Dell U4025QW で入力ソースを Mac のキーボードで切り替えたい (KVM) - daily dayflower の続きの話。

現時点で BetterDisplay で "次の入力ソース" を実現することは困難だが、 DDC を直接さわることで、現在の VCP 0x60 (Input Source) の状態を取得し、それとは異なる Input Source を指定することで実現できそうである。時間ができたらそのようなツールをつくってみようと思う。

と書いたが、年末ということで時間もあるので CLI コマンドをつくってみた。

github.com

入力ソースを指定して切り替えるだけであれば、前回記事でも紹介した m1ddc や AppleSiliconDDC (こちらは自分でバイナリをビルドする必要がある) を利用すればいい。

ただ、個人的に、入力ソースを順次切り替える機能がほしかった (これによりすべての PC で同じ設定をすればよくなる) ので、AppleSiliconDDC を利用して自分で書いた (実際にコードを書いたのは Claude Code だが)。

Homebrew でインストールすることができる。

brew install dayflower/tap/dispsel

Thunderbolt と DisiplayPort の間で順次切り替えたい場合は

dispsel switch next dp,thunderbolt

のように実行すればよい。

その他インストール方法や使い方についてくわしくは上記の GitHub ページを参照のこと。

キーボードで切り替えたかったのでは?

もともとの希望としてはキーボードで入力ソースを切り替えたかったはずなのに、ただの CLI コマンドではないかと思う人もいると思う。

最近はこういう "キーボードショートカットでなにかをしたい" 場合は、ショートカットキーを自分でハンドリングするのではなく、機能自体を実装した (CLI) コマンドを作成し、 Raycast から実行するようにするようにしている。

なので dispsel には Raycast 用のサンプルスクリプトも添付している。

github.com

注意

DDC/CI を経由して直接モニターを操作しているため、最悪の場合、モニターの故障の原因となりうる。自己責任で利用されたい。

Bitwarden API 互換のサーバサイド実装として Vaultwarden が有名だが、そのデータをバックアップするツールを Golang で書いた。

github.com

Vaultwarden の 3rd party バックアップツールは公式 Wiki の Backup に関するページ の Examples にも複数挙げられているし、ここに掲載されている以外にも Google 等で "Vaultwarden backup" と検索するといくつか見つかる。

それらを利用してもよかったのだが、個人的には以下の要件を満たしたかったので自力で書いた。

(おそらくそれらのツールをうまいことセットアップして設定すると要件を満たすことも可能だったとは思うが)

• バックアップファイル自体を暗号化できること
  • そもそも Vaultwarden (Bitwarden) 的に Vault が流出したとしても、パスフレーズがわからないと復号できないしくみにはなっているので、そこまで必須な要件でもないが、念のために……
• クラウドストレージにバックアップファイルをアップロードできること
• Docker コンテナとして簡単に動かせること
  • つまり K8s クラスタで CronJob 等により簡単に定期実行できること
    • さらに Helm Chart で簡単にインストールできること
• できれば (依存のない) シングルバイナリであること
  • 単純にイメージつくるのが楽だから
  • このため Golang を採用した。 Rust という手もなくはなかったが、(後述するように) 内部で利用している Rclone も Golang で書かれているため結果的に最善手となったと思う。

ちなみにバックストアストレージとして SQLite を利用している場合しか対応していない。

以下、利用方法 (については上記 GitHub レポジトリを参照してください) ではなく、おもに実装にまつわる話を書く。

バックアップのための方針

どのファイル (ディレクトリ) をバックアップすればいいかについては、公式 Wiki の Backup your vault に詳細に書いてある。

SQLite をバックアップするためには、単純にファイルをコピーするのではなくスナップショットをとる必要がある。

Vaultwarden 1.32.1 以降の場合、そもそも vaultwarden コマンドに (DB の) バックアップ機能が搭載されているのだが、 Docker image としてシングルバイナリにしたかったのもあり、 Golang の sqlite 実装を組み込むことにした。

