JP2007087059A - 記憶制御システム - Google Patents

記憶制御システム Download PDF

Info

Publication number
JP2007087059A
JP2007087059A JP2005274344A JP2005274344A JP2007087059A JP 2007087059 A JP2007087059 A JP 2007087059A JP 2005274344 A JP2005274344 A JP 2005274344A JP 2005274344 A JP2005274344 A JP 2005274344A JP 2007087059 A JP2007087059 A JP 2007087059A
Authority
JP
Japan
Prior art keywords
storage control
target
storage
access
initiator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005274344A
Other languages
English (en)
Inventor
Shinjiro Shiraki
伸二郎 白木
Kosuke Komikado
孝輔 小見門
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005274344A priority Critical patent/JP2007087059A/ja
Priority to US11/289,608 priority patent/US7395393B2/en
Publication of JP2007087059A publication Critical patent/JP2007087059A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【解決課題】 通信ネットワークに接続するイニシエータとターゲット間のアクセス設定と、ターゲットに対するLUNセキュリティに対する設定とを、連携させた、記憶制御システムを提供する。
【解決手段】 一つ又は複数のイニシエータを有するホスト装置と、一つ又は複数のターゲットと、記憶領域と、前記ターゲットと前記記憶領域とのアクセス関係を規定するセキュリティ特性と、を備える、記憶制御装置と、前記イニシエータと前記ターゲットとの間のアクセス対応関係が記憶された管理モジュールと、を備え、前記セキュリティ特性が前記記憶制御装置に設定された際、当該記憶制御装置は設定されたセキュリティ特性に基づいて、前記管理モジュールの前記アクセス対応関係を設定するようにした。
【選択図】 図1

