CN103379118A - 用于在元数据服务器和数据服务器之间保持acl一致性的方法和装置 - Google Patents
用于在元数据服务器和数据服务器之间保持acl一致性的方法和装置 Download PDFInfo
- Publication number
- CN103379118A CN103379118A CN2012104883211A CN201210488321A CN103379118A CN 103379118 A CN103379118 A CN 103379118A CN 2012104883211 A CN2012104883211 A CN 2012104883211A CN 201210488321 A CN201210488321 A CN 201210488321A CN 103379118 A CN103379118 A CN 103379118A
- Authority
- CN
- China
- Prior art keywords
- data
- data server
- identification information
- file
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及用于在元数据服务器和数据服务器之间保持ACL一致性的方法和装置。示例性实施例可以涉及一种管理数据-服务器访问控制列表(DS ACL)信息的元数据服务器。该DS ACL信息的每个条目可以包括数据服务器的地址、数据服务器上块数据的标识或范围地址、块数据在元数据服务器所提供的文件树中的文件路径,以及所许可客户端的地址。元数据服务器可以通过从元数据服务器的布局信息获取块数据的原始文件路径、并且通过从元数据服务器的访问控制列表获取包含部分与原始文件路径匹配的目录路径的条目来确定块数据的许可客户端的地址。
Description
技术领域
示例性实施例涉及网络文件共享系统,更具体地涉及用于向客户端传输共享文件的方法和装置。
背景技术
在相关领域的应用中,网络文件系统可以被用于共享作为电子文件被创建并保存的商业数据和文档。网络文件系统可以采用客户端-服务器架构。系统的客户端可以向文件服务器发送请求并且接收文件数据作为对该请求的响应。客户端可以从所接收的数据整合文件。
为了改进网络文件系统的性能,相关领域的应用已经通过使用分布式文件系统而对网络文件系统的架构进行了扩展。经扩展的架构在相关领域中的实现具有分布式文件数据的被称作数据服务器(DS)的多个文件服务器,以及对分布式文件数据的位置进行管理的、被称作元数据服务器(MDS)的管理服务器。在相关领域的实现中,客户端可以向多个文件服务器并行发送多个请求。该多个访问可以根据文件服务器的数量而使得文件访问的吞吐量倍增。
相关领域的实现还对网络文件系统采用了安全性要求以控制商业数据的共享。为了满足安全性要求,被称作访问控制列表(ACL)的安全功能可以被用来确保对网络文件系统上数据的访问。网络文件系统的ACL由运营商进行配置以向特定用户、用户群体或IP地址分段输出数据。换句话说,ACL是访问控制规则的列表。在示例的相关领域实现中,ACL被实施为表。该表的每个条目可以包括文件路径和IP地址分段。功率文件系统可以根据ACL的内容而就针对文 件的每个网络访问来决定允许或拒绝其访问。
发明内容
示例性实施例的方面包括一种耦合到多个客户端计算机以及多个数据服务器的元数据服务器,其可以包括存储器,其被配置为存储包括多个第一标识信息的群组和与来自多个客户端计算机中的一个客户端计算机相关联的第二标识符信息之间的关系,该客户端计算机具有访问与该群组相关的数据的许可,其中多个第一标识信息中的每个第一标识信息包括来自多个数据服务器中的数据服务器的数据,多个第一标识信息中的每个第一标识信息的数据服务器不同于多个数据服务器中的与多个第一标识信息中的其他第一标识信息相关联的其他数据服务器;以及控制器,其可操作以管理该关系,并且基于在存储器中的关系对从客户端计算机到数据服务器的访问进行控制。
示例性实施例的附加方面进一步包括一种系统,其包括多个客户端计算机;多个数据服务器;以及耦合到多个客户端计算机和多个数据服务器的元数据服务器。该元数据服务器可以包括存储器,其被配置为存储包括多个第一标识信息的群组和与来自多个客户端计算机中的一个客户端计算机相关联的第二标识符信息之间的关系,该客户端计算机具有访问与该群组相关的数据的许可,其中多个第一标识信息中的每个第一标识信息包括来自多个数据服务器中的一个数据服务器的数据,多个第一标识信息中的每个第一标识信息的数据服务器不同于多个数据服务器中的与多个第一标识信息中的其他第一标识信息相关联的其他数据服务器;以及控制器,其可操作以管理该关系,并且基于在存储器中的关系对从客户端计算机到数据服务器的访问进行控制。
示例性实施例的附加方面可以包括一种非瞬态的计算机可读介质,其存储用于对元数据服务器进行操作的指令。该指令可以包括管理多个第一标识信息的群组和与来自多个客户端计算机中的一 个客户端计算机相关联的第二标识符信息之间的关系,该客户端计算机具有访问与该群组相关的数据的许可,其中多个第一标识信息中的每个第一标识信息包括来自多个数据服务器中的数据服务器的数据,多个第一标识信息中的每个第一标识信息的数据服务器不同于多个数据服务器中的与多个第一标识信息中的其他第一标识信息相关联的其他数据服务器;以及基于在存储器中的关系对从客户端计算机到数据服务器的访问进行控制。
附图说明
这些和/或其它方面将从以下结合附图对示例性实施例所进行的描述而变得更加容易地理解,其中:
图1图示了依据示例性实施例的分布式网络文件系统的示例。
图2图示了依据示例性实施例的消息序列的第一部分。
图3示出了依据示例性实施例的、与图2所示出的消息序列的第一部分相对应的消息序列的第二部分。
图4图示了依据示例性实施例的另一消息序列的第一部分。
图5图示了依据示例性实施例的MDS的硬件配置。
图6图示了依据示例性实施例的DS ACL条目信息的配置。
图7示出了依据示例性实施例的DS许可的IP分段信息的结构示例。
图8图示了依据示例性实施例的MDS ACL信息的配置。
图9图示了依据示例性实施例的布局信息的配置。
图10图示了依据示例性实施例的设备群组信息的配置。
图11和12图示了依据示例性实施例的DS ACL的配置。
图13图示了依据示例性实施例的MDS的OPEN处理程序的流程图。
图14图示了依据示例性实施例的MDS的LAYOUTGET处理程序的流程图。
图15图示了依据示例性实施例的MDS的DS ACL创建程序的 流程图。
图16图示了依据示例性实施例的具有可操作以提供分块布局功能的元数据服务器(MDS)的分布式网络文件系统的示例。
图17图示了依据示例性实施例的MDS的结构示例。
图18图示了依据示例性实施例的DS ACL条目信息的示例结构。
图19图示了依据示例性实施例的客户端适配器信息结构的示例。
图20图示了依据示例性实施例的布局信息的示例。
图21图示了依据示例性实施例的DS ACL的示例结构。
图22示出了依据示例性实施例的DS ACL创建程序的流程图示例。
图23图示了依据示例性实施例的具有提供分块布局功能的元数据服务器(MDS)的分布式网络文件系统的示例。
图24图示了依据示例性实施例的MDS的DS ACL条目信息的示例。
图25图示了依据示例性实施例的客户端适配器信息的示例结构。
图26图示了依据示例性实施例的DS ACL的示例结构。
具体实施方式
当相关领域的ACL功能被用在分布式文件系统中时,恶意用户可以在没有所必需证书的情况下访问系统中的数据。一个原因在于,在诸如并行网络文件系统(pNFS)的分布式文件系统中,控制路径和数据路径可能是分离的。即使系统的运营商对MDS的ACL进行配置以防止被非授权用户进行访问。非授权用户可能能够通过使用诸如用于文件布局pNFS系统的网络文件系统(NFS)协议以及用于分块布局pNFS系统的iSCSI/光纤信道(FC)之类的数据访问协议直接访问DS上存储的块数据。此外,可能难以使用DS的ACL 功能来防止这样的恶意访问,原因在于运营商可能无法确定DS上的每个块数据所要求的ACL规则。在相关领域的实现中,目录树和文件名称在MDS和DS之间可能有所不同。
此外,相关领域中使用分块布局的pNFS系统无法根据MDS的ACL来控制对DS的访问,因为客户端适配器的标识是iSCSI认证名称(IQN)或FC全球名称(WWN)。原因在于客户端可以利用iSCSI(其使用IQN)或FC(其使用FC WWN)来标识数据访问请求的来源,而这在MDS ACL中不可进行追踪。
