JP2010282373A - 災害対策システムおよび災害対策方法 - Google Patents

災害対策システムおよび災害対策方法 Download PDF

Info

Publication number
JP2010282373A
JP2010282373A JP2009134403A JP2009134403A JP2010282373A JP 2010282373 A JP2010282373 A JP 2010282373A JP 2009134403 A JP2009134403 A JP 2009134403A JP 2009134403 A JP2009134403 A JP 2009134403A JP 2010282373 A JP2010282373 A JP 2010282373A
Authority
JP
Japan
Prior art keywords
data
log
dkc
write
disaster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009134403A
Other languages
English (en)
Inventor
Yuichi Yamada
勇一 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009134403A priority Critical patent/JP2010282373A/ja
Publication of JP2010282373A publication Critical patent/JP2010282373A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立する。
【解決手段】上位装置からの書込データを暗号化プロセッサ108で暗号化し書込処理する手段110と、格納データを所定時間毎に第2ディスク制御装置200にリモートコピーする手段111と、データ書込ログをログ発生毎に第2ディスク制御装置200にリモートコピーする手段112とを備える第1ディスク制御装置100と、前記リモートコピーで得た格納データおよびデータ書込ログを記憶装置に格納する手段210と、代替対応指示を受信し前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる手段211と、上位装置からの書込データを暗号化プロセッサで暗号化し復旧後の格納データに対し書込処理する手段212とを備える第2ディスク制御装置200とから災害対策システム10を構成する。
【選択図】図1

