですが、</p>
<p>末尾に/viewを追加すると、おしゃれなページに早変わり。</p>
<p>現在、用意されているviewは以下の5つ。</p>
<ul>
<li>
<p><a rel="external" href="http://ktaka.blog.clustcom.com/view/flipcard">http://ktaka.blog.clustcom.com/view/flipcard</a></p>
</li>
<li>
<p><a rel="external" href="http://ktaka.blog.clustcom.com/view/mosaic">http://ktaka.blog.clustcom.com/view/mosaic</a></p>
</li>
<li>
<p><a rel="external" href="http://ktaka.blog.clustcom.com/view/sidebar">http://ktaka.blog.clustcom.com/view/sidebar</a></p>
</li>
<li>
<p><a rel="external" href="http://ktaka.blog.clustcom.com/view/snapshot">http://ktaka.blog.clustcom.com/view/snapshot</a></p>
</li>
<li>
<p><a rel="external" href="http://ktaka.blog.clustcom.com/view/timeslied">http://ktaka.blog.clustcom.com/view/timeslied</a></p>
</li>
</ul>
<p>詳しくは<a rel="external" href="http://www.google.com/support/blogger/bin/answer.py?answer=1229061">ここ</a>と<a rel="external" href="http://www.google.com/support/blogger/bin/answer.py?hl=en&answer=1227173">ここ</a>にアナウンスがあります。</p>
<p>今後、ユーザーがview自体をカスタマイズできるようにもなるようです。</p>
GNU tarでシンボリックリンクのタイムスタンプが保存されない - 1.24以降ならOK
2011-04-07T00:00:00+00:00
2011-04-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2011/04/gnu-tar124ok.html/
<p>GNU tar 1.24以降であれば、タイムスタンプが保存されるようである。</p>
<p><a rel="external" href="http://git.savannah.gnu.org/cgit/tar.git/plain/NEWS?id=release_1_24">http://git.savannah.gnu.org/cgit/tar.git/plain/NEWS?id=release_1_24</a></p>
<blockquote>
<p>** Symbolic link attributes When extracting symbolic links, tar now restores attributes such as last-modified time and link permissions, if the operating system supports this. For example, recent versions of the Linux kernel support setting times on symlinks, and some BSD kernels also support symlink permissions.</p>
</blockquote>
<p>Debian squeeze のtarは1.23である。</p>
<blockquote>
<p>ktaka@hana:~$ tar --version</p>
<p>tar (GNU tar) 1.23</p>
<p>Copyright (C) 2010 Free Software Foundation, Inc.</p>
<p>License GPLv3+: GNU GPL version 3 or later .</p>
<p>This is free software: you are free to change and redistribute it.</p>
<p>There is NO WARRANTY, to the extent permitted by law.</p>
<p>Written by John Gilmore and Jay Fenlason.</p>
</blockquote>
<p>タイムスタンプがApr 1 00:00のシンボリックリンクを作成。</p>
<blockquote>
<p>ktaka@hana:~$ mkdir p</p>
</blockquote>
<blockquote>
<p>ktaka@hana:~$ for i in a b c d e f g ; do ln -s /tmp/$i p/$i; touch -ht 04010000 p/$i ; done</p>
<p>ktaka@hana:~$ ls -la p</p>
<p>total 8</p>
<p>drwxr-xr-x 2 ktaka ktaka 4096 Apr 8 03:03 .</p>
<p>drwx------ 79 ktaka ktaka 4096 Apr 8 03:03 ..</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 a -> /tmp/a</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 b -> /tmp/b</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 c -> /tmp/c</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 d -> /tmp/d</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 e -> /tmp/e</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 f -> /tmp/f</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 g -> /tmp/g</p>
</blockquote>
<p>tarアーカイブを作成</p>
<blockquote>
<p>ktaka@hana:~$ (cd p; tar cf - .)|gzip > p.tgz</p>
</blockquote>
<p>中身を確認すると、確かに正しいタイムスタンプでアーカイブが作成されている。</p>
<blockquote>
<p>ktaka@hana:~$ tar ztvf p.tgz</p>
<p>drwxr-xr-x ktaka/ktaka 0 2011-04-08 03:03 ./</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./f -> /tmp/f</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./c -> /tmp/c</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./g -> /tmp/g</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./a -> /tmp/a</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./e -> /tmp/e</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./d -> /tmp/d</p>
<p>lrwxrwxrwx ktaka/ktaka 0 2011-04-01 00:00 ./b -> /tmp/b</p>
</blockquote>
<p>アーカイブをqディレクトリに展開</p>
<blockquote>
<p>ktaka@hana:~$ mkdir q; (cd q; tar zxf ../p.tgz) ; date</p>
<p>Fri Apr 8 03:16:26 JST 2011</p>
</blockquote>
<p>タイムスタンプがアーカイブを展開した時刻になってしまう。</p>
<blockquote>
<p>ktaka@hana:~$ ls -la q/</p>
<p>total 8</p>
<p>drwxr-xr-x 2 ktaka ktaka 4096 Apr 8 03:03 .</p>
<p>drwx------ 79 ktaka ktaka 4096 Apr 8 03:16 ..</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 a -> /tmp/a</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 b -> /tmp/b</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 c -> /tmp/c</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 d -> /tmp/d</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 e -> /tmp/e</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 f -> /tmp/f</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 8 03:16 g -> /tmp/g</p>
</blockquote>
<p>GNU tar 1.24で試してみる。</p>
<blockquote>
<p>ktaka@hana:~$ ./tar-1.24/_inst/bin/tar --version</p>
<p>tar (GNU tar) 1.24</p>
<p>Copyright (C) 2010 Free Software Foundation, Inc.</p>
<p>License GPLv3+: GNU GPL version 3 or later .</p>
<p>This is free software: you are free to change and redistribute it.</p>
<p>There is NO WARRANTY, to the extent permitted by law.</p>
<p>Written by John Gilmore and Jay Fenlason.</p>
</blockquote>
<p> ディレクトリrに展開してみる。</p>
<blockquote>
<p>ktaka@hana:~$ mkdir r; (cd r; ../tar-1.24/_inst/bin/tar zxf ../p.tgz) ; date</p>
<p>Fri Apr 8 03:35:37 JST 2011</p>
</blockquote>
<blockquote>
<p>ktaka@hana:~$ ls -la r</p>
<p>total 8</p>
<p>drwxr-xr-x 2 ktaka ktaka 4096 Apr 8 03:03 .</p>
<p>drwx------ 81 ktaka ktaka 4096 Apr 8 03:35 ..</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 a -> /tmp/a</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 b -> /tmp/b</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 c -> /tmp/c</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 d -> /tmp/d</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 e -> /tmp/e</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 f -> /tmp/f</p>
