JP2005100194A - Server device multiply belonging to two or more user closed network - Google Patents

Server device multiply belonging to two or more user closed network Download PDF

Info

Publication number
JP2005100194A
JP2005100194A JP2003334495A JP2003334495A JP2005100194A JP 2005100194 A JP2005100194 A JP 2005100194A JP 2003334495 A JP2003334495 A JP 2003334495A JP 2003334495 A JP2003334495 A JP 2003334495A JP 2005100194 A JP2005100194 A JP 2005100194A
Authority
JP
Japan
Prior art keywords
server
server device
user
virtual execution
execution environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003334495A
Other languages
Japanese (ja)
Inventor
Yusuke Kira
雄介 吉良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003334495A priority Critical patent/JP2005100194A/en
Publication of JP2005100194A publication Critical patent/JP2005100194A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To allow a physical one server device multiply belonging to a plurality of user closed networks to perform independent operations for every user closed networks, and to secure the closed property of user closed networks inside the multiply belonging server device. <P>SOLUTION: The execution environment of a user process is independently constructed for each of user closed networks in an application layer in a server device so that the use of an application or file between the different user closed networks can be made exclusive. The server device is provided with a network space where those execution environments are made privately independent, and it is logically separated from the network communication path of a server program operating in each execution environment on the network so that the closed property of the user closed networks inside the server device multiply belonging to the plurality of user closed networks can be secured. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、インターネットやプライベートネットワークや事業者IP網を介して接続された複数の異なる閉域網に多重帰属型のサーバホスティングサービス(物理的に1台のサーバ装置を用いて複数のユーザ閉域網に仮想専用サーバとしてのサーバ機能を提供するサービス)や情報共有サーバサービス(サーバ装置を介してファイルやデータベースなどを複数のユーザ閉域網に共有化するサービス)などのサーバ装置に関する。   The present invention provides a server hosting service of multiple attribution to a plurality of different closed networks connected via the Internet, a private network, or a provider IP network (physically using a single server device to a plurality of user closed networks). The present invention relates to a server device such as a service that provides a server function as a virtual dedicated server) and an information sharing server service (a service that shares files, databases, and the like with a plurality of user closed networks via the server device).

複数の異なるユーザ網に対して、物理的に1台のサーバ装置を仮想的に各々の専用サーバであるかのように動作させる手法として、サーバ装置のユーザプロセス層にアプリケーションやユーザコマンドの実行空間として通常は1つだけ用意されている実行環境を複数用意し、各々のユーザ網ごとに専用の実行環境(以下、仮想実行環境という)を割り当てる手法がある。この手法は、アプリケーションやファイルの有効範囲が各仮想実行環境内に閉じられるため、アプリケーションやファイルの取扱いがユーザ網間で排他となることを利用している。この手法を用いたサーバ装置は、サーバ装置を利用するユーザ間のセキュリティと専有性とを高め、共有利用によってユーザコストを低くしている。   As a technique for operating a single server device as if each server is virtually dedicated to a plurality of different user networks, an execution space for applications and user commands in the user process layer of the server device In general, there is a method of preparing a plurality of execution environments that are usually prepared and assigning a dedicated execution environment (hereinafter referred to as a virtual execution environment) to each user network. This method uses the fact that the application and file handling is exclusive between user networks because the effective range of the application and file is closed in each virtual execution environment. A server apparatus using this method increases security and exclusiveness among users who use the server apparatus, and lowers the user cost through shared use.

近年、通信コストを安く抑えかつ安全な通信を行うために閉域網の利用が多い。閉域網は企業だけでなく、SOHO(Small Office Home Office)ユーザや個人ユーザでも用いられており、その数は増加している。また、企業内の部課ごとに閉域網を利用するなど、閉域網の利用形態は小規模多数化している。このような小規模型の閉域網にサーバ装置を提供する方法として、各閉域網ごとにサーバ装置を設置する方法があるが、設置に必要な稼動とコストの大きさの割には実際に使用量は少ないなど問題は多い。   In recent years, a closed network is often used in order to reduce communication costs and perform safe communication. Closed networks are used not only by companies but also by SOHO (Small Office Home Office) users and individual users, and the number thereof is increasing. In addition, the use of closed networks has become smaller and more numerous, such as using closed networks for each department within a company. One way to provide server equipment for such a small closed network is to install a server equipment for each closed network, but it is actually used for the required operation and cost. There are many problems such as small amount.

