ハクソク

世界を動かす技術を、日本語で。

私のホームラボで全てのIP KVMをテストしました

8時間前原文(jeffgeerling.com)

概要

  • IP KVM は遠隔操作が必要な特殊な状況で活躍
  • PiKVM などの主要製品と、その特徴・価格を比較
  • セキュリティリスクや運用上の注意点を強調
  • 各社の オープンソース への貢献度やカスタマイズ性を解説
  • 実際の利用シーンや選び方のポイントを紹介

IP KVMとは何か、どんな場面で使うのか

  • IP KVM (Keyboard Video Mouse over IP)は、物理的なPCやサーバーを ネットワーク経由で完全遠隔操作 可能なデバイス
  • リモートデスクトップやVNC などのソフトウェア型リモート制御と違い、 OSが起動していなくても操作可能
  • BIOS設定やOSクラッシュ時 の復旧作業など、通常のリモートソフトが使えない場面で活躍
  • 一部のサーバー(HP iLO、Dell iDRAC、IPMIなど)には標準搭載だが、一般PCや古いサーバーには非搭載
  • セキュリティリスク も大きいので、 最新ファームウェア適用ネットワーク隔離 が必須

主要なIP KVM製品の比較

PiKVM

  • IP KVM界のパイオニア であり、オープンソースソフトウェアの基盤を築いた
  • Raspberry Pi を利用し、HDMIパススルーやATX電源制御、5G/4G対応など多機能
  • 価格帯 :$270~$400(モデルにより異なる)
  • オープンソース :GPLv3ライセンスで公開、コミュニティ活発
  • 自作キット も公式で公開、コスト削減も可能

BliKVM

  • PiKVMの派生系 で低価格モデルを展開
  • Allwinner H616 やRaspberry Pi CM4を採用、PCIeカード型も提供
  • 価格帯 :$235~$300
  • オープンソース :PiKVM由来でGPLv3、独自UIあり

GL-iNet Comet/Comet Pro

  • 低価格帯 で4K対応、ATX制御やFingerBot連携などユニークな拡張性
  • Comet Pro はWiFi・タッチパネル・HDMIパススルーなどを追加
  • 価格帯 :$99.99(Comet)、$179.99(Comet Pro)
  • オープンソース :PiKVMベースで独自クラウド機能

Sipeed NanoKVMシリーズ

  • 超小型・低価格 ($69~$99)、RISC-VやArmベースでPCIe型・Pro型も展開
  • スパイ事件 でも話題に、セキュリティ意識が必要
  • タッチパネルやPoE対応 など多機能
  • オープンソース :公開が遅れたが現在は対応

JetKVM・LuckFox PicoKVM・LeafKVM

  • JetKVM は高品質な筐体とスピーディなUIが特徴、$100前後
  • LuckFox PicoKVM はJetKVMのクローンで安価
  • LeafKVM はVGAアダプタ内蔵や大画面タッチパネル搭載、クラウドファンディングで$120
  • オープンソース :JetKVMベースで各社独自拡張

TinyPilot Voyager 3

  • PiKVM同様のRaspberry Piベース、ビジネス向けの設計
  • 管理機能やライセンス体系 がしっかりしており、企業用途に適する
  • 価格帯 :PiKVMよりやや高め

セキュリティと運用上の注意点

  • IP KVMはネットワークの“裏口” になり得るため、 強固なパスワード・ファイアウォール・定期的なアップデート が必須
  • 信頼できるメーカー・ベンダー を選定することが重要
  • オープンソース の恩恵は大きいが、 ソフトウェアの信頼性・透明性 もチェックポイント

IP KVMの選び方と活用シーン

  • OSがダウンしても操作したい場合BIOS設定変更・リモート電源制御 が必要な環境で真価を発揮
  • 趣味・個人利用 ならPiKVMやJetKVM、 コスト重視 ならNanoKVMやLuckFox
  • 企業・管理者用途 はTinyPilotやPiKVMの上位モデルが最適
  • 拡張性・カスタマイズ性 を重視するならオープンソース系が有利

まとめ

  • IP KVMは“究極の遠隔操作” を実現するツール
  • セキュリティ対策 を徹底し、用途や予算に応じて最適なモデルを選択
  • オープンソースコミュニティの動向 も要チェック

Hackerたちの意見

いいね!誰かが、俺がめちゃくちゃなアンチフィンガープリンティング戦略を提案したときにこれを言ってた。Jeff Geerling最高!

