JP2002318700A - 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム - Google Patents
仮想計算機システムの運用管理情報提供制御方法および仮想計算機システムInfo
- Publication number
- JP2002318700A JP2002318700A JP2001120944A JP2001120944A JP2002318700A JP 2002318700 A JP2002318700 A JP 2002318700A JP 2001120944 A JP2001120944 A JP 2001120944A JP 2001120944 A JP2001120944 A JP 2001120944A JP 2002318700 A JP2002318700 A JP 2002318700A
- Authority
- JP
- Japan
- Prior art keywords
- operation management
- management information
- virtual machine
- virtual
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 仮想計算機の運用管理情報の機密保護の確保
と提供する運用管理情報の傍受や改竄を防止する。 【解決手段】 仮想計算機システム100の運用管理者
が、仮想計算機制御プログラム111の制御情報格納領
域113に、仮想計算機114A〜114C毎に運用管
理情報の提供の有効性及び提供する情報の種類、更に
は、仮想計算機や他系計算機システム101、102毎
に運用管理情報に対するアクセス権の有効性などを含む
制御情報を設定する。仮想計算機制御プログラム111
は、ある仮想計算機や他系計算機システムから運用管理
情報提供の要求を受けると、制御情報格納領域113に
設定された制御情報に従って、要求元のアクセス権の有
無や提供する運用管理情報を制御する。
と提供する運用管理情報の傍受や改竄を防止する。 【解決手段】 仮想計算機システム100の運用管理者
が、仮想計算機制御プログラム111の制御情報格納領
域113に、仮想計算機114A〜114C毎に運用管
理情報の提供の有効性及び提供する情報の種類、更に
は、仮想計算機や他系計算機システム101、102毎
に運用管理情報に対するアクセス権の有効性などを含む
制御情報を設定する。仮想計算機制御プログラム111
は、ある仮想計算機や他系計算機システムから運用管理
情報提供の要求を受けると、制御情報格納領域113に
設定された制御情報に従って、要求元のアクセス権の有
無や提供する運用管理情報を制御する。
Description
【0001】
【発明の属する技術分野】本発明は、仮想計算機制御プ
ログラムが複数の仮想計算機を制御して実現する仮想計
算機システムに係わり、特に各仮想計算機に属する運用
管理情報の提供制御において該運用管理情報の機密保護
等を実施する技術に関する。
ログラムが複数の仮想計算機を制御して実現する仮想計
算機システムに係わり、特に各仮想計算機に属する運用
管理情報の提供制御において該運用管理情報の機密保護
等を実施する技術に関する。
【0002】
【従来の技術】従来、仮想計算機システムにおいては、
仮想計算機の負荷調整、適正なシステム資源の割当ての
決定、使用料の算出、高可用性の実現、あるいは、不正
使用の監視を目的として、仮想計算機システム外の計算
機システム(他系計算機システム)または仮想計算機シ
ステム内の仮想計算機から、或る仮想計算機または全仮
想計算機の構成情報、ログ情報、あるいは、システム資
源使用率のモニタリング情報等の運用管理情報を取得す
ることが可能であった。
仮想計算機の負荷調整、適正なシステム資源の割当ての
決定、使用料の算出、高可用性の実現、あるいは、不正
使用の監視を目的として、仮想計算機システム外の計算
機システム(他系計算機システム)または仮想計算機シ
ステム内の仮想計算機から、或る仮想計算機または全仮
想計算機の構成情報、ログ情報、あるいは、システム資
源使用率のモニタリング情報等の運用管理情報を取得す
ることが可能であった。
【0003】
【発明が解決しようとする課題】上述の従来技術におい
ては、運用管理情報の機密保護の確保が必要とされる仮
想計算機に対しての配慮がされておらず、また、他系計
算機システムからのアクセス時において、運用管理情報
の傍受や改竄についての配慮がされていないか、あるい
は、アクセス経路が固定されている、または、特定の他
系計算機システムからのアクセスのみを許していて、仮
想計算機システムの柔軟な運用管理ができないと言う不
具合があった。
ては、運用管理情報の機密保護の確保が必要とされる仮
想計算機に対しての配慮がされておらず、また、他系計
算機システムからのアクセス時において、運用管理情報
の傍受や改竄についての配慮がされていないか、あるい
は、アクセス経路が固定されている、または、特定の他
系計算機システムからのアクセスのみを許していて、仮
想計算機システムの柔軟な運用管理ができないと言う不
具合があった。
【0004】本発明の目的は、取得できる運用管理情報
の種類やアクセス権の制限を設けることにより、仮想計
算機の運用管理情報の機密保護の確保と提供する運用管
理情報の傍受や改竄を防止して、仮想計算機システムの
柔軟な運用管理を可能とすることにある。
の種類やアクセス権の制限を設けることにより、仮想計
算機の運用管理情報の機密保護の確保と提供する運用管
理情報の傍受や改竄を防止して、仮想計算機システムの
柔軟な運用管理を可能とすることにある。
【0005】
【課題を解決するための手段】本発明は、仮想計算機制