そこで、物理的に1台のサーバ装置を用いて各閉域網にそれぞれ専用のサーバ装置があるかのように動作する多重帰属型の閉域網向け仮想サーバ装置を考える。閉域網では一般に、ローカルアドレスが用いられる。このようなユーザ閉域網に多重帰属するサーバ装置を考える場合、ユーザ閉域網間の閉域性を確保する必要がある。
ここに、ユーザ閉域網AとBとがサーバ装置にそれぞれ接続しているとする。サーバ装置が複数備える仮想実行環境をAとBとに1つずつ割り当てることで、AとBとはサーバ装置におけるお互いの存在を知ることなく、あたかも上記サーバ装置が専用サーバであるかのようにサーバプログラムの実行やファイルの操作が可能となる。 Thus, a virtual server device for a multi-affiliation type closed network that operates as if there is a dedicated server device in each closed network using one physical server device is considered. In a closed network, a local address is generally used. When considering such a server device belonging to multiple user closed networks, it is necessary to ensure closeness between the user closed networks.
Here, it is assumed that the user closed networks A and B are connected to the server device, respectively. By assigning multiple virtual execution environments provided by the server device to A and B one by one, A and B do not know each other in the server device, as if the server device is a dedicated server Server programs can be executed and files can be manipulated.

しかし、Aが自らの仮想実行環境において実行するサーバプログラムに、Bはネットワーク通信によりアクセスすることができてしまい、ユーザ閉域網間の閉域性を失うという問題が生じる。通常、サーバ装置にはユーザ閉域網間ごとに異なるIPアドレスが1つずつ割り当てられており、IPアドレスを重複して割り当てることは、ネットワーク上、論理的に不可能である。Bは、Aが利用するサーバ装置のIPアドレスに接続することで、Aのサーバプログラムを利用できてしまう。この問題の回避策として、自らのクライアントホストが利用するローカルアドレス空間以外からのIP接続を拒否するように、Aがサーバプログラムごとにアクセス可否の設定を行う方法がある。しかし、全てのサーバプログラムが設定可能であるとは限らず、完全な解決策には至らない。   However, B can access the server program executed by A in its own virtual execution environment through network communication, resulting in a problem of loss of closeness between user closed networks. Normally, a different IP address is assigned to each server device for each user closed network, and it is logically impossible on the network to assign IP addresses in duplicate. B can use the server program of A by connecting to the IP address of the server device used by A. As a workaround for this problem, there is a method in which A sets access permission for each server program so as to refuse IP connections from other than the local address space used by its own client host. However, not all server programs are configurable and do not lead to a complete solution.

さらに、ユーザ閉域網AとBとが同一のローカルアドレス空間を使用していて、AのクライアントホストとBのクライアントホストとでIPアドレスが衝突している場合、サーバ装置には同一のIPアドレスを持ったホストが複数存在するように見えてしまい、正常な通信を行うことができないという問題が生じる。この問題の回避策として、サーバ装置を利用するユーザ網ごとに異なるローカルアドレス空間を割り当てる方法が考えられる。しかし、サーバ装置を利用するユーザ網およびその数が動的に変化する場合に、ユーザ網管理者とサーバ装置管理者との双方に非常に煩雑なIPアドレスの管理が必要になるという問題が生じる。   Further, when the user closed networks A and B use the same local address space, and the IP address collides between the A client host and the B client host, the same IP address is assigned to the server device. There appears to be a problem that a plurality of hosts appear to exist and normal communication cannot be performed. As a workaround for this problem, a method of allocating a different local address space for each user network using the server device can be considered. However, when the user network using the server device and the number thereof dynamically change, there is a problem that both the user network administrator and the server device administrator need to manage the IP address very complicated. .

ところで、インターネットにおいては、現在、TCP/IPプロトコル群がホストやルータなどといった機器の間での通信に使われている。そのTCP/IPプロトコル群はインターネットプロトコルスタック(以下、単にプロトコルスタックという)と呼ばれる。このプロトコルスタックの役割としては、IPアドレスの管理、パケット配送のための経路(ルーティング)情報の管理、各プロトコルパケットの処理などネットワーク通信に必要な役割を担う。   Meanwhile, on the Internet, the TCP / IP protocol group is currently used for communication between devices such as a host and a router. The TCP / IP protocol group is called an Internet protocol stack (hereinafter simply referred to as a protocol stack). The protocol stack plays a role necessary for network communication, such as management of IP addresses, management of route (routing) information for packet delivery, and processing of each protocol packet.