这里所描述的示例性实施例可以在控制路径和数据路径分开时防止对分布式文件系统的数据服务器上所存储的数据的这种不合要求的访问。示例性实施例的基本实现可以包括具有各种特征的MDS。一个这样的特征可以包括DS访问控制列表(ACL)的管理,如果存在,该ACL包含数据服务器(DS)的标识、数据服务器(DS)上数据的标识以及许可客户端的标识的条目。该条目可以通过基于MDS的布局信息以及MDS的ACL来确定DS上的每个块数据和MDS的ACL的条目之间的对应性而生成。
这里所描述的示例性实施例还利用各种标识信息来将许可客户端计算机映射到具体的数据位置。例如,服务器群组可以通过第一标识信息进行组织,该第一标识信息由服务器内所表示的数据进行组织。第二标识信息业可以被用来将具有访问与群组相关联的多个数据的许可的多个客户端计算机中的客户端计算机相关联。示例性实施例由此可以基于第一和第二标识信息对客户端和服务器的关系进行管理。
这里所描述的示例性实施例可以以两种模式进行操作。第一模式可以作为静态模式进行操作,其中开放式处理程序可操作以对多个数据服务器进行配置以控制来自多个客户端计算机的访问。在该静态模式中,可以提供文件句柄(handle)来指示可访问数据。第二模式可以作为动态模式进行操作,其中布局处理程序可操作以对多个数据服务器进行配置以控制来自许可客户端的多个客户端计算机 标识信息的访问。在该动态模式中,可以提供诸如特定存储块之类的布局信息以指示可访问数据。示例性实施例可以以任一种方式进行操作,并且还可以根据配置(例如,文件布局对分块布局,等等)切换模式。以下对进一步的细节进行描述。
第一示例性实施例-使用NFS的文件布局
在第一示例性实施例中,利用了使用NFS的文件布局。依据第一实施例,元数据服务器(MDS)包含DS访问控制列表(ACL)信息,其具有数据服务器(DS)的网络地址、DS上块文件的文件句柄、原始文件路径、块文件所输出到的互联网协议(IP)分段的条目。MDS可以根据布局信息和设备群组信息获取DS上块文件的原始文件路径。MDS随后可以从MDS ACL获取与文件路径相对应的输出IP分段。
图1图示了依据示例性实施例的分布式网络文件系统。该示例性分布式网络文件系统包括提供文件布局能力的元数据服务器(MDS)105。
依据示例性实施例,分布式网络文件系统可以包含多个客户端101-104、MDS105,以及分别具有DS访问控制列表(ACL)108和109的多个数据服务器(DS)106和107。这些组件可以经由IP局域网(IP-LAN)114互相连接。在该IP-LAN114中,IP地址192.168.1.101、192.168.1.102、192.168.1.103、192.168.1.104、10.0.0.20和10.0.20.11-12分别被分配至客户端101-104、MDS105以及DS106和107。该系统可以进一步包括分别提供卷112和113的多个存储系统110和111。在图1所提供的示例中,两个存储系统110和111分别连接至DS106和107。
图2图示了依据示例性实施例的消息序列的第一部分。图2图示了客户端之一101、MDS105以及DS106和107之间的消息序列的示例的第一部分。在图2的示例中,MDS105以静态模式进行操作,其中MDS105在文件创建时设置DS ACL108和109。
在消息序列开始时,如2001、2002、2003和2004所示出的, pNFS客户端101向MDS105发送EXCHANGE ID消息和GETATTR消息,并且接收MDS105的能力(例如,客户端ID)。在2005,pNFS还发送OPEN消息以创建并打开其文件路径为“’/dir1/file1.dat”的新文件。
在图2所描绘的示例中,“’/dir1/file1.dat”在分布式文件系统中还不存在。当MDS接收到OPEN消息时,作为附加过程,MDS分别在2006和2008向DS106和107发送请求以更新它们的ACL108和109以仅允许来自如MDS的ACL中所描述的许可IP地址的访问。DS106和107在2007和2009传送确认。在完成ACL更新之后,MDS105在2010向pNFS客户端101发送针对OPEN消息的响应。
在以上文件打开过程以及DS ALC108和109的更新之后,pNFS客户端101在2011向MDS105发送GETFH消息以得到以上新创建文件的文件句柄0×1。MDS105在2012向pNFS客户端101发送文件句柄0×1。pNFS客户端101随后在2013向MDS105发送LAYOUTGET消息以获取新文件的布局数据。在图2的该示例中,MDS105在2014返回具有设备ID“nfsstr1”和句柄集合“0×11和0×12”的布局。在2015,pNFS客户端101通过向MDS105发送GETDEVICEINFO消息获取与设备ID“nfsstr1”相对应的网络地址。在2016,MDS105向pNFS客户端101传送网络地址集合“10.0.20.11”和“10.0.20.12”。
图3示出了依据示例性实施例的与图2所示的消息序列的第一部分相对应的消息序列的第二部分。
基于所接收的网络地址,pNFS客户端101相继向DS106和107在3001和3007发送EXCHANGE ID(交换ID)消息,在3003和3009发送PUTFH消息以及在3005和3011发送WRITE(写)消息以将新文件的数据写入卷112和114。DS106和107分别在3002和3008发送其针对EXCHANGE ID消息的确认/响应,在3004和3010发送其针对PUTFH消息的确认/响应,以及在3006和3012发 送其针对WRITE消息的确认/响应。
图4示出了依据示例性实施例的客户端之一101、MDS105以及DS106和107之间的消息序列示例的第一部分。图4图示了MDS105以“动态模式”进行操作的示例序列,其中MDS105在获取布局信息时设置DS ACL108和109。
在消息序列开始时,pNFS客户端101向MDS105在4001发送EXCHANGE ID消息以及在4003发送GETATTR消息以检查MDS105的能力。MDS分别在4002和4004对该消息进行响应。pNFS客户端101随后在4005发送OPEN消息以创建并打开新的文件。在图4的示例中,新文件的文件路径是“/dir1/file1.dat”,MDS将其存储在分布式文件系统中并且在4006对OPEN消息进行响应。pNFS客户端101随后在4007向MDS105发送GETFH消息以获取以上新创建文件的文件句柄。在图4的示例中,文件句柄“0×1”从MDS105传送至pNFS客户端101。
在以上文件打开过程之后,pNFS客户端101在4009向MDS105发送LAYOUTGET消息。当MDS105接收到LAYOUTGET消息时,MDS105分别在4010和4012请求DS106和107更新其ACL108和109,以仅允许来自如MDS105的ACL中所描述的许可IP地址的访问。DS106和107在更新ACL108和109时分别向MDS105传送响应4011和4013。在完成ACL更新之后,MDS105在4014向pNFS客户端101发送对LAYOUTGET消息的响应。在该示例中,MDS105在4014返回具有设备ID“nfsstr1”以及文件句柄集合(0×11,0×12)的布局。pNFS客户端101通过在4015向MDS105发送GETDEVICEINFO消息并且在4016接收网络地址“10.0.20.11”和“10.0.20.12”的集合来获取与设备ID“nfsstr1”相对应的网络地址。
在第一实施例中,如图4中所示的消息序列的第二部分与图3中所示的序列相同,并且因此为了简要而被省略。
图5图示了依据示例性实施例的MDS的硬件配置。
MDS105可以包括存储器501、CPU502、I/O503、网络接口 卡(NIC)504和内部存储505。存储器501存储DS ACL条目信息506以及DS许可的IP分段信息507。存储器501还可以存储MDSACL信息508、布局信息509和设备群组信息510。存储器501还可以存储OPEN处理程序511、LAYOUTGET处理程序512和DS ACL创建程序513。存储器501还可以利用具有TCP/IP程序515、NFS服务器程序516和pNFS服务器程序517的OS514。
图6图示了依据示例性实施例的DS ACL条目信息的配置。
