[2020/9/30 21:00 追記]
libcurl.so.4の置き換えは推奨されない旨と、bootorderの変更が実際には反映されない旨を追記しました。
M75q-1 Tinyって何?
オタク大好き小型激安高性能マシンです。
My new gear… pic.twitter.com/okz1tkhxdX
— 社会人 (@pudding_info) September 25, 2020
楽天リーベイツの20%ポイント還元を使って、35090円の7018ポイント還元で実質28072円で買えました*1。安く買う方法や詳細はのらねこ先生のブログおよびのらねこ先生のバイヤーズガイドをご覧下さい。 スペックは以下の通りです。
DASH
Desktop and mobile Architecture for System Hardware(DASH)とは、M75q-1 Tinyに搭載されているリモート管理機能です。これによって、リモートからマシンの電源を入れたり、BIOSの設定などを変更したりできます。サーバマシンなどに搭載されているIPMIなどと似たものです。BIOSの設定から有効にすることが出来ます(デフォルトはオフになっています)
これを利用するためのアプリケーションとして、Windows向けにAMD Management Console(AMC)というものがAMD公式で用意されており、以下のWebサイトからダウンロードできます。
上述したのらねこ先生のバイヤーズガイドでもこちらの利用方法が解説されています。しかしオタクたるもの、GUIアプリケーションよりも黒い画面から操作したいし、Windowsなんて持ってない……*2。そんな要望を満たすアイテムは無いものか…………
あるじゃん👉
AMDは神。
Windowsだけでなく、UbuntuおよびFedora向けのdebパッケージが公開されています。Dockerコンテナに押し込めてしまえば、WindowsだろうがMacだろうがLinuxだろうが、関係無くDASH CLIを使えそうな予感がします。というわけでやっていきしましょう。
Docker Image for DASH CLI
大変残念ながらwgetやcurlなどを使ってアーカイブを取得することができなかった*3ため、ダウンロードページ( https://developer.amd.com/tools-for-dmtf-dash/#downloads )から手動でdashcli-setup_3.0.0-285-Public_amd64_deb.tar.gzをダウンロードしてください。
同じディレクトリに以下のDockerfileを配置します。
FROM ubuntu:18.04 ARG DASHCLI_VERSION=3.0.0-285 ENV DASHCLI_PKG=dashcli-setup_${DASHCLI_VERSION}-Public_amd64 ENV TZ Asia/Tokyo ENV DEBIAN_FRONTEND nointeractive WORKDIR /opt/dashcli RUN apt-get update \ && apt-get install -y --no-install-recommends \ sudo \ libssl1.0 \ libsdl1.2debian \ libsdl2-2.0-0 \ libxml2 \ mono-devel \ libcurl3 \ && apt-get clean \ && apt-get autoremove -y --purge \ && rm -rf /var/lib/apt/lists/* ADD ${DASHCLI_PKG}_deb.tar.gz . RUN dpkg -i ${DASHCLI_PKG}_deb/${DASHCLI_PKG}.deb \ && dashcli version \ && rm -rf ${DASHCLI_PKG} ENTRYPOINT ["/usr/bin/dashcli"] CMD ["help"]
後はdocker buildするだけです。
$ docker build . -t dashcli:3.0.0-285 # 一時的にdashcliというエイリアスを作成しておく $ alias dashcli="docker run --rm -i dashcli:3.0.0-285" $ dashcli version DASH CLI v3.0.0.285
[2020/9/30 21:00 追記]
libcurl.so.4を置き換えないようにDockerfileを修正しました。
追記ここまで
注意
ちゃんとライセンスを読んでいないので確かなことは言えないのですが、勝手にこのバイナリを含むDockerイメージを公開する(==再配布する)行為はライセンス違反となる可能性があります。念のためプライベート・非商用での利用をお勧めします。
DASH CLIの使い方
使い方に関するドキュメントが非常に少ないです*4。僕自身もしばらく触っただけで、まだ全く活用は出来ていません。
実はdebパッケージにドキュメントが含まれており、 /usr/share/doc/dashcli-setup/
以下に配置される……はずなんですがこのディレクトリは空になっています(なんで?)。debパッケージを手動で展開し、手元にドキュメントを用意します。以下のコマンドで可能です。
$ DASHCLI_VERSION=3.0.0-285 $ docker run --rm -v $PWD/doc:/doc --entrypoint /bin/bash dashcli:${DASHCLI_VERSION} -c "dpkg-deb -x dashcli-setup_${DASHCLI_VERSION}-Public_amd64_deb/dashcli-setup_${DASHCLI_VERSION}-Public_amd64.deb dash_deb && cp -r ./dash_deb/usr/share/doc/dashcli-setup/* /doc/" $ ls doc/ DASHActiveDirectory.pdf License LinuxDASHCliUserGuide.pdf DASHCertificates.pdf LinuxDASHCliDeveloperGuide.pdf LinuxReleaseNotes.pdf
LinuxDASHCliUserGuide.pdfよりもLinuxDASHCliDeveloperGuide.pdfの方が情報が豊富でおすすめです。
ヘルプの表示
$ dashcli help DASH CLI v3.0.0.285 Command line utility to manage DASH capable systems. Usage: dashcli [options] commands Options allowed: -h <host> Host Name -p <port(s)> Server Port(s)(For discovery more than one ports can be specified seperated by commas) -u <username> User Name -P <password> Password -a <digest|basic|gss> Authentication Type [default=digest] -S <http|https> HTTP Scheme [default=http] -c <certificate> Certificate file (Alternatively certificate can be stored in certificate store) -C Ignore certificate/do not verify