Ubuntu Weekly Recipe

第650回　Ubuntu Coreのインストールを自動化する

Twitter リスト

2021年1月20日

柴田充也

この記事を読むのに必要な時間：およそ 2.5 分

第649回ではIoTデバイス用のプラットフォームとして利用されているUbuntu Coreの独自イメージの作り方を紹介しました。独自イメージを作れるようになると，各種アサーションを設定できるようになります。そこで今回はsystem-user assertionを利用して，Ubuntu Coreのインストールを自動化しましょう。

任意の管理者を追加できる「system-user assertion」

第649回でも解説しましたが，あらためてUbuntu Coreにおいてカスタムイメージを作成するメリットを紹介しておきましょう。

任意のsnapパッケージがインストールされたイメージを構築できる
初回セットアップをスキップできる
コンソールから直接ログイン可能に変更できる
任意のカーネル・ブートローダーを利用できる

今回活用するのは二番目のメリットです。

通常配布されているUbuntu Coreはconsole-confによって初回セットアップ（Ubuntu SSOを利用したアカウントの作成）を必要としています。セットアップ済みのデバイスを「managed」と呼び，未セットアップなデバイスを「unmanaged」と呼びます。しかしながらインストールのたびにHDMIディスプレイとキーボードをつないで操作するのはいろいろと面倒です。そこで用意されているのが「設定済みのファイルをUSBスティックに保存し，それを接続して起動すれば自動セットアップしてくれる」モードです。これを実現するための設定ファイルを「system-user assertion」と呼びます。

system-user assertionはunmanagedなデバイスにのみ適用可能です。またその設定ファイル（アサーション）は，Coreイメージの作成者の鍵で署名されている必要があります。普通のUbuntu CoreはCanonicalの鍵で署名されているイメージのため，アサーションを作成できません。そこで自分の鍵で署名したカスタムイメージが必要になるのです。

第649回ですでにGPG鍵を「~/.snap/gnupg/」以下に作成済みであるとします。次のコマンドで鍵IDが表示されることを確認しておいてください。

$ snapcraft list-keys
    Name     SHA3-384 fingerprint
*   default  <鍵ID>

また，Snap Store上の開発者向けdashboardから「account-id」を取得しておいてください。

system-user assertionファイルの作成

実際に初回セットアップで何をしているかというと，Ubuntu SSO経由でアカウント情報とSSHの公開鍵を取得し，その内容からローカルアカウントを作成しているだけです。つまりこの情報を別の手段で提供すれば，インストールを自動化できます。この情報そのものが「system-user assertion」となります。

Ubuntu Coreではデバイスがunmanagedなら，つまり初回セットアップも実施されず，過去にsystem-user assertionでアカウントも作られていなければ，起動時にUSBスティック上のルートディレクトリに「auto-import.assert」という名前のファイルが存在するかを確認します。もし存在すればそのファイルを用いてセットアップを行う仕組みになっているのです。

auto-import.assertは次の二種類の情報をまとめた，署名済みのYAMLファイルです。

そのアサーションに署名を行ったSnap Store上のユーザー情報
system-userとして作成するアカウント情報

つまり単に作成したいアカウントを記述するだけでなく，そのデバイスイメージに対して（modelに対して）アカウントを作成する権限があるユーザーによって署名したかどうかを記録する必要があるのです。この点が，model assertionを作ったときと異なります（※1⁠）⁠。

※1: ちなみにmodel assertionには「system-userを作れるユーザーをリストアップするフィールド」である「system-user-authority」というフィールドも存在します。指定しなければmodelを作ったユーザーだけがsystem-userを作成できます。詳しくはSystem userのドキュメントを参照してください。

これらをまとめて正しいYAMLファイルを作るのは少し面倒なため，そのものずばりの「make-system-user」というコマンドが用意されています。まずはそのコマンドをインストールしましょう。

$ sudo snap install make-system-user --classic

あとは第649回で作成したmodel assertionがあるディレクトリで次のコマンドを実行します。

$ make-system-user \
  -b <Snap Storeのaccount-id> \
  -m pc \
  -u <作成したいユーザー名> \
  -e <Ubuntu SSOアカウントのメールアドレス> \
  -k default \
  -s '<~/.ssh/id_rsa.pubの中身>'

Done. You may copy auto-import.assert to a USB stick and insert
it into an unmanaged Core system, after which you can log in
using the username and password you provided.

account-idはカスタムイメージ作成時と同じSnap Storeから取得した文字列です。model assertionで使ったbrand-idと同じである必要があります。「⁠-m pc」はmodel assertionのモデル名です。