<p>lrwxrwxrwx 1 ktaka ktaka 6 Apr 1 00:00 g -> /tmp/g</p>
</blockquote>
<p>正しいタイムスタンプで シンボリックリンクを展開することができた。</p>
<p>参考リンク</p>
<ul>
<li><a rel="external" href="http://www.mail-archive.com/bug-tar@gnu.org/msg02281.html">http://www.mail-archive.com/bug-tar@gnu.org/msg02281.html</a></li>
</ul>
ファイル編集前の簡易バックアップ
2010-09-15T00:00:00+00:00
2010-09-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2010/09/blog-post.html/
<p>Linuxの設定ファイルなどを編集する際に、編集前のファイルのバックアップを取って置きたいことがある。設定をしくじったりした場合に、元の設定に戻したいからだ。</p>
<p>私は、そのために、次のようなシェルコマンドを自作して利用している。</p>
<p>以下の内容で、~/.functionsを作成する。</p>
<blockquote>
<p>bk ()</p>
<p>{</p>
<p> file=${1##*/};</p>
<p> dir=${1%${1##*/}};</p>
<p> ( if [ "$dir" = "" ]; then</p>
<p> true;</p>
<p> else</p>
<p> if [ -d "$dir" ]; then</p>
<p> echo cd $dir;</p>
<p> cd $dir;</p>
<p> else</p>
<p> echo "No such directory: $dir ";</p>
<p> return 1;</p>
<p> fi;</p>
<p> fi;</p>
<p> if [ -f "$file" ]; then</p>
<p> mkdir -p .bk;</p>
<p> echo cp -p $file .bk/$file.$(date +"%Y%m%d%H%M" -r $file);</p>
<p> cp -p $file .bk/$file.$(date +"%Y%m%d%H%M" -r $file);</p>
<p> else</p>
<p> echo "No such file: $file ";</p>
<p> fi )</p>
<p>}</p>
</blockquote>
<p>この関数は、以下のような動作をするものである。</p>
<ul>
<li>
<p>バックアップを取りたいファイルが存在するディレクトリに.bk/とサブディレクトリを作成する。</p>
</li>
<li>
<p>ファイルの最終変更日時(mtime)をサフィックスにもつコピーを作成する。</p>
</li>
</ul>
<p>使用例</p>
<blockquote>
<p>ktaka@hana:~$ . ~/.functions</p>
<p>ktaka@hana:~$ ls -la /home/ktaka/hello</p>
<p>-rw-r--r-- 1 ktaka ktaka 1048576000 May 27 2009 /home/ktaka/hello</p>
<p>ktaka@hana:~$ bk /home/ktaka/hello</p>
<p>cd /home/ktaka/</p>
<p>cp -p hello .bk/hello.200905270208</p>
<p>ktaka@hana:~$ ls -la /home/ktaka/.bk/hello.200905270208</p>
<p>-rw-r--r-- 1 ktaka ktaka 1048576000 May 27 2009 /home/ktaka/.bk/hello.200905270208</p>
</blockquote>
<p> ファイルの更新時をサフィックスに持つので、複数のバックアップファイルが存在する場合でも便利である。</p>
<p>~/.bashrcで.functionsを読み込むようにしておくと良い。</p>
<blockquote>
<p>if [ -f ~/.functions ]; then</p>
<p> . ~/.functions</p>
<p>fi</p>
</blockquote>
i3200でedacを使うには、カーネルを2.6.32にしなければならない。
2010-01-16T00:00:00+00:00
2010-01-16T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2010/01/i3200edac2632.html/
<p>メモリが壊れているかな?</p>
<p>BIOSより、DMIログを覗いてみると。。。</p>
<blockquote>
<p>Phoenix cME FirstBIOS Pro Setup Utility
Advanced
+---------+----------------------------------------------------------+---------+</p>
<table><thead><tr><th></th><th>DMI Event Log</th><th>Help</th></tr></thead><tbody>
<tr><td></td><td></td><td></td></tr>
<tr><td>Event</td><td>01/16/2010 14:44:12 Pre-Boot Error: ^</td><td>ts of</td></tr>
<tr><td>Event</td><td>Keyboard Not Functional .</td><td>og.</td></tr>
<tr><td></td><td>.</td><td></td></tr>
<tr><td>View D</td><td>01/16/2010 14:44:46 Single-Bit ECC Errors in DIMM# .</td><td></td></tr>
<tr><td>Event</td><td>01/16/2010 14:45:45 Single-Bit ECC Errors in DIMM# .</td><td></td></tr>
<tr><td></td><td>01/16/2010 14:45:45 Pre-Boot Error: :</td><td></td></tr>
<tr><td>Mark D</td><td>Keyboard Not Functional :</td><td></td></tr>
<tr><td>Clear</td><td>:</td><td></td></tr>
<tr><td></td><td>01/16/2010 14:46:28 Single-Bit ECC Errors in DIMM# :</td><td></td></tr>
<tr><td></td><td>01/16/2010 14:47:00 Single-Bit ECC Errors in DIMM# :</td><td></td></tr>
<tr><td></td><td>01/16/2010 14:47:00 Pre-Boot Error: :</td><td></td></tr>
<tr><td></td><td>Keyboard Not Functional .</td><td></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr><td></td><td>[Continue]</td><td></td></tr>
<tr><td>+----------------------------------------------------------+</td><td></td><td></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr><td>+------------------------------------------------------------------------------</td><td></td><td></td></tr>
</tbody></table>
</blockquote>
<p>せっかくなので、linuxのedacで検出してみる。</p>
<p>i3200でedacを使うには、カーネルを2.6.32にしなければならない。
ずっと前からコードはあったので、とっくにマージされていたと思っていました。</p>
<p>モジュールはこれ</p>
<blockquote>
<p>lenny64:~# lsmod |grep edac
i3200_edac 3599 0</p>
</blockquote>
<p>エラー出力</p>
<blockquote>
<p>lenny64:~# dmesg |tail
EDAC DEBUG: i3200_check: MC0: i3200_check()
EDAC MC0: CE page 0x0, offset 0x0, grain 1073741824, syndrome 0x54, row 1, channel 0, label "": i3200 CE
EDAC DEBUG: i3200_check: MC0: i3200_check()
EDAC MC0: CE page 0x0, offset 0x0, grain 1073741824, syndrome 0x54, row 1, channel 0, label "": i3200 CE
EDAC DEBUG: i3200_check: MC0: i3200_check()
EDAC MC0: CE page 0x0, offset 0x0, grain 1073741824, syndrome 0x54, row 1, channel 0, label "": i3200 CE
EDAC DEBUG: i3200_check: MC0: i3200_check()
EDAC MC0: CE page 0x0, offset 0x0, grain 1073741824, syndrome 0x54, row 1, channel 0, label "": i3200 CE
EDAC DEBUG: i3200_check: MC0: i3200_check()
EDAC MC0: CE page 0x0, offset 0x0, grain 1073741824, syndrome 0x54, row 1, channel 0, label "": i3200 CE</p>
</blockquote>
VAIO X linuxでの輝度調整
2009-11-09T00:00:00+00:00
2009-11-09T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/11/vaio-x-linux.html/
<p><a rel="external" href="http://garin.jp/doc/%E6%A9%9F%E7%A8%AE%E5%88%A5/vaio_type_p/bright">ここ</a>を参考に。</p>
<blockquote>
<p>setpci コマンドで直接設定を行います。 VAIO type P では 00:02.0 F4.B が輝度用のデバイスです。
輝度の範囲は 00〜FF(暗い〜明い) です。</p>
</blockquote>
<p>VAIO Xでも同じだろうということでやってみると、やはりその通り。輝度調節できました。</p>
<p>最小はB=0だけど、そうすると真っ暗になってしまう。B=10前後がいいところか。
setpci -s 00:02.0 F4.B=10</p>
<p>最大はB=FF。
setpci -s 00:02.0 F4.B=FF</p>
<p>B=10の時の消費電力</p>
<blockquote>
<h1 id="grep-rate-proc-acpi-battery-bat0-state">grep rate /proc/acpi/battery/BAT0/state</h1>
<p>present rate: 6104 mW</p>
</blockquote>
<p>B=FFの時の消費電力</p>
<blockquote>
<h1 id="grep-rate-proc-acpi-battery-bat0-state-1">grep rate /proc/acpi/battery/BAT0/state</h1>
