JP2004206221A - 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム - Google Patents
分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム Download PDFInfo
- Publication number
- JP2004206221A JP2004206221A JP2002371819A JP2002371819A JP2004206221A JP 2004206221 A JP2004206221 A JP 2004206221A JP 2002371819 A JP2002371819 A JP 2002371819A JP 2002371819 A JP2002371819 A JP 2002371819A JP 2004206221 A JP2004206221 A JP 2004206221A
- Authority
- JP
- Japan
- Prior art keywords
- data
- library
- partition
- drive
- partitions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】分割されたデータライブラリにおいてファイバチャネルドライブアクセスをセキュア化するシステムを提供すること。
【解決手段】データ記憶媒体を収容するように適合され、収容スロット要素からなるセットが1つのパーティションに割当てられる複数の収容スロット要素と、データ記憶媒体を受け取り、データ記憶媒体へ/からデータを転送するように適合され、データ転送要素からなるセットそれぞれはパーティションの1つに割当てられ、パーティションそれぞれのデータ転送要素は、パーティションそれぞれの仮想コントローラの論理要素名称をホストし、仮想コントローラは、データ記憶媒体の移動を同じパーティションに割当てられた収容スロット要素のセットとデータ転送要素のセットとの間に制限する複数のデータ転送要素と、を備えるデータライブラリ分割システムを提供する。
【選択図】図2
【解決手段】データ記憶媒体を収容するように適合され、収容スロット要素からなるセットが1つのパーティションに割当てられる複数の収容スロット要素と、データ記憶媒体を受け取り、データ記憶媒体へ/からデータを転送するように適合され、データ転送要素からなるセットそれぞれはパーティションの1つに割当てられ、パーティションそれぞれのデータ転送要素は、パーティションそれぞれの仮想コントローラの論理要素名称をホストし、仮想コントローラは、データ記憶媒体の移動を同じパーティションに割当てられた収容スロット要素のセットとデータ転送要素のセットとの間に制限する複数のデータ転送要素と、を備えるデータライブラリ分割システムを提供する。
【選択図】図2
Description
【0001】
【発明の属する技術分野】
本発明は、概してデータストレージに関し、特に、分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化(secure:権限設定、保護)するシステムおよび方法に関する。
【0002】
本発明は、以下の同時係属中および同じ譲受人に譲渡された米国特許出願に関連する。すなわち、2001年12月28日付で出願された「System and Method for Partitioning a Storage Area Network Associated Data Library」と題する米国特許出願第10/034,691号、2001年12月28日付けで出願された「System and Method for Partitioning a Storage Area Network Associated Data Library Employing Element Addresses」と題する米国特許出願第10/033,009号、2001年12月28日付けで出願された「System and Method for Managing Access To Multiple Devices in a Partitioned Data Library」と題する米国特許出願第10/032,662号、2001年12月28日付けで出願された「System and Method for Peripheral Device Virtual Functionality Overlay」と題する米国特許出願第10/032,923号、2001年12月28日付けで出願された「System and Method for Securing Drive Access to Media Based On Medium Identification Numbers」と題する米国特許出願第10/034,518号、2001年12月28日付けで出願された「System and Method for Securing Drive Access to Data Storage Media Based On Medium Identifiers」と題する米国特許出願第10/034,888号、2001年12月28日付けで出願された「Method for Using Partitioning toProvide Capacity on Demand in Data Libraries」と題する米国特許出願第10/033,003号、2001年12月28日付けで出願された「System andMethod for Intermediating Communication with a Moveable Media Library Utilizing a Plurality of Partitions」と題する米国特許出願第10/034,580号、および2001年12月28日付けで出願された「System and Method for Managing a Moveable Media Library with Library Partitions」と題する米国特許出願第10/034,083号である。
【0003】
【従来の技術】
ストレージサービスプロバイダ(SSP)の場合に生じうるなど、特定のストレージエリアネットワーク(SAN)使用のシナリオでは、同じ共通のSANリソースを共有しようとする多数の顧客がいる。このような場合、顧客がそれぞれに割当てられたストレージリソースしか見ることができず、かつそれぞれに割当てられたストレージリソースにしかアクセスすることができないようにし、また他の顧客のストレージへのアクセスを阻止するようことを確実にする必要がある。たとえば、顧客は、SSPを利用して極めて重大なビジネスデータを格納する場合、概して、SSPの他の顧客にデータを読んでもらいたくなく、またさらにはSSPに情報を格納していることを気付かれたくもない。テープライブラリを分割する機能が知られているが、後述する特別なハードウェアまたは特別なバックアップソフトウェアが分割の実施に使用されてきている。
【0004】
既存のソフトウェアベースデータライブラリ分割ソリューションは通常、テープライブラリの部分へのアクセスを制限するホストシステムを使用する。ホスト制限は、パーティションの制限を行うためにホストシステム上で調停ソフトウェアプロセスによって実施される。しかし、この手法には問題がある。具体的には、この手法は、データライブラリがストレージサービスプロバイダ(SSP)環境において利用される場合は望ましくない。SSP環境では、テープライブラリおよびホストシステムが異なるエンティティ(たとえば、SSPおよび顧客)に属する。ソフトウェア調停プロセスをホストシステムに配置することは、ストレージサービスの利用についての顧客に対する負担を増大させるため、魅力的ではない。さらに、多くの顧客は、他の顧客にソフトウェアをホストシステム上に配置させることを快く思わない。加えて、ソフトウェア調停プロセス手法は通常、既存のデータバックアップユーティリティと互換性がない、すなわちソフトウェア調停プロセス手法では、専用のデータバックアップアプリケーションを使用する必要がある。したがって、ユーザには、所望のバックアップソフトウェアを実行する能力が事実上与えられない。
【0005】
ディスクアレイファームウェアはSANに接続されるアレイのポートを直接制御するため、既存のファイバチャネル(FC)ディスクアレイファームウェアは、FC独立ディスク冗長アレイ(RAID)にセキュリティを提供するために使用され得る。SANへのあらゆるホストおよびデバイスの接続は概して、一意のFCベースのWWN(world wide name)を有し、FCベースのRAIDはこのWWNを使用して、デバイスまたはホストの接続を一意に識別することができる。したがって、FCディスクアレイファームウェアは、ホストがSCSI(small computer systems interface)コマンドをRAID内のFC論理装置番号(LUN)に送信しようとするときにファームウェアが、許可されたWWNのリストと照らし合わせてコマンドを送信したサーバからの発信元のWWNをチェックするように構成することができる。WWNがそのRAID FC−LUNの許可WWNのリストにある場合、SCSIコマンドを処理することができ、WWNがRAID FC−LUNの許可WWNのリストにない場合、コマンドは拒絶される。各RAID FC−LUNの許可WWNのリストは、RAIDに対する既存の管理ソフトウェアを介して構成することができる。
【0006】
【発明が解決しようとする課題】