certificate -t <targetpath> Target Path -s <startip> Start IP address for discovery (only for discovery) -e <endip> End IP address for discovery (only for discovery) -T <timeout> Timeout in seconds -v <1|2> Verbose Level [ 1 - More explanation on error or 2-Dump WSMAN data] -o <verboseoutput> Verbose output file to dump wsman data [default is sdtout]. Commands allowed: help Display help version Show dashcli version enumerate Enumerate targets discover Perform discovery registeredprofile Checks the profile support indication Indication commands(subscribe for indication, create filters/destinations listenevents Listen for events/alerts textredirection Configure Text Redirection services usbredirection Configure USB Redirection services kvmredirection Configure KVM Redirection services raw Issue raw commands account Creates,Deletes and Manages the Account roles Manages the Roles shell Launch interactive DASH shell capabilities Display Capabilities of a target For commands specific to targets dashcli help target Where allowed targets are alertdestination asset battery bios bootconfig computersystem dhcpclient dnsclient ethernetport fan filtercollection indicationfilter indicationsubscription indicatorled ipconfiguration ipinterface kvmredirection logentry memory mediaredirection networkport opaquemanagementdata operatingsystem pcidevice physicalcomputersystemview platformwatchdog powersupply processor recordlog registeredprofile role sensor serviceprocessor software textredirection usbredirection user Example usage: Discovery example: dashcli -s 192.168.0.4 -e 192.168.0.15 -u admin -P admin -p 623 discover dashcli -s 192.168.0.4 -e 192.168.0.15 -p 623 discover dashcli -s 192.168.0.4 -e 192.168.0.15 -p 623,664,8889 discover dashcli -s 192.168.0.4 -e 192.168.0.15 -S http -p 623 discover dashcli -s 192.168.0.4 -e 192.168.0.15 discover info dashcli -h hounds-demo -S http -p 623 discover dashcli -h 192.168.0.8 -S http -p 623 discover dashcli -h hounds-demo -S http -p 623 discover info dashcli -h 192.168.0.8 -S http -p 623 discover info Enumerate target example: dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate computersystem dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate processor dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate bootconfig Executing commands on a target example: dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t computersystem[0] power on dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t processor[0] enumerate memory dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t bootconfig[0] changebootorder 1 0
DASH CLIにはCommandsとtargetというものがあるようです。Commandsは操作するコマンド、targetはコマンドによって操作される対象を表しています。ただ、上記helpに表示されているCommandsというものは、どのtargetに対しても有効な物です。各target特有のCommandは、 dashcli help ターゲット名
で表示することができます。
DASHが有効なホストの探索
IPアドレスの範囲を指定することで、自動で探索してくれます。DASHを有効化した後、IPアドレスを固定せず、MACアドレスも控え忘れたままディスプレイから引っこ抜いてしまったときに使えそうですね。
$ dashcli -s 192.168.0.2 -e 192.168.0.4 discover Checking 192.168.0.2 ... Checking 192.168.0.3 ... Checking 192.168.0.4 ... DASH system(s) discovered: 192.168.0.4:623
電源状態の取得・変更
各ホストの詳細の表示・変更にはログイン情報を渡す必要があります。デフォルトのユーザ名とパスワードは以下の通りです。
- ユーザ名:
Administrator
- パスワード:
Realtek
BIOSのUI上からではこれらを変更する方法はなく、このコマンド経由でのみパスワード変更等が可能です。 アカウントの作成・削除もできるため、後述する方法で新規ユーザの作成と、Administratorの無効化を行う方がセキュリティ的には良いかと思います。
電源状態を表示してみます。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power status Power state : On