Description

本発明は、通信ネットワークを介して、記憶制御装置とホスト装置とが接続され、前記記憶制御装置のターゲットと前記ホスト装置のイニシエータとの間のアクセスを、制御するように構成された、記憶制御システム、及びこのシステムに適用される記憶制御装置に関するものである。
記憶制御装置と、この記憶制御装置に対して上位となるホスト装置などを、ファイバチャネルで接続したストレージエリアネットワーク(SAN)が知られている。近年、このSANが持つ課題、例えば、長距離接続などを解決するために、ファイバチャネルの変わりにIPネットワークでSANを構築するIP−SANが提案されている。IP−SANでは、主にiSCSI(インターネットSCSI)を通信プロトコルとする通信が可能である。
IP−SANでは、或る通信ネットワークに接続された記憶制御装置は、同一または別な通信ネットワークに接続する不特定のノードからのアクセスを受ける場合がある。したがって、IP−SANでは、ネットワーク上でI/Oコマンドを発するユニットとしてのイニシエータと、I/Oコマンドを受信するユニットとしてのターゲットとの間のアクセス制御をいかに実現して、セキュリティを高めるかが重要である。
この問題を解決する一例が、特開2002−63063号公報に記載されている。この公報は、複数のホストコンピュータと複数のストレージ装置が、スイッチを介して接続されたストレージエリア・ネットワーク・システムにおいて、上記ストレージエリア・ネットワークを統合制御する統合管理機構を備え、該統合管理機構はホストコンピュータとストレージ装置とのアクセス経路情報を備えるとともに、該アクセス経路情報に基づき、ホストコンピュータのストレージエリア・ネットワーク管理機構に対して、ストレージ装置に対する管理情報を通知し、スイッチの領域設定機構に対して領域情報を通知し、ストレージ装置のストレージ管理機構に対して上記ホストコンピュータについてのアクセス制限情報を通知することを特徴とするストレージエリア・ネットワーク管理システムを開示している。
また、特開2001−265655号公報は、ホストコンピュータ毎にアクセス可能な論理ユニット(LUN)を制限するという、不正アクセスを防止するLUNセキュリティ機能を達成するために、記憶領域が1つ以上の論理ユニットに対応している1つ以上の記憶装置と、前記記憶装置へのデータ読み書きを制御する記憶制御装置と、前記論理ユニットを管理するための管理テーブルと、前記管理テーブルを保持するためのメモリを有し、前記管理テーブルは、ホストコンピュータを識別する情報と、ホストコンピュータがアクセス可能な前記論理ユニットを特定する識別番号と、前記論理ユニットの識別番号に対応する仮想的な識別番号の対応を記述しており、前記ホストコンピュータを識別する情報をキーにして前記管理テーブルを参照することにより、ホストコンピュータのアクセス可否が判定できる記憶サブシステムを開示している。
特開2002−63063号公報 特開2001−265655号公報
iSCSIを通信プロトコルとする通信ネットワークにおいては、LUNセキュリティを実現するために、iSCSIネームで特定のホスト装置(イニシエータ)が識別される。記憶制御装置は、管理端末からユーザインタフェース(例えばGUIなど)を利用して、記憶制御装置内にターゲットを作成するとともに、ターゲットにiSCSIネームを付与する。記憶制御装置は、ターゲットに対してアクセスが可能なイニシエータのiSCSIネームを、メモリに登録し、ターゲットに対してアクセスを許可する論理ユニットを割り当てる。
ところで、iSCSIプロトコルを用いた、IP−SANのシステムでは、ホスト装置及び記憶制御装置は、接続対象となる相手方を発見(ディスカバリー)する手段を備えていない。さらに、iSCSIネームを同一ネットワーク上の不特定多数のデバイスに通知する機能を備えていない。
ホスト装置(イニシエータ)が記憶制御装置(ターゲット)のIPアドレスとTCPポート番号を分かっていれば、ホスト装置は、ターゲットのiSCSIネームを取得することができる。しかしながら、記憶制御装置側(ターゲット)がイニシエータのiSCSIネームを取得する機能はプロトコルには無い。したがって、記憶制御装置の管理者はホスト装置に設定されているiSCSIネームを記憶制御装置に設定する必要がある。iSCSIネームは最大223文字からなり、これを人手により設定することは入力間違いを起こすなどの問題を引き起こす可能性がある。
これらを解消するための1つの手段として、iSNSサーバサービスの利用が考えられる。iSNSサーバは、iSCSIイニシエータとiSCSIネームターゲットをディスカバリードメイン(Discovery Domain)と呼ばれるグループに分類できる機能を持ち、分類された情報を、イニシエータやターゲットに伝達するサービスを提供するものである。これにより、イニシエータはアクセス可能なターゲットを知ることができる。このために、iSCSIイニシエータやiSCSIターゲットがiSNSクライアントとしてiSNSサーバに登録される。クライアントから登録された情報を元に、iSNSサーバ管理者は、ディスカバリードメインを作成し、組み合わせたいイニシエータとターゲットとをグルーピングして、これをiSNSサーバに登録する。これにより、イニシエータは最初からターゲットのIPアドレスやTCPポート番号を知らなくても、iSNSサーバから通知された情報を基に目的とするターゲットにアクセスすることができる。
iSNSサーバサービスにより、イニシエータとターゲットとの間のアクセス関係の設定が容易になされるようになったとしても、記憶制御装置の管理者は、LUNセキュリティがされたターゲットとイニシエータ間の対応関係の設定を、iSNSサーバに対する設定とは別に行う必要があった。この結果、例えば、iSNSサーバに対する設定と、記憶制御装置におけるLUNセキュリティの設定とに時間差が生じることがあると、iSNSサーバのアクセス設定と記憶制御装置のアクセス設定とが一致しないという問題が生じる。
これにより、例えば、記憶制御装置にLUNセキュリティが設定されたにも拘わらず、これがiSNSサーバに反映されていないとすると、LUNセキュリティ設定前のディスカバリ情報に基づいて、イニシエータから不必要なログインやリトライ要求が記憶制御装置に送られて、記憶制御装置へのアクセス性能を低下させる問題がある。
さらにこのことは、ファブリックを介して、ホスト装置と記憶制御装置が接続される場合でも同様である。すなわち、ホスト装置はファブリックのネームサーバに対して、アクセス可能なノードのポートアドレスを問い合わせて、そのポートアドレスに対してログインを試みる。ホスト装置から見える、記憶装置のターゲットノードに対しては一律にログインが発行されるため、記憶制御装置には既述のLUNセキュリティが設定される。
記憶制御装置は、アクセス許可されていないサーバからのログインをリジェクトするが、サーバは、記憶装置のリジェクトに対してリトライを繰り返す。ファブリックへのゾーニングがLUNセキュリティの設定のタイミングからずれると、既述のログインリトライが繰り返され、記憶制御装置へのアクセス性能が低下する問題がある。
本発明は、通信ネットワークに接続するイニシエータとターゲット間のアクセス設定と、ターゲットに対するLUNセキュリティに対する設定とを、連携させることにより、既述の問題を解決できる、記憶制御システムを提供することを目的とするものである。本発明の他の目的は、記憶制御装置における、アクセス許可設定がイニシエータとターゲット間のアクセス設定に直ちに反映可能な、記憶制御制御システムを提供することにある。
前記目的を達成するために、本発明は、記憶制御装置の処理主体が、LUNセキュリティを更新・作成するなどの設定を行った時点で、このLUNセキュリティ情報からイニシエータとターゲット間のアクセス関係を生成し、これをiSNSサーバなどアクセス管理モジュールに反映させることを特徴とするものである。
本発明の第1は、一つ又は複数のイニシエータを有するホスト装置と、一つ又は複数のターゲットと、記憶領域と、前記ターゲットと前記記憶領域とのアクセス関係を規定するセキュリティ特性と、を備える、記憶制御装置と、前記イニシエータと前記ターゲットとの間のアクセス対応関係が記憶された管理モジュールと、を備え、前記セキュリティ特性が前記記憶制御装置に設定された際、当該記憶制御装置は設定されたセキュリティ特性に基づいて、前記管理モジュールの前記アクセス対応関係を設定するようにした、記憶制御システムであることを特徴とするものである。
さらに本発明の第2は、記憶制御装置と、ホスト装置と、前記記憶制御装置の一つ又は複数のターゲットと前記ホスト装置の一つ又は複数のイニシエータとのアクセス対応関係を規定した第1の記憶領域を有する管理モジュールと、が通信ネットワークを介して接続され、前記イニシエータとターゲット間のアクセスを制御する、記憶制御システムであって、前記記憶制御装置は、前記ホスト装置からのアクセスを受けるポートと、前記ポートから出力された情報に対する処理を行うプロセッサと、前記ホスト装置から受信するライトデータ及び/又は前記ホスト装置に送信されるリードデータを記憶するデータ記憶装置と、前記ターゲットと、前記データ記録装置の、一つ又は複数の論理ユニットと、の間の対応関係を定めたLUNセキュリティ特性と、前記イニシエータと前記ターゲットとの対応関係を定めたアクセス管理リストと、を記憶する第2の記憶領域と、を備え、前記プロセッサは、前記アクセス管理リストに基づいて、前記第1の記憶領域の前記アクセス対応関係を設定するようにした、記憶制御システムであることを特徴とするものである。