しかし、データテープライブラリなど標準の既存のSCSIデバイスが、ライブラリに既存のFCテープドライブなど既存のFCインタフェースを介してFCSANに接続される場合、個々の既存のFCテープドライブは上述したFC WWNベースのセキュリティをサポートしないため、特定のホストしかアクセスできないようにこれらデバイスをセキュア化することは不可能である。典型的な例として、FCテープドライブがSANに接続される場合、そのSANに接続されたあらゆるサーバから見ることができる。この状況は、セキュアなストレージリソースを多種多様な顧客に提供するSANにとっては容認できないことである。既存のソリューションでは、ファイバチャネルテープドライブデバイスをSAN環境においてセキュア化することができない。上述したように、FCディスクアレイで実施されるLUNをセキュア化する方式は、SANに接続されたテープライブラリ内の論理的なパーティションを構成する物理的なテープドライブをセキュア化するように拡張されない。
【0007】
FCスイッチは、どのサーバのWWNまたはFCポートがどのデバイスのWWNまたはFCポートを見ることができるかを定義するセキュリティゾーンを構成する能力を有する。しかし、このFCスイッチゾーニングはデバイスLUNに拡張されないため、このようなFCスイッチゾーニングをFCポートレベルで使用してセキュリティを提供することしかできない。テープライブラリがFC SANに直接接続される場合であっても、ユーザがライブラリテープドライブのセキュリティゾーンを定義することは非常に難しい。データテープライブラリは、複数のFCテープドライブを有することができ、複数のファイバチャネルテープドライブにわたって延びるパーティションに論理的に分割しうる。したがって、どのFCポートおよびLUNを共にFCスイッチの同じセキュリティゾーンに関連付けるべきかをユーザが正しく識別することは困難である。当然のことながらユーザは、このような手動での構成プロセスにおいて誤りを犯しやすい。
【0008】
スタンドアロンFCドライブとアクセスするユーザのWWNの間の一対一の関係によって促進されるスイッチゾーニングを用いることによって、スタンドアロンネイティブFCデバイスへのアクセスをセキュア化することができる。データライブラリでは、ライブラリコントローラはブリッジの背後に通常配置される。スイッチゾーニングのFCスイッチに構成し、このようなコントローラをセキュア化すると、SAN管理者のプロセスが追加され、実行され、ユーザとの調整が行われる。FCスイッチの構成は、通常、ライブラリの管理カードの制御下にない。
【0009】
【課題を解決するための手段】
ストレージエリアネットワークに関連するデータライブラリ分割システムの一実施形態は、データ記憶媒体を収容するように適合される複数の収容スロット要素であって、少なくとも1つのスロットからなる少なくとも1つのセットが複数のパーティションの1つのパーティションに割当てられる複数の収容スロット要素と、媒体を受け取り、媒体へ/からデータを転送するように適合される複数のデータ転送要素であって、少なくとも1つのデータ転送要素からなる少なくとも1つのセットそれぞれはパーティションの1つに割当てられ、パーティションそれぞれの少なくとも1つのデータ転送要素は、パーティションそれぞれの仮想コントローラの論理要素名称をホストし、仮想コントローラは、媒体の移動を同じパーティションに割当てられたスロットのセットとデータ転送要素のセットとの間に制限する、複数のデータ転送要素とを備える。
【0010】
ストレージエリアネットワークに関連するデータライブラリを分割する本発明による方法の好ましい実施形態は、データライブラリに複数のパーティションを確立することであって、パーティションはそれぞれ少なくとも1つの収容スロット要素および少なくとも1つのデータ転送要素を備え、スロットはそれぞれ媒体を収容するように適合され、データ転送要素はそれぞれ、媒体を受け取り、媒体へ/からデータを転送するように適合されること、異なる論理要素名称をライブラリパーティションそれぞれに割当て、また、パーティションにおけるデータ転送要素の少なくとも1つがホストする仮想コントローラに上記パーティションと同じ論理要素名称を割当てること、同じパーティションに割当てられたスロットとデータ転送要素との間での媒体の移動を制限することとを含む。
【0011】
【発明の実施の形態】
本発明は、分割されたデータライブラリのFCリソースにFCセキュリティを提供するシステムおよび方法を対象とする。SCSIベースのデータライブラリ分割システムおよび方法においてFCテープドライブの1つまたは複数によって提供されるライブラリコントローラの代理LUN(surrogate LUN)もまた、本発明によりセキュア化することができる。本発明を実施する物理的なデータライブラリは複数の仮想的なライブラリパーティションに分割することができ、各ライブラリパーティションが1つまたは複数の物理的なドライブを有し、ライブラリ媒体スロットの一意のサブセットおよび専用の仮想的なライブラリチェンジャデバイスLUNが後述するようにパーティションに割当てられる。このようなデータライブラリ分割システムおよび方法は、同じ譲受人に譲渡された「System and Method for Partitioning a Storage Area Network Associated Data Library Employing Element Addresses」と題する米国特許出願第10/033,009号に開示されている。好ましくは、本発明は、実施のために既存のライブラリハードウェアを変更する必要がない。本発明は、好ましくは、FCベースのドライブおよびライブラリコントローラを統制するようにファームウェアを変更することによって実施される。
【0012】
図1を参照すると、SAN100が示されている。例として、第1および第2の顧客サーバ101および102が、FCスイッチ103を介してSAN100に接続される。RAID104は、既存のLUNベースRAID分割方法を使用して、たとえば、第1のパーティション105をサーバ101に、第2のパーティション106をサーバ102に割当てることができる。ゼロダウンタイムバックアップ(ZDB)により、RAID104とテープライブラリ108の間のゼロダウンタイムバックアップ(ZDB)相互接続性107を介して、各サーバがRAID上に有するデータのZDBをテープライブラリ108に対して行うこともできる。このようなZDBは、好ましくは、RAID104または他のSAN要素100において具現されるデータムーバ(data-mover)ファームウェアを使用しうる。このようなZDBは、好ましくは、サーバ101および102のプロセッサ動作またはローカルエリアネットワーク(LAN)容量に影響を及ぼすことなく実行される。テープライブラリ108は、サーバ101のデータが、サーバ102のデータから切り離されたパーティション109に維持され、サーバ102のデータが、サーバ101のデータから切り離されたパーティション110に維持されることを保証するように、上述したライブラリの論理分割のシステムおよび方法を使用して分割されることが好ましい。このような分割により、本発明のセキュリティシステムおよび方法を実行することを容易にし、同じ物理的なライブラリに維持されても、サーバが互いのデータにアクセス不可能なように保証する。
【0013】
本システムおよび本方法の好ましい実施形態を使用するデータテープライブラリ200を、図1のライブラリ108として使用されうるライブラリの例として図2に示す。しかし、他のライブラリ設計および/または容量も本システムおよび本方法を具現しうる。例示的なデータテープライブラリ200は、データ転送要素として機能する4つのFCテープドライブ201〜204、それぞれ10個のスロット205からなる4個のトレイ206〜209に編成される40個の媒体収容スロット205、2つのFC−SCSIブリッジ210および211、ライブラリ管理インタフェースカードまたは遠隔管理カード(RMC)212、ライブラリコントローラ213、ならびにロボティック媒体移送器220を有する。ブリッジ、ドライブ、移送器、RMCおよびコントローラは、好ましくは、I2C(inter-integrated circuit)バス214によって相互接続される。さらに、ドライブ201〜204およびライブラリコントローラ213は、好ましくは、各ドライブ201〜204およびコントローラ213の間に個々に延びる、専用の自動制御インタフェース(ACI)リンク221〜224などを使用して互いに通信する。好ましくは、各ドライブは、FCデバイスであり、ライブラリが関連するSANのFCアドレスを有する。
【0014】
本システムおよび本方法の好ましい実施形態によって用いられる分割の場合、媒体スロット205およびテープドライブ201〜204のサブセットが各パーティションに割当てられ、各パーティションに関してライブラリロボティック媒体移送器220を制御する仮想的なライブラリコントローラまたは専用仮想ライブラリチェンジャーデバイスがアドレス指定可能なはずである。図2に示す分割例は、ボックス215、216、および217によって示される。図示のように、SCSI LUN0(230)はパーティション215に対応し、SCSI LUN1(231)はパーティション216に対応し、SCSI LUN2(232)はパーティション217に対応する。メールスロットすなわちインポート/エクスポート要素を各パーティションに割当てるか、またはライブラリ全体が使用するように構成することができる。好ましくは、容易にアクセス可能な媒体ストレージスロットは、メールスロットとして構成することができる。
【0015】
好ましくは、ドライブ201〜204などの各パーティション中のFCデバイスは、1つまたは複数のFC LUNをホストしうる。ドライブそれ自体へのSCSIコマンドは、好ましくは、LUN0に送られる。各ドライブは、仮想的なコントローラを代理LUN1として提示することができる。好ましくは、パーティションにおける1つのドライブのみがそのパーティションの仮想コントローラを提示する。コントローラ213は、パーティション中のどのドライブが仮想的なコントローラを提示するかを指示する。コントローラ213はACI221、222、223、または224を介して仮想コントローラを提供するようにドライブを構成する。