御プログラムが複数の仮想計算機を制御する仮想計算機
システムにおいて、仮想計算機毎に運用管理情報の提供
の有効性及び提供する情報の種類等を指定した運用管理
情報提供のための制御情報を保持し、仮想計算機制御プ
ログラムは、仮想計算機あるいは他系計算機システムか
ら運用管理情報提供の要求を受け付けると、前記制御情
報に従って対象仮想計算機の運用管理情報の提供を制御
することを特徴とする。
御プログラムが複数の仮想計算機を制御する仮想計算機
システムにおいて、仮想計算機毎に運用管理情報の提供
の有効性及び提供する情報の種類等を指定した運用管理
情報提供のための制御情報を保持し、仮想計算機制御プ
ログラムは、仮想計算機あるいは他系計算機システムか
ら運用管理情報提供の要求を受け付けると、前記制御情
報に従って対象仮想計算機の運用管理情報の提供を制御
することを特徴とする。
【0006】また、本発明は、運用管理情報提供のため
の制御情報は、仮想計算機あるいは他系計算機システム
毎に運用管理情報に対するアクセス権の有効性を含み、
仮想計算機制御プログラムは、仮想計算機あるいは他系
計算機システムから運用管理情報提供の要求を受け付け
ると、当該要求元のアクセス権の有無を判定することを
特徴とする。
の制御情報は、仮想計算機あるいは他系計算機システム
毎に運用管理情報に対するアクセス権の有効性を含み、
仮想計算機制御プログラムは、仮想計算機あるいは他系
計算機システムから運用管理情報提供の要求を受け付け
ると、当該要求元のアクセス権の有無を判定することを
特徴とする。
【0007】また、本発明は、運用管理情報提供のため
の制御情報は、アクセス権を有する他系計算機システム
に対しては、アクセス時の正当なアクセス経路と識別子
からなる認証情報を含み、仮想計算機制御プログラム
は、他系計算機システムから運用管理情報提供の要求を
受け付けると、当該他系計算機システムのアクセス権の
有無とともにアクセスの正当性を判定することを特徴と
する。
の制御情報は、アクセス権を有する他系計算機システム
に対しては、アクセス時の正当なアクセス経路と識別子
からなる認証情報を含み、仮想計算機制御プログラム
は、他系計算機システムから運用管理情報提供の要求を
受け付けると、当該他系計算機システムのアクセス権の
有無とともにアクセスの正当性を判定することを特徴と
する。
【0008】更には本発明は、運用管理情報提供のため
の制御情報は、アクセス権を有する仮想計算機あるいは
他系計算機システムに対して、どの仮想計算機の運用管
理情報にアクセス許可するかを示す詳細情報を含み、仮
想計算機制御プログラムは、仮想計算機あるいは他系計
算機システムから運用管理情報提供の要求を受け付ける
と、要求元のアクセス権の有無とともに要求先の仮想計
算機に対するアクセス許可の有無を判定することを特徴
とする。
の制御情報は、アクセス権を有する仮想計算機あるいは
他系計算機システムに対して、どの仮想計算機の運用管
理情報にアクセス許可するかを示す詳細情報を含み、仮
想計算機制御プログラムは、仮想計算機あるいは他系計
算機システムから運用管理情報提供の要求を受け付ける
と、要求元のアクセス権の有無とともに要求先の仮想計
算機に対するアクセス許可の有無を判定することを特徴
とする。
【0009】
【発明の実施の形態】以下、本発明の一実施形態による
仮想計算機システムの運用管理情報の機密保護等を実施
する方法を図面を参照して詳細に説明する。
仮想計算機システムの運用管理情報の機密保護等を実施
する方法を図面を参照して詳細に説明する。
【0010】図1は、本発明の一実施形態のシステム構
成を示すブロック図である。本システムは、仮想計算機
システム100と、これに接続されている他系計算機シ
ステム101(計算機システム1)と他系計算機システ
ム102(計算機システム2)および管理者用コンソー
ル150から構成されている。仮想計算機システム10
0は、メモリ110、メモリコントローラ120、CP
U130、入出力装置140の実計算機資源を使用して
構成され、メモリ110は仮想計算機制御プログラム
(VMCP)111の制御下で、本実施形態では仮想計
算機114A(仮想計算機A)、仮想計算機114B
(仮想計算機B)、仮想計算機114C(仮想計算機
C)の領域に論理的に分割されている。仮想計算機制御
プログラム111は、仮想計算機114A、仮想計算機
114B、仮想計算機114Cの各構成情報を格納して
いる構成情報格納領域112と提供運用管理情報を提供
制御するための制御情報を格納している制御情報格納領
域113の領域を保持している。仮想計算機114Aは
CPU利用率、メモリ利用率、ログ情報を格納するため
の領域であるログ領域115Aを持っている。仮想計算
機114B、仮想計算機114Cについても同様であ
る。
成を示すブロック図である。本システムは、仮想計算機
システム100と、これに接続されている他系計算機シ
ステム101(計算機システム1)と他系計算機システ
ム102(計算機システム2)および管理者用コンソー
ル150から構成されている。仮想計算機システム10
0は、メモリ110、メモリコントローラ120、CP
U130、入出力装置140の実計算機資源を使用して
構成され、メモリ110は仮想計算機制御プログラム
(VMCP)111の制御下で、本実施形態では仮想計
算機114A(仮想計算機A)、仮想計算機114B
(仮想計算機B)、仮想計算機114C(仮想計算機
C)の領域に論理的に分割されている。仮想計算機制御
プログラム111は、仮想計算機114A、仮想計算機
114B、仮想計算機114Cの各構成情報を格納して
いる構成情報格納領域112と提供運用管理情報を提供
制御するための制御情報を格納している制御情報格納領
域113の領域を保持している。仮想計算機114Aは