利用したモジュールは github.com/ncruces/go-sqlite3。なんとなく CGO を利用したくなかったというのがある。(深い理由はない)

これで VACUUM INTO を利用してバックアップをファイルとして保存している。

バックアップファイルの暗号化

OpenSSL で復号できる形式で暗号化しており、 実装としては github.com/Luzifer/go-openssl/v4 を利用している。

これは OpenSSL の実装モジュールというわけではなく、下部では標準の crypto/aes を利用して OpenSSL と互換性のある出力をすることができるモジュールである。

クラウドストレージへのアップロード

各種クラウドストレージに対応している Rclone を利用している。

さいわいにも Golang で書かれており、またライブラリとして利用することもできる。このため、 rclone コマンドを Docker image に同梱しているわけではなく、内部に組み込むことができた。(このためシングルバイナリにできた)

ライブラリとして利用するためのドキュメントが充実しているわけではないので、 rclone CLI の実装を読みながら雰囲気で実装することになってしまったが……

どのクラウドストレージにアップロードするか

利用方法ではなく実装について書くといったわりにここだけ運用について書くことになるが……

Rclone はもともと各種クラウドストレージ向けの OAuth の認証コード (Client ID / Key) がデフォルトとして入っている。 しかし Rclone を利用するすべての人で共有されることになり、 rate limit をオーバーすることも多い。 そのような場合は自前で App を用意して Client ID と Key を発行すればよい。(Microsoft OneDrive での例)

最初 Microsoft OneDrive を利用していたのだが、 refresh token がそのうち expire してしまい、定期実行するうえでの障害となってしまっていた。

このため Google Drive を利用することにした。 しかし当初こちらも refresh token が expire してしまっていた。 原因は単純に Google で発行した App が開発中モードになっていたことだった。 いまはちゃんと公開モードに変更した結果、継続してバックアップできている。

おわりに

自分がほしかった要件を満たすために自分のために書いたツールだが、満足いくものができた。 流行りの vive coding ではなく *1、 (GitHub Copilot は使っているものの) ほぼ自力で書いている。ただ README についてはほぼ完全に Gemini に書かせた。

これで毎日自動的にバックアップしているが、実はまだバックアップファイルから復旧する素振りをしていない。

以前書いたように、おうち k8s クラスタではクラスタ外からのアクセスのために Traefik を導入していた。

dayflower.hatenablog.com

ところが、 (最初はうまくいっていたものの) あるときから Helm でインストールした MySQL が IngressRouteTCP で外部からアクセスできなくなってしまった。

(telnet で接続してみたところ通常 server から接続直後に応答があるべきところ client からなんらかのパケットを送らないとセッションが開始しない)

いろいろ調べてみたがどうにもうまくいかず、せっかくなので別のソフトウェアに乗り換えることにした。

Istio にしようかとも思ったが、サービスメッシュのような複雑なことはするつもりはなくコンパクトなものがいいなと思い、 同じ Envoy ベースの Envoy Gateway にすることにした。

星取表でみるかぎり完全に Traefik に負けてしまうのだが、裏を返すと限定した機能にフォーカスしているといえる。

Ingress に対応していないのがちょっとつらいところだが、 Gateway API のほうが実現できる機能も多いため、 Envoy Gateway でいくことにする。 Envoy に興味もあったし。

インストール

Helm でインストールした。

Traefik とちがい、 values はデフォルトからいじっていない。

これは、 Traefik にくらべて TLS 証明書管理機能がないこと、また、対象とするポート等の設定は Resource として定義することから、本体自体のカスタマイズは特に必要なかったことなどが理由と思う。

Argo CD での Helm インストール

CRD が大きすぎて、デフォルトだと Argo CD で管理できない (Too long: must have at most 262144 bytes のように怒られる)。

適当に調べて Replace mode で配布するようにしてみたが、それでもうまくいかなかったので、結局手で helm install することにした。

いま改めて調べると Replace ではなく Server Side Apply を利用するほうがよいらしい (ref. Fixing Argo CD "Too long must have at most 262144 bytes" error)。