<p>present rate: 7628 mW</p>
</blockquote>
<p>Lバッテリの場合"design capacity: 33590 mWh"なので、B=10にすれば、5時間ちょっとは使えそうです。</p>
<p>追記 cpufreqdの設定で、ACプラグON/OFFで輝度が変わるようにしました。
/etc/cpufreqd.conf</p>
<blockquote>
<p>[Profile]
name=Performance High
minfreq=100%
maxfreq=100%
policy=performance
exec_post=/usr/bin/setpci -s 00:02.0 F4.B=ff
[/Profile]</p>
<p>[Profile]
name=Powersave Low
minfreq=40%
maxfreq=40%
policy=powersave
exec_post=/usr/bin/setpci -s 00:02.0 F4.B=10
[/Profile]</p>
<p>[Rule]
name=AC Rule
ac=on
profile=Performance High
[/Rule]</p>
<p>[Rule]
name=AC Off - Low Battery
ac=off
battery_interval=0-100
profile=Powersave Low
[/Rule]</p>
</blockquote>
vaio x + d31hw 電池の持ちは3.5時間
2009-11-04T00:00:00+00:00
2009-11-04T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/11/vaio-x-d31hw-35.html/
<p>イーモバイルD31HWでロマンスカー車内から接続中。</p>
<p>消費電力は約10W。この調子だと、せいぜい3.5時間がいいところです</p>
<blockquote>
<p>vaiox:~# cat /proc/acpi/battery/BAT0/state
present: yes
capacity state: ok
charging state: discharging
present rate: 10101 mW
remaining capacity: 32240 mWh
present voltage: 7992 mV</p>
</blockquote>
<p>vaio xは店頭販売モデルなのでLバッテリが標準ですが、Xバッテリが欲しくなります。</p>
vaio xの駆動時間は実質4時間位か
2009-11-03T00:00:00+00:00
2009-11-03T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/11/vaio-x4.html/
<p>メーカーのページにL型バッテリ駆動時間は約10時間とあるので期待して購入したvaio xですが、私の環境では、4時間位がいいところのようです。</p>
<p>環境 Debian Linux(カーネル2.6.31.5)</p>
<p>電池の容量は、33590 mWh</p>
<blockquote>
<p>vaiox:/home/ktaka# cat /proc/acpi/battery/BAT0/info
present: yes
design capacity: 33590 mWh
last full capacity: 33590 mWh
battery technology: rechargeable
design voltage: 7400 mV
design capacity warning: 3350 mWh
design capacity low: 120 mWh
capacity granularity 1: 0 mWh
capacity granularity 2: 1 mWh
model number:
serial number:
battery type: Lion
OEM info: Sony Corporation</p>
</blockquote>
<p>800MHz動作時の、消費電力は、7669mW</p>
<blockquote>
<h1 id="cat-proc-acpi-battery-bat0-state">cat /proc/acpi/battery/BAT0/state</h1>
<p>present: yes
capacity state: ok
charging state: discharging
present rate: 7669 mW
remaining capacity: 4710 mWh
present voltage: 6928 mV</p>
</blockquote>
<p>よって33590/7669 = 4.38 時間が駆動時間。</p>
<p>CPUのクロックは、cpufreqdのおかげで、バッテリ駆動時は800MHzになっている。
ACアダプタ使用時 1.87GHz</p>
<blockquote>
<h1 id="cat-sys-devices-system-cpu-cpu-0-1-cpufreq-cpuinfo-cur-freq">cat /sys/devices/system/cpu/cpu{0,1}/cpufreq/cpuinfo_cur_freq</h1>
<p>1866000
1866000</p>
</blockquote>
<p>バッテリ駆動時 800MHz</p>
<blockquote>
<h1 id="cat-sys-devices-system-cpu-cpu-0-1-cpufreq-cpuinfo-cur-freq-1">cat /sys/devices/system/cpu/cpu{0,1}/cpufreq/cpuinfo_cur_freq</h1>
<p>800000
800000</p>
</blockquote>
<p>cpufreqd.confの内容</p>
<blockquote>
<p>[General]
pidfile=/var/run/cpufreqd.pid
poll_interval=2
verbosity=4
[/General]</p>
<p>[Profile]
name=Performance High
minfreq=100%
maxfreq=100%
policy=performance
#exec_post=echo 8 > /proc/acpi/sony/brightness
[/Profile]</p>
<p>[Profile]
name=Powersave Low
minfreq=40%
maxfreq=40%
policy=powersave
[/Profile]</p>
<p>[Rule]
name=AC Rule
ac=on # (on/off)
profile=Performance High
[/Rule]</p>
<p>[Rule]
name=AC Off - Low Battery
ac=off # (on/off)
battery_interval=0-100
#exec_post=echo 3 > /proc/acpi/sony/brightness
profile=Powersave Low
[/Rule]</p>
</blockquote>
<p>Poulsbo (GMA 500)のグラフィックドライバ(psb)がバニラカーネルに取り込まれていない。
Ubuntuでは、カーネル2.6.28用のドライバが存在するようである。</p>
<p>今はLCDの輝度調節が効かないが、psbが使えれば、輝度を落とすことができ、もう少し長く使えるようになるかもしれない。</p>
Debian Linux でイーモバイルD31HW使う
2009-11-01T00:00:00+00:00
2009-11-01T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/11/debian-linux.html/
<p>下り最大21Mbps、上り最大5.8Mbpsのデータ通信カード(スティック)イーモバイルのD31HWを使ってみる。</p>
<p>事前調査によると、このカードは、ストレージとモデムの両方の機能を持っていて、とあるコマンドを送ることによりモードを切り替えられるとのこと。ストレージは、Windowsなどで最初に接続したときに、自動的にデバイスドライバをインストールするためのものであるとのこと。</p>
<p><a rel="external" href="http://blog.37to.net/2009/01/ubuntuemobiled21lc/">http://blog.37to.net/2009/01/ubuntuemobiled21lc/
</a><a rel="external" href="http://show-cha.seesaa.net/article/125815364.html">http://show-cha.seesaa.net/article/125815364.html</a></p>
<p>カードを接続しlsusb で見ると、以下のエントリが現れる。</p>
<blockquote>
</blockquote>
<blockquote>
<p>Bus 001 Device 004: ID 12d1:1446 Huawei Technologies Co., Ltd.</p>
</blockquote>
<p><a rel="external" href="http://www.draisberghof.de/usb_modeswitch/#download">ここ</a>から、usb_modeswitchをダウンロードしインストール。
/etc/usb_modeswitch.conf を以下の内容で作成。</p>
<blockquote>
<h1 id="emobile-d31hw">Emobile D31HW</h1>
<p>DefaultVendor= 0x12d1
DefaultProduct= 0x1446
TargetVendor= 0x12d1
TargetProduct= 0x1429</p>
<p>MessageEndpoint=0x01
MessageContent="55534243000000000000000000000011060000000000000000000000000000"</p>
</blockquote>
<p>usb_modeswitchを実行すると</p>
<blockquote>
<p>vaiox:~# usb_modeswitch</p>
<p>Looking for target devices ...
No devices in target mode or class found
Looking for default devices ...
Found default devices (1)
Accessing device 005 on bus 001 ...
Using endpoints 0x01 (out) and 0x81 (in)
Inquiring device details; driver will be detached ...
Looking for active driver ...
OK, driver found ("usb-storage")
OK, driver "usb-storage" detached</p>
<h2 id="received-inquiry-data-detailed-identification">Received inquiry data (detailed identification)</h2>
<h2 id="vendor-string-huaweimodel-string-mass-storagerevision-string-2-31">Vendor String: HUAWEI
Model String: Mass Storage
Revision String: 2.31</h2>
<h2 id="device-description-data-identification">Device description data (identification)</h2>
<h2 id="manufacturer-huawei-technologiesproduct-huawei-mobileserial-no-not-provided">Manufacturer: Huawei Technologies
Product: HUAWEI Mobile
Serial No.: not provided</h2>
<p>Setting up communication with interface 0 ...
Trying to send the message to endpoint 0x01 ...