CPU利用率、メモリ利用率、ログ情報を格納するため
の領域であるログ領域115Aを持っている。仮想計算
機114B、仮想計算機114Cについても同様であ
る。
【0011】メモリコントローラ120、CPU13
0、入出力装置140の各ハードウェア資源は、同じく
仮想計算機制御プログラム111の制御下で論理的に分
割され、それぞれ仮想計算機114Aに対するハードウ
ェア資源であるメモリコントローラ120A、CPU1
30A、入出力装置140Aとして割当てられている。
仮想計算機114Aに割当てられたハードウェア資源で
あるメモリコントローラ120A、CPU130A、入
出力装置140Aは、それぞれ仮想計算機114Aに関
する監視情報であるメモリコントローラ監視情報121
A、CPU監視情報131A、入出力装置監視情報14
1Aを保持している。図1では省略したが、同様に仮想
計算機114Bおよび仮想計算機114Cに対してもメ
モリコントローラ120、CPU130、入出力装置1
40が割当てられ、それぞれ仮想計算機114Bおよび
仮想計算機114Cに関する監視情報を保持している。
0、入出力装置140の各ハードウェア資源は、同じく
仮想計算機制御プログラム111の制御下で論理的に分
割され、それぞれ仮想計算機114Aに対するハードウ
ェア資源であるメモリコントローラ120A、CPU1
30A、入出力装置140Aとして割当てられている。
仮想計算機114Aに割当てられたハードウェア資源で
あるメモリコントローラ120A、CPU130A、入
出力装置140Aは、それぞれ仮想計算機114Aに関
する監視情報であるメモリコントローラ監視情報121
A、CPU監視情報131A、入出力装置監視情報14
1Aを保持している。図1では省略したが、同様に仮想
計算機114Bおよび仮想計算機114Cに対してもメ
モリコントローラ120、CPU130、入出力装置1
40が割当てられ、それぞれ仮想計算機114Bおよび
仮想計算機114Cに関する監視情報を保持している。
【0012】ここで、仮想計算機プログラム111内の
構成情報、各仮想計算機114A、114B、114C
内のログ情報、メモリコントローラ120、CPU13
0、入出力装置140内の各仮想計算機に関する監視情
報を、まとめて仮想計算機の運用管理情報と称す。仮想
計算機制御プログラム111は、後述するように、仮想
計算機114A、11B、114Cあるいは他系計算機
システム101、102から運用管理情報の提供要求が
あると、制御情報格納領域113の制御情報をもとに、
アクセス権の有無、アクセス許可、提供情報を制御す
る。制御情報格納領域113の制御情報は、仮想計算機
毎に運用管理情報の提供条件とアクセス制御情報に大別
され、随時、仮想計算機システム100の運用管理者が
管理者用コンソール150を用いて設定・変更すること
が可能である。
構成情報、各仮想計算機114A、114B、114C
内のログ情報、メモリコントローラ120、CPU13
0、入出力装置140内の各仮想計算機に関する監視情
報を、まとめて仮想計算機の運用管理情報と称す。仮想
計算機制御プログラム111は、後述するように、仮想
計算機114A、11B、114Cあるいは他系計算機
システム101、102から運用管理情報の提供要求が
あると、制御情報格納領域113の制御情報をもとに、
アクセス権の有無、アクセス許可、提供情報を制御す
る。制御情報格納領域113の制御情報は、仮想計算機
毎に運用管理情報の提供条件とアクセス制御情報に大別
され、随時、仮想計算機システム100の運用管理者が
管理者用コンソール150を用いて設定・変更すること
が可能である。
【0013】次に、仮想計算機システム100の運用管
理者が、仮想計算機制御プログラム111の制御情報格
納領域113に制御情報を設定する処理の流れを図2を
参照して説明する。
理者が、仮想計算機制御プログラム111の制御情報格
納領域113に制御情報を設定する処理の流れを図2を
参照して説明する。
【0014】まず、各仮想計算機毎に運用管理情報の提
供を許可するか否かを指定する(ステップ201)。図
3は、運用管理者がステップ201で指定する時の設定
画面の設定例を示す。図3で示すように、運用管理者が
各仮想計算機毎に運用管理情報の提供を許可するか否か
を選択して指定する。図3の設定例では、仮想計算機A
の運用管理情報の提供は許可して、仮想計算機B及び仮
想計算機Cの運用管理情報の提供は許可しないことを示
している。
供を許可するか否かを指定する(ステップ201)。図
3は、運用管理者がステップ201で指定する時の設定
画面の設定例を示す。図3で示すように、運用管理者が
各仮想計算機毎に運用管理情報の提供を許可するか否か
を選択して指定する。図3の設定例では、仮想計算機A
の運用管理情報の提供は許可して、仮想計算機B及び仮
想計算機Cの運用管理情報の提供は許可しないことを示
している。
【0015】次に、ステップ201で運用管理情報の提
供を許可した各仮想計算機に対して提供する運用管理情
報の詳細を指定する(ステップ202)。ステップ20
2は、提供する運用管理情報の種類により、ステップ2
02A、ステップ202B、ステップ202Cの三つの
ステップに分かれる。ステップ202Aでは、構成情報
格納領域112に格納されている構成情報の中で対象仮
想計算機に関する情報に対して提供する運用管理情報の
種類を指定し、ステップ202Bでは、割当てられてい
る各ハードウェア資源が保持している監視情報(対象仮
想計算機が仮想計算機114Aの場合、メモリコントロ
ーラ監視情報121A、CPU監視情報131A、入出
力装置監視情報141Aと同じ)に対して提供する運用
管理情報の種類を指定し、ステップ202Cでは、仮想
計算機のログ領域(対象仮想計算機が仮想計算機114