時間ができたらふたたび Argo CD による配布に挑戦してみようと思う。

(2025-03-14 追記: spec.syncPolicy.syncOptions に ServerSideApply=true を付与することで、無事 Argo CD で管理できるようになった)

セットアップ

cert-manager による TLS 証明書管理

Traefik はいい感じにTLS の証明書を管理してくれる (ACME 対応の認証局であれば自動発行も可能) が、 Envoy Gateway にはそのような機能はない。

なので、定番である cert-manager を利用することにする。

自分は k8s 基盤として MicroK8s を利用しているので cert-manager addon を enable してインストールした。

(MicroK8s での説明 だと、あたかも Ingress 環境があることが必須のように読めてしまうが、 ACME DNS01 Challenge をするぶんには Ingress は必要ではない)

Let's Encrypt で *.wildcard.example.com の証明書を発行する resource は以下のようになる。

---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  namespace: default
  name: wildcard.example.com
spec:
  issuerRef:
    kind: ClusterIssuer
    name: luadns-issuer
  secretName: wildcard.example.com-tls
  commonName: wildcard.example.com
  dnsNames:
    - wildcard.example.com
    - "*.wildcard.example.com"

metadata.name や spec.secretName はなんでもかまわない。

spec.issueRef はこのあいだの記事で定義した ClusterIssuer を参照している。

dayflower.hatenablog.com

spec.secretName で指定した Secret に証明書が格納される。 これを後述する Gateway から参照することになる。

GatewayClass の定義

Gateway をハンドリングする controller を指定する GatewayClass を定義する。

Ingress における IngressClass と同じようなものと思えば問題ない。

---
apiVersion: gateway.networking.k8s.io/v1
kind: GatewayClass
metadata:
  name: envoy-gateway
spec:
  controllerName: gateway.envoyproxy.io/gatewayclass-controller

Envoy Gateway (Controller) の設定をカスタマイズするためには、以下のような記述になる。 (オフィシャルの example が参考になる)

---
apiVersion: gateway.networking.k8s.io/v1
kind: GatewayClass
metadata:
  name: envoy-gateway
spec:
  controllerName: gateway.envoyproxy.io/gatewayclass-controller
  parametersRef:
    group: gateway.envoyproxy.io
    kind: EnvoyProxy
    namespace: envoy-gateway-config
    name: config
---
apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyProxy
metadata:
  namespace: envoy-gateway-config
  name: config
spec:
  ...

spec に設定可能なパラメータは オフィシャルドキュメントの EnvoyProxySpec を参照のこと。

とはいえ、通常の場合わざわざカスタマイズする必要もなく、 GatewayClass だけ定義すればよいと思う。

Gateway の定義

Traefik の場合、どの port を開けるかといった設定はすべて起動時オプションで指定する必要があった (Helm でインストールする場合は values.yaml で指定)。

Gateway API ではそういった port 設定もすべて CRD になっている。 具体的には Gateway resource を利用する。

---
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  namespace: default
  name: envoy-gateway
spec:
  gatewayClassName: envoy-gateway
  addresses:
    - type: IPAddress
      value: 192.168.0.100
  listeners:
    - name: https
      protocol: HTTPS
      port: 443
      tls:
        mode: Terminate
        certificateRefs:
          - kind: Secret
            namespace: default
            name: wildcard.example.com-tls
      allowedRoutes:
        kinds:
          - kind: HTTPRoute
        namespaces:
          from: All

• spec.gatewayClassName に上記で設定した GatewayClass の name を指定する
  • Ingress や PersistentVolume に似ている
• spec.listeners[].tls.certificateRefs に上記で設定した cert-manager による Certificate resource により生成される Secret resource を指定している
• spec.listeners[].allowedRoutes.kinds に、当該 Gateway に利用可能な route resource を指定している (後述)
• spec.addresses は、External LoadBalancer (metallb 等) が適切にセットアップされていれば、とくに設定する必要はない
  • 筆者の環境では (MicroK8s に) metallb は導入しておらず、 single node の物理 I/F にアサインされたアドレスをそのまま利用しているので、 IP アドレスを明示的に指定している