以上説明したように、本発明は、通信ネットワークに接続するイニシエータとターゲット間のアクセス設定と、ターゲットに対するLUNセキュリティに対する設定とを、連携させることにより、アクセス設定が遅延することによる従来の問題点を解決できる。本発明によれば、記憶制御装置におけるアクセス許可設定がイニシエータとターゲット間のアクセス設定に直ちに反映できる。
次に、本発明の実施形態について説明する。なお、以下に示す実施形態は一例であって、これによって本発明が限定されるものではない。図1は、記憶制御システムの構成を機能ブロックで示したものである。
このシステムは、複数の記憶制御装置1(a−c)と、上位装置としての複数のホスト装置2(a−c)と、インターネットプロトコル通信ネットワーク30と、通信ネットワーク30に対し複数のネットワークノードを接続するためのスイッチ3、管理装置4、記憶制御装置1とホスト2の識別情報の管理および論理的接続関係を管理するiSNSサーバ5とを有する。なお、ネットワークノードとは、記憶制御装置1、ホスト装置2、管理装置4、iSNSサーバ5等ネットワーク30に接続される機器である。
管理装置4は複数の記憶装置から構成されるトレージシステムを管理するものである。管理装置4は、個々の記憶制御装置を管理できる。便宜上破線からなる楕円で示された、ネットワーク30は、スイッチ3と、スイッチ3にホスト装置2、記憶制御装置1、iSNSサーバ5等を接続する接続線と、の総称である。管理装置4は、LAN4AによってiSNSサーバ5及び各記憶制御装置1a,1cのそれぞれに接続されている。
各記憶制御装置1(a−c)は、内蔵するディスク記憶装置を制御し、ホスト装置2からのアクセス要求を実行するコントローラCTL10(a−c)と、ホストからアクセスされる論理ユニットLU(220a、220b、220c、および221a)を有する。
各ホスト装置2は、CPU、メモリ、及びネットワーク30に接続するためのネットワークコントローラを有する計算機であり、メモリ内にイニシエータを管理するテーブル2112(a−c)を有する。
図1には、IPネットワークに、複数のホスト装置と、複数の記憶制御装置が接続したシステムが示されている。iSNSサーバ5は、ホスト装置内のアクセス単位と記憶制御装置内のアクセス単位と、をネーム(iSCSIネーム)によって管理することにより、ホスト装置内のアクセス単位が許可された、記憶制御装置のアクセス単位に接続できるようにしている。ホスト装置内のアクセス単位は記憶制御装置のアクセス単位に対して、アクセス元となるのでイニシエータに相当し、したがって、記憶制御装置内のアクセス単位がターゲットに相当する。
次に、記憶制御装置1の詳細について説明する。図2は記憶制御装置のハードウェア構成を示すブロック図である。記憶制御装置1は、例えばRAID(Redundant Array of Independent Inexpensive Disks)システムであり、記憶装置23として、アレイ状に配設された複数のディスク型記憶装置を有する1以上の物理ディスク群39を備える。それら物理ディスク群39により提供される物理的な記憶領域上には、論理的な記憶領域である1又は複数の論理デバイス(以下、「Logical Device」を略して「LDEV」と表記)35が設定される。各LDEV35には、そのLDEVの識別情報(以下、「LDEV#」と表記)が割当てられており、且つ、各LDEV#には、ホスト装置2が指定可能な論理ユニットに対応されている。論理ユニットは番号が付与されて管理されており、以下、「Logical Unit Number」、略して「LUN」で表現される。
記憶制御装置は、1又は複数のチャネルアダプタセット37と、キャッシュメモリ43と、共有メモリ47と、1又は複数のディスクアダプタセット41と、スイッチング制御部45とを備えている。
各チャネルアダプタセット37には、複数(典型的には2つ)のチャネルアダプタ37A、37Bが含まれており、それらアダプタ37A、37Bは、実質的に同一の構成になっている。これにより、例えば、一方のチャネルアダプタ37Aを介してホスト2が所定LDEVにアクセスできなくなった場合には、他方のチャネルアダプタ37Bを介して同一の所定LDEVにアクセスすることが行われる。これは、ディスクアダプタセット41についても実質的に同様である。チャネルアダプタ37A、37Bも実質的に同一の構成である。
チャネルアダプタ37Aは、1又は複数(例えば2つ)のiSCSIポート38、38を備え、iSCSIポート38を介して1又は複数のホスト2と通信可能に接続される。チャネルアダプタ37Aは、ハードウェア回路、ソフトウェア、又はそれらの組み合わせで構成することができ、この記憶制御システム1とホスト2との間のデータ通信を行う。iSCSIポート38には、インターフェース120、バッファ121、ローカルメモリ123及びプロトコル処理部122が備えられる。
インターフェース120は、スイッチ3と物理的に接続されるケーブル口を有したものである。バッファ121は、ホスト2と記憶制御システム1との間で送受信されるデータが一時的に格納されるメモリである。
ローカルメモリ123は、例えば不揮発性メモリであり、IPアドレスと、iSCSIネームと、このiSCSIポート38がアクセス可能なアクセス可能LUNとを記憶する。プロトコル処理部122は、所定内部バス(例えばPCIバス)を介してチャネルプロセッサ40、40と通信可能に接続されており、バッファ121及びローカルメモリ123内の情報に基づいて、iSCSIプロトコルに従うプロトコル処理を実行する。なお、プロトコル処理を実行する機能は、プロトコル処理部122に代えてチャネルプロセッサ40が備えても良い。
また、チャネルアダプタ37Aには、各iSCSIポート38に通信可能に接続される1以上のマイクロプロセッサ(以下、「チャネルプロセッサ」と言う)40も搭載される。更に、チャネルアダプタ37Aには、共有メモリ47と通信可能に接続されるマイクロプロセッサアダプタ(以下、「MPA」と略記)42と、キャッシュメモリ43と通信可能に接続されるデータ転送アダプタ(以下、「DTA」と略記)44とが搭載される。チャネルプロセッサ40が外部プロセッサ(具体的には、ディスクアダプタ41A、41B上の図示しないマイクロプロセッサ)との間で制御情報(例えばプロセッサ間メッセージ)を送受信する場合には、MPA42を介して制御情報が送受信される。
また、ホスト2からLDEV35にライトデータが書き込まれる場合、及び、LDEV35から読み出されたリードデータが記憶制御システム1からホスト2に出力される場合には、ライトデータ及びリードデータはDTA44を通過する。
各チャネルプロセッサ40は、例えば、共有メモリ47の制御情報格納領域50をポーリングしMPA42を介して制御情報を取得したり、キャッシュメモリ43に格納されているリードデータを読み出してホスト2に送信したり、ホスト2から受信した書込み対象のデータ(つまりライトデータ)をキャッシュメモリ43に格納したりする。
キャッシュメモリ43は、揮発性又は不揮発性のメモリである。キャッシュメモリ43には、チャネルアダプタ37A、37Bからディスクアダプタセット41のディスクアダプタ41A、41Bへ渡されるライトデータ、及び、ディスクアダプタ41A、41Bからチャネルアダプタ37A、37Bへ渡されるリードデータが一時的に格納される。
共有メモリ47は、不揮発性のメモリであり、例えば、制御情報格納領域50と、データテーブル群51とを備える。制御情報格納領域50には、上述した制御情報が格納される。
各ディスクアダプタセット41は、物理ディスク群39毎に備えられている。ディスクアダプタ41A、41Bは、図示しない1又は複数のマイクロプロセッサを備えており、そのマイクロプロセッサの処理により、ホスト装置2から指定されたLUNに対応のLDEV#を有するLDEV35に対してデータの読出し又は書込みを行なう。
スイッチング制御部45は、例えば、高速スイッチング動作によりデータ伝送を行う超高速クロスバスイッチ等のような高速バスとして構成することができる。スイッチング制御部45は、各チャネルアダプタ37A、37Bと、各ディスクアダプタ41A、41Bと、共有メモリ47と、キャッシュメモリ43とを相互に通信可能に接続する。上述した各チャネルアダプタ37A、37Bと、各ディスクアダプタ41A、41Aと、共有メモリ47と、キャッシュメモリ43との間のデータ又はコマンドの授受は、スイッチング制御部45を介して行われる。
記憶制御装置1は、ホスト2からI/O要求を受け、そのI/O要求の内容に基づく処理を実行する。以下、I/O要求の処理流れの概要を、ホスト装置2がI/O要求を発行した場合を例にして説明する。I/O要求がリード要求を示す場合は次のとおりである。
ホスト装置2から発行されたI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読出し、そのI/O要求においてリード要求されているデータ(つまりリードデータ)がキャッシュメモリ43に存在するか否かの判別を行う。
その判別の結果が肯定的の場合、すなわち、リードデータがキャッシュメモリ43に存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、キャッシュメモリ43からDTA44を介してリードデータを取得し、そのリードデータを、iSCSIポート38を介してホスト装置2に送信する。