如图6所示,DS ACL条目信息506可以被实现为具有条目的表,该条目包括DS的网络地址、DS(例如,106或107)中的块文件的文件句柄、原始文件路径以及示出许可IP分段的IP地址的集合。在图6的示例中,DS ACL条目信息506中存储有四个条目601、602、603和604。条目601、602、603和604的内容图示出两个文件“/dir1/file1.dat”和“/dir2/file2.dat”的数据被存储在分别具有网络地址10.0.20.11和10.0.20.12的两个DS中。条目601、602、603和604还图示出两个文件的数据被分别输出到IP分段“192.168.1.0/24”和“192.168.2.0/24”。
与相关领域的MDS实现相比,示例性实施例的MDS105对DS ACL108和109的条目进行管理。每个条目指示DS106或107的块文件的标识、文件在MDS105的文件树上的标识以及块文件被输出到的IP分段之间的对应性。
图7示出了依据示例性实施例的DS许可的IP分段信息的结构示例。DS许可的IP分段信息507可以被实现为表,其具有包括目录串以及许可IP分段的IP地址的条目。在该示例中,条目701指示分段“192.168.101.0/24”中的客户端被允许访问DS106和107上的块文件,其中原始数据经由诸如NFS、iSCSI和FC之类的数据访问协议而存储在目录“/dir1”中。条目702指示分段“192.168.102.0/24”中的客户端被允许访问DS106和107上的块文件,其中原始数据经由诸如NFS、iSCSI和FC之类的数据访问协议而存储在目录“/dir2”中。
DS许可的IP分段信息507可以被使用以使得每个pNFS客户端101、102、103和104具有至少两个连接到不同IP分段的NIC。IP分段中的一个可以被用于对MDS105的元数据访问,而另一个IP分段可以被用于针对DS106和107的数据访问。这样的IP分段划分可以被用来防止控制消息由于IP-LAN114中的数据业务而丢失。
图8图示了依据示例性实施例的MDS ACL信息的配置。MDSACL信息508可以被实现为表,其具有包括目录路径串和许可IP分段的IP地址的条目的集合。在该示例中,分段“192.168.1.0/24”中的客户端被允许经由NFS访问与MDS105上的目录“/dir1”有关的布局信息。而且,分段“192.168.2.0/24”中的客户端被允许经由NFS访问与MDS105上的目录“/dir2”有关的布局信息。
虽然DS许可的IP分段信息507具有与MDS ACL508相似的配置,但是MDS105能够通过使用DS许可的IP分段信息507和MDS ACL508这二者来管理到MDS105的每个控制路径的不同许可IP分段以及到DS106和107的数据路径的集合。
图9图示了依据示例性实施例的布局信息的配置。布局信息509可以被实施为表,其具有MDS105的文件树中的文件的条目901、902。条目901、902可以包括文件的文件名、文件的文件句柄、文件的文件偏移量、文件的长度、文件的布局类型、设备ID以及DS106和107中所存储的块文件的文件句柄列表。
在图9的示例中,布局信息509的条目901和902指示两个文件“/dir1/file1.dat”和“/dir2/file2.dat”的数据存储在名为“nfsstr1”的DS群组中。第一条目901指示文件“/dir1/file1.dat”以分别具有文件句柄0×11和0×12的两个块文件的形式被分布到多个DS。类似地,第二条目902指示文件“/dir2/file2.dat”以具有文件句柄0×21和0×22的两个块文件的形式被分布到多个DS。
图10图示了依据示例性实施例的设备群组信息的配置。设备群组信息510可以被实现为包含条目的表,该条目包括设备ID和DS网络地址的列表。该条目可以被用来管理诸如“nfsstr1”的设备 ID和诸如DS106和107的DS群组之间的对应性。在图10的示例中,条目1001指示设备ID“nfsstr1”对应于DS“10.0.20.11”和“10.0.20.12”。
图11和12图示了依据示例性实施例的DS ACL的配置。具体而言,图11图示了DS ACL108的示例表配置,其中每个条目对应于DS106中的文件。条目可以包括DS106中块文件的文件句柄。在该示例中,第一条目1101指示IP分段192.168.1.0/24中的用户被许可访问DS106上具有文件句柄0×11的文件。第二条目1102指示IP分段192.168.2.0/24中的用户被许可访问DS106上具有文件句柄0×21的文件。
类似地,图12图示了DS ACL109的表配置,其中每个条目对应于DS107中的文件。在该示例中,第一条目1201指示IP分段192.168.1.0/24中的用户被许可访问DS107上具有文件句柄0×11的文件。第二条目1202指示IP分段192.168.2.0/24中的用户被许可访问DS107上具有文件句柄0×22的文件。
图13图示了依据示例性实施例的MDS105的OPEN处理程序511的流程图。OPEN处理程序511可以在MDS105从pNFS客户端101-104接收到OPEN消息时启动。在1301,OPEN处理程序511开始该过程。在1302,MDS105对所接收OPEN消息的内容进行分析并且从该消息中提取文件名。在1303,MDS105检查所提取文件名的文件是否存在于MDS105的文件树中。如果文件存在,则MDS105前进至1304并且获取指定给文件的文件句柄。
如果文件不存在,则MDS105前进至1305并且在MDS105的文件树上创建新的文件节点并且为新文件指定新的文件句柄。在1306,MDS105根据MDS105的配置为布局信息509中的新文件创建新条目。在1307,在布局信息509更新之后,MDS105检查与ACL分布模式有关的配置状态,其定义了MDS105何时将MDS ACL508的内容分布到DS106和107。如果模式被配置为动态模式(“DYNAMIC”),则MDS105并不调用DS ACL创建程序。如 果模式被配置为静态模式(“STATIC”),则MDS105前进至1308并且调用DS ACL创建程序513。
在1309,MDS105将所获取或新指定的文件句柄设置为当前NFS会话并且向pNFS客户端发送针对OPEN消息的响应。在1310,针对OPEN处理程序511的过程结束。
在示例性实施例中,OPEN消息能够替代文件名称的文件句柄。在1303,依据示例性实施例,MDS105检查所提取的文件句柄是否被用作MDS105中的文件的有效文件句柄。
图14图示了依据示例性实施例的MDS105的LAYOUTGET处理程序512的流程图。在过程1401开始时,LAYOUTGET处理程序512在MDS105从pNFS客户端101-104接收到LAYOUTGET消息时被调用。
在1402,MDS105对所接收LAYOUTGET消息的内容进行分析。在1403,MDS获取与当前NFS会话的当前文件句柄相对应的布局信息条目。例如,可以选择布局信息509中的条目901,因为其文件句柄与在图4的序列4008所检查的当前文件句柄0×1相匹配。在1404,MDS105检查ACL分布模式的配置状态。如果模式被配置为动态模式(“DYNAMIC”),则MDS105前进至1405并且调用DS ACL创建程序512。如果模式被配置为静态模式(“STATIC”),则MDS105并不调用DS ACL创建程序512。在1406,MDS105向pNFS客户端发送包括所指定文件的布局信息的响应。
图15图示了依据示例性实施例的MDS105的DS ACL创建程序513的流程图。在1501,可以从以上所描述的OPEN处理程序511或以上所描述的LAYOUTGET处理程序512调用DS ACL创建程序513。
在1502,MDS105获取与当前文件句柄相对应的文件的文件路径。在1503,MDS105从MDS ACL508获取其目录路径包括以上所获取的文件路径的条目。在1504,MDS105从所获取的ACL条目提取许可IP分段。
在1505,MDS105从布局信息508获取其文件句柄与当前文件句柄相同的条目。在该示例中,图9中的第一条目901可以被选择,因为文件句柄与在图2中的2013或图4中的4008进行检查时的当前文件句柄0×1相同。根据以上所获取的条目901,MDS105读取了设备ID以及DS106和107的文件句柄。在该示例中,设备ID为“nfsstr1”,并且列表中的文件句柄是0×11和0×12。