ルーティングの設定

詳細な説明は不要かと思うが、実際の Service に対応する HTTPRoute resource の定義はたとえば以下のようになる。 (ちなみに HTTPS であっても HTTPRoute を利用する。HTTPSRoute はない)

---
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: httproute
spec:
  parentRefs:
    - name: envoy-gateway
      namespace: default
      sectionName: https
  hostnames:
    - 'nantoka.wildcard.example.com'
  rules:
    - backendRefs:
        - name: service-name
          port: 80
      matches:
        - path:
            type: PathPrefix
            value: /

• spec.parentRefs に上記で設定した Gateway resource を指定する
  • spec.parentRefs[].sectionName は Gateway resource の listener で設定した name を指定する
• spec.rules[].backendRefs にトラフィックをルーティングする Service を指定する

感想

以下に Traefik から乗り換えてよかったところ、残念だったところをあげる。

よかったところ

• 標準にのっとっている安心感 (まだ core ではないが)
  • 実際には Traefik も標準 Ingress resource / Gateway API resource を提供しているが
• 設定まわりがきちんと CRD として定義されており、管理がしやすい
  • これはまさに Gateway API の狙いの一つ かと思う

残念なところ

• 設定が CRD なので、裏をかえすと、利用したい機能にたいして、定義するべきリソースが増える
• Ingress がない
  • これはそもそも Envoy Gateway のポリシーだからあたりまえではある。だが、
  • 他の Helm chart 等で Ingress 設定を指定できるケースがあり、その場合でも別途 HTTPRoute resource を自力で定義しないといけないのがめんどくさい
• Traefik とちがい Web の status dashboard がない
  • じゃあ実際に使うのかというと使わないのだが、あればあったで登録されている route を web から一覧でみれて便利

SOPS や age が何をするものなのか、はここでは説明しない。

また、公式ドキュメントを読み込んで理解したというより、手探りでやってみたことから推測しているだけなので、もし間違いがあればご指摘ください。

この文書、および サンプルプロジェクト ともに暗号化文書としては YAML のみ取り扱っているが、 JSON においてもほぼ同様に対応できると思われる。

github.com

SOPS で暗号化されたファイルの構造

サンプルファイルとして vault.yaml を挙げる。

暗号文の構造

暗号化された文の部分の構造はわりと自明で、

password: ENC[AES256_GCM,data:PSyc......Ofw=,tag:oMXi5h7kOSOx3oGQVqm67A==,type:str]

のようになっており、以下の情報が詰め込まれている。

• AES256_GCM - 暗号化アルゴリズムは AES (鍵長 256 bit) の GCM モードである
  • SOPS でほかの暗号化アルゴリズムがサポートされているのかわからない
• data は暗号文
• iv は IV (初期化ベクトル)
• tag は MAC (Message Authentication Code)
  • GCM モードに独特
• type は元の値の型
  • ここでは str (文字列) であることを示しており、ほかに bool, int, float などがある

暗号文の AAD

GCM モードの場合、暗号化の際 AAD (追加認証データ) を指定することができ、整合性チェックに利用できる。

SOPS で暗号化された値には AAD が付与されており、復号時に AAD をきちんと指定しないと不整合エラーとなってしまう。

SOPS における暗号文の AAD はちょっと独特である。

基本的には tree の path を : でつないで、末尾に : を付与した形式となる。 たとえば上記の password フィールドの場合、 "password:" である。

ただし、配列の場合は配列の添え字 (数値) については無視する。

具体的には、

root: secret
first-level:
  second-level:
    third-level: secret
    arrays:
      - secret
      - secret
    objects:
      - key: secret
         value: secret
      - key: secret
         value: secret