従来のサーバ装置やルータには、ユーザプロセス層の下位層にプロトコルスタックが1つだけ用意されており、サーバ装置やルータは、プロトコルスタックにおいては通信機能を、ユーザプロセス層においてはアプリケーションが実行できる環境を提供する。
従って、複数の異なるユーザ閉域網に対して多重帰属的にサーバ装置を提供する場合、サーバ装置の通信機能部とアプリケーション実行環境部とをユーザ閉域網ごとに仮想分離して、サーバ装置内部におけるユーア閉域網間の閉域性を確保する必要がある。 Conventional server devices and routers have only one protocol stack in the lower layer of the user process layer. Server devices and routers can execute communication functions in the protocol stack and applications in the user process layer. Provide an environment.
Therefore, when providing a server device with multiple attribution to a plurality of different user closed networks, the communication function unit and the application execution environment unit of the server device are virtually separated for each user closed network, and a user in the server device is provided. It is necessary to ensure closeness between closed networks.

特許文献1に示されている通信機能部のみを仮想分離したサーバ装置では、ファイルおよびアプリケーションの取扱いが標準で共有状態であって、ユーザ閉域網間の複雑な排他処理が別途必要であり、アプリケーション実行環境部のみを仮想分離したサーバ装置(Free BSDコミュニティにおけるjail 機能を用いたサーバ装置、Linux コミュニティにおけるUser Mode Linux を導入したサーバ装置など)では、ユーザ閉域網の各個とサーバ装置との間の通信においてユーザ閉域網間の複雑な排他処理が別途必要となる。これらのサーバ装置は、サーバ装置管理者とユーザ閉域網管理者とによる閉域制の欠如を補完するための複雑な設定と運用制限とによって、複数の異なるユーザ閉域網に多重帰属する仮想サーバサービスの実用を難しくしている。   In the server device in which only the communication function unit shown in Patent Document 1 is virtually separated, handling of files and applications is shared in the standard, and complicated exclusive processing between user closed networks is required separately. In a server device in which only the execution environment part is virtually separated (a server device using the jail function in the Free BSD community, a server device in which the User Mode Linux is introduced in the Linux community, etc.) In communication, complicated exclusion processing between user closed networks is required separately. These server devices have a virtual server service belonging to multiple different user closed networks due to complicated settings and operational restrictions to complement the lack of closed systems by server device administrators and user closed network administrators. Making it practical is difficult.

特開2003−167805号公報JP 2003-167805 A

本発明は上記事情に鑑みてなされたもので、その目的とするところは、複数のユーザ閉域網に多重帰属する物理的に1台のサーバ装置において、通信機能部とアプリケーション実行環境部とを各ユーザ閉域網間で共有することなく、各々のユーザ閉域網に独立した提供を可能にして、上記サーバ装置内部でのユーザ閉域網間の閉域性を容易に確保することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a communication function section and an application execution environment section in each physically one server device belonging to multiple user closed networks. An object of the present invention is to enable independent provision to each user closed network without sharing between the user closed networks, and to easily ensure the closeness between the user closed networks inside the server device.

上記目的を達成するために、本発明は、ユーザプロセス層において仮想実行環境を複数装備したサーバ装置に対して、各々の仮想実効環境の下位層にプロトコルスタックを一つずつ用意することにより、サーバ装置内部における各ユーザ閉域網の仮想サーバ領域を共有することなく分断するように構成したことを特徴とする。   In order to achieve the above object, the present invention provides a server device having a plurality of virtual execution environments in a user process layer by providing one protocol stack in a lower layer of each virtual effective environment. The present invention is characterized in that the virtual server area of each user closed network inside the apparatus is divided without being shared.

より具体的には、本発明は、複数のユーザ閉域網と同時に接続を行い、ユーザプロセス層においてアプリケーションの仮想的な実行環境を前記ユーザ閉域網ごとに独立して有し、異なる仮想実行環境間でのアプリケーションやファイルの取扱いが排他となる物理的に1台のサーバ装置であって、前記仮想実行環境ごとに通信プロトコルスタックおよびその通信プロトコルスタックが有する通信機能を独立して提供することを特徴とするサーバ装置を提供するものである。   More specifically, the present invention connects simultaneously with a plurality of user closed networks, and has a virtual execution environment of an application independently for each user closed network in the user process layer, between different virtual execution environments. Is a server device that is physically exclusive for handling applications and files, and independently provides a communication protocol stack and a communication function of the communication protocol stack for each virtual execution environment. A server device is provided.

ここで、前記仮想実行環境とプロトコルスタックとの間にあって、仮想実行環境とプロコトルスタックとの組み合わせを記憶し、サーバプログラムのユーザプロセス情報から前記サーバプログラムが属する仮想実行環境を認識して、サーバプログラムとプロトコルスタックとの間のリンクを前記記憶に従いリンク制御するリンク制御機構を具備することが好ましい。   Here, between the virtual execution environment and the protocol stack, the combination of the virtual execution environment and the protocol stack is stored, the virtual execution environment to which the server program belongs is recognized from the user process information of the server program, and the server program It is preferable to provide a link control mechanism for controlling the link between the protocol stack and the protocol stack according to the storage.