【0016】
ドライブが受信する仮想コントローラのLUNへのSCSIコマンドは、ドライブのACIを介してコントローラ213に渡される。コントローラ213は、ドライブのACI214を介してSCSI応答をドライブに返送する。次にドライブは、仮想コントローラLUNからFC SANを介してこれらSCSI応答を送信する。SCSIのコマンドおよび応答は、好ましくは、ACIメッセージパケットとしてパッケージされ、適切な形態でACIを介して送信される。ドライブのファームウェアは、好ましくは、仮想コントローラまたは代理LUNのホストを促進する機能性をサポートし、ドライブのACIを介してSCSIメッセージをコントローラ213へ/から往復で受け渡しする。これは、どのパーティションにあるドライブかに関係なく、またSCSIコマンドによりどの論理コントローラがアドレス指定されているドライブかにも関係ない。コントローラ213は、パーティションのどのドライブが論理コントローラLUNをホストしているかを判定し維持する。よって、ACIはバス(すなわち、各ドライブのコントローラにACIポートがあり、それぞれ1つのドライブのみに接続する)とは対照的にポイントツーポイント接続であるため、コントローラ213がACIリンクを介してSCSIコマンドを受信する場合、コマンドは1つの特定の論理コントローラにアドレス指定される。したがって、コントローラ213は、SCSIコマンドをドライブの論理コントローラから受信する場合、発信元ドライブに基づいてパーティションを識別することができる。
【0017】
構成された各パーティションごとに、そのパーティションの論理コントローラLUNをホストする1つのドライブがある。上述したように、パーティションの論理コントローラをホストするドライブがコントローラ213によって決定される。パーティション中のドライブが故障するか、またはFC SANから不注意に切断される場合、有利なことにコントローラは、そのパーティションをホストする論理ライブラリLUNを引き継ぐようにパーティション中のその他のドライブの1つを構成することができる。
【0018】
既存のスタンドアロンネイティブFCデバイスへのアクセスは、上述したようにスイッチゾーニングを使用することによって制限することができる。これは、既存のスタンドアロンFCドライブとアクセスするユーザのWWNの間の一対一の関係によって促進される。しかし、分割されたSCSIデータライブラリでは、ライブラリコントローラ213は、好ましくは、FC−SCSIブリッジ210および/または211などのブリッジの背後に配置される。このような状況では、コントローラ213をセキュア化するようスイッチゾーニングにFCスイッチを構成すると、SAN管理者のプロセスが追加され、実行され、ユーザとの調整が行われる。FCスイッチ構成は従来、ライブラリ管理カードの制御下になく、スイッチゾーニングの手動での構成は誤りを犯しやすい。
【0019】
本発明のシステムおよび方法によれば、ネイティブFCテープドライブ201〜204は、スイッチゾーニングおよび関連する手動での構成を必要とすることなく、WWNまたは他の一意のホストデバイス識別子に基づいてセキュリティをサポートすることができる。より有用なワンステップ構成プロセスを提供するために、このようなセキュリティは、管理カード212を介して確立し変更することができる。
【0020】
ライブラリ200に配置されるテープドライブ201〜204すべてがFCテープドライブであり、かつライブラリコントローラ213がブリッジ210または211などのFC−SCSIブリッジと共通のバス上にない場合、パーティションごとに1つのライブラリコントローラのインスタンスが、各パーティションにおける1つのテープドライブを介して代理LUN230、231、および232としてアクセスされるようにライブラリを構成することができる。図2に示す例では、パーティション215の代理LUN0(230)がドライブ201によって提供され、パーティション216および217それぞれの代理LUN1(231)および代理LUN2(232)は、それぞれドライブ203および204によって提供される。テープドライブ201〜204およびライブラリコントローラLUN230〜232のFCセキュリティは、RMC212を介してユーザによって構成されることが好ましい。さらに、RMC212は、どのテープドライブがどのパーティションにあるかを定義する。
【0021】
このファイバチャネル環境においてセキュリティを提供するため、ユーザは、RMC212の制御インタフェースを介して、各パーティション中のテープドライブ、ライブラリコントローラ、および媒体などのパーティションリソースへのアクセスをどのSANホストが有するかを構成することもできる。このセキュリティ構成は、ウェブブラウザインタフェースを介して、またはネットワーク管理プロトコルインタフェースを介して実行しうる。たとえば、ユーザは、アクティブなパーティションを選択し、そのパーティションを非セキュアにしてすべてのホストアクセスを許可するように構成するか、あるいはアクセスをホストWWNもしくは同様の一意のホストデバイス識別子のリストに制限するように構成することができる。最大の柔軟性を提供するために、デフォルトにより、パーティションのセキュリティレベルは非セキュアに設定されることが好ましい。すべてのホストのパーティションへのアクセスを阻止するためには、WWNのリストを空にしてパーティションを構成することができる。反対に、アクティブなパーティションにないディスエーブルされたリソースへのすべてのホストによるアクセスは制限されることが好ましい。
【0022】
好ましくは、テープドライブのセキュリティ構成は、テープドライブがサポートする、ZDBなどの任意の拡張された第三者のコピーコマンドを備えるテープドライブ自体へのアクセスに適用される。テープドライブのセキュリティ構成はまた、好ましくは、テープドライブがホストまたはサポートする任意のライブラリコントローラ代理LUN230〜232にも適用される。好ましくは、RMC212は、パーティション中のどのテープドライブが代理LUNをホストしているかを知る必要がない。好ましくは、パーティション中のすべてのテープドライブが同じセキュリティ設定を有する。したがって、たとえば図2のパーティション215について示すように、パーティション中のテープドライブの1つが代理LUNをホストする限り、代理LUN230ならびに代理LUN下にあるドライブ201および202には、要求されるセキュリティ設定が適用されている。好ましくは、上述したように、ライブラリコントローラのファームウェアは、どのテープドライブがそのパーティションのライブラリコントローラ代理LUNを保持するかを判定する。あるいは、コントローラのファームウェアおよびテープドライブのファームウェアが、各パーティションについてどのテープドライブがライブラリコントローラ代理LUNを保持するかについて交渉することができる。
【0023】
好ましくは、FCドライブは、関連するSANに接続されるホストがドライブを見る能力をブロックする。換言すれば、ドライブはホストのWWNに基づいていずれのSCSIコマンド(たとえば、SCSI照会など)にも応答しない。しかし、WWNは各SCSIコマンドにおいて送信されないため、ドライブは、好ましくは、後述するようにネームサーバによって割当てられるホストのソースIDに基づいてフィルタリングする。
【0024】
パーティションが再構成される場合、テープドライブのFCセキュリティ設定が再構成されることが好ましい。RMC212は、I2Cバス214を介してセキュリティ構成要求をライブラリコントローラ213に送信する。好ましい実施形態によれば、ライブラリコントローラ213は、テープドライブのACIポートを介してセキュリティ構成要求を特別なACIコマンドのフォーマットでテープドライブに渡す。テープドライブにおけるFC−LUNセキュリティはACIを介してアウトオブバンド(out-of-band)で構成されるため、ドライブへの/からのデータの搬送に使用されるSCSIバスをセキュリティ構成に使用する必要がない。
【0025】
FCコマンドは概して、発信元ホストのWWNを含まない。しかし、FCコマンドはソースIDを使用する。したがって、本発明によれば、テープドライブもまたFCソースID−WWNマッピングを維持すべきである。テープドライブは、ログイン時にSAN関連のネームサーバからソースID−WWNマッピングについての情報を収集し、ネームサーバに状態変更通知要求(request state change notification)を発し、これらマッピングにおけるいずれの変更についても通知されることになる。FCテープドライブが維持するセキュリティルックアップテーブルに新しいWWNが追加される場合、ドライブはこの新しいWWNのソースIDについてネームサーバに照会すべきである。好ましくは、入ってくる各コマンドのソースIDが、テープドライブに発せられたかそれともFCテープドライブがホストする代理LUNに発せられたかに関係なく、FCドライブまたは代理LUNのセキュリティ構成と比較され、これを使用してセキュリティアクセスを決定する。ソースIDが表形式になったセキュリティの設定においてWWNにマッピングされたソースIDと整合する場合、アクセスは許可される。ドライブまたは代理LUNのセキュリティ設定が非セキュアな場合、ソースIDに関係なくアクセスは許可される。
【0026】
