Как собрать Pi KVM — недорогой KVM over IP на Raspberry Pi

Зачем Pi KVM отличается от обычного удалённого доступа

KVM (keyboard, video, mouse) переключатель даёт доступ к машине на уровне аппаратного ввода/вывода — это значит, что вы можете управлять питанием, заходить в BIOS/UEFI, устанавливать ОС и восстанавливаться после сбоев. В отличие от VPN или приложений удалённого доступа (TeamViewer, RDP и т.д.), которые зависят от работающей операционной системы, Pi KVM работает независимо от гостевой ОС: он «видит» вывод HDMI и эмулирует клавиатуру и мышь через USB.

Краткое определение терминов:

• KVM — аппаратный доступ к клавиатуре, видео и мыши удалённой машины.
• CSI — Camera Serial Interface; используется для низколатентного захвата видео через адаптер HDMI→CSI.

Основные компоненты для сборки Pi KVM

Ниже — список минимального аппаратного набора. Выбор зависит от модели Raspberry Pi и от того, какой видеовход вы будете использовать.

• Raspberry Pi 3, Raspberry Pi 4 или Raspberry Pi Zero 2 W с блоком питания.
• MicroSD карта 16 ГБ или больше (рекомендуется 32 ГБ и выше для хранения нескольких ISO-образов).
• 2 шт. USB Type A male → Type A female кабеля (для DIY Y‑splitter).
• USB Type‑C кабель — если вы используете Raspberry Pi 4.
• Micro USB кабель — если вы используете Raspberry Pi 3 или Zero 2 W.

Если не удаётся найти готовый Y‑splitter USB, его можно сделать самостоятельно, спаяв пару кабелей Type A male→female и изолировав питание в одном плече сплиттера (важно — см. раздел про безопасность).

Сбор Pi KVM требует устройства для захвата HDMI:

• HDMI → CSI адаптер (поддерживается всеми моделями, включая Zero 2 W). Дает низкую задержку, возможен поток MJPEG/H.264 или WebRTC.
• HDMI → USB видеозахват (USB dongle). Подходит для Pi 2/3/4, дает более высокую задержку по сравнению с CSI, но проще в покупке.

Какой способ захвата видео выбрать

• Если вам критична минимальная задержка (работа с BIOS, плавный ввод), выбирайте HDMI→CSI. Он предпочтителен для Zero 2 W и для случаев, когда важна отзывчивость.
• Если приоритет — простота и совместимость, или у вас Raspberry Pi 4 и вы не боитесь чуть большей задержки, используйте HDMI→USB захват.

Требования по производительности: при использовании CSI вы получите более высокий FPS и меньшую задержку, при использовании USB‑донгла — удобство и широкий выбор недорогих адаптеров.

Подготовка microSD: запись образа Pi KVM

Скачайте последний готовый образ Pi KVM, подходящий для вашей модели Raspberry Pi и типа адаптера (HDMI→CSI или HDMI→USB). Затем выполните следующие шаги для записи образа на microSD.

1. Вставьте microSD в кардридер и подключите к компьютеру.
2. Установите и запустите Raspberry Pi Imager.
3. Нажмите Choose OS → Use Custom и укажите скачанный образ Pi KVM.

4. Нажмите Choose Storage и выберите microSD карту.

5. Нажмите Write и подтвердите запись. Процедура займёт несколько минут.

Если вы собираетесь использовать Raspberry Pi Zero 2 W по Wi‑Fi (без проводного LAN), необходимо смонтировать FAT‑раздел PIBOOT и отредактировать файл pikvm.txt. Откройте файл в текстовом редакторе и вставьте строки с данными вашей Wi‑Fi сети ниже FIRST_BOOT=1, заменив SSID и пароль на реальные значения:

WIFI_ESSID="MyWiFiName"
WIFI_PASSWD="Password"

Важно: имя и пароль Wi‑Fi хранятся в открытом виде на разделе PIBOOT — ограничьте доступ к физическому носителю.

Подключение Raspberry Pi и HDMI адаптера

После записи образа вставьте microSD в Raspberry Pi и выполните аппаратные подключения.

1. Вставьте microSD карту в Raspberry Pi.
2. Подготовьте USB Y‑сплиттер: изолируйте +5V (красный провод) в одном из плеч сплиттера с помощью ленты — это отключит подачу питания от Pi в целевой компьютер и защитит порт целевой машины.