また、前記仮想実行環境の各々が、複数のIPアドレスを同時利用することができ、かつ、異なる仮想実行環境間でのIPアドレスを重複利用できることが好ましい。さらに、前記サーバプログラムのソースコードまたはバイナリを改造することなく使用できることが好ましい。   Further, it is preferable that each of the virtual execution environments can use a plurality of IP addresses at the same time, and can use IP addresses between different virtual execution environments. Furthermore, it is preferable that the server program source code or binary can be used without modification.

なお、上述の各サーバ装置の動作は、これをコンピュータ制御により実現させることが好ましく、本発明の技術範囲は、このためのサーバ装置用プログラム、さらには、このサーバ装置用プログラムを格納したコンピュータにより読み取り可能な記憶媒体にも及ぶことはいうまでもない。   The operation of each of the server devices described above is preferably realized by computer control, and the technical scope of the present invention is a server device program for this purpose, and further, a computer storing the server device program. Needless to say, it extends to a readable storage medium.

本発明によれば、複数のユーザ閉域網に多重帰属する物理的に1台のサーバ装置が、各々のユーザ閉域網に独立したサーバ機能の提供を可能にして、サーバ装置内部でのユーザ閉域網間の閉域性を容易に確保することが可能になる。   According to the present invention, a single physical server device belonging to a plurality of user closed networks can provide an independent server function to each user closed network, and the user closed network inside the server device can be provided. It is possible to easily ensure the closeness between.

より具体的には、本発明によれば、共用型VPN(Virtual Private Network )サーバホスティングであっても、専用サーバ同等の閉域性や機密性を有することが可能となる。加えて、今後増加していくと予想される、複数企業間でのデータ交換を必要とするプロジェクトの実施時や調達業務の実施時に必要となる、複数閉域網向けの仮想サーバの構築・運用などを提供するハウジングサービスへの展開が可能になる。   More specifically, according to the present invention, even in shared VPN (Virtual Private Network) server hosting, it is possible to have a closed property and confidentiality equivalent to a dedicated server. In addition, the construction and operation of virtual servers for multiple closed networks, which are required when implementing projects that require data exchange between multiple companies or when performing procurement operations, which are expected to increase in the future Expansion to housing services that provide

また、このサービスは自社の閉域網に手を加えることなく複数の他企業と情報の連携が可能になるので、ISP(Internet Service Provider )などが行っているIP−VPNサービスの新しい付加サービスとしての展開が見込める。さらに、企業だけでなく、個人向けのポータルサイトサービスへの展開も可能になる。このように、本発明は閉域網向けの新しい情報流通プラットフォームを構築する手段としての利用が見込める。   In addition, since this service allows information to be linked with multiple other companies without modifying the company's closed network, it can be used as a new additional service for the IP-VPN service provided by ISPs (Internet Service Provider). Expansion is expected. Furthermore, it will be possible to develop portal site services for individuals as well as companies. As described above, the present invention can be used as a means for constructing a new information distribution platform for a closed network.

以下、添付の図面に示す好適実施形態に基づいて、本発明を詳細に説明する。   Hereinafter, the present invention will be described in detail based on preferred embodiments shown in the accompanying drawings.

図1は、本発明の一実施形態に係るサーバ装置概要図である。従来のサーバ装置に対して、実環境部4,カーネル内の通信プロトコル部5,ファイルシステム部6,コア部7等に加えて、仮想実行環境部1a,1b,……と、カーネル内のプロトコルスタック多重構成部2(この内部には、TCP/IPプロトコルスタック2a,2b,……が備えられている)、並びにシステムコールインタフェース部のリンク制御部3とが新たに備えられている。   FIG. 1 is a schematic diagram of a server device according to an embodiment of the present invention. In contrast to the conventional server device, in addition to the real environment unit 4, the communication protocol unit 5 in the kernel 5, the file system unit 6, the core unit 7, etc., the virtual execution environment units 1a, 1b,. A stack multiplex configuration unit 2 (in which TCP / IP protocol stacks 2a, 2b,... Are provided) and a system call interface unit link control unit 3 are newly provided.

上述の、それぞれの仮想実行環境部1a,1b,……には、オペレーションコマンドとサーバプログラム11と、カーネルに対して特定の「仕事」を要求するコマンドでありサーバプログラムやオペレーションコマンドのC言語プログラムの中に関数として記述されるシステムコール12と、サーバプログラム11の実行によってサーバプログラムからロードされる共有ライブラリ13とが備えられている。   Each of the virtual execution environment units 1a, 1b,... Described above is an operation command, a server program 11, and a command that requests a specific “work” from the kernel. Are provided with a system call 12 described as a function and a shared library 13 loaded from the server program when the server program 11 is executed.