OK, message successfully sent
-> Run lsusb to note any changes. Bye.</p>
</blockquote>
<p>lsusbで見てみると</p>
<blockquote>
<p>Bus 001 Device 006: ID 12d1:1429 Huawei Technologies Co., Ltd.</p>
</blockquote>
<p>デバイスIDが1446から1429に変わっている。</p>
<p>カーネルモジュールをロードすると、/dev/ttyUSB0,1,2が作成される。</p>
<blockquote>
<h1 id="ls-la-dev-ttyusb">ls -la /dev/ttyUSB*</h1>
<p>ls: cannot access /dev/ttyUSB*: No such file or directory</p>
<h1 id="modprobe-usbserial-vendor-0x12d1-product-0x1429">modprobe usbserial vendor=0x12d1 product=0x1429</h1>
<h1 id="ls-la-dev-ttyusb-1">ls -la /dev/ttyUSB*</h1>
<p>crw-rw---- 1 root dialout 188, 0 Nov 2 01:02 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Nov 2 01:02 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Nov 2 01:02 /dev/ttyUSB2</p>
</blockquote>
<p>そして、pppの設定ファイルを作成</p>
<p>/etc/ppp/peers/provider</p>
<blockquote>
<p>user "em@em"
connect "/usr/sbin/chat -v -f /etc/chatscripts/pap -T <em>99</em>**1#"
/dev/ttyUSB0
115200
defaultroute
persist
noauth
usepeerdns</p>
</blockquote>
<p>接続してみる</p>
<blockquote>
<h1 id="pon">pon</h1>
<h1 id="ps-ef-grep-ppp">ps -ef |grep ppp</h1>
<p>root 2404 1 0 01:08 ttyUSB0 00:00:00 /usr/sbin/pppd call provider
root 2410 2088 0 01:08 pts/5 00:00:00 grep ppp</p>
<h1 id="ip-add-show-dev-ppp0">ip add show dev ppp0</h1>
<p>6: ppp0:</p>
<p>mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 3
link/ppp
inet 114.48.27.146 peer 10.64.64.64/32 scope global ppp0</p>
</blockquote>
<p>接続できました。</p>
<blockquote>
</blockquote>
VAIO X用Linuxカーネルコンフィグ
2009-11-01T00:00:00+00:00
2009-11-01T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/11/x.html/
<p>VAIO Xの各デバイスを認識させるためにとりあえず必要そうなもの。</p>
<p>PATA SSD用のドライバ (8086:811a System Controller Hub (SCH Poulsbo) IDE Controller)</p>
<blockquote>
<p>CONFIG_PATA_SCH=y</p>
</blockquote>
<p>NICドライバ(11ab:4380 Ethernet controller: Marvell Technology Group Ltd. Device 4380)</p>
<blockquote>
<p>CONFIG_SKY2=m
CONFIG_SKY2_DEBUG=y</p>
</blockquote>
<p>無線LANドライバ(168c:002b AR9285 Wireless Network Adapter (PCI-Express) )</p>
<blockquote>
<p>CONFIG_CFG80211=m
CONFIG_CFG80211_REG_DEBUG=y
CONFIG_CFG80211_DEBUGFS=y
CONFIG_LIB80211=m
CONFIG_LIB80211_DEBUG=y
CONFIG_MAC80211=m
CONFIG_MAC80211_DEFAULT_PS=y
CONFIG_MAC80211_DEFAULT_PS_VALUE=1
CONFIG_MAC80211_RC_PID=y
CONFIG_MAC80211_RC_MINSTREL=y
CONFIG_MAC80211_RC_DEFAULT_MINSTREL=y
CONFIG_MAC80211_RC_DEFAULT="minstrel"
CONFIG_MAC80211_LEDS=y
CONFIG_MAC80211_DEBUGFS=y
CONFIG_MAC80211_DEBUG_MENU=y
CONFIG_WLAN_PRE80211=y
CONFIG_WLAN_80211=y
CONFIG_ATH_COMMON=m
CONFIG_ATH5K=m
CONFIG_ATH5K_DEBUG=y
CONFIG_ATH9K=m
CONFIG_ATH9K_DEBUG=y</p>
</blockquote>
<p>イーモバイルD31HWのために...</p>
<blockquote>
<p>CONFIG_USB_ACM=m
CONFIG_USB_SERIAL=m
CONFIG_USB_SERIAL_GENERIC=y</p>
</blockquote>
<p>イーモバイルのデータカードはこれだけではダメで、usb_modeswitchによるモード切替が必要。</p>
VAIO X 購入しました
2009-10-31T00:00:00+00:00
2009-10-31T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/vaio-x.html/
<p>薄くて、軽くて、電池が長持ち、SonyのネットブックVAIO Xを購入しました。</p>
<ul>
<li>CPU Intel Atom Z540 (1.86GHz)</li>
<li>メモリー2GByte</li>
<li>SSD 64GByte</li>
<li>Lバッテリで約10時間駆動</li>
<li>重量 0.765kg</li>
<li>厚み 13.9mm</li>
<li>無線 IEEE802.11b/g/n</li>
<li>LAN 1000Base-T</li>
</ul>
<p>スペックは必要にして十分。CPUが64ビット対応でないのだけが残念。(仕事で必要なので。)</p>
<p><img src="https://ktaka.blog.ccmp.jp/2009/10/vaio-x.html/image/img_0860.jpg" alt="" /></p>
<p>写真は、Let’s note T7と、大きさを比較したもの。Let's noteも1.2kgで電池の持ちも良かったんですが、VAIO Xはそれよりも上を(下を?)行く大きさと、軽さです。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2009/10/vaio-x.html/image/img_0858.jpg" alt="" /></p>
<p>本当にノートを持ち歩く感覚です。</p>
<p>ソニーの宣伝文句は「余分はいらない。十分がほしい。」ということみたいなので、
早速、Windows 7を消して、Debianを入れました。</p>
[備忘録] ノートパソコンの起動時間の短縮をしたい
2009-10-26T00:00:00+00:00
2009-10-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/blog-post.html/
<p>Let's note T7に Debianを入れたものを外出先で使っているのですが、Grubでカーネルを選択してから、Xが立ち上がるまでに1分近くかかっていました。その後emobileに接続したりと、メールやWebが見れるまでにはさらに時間がかかっていました。これだと、ちょこっと情報を確認したい時にはちょっと面倒です。
そこでiPhoneを導入し、それはそれで快適に使えているわけですが、ノートパソコンの方ももう少し起動時間短縮できるよう頑張ってみたいと思います。</p>
<p>方針は</p>
<ul>
<li>
<p>余分なサービスの停止</p>
</li>
<li>
<p>X windowが無くても何とかなるように</p>
</li>
<li>
<p>フレームバッファを使えるようにする</p>
</li>
<li>
<p>テキストコンソールでメールの読み書きができるように。候補emacs+wanderlust</p>
</li>
<li>
<p>テキストコンソールでWebの閲覧検索ができるように。候補はemacs+w3m</p>
</li>
<li>
<p>切換えはscreenで</p>
</li>
<li>
<p>カーネルをスリムに</p>
</li>
<li>
<p>SSD化、IntelのX-25M 80GB辺りを物色中</p>
</li>
</ul>
<p>先ず、色々といらないサービスを起動しないようにします。
update-rc -f dhcpd3-server remove
update-rc -f tftpd-hpa remove
update-rc -f hogehoge remove</p>
<p>/etc/init.d/rcで
CONCURRENCY=none → CONCURRENCY=shell</p>
<p>フレームバッファを使えるようにする
lspci
00:02.0 VGA compatible controller: Intel Corporation Mobile GM965/GL960 Integrated Graphics Controller (rev 03)
00:02.1 Display controller: Intel Corporation Mobile GM965/GL960 Integrated Graphics Controller (rev 03)
とあるので、intelfbを使うことにします。</p>
<p>おそらく関係するのはこの辺り
ktaka@lets:~/Kernel/linux-2.6.31.5$ egrep FB .config|egrep -v "^#"
CONFIG_FB=y
CONFIG_FB_DDC=y
CONFIG_FB_BOOT_VESA_SUPPORT=y
CONFIG_FB_CFB_FILLRECT=y
CONFIG_FB_CFB_COPYAREA=y
CONFIG_FB_CFB_IMAGEBLIT=y