Description

本発明は、災害対策システムおよび災害対策方法に関するものであり、具体的には、ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立する技術に関する。
金融機関等の公共性が高い組織においては、災害復旧(ディザスタリカバリ)対応を考慮に入れ、高い信頼性、可用性を発揮する、いわゆるミッションクリティカルなコンピュータシステムが必要とされている。もしこうした金融機関等の基幹システムに故障や処理エラー、或いはセキュリティ上の問題が生じれば、自社業務が中断するのみならず、顧客の信用失墜や損失を招来する恐れがある。そこでこうした状況に対応する技術として、例えば、プライマリサイトにおける記憶装置のデータの複製を、前記プライマリサイトとは遠隔地にあるリモートサイトの記憶装置に格納して管理する、いわゆるリモートコピーなどの技術が知られている(特許文献1参照)などが提案されている。
特開2003−122509号公報
災害発生に伴って災害対策用コンピュータ(前記リモートサイト)を、金融機関等の基幹システムなど現用コンピュータ(前記プライマリサイト)の代替システムとしてすぐさま利用するためには、現用コンピュータから災害対策用コンピュータへのリモートコピーを高頻度ないしリアルタイムに行っておく必要がある。しかし、現用コンピュータでのディスクI/Oや、前記コンピュータ間を結ぶネットワークの回線トラフィックが大きくなれば、災害対策用コンピュータでの格納待ちのデータが増大してキャッシュメモリがオーバーフローするなどし、ひいては現用コンピュータの処理速度の低下等を招く恐れがある。
また、金融機関等のコンピュータシステムで管理するデータは、顧客の個人情報や金融資産、与信状況などセキュリティ面で十分な配慮が必要なデータが多い。そのため、前記現用コンピュータや災害対策用コンピュータで扱うデータについても、暗号化するなどして良好なセキュリティ性を確保して取り扱う必要がある。しかしながら、上記したような従来の災害対策用のコンピュータシステムにおいては効率的なセキュリティ対策が採用されていなかった。
そこで本発明は上記課題を鑑みてなされたものであり、ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立する技術の提供を主たる目的とする。
上記課題を解決する本発明の災害対策システムは、ハードディスクなどの記憶装置を配下に備えたディスク制御装置群からなるコンピュータシステムである。前記ディスク制御装置群は、金融機関等で通常業務を処理する第1ディスク制御装置と、この第1ディスク制御装置のバックアップ装置であり、災害発生時には前記第1ディスク制御装置に代わって通常業務を処理する本番機となる第2ディスク制御装置とを含んでいる。これら第1および第2ディスク制御装置は、それぞれチャネルエクステンダを備えており、ネットワークを介して互いに通信可能である(チャネルエクステンダを用いたディスク制御装置同士の通信手法については既存のものを利用すればよい)。
前記第1ディスク制御装置は、記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し記憶装置に書込処理する手段を備えている。
また、前第1ディスク制御装置は、前記記憶装置の格納データをチャネルエクステンダを介して所定時間毎に第2ディスク制御装置にリモートコピーする手段を備えている。
また、前記第1ディスク制御装置は、前記記憶装置へのデータ書込ログをチャネルエクステンダを介してログ発生毎に第2ディスク制御装置にリモートコピーする手段を備えている。
また、前記第2ディスク制御装置は、前記第1ディスク制御装置からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶装置に格納する手段を備えている。
また、前記第2ディスク制御装置は、前記第1ディスク制御装置での障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信し、前記第1ディスク制御装置から得ている前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる手段を備えている。
また、前記第2ディスク制御装置は、記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し、前記復旧後の格納データに対し書込処理する手段を備えている。
なお、前記第2ディスク制御装置は、前記第1ディスク制御装置からリモートコピーで得た前記格納データを、前記所定時間毎に記憶媒体にバックアップする手段を備えるとしてもよい。この場合、前記第2ディスク制御装置は、格納データのリモートコピーを前記第1ディスク制御装置から受けている際に、障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信した場合、直近版の格納データを前記記憶媒体から読み出し、この直近版格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる手段を備える。
また、本発明の災害対策方法は、第1ディスク制御装置が、記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し記憶装置に書込処理し、前記記憶装置の格納データをチャネルエクステンダを介して所定時間毎に第2ディスク制御装置にリモートコピーし、前記記憶装置へのデータ書込ログをチャネルエクステンダを介してログ発生毎に第2ディスク制御装置にリモートコピーし、前記第2ディスク制御装置が、前記第1ディスク制御装置からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶装置に格納し、前記第1ディスク制御装置での障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信し、前記第1ディスク制御装置から得ている前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させ、記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し、前記復旧後の格納データに対し書込処理する、ことを特徴とする。
なお、前記暗号化プロセッサは、例えば前記第2ディスク制御装置において、前記第1ディスク制御装置から得ている前記格納データに対し前記データ書込ログを適用する際、一旦、前記格納データにおける該当データ(=前記データ書込ログに対応する箇所)を復号化するとしてもよい。第2ディスク制御装置は、この復号化されたデータに前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる。またこの復旧後、前記暗号化プロセッサは前記該当データについて再び暗号化する。こうしたデータ書込ログを適用する際の復号化や暗号化の処理は、前記記憶媒体から読み出す直近版の格納データに対して行う場合も同様である。
本発明によれば、ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立できる。
本実施形態における災害対策システムを含むネットワーク全体の構成例を示す図である。 本実施形態におけるデータ遷移例1を示すイメージ図である。 本実施形態におけるデータ遷移例2を示すイメージ図である。 本実施形態におけるデータ遷移例3を示すイメージ図である。 本実施形態における災害対策方法の処理手順例1を示すフロー図である。 本実施形態におけるデータ遷移例4を示すイメージ図である。 本実施形態における災害対策方法の処理手順例2を示すフロー図である。 本実施形態におけるデータ遷移例5を示すイメージ図である。 本実施形態における災害対策方法の処理手順例3を示すフロー図である。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。