上述の、プロトコルスタック多重構成部2は、図2に示される周知のTCP/IPプロトコルスタックを複数備えているものである。リンク制御部3は、前述の仮想実行環境部1a,1b,……とプロトコルスタック多重構成部内部のTCP/IP2a,2b,……との間に位置し、仮想実行環境とTCP/IPプロトコルスタックとの組み合わせを記憶するとともに、この記憶内容に基づいて仮想実行環境部中のサーバプログラムを所定のTCP/IPプロトコルスタックに結合させる機能を備えている。   The above-described protocol stack multiplexing configuration unit 2 includes a plurality of well-known TCP / IP protocol stacks shown in FIG. The link control unit 3 is located between the virtual execution environment units 1a, 1b,... Described above and the TCP / IPs 2a, 2b,. And a function for coupling the server program in the virtual execution environment unit to a predetermined TCP / IP protocol stack based on the stored contents.

以下、上述のように構成される、本実施形態に係るサーバ装置の動作について、図3に示す動作フロー図をも参照して説明する。   Hereinafter, the operation of the server device according to the present embodiment configured as described above will be described with reference to the operation flowchart shown in FIG.

ステップ21、22:仮想実行環境を構築する
仮想実行環境の初期化動作を決定するためのオペレーションコマンドによって、実環境同様、初期化シーケンスを実行し仮想実行環境をアクティブ状態にする。これは、前述の既存のOSであるFree BSDのjail またはLinux のUML(User Mode Linux )を利用して仮想実行環境を構築することができる。ただし、jail およびUMLは一つのプロトコルスタックを複数の仮想実行環境で共有して使用することを前提としているために、各々の仮想実行環境では他の仮想実行環境と異なる単一のIPアドレスを指定しての運用しかできない。
本実施形態に係る仮想実行環境は、IPアドレスではなく任意のプロトコルスタックを指定してアクティブ状態にしたjail またはUML相当の仮想実行環境である。そこで、この時点で、仮想実行環境内のサーバプログラムやファイルは他の仮想実行環境とは隔離される。 Steps 21 and 22: Constructing a virtual execution environment By an operation command for determining the initialization operation of the virtual execution environment, the initialization sequence is executed as in the real environment to make the virtual execution environment active. In this case, a virtual execution environment can be constructed by using the above-mentioned existing OS, such as Free BSD jail or Linux UML (User Mode Linux). However, since jail and UML assume that one protocol stack is shared and used by multiple virtual execution environments, each virtual execution environment specifies a single IP address that is different from other virtual execution environments. Can only be used.
The virtual execution environment according to the present embodiment is a virtual execution environment equivalent to jail or UML in which an arbitrary protocol stack is specified instead of an IP address and is activated. At this point, the server program and files in the virtual execution environment are isolated from other virtual execution environments.

ステップ23,24:サーバプログラムの実行とテーブル書き込み
仮想実行環境をアクティブ状態にすると、この仮想実行環境が使用するプロトコルスタックの情報はリンク制御部3へ達する。仮想実行環境において実行されるオペレーションコマンドやサーバプログラムなどのユーザプロセスは、プロセスID(Identifier )やグループIDなどの様々な情報が格納されているプロセステーブルの中に、自分が仮想実行環境の中で動作しているか否かの情報、さらに仮想実行環境の中で動作している場合には仮想実行環境を特定するための識別情報を有する。 Steps 23 and 24: Server program execution and table writing When the virtual execution environment is activated, the information of the protocol stack used by the virtual execution environment reaches the link control unit 3. A user process such as an operation command or a server program executed in the virtual execution environment is stored in a process table in which various information such as a process ID (Identifier) and a group ID is stored. Information on whether or not it is operating, and identification information for specifying the virtual execution environment when operating in the virtual execution environment.

仮想実行環境が使用するプロトコルスタックの情報を受け取ったリンク制御部3は、仮想実行環境とプロトコルスタックとの組み合わせを記憶し、サーバプログラムが起動されるとそのプロセステーブルからサーバプログラムが属する仮想実行環境を特定して、サーバプログラムを所定のプロトコルスタックに接続させる準備を整える。   The link control unit 3 that has received the information on the protocol stack used by the virtual execution environment stores the combination of the virtual execution environment and the protocol stack, and when the server program is started, the virtual execution environment to which the server program belongs from the process table And prepare for connecting the server program to a predetermined protocol stack.