のような場合、 AAD はそれぞれ

• root の secret → root:
• first-level.second-level.third-level の secret → first-level:second-level:third-level:
• first-level.second-level.arrays[0] の secret → first-level:second-level:arrays:
• first-level.second-level.arrays[1] の secret → first-level:second-level:arrays:
• first-level.second-level.objects[0].key の secret → first-level:second-level:objects:key:
• first-level.second-level.objects[1].value の secret → first-level:second-level:objects:value:

のようになる。

暗号化鍵

暗号文は age のキーで直接暗号化されている、わけではない。

当該ファイルで共通に利用される DEK (Data Encryption Key) で暗号化されており、おのおのの (age) key を KEK (Key Encryption Key) として暗号化した DEK が SOPS ファイルに記録されている。

このように DEK と KEK を分離することで、異なる (age) key をもつ人々の間で暗号文のやりとりができるし、また age に限らず多様な鍵プロバイダの利用者ともやりとりができることになる。

さらに age key を変更することなく DEK のキーローテーションも可能となっている。

age に限った話をすると、age は公開鍵暗号方式を利用している。 KEK としては公開鍵のほうを利用するので、共同利用者として登録してもらうためには公開鍵だけわたせばよい (公開鍵だけでは DEK の復号は不可能)。

age の場合、 sops.age に KEK (の公開鍵) と、それによって暗号化された DEK が記録されている。

sops:
    age:
        - recipient: age10v42a8geamzvv6c0p6aakw2s5u24vhwl3uhged05fepxgfgewytq7eh98m
          enc: |
            -----BEGIN AGE ENCRYPTED FILE-----
            YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBISWs4R1dZelJLeTNxMkRp
            WlhTa20wM3h0NTV1LzRzaWZNangxMW0vN1Q4CllMYWZaYjBOTjlLNytFN2dMdTBH
            V25lZURHK3JSMlpNNzRHZy94ajl6dVUKLS0tIGg1RXRLcG5ETVNEWi9zYTMzQWVF
            a0ZFd2VjZ2VrYlhrTTBZc1NxZWVEWXcKZGeB3UxdzFSmgRk68DiZ+i3Miw3sA5Vt
            Z9olYHBY3tZ98o1h/yzD1vMQUAK8bEPH3n7xAnEv2EnHT9WpRUsWgw==
            -----END AGE ENCRYPTED FILE-----

この場合は一件しか登録されていないが、 sops.age.[].recipient が KEK (age の公開鍵) であり、 sops.age.[].enc が、それによって暗号化された DEK である。

(上記の構造からわかるとおり、先にあげたように、複数の recipients を指定することが可能である)

したがって、対応する age の秘密鍵を保持している場合、 age コマンドを使うことで (生の) DEK を導出することができる。

$ age --decrypt -i keys.txt -o dek.bin dek.enc

暗号化対象プロパティ

sops:
    version: 3.9.4
    unencrypted_suffix: _unencrypted

sops.version はいうまでもなく SOPS 暗号ファイルのバージョンを示す。

sops.unencrypted_suffix は、元文書で暗号化の対象外となる "キー" のうち、暗号化の対象としないキーを示す。 sops コマンド実行時になにも指定しなかった場合、 _unencrypted が unencrypted_suffix となる。

具体的には

foo: encrypted
bar:
  key: encrypted
  value_unencrypted: plain
baz_unencrypted:
  key: plain
  value_unencrypted: plain  

のように、 *_unencrypted となっているノードの子孫についても暗号化の対象外となる。

unencrypted_suffix だけではなく、以下の4つの指定子が存在する。

• unencrypted_suffix
• encrypted_suffix
• unencrypted_regex
• encrypted_regex

詳細については 公式ドキュメントの Encrypting only parts of a file 項 を参照してほしい。

全体の MAC

sops:
    lastmodified: "2025-02-16T06:24:31Z"
    mac: ENC[AES256_GCM,data:fAu8......yw==,type:str]

sops.lastmodified はファイルの最終更新日時を示す。

sops.mac はファイル全体の MAC (Message Authentication Code) を示す。 これにより、ファイルの一部の書き換え・削除や暗号文のおきかえ・コピー (たとえば foo.bar の暗号文を hoge.fuga にコピーする) といった改ざんを検出できる。