CONFIG_FB_FOREIGN_ENDIAN=y
CONFIG_FB_BOTH_ENDIAN=y
CONFIG_FB_MODE_HELPERS=y
CONFIG_FB_TILEBLITTING=y
CONFIG_FB_INTEL=y
CONFIG_FB_INTEL_DEBUG=y
CONFIG_FB_INTEL_I2C=y</p>
<p>上記設定確認後、カーネルを再コンパイルしました。</p>
<p>そしてカーネルのオプションは、
video=intelfb:accel=0 vga=0x318
とすれば上手く行くことがわかりました。intelfbのデフォルトだとaccel=1になっていて、上手くいかないようです。</p>
<p>コンソールで日本語を表示する為に、jfbtermを使ってみる。</p>
<p>環境変LC_ALL=ja_JPでないと、日本語が表示できなかったりする。
コンソールでjfbtermを使わずにmanページを見ることもあるので、普段はLC_ALL=Cで使いたい。
.bashrcで、TERM=jfbtermの時のみLC_ALL=ja_JPにするよう設定します。</p>
<p>if [ <code>tty|sed -e 's/.*tty.*/tty/g'</code> == "tty" ] ; then
export LC_ALL=C
fi</p>
<p>if [ $TERM == "jfbterm" ] ; then
export LC_ALL=ja_JP
export LANG=ja_JP.UTF-8
fi</p>
<p>以上の設定の後、
コンソールログイン→screen起動→emacs/M-x w3mで日本語ページが表示できるようになりました。</p>
<p>このページもその環境から編集していますが、bloggerにログインする際、クッキーが使えないと叱られた。
.emacsに
(setq w3m-use-cookies t)
と書くことで解決しました。</p>
<p>残りは、後日。</p>
[備忘録] jfbterm終了時に固まることがある件
2009-10-26T00:00:00+00:00
2009-10-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/jfbterm.html/
<p>ここを参考に、以下のように変更</p>
<p>ktaka@lets:~/SRC$ diff -c jfbterm-0.4.7_orig/term.c jfbterm-0.4.7/term.c
*** jfbterm-0.4.7_orig/term.c 2003-09-16 00:45:31.000000000 +0900
--- jfbterm-0.4.7/term.c 2009-10-26 23:09:54.000000000 +0900</p>
<hr />
<p>*** 76,82 ****
void sigchld(sig) int sig; {
int st;
int ret;
! ret = wait(&st);
if (ret == gChildProcessId || ret == ECHILD) {
tvterm_unregister_signal();
tterm_final(&gTerm);
--- 76,82 ----
void sigchld(sig) int sig; {
int st;
int ret;
! ret = waitpid(gChildProcessId, &st, WNOHANG);
if (ret == gChildProcessId || ret == ECHILD) {
tvterm_unregister_signal();
tterm_final(&gTerm);</p>
<p>但し、asm/page.hが無といわれたり、コンパイルが通らないので、
最新のデビアン用の<a rel="external" href="http://ftp.de.debian.org/debian/pool/main/j/jfbterm/jfbterm_0.4.7-8.diff.gz">パッチ</a>を当て、コンパイルを通す。</p>
<p>今のところ直っているようにみえる。</p>
[備忘録] テキストコンソールでWeb閲覧
2009-10-26T00:00:00+00:00
2009-10-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/web.html/
<p>LinuxのテキストコンソールでWeb閲覧したい件
結局、/dev/tty1ならば、ssh-agent -> jfbterm -> screenと自動起動するようにしました。</p>
<p>export LC_ALL=ja_JP
export LANG=ja_JP.UTF-8</p>
<p>if [ <code>tty</code> == "/dev/tty1" ] ; then
exec ssh-agent jfbterm -e screen
fi</p>
<p>screenのwindowでemacsを開き、そこで'M-x w3m'とすれば、Webが閲覧できる。
日本語入力もemacs+skkのおかげでほぼ問題無さそうです。</p>
<p>screenの中からstartxでXが起動できないので、Xを使いたい時は、Alt+F[2-6]で他のttyに切り替えて使用することにします。</p>
巷で評判のiPhone 3GSを購入しました。
2009-10-19T00:00:00+00:00
2009-10-19T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/iphone-3gs.html/
<p>外出先から会社のメールを確認する際、今までemobileでネット接続していました。
しかし、パソコンをブートするに時間がかかり、移動中の接続が面倒に感じていたので、思い切ってiPhoneを購入しました。</p>
<p>スマートフォンの類は、表示に問題があったり文字入力が使い難かったりであまり期待していなかったのですが、iPhoneは私にとって問題のないレベルです。
Gmailと会社のメールが両方ともIMAPで簡単に使えるということも重要なポイントです。
会社のメールサーバはSSL/TLSを使っているのですが、特にポート番号を指定しなくても、勝手に探して繋がってしまいました。</p>
keepalived-1.1.19がリリースされました
2009-10-08T00:00:00+00:00
2009-10-08T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/10/keepalived-1119.html/
<p>10/1にkeepalived-1.1.19がリリースされました。</p>
<p>keepalivedのvrrpの実装では、ネットワークリンクがダウンするとFAULT Stateに入ります。
ネットワークリンクがアップすると、FAULT StateからいきなりMASTERに昇格してしまい、コネクタの接触不良などの場合に、MASTERがバタバタ入れ替わってしまうという、かなり致命的な危険性がありました。</p>
<p>nopreemptオプションを有効にすることで、リンクの復旧時にBACKUPステートに入るようにでき、その様な危険性がなくなりました。</p>
<p><a rel="external" href="http://www.keepalived.org/changelog.html">http://www.keepalived.org/changelog.html</a></p>
カーネル読書会に参加してきました。
2009-02-24T00:00:00+00:00
2009-02-24T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/02/blog-post_25.html/
<p>先週の水曜になりますが、<a rel="external" href="http://www.ylug.jp/modules/pukiwiki/">ylug主催の第93回カーネル読書会</a>に参加してきました。</p>
<p>今回のお題は、</p>
<blockquote>
<p>お題:Unique experiences as x86-64 maintainer (good things, difficulties)
発表者: Andi Kleen
内容: x86-64のメンテナーとしての苦労話などをいただきます。</p>
</blockquote>
<p>ということで、最近売られているほとんどのパソコンがサポートしている64bit機能に対応した、Linuxカーネルを開発したメンテナーのお話を聞きました。Andi Kleenは30歳位(?)のドイツ人です。2000年頃から、x86-64のカーネルを開発しているとのことでした。</p>
<p>Linuxカーネル開発の裏話などいろいろ聞けて楽しかったのです。</p>
<p>始めた頃は、x86-64のCPUが世の中に存在せず、何年もの間、ソフトウェアシミュレーターを使ってコードを動かしていたと聞き、とても感心しました。
世の中には、すごい人がいるんだなぁと。</p>
<p>お話が終わった後は、ピザパーティでいろいろな人とお話させていただきました。</p>
<p>さて、ylugの勉強会はLinuxデベロッパーのすごい人が集まっていて、いつもレベルが高いのですが、
何でも、第100回の読書会(今秋?)には、<a rel="external" href="http://torvalds-family.blogspot.com/">Linus Torvalds</a>をゲストに呼ぼうと計画しているそうです。</p>
<p>とても楽しみですね。</p>
<p>追記
当日、朝日新聞の取材が入っていたということで、何気に<a rel="external" href="http://d.hatena.ne.jp/hyoshiok/20090221#p2">吉岡さんの記事</a>を辿ってみたところ。。。</p>
<p>げげ、<a rel="external" href="http://www.asahi.com/special/net/TKY200902200198.html">自分が写ってしまっている</a>。しかも顔半分。。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2009/02/blog-post_25.html/image/blank.gif" alt="" /></p>
Intel Xeon 新モデル
2009-02-24T00:00:00+00:00
2009-02-24T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/02/intel-xeon.html/
<p><a rel="external" href="http://japan.zdnet.com/news/hardware/story/0,2000056184,20388724,00.htm">ここ</a><a rel="external" href="http://japan.zdnet.com/news/hardware/story/0,2000056184,20388724,00.htm">のニュース</a>によると、クアッドコアXeonの低消費電力版が、ようやく発売されたようである。 </p>