Aの場合、ログ領域115Aと同じ)に格納されている
情報に対して提供する運用管理情報の種類を指定する。
供を許可した各仮想計算機に対して提供する運用管理情
報の詳細を指定する(ステップ202)。ステップ20
2は、提供する運用管理情報の種類により、ステップ2
02A、ステップ202B、ステップ202Cの三つの
ステップに分かれる。ステップ202Aでは、構成情報
格納領域112に格納されている構成情報の中で対象仮
想計算機に関する情報に対して提供する運用管理情報の
種類を指定し、ステップ202Bでは、割当てられてい
る各ハードウェア資源が保持している監視情報(対象仮
想計算機が仮想計算機114Aの場合、メモリコントロ
ーラ監視情報121A、CPU監視情報131A、入出
力装置監視情報141Aと同じ)に対して提供する運用
管理情報の種類を指定し、ステップ202Cでは、仮想
計算機のログ領域(対象仮想計算機が仮想計算機114
Aの場合、ログ領域115Aと同じ)に格納されている
情報に対して提供する運用管理情報の種類を指定する。
【0016】図4は、運用管理者がステップ202で指
定する時の設定画面の設定例を示す。図4で示すよう
に、運用管理者が提供可能な運用管理情報の種類毎に運
用管理情報の提供を許可するか否かを選択して指定す
る。図4の設定例では、ステップ202Aに関しては、
仮想計算機Aの入出力装置の構成情報の提供を許可し、
メモリの構成情報及びCPUの構成情報の提供を許可し
ないことを示し、また、ステップ202Bに関しては、
仮想計算機Aに割当てられているハードウェア資源の中
で入出力装置であるディスク装置及びネットワーク装置
が保持している監視情報の提供を許可し、メモリコント
ローラ及びCPUが保持している監視情報の提供を許可
しないことを示し、そして、ステップ202Cに関して
は、仮想計算機AのCPU利用率及びネットワークのロ
グ情報の提供を許可し、メモリ利用率及び出力メッセー
ジのログ情報の提供を許可しないことを示している。
定する時の設定画面の設定例を示す。図4で示すよう
に、運用管理者が提供可能な運用管理情報の種類毎に運
用管理情報の提供を許可するか否かを選択して指定す
る。図4の設定例では、ステップ202Aに関しては、
仮想計算機Aの入出力装置の構成情報の提供を許可し、
メモリの構成情報及びCPUの構成情報の提供を許可し
ないことを示し、また、ステップ202Bに関しては、
仮想計算機Aに割当てられているハードウェア資源の中
で入出力装置であるディスク装置及びネットワーク装置
が保持している監視情報の提供を許可し、メモリコント
ローラ及びCPUが保持している監視情報の提供を許可
しないことを示し、そして、ステップ202Cに関して
は、仮想計算機AのCPU利用率及びネットワークのロ
グ情報の提供を許可し、メモリ利用率及び出力メッセー
ジのログ情報の提供を許可しないことを示している。
【0017】次に、提供される運用管理情報にアクセス
可能な計算機(仮想計算機システム内の仮想計算機及び
他系計算機システム)に対してアクセス権の有無(有効
性)を指定する(ステップ203)。図5は、運用管理
者がステップ203で指定する時の設定画面の設定例を
示す。図5で示すように、運用管理者が各仮想計算機毎
及び各他系計算機システム毎にアクセス権の有無を選択
して指定する。図5の設定例では仮想計算機C及び他系
計算機システムである計算機システム1に対してアクセ
ス権が有ることを指定して、仮想計算機A、仮想計算機
B及び他系計算機システムである計算機システム2には
アクセス権が無いことを指定していることを示してい
る。
可能な計算機(仮想計算機システム内の仮想計算機及び
他系計算機システム)に対してアクセス権の有無(有効
性)を指定する(ステップ203)。図5は、運用管理
者がステップ203で指定する時の設定画面の設定例を
示す。図5で示すように、運用管理者が各仮想計算機毎
及び各他系計算機システム毎にアクセス権の有無を選択
して指定する。図5の設定例では仮想計算機C及び他系
計算機システムである計算機システム1に対してアクセ
ス権が有ることを指定して、仮想計算機A、仮想計算機
B及び他系計算機システムである計算機システム2には
アクセス権が無いことを指定していることを示してい
る。
【0018】次に、ステップ203で他系計算機システ
ムに対してアクセス権が有ることを指定した場合、該他
系計算機システムからのアクセス時のアクセス経路と識
別子を指定する(ステップ204)。図6は、運用管理
者がステップ204で指定する時の設定画面の設定例を
示す。図6で示すように、運用管理者が対象他計算機シ
ステムに対してアクセス経路を選択して指定すると共
に、アクセス時の認証用の識別子を指定する。図6の設
定例では、計算機システム1に対してアクセス経路はシ
ステム制御バス1を指定し、また、アクセス時の認証用
の識別子を入力したことを示している。
ムに対してアクセス権が有ることを指定した場合、該他
系計算機システムからのアクセス時のアクセス経路と識
別子を指定する(ステップ204)。図6は、運用管理
者がステップ204で指定する時の設定画面の設定例を
示す。図6で示すように、運用管理者が対象他計算機シ
ステムに対してアクセス経路を選択して指定すると共
に、アクセス時の認証用の識別子を指定する。図6の設
定例では、計算機システム1に対してアクセス経路はシ
ステム制御バス1を指定し、また、アクセス時の認証用
の識別子を入力したことを示している。
【0019】次に、ステップ203でアクセス権が有る
ことを指定した仮想計算機や他系計算機システムに対し
て、ステップ201で運用管理情報の提供を許可した仮
想計算機の中で、どの仮想計算機の運用管理情報にアク
セス許可するかどうかを指定する(ステップ205)。
