イーサリアムのバリデータを実際に稼働させるためには、実行層クライアントと合意層クライアントの両方をインストールし、互いに連携させる必要があります。本記事では、Ubuntuを使用したバリデータのセットアップ手順を実践的に解説します。
本記事ではGeth(実行層)とLighthouse(合意層)の組み合わせを例として使用しますが、基本的な概念と手順は他のクライアントの組み合わせでも共通します。実際の作業前に各クライアントの公式ドキュメントで最新の手順を確認することを強く推奨します。
セットアップの前提として、Ubuntu 22.04 LTS以降がインストールされたコンピューター、最低16GBのRAM(32GB推奨)、2TB以上のNVMe SSD、安定したインターネット接続が必要です。
1. サーバーの初期設定とセキュリティ強化
1-1. SSHとファイアウォールの設定
バリデータノードを安全に運用するための基本的なサーバーセキュリティ設定を行います。まずUFW(Uncomplicated Firewall)を設定し、必要なポートのみを開放します。
SSHのデフォルトポート(22)は変更を検討し、公開鍵認証のみを許可してパスワード認証を無効化することが推奨されます。また、Fail2banを導入することで、ブルートフォース攻撃を自動的にブロックできます。
バリデータノードに必要な開放ポートの目安は以下の通りです。
- TCP/UDP 30303:Geth(実行層)のP2Pポート
- TCP/UDP 9000:Lighthouse(合意層)のP2Pポート
- TCP 22(または変更後ポート):SSH管理用
- TCP 8545、8551:実行層APIポート(ローカルのみ、外部公開しない)
1-2. 専用ユーザーの作成とディレクトリ構成
セキュリティのベストプラクティスとして、バリデータノード用の専用システムユーザーを作成し、最小権限の原則に従って運用します。一般的に、実行層クライアント用とバリデータ用にそれぞれ別のユーザーを作成し、それぞれのディレクトリへのアクセス権を制限します。
データディレクトリの構成例として、以下のような構造が一般的です。
- /var/lib/geth/:実行層チェーンデータ
- /var/lib/lighthouse/beacon/:合意層ビーコンデータ
- /var/lib/lighthouse/validators/:バリデータキーと設定
2. 実行層クライアント(Geth)のセットアップ
2-1. Gethのインストールと初期設定
GethはEthereum Foundationが開発するGo言語実装の実行層クライアントです。公式のPPAリポジトリまたはビルド済みバイナリからインストールできます。
Gethの初期設定では主に以下を設定します。
- データディレクトリの指定(–datadir)
- 合意層クライアントとの認証接続設定(–authrpc.addr、–authrpc.jwtsecret)
- P2Pポートとネットワーク設定
- ログレベルの設定
実行層と合意層の間の通信にはEngine APIが使用され、JWT(JSON Web Token)による相互認証が必要です。まず共通のJWTシークレットファイルを生成し、両クライアントが同じファイルを参照するよう設定します。
2-2. Gethの同期と初期同期の注意点
Gethを初回起動すると、イーサリアムのブロックチェーン全体(実行層データ)の同期が始まります。「スナップ同期(snap sync)」モードが推奨されており、フルアーカイブノードと比較して大幅に短時間で同期を完了できます。
スナップ同期のおおよその所要時間と必要ストレージは以下の通りです。
- スナップ同期の所要時間:数時間〜1日程度(ネットワーク速度による)
- 必要ストレージ:約1TB(2026年3月時点、継続的に増加中)
同期中は実行層が100%稼働していないため、合意層との接続が正常に機能しない場合があります。合意層クライアントの起動は実行層が完全に同期された後に行うのが理想的です。
3. 合意層クライアント(Lighthouse)のセットアップ
3-1. Lighthouseのインストールと設定
LighthouseはSigma Primeの公式GitHubリポジトリからビルド済みバイナリをダウンロードするか、aptリポジトリからインストールできます。
Lighthouseのビーコンノード(beacon_node)に必要な主要設定は以下の通りです。
- ネットワーク指定:–network mainnet
- 実行層との接続:–execution-endpoint http://localhost:8551
- JWT認証ファイル:–execution-jwt /path/to/jwtsecret
- チェックポイント同期:–checkpoint-sync-url(初回同期の高速化)
- MEV-Boost利用時:–builder https://mev-boost-relay-endpoint
ビーコンノードの同期にはチェックポイント同期(Checkpoint Sync)を活用することで、ジェネシスからの同期(数日かかる)を回避し、数分で同期を完了させることができます。公式が提供するチェックポイント同期エンドポイントや、コミュニティが提供する信頼できるエンドポイントを使用します。
3-2. バリデータクライアントの設定
バリデータクライアント(lighthouse validator_client)は、バリデータキーを読み込み、ビーコンノードと通信してアテステーションやブロック提案を行います。
バリデータクライアントの主要設定には以下が含まれます。
- ビーコンノードへの接続先:–beacon-nodes http://localhost:5052
- バリデータキーのディレクトリ:–validators-dir /var/lib/lighthouse/validators
- スラッシング保護DBの場所(デフォルトはデータディレクトリ内)
- ガス価格の設定(ブロック提案時の優先手数料設定)
4. バリデータキーの生成とデポジット
4-1. Staking Deposit CLIを使用したキー生成