<blockquote>
<p>同社は米国時間2月22日、45Wからの低消費電力モデルとなるXeonプロセッサを2機種と、ハイエンドモデルとなるXeonを1機種、新たに追加した。</p>
<p> L3110(3.00GHz)は、6MバイトのL2キャッシュを搭載しつつ、45Wという、Xeonプロセッサとしては、<a rel="external" href="http://japan.zdnet.com/company/story/0,3200081168,20014145,00.htm">Intel</a>で最低レベルの熱設計電力(TDPまたは熱設計枠とも呼ばれる)を実現している。価格は224ドルとなっている。</p>
<p> L3360(2.83GHz)は、12MバイトのL2キャッシュを搭載して、TDPは65W。価格は369ドルとなる。</p>
<p> ハイエンドモデルのX3380(3.16GHz)は、12MバイトのL2キャッシュで、TDPは95W、価格は530ドルに設定されている。</p>
</blockquote>
<p>クアッドコアのXeon X3360がTDP 95Wだったので、TDP 65WのL3360にすることで、電流がおよそ0.3A抑えることができそうである。</p>
<p>さっそく、<a rel="external" href="http://processorfinder.intel.com/details.aspx?sSpec=SLGPF">Intelのページ</a><a rel="external" href="http://processorfinder.intel.com/details.aspx?sSpec=SLGPF">にもスペック</a>が公開されている。</p>
<p>Yorkfieldを用いたサーバは、パーツの価格がこなれてきたこともあり、メインストリームがNehalemに移行するまで、まだまだ活躍しそうである。</p>
1月の労働時間
2009-02-02T00:00:00+00:00
2009-02-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/02/1.html/
<p>年始に、年間の目標労働時間を4,500時間と定めました。</p>
<p>100%集中していなくてもいいですが、
とにかく仕事に向き合う時間を多くすることで、
少しでもアウトプットを出したいという思いからの試みです。</p>
<p>別の言い方をすると、いくら効率を上げようと努力しても、絶対時間が不足していては
なかなか仕事の成果が出てこない、という過去の反省からの目標設定でした。</p>
<p>しかしながら、かなり、難しい目標設定だということがわかってきました。
年間で4,500時間を達成しようとすると、月当たり375時間必要ですが、
今月は、頑張ったつもりですが300時間にしかなりませんでした。</p>
<p>この調子でいくと年間3,600時間程度にしかなりません。
せめて4,000時間を目指したいところですが、そうすると、月当たり337時間程度必要です。</p>
<p>今月も頑張れればいいですが。。。心が折れないか心配です。</p>
メルマガ配信完了
2009-02-02T00:00:00+00:00
2009-02-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/02/blog-post.html/
<p>いろいろと、ミスもありましたが、メルマガ配信完了しました。
ひとまず、やれやれといったところです。
今号のTopicは、
Intel SSD X25-E + RAID の記事と、Seagateのファームウェアアップデート方法に関する記事などです。</p>
<p>ご興味がありましたら、是非<a rel="external" href="http://marc.clustcom.com/">アーカイブページ</a>をご覧下さい。</p>
DDR3への完全移行は2010年以降となるらしいです
2009-01-15T00:00:00+00:00
2009-01-15T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/01/ddr32010.html/
<p><a rel="external" href="http://northwood.blog60.fc2.com/blog-entry-2568.html">ネタ元</a>。</p>
<blockquote>
<p>元々IntelもAMDもDDR3への完全移行を2009年としていたが、マザーボードメーカーの情報によると、現在ではどちらもDDR3のみ対応のチップを延期しており、2010年まで登場しないようだ。
DDR3メモリの価格がIntelが期待していたよりも下がらず、さらにCore i7とX58の需要も予想よりも下回ったため、IntelはDDR3のみの5 seriesチップセットを9月に延期した。</p>
</blockquote>
<p>このIntelの言い分は本当なのかな。<a rel="external" href="http://shop.kingston.com/PartsInfo.asp?ktcpartno=KVR1066D3E7/2G">DDR3のメモリECC付きでも</a>結構安いと思いますが。</p>
<p>AMDと同じようにコンパチビリティの問題でもあるのかな?
あるいはCorei7自体があまりにも人気が無いとか。</p>
<p>TDPが90w位に下がってくれれば使ってみたい気がしますが。
まだ、時期尚早なんでしょうか?</p>
Intelの爆速SSD
2009-01-13T00:00:00+00:00
2009-01-13T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/01/intelssd.html/
<p>Intelの爆速SSD、X25-Eを評価中です。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2009/01/intelssd.html/image/dscn7883_2.jpg" alt="" /></p>
<p>公称性能 シーケンシャルリード250MB/s、シーケンシャルライト170MB/s
結果は、やはり爆速でした。
詳しくは、<a rel="external" href="http://www.clustcom.com/content/view/159/32/">評価レポート</a>をご参照ください。</p>
<p>評価をしてくれたのは、アルバイトの須永くんです。
須永くんはSFCの3年生です。
須永くん、ありがとう。</p>
<p>これだけ速いと、RAIDで8本束ねれば、1GB/s越えが狙えるかもしれませんね。
楽しみです。</p>
小さな会社の儲けのルール
2009-01-02T00:00:00+00:00
2009-01-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/01/blog-post.html/
<p>という本があります。創業当時何度も読み返し、勇気をもらった一冊です。
その本を久々に開いてみると、こう書いてある</p>
<blockquote>
<p>「思いは実現する」に必要なこと
こういう話をすると大体「いやー、そんなに働かなくてもいいでしょう」と言われます。でも、一代で何かを成し遂げた人たちがどのくらい働いていたか知っていますか?世界の偉人伝などを読んで概算すると、エジソンは年間6500時間で、それを40年間。キュリー婦人も5000時間を35年はやっていますね。本田宗一郎さんは一代で世界の本田を作った人ですが、あの方も5500時間を35年やっています。</p>
</blockquote>
<p>年間6500時間というと一日17.8時間を365日、5000時間だとしても13.7時間を365日働き続けたことになる。</p>
<p>それに比べると何と自分の甘いことか。</p>
<blockquote>
</blockquote>
今年の目標
2009-01-02T00:00:00+00:00
2009-01-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2009/01/blog-post_03.html/
<ul>
<li>
<p>年間4,500時間働く</p>
</li>
<li>
<p>売り上げ4倍増</p>
</li>
<li>
<p>マーケティングがちゃんとできるようになる</p>
</li>
<li>
<p>体重15kg減</p>
</li>
<li>
<p>洋服に気を使う(毎月洋服を買う)</p>
</li>
</ul>
本家Linuxカーネルに採用されました!
2008-11-07T00:00:00+00:00
2008-11-07T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/11/linux.html/
<p>うちのmitake君が書いてくれたEDACドライバが、メインラインカーネルに採用になりました。
http://www.kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.28-rc3</p>
<blockquote>
<p>commit df8bc08c192f00f155185bfd6f052d46a728814a
Author: Hitoshi Mitake
Date: Wed Oct 29 14:00:50 2008 -0700</p>
<p>edac x38: new MC driver module</p>
<p>I wrote a new module for Intel X38 chipset. This chipset is very similar
to Intel 3200 chipset, but there are some different points, so I copyed
i3200_edac.c and modified.</p>
<p>This is Intel's web page describing this chipset.
http://www.intel.com/Products/Desktop/Chipsets/X38/X38-overview.htm</p>
<p>I've tested this new module with broken memory, and it seems to be working
well.</p>
<p>Signed-off-by: Hitoshi Mitake
Signed-off-by: Doug Thompson
Signed-off-by: Andrew Morton
Signed-off-by: Linus Torvalds</p>
</blockquote>
<p>先日本ブログで紹介したIntelの2in1サーバ(SR1520ML)には、X38チップセットが搭載されています。このチップセットはECCメモリに対応しているので、1ビットエラーは訂正、2ビットエラー以上は検出可能です。</p>
<p>Linuxカーネルでは、この様なECCイベントをEDACというモジュールで検出することが可能なのですが、今までは、X38用のEDACドライバが存在していなかったので、検出できていませんでした。</p>
<p>それをmitake君が書いてくれたと言う訳です。</p>