図7及び図8は、運用管理者がステップ205で指定す
る時の設定画面の設定例を示す。図7及び図8で示すよ
うに、運用管理者が対象仮想計算機及び対象他系計算機
システムに対して運用管理情報の提供可能な仮想計算機
毎に運用管理情報にアクセス許可するかどうかを指定す
る。
ことを指定した仮想計算機や他系計算機システムに対し
て、ステップ201で運用管理情報の提供を許可した仮
想計算機の中で、どの仮想計算機の運用管理情報にアク
セス許可するかどうかを指定する(ステップ205)。
図7及び図8は、運用管理者がステップ205で指定す
る時の設定画面の設定例を示す。図7及び図8で示すよ
うに、運用管理者が対象仮想計算機及び対象他系計算機
システムに対して運用管理情報の提供可能な仮想計算機
毎に運用管理情報にアクセス許可するかどうかを指定す
る。
【0020】図3の設定例で示したように、本実施例で
は運用管理情報の提供可能な仮想計算機は仮想計算機A
(#1)だけで、仮想計算機B及び仮想計算機Cは運用
管理情報の提供は許可されていない。図7の設定例で
は、仮想計算機Cに対しては、該仮想計算機Aの運用管
理情報にアクセス許可することを示し、図8の設定例で
は、計算機システム1に対しては、該仮想計算機Aの運
用管理情報にはアクセス不許可とすることを示してい
る。これにより、ステップ203で運用管理情報にアク
セス権が有りと指定した仮想計算機や他系計算機システ
ムであっても、特定の仮想計算機の運用管理情報に対し
ては不許可とすることが可能で、運用管理情報のきめこ
まかな機密保護が実現する。
は運用管理情報の提供可能な仮想計算機は仮想計算機A
(#1)だけで、仮想計算機B及び仮想計算機Cは運用
管理情報の提供は許可されていない。図7の設定例で
は、仮想計算機Cに対しては、該仮想計算機Aの運用管
理情報にアクセス許可することを示し、図8の設定例で
は、計算機システム1に対しては、該仮想計算機Aの運
用管理情報にはアクセス不許可とすることを示してい
る。これにより、ステップ203で運用管理情報にアク
セス権が有りと指定した仮想計算機や他系計算機システ
ムであっても、特定の仮想計算機の運用管理情報に対し
ては不許可とすることが可能で、運用管理情報のきめこ
まかな機密保護が実現する。
【0021】次に、上述のようにして制御情報格納領域
113に設定された制御情報をもとに、仮想計算機制御
プログラム111が運用管理情報の提供制御を行う処理
の流れを図9を参照して説明する。
113に設定された制御情報をもとに、仮想計算機制御
プログラム111が運用管理情報の提供制御を行う処理
の流れを図9を参照して説明する。
【0022】まず、仮想計算機制御プログラム111が
仮想計算機システム100内の仮想計算機114A〜1
14Cまたは他系計算機システム101、102から運
用管理情報提供の要求を受け付けると(ステップ90
1)、制御情報格納領域113に格納されている制御情
報中のアクセス権設定内容(図5)により、要求元のア
クセス権の有無を判定し(ステップ902)、アクセス
権が無い場合は、要求元の仮想計算機や他系計算機シス
テムに対して要求は処理できないことを報告する(ステ
ップ907)。一方、要求元にアクセス権がある場合、
次に仮想計算機制御プログラム111は、仮想計算機シ
ステム100内の仮想計算機114A〜114Cからの
要求かそれとも他系計算機システム101、102から
の要求かどうか判定する(ステップ903)。そして、
他系計算機システムからの場合、仮想計算機制御プログ
ラム111は、制御情報中の認証設定情報(図6)を用
いてアクセス経路と識別子による認証を行い(ステップ
904、905)、アクセス経路と識別子の少なくとも
一方が不正の場合は、要求元の他系計算機システムに対
して要求は処理できないことを報告をする(ステップ9
07)。
仮想計算機システム100内の仮想計算機114A〜1
14Cまたは他系計算機システム101、102から運
用管理情報提供の要求を受け付けると(ステップ90
1)、制御情報格納領域113に格納されている制御情
報中のアクセス権設定内容(図5)により、要求元のア
クセス権の有無を判定し(ステップ902)、アクセス
権が無い場合は、要求元の仮想計算機や他系計算機シス
テムに対して要求は処理できないことを報告する(ステ
ップ907)。一方、要求元にアクセス権がある場合、
次に仮想計算機制御プログラム111は、仮想計算機シ
ステム100内の仮想計算機114A〜114Cからの
要求かそれとも他系計算機システム101、102から
の要求かどうか判定する(ステップ903)。そして、
他系計算機システムからの場合、仮想計算機制御プログ
ラム111は、制御情報中の認証設定情報(図6)を用
いてアクセス経路と識別子による認証を行い(ステップ
904、905)、アクセス経路と識別子の少なくとも
一方が不正の場合は、要求元の他系計算機システムに対
して要求は処理できないことを報告をする(ステップ9
07)。
【0023】次に、アクセス権有りの要求元が仮想計算
機の場合、あるいは、アクセス権有りの要求元が他系計
算システムでアクセス経路及び識別子が正しい場合、仮
想計算機制御プログラム111は、制御情報中の運用管
理情報アクセス制御の詳細設定内容(図7、図8)によ
り、アクセス要求先の仮想計算機へアクセス可能かどう
かを判定し(ステップ906)、アクセス不許可の場
合、要求元の仮想計算機あるいは他系計算機システムに
対して要求は処理できないことを報告をする(ステップ
907)。ステップ906でアクセス許可が判定された
場合、仮想計算機制御プログラム111は、制御情報内
の運用管理情報提供の詳細設定内容(図4)に従って、
仮想計算機システム100内のアクセス要求先仮想計算
