QEMU/OVMFで試す！UEFI HTTP(s) Boot入門ガイド

UEFIにおけるHTTP(s) Bootの仕組みについて解説します。PXEブートに代わる現代的なネットワークブート手法として注目されているこの技術を、QEMUとOVMFを使用してローカル環境で検証するための導入ガイドです。

TFTPの代わりにHTTPが使えるのは大きなメリットだね。HTTPサーバーを動かせる環境の方がTFTPよりずっと多いし。

さらにTLS層を追加することで、欠けていた整合性と機密性の保証が実現し、重要なブートコンポーネントを信頼できないネットワークや、リモート、あるいはクラウドへ移行する道が開ける。

これってセキュアブートで既に対処されてるんじゃないの？それとも何か勘違いしてるかな。セキュアブートは整合性は保証するけど機密性は保証しない気はする。まあ、カーネルの話をしてるだけなら機密性がどれだけ重要かは微妙だけどさ。

実際のベアメタルハードウェアでどこまで可能なんだろう？多くの人がPXE/TFTP環境を運用してると思うけど、HTTPが使えるようになればかなりシンプルになるはず。

いやー、「この人を雇うべき」って言いたいところだけど、もううちのチームにいるんだよね。素晴らしい同僚による、素晴らしい仕事についての素晴らしい解説記事だよ。yadutafさん、ありがとう！

ちなみにAppleはもう20年も前からHTTPブートをやってるよ。インターネットリカバリがどう動いてると思ってるの？あれは古いAppleのネットブート仕様を活用したものだよ。

UEFI HTTPブートの最悪なところは、トラブルシューティングに必要な情報が全然ないことだね。DHCPのファイル名オプションがUEFIの変なモードと噛み合ってないのか、DHCPリレーの問題なのか。結局「NBPファイルサイズが取得できない」くらいのことしか教えてくれない。

エラーメッセージを書いた連中は、ネットワークやDHCPがどれだけ壊れやすいかを知らない「幸せな世界」の住人なんだろうね。

しかもこれ、全部IPv4の話だし！IPv6の方はDHCPオプションやらRAやマネージドフラグ・その他のフラグの扱いやらで、さらにわけがわからない。

本当に腹が立つよ。こっちは仕事でベアメタル自動化のためのコードを書いてるチームにいるんだけどね。