在1507,MDS105开始对以上列表中的每个文件句柄运行相同过程的循环。在1508,MDS105从设备信息群组信息510获取指示其设备ID与以上所读取的设备ID相同的条目。在该示例中,设备群组信息510的第一条目1001被选择。在1509,MDS105从该条目提取网络地址的列表。从该条目的网络地址列表,MDS选择在所提取网络地址列表中具有与以上在1510的DS文件句柄列表中的DS文件句柄的顺序相同的顺序的网络地址。在该示例中,在DS文件句柄0×11的轮次(turn)中选择了网络地址“10.0.20.11”,并且在DS文件句柄0×12的轮次选择了“10.0.20.12”。
在1511,MDS105创建DS ACL条目信息506的新条目。该新条目可以包括以上在1510所选择的网络地址,以上在1507所选择的DS文件句柄,以上在1502所获取的文件路径,以及以上在1504所读取的许可IP分段。
MDS105为每个DS文件句柄重复从1508到1511的过程,并且随后在1512完成循环。随后MDS105根据DA ACL条目信息506中相对应的条目对DS106和107的DS ACL108和109进行配置。在该示例中,条目601和602被用来配置DS106的DS ACL108。而且条目603和604被周来配置DS107的DS ACL109。
第二示例性实施例-使用iSCSI的分块布局
在第二示例性实施例中,元数据服务器(MDS)具有DS访问控制列表(ACL)信息,其具有iSCSI目标的卷ID、块数据在数据服务器(DS)上的开始位置、块数据的结束位置、块数据的原始文件路径以及iSCSI IQN的列表的条目。MDS还具有客户端适配器信 息,其具有用于对MDS进行网络文件系统(NFS)协议访问的客户端的NIC的一个或多个IP地址以及客户端的NIC的iSCSI IQN的条目。MDS根据布局信息获取块数据在DS上的原始文件路径。随后,MDS根据客户端适配器信息和MDS ACL获取与文件路径相对应的输出iSCSI IQN。
图16图示了依据示例性实施例的具有可操作以提供分块(block)布局能力的元数据服务器(MDS)的分布式网络文件系统的示例。
该分布式网络文件系统可以包含多个具有iSCSI能力的客户端1601-1604、MDS1605,以及具有iSCSI能力并且作为DS进行工作的多个存储系统1606和1607。这些系统部件可以经由IP局域网(IP-LAN)1612互相连接。在图16的示例IP-LAN1612中,IP地址192.168.1.101、192.168.1.102、192.168.2.103、192.168.2.104、10.0.0.20、10.0.20.11和10.0.20.12分别被分配给客户端1601-1604、MDS1605以及存储系统1606和1607。存储系统1606具有DS ACL1608和卷1609。存储系统1607具有DS ACL1610和卷1611。
第二示例性实施例的以上组件之间的消息序列与如图2-图4中所描述的第一实施例相同,并且出于简要而被省略。
图17图示了依据示例性实施例的MDS1605的结构示例。在图17的示例中,MDS1605包括存储器1701、CPU1702、I/O1703、网络接口卡(NIC)1704以及内部存储1705。存储器1701存储DAACL条目信息1706以及客户端适配器信息1707。对于分块布局的pNFS系统而言,存储器1701还存储MDS ACL信息1708和布局信息1709。存储器1701还存储OPEN处理程序1710、LAYOUTGET处理程序1711以及DS ACL创建程序1712。存储器1701还存储具有TCP/IP程序1714、NFS服务器程序1715和pNFS服务器程序1716的OS1713。
图18图示了依据示例性实施例的DS ACL条目信息1706的示例结构。在图18的示例中,DS ACL条目信息1706被实现为包含条 目的表,该条目包括卷的卷ID、卷中的块数据范围的开始地址和结束地址、原始文件路径,以及许可IQN的列表。在该示例中,四个条目1801-1804被存储在DS ACL条目信息1706中。条目1801-1804的内容指示两个文件“/dir1/file1.dat”和“/dir2/file2.dat”的数据被存储在分别具有卷ID“vol1”和“vol2”的两个卷中。条目1801-1804还指示两个文件的数据被分别输出到iSCSI发起器的两个群组。如条目1801和1803所示,第一群组包含具有IQN“iqn.2012-01.com.hitachi.hal:adaptor.0001”和“iqn.2012-01.com.hitachi.hal:adaptor.0002”的两个iSCSI指示符。如条目1802和1804所示,第二群组包含具有IQN“iqn.2012-01.com.hitachi.hal:adaptor.0003”和“iqn.2012-01.com.hitachi.hal:adaptor.0004”的两个iSCSI指示符。
与以上所描述的第一示例性实施例类似,MDS1605对DS ACL1608和1610的条目进行管理。每个条目指示DS1606或1607上的块数据范围,MDS1605的文件树上的文件标识,以及能够访问块数据的iSCSI发起器的标识列表之间的对应性。
图19图示了依据示例性实施例的客户端适配器信息1707的结构示例。在图19的示例中,客户端适配器信息被布置为表,其具有包括客户端IP地址和IQN的条目1901-1904。每个条目对应于被分配以条目中的IP地址和IQN的pNFS客户端。在该示例中,根据图19的表,四个pNFS客户端1601-1604具有iSCSI能力。
MDS ACL1708的结构与第一示例性实施例中的MDS ACL508的结构相同。因此为了简要而省略了该结构的描述。
图20图示了依据示例性实施例的布局信息1709的示例。在图20的示例中,布局信息1709被实现为表。布局信息1709中的条目2001-2004中的每一个被指向块数据。文件的布局可以被描述为布局信息1709中多个条目的集合。例如,条目2001和2002对应于名为“/dir1/file1.dat”的文件以及相应的块数据。
图21图示了依据示例性实施例的DS ACL1608和1610的示 例结构。在图21的示例中,DS ACL被实现为表。每个条目2101、2102对应于卷1609和1611上的块数据的范围。在图21的示例中,块数据的大小在两个卷1609和1611之间相同。因此,DS ACL1608和1610的内容相同。在该示例中,卷1607和1611中的前4500个字节是用于名为“/dir1/file1.dat”的文件。如条目2101中所示,这意味着分别具有IQN“iqn.2012-01.com.hitachi.hal:adaptor-0001”和“iqn.2012-01.com.hitachi.hal:adaptor-0002”的pNFS客户端101和102能够访问名为“/file1.dat”的文件的块数据。
图22示出了依据示例性实施例的DS ACL创建程序1712的流程图。该程序在2201从OPEN处理程序1710或LAYOUTGET处理程序1711启动。
在2202,MDS1605获取与当前文件句柄相对应的文件的文件路径。在该示例中,文件路径“/dir1/file1.dat”对应于文件句柄0×1。在2203,DS ACL创建程序1712从MDS ACL1708获取与以上所获取的文件路径相对应的条目。在该示例中,MDS ACL508的第一条目801被选择。根据该所选择的条目,MDS1605在2204中读取许可的IP分段。在该示例中,“192.168.1.0/24”被读取。根据客户端IP地址信息1707,MDS1605随后在2205获取其客户端IP地址的数值包括在以上所读取的IP分段中的条目。在该示例中,条目1901和1902被选择。在2206,MDS1605从这些所选择条目提取IQN并且创建IQN列表。在该示例中,该列表包含两个IQN“iqn.2012-01.com.hitachi.hal:adaptor-0001”和“iqn.2012-01.com.hitachi.hal:adaptor-0002”。