機に属する提供可能な運用管理情報のみを取得し(ステ
ップ908)、その取得した運用管理情報を要求元の仮
想計算機あるいは他系計算機システムに報告する(ステ
ップ909)。
機の場合、あるいは、アクセス権有りの要求元が他系計
算システムでアクセス経路及び識別子が正しい場合、仮
想計算機制御プログラム111は、制御情報中の運用管
理情報アクセス制御の詳細設定内容(図7、図8)によ
り、アクセス要求先の仮想計算機へアクセス可能かどう
かを判定し(ステップ906)、アクセス不許可の場
合、要求元の仮想計算機あるいは他系計算機システムに
対して要求は処理できないことを報告をする(ステップ
907)。ステップ906でアクセス許可が判定された
場合、仮想計算機制御プログラム111は、制御情報内
の運用管理情報提供の詳細設定内容(図4)に従って、
仮想計算機システム100内のアクセス要求先仮想計算
機に属する提供可能な運用管理情報のみを取得し(ステ
ップ908)、その取得した運用管理情報を要求元の仮
想計算機あるいは他系計算機システムに報告する(ステ
ップ909)。
【0024】以上のように、本実施形態によれば、仮想
計算機システム100の運用管理者が仮想計算機制御プ
ログラム111に対して、仮想計算機114A〜114
C毎に、運用管理情報の提供の有効性及び提供する情報
の種類を指定し、また、運用管理情報にアクセス可能な
仮想計算機及び他系計算機システム毎にアクセス権を指
定し、更に、他系計算機システムには認証情報を指定す
ることにより、仮想計算機制御プログラムは指定された
制御情報に従ってきめこまかに仮想計算機の運用管理情
報の提供の制御を行うことができる。
計算機システム100の運用管理者が仮想計算機制御プ
ログラム111に対して、仮想計算機114A〜114
C毎に、運用管理情報の提供の有効性及び提供する情報
の種類を指定し、また、運用管理情報にアクセス可能な
仮想計算機及び他系計算機システム毎にアクセス権を指
定し、更に、他系計算機システムには認証情報を指定す
ることにより、仮想計算機制御プログラムは指定された
制御情報に従ってきめこまかに仮想計算機の運用管理情
報の提供の制御を行うことができる。
【0025】
【発明の効果】本発明により、仮想計算機の機密保護の
確保と提供する運用管理情報の傍受や改竄を防止すると
共に、仮想計算機システムの柔軟な運用管理を可能とす
ることができる。
確保と提供する運用管理情報の傍受や改竄を防止すると
共に、仮想計算機システムの柔軟な運用管理を可能とす
ることができる。
【図1】本発明の一実施形態の仮想計算機システムの構
成を示すブロック図である。
成を示すブロック図である。
【図2】運用管理者が制御情報を設定する時の処理の流
れを示す図である。
れを示す図である。
【図3】図2の運用管理情報提供の設定での設定例を示
す図である。
す図である。
【図4】図2の運用管理情報提供の詳細設定での設定例
を示す図である。
を示す図である。
【図5】図2の運用管理情報アクセス制御の設定での設
定例を示す図である。
定例を示す図である。
【図6】図2の運用管理情報アクセス制御の認証設定で
の設定例を示す図である。
の設定例を示す図である。
【図7】図2の運用管理情報アクセス制御の詳細設定で
の設定例を示す図である。
の設定例を示す図である。
【図8】図2の運用管理情報アクセス制御の詳細設定で
の設定例を示す図である。
の設定例を示す図である。
【図9】仮想計算機制御プログラムが運用管理情報のア
クセス制御を行う時の処理の流れを示す図である。
クセス制御を行う時の処理の流れを示す図である。
100 仮想計算機システム 101、102 他系計算機システム 110 メモリ 111 仮想計算機制御プログラム 112 構成情報格納領域 113 制御情報格納領域 114 仮想計算機 115 ログ領域 120 メモリコントローラ 121 メモリコントローラ監視情報 130 CPU 131 CPU監視情報 140 入出力装置 141 入出力装置監視情報 150 管理者用コンソール装置
Claims (5)
- 【請求項1】 仮想計算機制御プログラムが複数の仮想
計算機を制御する仮想計算機システムにおいて、仮想計
算機の運用管理情報を仮想計算機あるいは他系計算機シ
ステムに提供する制御方法であって、 仮想計算機毎に少なくとも運用管理情報の提供の有効性
及び提供する情報の種類を指定した運用管理情報提供の
ための制御情報を保持し、 仮想計算機制御プログラムは、仮想計算機あるいは他系
計算機システムから運用管理情報提供の要求を受け付け
ると、前記制御情報に従って対象仮想計算機の運用管理
情報の提供を制御することを特徴とする仮想計算機シス
テムの運用管理情報提供制御方法。 - 【請求項2】 請求項1記載の仮想計算機システムの運
用管理情報提供制御方法において、 運用管理情報提供のための制御情報は、仮想計算機ある
いは他系計算機システム毎に運用管理情報に対するアク
セス権の有効性を含み、 仮想計算機制御プログラムは、仮想計算機あるいは他系
計算機システムから運用管理情報提供の要求を受け付け
ると、当該要求元のアクセス権の有無を判定することを
特徴とする仮想計算機システムの運用管理情報提供制御
方法。 - 【請求項3】 請求項2記載の仮想計算機システムの運
用管理情報提供制御方法において、 運用管理情報提供のための制御情報は、アクセス権を有
する他系計算機システムに対して、アクセス時の正当な
アクセス経路と識別子からなる認証情報を含み、 仮想計算機制御プログラムは、他系計算機システムから
運用管理情報提供の要求を受け付けると、当該他系計算
機システムのアクセス権の有無とともにアクセスの正当
性を判定することを特徴とする仮想計算機システムの運
用管理情報提供制御方法。 - 【請求項4】 請求項2あるいは3記載の仮想計算機シ