一方、上記判別の結果が否定的の場合、すなわち、リードデータがキャッシュメモリ43に存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、所定LDEV35内のリードデータをいったんキャッシュメモリ43にリードすることをディスクアダプタ43Aのマイクロプロセッサ(以下、「ディスクプロセッサ」と言う)に指示するための制御情報を、MPA42を介して共有メモリ47に格納する。ディスクプロセッサがその制御情報を読み出すことにより、ディスクプロセッサによって、所定LDEV35からリードデータがリードされてキャッシュメモリ43に格納される。その後、チャネルプロセッサ40は、そのリードデータをキャッシュメモリ43から取得してホスト装置2に送信する。
次にI/O要求がライト要求を示す場合は次のとおりである。ホスト装置2から出力された、ライトデータを含んだI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読出し、キャッシュメモリ43上の所定領域(以下、所定キャッシュスロット)にデータが存在するか否かの判別を行う。
その判別の結果が肯定的の場合、すなわち、データが所定のキャッシュスロットに存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、上記読み出したI/O要求に含まれているライトデータを、上記所定のキャッシュスロット内のデータに上書きする。
一方、上記判別の結果が否定的の場合、すなわち、データが所定のキャッシュスロットに存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、上記読み出したI/O要求から特定されるLDEVからデータをいったんキャッシュメモリ43にリードすることをドライブ制御部41に指示する。それにより、ディスクアダプタ41によって、そのデータ記憶領域からデータがリードされて所定のキャッシュスロットに格納されたならば、チャネルプロセッサ40は、上記所定のキャッシュスロットに格納されたデータに、上記読み出したI/O要求に含まれているライトデータを上書きする。
このようにして、キャッシュメモリ43にライトデータが書き込まれたときは、当該ライト要求は終了したものとして、記憶制御システム30からホスト装置2に終了報告が返される。なお、キャッシュメモリ43にライトデータが書き込まれた時点では、一般に、そのデータは所定LDEV35には反映されておらず、その後に、ディスクプロセッサによって、キャッシュメモリ43からライトデータが読み出され所定LDEVに書き込まれる。
図3は、iSNSサーバ5の構成例を示すものである。iSNSサーバ5は、全体制御を司るCPU500、CPU500が実行する制御プログラムおよび制御データを格納するメモリ501、ネットワーク30に接続するためのネットワークコントローラ502、CPU500とメモリ501間のデータおよびプログラムの転送や、ネットワークコントローラ502とメモリ501間のデータ転送を制御するブリッジ504を有する。メモリ501は、制御データ領域511、制御プログラム領域512を有する。
制御データ領域511は、CPU500が制御プログラムを実行する際に参照する各種テーブル等を格納する領域である。制御データ領域511には、iSCSIにおけるイニシエータおよびターゲットの名前(iSCSIネーム)、及びイニシエータとターゲット間の接続関係(ディスカバリードメイン)が登録される管理テーブル5111が格納されている。
制御プログラム領域512は、CPU500が実行する制御プログラムを格納する領域である。制御プログラム領域512には、制御プログラムを実行するための環境となる基本プログラムであるオペレーティングシステムプログラム5120、TCP/IPプロトコルを用いてネットワーク30を用いたデータの送受信を実行するTCP/IPプログラム5121、ネットワーク30に接続するiSCSIノード(すなわちホスト2およびストレージ)のネーム管理およびiSCSイニシエータとiSCSIターゲット間の対応関係を制御するネーム管理プログラム5122、iSCSIプロトコル仕様に基づき各イニシエータおよびターゲットのネーム管理のための通信を行う通信プログラム5123が格納されている。iSNSサーバ(iSCSI Name Server)5に代えて、iSNS以外のネームサーバ仕様でも良い。
ホスト装置2のイニシエータと記憶制御装置1のターゲットは、ネームサーバ5のクライアントとして、それらのデバイス情報がサーバの管理テーブル5111(図3)に登録される。図4は、デバイス情報テーブルの一例を示す。デバイス情報テーブルには、デバイス(イニシエータ又はターゲット)のデバイスネーム(iSCSIネーム)、デバイスのIPアドレス及びTCPポート番号、タイプ(イニシエータ/ターゲットの種別)、ESI(Entity State Inquiry)の有無、SCN(State Change Notification 状態変更通知)などの制御情報が登録される。AAAAAはホスト装置2のイニシエータAのiSCSIネームであり、BBBBBは記憶制御装置1のターゲットBのiSCSIネームである。ドメインビットマップは、後述の図8(6)に示すディスカバリードメインのエントリ対して、そのデバイスが登録されているか否かを示すフラグである。コントロールは、iSNSサーバの管理権限の有無を示すフラグである。
管理テーブル5111として、さらに、ディスカバリードメイン(Discovery Domain)リストテーブルがサーバの制御データ領域に登録されている。ディスカバリードメインとは、イニシエータと、ターゲットとの接続関係を規定した情報である。図5はディスカバリードメインリストテーブルの一例であり、ドメインXというグループに、ホスト装置AのイニシエータAと、記憶制御装置CのターゲットCが割り当てられ、ドメインYというグループに、ホスト装置BのイニシエータBと、記憶制御装置DのターゲットDとが割り当てられていることを示している。これを図示すると図6のようになる。イニシエータAは同一ドメイン(グループ)のターゲットCに接続可能であり、異ドメイン(異グループ)のターゲットDには接続できない。イニシエータBはターゲットDに接続可能となる。
ホスト装置AがiSNSサーバに対して、接続されるターゲットを求める処理としてのディスカバリを行うと、iSNSサーバはディスカバリードメインリストテーブル及びデバイステーブルを参照して、イニシエータAに接続されるべきターゲットCのIPアドレスやiSCSIネームがイニシエータAに通知される。
あるいは、図4に示したデバイスリストテーブルにSCNが登録されていると、ターゲット及び/又はイニシエータがiSNSサーバで、新たなディスカバリードメインに登録された際、又は当該ターゲットが所属するドメイングループに変更があった際、同じドメイングループに属するノード(イニシエータ及びターゲット)にディスカバリードメインの登録内容が通知される。これによりホスト装置のイニシエータは自身がアクセスできるターゲットのネームやアドレスを知ることができる。これはターゲットについても同じである。イニシエータは、iSCSIネームに基づいて、このイニシエータと同じドメイングループとして定義されたターゲットにアクセスすることができる。なお、SCNが登録されていても、iSNSサーバへのディスカバリードメインが登録されることなく、記憶制御装置にLUNセキュリティがさきに設定されると、iSNSサーバのアクセス制限と記憶制御装置のアクセス制限とが一致しないことになる。これを改善するのが本発明である。
図4に示す、デバイスリストテーブルは、イニシエータ及びターゲットがiSNSサーバにアクセスした際に、このサーバの制御データ領域に登録される。ディスカバリードメインリストテーブルは、iSNSサーバの管理者によって作成される。ディスカバリードメインリストテーブルは、iSNSサーバの管理者がユーザーインタフェース(例えばGUI)を用いたプロパティ画面に基づいて作成及び登録される。また、後述のとおり、記憶制御装置にLUNセキュリティが設定されると、記憶制御装置はLUNセキュリティからイニシエータとターゲットとの対応関係を読み出し、これを図5のディスカバリドメインテーブルに登録する。
次に、記憶制御装置のLUNセキュリティについて説明する。図7は、記憶制御装置内に対して設定されるLUNセキュリティを示す機能ブロック図であり、ポート1A,1B,2A,2Bの各ポート38に所定のターゲット1・・・5が割り当てられている。ホストグループ(HG)1・・・5はターゲットとLUN(論理ユニット)220との対応関係を規定するための管理単位である。ホストグループに特定の論理ユニットが対応している。一例では、ポート2Aがターゲット3(HG3)とターゲット4(HG4)にマッピングされている。ターゲット3には論理ユニットLU2が割り当てられている。ターゲット4には、論理ユニットLU3と論理ユニットLU5とが割り当てられている。
LUNセキュリティは、記憶制御装置の共有メモリ47の制御情報格納領域50に設定される各種制御テーブルによって実現される。図8(1)はターゲットネットワーク情報テーブルであり、このテーブルには、ターゲットが所属するポートのネットワーク情報(IPアドレス/TCPポート♯、iSNSサーバアドレス)が定義されている。
図8(2)は、ターゲットリストテーブルである。記憶制御装置に設定されるターゲットは、このターゲットにアクセス許可されるイニシエータと関連させるために、ホストグループ(HG)として生成される。一つのホストグループには一つのターゲットのiSCSIネームが対応している。さらに、ターゲットが属するポートが定義される。図8(2)と図7とから、ポート1AからターゲットBBBBB(HG♯1)とターゲットCCCC(HG♯2)が見えるようにポートにホストグループがマッピングされている。なお、図8(2)のDD=00は、ホストグループが未設置である事を示している。