在2207,从布局信息1709,MDS1605获取具有与当前文件句柄相同文件句柄的条目。在该示例中,条目2001和2002由于它们具有文件句柄0×1而被选择。在2208,MDS1606开始对从布局信息1709所选择的每个条目运行一组过程的循环。在该循环中,MDS1605在2209从条目读取卷ID、长度和存储偏移量。在2210,MDS1605将范围开始设置为以上所读取的存储偏移量的值。在2211, MDS1605将范围结束设置为以上存储偏移量和以上长度之和。在2212,MDS1605为DS ACL条目信息1706创建新条目。该新条目可以包括以上卷ID、以上范围开始、以上范围结束、原始文件路径以及以上IQN的列表。在创建了新条目之后,MDS1605在2213完成关于布局信息条目的循环。在2214,MDS1605根据DS ACL条目信息1706中相对应的条目对DS1606和1607的DS ACL1608和1610进行配置。该程序在2215结束。
MDS1605确定DS上的块数据范围与客户端1601-1604的IQN列表之间的映射。通过确定并维护该映射,MDS可以由此尽管在利用不同标识(IQN和IP地址)的不同协议(iSCSI和NFS)的情况下也可以保持数据路径和控制路径之间的安全一致性。
第三示例性实施例-使用FC的分块布局
在第三示例性实施例中,元数据服务器(MDS)管理DS访问控制列表(ACL)信息,其具有光纤信道(FC)存储的卷ID、数据服务器(DS)上块数据的开始位置、块数据的结束位置、块数据的原始文件路径以及FC全球范围名称(WWN)的列表的条目。MDS还管理客户端适配器信息,其具有对MDS的网络文件系统(NFS)协议访问的客户端NIC的一个或多个IP地址,以及客户端的主机总线适配器(HBA)的FC WWN的条目。MDS根据布局信息获取DS上块数据的原始路径。随后,MDS根据客户端适配器信息和MDSACL获取与文件路径相对应的输出FC WWN。
图23图示了依据示例性实施例的具有元数据服务器(MDS)的分布式网络文件系统的示例。该系统可以包括具有FC能力的多个客户端2301-2304、MDS2305、具有FC能力并且作为DS进行操作的多个存储系统2306和2307。这些组件可以经由IP局域网(IP-LAN)2312互相连接。在该IP-LAN2312中,IP地址192.168.1.101、192.168.1.102、192.168.2.103、192.168.2.104、10.0.0.20、10.0.20.11、10.0.20.12分别被分配给客户端2301-2304、MDS2305和存储系统2306和2307。客户端2301-2304以及存储系统2306和2307经由光 纤信道存储域网络(FC-SAN)2313互相连接。全球范围名称(WWN)10:00:00:00:00:10:00:01、10:00:00:00:00:10:00:02、10:00:00:00:00:10:00:03和10:00:00:00:00:10:00:04被分配给客户端2301-2304的主机总线适配器(HBA)。存储系统2306具有DS ACL2308和卷2309。存储系统2307具有DS ACL2310和卷2311。
MDS2305的结构与MDS1605的结构相同。
图24图示了依据示例性实施例的MDS2305的DS ACL条目信息1706的示例。在图24的示例中,DS ACL条目信息被实现为表,其具有卷ID、卷中块数据范围的开始地址和结束地址、原始文件路径以及许可FC WWN的列表的条目。在该示例中,DS ACL信息1706中存储了四个条目2401-2404。该条目指示两个文件“/dir1/file1.dat”(如条目2401和2403中所示)和“/dir2/file2.dat”(如条目2402和2404中所示)的数据被分别存储在具有卷ID“vol1”和“vol2”的两个卷中。该条目进一步指示两个文件的数据被分别输出到FC HBA的两个群组。如条目2401和2402所示,第一群组包含具有FC WWN“10:00:00:00:00:10:00:01”和“10:00:00:00:00:10:00:02”的两个FCHBA。如条目2403和2404所示,第二群组包含具有FC WWN“10:00:00:00:00:10:00:03”和“10:00:00:00:00:10:00:04”的两个FCHBA。
图25图示了依据示例性实施例的客户端适配器信息1707的示例结构。在图25的示例中,客户端适配器信息1707是具有客户端IP地址和FC WWN的条目的表。每个条目2501-2504对应于在被指定以条目中的IP地址和FC WWN的pNFS客户端。在该示例中,如各条目2501-2504所指示的,所有四个pNFS客户端2301-2304都具有FC能力。
MDS ACL1708和布局信息1709如以上所提到的第二示例性实施例中那样使用。
图26图示了依据示例性实施例的一个DS ACL2308的示例结构。在图26的示例中,DS ACL2308被实现为表,其具有均对应于 卷上的块数据范围的条目2601-2602。在该示例中,块数据的大小在两个卷2309和2311之间相同。因此,DS ALC2308和2310的内容相同。在该示例中,如条目2601中所指出的,卷2309和2311中前4500个字节被用于名为“/dir1/file1.dat”的文件。条目2601指示出分别具有FCWWN“10:00:00:00:00:10:00:01”和“10:00:00:00:00:10:00:02”的pNFS客户端2301-2304能够访问名为“/dir1/file1.dat”的文件的数据。
OPEN处理程序1710的流程图与图13中所示的流程图相同。
LAYOUTGET处理程序1711的流程图与图14中所示的流程图相同。
除了如图22所示的流程图中的IQN被FC WWN所替代之外,DS ACL创建程序1712的流程图与图22中所示的流程图相同。
虽然已经示出并描述了一些示例性实施例,但是这些实施例被提供以向熟悉本领域的人员传递这里所描述的主题。应当理解的是,这里所描述的主题可以以各种形式来体现而并不局限于所描述的示例性实施例。这里所描述的主题可以在没有那些专门定义或描述的要素的情况下进行实践或者利用没有描述的不同部件或要素进行实践。熟悉本领域的人员将要意识到的是,可以在这些示例性实施例中进行变化而并不背离如所附权利要求及其等同形式中所限定的这里所描述的主题。例如,以上所描述的若干实现采用了表,然而,这样的实现并不局限于表。也可以采用本领域技术人员所知的其它实现(例如,阵列、堆栈等)。
部分具体实现关于计算机内的操作的算法和符号的表示而呈现。这些算法描述和符号表示是数据处理领域的技术人员用来向本领域其它技术人员传递其创新实质的最为有效的手段。算法是产生所期望的结束状态或结果的一系列所定义步骤。在示例性实施例中,所执行的步骤需要切实数量的操控以便实现切实结果。
除非另外专门指出,否则如根据讨论所明显的那样,意识到贯穿该描述,采用诸如“处理”、“计算”、“运算”、“确定”、 “显示”等的术语的讨论可以包括将在计算机系统的寄存器和存储器内表示为物理(电子)量的数据操控并变换为在计算机系统的存储器或寄存器或者其它信息存储、传输或显示设备内被简单表示为物理量的其它数据的计算机系统或其它信息处理设备的动作或过程。
示例性实施例还涉及一种用于执行这里的操作的装置。该装置可以针对所要求的用途专门构造,或者其可以包括通过一个或多个计算机程序有选择地激励或重新配置的一个或多个通用计算机。这样的计算机程序可以存储在非瞬时的计算机可读介质或计算机可读存储介质中,其诸如但不限于光盘、磁盘、只读存储器、随机访问存储器、固态设备或驱动器,或者适于存储电子信息的任意其它类型的媒体。这里所呈现的算法和显示并非固有地与特定计算机或其它装置相关。
各种通用系统可以随依据这里的教导的程序和模块而使用,或者可以证明便于构造更为专用的装置来执行所描述的方法步骤。此外,示例性实施例并非参考任何特定编程语言而描述。将要意识到的是,可以使用多种编程语言来实现如这里所描述的本发明的教导。(多种)编程语言的指令可以由一个或多个处理设备来执行,例如中央处理单元(CPU)、处理器或控制器。
如本领域中已知的,以上所描述的操作可以由硬件、软件或者软件和硬件的某些组合来执行。示例性实施例的各种方面可以使用电路和逻辑设备(硬件)来实现,而其它方面则可以使用存储在机器可读介质(软件)上的指令来实现,如果被处理器所执行,上述指令将使得处理器执行一种用于实施示例性实施例的方法。此外,一些示例性实施例可以仅以硬件执行,而其它示例性实施例可以仅以软件执行。此外,所描述的各个功能可以在单个单元中执行,或者可以以任意数量跨多个组件进行分布。当由软件执行时,基于计算机可读介质上所存储的指令,该方法可以由诸如通用计算机之类的处理器所执行。如果需要,该指令可以以压缩和/或加密格式存储 在介质上。