ステムの運用管理情報提供制御方法において、 運用管理情報提供のための制御情報は、アクセス権を有
する仮想計算機あるいは他系計算機システムに対して、
どの仮想計算機の運用管理情報にアクセス許可するかを
示す詳細情報を含み、 仮想計算機制御プログラムは、仮想計算機あるいは他系
計算機システムから運用管理情報提供の要求を受け付け
ると、要求元のアクセス権の有無とともに要求先の仮想
計算機に対するアクセス許可の有無を判定することを特
徴とする仮想計算機システムの運用管理情報提供制御方
法。 - 【請求項5】 請求項1乃至4記載の運用管理情報提供
制御方法を実現する機能を具備することを特徴とする仮
想計算機システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001120944A JP2002318700A (ja) | 2001-04-19 | 2001-04-19 | 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001120944A JP2002318700A (ja) | 2001-04-19 | 2001-04-19 | 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002318700A true JP2002318700A (ja) | 2002-10-31 |
Family
ID=18970904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001120944A Pending JP2002318700A (ja) | 2001-04-19 | 2001-04-19 | 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002318700A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007305000A (ja) * | 2006-05-12 | 2007-11-22 | Toshiba Corp | 個人情報管理システム及び個人情報管理プログラム |
| JP2009519523A (ja) * | 2005-12-15 | 2009-05-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 仮想データ・センタ複合体内のターゲット仮想オペレーティング・システムのパフォーマンスをモニタするための方法、システム、およびコンピュータ・プログラム |
| US7849296B2 (en) | 2002-11-18 | 2010-12-07 | Arm Limited | Monitoring control for monitoring at least two domains of multi-domain processors |
| US8082589B2 (en) | 2002-11-18 | 2011-12-20 | Arm Limited | Diagnostic data capture control for multi-domain processors |
| JP2012243254A (ja) * | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
| JP2012243255A (ja) * | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
| US8713371B2 (en) | 2011-01-28 | 2014-04-29 | Arm Limited | Controlling generation of debug exceptions |
| US8924968B2 (en) | 2009-03-31 | 2014-12-30 | Nec Corporation | System and method of managing virtual machine, and control apparatus, method and program |
-
2001
- 2001-04-19 JP JP2001120944A patent/JP2002318700A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7849296B2 (en) | 2002-11-18 | 2010-12-07 | Arm Limited | Monitoring control for monitoring at least two domains of multi-domain processors |
| US8082589B2 (en) | 2002-11-18 | 2011-12-20 | Arm Limited | Diagnostic data capture control for multi-domain processors |
| JP2009519523A (ja) * | 2005-12-15 | 2009-05-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 仮想データ・センタ複合体内のターゲット仮想オペレーティング・システムのパフォーマンスをモニタするための方法、システム、およびコンピュータ・プログラム |
| JP2007305000A (ja) * | 2006-05-12 | 2007-11-22 | Toshiba Corp | 個人情報管理システム及び個人情報管理プログラム |