パーティションへのセキュリティアクセスが変更される場合、そのパーティションの新しいセキュリティ設定がパーティション中のすべてのテープドライブに送信されることが好ましい。テープドライブのファームウェアは、ACIを介してセキュリティ構成要求を受信すると、現在のセキュリティ設定を消去してから、セキュリティ構成要求に含まれる許可されたWWNの新しいリストまたは非セキュアな設定を不揮発性ランダムアクセスメモリ(NVRAM)に格納するはずである。影響を受ける各FCテープドライブへのセキュリティ構成要求は、そのデバイスに許可されたWWNのリストを含むことができる。ライブラリパーティションが非セキュアであり、したがっていずれのイニシエータWWNにも利用可能である場合、セキュリティ構成要求はドライブを非セキュアなまま残す。テープドライブのデフォルト構成は、好ましくは、非セキュアである。最後に、セキュリティ構成要求がテープドライブにWWNの空のリストを確立する場合、テープドライブはアクティブなパーティションの一部であるべきではなく、したがって好ましくはディスエーブルされ、あらゆるユーザによるドライブへのアクセスも全く許可しない。
【0027】
ライブラリ管理ファームウェアは、セキュリティ構成要求を使用して、あらゆるセキュリティ情報をクリアして非セキュアな状態にすることができる。これは、ユーザがライブラリを工場出荷時の状態に設定したい場合、またはライブラリ管理ファームウェアが、上書きする必要のある別のライブラリからのセキュリティ情報を含む置換FCテープドライブを検出する場合に必要でありうる。テープドライブがパーティションに追加または除去される場合、そのテープドライブのセキュリティ設定は、好ましくは、新しいパーティションのセキュリティ設定を反映するように変更される。
【0028】
上述したように、好ましくは、本発明を使用するために必要なのは、既存のライブラリへのファームウェア変更だけである。代理LUN機能性を実施し、かつWWNベースのフィルタリングを実施するようにテープドライブファームウェアに変更を行う必要がありうる。ライブラリコントローラのファームウェアは、パーティション単位でWWNベースのフィルタリングを用いるようにFCドライブを構成する複数の論理コントローラ代理LUN機能性を使用するようにFCドライブを構成する能力を与えるように変更する必要がありうる。上述したように、好ましくは、ハードウェアの変更は必要ない。
【0029】
当業者が認識するように、本システムおよび本方法は、他のタイプのSANインタフェースへのドライブ、たとえばインターネットSCSI(iSCSI)との併用にもよく適している。好ましくは、本システムおよび本方法を使用するためのiSCSIデバイスへの変更は、iSCSI名などFCソースIDおよび/またはWWNのiSCSI同等物を使用して、セキュア化されたデバイスへのアクセスのイニシエータを認証することだけである。この発明は、例として次のような実施形態を含む。
【0030】
(1) ストレージエリアネットワークに関連するデータライブラリ分割システム(200)であって、
データ記憶媒体を収容するように適合される複数の収容スロット要素(205)であって、少なくとも1つの前記収容スロット要素からなる少なくとも1つのセットが複数のパーティション(215〜217)の1つのパーティションに割当てられる複数の収容スロット要素(205)と、
前記データ記憶媒体を受け取り、前記データ記憶媒体へ/からデータを転送するように適合される複数のデータ転送要素(201〜204)であって、少なくとも1つの該データ転送要素からなる少なくとも1つのセットそれぞれは前記パーティションの1つに割当てられ、前記パーティションそれぞれの少なくとも1つのデータ転送要素は、前記パーティションそれぞれの仮想コントローラ(230〜232)の論理要素名称(LUN0、LUN1、LUN2)をホスト(host)し、前記仮想コントローラは、前記データ記憶媒体の移動を前記パーティションのうちの同じパーティションに割当てられた前記収容スロット要素のセットと前記データ転送要素のセットとの間に制限する、複数のデータ転送要素(201〜204)と、
を備えるシステム。
【0031】
(2) 前記パーティションの少なくとも1つはセキュア化され、該セキュア化されたパーティションの特定の1つへのアクセスは、該特定のパーティションへのアクセスについての一意のホストデバイス識別子のリストにリストされる一意のホストデバイス識別子を有する前記データライブラリのユーザに制限される(1)記載のシステム。
【0032】
(3) セキュア化されたパーティションについての一意のホストデバイス識別子のリストが空であると、前記セキュア化されたパーティションがどのユーザのアクセスからもセキュア化されることになる、(2)記載のシステム。
【0033】
(4) 前記一意のホストデバイス識別子のリストは、前記パーティションそれぞれにおける少なくとも1つのデータ転送要素によって維持される(2)または(3)記載のシステム。
【0034】
(5) 前記データ転送要素はデータテープドライブに接続されるファイバチャネルである(1)または(2)記載のシステム。
【0035】
(6) 前記論理要素名称はSCSI(small computer systems interface)論理装置番号である(1)または(2)記載のシステム。
【0036】
(7) 前記仮想コントローラの論理装置番号は、前記データライブラリのSCSI IDの形で取り決められる(6)記載のシステム。
【0037】
(8) ストレージエリアネットワークに関連するデータライブラリ(200)を分割する方法であって、
前記データライブラリに複数のパーティション(215〜217)を確立することであって、前記パーティションはそれぞれ少なくとも1つの収容スロット要素(205)および少なくとも1つのデータ転送要素(201〜204)を備え、前記収容スロット要素はそれぞれ媒体を収容するように適合され、前記データ転送要素はそれぞれ、前記媒体を受け取り、前記媒体へ/からデータを転送するように適合され、
異なる論理要素名称(LUN0、LUN1、LUN2)を前記データライブラリのパーティションにそれぞれに割当て、また、前記パーティションにおける前記データ転送要素の少なくとも1つがホストする仮想コントローラ(230〜232)に前記パーティションと同じ論理要素名称を割当てること、
同じパーティションに割当てられた前記パーティションと前記データ転送要素との間での前記媒体の移動を制限することとを含む方法。
【0038】
(9) 前記パーティションそれぞれにアクセスし得る一意のホストデバイス識別子のリストを割当てることによって前記パーティションのうち選択されたパーティションをセキュア化することをさらに含む(8)記載の方法。
【0039】
(10) パーティションにアクセスし得る前記一意のホストデバイス識別子のリストを前記パーティションにおける前記データ転送要素の少なくとも1つに維持することをさらに含む(8)または(9)記載の方法。
【図面の簡単な説明】
【図1】本発明の好ましい実施形態により動作するSANの線図である。
【図2】本発明の実施形態により動作するデータライブラリ例の線図である。
【発明の属する技術分野】
本発明は、概してデータストレージに関し、特に、分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化(secure:権限設定、保護)するシステムおよび方法に関する。
【0002】
本発明は、以下の同時係属中および同じ譲受人に譲渡された米国特許出願に関連する。すなわち、2001年12月28日付で出願された「System and Method for Partitioning a Storage Area Network Associated Data Library」と題する米国特許出願第10/034,691号、2001年12月28日付けで出願された「System and Method for Partitioning a Storage Area Network Associated Data Library Employing Element Addresses」と題する米国特許出願第10/033,009号、2001年12月28日付けで出願された「System and Method for Managing Access To Multiple Devices in a Partitioned Data Library」と題する米国特許出願第10/032,662号、2001年12月28日付けで出願された「System and Method for Peripheral Device Virtual Functionality Overlay」と題する米国特許出願第10/032,923号、2001年12月28日付けで出願された「System and Method for Securing Drive Access to Media Based On Medium Identification Numbers」と題する米国特許出願第10/034,518号、2001年12月28日付けで出願された「System and Method for Securing Drive Access to Data Storage Media Based On Medium Identifiers」と題する米国特許出願第10/034,888号、2001年12月28日付けで出願された「Method for Using Partitioning toProvide Capacity on Demand in Data Libraries」と題する米国特許出願第10/033,003号、2001年12月28日付けで出願された「System andMethod for Intermediating Communication with a Moveable Media Library Utilizing a Plurality of Partitions」と題する米国特許出願第10/034,580号、および2001年12月28日付けで出願された「System and Method for Managing a Moveable Media Library with Library Partitions」と題する米国特許出願第10/034,083号である。