此外,通过考虑到这里所描述的本发明的说明书和实践方式,示例性实施例的其它实现对于本领域技术人员将是明显的。所描述实施例的各种方面和/或组件可以单独或以任意组合来使用。说明书和示例意在仅被认为是示例性的,其中实施例的实际范围和精神由以下权利要求所指示。
Claims (20)
1.一种耦合至多个客户端计算机以及多个数据服务器的元数据服务器,包括:
存储器,其被配置为存储包括多个第一标识信息的群组和与来自所述多个客户端计算机中的一个客户端计算机相关联的第二标识符信息之间的关系的指示,所述客户端计算机具有访问与所述群组相关的数据的许可,其中所述多个第一标识信息中的每个第一标识信息包括来自所述多个数据服务器中的相应数据服务器的数据,所述多个第一标识信息中的所述每个第一标识信息的所述数据服务器不同于所述多个数据服务器中的与所述多个第一标识信息中的各其他第一标识信息相关联的其他数据服务器;以及
控制器,其可操作以管理所述关系,并且基于在所述存储器中的所述关系对从所述客户端计算机到所述数据服务器的访问进行控制。
2.根据权利要求1的元数据服务器,其中所述第一信息进一步包括所述数据的文件路径信息和文件名信息;
其中所述第二标识信息包括至少一个因特网协议(IP)地址分段;并且
其中所述控制器基于在所述存储器中的所述关系以及所述客户端计算机的地址分段,对来自所述客户端计算机的所述访问进行控制。
3.根据权利要求1的元数据服务器,其中所述第一信息包括所述数据的文件路径信息和块信息;
其中所述第二标识信息包括至少一个因特网小型计算机系统接口限定名(IQN);并且
其中所述控制器基于在所述存储器中的所述关系以及所述客户端计算机的IQN,对来自所述客户端计算机的所述访问进行控制。
4.根据权利要求1的元数据服务器,其中所述第一信息包括所述数据的文件路径信息和块信息;
其中所述第二标识信息包括至少一个光纤通道(FC)全球名称(WWN);并且
其中所述控制器基于在所述存储器中的关系以及所述客户端计算机的所述FC-WWN对来自所述客户端计算机的所述访问进行控制。
5.根据权利要求1的元数据服务器,其中所述存储器进一步存储开放处理程序,所述开放处理程序可操作以对所述多个数据服务器进行配置,从而在以第一模式执行时基于所述第二标识信息控制来自所述多个客户端计算机的访问,并且进一步可操作以生成包括文件句柄的响应。
6.根据权利要求5的元数据服务器,其中所述存储器进一步存储布局处理程序,所述布局处理程序可操作以对所述多个数据服务器进行配置,从而在以第二模式执行时基于所述第二标识信息控制来自所述多个客户端计算机的访问,并且进一步可操作以生成包括布局信息的响应。
7.根据权利要求6的元数据服务器,其中所述控制器被进一步配置为将所述元数据服务器的模式从所述第二模式变为所述第一模式,或者从所述第一模式变为所述第二模式。
8.根据权利要求1的元数据服务器,其中所述控制器响应于创建文件的请求,被配置为基于所述文件来更新所述第一标识信息,并且基于所述请求来更新所述第二标识信息。
9.根据权利要求1的元数据服务器,其中所述元数据服务器被集成到并行网络文件系统(pNFS)中。
10.一种系统,包括:
多个客户端计算机;
多个数据服务器;以及
耦合至所述多个客户端计算机以及所述多个数据服务器的元数据服务器,其包括:
存储器,其被配置为存储包括多个第一标识信息的群组和与来自所述多个客户端计算机中的一个客户端计算机相关联的第二标识符信息之间的关系的指示,所述客户端计算机具有访问与所述群组相关的数据的许可,其中所述多个第一标识信息中的每个第一标识信息包括来自所述多个数据服务器中的相应数据服务器的数据,所述多个第一标识信息中的每个所述第一标识信息的所述数据服务器不同于所述多个数据服务器中的与所述多个第一标识信息中的其他第一标识信息相关联的各其他数据服务器;以及
控制器,其可操作以管理所述关系,并且基于在所述存储器中的所述关系对从所述客户端计算机到所述数据服务器的访问进行控制,其中所述多个第一标识信息中的每个第一标识信息包括来自所述多个数据服务器中的一个数据服务器的数据,所述数据服务器不同于所述多个第一标识信息中的其他第一标识信息的所述数据服务器。
11.根据权利要求10的系统,其中所述第一信息进一步包括所述数据的文件路径信息和文件名信息;
其中所述第二标识信息包括至少一个因特网协议(IP)地址分段;以及
其中所述控制器基于在所述存储器中的所述关系以及所述客户端计算机的地址分段,对来自所述客户端计算机的所述访问进行控制。
12.根据权利要求10的系统,其中所述第一信息包括所述数据的文件路径信息和块信息;
其中所述第二标识信息包括至少一个因特网小型计算机系统接口限定名(IQN);并且
其中所述控制器基于在所述存储器中的所述关系以及所述客户端计算机的IQN,对来自所述客户端计算机的所述访问进行控制。
13.根据权利要求10的系统,其中所述第一信息包括数据的文件路径信息和块信息;
其中所述第二标识信息包括至少一个光纤通道(FC)全球名称(WWN);并且
其中所述控制器基于在所述存储器中的关系以及所述客户端计算机的所述FC-WWN对来自所述客户端计算机的所述访问进行控制。
14.根据权利要求10的系统,其中所述存储器进一步存储开放处理程序,所述开放处理程序可操作以对所述多个数据服务器进行配置,从而在以第一模式执行时基于所述第二标识信息控制来自所述多个客户端计算机的访问,并且进一步可操作以生成包括文件句柄的响应。
15.根据权利要求14的系统,其中所述存储器进一步存储布局处理程序,所述布局处理程序可操作以对所述多个数据服务器进行配置,从而在以第二模式执行时基于所述第二标识信息控制来自所述多个客户端计算机的访问,并且进一步可操作以生成包括布局信息的响应。
16.根据权利要求15的系统,其中所述控制器被进一步配置为将所述元数据服务器的模式从所述第二模式变为所述第一模式,或者从所述第一模式变为所述第二模式。
17.根据权利要求10的系统,其中所述控制器响应于来自所述多个客户端之一的创建文件的请求,被配置为基于所述文件来更新所述第一标识信息,并且基于所述请求来更新所述第二标识信息。
18.根据权利要求10的系统,其中所述系统是并行网络文件系统(pNFS)。
19.一种存储用于操作元数据服务器的指令的非瞬态计算机可读介质,所述指令包括:
管理包括多个第一标识信息的群组和与来自所述多个客户端计算机中的一个客户端计算机相关联的第二标识符信息之间的关系的指示,所述客户端计算机具有访问与所述群组相关的数据的许可,其中所述多个第一标识信息中的每个第一标识信息包括来自所述多个数据服务器中的相应数据服务器的数据,所述多个第一标识信息中的每个第一标识信息的所述数据服务器不同于所述多个数据服务器中的与所述多个第一标识信息中的各其他第一标识信息相关联的其他数据服务器;以及
基于在存储器中的所述关系对从所述客户端计算机到所述数据服务器的访问进行控制。
20.根据权利要求19的非瞬态计算机可读介质,其中所述第一信息包括所述数据的文件路径信息和文件名信息;
其中所述第二标识信息包括至少一个因特网协议(IP)地址分段;并且
其中基于在所述存储器中的所述关系以及所述客户端计算机的地址分段,对来自所述客户端计算机的所述访问进行所述控制。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/456,091 US9064106B2 (en) | 2012-04-25 | 2012-04-25 | Method and apparatus to keep consistency of ACLs among a meta data server and data servers |
| US13/456,091 | 2012-04-25 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103379118A true CN103379118A (zh) | 2013-10-30 |
Family