| US8924968B2 (en) | 2009-03-31 | 2014-12-30 | Nec Corporation | System and method of managing virtual machine, and control apparatus, method and program |
| US8713371B2 (en) | 2011-01-28 | 2014-04-29 | Arm Limited | Controlling generation of debug exceptions |
| JP2012243254A (ja) * | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
| JP2012243255A (ja) * | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
| CN103562871A (zh) * | 2011-05-24 | 2014-02-05 | Tiwc株式会社 | 虚拟机提供系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10901918B2 (en) | Constructing flexibly-secure systems in a disaggregated environment | |
| KR101058140B1 (ko) | 보안 환경에서 프로세서 실행을 제어하기 위한 장치 | |
| JP4876170B2 (ja) | グリッド・システムにおいてセキュリティ強制を追跡するシステムおよび方法 | |
| US5689708A (en) | Client/server computer systems having control of client-based application programs, and application-program control means therefor | |
| US9098325B2 (en) | Persistent volume at an offset of a virtual block device of a storage server | |
| US7827326B2 (en) | Method and apparatus for delegation of secure operating mode access privilege from processor to peripheral | |
| CN113645229B (zh) | 一种基于可信确认的认证系统及方法 | |
| JP5100286B2 (ja) | 暗号モジュール選定装置およびプログラム | |
| EP1825343B1 (en) | Method and system for authenticating a requester without providing a key | |
| US20070245348A1 (en) | Virtual machine self-service restrictions | |
| CN104639650B (zh) | 一种细粒度分布式接口访问控制方法及装置 | |
| US20230129610A1 (en) | Multiple physical request interfaces for security processors | |
| CN112651001A (zh) | 访问请求的鉴权方法、装置、设备及可读存储介质 | |
| CN112351022A (zh) | 信任区的安全防护方法及装置 | |
| Dannenberg et al. | A butler process for resource sharing on spice machines | |
| JP2002318700A (ja) | 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム | |
| US9836711B2 (en) | Job execution system, job execution program, and job execution method | |
| JPH10111797A (ja) | ネットワークライセンス管理システム | |
| KR101784312B1 (ko) | 인증되지 않는 액세스를 방지하기 위해 클라우드 데이터에 보안을 제공하는 전자 장치 및 이의 보안 제공 방법 | |
| CN114329574B (zh) | 基于域管平台的加密分区访问控制方法、系统及计算设备 | |
| CN116527257B (zh) | 异构计算系统及基于异构计算系统的资源处理方法 | |
| US20240111689A1 (en) | Cache service for providing access to secrets in containerized cloud-computing environment | |
| JP2009521030A (ja) | 分散及び集中システムにおいて役割を定義する際のコンポーネント・ターゲットの使用 | |
| CN117319212A (zh) | 云环境下多租户隔离的密码资源自动化调度系统及其方法 | |
| KR20230096615A (ko) | 대규모 멀티클러스터 프로비저닝을 위한 엣지 클라우드 운영 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050719 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070122 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070711 |