なお、それぞれのユーザ閉域網が使用する仮想実行環境A,B,Cでは、ローカルアドレスを自由に用いて、ここでは、サーバ装置にIPアドレスを割り当てている。AはIPアドレスa(192.168.1.1)を、BはIPアドレスb(192.168.1.1)を、CはIPアドレスc(192.168.1.1)をそれぞれ割り当てているものとする。閉域網間ではローカルアドレス空間の衝突がしばしば見られるため、本実施形態においては、故意に衝突させている。   Note that in the virtual execution environments A, B, and C used by the respective user closed networks, local addresses are freely used, and here, IP addresses are assigned to the server devices. A assigns IP address a (192.168.1.1), B assigns IP address b (192.168.1.1), and C assigns IP address c (192.168.1.1). It shall be. Since local address space collisions are often seen between closed networks, in this embodiment, they are intentionally made to collide.

ステップ25,26:テーブルを参照してバインディング(接続)
各ユーザ閉域網は、サーバ装置をWebサーバとして利用することを考える。仮想実行環境AにおいてWebサーバ用のサーバプログラムが実行されると、リンク制御部3はサーバプログラムのプロセステーブルを参照して、サーバプログラムの母体となる仮想実行環境を特定する。リンク制御部3は、予め指示された仮想実行環境とプロトコルスタックとの組み合わせに基づいて、前述のサーバプログラムが所定のプロトコルスタックに接続できるように制御を行う。リンクが確立すると、前述のサーバプログラムがクローズされるまで、リンクは保持される。仮想実行環境B,Cについても同様である。 Steps 25 and 26: Binding (connection) with reference to the table
Each user closed network considers using a server device as a web server. When the server program for the web server is executed in the virtual execution environment A, the link control unit 3 refers to the process table of the server program and identifies the virtual execution environment that is the parent of the server program. The link control unit 3 performs control so that the above-described server program can be connected to a predetermined protocol stack based on a combination of a virtual execution environment and a protocol stack designated in advance. Once the link is established, the link is maintained until the aforementioned server program is closed. The same applies to the virtual execution environments B and C.

サーバ装置の外部側、すなわち、ユーザ閉域網側から受け取るパケットには、VLAN(Virtual Local Area Network )やMPLS(Multi Protocol Label Switching )などのレイヤ2識別子がラベリングされる。VLAN−ID#1番のパケットは、サーバ装置のネットワークインターフェースから仮想実行環境Aのプロトコルスタックへ受け渡される。逆に、ユーザ閉域網側へ送信する場合は、仮想実行環境Aのプロトコルスタックからネットワークインタフェースへパケットが受け渡されるときに、VLAN−ID#1番をタグ付けして、仮想実行環境Aを使用しているユーザ閉域網へ送信する。   A packet received from the outside of the server device, that is, from the user closed network side, is labeled with a layer 2 identifier such as VLAN (Virtual Local Area Network) or MPLS (Multi Protocol Label Switching). The VLAN-ID # 1 packet is transferred from the network interface of the server device to the protocol stack of the virtual execution environment A. Conversely, when transmitting to the user closed network side, when a packet is delivered from the protocol stack of the virtual execution environment A to the network interface, VLAN-ID # 1 is tagged and the virtual execution environment A is used. To the closed user network.

上記動作は、仮想実行環境B,Cについても同様である。これにより、仮想実行環境Aを使用しているユーザ閉域網側の端末および仮想実行環境A内部からは、仮想実行環境BのIPアドレスさらにはWebサーバにネットワーク上、アクセスすることが不可能となる。   The above operation is the same for the virtual execution environments B and C. This makes it impossible to access the IP address of the virtual execution environment B and also the web server on the network from the user closed network side terminal using the virtual execution environment A and the virtual execution environment A inside. .

以後の処理(パケットの送受処理等)については、ステップ27〜29に示した通りであり、この部分については、それぞれ通常の処理と同様であるので、詳細な説明は省略する。   Subsequent processing (packet transmission / reception processing, etc.) is as shown in steps 27 to 29. Since this portion is the same as normal processing, detailed description thereof is omitted.

以上、具体例を示して説明した通り、本実施形態に係るサーバ装置によれば、複数のユーザ閉域網に多重帰属する物理的に1台のサーバ装置において、通信機能部とアプリケーション実行環境部とを各ユーザ閉域網間で共有することなく、各々のユーザ閉域網に独立した提供を可能にして、サーバ装置内部でのユーザ閉域網間の閉域性を容易に確保することが可能となる。   As described above, with the server device according to the present embodiment as described with a specific example, the communication function unit, the application execution environment unit, and the like in the physically single server device belonging to multiple user closed networks. Can be provided independently to each user closed network without being shared among the user closed networks, and the closeness between the user closed networks inside the server apparatus can be easily secured.