-C
を付けないと Error: Connection Failed : Trnasport initailization failed
というエラーが出ます。
電源のオン・オフ・再起動は以下のコマンドで可能です。
# 電源オン $ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power on # 電源オフ $ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power off # 再起動 $ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power restart
注意点として、これらのコマンドはその実行結果を保証しません。つまり、状態のリクエストはしますが、その状態に移行したことは保証してくれません。power onした後に実際にそのホストが起き上がってくるかどうかは、別の方法で検証する必要があります。
boot順の表示・変更
[2020/9/30 21:00 追記]
boot順の変更はSuccessするものの、試した限りではそれが実際のブートに反映されることはありませんでした。
変更後、setdefault
や setnext
、 setnextsingleuse
も試しましたが変化はありませんでした。
Windows版DASH CLI、AMD Management Console、Realtek Management Consoleのいずれでも同様でした。もし成功する方が居られれば、情報頂きたいです。
この事象についてLenovoにメール問い合わせをしましたが、技術的な内容はオンサイトの技術サポートに問い合わせて欲しいと言われました。
オンサイトは電話窓口しかないため、電話する気力が湧けば確かめてみたいと思っては居ます(BIOS経由でEnableできる特殊な機能のため、回答はあまり期待していません)。
一応AMDのDASHサポートにも問い合わせてみてみましたが、おそらくM75q-1 TinyのUEFIおよびRealtekのDASH firmwareの問題だと思われるため、こちらも良い回答は期待していません。
追記ここまで
まずはブート順の表示
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate bootconfig Boot Config Instance 0 Element Name : Bootcfgsetting:0 Instance ID : Bootcfgsetting:0 Is Default Configuration : No Is Current Configuration : No Is Next Configuration : Yes Is Next Single Configurat: No Boot Device(s) : Device 0 : CIM:Windows Boot Manager:1 Device 1 : CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1 Device 2 : CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1
WIndowsのブートマネージャーが最初に、次にIPv4でのPXEブートが来ているようです。この順序を逆にしてみます。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t bootconfig[0] changebootorder 1 0 Boot Order Changed Successfully $ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate bootconfig Boot Config Instance 0 Element Name : Bootcfgsetting:0 Instance ID : Bootcfgsetting:0 Is Default Configuration : No Is Current Configuration : No Is Next Configuration : Yes Is Next Single Configurat: No Boot Device(s) : Device 0 : CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1 Device 1 : CIM:Windows Boot Manager:1 Device 2 : CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1
元に戻すときは再度 changebootorder 1 0
をすることで入れ替わります。この状態で前述のコマンドを使って再起動をかければ、PXEブートするはずです。
ただ、多くの場合は一時的にブート順序を変えたいのではないでしょうか?このコマンドは恒久的に変更してしまうため、このような変更を行うにはいいかんじのタイミングで再度ブート順序を変更する必要がありそうです。
他にもどうもsetnextとかsetnextsingleuseとかいうコマンドがあるようですが、使い方も意味も分かりません……*5
ユーザの作成・削除
さすがにデフォルト値のユーザを使い続けるのはセキュリティ的に良くありません。ユーザ一覧を見てもAdministratorしかいないことが分かります。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate user User Instance 0 Name : Administrator User id : Administrator Element Name : Account Organization Name(s) : DMTF Enabled State : Enabled Requested State : Not Applicable Associated Role(s) : Role:0, Role:1, Role:2
DASHはRole Based Access Controlを採用しているようで、Roleごとに権限が与えられており、このRoleを特定のユーザに付与することで、そのユーザに実行可能な操作を限定できるようです。デフォルトのAdministratorには多くの権限が付与されているため非常に危険です。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate role Role Instance 0 Role Name : Role:0 Privileges : priv:0 (BaseDesktopAndMobile(Execute)), priv:11 (SimpleIdentityManagement(Execute)), priv:12 (RoleBasedAuthorization(Execute)) Role Instance 1 Role Name : Role:1 Privileges : priv:13 (TextConsoleRedirection(Execute)), priv:14 (USBRedirection(Execute)), priv:21 (KVMRedirection(Execute)) Role Instance 2 Role Name : Role:2 Privileges : priv:0 (BaseDesktopAndMobile(Execute)), priv:1 (CPU(Execute)), priv:2 (BootControl(Execute)), priv:3 (PowerStateManagement(Execute)), priv:4 (Indications(Execute)), priv:5 (SystemMemory(Execute)), priv:6 (SoftwareInventory(Execute)), priv:7 (Sensors(Execute)), priv:8 (Fan(Execute)), priv:9 (PowerSupply(Execute)), priv:10 (PhysicalAsset(Execute)), priv:15 (DHCPClient(Execute)), priv:16 (IPInterface(Execute)), priv:17 (BIOSManagement(Execute)), priv:18 (OperatingSystem(Execute)), priv:19 (RecordLog(Execute)), priv:23 (EthernetPort(Execute)), priv:24 (NetworkPort(Execute))
まずはユーザを作成します。
$ dashcli -h 192.168.16.51 -u Administrator -P Realtek -C \ -t computersystem[0] \ user add ユーザ名 パスワード Organization名 User Added Successfully
なぜかOrganization名は反映されませんでした。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] show User Instance 1 Name : ユーザ名 User id : ユーザ名 Element Name : Account Organization Name(s) : DMTF Enabled State : Enabled Requested State : Not Applicable Associated Role(s) : N/A
この状態ではRoleが付与されていないのでこのユーザでは何も出来ません。Administratorと同じRoleを付与します。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] assignroles Role:0 Role:1 Role:2 Roles assigned Successfully $ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] show Name : ユーザ名 User id : ユーザ名 Element Name : Account Organization Name(s) : DMTF Enabled State : Enabled Requested State : Not Applicable Associated Role(s) : Role:0, Role:1, Role:2
これでこのユーザを使えるようになったはずです。
$ dashcli -h 192.168.XX.YY -u ユーザ名 -P パスワード -C -t computersystem[0] power on Power state 'On' was applied successfully
使えることが分かったので、Administratorは無効にしておきます。
$ dashcli -h 192.168.XX.YY -u ユーザ名 -P パスワード -C -t user[0] disable Error: Disabling User
えぇ…………
仕方が無いのでパスワード変更にします。
$ dashcli -h 192.168.XX.YY -u ユーザ名 -P パスワード -C -t user[0] changepassword 新パスワード User password changed Successfully
これで多少は安心できそうですね。
LEDも操作できる!?
できませんでした……。
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate indicatorled Indicator LED(s) not found
何台もM75q-1 Tinyがある場合に点滅させたりできたら楽しそうだなと思ったんですが残念……我々はテプラから逃れられないようです。
JSON形式での実行と表示
こんなよく分からない形式のデータを扱うのつらそう……と思いましたが、調べてみるとどうもJSONでのコマンド実行・出力が出来るようです。すごいですね。
ただちょっとクセがあります。
入力するJSONは位置引数以外は単にオプション名をキーに、その値をバリューとするように構成します。ただし、-C
のような値を取らないフラグは1を値として与えます。
また、位置引数は Commands
というキーに対して、文字列を空白区切りのarrayとして与えます。JSONとして成立しない壊れたものも頑張って読み込もうと知るため、思っているのとは違うエラーが出ることにも注意が必要です。
-jdo
を使う方法
-jdo
を付けると、標準入力からJSONを受け付け、実行結果をJSONで表示します。
$ echo '{"h": "192.168.XX.YY", "u": "ユーザ名", "P": "パスワード", "C": 1, "Commands": ["enumerate", "bootconfig"]}' > enumerate_bootconfig.json $ cat enumerate_bootconfig.json | dashcli -jdo | jq { "@odata.id": "/DASH/v1/BootConfigurationCollection", "@odata.type": "#BootConfigurationCollection.v1_0_0.BootConfigurationCollection", "Id": "BootConfigurationCollection", "Members": [ { "@odata.id": "/DASH/v1/BootConfigurationCollection/BootConfiguration", "@odata.type": "#BootConfiguration.v1_0_0.BootConfiguration", "BootDevices": [ { "Name": "CIM:Windows Boot Manager:1", "Value": 0 }, { "Name": "CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1", "Value": 1 }, { "Name": "CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1", "Value": 2 } ], "ElementName": "Bootcfgsetting:0", "Id": "BootConfiguration", "InstanceId": "Bootcfgsetting:0", "InstanceNumber": 0, "IsCurrentConfiguration": "No", "IsDefaultConfiguration": "No", "IsNextConfiguration": "Yes", "Name": "Boot Configuration" } ], "Name": "Boot Config Collection" }
ちゃんとjqで読み込める、まともなJSONが返ってきます。最高かな?