安いIP KVMにはちょっと不安があるな。ベンダーが悪意を持ってるとは思わないけど、毎回うまくいくとは期待してない。正直、オープンソースのファームウェアも見てないから、改善の余地があったかも。SispeedのUSB KVMはすごく便利で、50ドルの価値はあったよ。UXはあんまり良くないけど、別に必要ないしね。キーボードとマウスはWebUSB経由でほとんどの時間動いてる。

問題の一部は、ほとんどのベンダーがAST2600に載せるクソみたいなものがさらにひどいってこと。iDRACは俺にはかなり信頼性が高かったけど、家庭用にDellサーバーを買う可能性はほぼゼロだね。

僕も自宅のラボでSipeed NanoKVM(PCIe)を使ってて、満足してるよ。しばらくの間、これが最もコストパフォーマンスの良い選択肢だったし(GL.iNetやPiKVM、JetKVMと比べても一番安定して入手できる選択肢だね)。PoEバージョンはラックにぴったりだし、統合されたATXコントロールもフル機能で、ウェブUIでシステムが電源オンの時に小さな電源スイッチアイコンが緑になるのもいい感じ。インターネットアクセスのない孤立したOoBM VLANを設定して、そこに割り当てられたスイッチポートはデフォルトで孤立してるよ。

関係ないけど、GL.inetのコメットラインにはいい経験があったよ。KickstarterにUSB-Cだけを使ったGoogle Castのパックサイズのやつがあるんだ。ただ、俺のKVMはインターネットにアクセスできない(ゲートウェイでブロックされてる)。外部からはtailscale経由でしかアクセスできない。[1] https://www.gl-inet.com/products/gl-rm1/

PiKVM V4 Plusには+1000ポイント!俺たち(Revise Robotics - YCの会社!)はロボットとAIを使ってノートパソコンをリファービッシュしてるんだけど、その一環で(というかAIが)リファービッシュするコンピュータにソフトウェアでキーボードコマンドを送ってる。どうして?AIがBIOSをナビゲートする必要があるから、ざっくり言うと矢印キーを下にしてエンターを押すためにKVMが必要なんだ。GL.iNetのKVMを使ってたけど、特定のThinkPadで厄介な問題にぶつかって、GL.iNetが間違ったUSB 0バイトを送ってしまって、ほとんどのノートパソコンは無視したんだけど、このThinkPadだけはそれにビビって鳴き出したり、キーコマンドを受け付けなかった。これを放っておくわけにはいかなかったから、低レベルのUSBデバッガーを手に入れて(これを超おすすめ!)、USB信号をワイヤーデバッグして、GL.iNetとPiKVMをA/B比較した。PiKVMはちゃんと動いてたから、全てのKVM(約10台)をそれに交換したよ。GL.iNetはカスタマイズが難しかった記憶がある(ただpikvmのソフトウェアを動かしてるだけで、あんまりカスタマイズできない)。GLはUIがいいけど、あんまり関係ない(API経由で操作してるし)、実際のPiKVMの作者や会社をサポートできて嬉しい。素晴らしい製品だよ。安くはないけど、本当に素晴らしい。追伸:もしGLの人が連絡したいなら、低レベルのデバッグ情報をたくさん提供できるよ。この問題を直せたらいいな。[0] https://greatscottgadgets.com/cynthion/

ニューヨークにハードウェア会社があるって素晴らしいね!そんなのあんまり見かけないよね :p

お金に余裕があるなら、PiKVMはやっぱりゴールドスタンダードだと思うよ。エンジニアリングも素晴らしくて、柔軟性も抜群。値段は高いけど、それだけの価値がある。外部ボックスを使った複数デバイス管理のソリューションもいい感じ(TechnoTimのチャンネル/ウェブサイトで詳しくやってたよ)。他のPiベースのKVMも大体PiKVMのソフトウェアを使ってるし、直接PiKVMに対応してるのはあるのかな(個人的には対応すべきだと思うけど)。もう一つのクラスはJetKVMとその派生版(多くのJetKVMのフォーク版のGoソフトウェアがサクサク動く)で、だからこそJetKVMを使い続けてる理由でもある。ほとんどどんな状況でもマウントできるコミュニティがあって、変なものを正しく動かすためのハックもあるみたい。近々PoEとフルサイズHDMIのバージョンも出るみたいだし、microSDでISOストレージも拡張できると思う。

KVMに400ドルって高くない?

GLの人間じゃないよ。自分でUSB HIDハンドラーを書いてるし、世の中にある悪いプロトコルについてちょっと気になってるだけ。0バイトは入力レポートの中にあったの?それともディスクリプタ?他の場所?