【0003】
【従来の技術】
ストレージサービスプロバイダ(SSP)の場合に生じうるなど、特定のストレージエリアネットワーク(SAN)使用のシナリオでは、同じ共通のSANリソースを共有しようとする多数の顧客がいる。このような場合、顧客がそれぞれに割当てられたストレージリソースしか見ることができず、かつそれぞれに割当てられたストレージリソースにしかアクセスすることができないようにし、また他の顧客のストレージへのアクセスを阻止するようことを確実にする必要がある。たとえば、顧客は、SSPを利用して極めて重大なビジネスデータを格納する場合、概して、SSPの他の顧客にデータを読んでもらいたくなく、またさらにはSSPに情報を格納していることを気付かれたくもない。テープライブラリを分割する機能が知られているが、後述する特別なハードウェアまたは特別なバックアップソフトウェアが分割の実施に使用されてきている。
【0004】
既存のソフトウェアベースデータライブラリ分割ソリューションは通常、テープライブラリの部分へのアクセスを制限するホストシステムを使用する。ホスト制限は、パーティションの制限を行うためにホストシステム上で調停ソフトウェアプロセスによって実施される。しかし、この手法には問題がある。具体的には、この手法は、データライブラリがストレージサービスプロバイダ(SSP)環境において利用される場合は望ましくない。SSP環境では、テープライブラリおよびホストシステムが異なるエンティティ(たとえば、SSPおよび顧客)に属する。ソフトウェア調停プロセスをホストシステムに配置することは、ストレージサービスの利用についての顧客に対する負担を増大させるため、魅力的ではない。さらに、多くの顧客は、他の顧客にソフトウェアをホストシステム上に配置させることを快く思わない。加えて、ソフトウェア調停プロセス手法は通常、既存のデータバックアップユーティリティと互換性がない、すなわちソフトウェア調停プロセス手法では、専用のデータバックアップアプリケーションを使用する必要がある。したがって、ユーザには、所望のバックアップソフトウェアを実行する能力が事実上与えられない。
【0005】
ディスクアレイファームウェアはSANに接続されるアレイのポートを直接制御するため、既存のファイバチャネル(FC)ディスクアレイファームウェアは、FC独立ディスク冗長アレイ(RAID)にセキュリティを提供するために使用され得る。SANへのあらゆるホストおよびデバイスの接続は概して、一意のFCベースのWWN(world wide name)を有し、FCベースのRAIDはこのWWNを使用して、デバイスまたはホストの接続を一意に識別することができる。したがって、FCディスクアレイファームウェアは、ホストがSCSI(small computer systems interface)コマンドをRAID内のFC論理装置番号(LUN)に送信しようとするときにファームウェアが、許可されたWWNのリストと照らし合わせてコマンドを送信したサーバからの発信元のWWNをチェックするように構成することができる。WWNがそのRAID FC−LUNの許可WWNのリストにある場合、SCSIコマンドを処理することができ、WWNがRAID FC−LUNの許可WWNのリストにない場合、コマンドは拒絶される。各RAID FC−LUNの許可WWNのリストは、RAIDに対する既存の管理ソフトウェアを介して構成することができる。
【0006】
【発明が解決しようとする課題】
しかし、データテープライブラリなど標準の既存のSCSIデバイスが、ライブラリに既存のFCテープドライブなど既存のFCインタフェースを介してFCSANに接続される場合、個々の既存のFCテープドライブは上述したFC WWNベースのセキュリティをサポートしないため、特定のホストしかアクセスできないようにこれらデバイスをセキュア化することは不可能である。典型的な例として、FCテープドライブがSANに接続される場合、そのSANに接続されたあらゆるサーバから見ることができる。この状況は、セキュアなストレージリソースを多種多様な顧客に提供するSANにとっては容認できないことである。既存のソリューションでは、ファイバチャネルテープドライブデバイスをSAN環境においてセキュア化することができない。上述したように、FCディスクアレイで実施されるLUNをセキュア化する方式は、SANに接続されたテープライブラリ内の論理的なパーティションを構成する物理的なテープドライブをセキュア化するように拡張されない。
【0007】
FCスイッチは、どのサーバのWWNまたはFCポートがどのデバイスのWWNまたはFCポートを見ることができるかを定義するセキュリティゾーンを構成する能力を有する。しかし、このFCスイッチゾーニングはデバイスLUNに拡張されないため、このようなFCスイッチゾーニングをFCポートレベルで使用してセキュリティを提供することしかできない。テープライブラリがFC SANに直接接続される場合であっても、ユーザがライブラリテープドライブのセキュリティゾーンを定義することは非常に難しい。データテープライブラリは、複数のFCテープドライブを有することができ、複数のファイバチャネルテープドライブにわたって延びるパーティションに論理的に分割しうる。したがって、どのFCポートおよびLUNを共にFCスイッチの同じセキュリティゾーンに関連付けるべきかをユーザが正しく識別することは困難である。当然のことながらユーザは、このような手動での構成プロセスにおいて誤りを犯しやすい。
【0008】
スタンドアロンFCドライブとアクセスするユーザのWWNの間の一対一の関係によって促進されるスイッチゾーニングを用いることによって、スタンドアロンネイティブFCデバイスへのアクセスをセキュア化することができる。データライブラリでは、ライブラリコントローラはブリッジの背後に通常配置される。スイッチゾーニングのFCスイッチに構成し、このようなコントローラをセキュア化すると、SAN管理者のプロセスが追加され、実行され、ユーザとの調整が行われる。FCスイッチの構成は、通常、ライブラリの管理カードの制御下にない。
【0009】
【課題を解決するための手段】
ストレージエリアネットワークに関連するデータライブラリ分割システムの一実施形態は、データ記憶媒体を収容するように適合される複数の収容スロット要素であって、少なくとも1つのスロットからなる少なくとも1つのセットが複数のパーティションの1つのパーティションに割当てられる複数の収容スロット要素と、媒体を受け取り、媒体へ/からデータを転送するように適合される複数のデータ転送要素であって、少なくとも1つのデータ転送要素からなる少なくとも1つのセットそれぞれはパーティションの1つに割当てられ、パーティションそれぞれの少なくとも1つのデータ転送要素は、パーティションそれぞれの仮想コントローラの論理要素名称をホストし、仮想コントローラは、媒体の移動を同じパーティションに割当てられたスロットのセットとデータ転送要素のセットとの間に制限する、複数のデータ転送要素とを備える。
【0010】
ストレージエリアネットワークに関連するデータライブラリを分割する本発明による方法の好ましい実施形態は、データライブラリに複数のパーティションを確立することであって、パーティションはそれぞれ少なくとも1つの収容スロット要素および少なくとも1つのデータ転送要素を備え、スロットはそれぞれ媒体を収容するように適合され、データ転送要素はそれぞれ、媒体を受け取り、媒体へ/からデータを転送するように適合されること、異なる論理要素名称をライブラリパーティションそれぞれに割当て、また、パーティションにおけるデータ転送要素の少なくとも1つがホストする仮想コントローラに上記パーティションと同じ論理要素名称を割当てること、同じパーティションに割当てられたスロットとデータ転送要素との間での媒体の移動を制限することとを含む。
【0011】
【発明の実施の形態】
本発明は、分割されたデータライブラリのFCリソースにFCセキュリティを提供するシステムおよび方法を対象とする。SCSIベースのデータライブラリ分割システムおよび方法においてFCテープドライブの1つまたは複数によって提供されるライブラリコントローラの代理LUN(surrogate LUN)もまた、本発明によりセキュア化することができる。本発明を実施する物理的なデータライブラリは複数の仮想的なライブラリパーティションに分割することができ、各ライブラリパーティションが1つまたは複数の物理的なドライブを有し、ライブラリ媒体スロットの一意のサブセットおよび専用の仮想的なライブラリチェンジャデバイスLUNが後述するようにパーティションに割当てられる。このようなデータライブラリ分割システムおよび方法は、同じ譲受人に譲渡された「System and Method for Partitioning a Storage Area Network Associated Data Library Employing Element Addresses」と題する米国特許出願第10/033,009号に開示されている。好ましくは、本発明は、実施のために既存のライブラリハードウェアを変更する必要がない。本発明は、好ましくは、FCベースのドライブおよびライブラリコントローラを統制するようにファームウェアを変更することによって実施される。
【0012】