<p>いずれ世界中のLinuxマシンに彼の書いたプログラムがのるわけで、これって、とてもすごいことだと思います!</p>
<p>mitake君、おめでとう!</p>
信用三本柱
2008-11-02T00:00:00+00:00
2008-11-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/11/blog-post.html/
<p>コンピューターのパーツの中で、ハードディスクが一番壊れやすい。
弊社で販売したサーバのハードディスクが故障した場合に迅速に対応できるように、富山の置き薬を真似て、客先に予備のHDDを置かせて頂くサービスを開始した。</p>
<p>名付けて、「富山的電脳薬箱」</p>
<p>それに関連して、富山の薬売について、ネット上でいろいろ調べていたところ、次の様な商売の基本ともいえる心構えについての記述があったので、紹介したい。</p>
<p><a rel="external" href="http://www.zenhaikyo.com/history/index.html">「おきぐすりの歴史」</a>より。</p>
<blockquote>
<p>三本柱とは「商いの信用」、「くすりの信用」、そしてもうひとつが「人の信用」です。
「商いの信用」の基本は、顧客との間にトラブルを起こさず、不正な商いをしないということです。一円の勘定も誤りなく正確に取引することで信頼関係が生まれます。
「くすりの信用」は、有効で安全な品質の高いくすりを提供することです。そのために、絶えず顧客の求めるくすりをリサーチし、品質開発に努めなければなりません。
「人の信用」はもっとも重視されました。顧客の悩み相談に乗って、適切なアドバイスを行ったり、励ましたりすることで信頼関係が作られています。
「くすりを売るのではなく、人間を売れ。顧客は人間を見てくすりの信用、イメージをつくる」という考え方が、人材開発を促し、くすりの量産化につながり、販売の拡大をもたらしたのです。</p>
</blockquote>
<p>誠にもっともな考え方であり、しかも記憶にとどめやすい。</p>
Intel 2in1 サーバーはコストパフォーマンスが高い
2008-11-02T00:00:00+00:00
2008-11-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/11/intel-2in1.html/
<p><a rel="external" href="http://www.clustcom.com/content/view/153/34/">IntelのベアボーンSR1520MLを使ったローコストサーバ。</a>
同等スペックの1Uサーバ二台分のよりも、10万円以上安価です。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2008/11/intel-2in1.html/image/dsc_0838.jpg" alt="" /></p>
<p>Quad Core プロセッサ対応のマザーボード、X38MLが二枚搭載されています。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2008/11/intel-2in1.html/image/dsc_0840.jpg" alt="" /></p>
<p>X38MLは一枚で、Gigabit Ether 2ポート, IPMIオンボード搭載、メモリスロット4つ(最大容量8GByte)、高速なQuadCoreプロセッサを搭載可能等といった特徴があります。</p>
<p>電源共通のためメンテナンス性は若干落ちますが、省スペースで高性能。</p>
<p>HPCクラスタの計算ノードや、大規模WEBクラスタのノードにいかがでしょうか。</p>
Intelの2in1サーバがイケてる
2008-09-20T00:00:00+00:00
2008-09-20T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/09/intel2in1.html/
<p>発売は一年近く前になりますが、Intelの2in1サーバ、SR1520MLが意外とイケてることに気付きました。奥行き短めの1Uサーバに、i3200X38ML(10/2修正)のマザーボードが二枚はいります。何故最初はピンと来なかったのにイケてると思うようになったのか?</p>
<ul>
<li> 45nmのハイスペッククアッドコアCPUがそこそこ安価になった。</li>
<li> 45nmのデュアルコアCPUが1万円以下で手に入るようになった。</li>
<li> i3200x38 expressチップセット(10/2修正)はLinux EDACによるメモリエラー検出ができなかったが、うちのmtk君がドライバを書いてくれた。近日メインライン(2.6.28位か?)にマージされると期待。</li>
<li> 2.5inch HDDが、それぞれ一個ずつしか載らないのがイケてないように思っていたが、WDのScorpio Black(7200rpm)が意外と速いことがわかった。(今時2.5inchHDDでも探せば速いのがある。VelociRaptorなんか、高いけど、超速そう~)</li>
<li> BMCオンボードであることに気付いた。すなわちIPMI2.0で電源ON/OFFとか、SOL(Serial (console) Over Lan)が使える。</li>
<li> 仕入値が意外と安いことに気付いた。同スペックのサーバx2 - 10万円で、販売できそう。
といったことが、理由です。</li>
</ul>
<p>つまり、ハイスペックCPU+省スペース+ローコスト+いろいろ便利、なサーバなわけです。</p>
<p>シングルソケットのNehalemが出回るまで、約一年。アレゲ(?)なサーバとして我が社でも商品化しようと思います。</p>
<p>WEBクラスタ、HPCクラスタのノードとして、結構良いかもと思っています。</p>
オリジナリティ
2008-07-17T00:00:00+00:00
2008-07-17T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/07/blog-post_17.html/
<p>商売で何とか生き残るためには、オリジナリティとかクールさなんかなくても、顧客が求めるものを提供していくことが必要だと思う。でも、それだけじゃつまらないよね。</p>
「やらなければいけないこと」と「やりたいこと」の違いを意識しないといけない
2008-07-02T00:00:00+00:00
2008-07-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/07/blog-post.html/
<p>例えば、日常のタスク次の様に属性分けしてみるとする。</p>
<ul>
<li>「やりたいこと」、「やりたくないこと」</li>
<li>「やれること」、「やれないこと」</li>
<li>「やらなくてもいいこと」、「やらなければいけないこと」</li>
<li>「やった方が良いこと」、「やらない方が良いこと」</li>
</ul>
<p>結局、取り掛かるのは、この中の「やりたいこと」「やれること」「やらなければいけないこと」、「やった方が良いこと」のいずれかの属性を持つものになるだろう。</p>
<p>当然、業務の中では「やらなければいけないこと」「やった方が良いこと」を、一生懸命やらないといけない。</p>
<p>しかしながら、中には、「やりたいこと」の属性しか持たないものばかりを、一生懸命やってしまう人がいる。「やりたいこと」に情熱を燃やすのは素晴らしいことだが、それが業務と勘違いしてはいけない。不幸のもとである。</p>
<p>自分も、若かりし頃、「やりたいこと」ばかりをやって、「仕事してるなぁー」と勘違いしていた記憶がある。</p>
<p>自分のやろうとしていることが、本当に業務として「やらなければいけないこと」なのか、単に自分が「やりたいこと」なのか、よくよく意識していないと不幸である。</p>
<p>その一方で、労働者としての自分自身を振り返ってみると、
「やりたいこと」をやりたい。
でも、「やらなければいけないこと」が残っている。
手が付かないので、「やれること」に取り掛かる。
そして、一日が終る。</p>
<p>こんなことばかり、繰り返して来た。
あーあ、「やりたいこと」しかやらなくて良い職業に付きたいよー、とぼやいてみてもそんなのある訳無い。</p>
<p>「やりたいこと」=「やらなければいけないこと」なら良いのに。</p>
<p>でも、そうじゃないことが多い。</p>
<p>Just Do itの精神で片っ端から片付けて行くしか無い。</p>
<p>ひでぇ文章。</p>
<p>追記: このエントリ自体が、「やらなければいけないこと」からの逃避に他ならない。仕事しろよ>自分</p>
SupermicroのIPMI
2008-04-28T00:00:00+00:00
2008-04-28T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/supermicroipmi.html/
<p>最近のIPMIカードは、KVM(Keyboard Video Mouse) over LANとかがついていて、HTTPとか、SSHとか喋るので非常に使いにくかったのですが、古き良き時代のベーシックなIPMIカードが、Supermicroより発売されました。Supermicroのエンジニアにしつこく催促したのが功を奏したのかも知れません。</p>
<p>http://www.supermicro.com/manuals/other/AOC-SIMSOLC-HTC.pdf</p>
<p>UDPの623のみを、SMBusに流すというわかりやすい仕様なので、ホストと同じIPを使うのも問題無さそうな気がします。</p>
<p>ボンディング使用時には、別IPにした方が無難ですが。。。</p>
仮想化ブートキャンプ
2008-04-20T00:00:00+00:00
2008-04-20T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_21.html/
<p>先週一週間、主要顧客のトップエンジニアの方々と、データセンターのサーバーを仮想サーバ上へ移行するための、インフラ開発作業を相模大野オフィスで行った。作業は、朝から夜の11時すぎ迄におよび、さながらブートキャンプの様相であった。
XenとKVM(Kernel Virtual Machine)の両睨みであるが、KVMの方が扱いやすいように思う。ツール群の充実、実績についてはXenの方が一歩先んじているが、KVMの場合は、ホストゲストともLinuxバニラカーネルで良くLinuxカーネルの機能がそのまま使え(例えばEDACなど)、非常に素直である。Xenの場合、Domain0カーネルは、2.6.18.8にパッチを当てまくったものを、xensourceで管理しておりこれが良くない。現時点で、3wareRAIDコントローラが全く使いものにならない。何で、バニラカーネル各バージョンへのパッチとして提供できないかな。
私個人としては、KVM最高、Xen最悪みたいな印象。
お客さんが一週間来るとさすがに気疲れします。最終日、相模大野叙々苑での焼肉パーティでリフレッシュ。おいしかった。</p>
メガネ購入
2008-04-20T00:00:00+00:00