図8(3)はイニシエータリストテーブルを示すものである。イニシエータのターゲットに対するアクセス許可は、ホストグループのビットマップをセットすることで決められる。例えば、イニシエータAAAAAは、ポート1AのターゲットBBBBB(HG♯1)とターゲットCCCCC(HG♯2)にアクセス可能なようにホストグループビットマップが設定される。図8(4)はアクセスリストテーブルを示す。各ホストグループには、アクセス可能な論理ユニットナンバ(LUN)が定義されている。なお、AAAAA、BBBBB、CCCCCは、イニシエータ又はターゲットのiSCSIネームである。
次に、イニシエータが特定のターゲットにアクセスする動作を具体的に説明する。例えば、イニシエータAAAAAが、ターゲットBBBBBにログインする時、ターゲットはログインコマンドに含まれるiSCSIネームと、そのコネクション情報であるIPアドレスとTCPポート番号をイニシエータiSCSIネーム−ネットワークコネクション変換テーブルに記憶する。図8(5)はこの変換テーブルを示す。ログイン以降、記憶制御装置がイニシエータを識別することは、この変換テーブルによって行う。この変換テーブルのホストグループの情報(HG♯)はイニシエータリストテーブル(図8(3))を参照することによって明らかとなる。
記憶制御装置のポートに接続されたチャネルアダプタのチャネルプロセッサ40は、イニシエータリストテーブルを参照し、イニシエータのiSCSIネームがイニシエータリストテーブルに登録されていることを確認した場合は、イニシエータに「許可」を応答し、登録されていない場合には「拒否」を応答する。この時、記憶制御装置は、イニシエータiSCSIネーム−ネットワークコネクション変換テーブルを生成する。記憶制御装置は、ログイン以降のSCSIコマンドに対して、アクセスリストテーブルの対応するデバイス(LUN)情報でイニシエータに応答する。
イニシエータがターゲットにログインすると、記憶制御装置は、イニシエータのiSCSIネームを特定でき、イニシエータリストテーブルからホストグループを特定でき、当該ホストグループが登録されたアクセスリストテーブルにより、このホストグループに割り当てられている論理ユニット(LUN)を特定できる。なお、アクセスリストテーブルにおいて、一つのホストグループに一つの論理デバイス(LU)が対応するようにしても良い。
次に、記憶制御装置がセキュリティ設定を行う動作について、説明する。先ず、図8(6)に示すディスカバリードメインリストテーブルにドメインネームを登録し、各ドメインネームに、イニシエータとターゲットとの分類の管理単位となるエントリ♯(DD)を定義する。なお、図8の(3)のイニシエータリストテーブル、イニシエータネーム−ネットワーク変換テーブル(5)、ディスカバリードメインリストテーブル(6)は、ストレージのプロセッサ(チャネルプロセッサ)によって作成され、共有メモリに登録される。これらの制御テーブルの情報は、最初にiSNSサーバに設定されて、これを記憶制御装置が制御テーブルの情報を取り込み、LUNセキュリティを設定する際、記憶制御装置側で更新し、これを記憶制御装置からiSNSサーバ側に反映させても良い。
記憶制御装置1は、ディスカバリードメイン情報からドメインネームに属するターゲットに、対応するエントリを登録する。即ち、図8(2)のターゲットリストテーブルのターゲットBBBBBにDD♯(01)が、ターゲットCCCCCにDD♯(02)が登録される。次いで、記憶制御装置1は、ディスカバリードメイン情報からドメインネームに属するイニシエータに、このドメインネームに割り当てられたエントリに対応するように、イニシエータリストテーブル(図8(3))のドメインビットマップを登録する。
次いで、記憶制御装置1は、ターゲットリストテーブル(図8(2))で、特定のエントリ(DD♯)に対応するホストグループを識別し、このホストグループに対応するように、イニシエータリストテーブル(図8(3))のホストグループビットマップを有効にする。
このイニシエータリストテーブルに記載されているように、記憶制御装置は、イニシエータAAAAAがターゲットBBBBB及びCCCCCのホストグループに対応するように、イニシエータビットマップを有効にする。イニシエータビットマップの1ビット目がホストグループ00に対応し、2ビット目がホストグループ01に対応し、3ビット目がホストグループ02に対応し、・・・・最終ビットがホストグループFFに対応する。
ホストグループビットマップが、0110000・・・・0000に登録されることによって、イニシエータAAAAAがターゲットBBBBB及びCCCCCに対応する。これによって、イニシエータAAAAAは、LUNセキュリティの設定が行われた、ターゲットBBBBB(ホストグループ:01)とターゲットCCCCC(ホストグループ:02)にのみにアクセス可能となる。
次に、記憶制御装置に、既述のLUNセキュリティの設定が行われた時、記憶制御装置からiSNSサーバへ通知される、ディスカバリードメインの構成変更情報を基に、iSNSサーバがディスカバリードメインの構成情報の設定或いは更新を行う動作を図9に基づいて説明する。
先ず、ホスト装置(イニシエータ)及び記憶制御装置(ターゲット)は、iSNSサーバに対して,TCP/IPコネクションを確立し、イニシエータはiSCSIネームを(AAAAAA)を、ターゲットは、iSCSIネーム(BBBBB,CCCCC)をiSNSサーバのデバイスリストテーブル(図4)に登録しているデバイスリストテーブルにある、その他のパラメータもiSNSサーバに登録される(900)。
次に、図1に示すように、管理装置4が記憶制御装置1aに、LUNセキュリティ(図8の制御テーブル)の設定或いは更新を行うと、記憶制御装置1aのコントローラCTLは、図8の制御テーブルからディスカバリードメイン情報を作成し(902)、これをiSNSサーバに通知する(906)。
記憶制御装置がディスカバリードメイン情報を作成するのは次のとおりである。ターゲットネームとイニシエータネームとは、ターゲットリストテーブル(図8(2))のホストグループ(HG♯)と、イニシエータリストテーブル(図8(3)をキーにして、グルーピングされる。ターゲットリストテーブル(図8(2))のエントリ(DD)からディスカバリードメインリストテーブルのドメインネームが決定される。
すなわち、イニシエータ(AAAAA)とターゲット(BBBBB)とがドメイン(ドメインネーム:0001)も分類された、ディスカバリードメイン情報が形成される。記憶制御装置がター下とリストテーブル(図8(2))の全てのエントリについて、この処理を行うことによって(904)、全てのドメイングループについてディスカバリードメイン情報を作成できる。記憶制御装置1からディスカバリードメイン情報の通知を受けたiSNSサーバは、管理テーブル5111に記録されているディスカバリードメインを更新修正する。
図10(1)はiSNSサーバに通知された、ドメイン001のディスカバリードメイン情報であり、図10(2)は、ドメイン0002のディスカバリードメイン情報である。イニシエータがiSNSサーバにターゲットの情報をディスカバリすると、iSNSサーバはターゲットのiSCSIネーム、IPアドレス等をイニシエータに通知する。イニシエータは、この通知情報に基づいて、目的とするターゲットであり、LUNセキュリティが設定されたターゲットに選択的にアクセスすることになる。
図11は、記憶制御装置からiSNSサーバへのアクセス方法について説明したフローチャートである。記憶制御装置がiSNSサーバへのアクセスには、管理系のパス(図14A)を経由する方法とデータ系のパス(30)を経由する方法がある。記憶制御装置1のコントローラは、管理系パスが接続状態か否かを判断し(1100)、これが否定判定される場合は、データ系パスを用いてiSNSにアクセスする(1102)。データバスが非接続状態にある場合には、データ系パスと管理系パスのどちらかが回復するまで、パスの状態を監視する。
記憶制御装置のプロセッサ40は、管理系パス及びデータ系パスがともに接続状態にある(1104)のときには、管理系パスとデータ系パスのデータ送信についての負荷計測を行い(1106,1108)、負荷の少ないパスを利用して(1110,1112,1114)、イニシエータのターゲットに対するアクセス設定情報をiSNSサーバに送信する。この結果、iSNSサーバに記憶制御装置のセキュリティ特性が記憶制御装置から自動的に新規設定或いは更新設定される。負荷は、記憶制御装置1に記憶している管理系パスとデータ系パスのそれぞれにおける通信回数と通信データ量のログから単位時間当たりのパス使用頻度である。
記憶制御装置は、セキュリティの設定・変更があった時、即ち、図8の制御テーブルが新たに設定或いは更新された場合、キャッシュメモリの所定領域に、記憶制御装置のアクセス特性をiSNSサーバに設定しなければならないことを示す制御フラグをセットする。記憶制御装置は、自身のセキュリティ情報をiSNSサーバの制御テーブルに反映し終えた場合は、この制御フラグをリセットする。記憶制御装置は、この制御フラグを常時監視することにより、自身のLUNセキュリティに変更があった場合は、これを迅速にiSNSサーバに反映させることができる。特に、通信負荷の低いパスを利用して、記憶制御装置は制御情報をiSNSサーバに設定できるので、iSNSサーバへのディスカバリードメインを設定する事に遅延がないようにできる。さらに、記憶制御装置1からディスカバリードメイン情報の通知を受けたiSNSサーバ5は、ディスカバリードメイン情報を更新修正しなければならないことを示す制御フラグをセットし、更新修正し終えたときにリセットする。iSNSサーバは、この制御フラグを常時監視することにより、 通知を受けたディスカバリードメインの更新修正を迅速に行う。