3. Если вы делаете Y‑сплиттер самостоятельно, оставьте красный провод одного из кабелей незадействованным. Ниже — обычная схема разводки.

4. Подключите USB Type A (female) сплиттера к кабелю Type A → Type C, и подключите Type C к порту питания Raspberry Pi 4. Для Pi 3/Zero 2 W используйте micro USB.

5. При использовании HDMI→USB донгла подключите его к USB 2.0 порту Raspberry Pi 4.

6. При использовании HDMI→CSI подсоедините ленточный кабель к CSI камере на плате Raspberry Pi (Camera port). Это применимо к Pi 4 и Zero 2 W.

7. Подключите Ethernet (LAN) к Raspberry Pi 4 и роутеру, если вы используете проводную сеть. Для Zero 2 W потребуется Wi‑Fi (см. правку pikvm.txt).
8. Подключите питание 5V/3A к Type A порту блока питания, чтобы включить Raspberry Pi.

Важно: изоляция +5V в Y‑сплиттере защищает USB‑хост целевой машины от обратной подачи питания и возможных повреждений.

Первичная настройка Pi KVM

Первый запуск может занять больше времени из‑за первичной конфигурации. Когда загрузка завершится, узнайте IP‑адрес Pi KVM через DHCP таблицу вашего роутера или с помощью мобильного приложения для сканирования сети (Fing и т.п.).

Откройте IP‑адрес в браузере — откроется страница входа Pi KVM. По умолчанию используйте admin / admin для имени пользователя и пароля, затем нажмите Login.

Перейдите в Terminal в веб‑интерфейсе, чтобы дать права на запись и обновить систему.

В терминале выполните следующие команды:

su
rw
pacman -Syu

По умолчанию пароль для root — root. Команда pacman -Syu проверит и установит обновления; это может занять несколько минут.

После завершения обновления переведите файловую систему в режим только для чтения командой:

ro

Вернитесь на главную страницу веб‑интерфейса и выберите пункт KVM. Если захват HDMI подключён правильно, вы сразу увидите экран целевой машины — теперь вы можете управлять ею удалённо.

В интерфейсе доступны параметры качества стрима, FPS, размера, а также возможность монтирования ISO‑образов для установки ОС.

Мы используем карту 32 ГБ, чтобы хранить несколько ISO‑образов. Вы можете взять карту большего объёма, если планируете держать несколько установочных образов.

Также доступна интеграция управления ATX (включение/выключение/сброс питания) при наличии соответствующего интерфейса.

Открытие Pi KVM в интернет: варианты доступа извне

Есть несколько вариантов безопасного доступа к Pi KVM из интернета:

• DuckDNS + переадресация портов на роутере — простой способ, но требует проброса портов и аккуратной настройки фаервола.
• Cloudflare Tunnel — безопасный метод проксирования HTTPS‑трафика без прямого проброса портов.
• Tailscale (WireGuard‑подобная приватная сеть) — один из самых простых и безопасных способов: вы устанавливаете Tailscale на Pi KVM и на клиентских устройствах и используете приватный URL/адрес Tailscale.

Установка Tailscale в терминале Pi KVM (как root):

su
rw
pacman -Syu tailscale-pikvm
systemctl enable --now tailscaled
tailscale up
reboot

Команда tailscale up отобразит URL авторизации — скопируйте его в браузер, пройдите авторизацию и затем перезагрузите устройство. После этого Pi KVM будет доступен по Tailscale‑адресу.

Для доступа с чужого устройства убедитесь, что на нём также установлен и авторизован Tailscale, либо используйте Cloudflare Tunnel с привязкой домена и HTTPS.

Безопасность и рекомендации при публикации в интернет

Important: Pi KVM транслирует содержимое экрана, которое может включать конфиденциальные данные. Соблюдайте правила доступа и хранение учётных данных.

Рекомендации по повышению безопасности:

• Смените пароли по умолчанию (admin/admin и root/root) сразу после первого входа.
• Используйте Tailscale или Cloudflare Tunnel вместо простого проброса портов, чтобы минимизировать открытые порты.
• Включите двухфакторную аутентификацию там, где возможно (в портале управления доменом/Cloudflare).
• Поддерживайте Pi KVM и Raspberry Pi в актуальном состоянии путём регулярного обновления.
• Ограничьте доступ по IP/сетям и используйте фаервол (ufw/iptables) для блокировки неиспользуемых сервисов.
• Шифруйте хранение ISO/бэкапов и удаляйте временные файлы с чувствительной информацией.