ID=47355828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104883211A Pending CN103379118A (zh) | 2012-04-25 | 2012-11-22 | 用于在元数据服务器和数据服务器之间保持acl一致性的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9064106B2 (zh) |
| EP (1) | EP2658205A1 (zh) |
| JP (1) | JP5859417B2 (zh) |
| CN (1) | CN103379118A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107968825A (zh) * | 2017-11-28 | 2018-04-27 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN108696496A (zh) * | 2017-03-31 | 2018-10-23 | 慧与发展有限责任合伙企业 | 多协议访问控制列表 |
| CN111597148A (zh) * | 2020-05-14 | 2020-08-28 | 杭州果汁数据科技有限公司 | 用于分布式文件系统的分布式元数据管理方法 |
| CN112689011A (zh) * | 2020-12-24 | 2021-04-20 | 北京浪潮数据技术有限公司 | 一种基于nfs协议的业务传输方法、装置、设备及介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| PL2385656T3 (pl) * | 2010-05-06 | 2013-05-31 | Deutsche Telekom Ag | Sposób i system sterowania komunikacją danych w sieci |
| US20150201016A1 (en) * | 2014-01-14 | 2015-07-16 | Amit Golander | Methods and system for incorporating a direct attached storage to a network attached storage |
| CN107515879B (zh) * | 2016-06-16 | 2021-03-19 | 伊姆西Ip控股有限责任公司 | 用于文档检索的方法和电子设备 |
| CN108768948B (zh) * | 2018-04-28 | 2021-04-16 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
| CN110837647B (zh) * | 2018-08-16 | 2022-11-08 | 迈普通信技术股份有限公司 | 管理访问控制列表的方法及装置 |
| CN109582686B (zh) * | 2018-12-13 | 2021-01-15 | 中山大学 | 分布式元数据管理一致性保证方法、装置、系统及应用 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101449559A (zh) * | 2006-05-23 | 2009-06-03 | 诺燕控股公司 | 分布式存储器 |
| US20110145363A1 (en) * | 2009-12-16 | 2011-06-16 | International Business Machines Corporation | Disconnected file operations in a scalable multi-node file system cache for a remote cluster file system |
| US20110282923A1 (en) * | 2010-05-14 | 2011-11-17 | Fujitsu Limited | File management system, method, and recording medium of program |
| US8086585B1 (en) * | 2008-09-30 | 2011-12-27 | Emc Corporation | Access control to block storage devices for a shared disk based file system |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000010930A (ja) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | ネットワークシステムでのアクセス制御方法 |
| JP4162184B2 (ja) * | 2001-11-14 | 2008-10-08 | 株式会社日立製作所 | データベース管理システムの実行情報を取得する手段を有する記憶装置 |
| US7386546B1 (en) | 2002-07-09 | 2008-06-10 | Network Appliance, Inc. | Metadirectory namespace and method for use of the same |
| JP2005215797A (ja) * | 2004-01-27 | 2005-08-11 | Nec Soft Okinawa Ltd | 端末装置、サーバ、グループウェアシステム、グループウェア方法、および、グループウェアプログラム |
| JP4484597B2 (ja) * | 2004-06-28 | 2010-06-16 | 株式会社日立製作所 | ストレージ装置及びストレージ装置の排他制御方法 |
| WO2007043659A1 (ja) * | 2005-10-13 | 2007-04-19 | Ntt Docomo, Inc. | 携帯端末、アクセス制御管理装置及びアクセス制御管理方法 |
| WO2009032710A2 (en) * | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Filing system and method for data files stored in a distributed communications network |
| US8825789B2 (en) * | 2008-12-16 | 2014-09-02 | Netapp, Inc. | Method and apparatus to implement a hierarchical cache system with pNFS |
| US7966383B2 (en) * | 2009-03-27 | 2011-06-21 | Business Objects Software Ltd. | Client-server systems and methods for accessing metadata information across a network using proxies |
| JP5595701B2 (ja) * | 2009-09-16 | 2014-09-24 | 株式会社日立製作所 | ファイル管理方法及びストレージシステム |
| JP2011232834A (ja) * | 2010-04-23 | 2011-11-17 | Fujitsu Ltd | データ分散プログラム、データ復元プログラム、データ分散装置、データ復元装置、データ分散方法、およびデータ復元方法 |
| JP5300794B2 (ja) * | 2010-06-15 | 2013-09-25 | 中国電力株式会社 | コンテンツサーバ及びアクセス制御システム |
| US8719389B2 (en) * | 2010-10-29 | 2014-05-06 | Dell Products L.P. | System and method for an access controller assisted boot |
-
2012
- 2012-04-25 US US13/456,091 patent/US9064106B2/en not_active Expired - Fee Related