具体的には、各ノードの値を連結して DEK で暗号化した結果……だったと思うが、コードを読んだのがだいぶ前なので忘れてしまいました。

sops コマンドによる暗号化の際に --mac-only-encrypted オプションを付与すると、 (暗号化対象外も含めた) 全ノードではなく、暗号化対象ノードのみとなる、らしい。

くわしくは 公式ドキュメントの Message Authentication Code 項 を参照のこと。

ちなみに sops.mac の AAD (追加認証データ) は sops:mac: ではなく、上記の sops.lastmodified の値となる。

Spring Boot で SOPS (+age) 暗号文書を読み込む

JavaScript / TypeScript の場合 SOPS 暗号文書を読み込むライブラリがあるようだが (sops-age npm module, GitHub repository) JVM 言語用ライブラリは (自力で読み込むものが) ぱっと見当たらなかったので、上記の解析結果をもとに自力で書いてみた。

github.com

復号方法

age による復号 (および暗号化) については jagged というすばらしいライブラリがあるので、それを利用した。

SOPS (というより AES256-GCM) の復号については、 Java 標準の javax.crypto を利用している。

javax.crypto の場合、 cipher.update() に暗号化文と tag の双方をあわせて入れる必要がある。

application properties としての読み込み

Spring アプリケーションから properties として読み込むためには、まず java.org.springframework.core.env.PropertySource (@PropertySource とは別物) を定義する。 (SopsVaultPropertySource.kt)

この独自 PropertySource で SOPS 暗号文書を復号して(SopsVault.kt) properties を返すことにする。 (どうでもよいが、この springframework.core.env.PropertySource が型パラメータを必要とすることが納得いかない)

アプリケーション起動時に自動的に読み込まれるようにするためには、さらに、

• java.org.springframework.boot.env.EnvironmentPostProcessor を定義し
• META-INF/spring.factories resource file を作成し org.springframework.boot.env.EnvironmentPostProcessor として追加する

手順を踏むことがプラガブルにする上でまっとうなやりかただと思う (くわしくは SpringBoot 標準の RandomValuePropertySource や、その EnvironmentPostProcessor 指定 が参考になる)。

ただこの方法だと PropertySource を configurable にするのがいささか難しいので (起動時に設定したいので、 configuration として application.properties を原則利用できない)、 (Spring Boot ではなく) Spring Framework の ApplicationContextInitializer<ConfigurableApplicationContext> を利用することにした。

github.com

具体的には ApplicationContextInitializer の initialize() で environment の propertySources (の先頭) に追加している。

これにより、プログラマティカルに設定をしやすくなったと思う。

ただ、 Spring Boot の application main で以下のように initializer を指定する必要がある。

    SpringApplicationBuilder(ExampleApplication::class.java)
        .initializers(SopsVaultApplicationContextInitializer())
        .run(*args)

任意の SOPS 暗号文書を application properties の元となる PropertySource として読み込むこともできるはずだが、 IntelliJ (Ultimate) の properties の補完等がうまくいかない可能性が高い。

このため、サンプルプロジェクトでは vault.* として SOPS 暗号文書を読み込み、実際の properties としてはその値を Property Placeholder に読み込むような利用方法としている。

app:
  password: ${vault.password}

(https://github.com/dayflower/sops-vault-example/blob/main/src/main/resources/application.yml#L3-L4)

placeholder は設定値の一部でも問題ないので、たとえばクレデンシャルが URI 等の一部に入っているケースでも活用できると思う。

おわりに

がんばって Spring Boot で直接読み込むサンプルを書いてみたが、コンテナ時代ではここまでやらなくても

• initContainers で sops コマンドを利用して復号する
• クレデンシャルのみ Secret にいれる
• application properties 全体を Secret にいれる
  • これだとソースコードをいかに安全に管理するかが難しいが

などの方法で十分だと思う。