なお、上記実施形態は、本発明の一例を示したもであり、本発明はこれに限定されるものではなく、本発明の趣旨を逸脱しない範囲内で、適宜の変更・改良を行ってもよいことはいうまでもない。   The above embodiment is merely an example of the present invention, and the present invention is not limited to this, and appropriate modifications and improvements may be made without departing from the spirit of the present invention. Needless to say, it is good.

例えば、上述のサーバ装置の動作は、これをコンピュータ制御により実現させることが好ましく、本発明の技術範囲は、このためのサーバ装置用プログラム、さらには、このサーバ装置用プログラムを格納したコンピュータにより読み取り可能な記憶媒体にも及ぶことはいうまでもない。   For example, the operation of the server device described above is preferably realized by computer control, and the technical scope of the present invention is read by a server device program for this purpose, and further by a computer storing the server device program. It goes without saying that it extends to possible storage media.

上述のように、本発明によれば、共用型VPNサーバホスティングであっても、専用サーバ同等の閉域性や機密性を有することが可能となる。加えて、今後増加していくと予想される複数企業間でのデータ交換を必要とするプロジェクトの実施時や調達業務の実施時に必要となる複数閉域網向けの仮想サーバの構築・運用などを提供するハウジングサービスへの展開が可能になる。   As described above, according to the present invention, even with shared VPN server hosting, it is possible to have closeness and confidentiality equivalent to a dedicated server. In addition, it provides the construction and operation of virtual servers for multiple closed networks that are required when implementing projects that require data exchange between multiple companies, which are expected to increase in the future, and when performing procurement operations. Development into a housing service is possible.

また、このサービスは自社の閉域網に手を加えることなく複数の他企業と情報の連携が可能になるので、前述のISPなどが行っているIP−VPNサービスの新しい付加サービスとしての展開が見込める。さらに、企業だけでなく個人向けのポータルサイトサービスへの展開も可能になる。このように、本発明は閉域網向けの新しい情報流通プラットフォームを構築する手段としての利用が見込める。   In addition, since this service allows information to be linked with multiple other companies without modifying the company's closed network, it can be expected to be developed as a new additional service for the IP-VPN service provided by the ISPs mentioned above. . Furthermore, it will be possible to develop portal site services for individuals as well as companies. As described above, the present invention can be used as a means for constructing a new information distribution platform for a closed network.

本発明の一実施形態に係るサーバ装置を示す概要図である。It is a schematic diagram which shows the server apparatus which concerns on one Embodiment of this invention. TCP/IPプロトコルスタック単体の構成図である。It is a block diagram of a single TCP / IP protocol stack. 一実施形態に係るサーバ装置の動作フロー図である。It is an operation | movement flowchart of the server apparatus which concerns on one Embodiment.

符号の説明Explanation of symbols

1a,1b,…… 仮想実行環境部
2 プロトコルスタック多重構成部
2a,2b,…… TCP/IPプロトコルスタック
3 リンク制御部
4 実環境部
5 通信プロトコル部
6 ファイルシステム部
7 コア部
11 サーバプログラム
12 システムコール
13 共有ライブラリ 1a, 1b,... Virtual execution environment section 2 Protocol stack multiplex configuration section 2a, 2b,... TCP / IP protocol stack 3 Link control section 4 Real environment section 5 Communication protocol section 6 File system section 7 Core section 11 Server program 12 System call 13 Shared library

Claims (6)