-ji
と -jo
を使う方法
入力するJSONファイルと、出力するJSONファイルのパスをそれぞれ指定する方法です。
Dockerを使う関係上少し面倒になってしまいますが、以下の様な感じです。
# カレントディレクトリを/workdirとしてマウント # /workdirを実行時のカレントディレクトリにする # 実行ユーザのUID・GIDをDockerホストと統一 $ alias dashcli="docker run --rm -i -v $PWD:/workdir --workdir /workdir -u $(id -u):$(id -g) dashcli:3.0.0-285" $ dashcli -ji enumerate_bootconfig.json -jo result.json $ jq "." result.json # 省略
微妙なところ
結構よくできている印象のCLIですが、やはりメインはWindows向けなのかいくつか微妙な点があります。
変なエラーが出る
[2020/9/30 21:00 追記]
AMDのDASHサポートにメールしたところ、このエラーが出る事象は把握しており、動作には問題が無いとのこと。
置き換えることでテストケースがfailするようなので、少々邪魔くさいですが諦めてエラーが表示されることは許容しようと思います。
また、修正版をリリースする予定もあるとのことなので、それを待つことにします。
(libcurl.so.4を置き換えないようにDockerfileも修正しました。)
追記ここまで
Dockerfile内で勝手に潰しているのですが、単にインストールするだけでは以下の様なエラーメッセージを毎回吐きます。
$ dashcli version /usr/bin/dashcli: /usr/bin/libcurl.so.4: no version information available (required by /usr/bin/libwsman_curl_client_transport.so.1) DASH CLI v3.0.0.285
この /usr/bin/libcurl.so.4
はdashcli-setupのdebパッケージ内に含まれており、インストール時に勝手に配置されます*6。
自分でlibcurl3をインストールして、そのlibcurl.so.4へのシンボリックリンクに勝手に置き換えるとちゃんと動いている上にエラーメッセージも出ません。これについてはサポートに問い合わせているので、何か返事があれば追記します。
インストール後に実行されるスクリプトがsudoを使う
debパッケージを展開するとわかるのですが、インストール後に実行されるpostinstというスクリプト内でsudoが使われています。
そのため、Docker内で実行すると sudo をインストールしていないとコケます。
うーん、 どうせパッケージインストール時に権限が必要なので、rootでないユーザは sudo dpkg -i
するだろうからこれは不要なのでは……*7。
出力に毎回変な改行が混ざる
できるだけ出力はそのままコピペしているので分かると思うんですが、毎回変な改行が先頭に入っています。なんやねんこれ。
-ji
と -jo
を使うときですらなぜかそうなるので微妙な気持ちになります。あんまり実害はないのでまだ許せますが。
まとめ
Linuxで使えるDASH CLIと、それをDockerコンテナに閉じ込めて使う方法の紹介でした。軽くググった限りでは日本語の記事はこれが初出なのではないでしょうか。
今後の展望としてPXEブートできる環境を用意し、このCLIを使用して電源操作・ブート順操作の自動化をすることで、物理マシンに任意のOSをインストールしゼロからシステムをデプロイできる環境の作成を目指しています。
[2020/9/30 21:00 追記]
ブート順を変更できないっぽいため、どうするか少し悩んでいます。PXE→iPXE→HTTPでiPXEスクリプトを問い合わせというフローでブートできることを確認したので、必要な時以外は単にexitするスクリプトを配布すればその後SSDからブートするため、常にPXEブートを最上位に持ってきておくことで対応出来るのでは?と考えています。
追記ここまで
自宅で物理マシンを使ってImmutable InfrastructureとInfrastructure as Codeを実現できそうなのは結構面白いのではないでしょうか。できればあと数台M75q-1 Tinyが欲しいところです。収入が足りない😢