次に他の実施形態について説明する。この実施形態では、既述の実施形態に代えて、記憶制御装置がiSNSサーバを内蔵している。記憶制御装置のプロセッサは、所定のポートにアクセスする他のターゲットやイニシエータを、iSNSサーバのクライアントとして扱い、イニシエータやターゲットからのiSNS要求を、記憶制御装置内のアクセス設定情報と合わせ一元管理しても良い。
同じ記憶制御装置内のターゲットである場合は、ネットワークを介することなく、プロセッサがアクセス設定情報を保持する共有メモリにアクセスすることで、内部のiSNSサーバにアクセスすることができる。ターゲットとしては、他の記憶制御装置のターゲット及び同じ記憶制御装置内のターゲットが含まれる。記憶制御装置内にiSNSサーバを内蔵する場合には、既述の外部のiSNSサーバを省略しても良いし、記憶制御装置の内蔵iSNSサーバと併用しても良い。以下、このことを詳説する。
図12は、この実施形態に係るターゲットネットワーク情報テーブルを示している。既述の実施形態のターゲットネットワーク情報テーブルに"Server","Listen"の項目が追加されている。図13は、ターゲット情報テーブルに対応するその他の制御テーブルを示している。この実施形態では、図7のブロック図のポート2AにiSNSサーバ機能を接続している。
図12のターゲットネットワーク情報テーブルにおいて、"Server"が"Enable"になっていることは、対応するポートのiSNSサーバが有効であることを示し、ここではiSNSサーバとしてのIPアドレスは、記憶制御装置のターゲットのIPアドレスと同じ192.168.0.220を使用する。その時のiSNSサーバのTCPポート番号として、"Listen"に示す"3205"を使用する。これにより、このポートへのアクセスがiSCSIターゲットとしてなのか、iSNSサーバとしてなのかを区別する。これらの機能は、明細書の図2に示すプロトコル処理部122により実現される。また、記憶制御装置は,iSNSサーバとして登録された、イニシエータとターゲットをディスカバリードメインに登録するためのユーザI/Fを提供する。
このiSNSサーバ機能は、他のストレージ(ターゲット)やホスト(イニシエータ)からの登録も受け付ける。このため、いくつかのテーブルは記憶制御装置内に存在しないイニシエータやターゲットであることを識別する情報が必要となる。ターゲットリストテーブルにおいて、ホストグループの00は、記憶制御装置外のデバイスであると定義する。外部のストレージのターゲットからのiSNS登録要求を受けた場合には、HG♯00で登録する。ディスカバリードメインリストテーブルにおいて、Entry♯00はどのドメインにも属さないことを示す。これは既述の実施形態でも同様である。
イニシエータやターゲットは一旦iSNSサーバに自身を登録した後で、iSNSサーバ上でディスカバリードメインを定義される場合があるので、イニシエータやターゲットがはじめてiSNSサーバに登録された時は、この属性となる。後から、iSNSサーバ上でディスカバリードメインが定義された時は、定義された内容に基づきイニシエータリストテーブルのドメインビットマップおよびターゲットのDDの項目を更新する。
アクセスリストテーブルでは、ターゲットが外部ストレージである場合、つまり記憶制御装置がiSNSサーバとしてのみ管理しているデバイスの場合はCU:LDEVをFF:FFで示すと定義する。外部ストレージのターゲットが登録された場合でも、ターゲットリストテーブル上にターゲットネームを登録するため、登録されているターゲットが記憶制御装置管理のものか、外部ストレージによるものかを判断するのにCU:DEV♯FFを使用し、外部ストレージの場合はLUNセキュリティ設定の管理対象外とする。
外部ストレージやホストの場合、ポート2AのiSNSサーバに対し、イニシエータまたはターゲットはTCPコネクションを確立し、iSNS登録を行う。登録される情報は、IPアドレス/TCPポート番号、ISCSIネームなどである。これらを、記憶制御装置が提供するユーザI/F(例えばGUI)によって、ディスカバリードメインの定義
を行うことができる。
例えば、ポート2Bがポート2AのiSNSサーバに登録される場合、ポート2Bは、ターゲットネットワークテーブル上、ポート2AのiSNSサーバに指定されている。ディスク制御装置の設定により、例えばポート2Bにターゲットを生成した時、各テーブルは必要な更新が行われているので、ターゲット(ポート2B)がiSNSサーバ(ポート2A)にTCPコネクションの確立とiSNS登録の発行を省略しても良い。
記憶制御装置のターゲット設定時、設定したターゲットのターゲットネットワークテーブル上で指定されているiSNSサーバIPアドレス(ポート2Bの場合、192.168.100.220)を、同じテーブルの"Server"が"Enable"となっているポートで一致するものがあった場合(この場合、ポート2AのiSNSサーバアドレスが一致)は、TCPコネクションの確立およびiSNS登録を省略する。記憶制御装置にiSNSサーバを内蔵した場合における、記憶制御装置へのセキュリティ設定の動作は図9と同様である。
ディスク制御装置がiSNSサーバを内蔵することによって、管理者がディスク制御装置へLUNセキュリティの設定を行うと、それが直ちにiSNSサーバのディスカバリードメインに反映することができる。
次に本発明の第3の実施例について説明する。この実施形態が既述の実施形態と異なる点は、管理モジュールとしてiSNSサーバではなく、ファブリックを用いた点である。図14はこの実施形態を示すものである。符号130はスイッチであり、ポート♯0にはサーバ1aのポート(WWN1)が接続され、ポート2♯2にはサーバ1bのポート(WWN2)が接続されている。
ポート♯1には記憶制御装置1aのポート(WWN3)が接続されている。記憶制御装置1aには、ホストグループ(HG♯0)とサーバ(WWN1)とのグループに論理ユニットLU0がマッピングされている。記憶制御装置1aは、このLUNセキュリティから、スイッチのポートとサーバとのアクセス特性関係を生成し、これをスイッチ内のネームサーバに登録する。符号132はネームサーバ132の制御テーブルを示すものであり、図14の矢印14Aのように、ポートP♯0(スイッチ)とWWN1(サーバ)との組と、ポートP♯1(スイッチ)とWWN3(サーバ)との組とがゾーニング設定されている事を示している。
サーバ(WWN1)からスイッチにログインがされた時、記憶制御装置1aは、サーバ(WWN1)のポート♯1からターゲットWWN3へのアクセスをアクセプトする。サーバWWN2がスイッチ130にアクセスしても、サーバWWN2のアクセス先となる記憶制御装置が設定されていないので、サーバWWN2からスイッチ130のアクセスは、記憶制御装置1aを介することなくリジェクトされる。
図15は記憶制御装置がスイッチへアクセス情報を登録する過程を示すフローチャートである。管理装置4が記憶制御装置1aへアクセス許可情報を設定する(図13のS1)と、記憶制御装置1aはスイッチがネットワーク4Aに接続されているか否かを検討する(1402,1404)。
記憶制御装置1aは、スイッチ130よりネームサーバ132の情報を取り込み(1406)、このネームサーバ情報に自ポートのWWNがあるか否かをチェックする(1408)。自ポートのWWNがある場合には、記憶制御装置のLUNセキュリティに設定されたサーバのWWNがあるか否かがチェックされる(1410)。これらが肯定されると、記憶制御装置は、或る一つの単位のLUNセキュリティからディスカバリ情報を生成し(1412)、このディスカバリ情報をスイッチに送信する(1414)。スイッチのネームサーバはディスカバリ情報から既述のゾーニングを設定する。次いで、記憶制御装置は、全ての単位のLUNセキュリティについて、スイッチへディスカバリ情報の設定が終了したか否かが判定される(1416)。
この実施形態によれば、記憶制御装置にアクセス許可の設定を行うことで、自動的にスイッチへディスカバリ情報が設定されるので、上位装置から不必要なログインやリトライ繰り返しによる、記憶制御ステムにおけるアクセス特性の劣化を防止することができる。なお、本発明の管理モジュールには、既述のiSNSサーバ及びスイッチがそれぞれ対応する
記憶制御システムの構成を機能ブロックで示した図である。 図2は記憶制御装置のハードウェア構成を示すブロック図である。 iSNSサーバの機能ブロック図である。 デバイスリストテーブルである。 ディスカバリードメインリストテーブルの一例である。 ディスカバリードメインの構成例である。 記憶制御装置内に対して設定されるLUNセキュリティを示す機能ブロック図である。 記憶制御装置の共有メモリに登録される制御テーブル群である。 記憶制御装置がiSNSサーバにディスカバリードメインを設定する場合のフローチャート。 イニシエータからターゲットに通知されたディスカバリードメイン情報の例である。 第2の実施例に係る記憶制御装置において、記憶制御装置がiSNSサーバにアクセスする経路の制御に関するフローチャート。 他の実施形態に係るターゲットネットワーク情報テーブルの一例である。 図12のターゲットネットワーク情報テーブルに対応する他の制御テーブルの一例である。 第3の実施例に係る記憶制御システムの機能ブロック図。 図14の動作を説明するフローチャート
符号の説明
1 記憶制御装置、2 ホスト装置(上位装置)、3 スイッチ、4 管理装置、5 iSNS サーバ、10a・・10c コントローラ、30 通信ネットワーク、220a・・220c 論理ユニット。