複数のユーザ閉域網と同時に接続を行い、ユーザプロセス層においてアプリケーションの仮想的な実行環境を前記ユーザ閉域網ごとに独立して有し、
異なる仮想実行環境間でのアプリケーションやファイルの取扱いが排他となる物理的に1台のサーバ装置であって、
前記仮想実行環境ごとに通信プロトコルスタックおよびその通信プロトコルスタックが有する通信機能を独立して提供することを特徴とするサーバ装置。 A plurality of user closed networks are connected simultaneously, and a virtual execution environment of an application is independently provided for each user closed network in a user process layer,
It is one server device that is physically exclusive to handling applications and files between different virtual execution environments,
A server apparatus characterized by independently providing a communication protocol stack and a communication function of the communication protocol stack for each virtual execution environment. 前記仮想実行環境とプロトコルスタックとの間にあって、仮想実行環境とプロコトルスタックとの組み合わせを記憶し、サーバプログラムのユーザプロセス情報から前記サーバプログラムが属する仮想実行環境を認識して、サーバプログラムとプロトコルスタックとの間のリンクを前記記憶に従いリンク制御するリンク制御機構を具備することを特徴とする請求項1に記載のサーバ装置。   Between the virtual execution environment and the protocol stack, storing the combination of the virtual execution environment and the protocol stack, recognizing the virtual execution environment to which the server program belongs from the user process information of the server program, and the server program and the protocol stack 2. The server apparatus according to claim 1, further comprising a link control mechanism that controls a link between the first link and the second link according to the storage. 前記仮想実行環境の各々が、複数のIPアドレスを同時利用することができ、かつ、異なる仮想実行環境間でのIPアドレスを重複利用できることを特徴とする請求項1または2に記載のサーバ装置。   3. The server apparatus according to claim 1, wherein each of the virtual execution environments can use a plurality of IP addresses simultaneously, and can use IP addresses between different virtual execution environments. 前記サーバプログラムのソースコードまたはバイナリを改造することなく使用できることを特徴とする請求項1〜3のいずれか1項に記載のサーバ装置。   The server apparatus according to any one of claims 1 to 3, wherein the server apparatus can be used without modifying the source code or binary of the server program. 請求項1〜4のいずれか1項に記載のサーバ装置の動作をコンピュータ制御により実現させるためのサーバ装置用プログラム。   The program for server apparatuses for implement | achieving operation | movement of the server apparatus of any one of Claims 1-4 by computer control. 請求項5に記載のサーバ装置用プログラムを格納したコンピュータにより読み取り可能な記憶媒体。   A computer-readable storage medium storing the server device program according to claim 5.
JP2003334495A 2003-09-26 2003-09-26 Server device multiply belonging to two or more user closed network Pending JP2005100194A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003334495A JP2005100194A (en) 2003-09-26 2003-09-26 Server device multiply belonging to two or more user closed network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003334495A JP2005100194A (en) 2003-09-26 2003-09-26 Server device multiply belonging to two or more user closed network

Publications (1)

Publication Number Publication Date
JP2005100194A true JP2005100194A (en) 2005-04-14

Family

ID=34462164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003334495A Pending JP2005100194A (en) 2003-09-26 2003-09-26 Server device multiply belonging to two or more user closed network

Country Status (1)

Country Link
JP (1) JP2005100194A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067631A (en) * 2005-08-30 2007-03-15 Kddi Corp Vpn server hosting system, and vpn buildup method
JP2009147695A (en) * 2007-12-14 2009-07-02 Kddi Corp Method of controlling communication, and system
JP2010039566A (en) * 2008-07-31 2010-02-18 Digital Electronics Corp Information management system
JP2010093716A (en) * 2008-10-10 2010-04-22 Hitachi Software Eng Co Ltd System shared by plurality of organizations
US8943123B2 (en) 2010-03-19 2015-01-27 Fujitsu Limited Server apparatus, network access method, and computer program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067631A (en) * 2005-08-30 2007-03-15 Kddi Corp Vpn server hosting system, and vpn buildup method
JP4490352B2 (en) * 2005-08-30 2010-06-23 Kddi株式会社 VPN server hosting system and VPN construction method
JP2009147695A (en) * 2007-12-14 2009-07-02 Kddi Corp Method of controlling communication, and system
JP2010039566A (en) * 2008-07-31 2010-02-18 Digital Electronics Corp Information management system
JP2010093716A (en) * 2008-10-10 2010-04-22 Hitachi Software Eng Co Ltd System shared by plurality of organizations
US8943123B2 (en) 2010-03-19 2015-01-27 Fujitsu Limited Server apparatus, network access method, and computer program

Similar Documents

Publication Publication Date Title
US11863625B2 (en) Routing messages between cloud service providers
US11563681B2 (en) Managing communications using alternative packet addressing
US10135827B2 (en) Secure access to remote resources over a network
JP7085565B2 (en) Intelligent thread management across isolated network stacks
JP4349396B2 (en) Integrated service management system
CN1754374B (en) Network address translation with gateway load distribution
US9282055B2 (en) System and method for initializing and maintaining a series of virtual local area networks contained in a clustered computer system
US20170353394A1 (en) Resource placement templates for virtual networks
US8843600B1 (en) Providing private access to network-accessible services
JP4587446B2 (en) NETWORK SYSTEM, SWITCH DEVICE, ROUTE MANAGEMENT SERVER, ITS CONTROL METHOD, COMPUTER PROGRAM, AND COMPUTER-READABLE STORAGE MEDIUM
JP2007014013A (en) Integrated service management system
US11563799B2 (en) Peripheral device enabling virtualized computing service extensions
US10116622B2 (en) Secure communication channel using a blade server
US11520530B2 (en) Peripheral device for configuring compute instances at client-selected servers
US9716688B1 (en) VPN for containers and virtual machines in local area networks
JP2005100194A (en) Server device multiply belonging to two or more user closed network
WO2006096875A1 (en) Smart tunneling to resources in a remote network