ねえJeff、この記事を読んでjetkvmについて調べてみたんだけど、すごく感心した。でも、フルスケールのHDMIとPoEが欲しくて、後で言ってたクローンのArkKVMを買おうと思ったんだけど、できればメインプロジェクトをサポートしたいなと思ったんだ。調べたところによると、Jetはハードウェアの改訂でその2つの問題を修正したみたいだけど、新しいものと古いものの区別がつきにくいんだよね。同じ名前を使ってるし、v2みたいな名前も付けてないみたい。あるベンダーはPoEと非PoEのSKUを持ってて、別のベンダーはeMMCとTFカードのSKUを持ってるけど、どれも名前で区別できない。Amazonでも混乱があって、少なくとも4つの別々のリストで売られてるけど、どのモデルがどれかの名前が書かれてないし、どれもPoEについては触れてないし、全てフルサイズHDMIを謳ってる。とにかく、君のレビューが古くなってることを知っておいてほしいけど、調べる必要があるかもね。

確かに、ブログ記事にメモを追加するね。V2とか呼ぶべきだったんじゃないかな。

KVMがこんなに難しい問題だなんて、全然理解できない。今の時点で良い答えがあるはずなのに、結局何百ドルも払わないといけないし、それでも運任せな感じがする。

KVMは解決が難しい問題じゃないよ。サーバーマーケットではBMCで完全に解決されてる。ここで解決しようとしている問題は、誰かがラズベリーパイのような一般的な製品を使って、VGA/HMDI/DPポートでビデオキャプチャをしようとしていること。これは実際にはエンドユーザーが抱えている問題じゃない。サーバークラスじゃないシステムに接続したいなら、USBバスに接続できるビデオカードを作るべきだし、常にオンの電源レールや電源スイッチのピン、RJ45ジャックを持っているべきだ。カードの内容はオフ・ザ・シェルフのBMCチップであるべきだけど、現実的にはこの機能が欲しいなら、そういう機能が付いてるサーバークラスのシステムを買った方がいいよ。

キーボードやモニターのインターフェースを通じてこんなことをしなきゃいけないのは bizarre だよね。30年前、Silicon Graphicsの機器を使ってた頃は、サーバーの電源を入れたり切ったり、ネットワーク越しにOSをゼロからインストールするのもシリアルでできたんだよ。しかも自動で、expect(1)を使ってね。これが進歩ってことかな。

他のコメントでも言われてるけど、これは基本的にすべてのサーバーで解決済みだよ。過去20年以上、すべてのPoweredgeやSupermicroは、ますます洗練された統合リモート管理システムを搭載してきた。R610も持ってるけど、DRACは古いけど、考慮すればまだかなり良いよ。

そうそう、KVMスイッチに関して気になったのは2つあって、まず電源アダプターがデカすぎてケーブルが多すぎること。それに、ケーブルがいつも同じ側に行くわけじゃないんだよね。君の投稿はその両方をカバーしてて、すごく嬉しいよ。最後に、ちょっとした要望なんだけど、BMCがないラックに入れたいのはMac Miniだけなんだ。Sonnet RackMacに入れるのをためらってるのは、KVMで電源のオンオフがどうやってできるかわからないから。キャビネットは1時間離れてるし、Mac Miniは家族のAIエージェントを動かしてるから、いつでも使える状態にしておきたいんだ。今のところ、特に手をかける必要はなかったけど(停電後も自動で復帰するし)、理想的にはリモートでオンオフできるようにしたいな。これにうまく対応できるのはどれか知ってる?

ネットワーク接続されたPDUに接続されたKVMを使える?それなら、Macのプラグを電源サイクルすれば同じことができるよ。もしくは、KVMなしでPDUのネットワークポートを直接使うのもありだね。

PoEインがないIP-KVM用にPoEスイッチとPoEスプリッターを追加したらどう?

確かに、ネイティブUSBやディスプレイが必要なケースもあるけど、初期設定が終わったらデバイスはネットワークに接続されて、ネット越しに管理できるからね。だから、もっとハードウェアをラックに追加したいならどうぞだけど、僕は年に一回くらいしか物理的なキーボードとマウスをラックに繋げる必要ないよ。

これらはすべて単一のコンピュータにしか対応してないから、もし自宅ラボに複数のPCがあるなら、リモートコントロールKVMスイッチも必要だよ。それに、必要ならリモートコントロールの電源タップも別に必要だね。KVMスイッチは比較的安いから、統合されたソリューションがないのは意外だな。

PiKVM用のアドオンや、Geekwormの完全統合版、GL-iNetの未発売の4ポートIP KVMスイッチなど、いくつかあるよ。

誰もIntel vPro AMTについて言及してないのが意外だね。これは基本的に常時稼働のKVMで、CPUファームウェアの一部で、常時稼働の5V PSUレールで動いてる。オプションがめちゃくちゃ多いよ。無人で定期的(またはアラームベース)の電話ホーム、ユーザー承認や完全ユーザーオーバーライド、ブートメディアのスプーフィング、WiFi経由のシリアル… これらはすべて消費者向け(っぽい)CPUに組み込まれてる。

誰も気づかなかったのは驚きじゃないよ。だって、これは購入してテストできるKVMじゃないからね、記事のテーマとは違う。代わりにIMPIjrについて話してるだけ。これらの特定の機能は消費者向けCPUにはなくて、ワークステーション用にマークされたCPUにあるんだ。消費者がvProマシンを買うことなんてないよ。これは企業向けのIT管理機能であって、ユーザー向けの機能じゃない。プライバシーの問題として執着してる人たちによる狂った rantもよく見かけるしね。