Claims (13)

  1. 一つ又は複数のイニシエータを有するホスト装置と、
    一つ又は複数のターゲットと、記憶領域と、前記ターゲットと前記記憶領域とのアクセス関係を規定するセキュリティ特性と、を備える、記憶制御装置と、
    前記イニシエータと前記ターゲットとの間のアクセス対応関係が記憶された管理モジュールと、
    を備え、
    前記セキュリティ特性が前記記憶制御装置に設定された際、当該記憶制御装置は設定されたセキュリティ特性に基づいて、前記管理モジュールの前記アクセス対応関係を設定するようにした、記憶制御システム。
  2. 記憶制御装置と、ホスト装置と、前記記憶制御装置の一つ又は複数のターゲットと前記ホスト装置の一つ又は複数のイニシエータとのアクセス対応関係を規定した第1の記憶領域を有する管理モジュールと、が通信ネットワークを介して接続され、前記イニシエータとターゲット間のアクセスを制御する、記憶制御システムであって、
    前記記憶制御装置は、
    前記ホスト装置からのアクセスを受けるポートと、
    前記ポートから出力された情報に対する処理を行うプロセッサと、
    前記ホスト装置から受信するライトデータ及び/又は前記ホスト装置に送信されるリードデータを記憶するデータ記憶装置と、
    前記ターゲットと、前記データ記録装置の、一つ又は複数の論理ユニットと、の間の対応関係を定めたLUNセキュリティ特性と、前記イニシエータと前記ターゲットとの対応関係を定めたアクセス管理リストと、を記憶する第2の記憶領域と、を備え、
    前記プロセッサは、前記アクセス管理リストに基づいて、前記第1の記憶領域の前記アクセス対応関係を設定するようにした、記憶制御システム。
  3. 前記第1の記憶領域のアクセス対応関係は、複数のイニシエータをそれぞれ区別する識別情報と、複数のターゲットをそれぞれ区別する識別情報と、互いに対応させた前記イニシエータと前記ターゲットとをグループに分けたドメイン情報と、を含む、請求項2記載の記憶制御システム。
  4. 前記識別情報はiSCSIプロトコルに於けるiSCSIネームであり、前記管理モジュールはiSNSサーバである請求項3記載の記憶制御システム。
  5. 前記第1の記憶領域の前記アクセス対応関係は、前記イニシエータと前記ターゲットのデバイス情報を含むデバイス情報テーブルを含む、請求項2記載の記憶制御システム。
  6. 前記管理モジュールは、前記イニシエータのWWNとターゲットのWWNとのアクセス対応関係が前記第1メモリに記憶されたファブリックである、請求項3記載の記憶制御システム。
  7. 前記記憶装置が前記管理モジュールにアクセスするのに複数のパスがあり、通信負荷の少ないパスを介して前記記憶装置が前記管理モジュールにアクセスする請求項2記載の記憶制御システム。
  8. 前記プロセッサは、前記LUNセキュリティが設定された特定のターゲットに前記イニシエータが接続するように、前記アクセス特性を設定する、請求項2記載の記憶制御システム。
  9. 前記記憶制御装置は、前記ポートと前記論理ユニットとの間に前記ターゲットに対する管理単位を設け、この管理単位とターゲットとの対応関係と、この管理単位と前記論理ユニットとの対応関係と、を前記LUNセキュリティ特性として前記第2メモリに登録する請求項2記載の記憶制御システム。
  10. 前記第1のメモリの対応関係は、複数のイニシエータをそれぞれ区別する識別情報と、複数のターゲットをそれぞれ区別する識別情報と、互いに対応させた前記イニシエータと前記ターゲットとを複数のグループに分けたドメイン情報と、を備え、前記記憶制御装置は、前記ドメイン情報に含まれるグループの各々に識別記号を設定し、この識別機構をキーにして各グループに属するイニシエータに特定の前記管理単位を対応させるようにした、請求項9記載の記憶制御システム。
  11. 前記記憶制御装置は、前記識別記号に基づいて前記ドメイン情報を形成し、このドメイン情報を前記管理モジュールに設定した、請求項10記載の記憶制御システム。
  12. 前記iSNSサーバが前記記憶制御装置に内蔵されている、請求項4記載の記憶制御システム。
  13. 前記iSNSサーバに前記記憶制御装置内のターゲットと別な記憶制御装置のターゲットとがアクセス可能である、請求項11記載の記憶制御システム。