図1を参照すると、SAN100が示されている。例として、第1および第2の顧客サーバ101および102が、FCスイッチ103を介してSAN100に接続される。RAID104は、既存のLUNベースRAID分割方法を使用して、たとえば、第1のパーティション105をサーバ101に、第2のパーティション106をサーバ102に割当てることができる。ゼロダウンタイムバックアップ(ZDB)により、RAID104とテープライブラリ108の間のゼロダウンタイムバックアップ(ZDB)相互接続性107を介して、各サーバがRAID上に有するデータのZDBをテープライブラリ108に対して行うこともできる。このようなZDBは、好ましくは、RAID104または他のSAN要素100において具現されるデータムーバ(data-mover)ファームウェアを使用しうる。このようなZDBは、好ましくは、サーバ101および102のプロセッサ動作またはローカルエリアネットワーク(LAN)容量に影響を及ぼすことなく実行される。テープライブラリ108は、サーバ101のデータが、サーバ102のデータから切り離されたパーティション109に維持され、サーバ102のデータが、サーバ101のデータから切り離されたパーティション110に維持されることを保証するように、上述したライブラリの論理分割のシステムおよび方法を使用して分割されることが好ましい。このような分割により、本発明のセキュリティシステムおよび方法を実行することを容易にし、同じ物理的なライブラリに維持されても、サーバが互いのデータにアクセス不可能なように保証する。
【0013】
本システムおよび本方法の好ましい実施形態を使用するデータテープライブラリ200を、図1のライブラリ108として使用されうるライブラリの例として図2に示す。しかし、他のライブラリ設計および/または容量も本システムおよび本方法を具現しうる。例示的なデータテープライブラリ200は、データ転送要素として機能する4つのFCテープドライブ201〜204、それぞれ10個のスロット205からなる4個のトレイ206〜209に編成される40個の媒体収容スロット205、2つのFC−SCSIブリッジ210および211、ライブラリ管理インタフェースカードまたは遠隔管理カード(RMC)212、ライブラリコントローラ213、ならびにロボティック媒体移送器220を有する。ブリッジ、ドライブ、移送器、RMCおよびコントローラは、好ましくは、I2C(inter-integrated circuit)バス214によって相互接続される。さらに、ドライブ201〜204およびライブラリコントローラ213は、好ましくは、各ドライブ201〜204およびコントローラ213の間に個々に延びる、専用の自動制御インタフェース(ACI)リンク221〜224などを使用して互いに通信する。好ましくは、各ドライブは、FCデバイスであり、ライブラリが関連するSANのFCアドレスを有する。
【0014】
本システムおよび本方法の好ましい実施形態によって用いられる分割の場合、媒体スロット205およびテープドライブ201〜204のサブセットが各パーティションに割当てられ、各パーティションに関してライブラリロボティック媒体移送器220を制御する仮想的なライブラリコントローラまたは専用仮想ライブラリチェンジャーデバイスがアドレス指定可能なはずである。図2に示す分割例は、ボックス215、216、および217によって示される。図示のように、SCSI LUN0(230)はパーティション215に対応し、SCSI LUN1(231)はパーティション216に対応し、SCSI LUN2(232)はパーティション217に対応する。メールスロットすなわちインポート/エクスポート要素を各パーティションに割当てるか、またはライブラリ全体が使用するように構成することができる。好ましくは、容易にアクセス可能な媒体ストレージスロットは、メールスロットとして構成することができる。
【0015】
好ましくは、ドライブ201〜204などの各パーティション中のFCデバイスは、1つまたは複数のFC LUNをホストしうる。ドライブそれ自体へのSCSIコマンドは、好ましくは、LUN0に送られる。各ドライブは、仮想的なコントローラを代理LUN1として提示することができる。好ましくは、パーティションにおける1つのドライブのみがそのパーティションの仮想コントローラを提示する。コントローラ213は、パーティション中のどのドライブが仮想的なコントローラを提示するかを指示する。コントローラ213はACI221、222、223、または224を介して仮想コントローラを提供するようにドライブを構成する。
【0016】
ドライブが受信する仮想コントローラのLUNへのSCSIコマンドは、ドライブのACIを介してコントローラ213に渡される。コントローラ213は、ドライブのACI214を介してSCSI応答をドライブに返送する。次にドライブは、仮想コントローラLUNからFC SANを介してこれらSCSI応答を送信する。SCSIのコマンドおよび応答は、好ましくは、ACIメッセージパケットとしてパッケージされ、適切な形態でACIを介して送信される。ドライブのファームウェアは、好ましくは、仮想コントローラまたは代理LUNのホストを促進する機能性をサポートし、ドライブのACIを介してSCSIメッセージをコントローラ213へ/から往復で受け渡しする。これは、どのパーティションにあるドライブかに関係なく、またSCSIコマンドによりどの論理コントローラがアドレス指定されているドライブかにも関係ない。コントローラ213は、パーティションのどのドライブが論理コントローラLUNをホストしているかを判定し維持する。よって、ACIはバス(すなわち、各ドライブのコントローラにACIポートがあり、それぞれ1つのドライブのみに接続する)とは対照的にポイントツーポイント接続であるため、コントローラ213がACIリンクを介してSCSIコマンドを受信する場合、コマンドは1つの特定の論理コントローラにアドレス指定される。したがって、コントローラ213は、SCSIコマンドをドライブの論理コントローラから受信する場合、発信元ドライブに基づいてパーティションを識別することができる。
【0017】
構成された各パーティションごとに、そのパーティションの論理コントローラLUNをホストする1つのドライブがある。上述したように、パーティションの論理コントローラをホストするドライブがコントローラ213によって決定される。パーティション中のドライブが故障するか、またはFC SANから不注意に切断される場合、有利なことにコントローラは、そのパーティションをホストする論理ライブラリLUNを引き継ぐようにパーティション中のその他のドライブの1つを構成することができる。
【0018】
既存のスタンドアロンネイティブFCデバイスへのアクセスは、上述したようにスイッチゾーニングを使用することによって制限することができる。これは、既存のスタンドアロンFCドライブとアクセスするユーザのWWNの間の一対一の関係によって促進される。しかし、分割されたSCSIデータライブラリでは、ライブラリコントローラ213は、好ましくは、FC−SCSIブリッジ210および/または211などのブリッジの背後に配置される。このような状況では、コントローラ213をセキュア化するようスイッチゾーニングにFCスイッチを構成すると、SAN管理者のプロセスが追加され、実行され、ユーザとの調整が行われる。FCスイッチ構成は従来、ライブラリ管理カードの制御下になく、スイッチゾーニングの手動での構成は誤りを犯しやすい。
【0019】
本発明のシステムおよび方法によれば、ネイティブFCテープドライブ201〜204は、スイッチゾーニングおよび関連する手動での構成を必要とすることなく、WWNまたは他の一意のホストデバイス識別子に基づいてセキュリティをサポートすることができる。より有用なワンステップ構成プロセスを提供するために、このようなセキュリティは、管理カード212を介して確立し変更することができる。
【0020】
ライブラリ200に配置されるテープドライブ201〜204すべてがFCテープドライブであり、かつライブラリコントローラ213がブリッジ210または211などのFC−SCSIブリッジと共通のバス上にない場合、パーティションごとに1つのライブラリコントローラのインスタンスが、各パーティションにおける1つのテープドライブを介して代理LUN230、231、および232としてアクセスされるようにライブラリを構成することができる。図2に示す例では、パーティション215の代理LUN0(230)がドライブ201によって提供され、パーティション216および217それぞれの代理LUN1(231)および代理LUN2(232)は、それぞれドライブ203および204によって提供される。テープドライブ201〜204およびライブラリコントローラLUN230〜232のFCセキュリティは、RMC212を介してユーザによって構成されることが好ましい。さらに、RMC212は、どのテープドライブがどのパーティションにあるかを定義する。
【0021】
このファイバチャネル環境においてセキュリティを提供するため、ユーザは、RMC212の制御インタフェースを介して、各パーティション中のテープドライブ、ライブラリコントローラ、および媒体などのパーティションリソースへのアクセスをどのSANホストが有するかを構成することもできる。このセキュリティ構成は、ウェブブラウザインタフェースを介して、またはネットワーク管理プロトコルインタフェースを介して実行しうる。たとえば、ユーザは、アクティブなパーティションを選択し、そのパーティションを非セキュアにしてすべてのホストアクセスを許可するように構成するか、あるいはアクセスをホストWWNもしくは同様の一意のホストデバイス識別子のリストに制限するように構成することができる。最大の柔軟性を提供するために、デフォルトにより、パーティションのセキュリティレベルは非セキュアに設定されることが好ましい。すべてのホストのパーティションへのアクセスを阻止するためには、WWNのリストを空にしてパーティションを構成することができる。反対に、アクティブなパーティションにないディスエーブルされたリソースへのすべてのホストによるアクセスは制限されることが好ましい。
【0022】