Когда Pi KVM может не подойти

• Если целевая система использует нестандартные протоколы видеовыхода или нестандартное разрешение, дешёвые USB‑донглы могут неправильно декодировать сигнал.
• Если требуется нулевая задержка ввода (например, на высокоскоростных игровых станциях), даже CSI может иметь небольшую задержку по сравнению с локальной консолью.
• Для серверов с аппаратным управлением (IPMI, iLO, DRAC) лучше использовать встроенные средства удалённого управления, они обычно надежнее и имеют расширенные функции питания и мониторинга.

Альтернативные подходы

• Готовые KVM‑over‑IP устройства от производителей (Aten, Raritan) — платные, но удобные и сертифицированные.
• Аппаратные средства удалённого управления серверов (IPMI / iLO / DRAC) — предпочтительны для дата‑центров.
• Программные решения (VNC, RDP, TeamViewer) — работают на уровне ОС, подходят для повседневного удалённого доступа, но бессильны при неработающей ОС.

Таблица совместимости (кратко)

Порядок действий при восстановлении сервера через Pi KVM

SOP: быстрое восстановление сервера — краткая последовательность действий.

1. Подключитесь к Pi KVM через Tailscale/Cloudflare/локальный IP.
2. Откройте KVM и убедитесь, что видео захвачено и виден POST/BIOS.
3. Если нужно смонтировать ISO, загрузите нужный образ в веб‑интерфейсе и выберите виртуальный привод.
4. Переключитесь на консоль и инициируйте перезагрузку/включение питания (ATX control), если требуется.
5. Следуйте процедуре установки ОС или восстановления из бэкапа.
6. После восстановления выполните повторную проверку сетевых сервисов.

Критерии приёмки:

• Консоль доступна и без больших задержек.
• ISO корректно монтируется и загружается у цели.
• Восстановленный сервис отвечает на запросы после процедуры рестарта.

Ролевые чек‑листы

Администратор:

• Изменить дефолтные пароли.
• Настроить Tailscale или Cloudflare Tunnel.
• Обновить систему и создать резервную копию настроек.

Филд‑техник:

• Проверить физические подключения HDMI и USB‑сплиттера.
• Убедиться в изоляции +5V на сплиттере.
• Проверить отображение BIOS/UEFI в интерфейсе KVM.

Офис безопасности:

• Проверить журналы доступа и случаи внешних подключений.
• Ограничить доступ по ACL и настроить мониторинг.

Мини‑методология для быстрого развертывания (5 шагов)

1. Подготовьте Raspberry Pi и microSD с образом Pi KVM.
2. Соберите Y‑сплиттер и подключите видеозахват.
3. Подключите сеть и питание, найдите IP.
4. Войдите в веб‑интерфейс, обновите систему и смените пароли.
5. Настройте безопасный удалённый доступ (Tailscale/Cloudflare).

Краткий факт‑бокс

• Рекомендуемая microSD: 32 ГБ для хранения ISO.
• Питание: 5V/3A для Raspberry Pi 4.
• Латентность: CSI < HDMI→USB; реальная задержка зависит от адаптера и сети.

Конфиденциальность и соответствие требованиям

Если через Pi KVM транслируются экраны с персональными данными, действуют общие принципы обработки данных: минимизируйте объём передаваемой информации, защищайте доступ, храните журналы с ограниченным доступом, информируйте заинтересованные стороны. Для организаций, работающих с персональными данными ЕС, учитывайте требования GDPR при организации удалённого доступа и хранении логов.

Заключение

Pi KVM на Raspberry Pi — это гибкое и недорогое решение для удалённого управления машинами на уровне оборудования. Оно подходит для администраторов, инженеров техподдержки и небольших дата‑центров, которые хотят иметь доступ к BIOS, монтировать ISO и восстанавливать системы при проблемах. Выбор между HDMI→CSI и HDMI→USB зависит от требований к задержке и доступности оборудования. Всегда уделяйте внимание безопасности: меняйте пароли, используйте Tailscale или защищённые туннели и ограничивайте доступ.

Summary:

• Pi KVM даёт доступ на уровне аппаратуры, независимо от ОС.
• Для минимальной задержки выбирайте HDMI→CSI.
• Безопасный удалённый доступ лучше организовывать через Tailscale или Cloudflare Tunnel.
• Обязательно смените стандартные пароли и защитите сетевой доступ.