バリデータキーの生成には、Ethereum Foundationが提供するStaking Deposit CLIを使用します。このツールはオフライン環境(インターネットに接続していないコンピューター)で実行することが強く推奨されます。
キー生成プロセスで作成されるファイルは主に以下の2種類です。
- keystore-m_*.json:バリデータ署名キー(パスワード保護済み)。ノードに転送して使用する
- deposit_data-*.json:デポジット実行に必要なデータ。Launchpadにアップロードする
キー生成時に表示される24語のニーモニックフレーズ(シードフレーズ)は必ず複数の安全な場所に物理的にバックアップしてください。このフレーズを紛失すると、将来バリデータを復元できなくなります。ニーモニックフレーズは絶対にデジタルでの保存(クラウド、メール、スクリーンショット等)を避け、紙など物理的なメディアに書き留めることが推奨されます。
4-2. Ethereum Staking LaunchpadでのETHデポジット
キー生成が完了したら、ethereum.orgのStaking Launchpadからデポジットを行います。
デポジットの手順は以下の通りです。
- Launchpadにアクセスし、チェックリスト(利用規約・注意事項)を全て確認する
- 使用するクライアントを選択する
- 生成したdeposit_data-*.jsonファイルをアップロードする
- バリデータ数と必要ETH量(32ETH×バリデータ数)を確認する
- MetaMaskなどのウォレットを接続し、デポジットコントラクトに送金する
デポジット後、バリデータがアクティベートされるまでにはアクティベーションキューでの待機が必要です。待機時間はネットワークへの新規参加者数によって変動しますが、通常は数時間から数日程度かかります。
5. バリデータのインポートと動作確認
5-1. バリデータキーのインポート
オフライン環境で生成したkeystoreファイルを、バリデータノードに安全に転送し、Lighthouseにインポートします。転送方法としては、暗号化USBドライブを使用してエアギャップで転送するか、SCPなどの暗号化転送プロトコルを使用します。
Lighthouseへのインポートはlighthouse account validator importコマンドで実行します。インポート時にはkeystoreのパスワードを入力する必要があります。このパスワードはバリデータクライアントの起動時にも使用されるため、安全な場所に記録しておく必要があります。
5-2. systemdサービスの設定と自動起動
バリデータを24時間365日安定して稼働させるためには、systemdサービスとして設定し、自動起動を有効化することが推奨されます。Geth、Lighthouseビーコンノード、Lighthouseバリデータクライアントの3つのサービスをそれぞれsystemdユニットファイルとして作成し、起動順序の依存関係を適切に設定します。
動作確認は以下の手順で行います。
- journalctl -f -u gethでGethのログをリアルタイム確認
- journalctl -f -u lighthouse-beaconでビーコンノードの同期状況を確認
- journalctl -f -u lighthouse-validatorでバリデータクライアントの状態を確認
- beaconcha.inでバリデータのpubkeyを検索し、オンライン状態を確認
6. 監視とアラートの設定
6-1. PrometheusとGrafanaによる監視ダッシュボード
バリデータの長期安定運用には、Prometheusによるメトリクス収集とGrafanaによる可視化を組み合わせた監視体制が有効です。GethとLighthouseはいずれもPrometheusメトリクスのエクスポートに対応しており、バリデータのパフォーマンス(アテステーションの成功率、残高推移、ピア接続数など)をリアルタイムで監視できます。
6-2. アラート設定の重要ポイント
バリデータが長時間オフラインになると非アクティビティペナルティが発生するため、早期検知のためのアラートが重要です。主要な監視項目として以下が挙げられます。
- バリデータのオフライン検知(2エポック以上アテステーション失敗)
- ピア接続数の急減
- ディスク使用率(90%超でアラート)
- メモリ・CPU使用率の異常上昇
まとめ
イーサリアムバリデータのセットアップは複数のステップを要しますが、手順を一つひとつ丁寧に進めることで、安定したバリデータ運用を実現できます。特に鍵管理とセキュリティ設定は最も重要な工程であり、ここを疎かにすると取り返しのつかない損失につながる可能性があります。
公式ドキュメントやコミュニティフォーラム(EthStaker subreddit、EthStaker Discord等)を積極的に活用し、最新情報を常に把握しながら運用することをお勧めします。
よくある質問
Q1. バリデータの同期完了まで報酬は発生しますか?
実行層と合意層クライアントが完全に同期され、バリデータがネットワークでアクティブになるまで報酬は発生しません。またアクティベーションキューでの待機中も報酬は発生しません。バリデータがアクティブになった後、最初のアテステーションから報酬が発生し始めます。
Q2. テストネットで練習することはできますか?
はい、Holeskyテストネットでテスト用ETH(faucetから無料で取得)を使い、本番と同じ手順でバリデータの運用を練習することができます。本番環境(mainnet)での運用前に必ずテストネットで動作確認することを強く推奨します。
Q3. ノードが長時間ダウンした場合のペナルティはどの程度ですか?
ネットワーク全体がファイナライズしている通常状態でのオフラインペナルティは比較的軽微です。おおよそ「オフライン中に失うペナルティ」は「オンライン中に得られる報酬」と概ね同程度に設計されています。ただし、ネットワーク全体が多数のバリデータのオフラインにより非アクティブになった場合は、相関ペナルティが適用され損失が増大します。
※本記事は情報提供を目的としており、投資を推奨するものではありません。暗号資産への投資は元本割れのリスクがあります。投資判断はご自身の責任で行ってください。