好ましくは、テープドライブのセキュリティ構成は、テープドライブがサポートする、ZDBなどの任意の拡張された第三者のコピーコマンドを備えるテープドライブ自体へのアクセスに適用される。テープドライブのセキュリティ構成はまた、好ましくは、テープドライブがホストまたはサポートする任意のライブラリコントローラ代理LUN230〜232にも適用される。好ましくは、RMC212は、パーティション中のどのテープドライブが代理LUNをホストしているかを知る必要がない。好ましくは、パーティション中のすべてのテープドライブが同じセキュリティ設定を有する。したがって、たとえば図2のパーティション215について示すように、パーティション中のテープドライブの1つが代理LUNをホストする限り、代理LUN230ならびに代理LUN下にあるドライブ201および202には、要求されるセキュリティ設定が適用されている。好ましくは、上述したように、ライブラリコントローラのファームウェアは、どのテープドライブがそのパーティションのライブラリコントローラ代理LUNを保持するかを判定する。あるいは、コントローラのファームウェアおよびテープドライブのファームウェアが、各パーティションについてどのテープドライブがライブラリコントローラ代理LUNを保持するかについて交渉することができる。
【0023】
好ましくは、FCドライブは、関連するSANに接続されるホストがドライブを見る能力をブロックする。換言すれば、ドライブはホストのWWNに基づいていずれのSCSIコマンド(たとえば、SCSI照会など)にも応答しない。しかし、WWNは各SCSIコマンドにおいて送信されないため、ドライブは、好ましくは、後述するようにネームサーバによって割当てられるホストのソースIDに基づいてフィルタリングする。
【0024】
パーティションが再構成される場合、テープドライブのFCセキュリティ設定が再構成されることが好ましい。RMC212は、I2Cバス214を介してセキュリティ構成要求をライブラリコントローラ213に送信する。好ましい実施形態によれば、ライブラリコントローラ213は、テープドライブのACIポートを介してセキュリティ構成要求を特別なACIコマンドのフォーマットでテープドライブに渡す。テープドライブにおけるFC−LUNセキュリティはACIを介してアウトオブバンド(out-of-band)で構成されるため、ドライブへの/からのデータの搬送に使用されるSCSIバスをセキュリティ構成に使用する必要がない。
【0025】
FCコマンドは概して、発信元ホストのWWNを含まない。しかし、FCコマンドはソースIDを使用する。したがって、本発明によれば、テープドライブもまたFCソースID−WWNマッピングを維持すべきである。テープドライブは、ログイン時にSAN関連のネームサーバからソースID−WWNマッピングについての情報を収集し、ネームサーバに状態変更通知要求(request state change notification)を発し、これらマッピングにおけるいずれの変更についても通知されることになる。FCテープドライブが維持するセキュリティルックアップテーブルに新しいWWNが追加される場合、ドライブはこの新しいWWNのソースIDについてネームサーバに照会すべきである。好ましくは、入ってくる各コマンドのソースIDが、テープドライブに発せられたかそれともFCテープドライブがホストする代理LUNに発せられたかに関係なく、FCドライブまたは代理LUNのセキュリティ構成と比較され、これを使用してセキュリティアクセスを決定する。ソースIDが表形式になったセキュリティの設定においてWWNにマッピングされたソースIDと整合する場合、アクセスは許可される。ドライブまたは代理LUNのセキュリティ設定が非セキュアな場合、ソースIDに関係なくアクセスは許可される。
【0026】
パーティションへのセキュリティアクセスが変更される場合、そのパーティションの新しいセキュリティ設定がパーティション中のすべてのテープドライブに送信されることが好ましい。テープドライブのファームウェアは、ACIを介してセキュリティ構成要求を受信すると、現在のセキュリティ設定を消去してから、セキュリティ構成要求に含まれる許可されたWWNの新しいリストまたは非セキュアな設定を不揮発性ランダムアクセスメモリ(NVRAM)に格納するはずである。影響を受ける各FCテープドライブへのセキュリティ構成要求は、そのデバイスに許可されたWWNのリストを含むことができる。ライブラリパーティションが非セキュアであり、したがっていずれのイニシエータWWNにも利用可能である場合、セキュリティ構成要求はドライブを非セキュアなまま残す。テープドライブのデフォルト構成は、好ましくは、非セキュアである。最後に、セキュリティ構成要求がテープドライブにWWNの空のリストを確立する場合、テープドライブはアクティブなパーティションの一部であるべきではなく、したがって好ましくはディスエーブルされ、あらゆるユーザによるドライブへのアクセスも全く許可しない。
【0027】
ライブラリ管理ファームウェアは、セキュリティ構成要求を使用して、あらゆるセキュリティ情報をクリアして非セキュアな状態にすることができる。これは、ユーザがライブラリを工場出荷時の状態に設定したい場合、またはライブラリ管理ファームウェアが、上書きする必要のある別のライブラリからのセキュリティ情報を含む置換FCテープドライブを検出する場合に必要でありうる。テープドライブがパーティションに追加または除去される場合、そのテープドライブのセキュリティ設定は、好ましくは、新しいパーティションのセキュリティ設定を反映するように変更される。
【0028】
上述したように、好ましくは、本発明を使用するために必要なのは、既存のライブラリへのファームウェア変更だけである。代理LUN機能性を実施し、かつWWNベースのフィルタリングを実施するようにテープドライブファームウェアに変更を行う必要がありうる。ライブラリコントローラのファームウェアは、パーティション単位でWWNベースのフィルタリングを用いるようにFCドライブを構成する複数の論理コントローラ代理LUN機能性を使用するようにFCドライブを構成する能力を与えるように変更する必要がありうる。上述したように、好ましくは、ハードウェアの変更は必要ない。
【0029】
当業者が認識するように、本システムおよび本方法は、他のタイプのSANインタフェースへのドライブ、たとえばインターネットSCSI(iSCSI)との併用にもよく適している。好ましくは、本システムおよび本方法を使用するためのiSCSIデバイスへの変更は、iSCSI名などFCソースIDおよび/またはWWNのiSCSI同等物を使用して、セキュア化されたデバイスへのアクセスのイニシエータを認証することだけである。この発明は、例として次のような実施形態を含む。
【0030】
(1) ストレージエリアネットワークに関連するデータライブラリ分割システム(200)であって、
データ記憶媒体を収容するように適合される複数の収容スロット要素(205)であって、少なくとも1つの前記収容スロット要素からなる少なくとも1つのセットが複数のパーティション(215〜217)の1つのパーティションに割当てられる複数の収容スロット要素(205)と、
前記データ記憶媒体を受け取り、前記データ記憶媒体へ/からデータを転送するように適合される複数のデータ転送要素(201〜204)であって、少なくとも1つの該データ転送要素からなる少なくとも1つのセットそれぞれは前記パーティションの1つに割当てられ、前記パーティションそれぞれの少なくとも1つのデータ転送要素は、前記パーティションそれぞれの仮想コントローラ(230〜232)の論理要素名称(LUN0、LUN1、LUN2)をホスト(host)し、前記仮想コントローラは、前記データ記憶媒体の移動を前記パーティションのうちの同じパーティションに割当てられた前記収容スロット要素のセットと前記データ転送要素のセットとの間に制限する、複数のデータ転送要素(201〜204)と、
を備えるシステム。
【0031】
(2) 前記パーティションの少なくとも1つはセキュア化され、該セキュア化されたパーティションの特定の1つへのアクセスは、該特定のパーティションへのアクセスについての一意のホストデバイス識別子のリストにリストされる一意のホストデバイス識別子を有する前記データライブラリのユーザに制限される(1)記載のシステム。
【0032】
(3) セキュア化されたパーティションについての一意のホストデバイス識別子のリストが空であると、前記セキュア化されたパーティションがどのユーザのアクセスからもセキュア化されることになる、(2)記載のシステム。
【0033】
(4) 前記一意のホストデバイス識別子のリストは、前記パーティションそれぞれにおける少なくとも1つのデータ転送要素によって維持される(2)または(3)記載のシステム。
【0034】
(5) 前記データ転送要素はデータテープドライブに接続されるファイバチャネルである(1)または(2)記載のシステム。
【0035】
(6) 前記論理要素名称はSCSI(small computer systems interface)論理装置番号である(1)または(2)記載のシステム。
【0036】
(7) 前記仮想コントローラの論理装置番号は、前記データライブラリのSCSI IDの形で取り決められる(6)記載のシステム。
【0037】
(8) ストレージエリアネットワークに関連するデータライブラリ(200)を分割する方法であって、
前記データライブラリに複数のパーティション(215〜217)を確立することであって、前記パーティションはそれぞれ少なくとも1つの収容スロット要素(205)および少なくとも1つのデータ転送要素(201〜204)を備え、前記収容スロット要素はそれぞれ媒体を収容するように適合され、前記データ転送要素はそれぞれ、前記媒体を受け取り、前記媒体へ/からデータを転送するように適合され、