「作成したいユーザー名」はUbuntu Coreシステム上に作成する際のユーザー名となります。「⁠Ubuntu SSOアカウントのメールアドレス」はそのユーザーに紐づくメールアドレスです。Ubuntu SSOのアカウントと同じである必要性が今ひとつわかりませんが，今回はそのように設定しています。独自のBrand SSOを利用する場合はそのアカウントに紐付いたメールアドレスを使うことになるはずです。

「-k default」はsnapcraft list-keysで表示される鍵名を指定します。

最後の「-s '<~/.ssh/id_rsa.pubの中身>'」では登録する公開鍵をリストアップしています。複数の鍵を登録する場合は「-s '鍵1' '鍵2'」のように空白区切りで連結してください。またシングルクオートは必須です。シングルクオートの中に「ssh-rsa 鍵ID コメント」のような文字列を記述します。

SSH公開鍵ではなくパスワード認証を行いたいなら，「⁠-p 生のパスワード」のように指定します。

うまくいけば「auto-import.assert」が作られます。GPGで署名されたYAMLファイルなので，期待通りの値が入っているかは確認したほうが良いでしょう。特にSSHの公開鍵は，指定方法を間違えると正しいフィールドにならないので注意が必要です。

USBストレージ付きの仮想マシンの作成

この「auto-import.assert」をUSBストレージのルートディレクトリに配置し，デバイスに接続し，起動すれば自動設定が行われます。

KVM版の場合は適当なディレクトリを作って，そこを仮想FATファイルシステムなUSBストレージとして見せるのが良いでしょう。具体的には次の手順で実施します。

$ mkdir usb
$ mv auto-import.assert usb/

$ kvm -smp 2 -m 1500 -netdev user,id=mynet0,hostfwd=tcp::8022-:22 \
  -device virtio-net-pci,netdev=mynet0 -nographic \
  -drive file=pc/pc.img,format=raw \
  -drive file=fat:rw:usb,id=stick,if=none \
  -device nec-usb-xhci,id=xhci \
  -device usb-storage,bus=xhci.0,drive=stick

第649回のkvmコマンドとの違いは，末尾に追加した3行です。「⁠usb」ディレクトリをFATなドライブとして見せ，それをSATAではなくUSB接続として見せるためのオプションとなります。

カスタムイメージ作成時にconsole-confを無効化していない場合は，起動したあと「Press enter to configure.」と表示されます。しかしながらバックグラウンドでセットアップが行われているので，しばらく放置しましょう。うまく設定できていれば，初回設定画面に移行しなくても，SSHでログインできるようになっているはずです。

KVMで自動セットアップが動くイメージとアサーションファイルの作成を確立したら，あとはRaspberry Pi向けに同じ対応を行うだけです。これでHDMIディスプレイやUSBキーボードがなくてもUbuntu Coreをインストールできるようになりました。

このsystem-user assertionとカスタムイメージ，さらにカスタムイメージ作成時に指定できるインストール済みsnapパッケージやcloud-configを組み合わせれば，特定の環境向けのカスタムイメージの大半は作成できるはずです。

Ubuntu, Raspberry Pi, IoT

著者プロフィール

柴田充也（しばたみつや）

Ubuntu Japanese Team Member。株式会社創夢所属。数年前にLaunchpad上でStellariumの翻訳をしたことがきっかけで，Ubuntuの翻訳にも関わるようになりました。

バックナンバー

Ubuntu Weekly Recipe

バックナンバー一覧

ピックアップ

LINE テクノロジー＆エンジニアリング大全: 「LINE DEVELOPER DAY 2020」より，注目すべきテクノロジー，エンジニアリングをピックアップし，詳説インタビューを実施しました。
プロダクト思考で開発が進む「みてね」の今とこれから～みてねの生みの親笠原健治氏，開発マネージャ酒井篤氏が考える，プロダクトとエンジニアリングの素敵な関係: 「家族アルバムみてね」を支えるエンジニアリングについて，開発体制やプロダクトの開発・運用，これからのビジョンについて伺いました。
自分の証明と持続的な学びがこれからのDX人材の鍵を握る～A-BANKが考えるDX人材バンクの在り方とは？: 2020年11月にスタートしたA-BANKの人材バンク。評価・育成・紹介の一体型人材紹介から見える，これからの人材エコシステムに迫ります。
APIゲートウェイとサービスメッシュの違い: APIゲートウェイとサービスメッシュの，それぞれの概要とユースケースを紹介し，いずれを使用するかの判断の指針となるチートシートを提供しています。
LightningChart® Traderによるテクニカル分析と証券取引アプリケーションの開発: 証券取引アプリケーションの開発プロセスを大幅に簡素化するLightningChart® Traderのビルドイン機能について紹介します。
コードの安全性・安定性を高める開発サイクル～テスト管理の効率を上げ，脆弱性診断を自動で行う～: 本連載では，連載「業務を改善する情報共有の仕掛け」を受けつつ，安全性・安定性を加えた開発サイクルについて考えていきます。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。