- 2012-11-12 JP JP2012248029A patent/JP5859417B2/ja not_active Expired - Fee Related
- 2012-11-22 CN CN2012104883211A patent/CN103379118A/zh active Pending
- 2012-11-23 EP EP12194096.9A patent/EP2658205A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101449559A (zh) * | 2006-05-23 | 2009-06-03 | 诺燕控股公司 | 分布式存储器 |
| US8086585B1 (en) * | 2008-09-30 | 2011-12-27 | Emc Corporation | Access control to block storage devices for a shared disk based file system |
| US20110145363A1 (en) * | 2009-12-16 | 2011-06-16 | International Business Machines Corporation | Disconnected file operations in a scalable multi-node file system cache for a remote cluster file system |
| US20110282923A1 (en) * | 2010-05-14 | 2011-11-17 | Fujitsu Limited | File management system, method, and recording medium of program |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696496A (zh) * | 2017-03-31 | 2018-10-23 | 慧与发展有限责任合伙企业 | 多协议访问控制列表 |
| CN108696496B (zh) * | 2017-03-31 | 2020-12-01 | 慧与发展有限责任合伙企业 | 多协议访问控制方法及存储系统 |
| CN107968825A (zh) * | 2017-11-28 | 2018-04-27 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN107968825B (zh) * | 2017-11-28 | 2021-06-29 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN111597148A (zh) * | 2020-05-14 | 2020-08-28 | 杭州果汁数据科技有限公司 | 用于分布式文件系统的分布式元数据管理方法 |
| CN111597148B (zh) * | 2020-05-14 | 2023-09-19 | 杭州果汁数据科技有限公司 | 用于分布式文件系统的分布式元数据管理方法 |
| CN112689011A (zh) * | 2020-12-24 | 2021-04-20 | 北京浪潮数据技术有限公司 | 一种基于nfs协议的业务传输方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2658205A1 (en) | 2013-10-30 |
| US9064106B2 (en) | 2015-06-23 |
| JP2013228998A (ja) | 2013-11-07 |
| JP5859417B2 (ja) | 2016-02-10 |
| US20130291066A1 (en) | 2013-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103379118A (zh) | 用于在元数据服务器和数据服务器之间保持acl一致性的方法和装置 | |
| US12001688B2 (en) | Utilizing data views to optimize secure data access in a storage system | |
| US11632360B1 (en) | Remote access to a storage device | |
| EP1965333B1 (en) | File server for translating user identifier | |
| WO2014057520A1 (en) | Migration-destination file server and file system migration method | |
| US20140019497A1 (en) | Modification of files within a cloud computing environment | |
| US7752401B2 (en) | Method and apparatus to automatically commit files to WORM status | |
| US20140019498A1 (en) | System, method and computer readable medium for file management | |
| US8407241B2 (en) | Content mesh searching | |
| US10009399B2 (en) | Asset streaming and delivery | |
| US20210055885A1 (en) | Enhanced data access using composite data views | |
| CN112889054A (zh) | 多租户数据库管理系统中数据库加密的系统和方法 | |
| US20150066873A1 (en) | Policy based deduplication techniques | |
| US20100042719A1 (en) | Content access to virtual machine resource | |
| US8601147B2 (en) | Export of metadata streams to applications | |
| CN104508666A (zh) | 对备份数据进行编目 | |
| US20140358868A1 (en) | Life cycle management of metadata | |
| CN114116684B (zh) | 基于Docker容器化的深度学习大模型与大数据集版本管理方法 | |
| US9177034B2 (en) | Searchable data in an object storage system | |
| KR101666064B1 (ko) | 분산 파일 시스템에서 url정보를 이용한 데이터 관리 장치 및 그 방법 | |
| US20240135028A1 (en) | System and method of dynamic search result permission checking | |
| RU2446460C1 (ru) | Способ и система фильтрации веб-контента | |
| JP2010079444A (ja) | メタデータによるファイル管理方法及びシステム | |
| Mirajkar et al. | Perform wordcount map-reduce job in single node apache hadoop cluster and compress data using lempel-ziv-oberhumer (lzo) algorithm | |
| Jiang et al. | VESS: An unstructured data-oriented storage system for multi-disciplined virtual experiment platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131030 |