2008-04-20T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_5138.html/
<p>以前はメガネを使用していたのですが、ここ何年かずっと使い捨てのコンタクトレンズを使用していました。しかし、最近、目が充血することも多く、ちょっと前に は結膜炎にかかり目脂で目もほとんど開けられないような状態のなか、仕事をしなければならなかったこともあり、久々にメガネを作りました。
主に、休日ちょっと車で出かける時などに使用できれば良いので、ちょこっと色も入っています。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2008/04/blog-post_5138.html/image/p1000061.jpg" alt="" /></p>
KVMフォーラム行きたい。。。
2008-04-20T00:00:00+00:00
2008-04-20T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/kvm.html/
<p>けど、先立つものが。。。
<a rel="external" href="http://kforum.qumranet.com/KVMForum/about_kvmforum.php">http://kforum.qumranet.com/KVMForum/about_kvmforum.php</a></p>
仕事の中心
2008-04-10T00:00:00+00:00
2008-04-10T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_10.html/
<p>仕事の中心は楽しさになければいけないと思う。
新しいことにどきどき、わくわくしながら挑戦できる。そんな会社にしたい。</p>
キャリアプランニング
2008-04-10T00:00:00+00:00
2008-04-10T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_9960.html/
<p>最初に、スタッフのキャリアプランニングを一緒になって考えたい。
誰もが、一流のプロフェッショナルとして独り立ちできるように、成長して欲しい。
将来像が見えれば、モチベーションも高くなるだろうし、いわゆるself motivating personになるだろう。</p>
<p>会社の仕事はスタッフのキャリアパスにすり合わせるようにすべきだ。
スタッフが日々成長し結果を残せるようになれば、できないはずは無い。</p>
ありがとう
2008-04-08T00:00:00+00:00
2008-04-08T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_08.html/
<p>ありがとうと言われるような仕事をしたい。</p>
<p>お客に「ありがとうございます」と言うのが普通だと思われているかもしれないが、それは間違っている。何故なら、お客は金額以上の価値を感じるからこそ、購入を決めるから。本来「ありがとう」と言われるのは、サービスを提供する側で無ければならない。</p>
<p>そのためには、常にサービスの価値を高める努力をしなければならない。愛想も大切であるが、本来の努力を怠ってはならない。</p>
<p>また、お客に「ありがとう」と言われる商売程楽しいものはない。</p>
<p>Inspired by 神田昌典</p>
人材の流動性
2008-04-05T00:00:00+00:00
2008-04-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_5048.html/
<p>優れた才能の持ち主が、組織の中で腐っていったり、精神的に病んでしまうのは絶対おかしい。
企業側の飼い殺しは良くないし、雇われる側がフィットしないところにいつまでもしがみつくのはもっとダメ。</p>
<p>今の世論に逆らうようだけど、安定した正社員にこだわらずに、自分が活躍するところを求めて自由に転職できるようにならないといけないと思う。</p>
<p>そうしないと、才能が埋もれ、外国にどんどん引き離されてしまう。</p>
<p>新しい働き方、フリーエージェントなんかどうだろう?</p>
<ul>
<li>
<p>かけ持ちで良い</p>
</li>
<li>
<p>勤務日には期待されるアウトプットをきっちり出すこと</p>
</li>
<li>
<p>かけ持ちを認めるが故に、情報をミックスしない心がけ、脳内iptablesが必要である</p>
</li>
<li>
<p>顧客や、契約に関する情報、顧客との取り決めで公にできない情報、公知でない新規技術情報等については、守秘義務を尊守する
それを実現するために必要なこと</p>
</li>
<li>
<p>個々のスキルが、一社のみならず、広く業界で通用することが必要。すなわち常にスキルアップする必要あり</p>
</li>
<li>
<p>経験が浅くスキルが完璧でなくても、その人なりに雇主からメリットと認められるアウトプットを出せることが必要</p>
</li>
<li>
<p>フィットしなければ、後腐れなく一端離れれば良い</p>
</li>
<li>
<p>うまくいかないことは、たまたまその時ニーズとスキルがマッチしないだけ
もちろん、正社員とそうでない人が同じ仕事をして、同じような成果を出した場合、給与に格差があってはならない。</p>
</li>
</ul>
<p>そもそも、正社員ってなんだろう?
ハローワークに募集要項を出す際には、フルタイムかパートタイムの区別しか無い。
労働基準法的には、正社員も契約社員も区別が無いって、社労士さんが言っていた(要確認)。</p>
<p>最近はそうでも無いのかも知れないが、キャリアの大半を一社のみで過ごし、ほとんど会社の人としか接することが無い人生なんて寂しくないか?
だから、私は会社を飛び出した。</p>
六本木ヒルズ
2008-04-05T00:00:00+00:00
2008-04-05T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_8569.html/
<p><img src="https://ktaka.blog.ccmp.jp/2008/04/blog-post_8569.html/image/p1000020.jpg" alt="" /></p>
<p>昨日六本木ヒルズに行って来ました。</p>
<p>以前、半常駐的に仕事させて頂いていた客さんでの、新規案件の打ち合せです。</p>
<p>不思議なオブジェ。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2008/04/blog-post_8569.html/image/p1000021.jpg" alt="" /></p>
<p>植え込みの花がきれいに咲いていました。</p>
<p><img src="https://ktaka.blog.ccmp.jp/2008/04/blog-post_8569.html/image/p1000022.jpg" alt="" /></p>
ブログの情報は良くないこともある。
2008-04-02T00:00:00+00:00
2008-04-02T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/04/blog-post_03.html/
<p>Linuxやネットワークなどの仕事をしていると、必要そうな技術情報はインターネット上に溢れている。なので、何かわからないことがあると、「グーグル先生に聞いてみよう♪」となることも多い。</p>
<p>しかし、検索に引っかかって来た情報を鵜呑みにしてはいけないと思う。</p>
<p>時々うんざりするのが、「〜について調べといてくれない?」と頼んだ時に、日本語ブログのURLがいくつも返ってくること。</p>
<p>そういう人って、「こうすれば動くみたいだよ」的な答えしか持っていなくて、まあ、要するに良くわかっていない。</p>
<p>かく言う自分も、質問されて良くわからない時に、URLをもって答えとする(笑)ことがある(反省)。</p>
<p>そんなレベルなら、自分でグーグル先生に聞きますよ。</p>
<ul>
<li>少なくとも、自分の言葉で説明して欲しい</li>
<li>オフィシャルなドキュメント(あれば)かデベロッパーのメーリングリスト位あたって欲しい</li>
<li>願わくば、ソースを拾って来て、grepかけて欲しい
昔、WEBなんかまだ無かったころ、某F2研究所の上司が口をすっぱくして説いていたことを思い出す。(当時はCMOSのプロセスデバイスの研究をしていました。)</li>
</ul>
<p>「オリジナルの論文をあたりなさい」</p>
<p>彼は、解説書すら否定していた。</p>
<p>何が言いたいかというと、なるべくオリジナルな一次情報にあたることが大切であるということ。</p>
<p>エセ技術情報が溢れているいま、一次情報を選別し、そこから体系的知識を学び取るスキルが必要である。</p>
<p>と書きつつ、「エセ技術情報」を垂れ流す自分に再び深く反省。</p>
<p>まあ、心がけということで。</p>
月末処理に忙殺される
2008-03-31T00:00:00+00:00
2008-03-31T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/03/blog-post_31.html/
<p>月末の入金確認と請求書の発行。買掛支払い。給料、家賃の支払。毎月のことながら骨が折れる。こういう経理処理を任せられる人がいるとすごく助かるのだが、お金のことだけに気が引ける。ましてや、うちみたいに規模が小さいと、頑張れば、自分と奥さんとで何とかなってしまうので、なかなか人に任せることができない。</p>
毎日少しずつ書いてみよう
2008-03-26T00:00:00+00:00
2008-03-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/03/blog-post_26.html/
<p>ブログをはじめようと思ったはいいけど、なかなか書けない。毎日必ず、書く時間を設けるようにしよう。</p>
クレーム
2008-03-26T00:00:00+00:00
2008-03-26T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/03/blog-post_5074.html/
<p>神田昌典365日語録より、「クレームの質が変わっている。お客は品質ではなく、自分が大切にされないことに不満を抱いている。」
なるほど、技術的にトラブルを解決することも大切ですけど、相手の立場にたって対応することが大切なんだなぁ。</p>
ブログことはじめ
2008-03-18T00:00:00+00:00
2008-03-18T00:00:00+00:00
Unknown
https://ktaka.blog.ccmp.jp/2008/03/blog-post.html/
<p>ブログと言うものを始めてみようと思います。どんな内容にしようかな。</p>
<ul>
<li>自分の会社のこと</li>
<li>Linuxやネットワークのこと</li>
<li>その他、いろいろ</li>
</ul>