JP2005274344A 2005-09-21 2005-09-21 記憶制御システム Pending JP2007087059A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005274344A JP2007087059A (ja) 2005-09-21 2005-09-21 記憶制御システム
US11/289,608 US7395393B2 (en) 2005-09-21 2005-11-30 Storage control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005274344A JP2007087059A (ja) 2005-09-21 2005-09-21 記憶制御システム

Publications (1)

Publication Number Publication Date
JP2007087059A true JP2007087059A (ja) 2007-04-05

Family

ID=37885596

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005274344A Pending JP2007087059A (ja) 2005-09-21 2005-09-21 記憶制御システム

Country Status (2)

Country Link
US (1) US7395393B2 (ja)
JP (1) JP2007087059A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010108063A (ja) * 2008-10-28 2010-05-13 Hitachi Ltd 監視対象装置管理システム、管理サーバおよび監視対象装置管理方法
JP2014026321A (ja) * 2012-07-24 2014-02-06 Fujitsu Ltd ストレージ装置、情報処理装置、情報処理システム、アクセス制御方法、およびアクセス制御プログラム

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101319491B1 (ko) * 2006-09-21 2013-10-17 삼성전자주식회사 도메인 정보를 설정하기 위한 장치 및 방법
US8040888B1 (en) * 2007-12-17 2011-10-18 Integrated Device Technology, Inc. Packet switch with port route tables
US8219714B2 (en) * 2008-09-24 2012-07-10 Oracle America, Inc. Storage area network and method for provisioning therein
US20110276728A1 (en) * 2010-05-06 2011-11-10 Hitachi, Ltd. Method and apparatus for storage i/o path configuration
CN103262473A (zh) * 2010-12-13 2013-08-21 摩托罗拉移动有限责任公司 在通用即插即用环境中在远程访问客户端之间共享媒体
US8868867B2 (en) * 2011-09-15 2014-10-21 The Regents Of The University Of California Method for reducing latency of accessing data stored in a file system on a computer storage device by caching file system permission information in the computer storage device
TWI485558B (zh) 2013-03-29 2015-05-21 Ind Tech Res Inst 容錯系統以及容錯運算方法
US10318194B2 (en) * 2014-10-02 2019-06-11 Hitachi Vantara Corporation Method and an apparatus, and related computer-program products, for managing access request in multi-tenancy environments
JP6540204B2 (ja) * 2015-04-30 2019-07-10 富士通株式会社 中継装置
JP6604029B2 (ja) * 2015-04-30 2019-11-13 富士通株式会社 制御装置、ストレージ装置、制御プログラム
EP3462710B1 (de) * 2017-09-29 2020-01-15 Siemens Aktiengesellschaft Verfahren zur bereitstellung eines namensdienstes innerhalb eines industriellen automatisierungssystems und switch

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000063063A (ja) 1998-08-19 2000-02-29 Hitachi Ltd エレベータ用巻上機
JP4598248B2 (ja) 2000-01-14 2010-12-15 株式会社日立製作所 記憶サブシステムのセキュリティシステム
US6684209B1 (en) 2000-01-14 2004-01-27 Hitachi, Ltd. Security method and system for storage subsystem
JP4059711B2 (ja) * 2002-06-04 2008-03-12 株式会社日立グローバルストレージテクノロジーズ 多重書き込み型記憶装置
JP2005267008A (ja) * 2004-03-17 2005-09-29 Hitachi Ltd ストレージ管理方法およびストレージ管理システム
JP4718851B2 (ja) * 2004-05-10 2011-07-06 株式会社日立製作所 ストレージシステムにおけるデータ移行

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010108063A (ja) * 2008-10-28 2010-05-13 Hitachi Ltd 監視対象装置管理システム、管理サーバおよび監視対象装置管理方法
JP2014026321A (ja) * 2012-07-24 2014-02-06 Fujitsu Ltd ストレージ装置、情報処理装置、情報処理システム、アクセス制御方法、およびアクセス制御プログラム
US9336093B2 (en) 2012-07-24 2016-05-10 Fujitsu Limited Information processing system and access control method

Also Published As

Publication number Publication date
US20070067591A1 (en) 2007-03-22
US7395393B2 (en) 2008-07-01

Similar Documents

Publication Publication Date Title
JP2007087059A (ja) 記憶制御システム
JP4859471B2 (ja) ストレージシステム及びストレージコントローラ
US7124169B2 (en) Network system and its switches
JP4311637B2 (ja) 記憶制御装置
US7865588B2 (en) System for providing multi-path input/output in a clustered data storage network
US7680953B2 (en) Computer system, storage device, management server and communication control method
JP5059974B2 (ja) クラスタ共有ボリューム
US8127088B2 (en) Intelligent cache management
US20110280252A1 (en) Managing Virtual Ports in an Information Processing System
US7139871B2 (en) Method of managing storage system to be managed by multiple managers
US20050120175A1 (en) Disk array apparatus and control method for disk array apparatus
JP4285058B2 (ja) ネットワーク管理プログラム、管理計算機及び管理方法
US20090070579A1 (en) Information processing system and login method
US9009287B2 (en) Storage system, information processing apparatus, and connection method
JP2006209294A (ja) アクセス負荷を分散するストレージシステム
JP2002318725A (ja) ディスクアレイシステム
US20080215767A1 (en) Storage usage exclusive method
JP2007072521A (ja) 記憶制御システム及び記憶制御装置
US7184378B2 (en) Storage system and controlling method thereof, and device and recording medium in storage system
US9703714B2 (en) System and method for management of cache configuration
JP2006011932A (ja) ストレージ装置及びストレージ装置の排他制御方法
US7003553B2 (en) Storage control system with channel control device having data storage memory and transfer destination circuit which transfers data for accessing target cache area without passing through data storage memory
JP2006155640A (ja) アクセスの設定方法
WO2019008654A1 (ja) ストレージシステム、コピー制御方法、及び計算機システム
JP4485875B2 (ja) ストレージ接続変更方法、ストレージ管理システム及びプログラム