異なる論理要素名称(LUN0、LUN1、LUN2)を前記データライブラリのパーティションにそれぞれに割当て、また、前記パーティションにおける前記データ転送要素の少なくとも1つがホストする仮想コントローラ(230〜232)に前記パーティションと同じ論理要素名称を割当てること、
同じパーティションに割当てられた前記パーティションと前記データ転送要素との間での前記媒体の移動を制限することとを含む方法。
【0038】
(9) 前記パーティションそれぞれにアクセスし得る一意のホストデバイス識別子のリストを割当てることによって前記パーティションのうち選択されたパーティションをセキュア化することをさらに含む(8)記載の方法。
【0039】
(10) パーティションにアクセスし得る前記一意のホストデバイス識別子のリストを前記パーティションにおける前記データ転送要素の少なくとも1つに維持することをさらに含む(8)または(9)記載の方法。
【図面の簡単な説明】
【図1】本発明の好ましい実施形態により動作するSANの線図である。
【図2】本発明の実施形態により動作するデータライブラリ例の線図である。
Claims (1)
- ストレージエリアネットワークに関連するデータライブラリ分割システムであって、
データ記憶媒体を収容するように適合される複数の収容スロット要素であって、少なくとも1つの前記収容スロット要素からなる少なくとも1つのセットが複数のパーティションの1つのパーティションに割当てられる複数の収容スロット要素と、
前記データ記憶媒体を受け取り、前記データ記憶媒体へ/からデータを転送するように適合される複数のデータ転送要素であって、少なくとも1つの該データ転送要素からなる少なくとも1つのセットそれぞれは前記パーティションの1つに割当てられ、前記パーティションそれぞれの少なくとも1つのデータ転送要素は、前記パーティションそれぞれの仮想コントローラの論理要素名称をホストし、前記仮想コントローラは、前記データ記憶媒体の移動を前記パーティションのうちの同じパーティションに割当てられた前記収容スロット要素のセットと前記データ転送要素のセットとの間に制限する、複数のデータ転送要素と、
を備えるシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002371819A JP2004206221A (ja) | 2002-12-24 | 2002-12-24 | 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002371819A JP2004206221A (ja) | 2002-12-24 | 2002-12-24 | 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004206221A true JP2004206221A (ja) | 2004-07-22 |
Family
ID=32810601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002371819A Pending JP2004206221A (ja) | 2002-12-24 | 2002-12-24 | 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004206221A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006260284A (ja) * | 2005-03-17 | 2006-09-28 | Hitachi Ltd | ストレージ管理ソフトウェア及びグルーピング方法 |
| JP2008027279A (ja) * | 2006-07-24 | 2008-02-07 | Hitachi Ltd | 複数の仮想計算機からのテープ媒体へのアクセスを制御する方法及びシステム |
| KR100835269B1 (ko) * | 2006-12-07 | 2008-06-05 | 한국전자통신연구원 | 다운로드 서버와 공유 라이브러리의 분할을 이용한 응용프로그램 설치 및 업데이트 방법 |
-
2002
- 2002-12-24 JP JP2002371819A patent/JP2004206221A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006260284A (ja) * | 2005-03-17 | 2006-09-28 | Hitachi Ltd | ストレージ管理ソフトウェア及びグルーピング方法 |
| JP2008027279A (ja) * | 2006-07-24 | 2008-02-07 | Hitachi Ltd | 複数の仮想計算機からのテープ媒体へのアクセスを制御する方法及びシステム |
| US7716417B2 (en) | 2006-07-24 | 2010-05-11 | Hitachi, Ltd. | Method and system for controlling access to tape media from a plurality of virtual computers |
| JP4731420B2 (ja) * | 2006-07-24 | 2011-07-27 | 株式会社日立製作所 | 複数の仮想計算機からのテープ媒体へのアクセスを制御する方法及びシステム |
| KR100835269B1 (ko) * | 2006-12-07 | 2008-06-05 | 한국전자통신연구원 | 다운로드 서버와 공유 라이브러리의 분할을 이용한 응용프로그램 설치 및 업데이트 방법 |
| WO2008069431A1 (en) * | 2006-12-07 | 2008-06-12 | Electronics And Telecommunications Research Institute | Download server and method for installing and updating application program using partitioning of shared library |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6999999B2 (en) | System and method for securing fiber channel drive access in a partitioned data library | |
| US6839824B2 (en) | System and method for partitioning a storage area network associated data library employing element addresses | |
| US7134048B2 (en) | Logical unit security for clustered storage area networks | |
| US20020029319A1 (en) | Logical unit mapping in a storage area network (SAN) environment | |
| US7500134B2 (en) | Virtual array failover | |
| US7437462B2 (en) | Method for zoning data storage network using SAS addressing | |
| JP3895677B2 (ja) | ライブラリ分割を利用して可動媒体ライブラリを管理するシステム | |
| JP4667707B2 (ja) | 複数のパーティションを利用する可動媒体ライブラリとの通信を仲介する方法 | |
| US7752384B2 (en) | System and method for controlling access to media libraries | |
| JP2004005381A (ja) | ストレージエリアネットワーク関連データライブラリを分割するシステム | |
| US7062614B2 (en) | System and method for managing access to multiple devices in a partitioned data library | |
| US20030126225A1 (en) | System and method for peripheral device virtual functionality overlay | |
| US20020103913A1 (en) | System and method for host based target device masking based on unique hardware addresses | |
| JP2006048313A (ja) | 複数の管理者から管理されるストレージシステムの管理方法 | |
| US20070263637A1 (en) | On-line data migration of a logical/virtual storage array | |
| US6810396B1 (en) | Managed access of a backup storage system coupled to a network | |
| JP2004206221A (ja) | 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム | |
| WO2020023638A1 (en) | Methods for managing workloads in a storage system and devices thereof |