図1は、本実施形態の災害対策システム10を含むネットワーク構成図である。図1に示す災害対策システム10(以下、システム10)は、ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立するコンピュータシステムである。前記災害対策システム10は、金融機関等で通常に業務処理を実行する現用ディスク制御装置100(第1ディスク制御装置)と、この現用ディスク制御装置100のバックアップ装置であり、災害発生時には前記現用ディスク制御装置100に代わって通常業務を処理する本番機となる災害対策ディスク制御装置200(第2ディスク制御装置)とを含んでいる。以後、前記現用ディスク制御装置100を現用DKC100、前記災害対策ディスク制御装置200を、災対DKC200と称する。
前記現用DKC100および災対DKC200は、それぞれ通信インターフェースとしてチャネルエクステンダ107、207を備えており、ネットワーク30を介して互いに通信可能である(チャネルエクステンダを用いたディスク制御装置同士の通信手法については既存のものを利用すればよい)。また、前記現用DKC100は配下に記憶デバイス50を、前記災対DKC200は配下に記憶デバイス60を備えており、ディスク制御装置と記憶デバイスとからなるディスクアレイ装置と見ることもできる。
また本実施形態における前記ネットワーク構成には、前記現用DKC100および災対DKC200の他に、一例としてクライアントPC11、プリンタ(図中のPRT)12、および記憶媒体たる磁気テープ記憶装置(図中のLTO)13などの周辺機器と、アプリケーションサーバ等の上位装置1、2、他端末たる管理者端末40(ディスク装置群の管理者が利用する端末)、管理サーバ70などが含まれている。前記上位装置1、2らは、SCSIやファイバーチャネルなどのインタフェースを介して前記現用DKC100や災対DKC200に接続されている。また、前記上位装置1、2らは、例えば、アプリケーションソフトウエアを備えて、銀行の自動預金預け払いシステムや航空機の座席予約システムといった機能を提供するサーバ装置を想定できる。また、前記周辺機器らは、例えば、前記上位装置1、2、管理サーバ70や管理端末40と結ばれている。
前記現用DKC100は、CPUや上位装置1らとの間の入出力インタフェース(いずれも図示しない)を備えるのは勿論のこと、キャッシュメモリ102、共有メモリ103、キャッシュ制御やデータ転送制御などを行うチャネルアダプタ(CHAと記載)104、記憶デバイス50への入出力制御を行うディスクアダプタ(DKAと記載)105、チャネルエクステンダ107などを備えている(以下、災対DKC200についても同様である)。この現用DKC100は、前記上位装置1からの要求に応じて共有メモリ103等に記録した各種制御情報を、各装置等を接続するバス106を介して記憶デバイス50の各ディスクアダプタ105に伝達し記憶装置群51の制御を実行する。なお、前記の制御情報は、実際にはチャネルアダプタ104やディスクアダプタ105の備えるプロセッサで使用される。
記憶デバイス50(記憶装置)は、例えばハードディスク装置であり、図中には複数のハードディスク装置からなるハードディスク装置群51を例示している。これらのハードディスク装置群51はSCSIなどのインタフェースを介して前記現用DKC100のディスクアダプタ105に接続する。現用DKC100は、これら複数台のハードディスク装置の記憶エリアを用いて編成される論理ユニット(後述する正・副のボリューム、UR受信ボリュームなど)、およびこの論理ユニット内に区画されたデータブロックを用いて記憶装置により提供される記憶エリアの管理を行っている。なお、論理ユニットはLUN(Logical Unit Number)で識別され、また、データブロックはブロックアドレスで指定される。
また、前記キャッシュメモリ102は、主としてチャネルアダプタ104とディスクアダプタ105との間で授受されるデータを一時的に記憶するために用いられる。例えばチャネルアダプタ104が上位装置1から受信したデータ入出力コマンドが書き込みコマンドである場合には、チャネルアダプタ104は上位装置1から受信した書き込みデータをキャッシュメモリ102に書き込む。またディスクアダプタ105はキャッシュメモリ102から書き込みデータを読み出して記憶デバイス50に書き込む。
また、前記ディスクアダプタ105は、チャネルアダプタ104により共有メモリ103に書き込まれたデータI/O要求を読み出してそのデータI/O要求に設定されているコマンド(例えば、SCSI(Small Computer System Interface)規格のコマンド)に従って記憶デバイス50にデータの書き込みや読み出しなどの処理を実行する。前記ディスクアダプタ105は記憶デバイス50から読み出したデータをキャッシュメモリ102に書き込む。またデータの書き込み完了通知や読み出し完了通知などをチャネルアダプタ104に送信する。ディスクアダプタ105は、記憶デバイス50をいわゆるRAID(Redundant Array of Inexpensive Disks)方式に規定されるRAIDレベル(例えば、0,1,5)で制御する機能を備えることもある。
また、前記チャネルエクステンダ107は、前記現用DKC100が災対DKC200との間でデータ伝送するための通信インタフェースであり、後述するリモートコピーにおける複製データの伝送はこのチャネルエクステンダ107を介して行われる。当該チャネルエクステンダ107は、チャネルアダプタ104のインタフェース(例えば、Fibre Channel、ESCON(登録商標)、FICON(登録商標)などのインタフェース)を前記ネットワーク30の通信方式に変換する。これにより現用DKC100と災対DKC200との間でのデータ伝送が実現される。
また、前記共有メモリ103はチャネルアダプタ104とディスクアダプタ105の両方からアクセスが可能である。データ入出力要求コマンドの受け渡しに利用される他、現用DKC100や記憶デバイス50の管理情報等が記憶される。
続いて、前記システム10を構成する、前記現用DKC100および災対DKC200らが、例えばプログラムに基づき記憶装置にて構成・保持する機能部につき説明を行う。前記現用DKC100は、前記記憶デバイス50への書込データを暗号化する暗号化プロセッサ108を備え、チャネルアダプタ104で受けた上位装置1からのI/O要求が含む書込データを前記暗号化プロセッサ108で暗号化し記憶デバイス50に書込処理する書込手段110を備える。この書込手段110は、前記現用DKC100ないし前記ディスクアダプタ105のプロセッサがROM(現用DKC100ないしディスクアダプタ105が備えるもの)や共有メモリ103などに格納しているプログラムを実行することで実現するものとできる。図1では、前記書込手段110に対応するプログラムを前記共有メモリ103に格納している場合を例示した。勿論、前記書込手段110に対応するプログラムを前記ディスクアダプタ105のROMに格納しているとしてもよい。
また、前記現用DKC100は、前記記憶デバイス50の格納データをチャネルエクステンダ107を介して所定時間毎に災対DKC200にリモートコピーするデータコピー手段111を備える。このデータコピー手段111は、前記現用DKC100ないし前記チャネルアダプタ104のプロセッサがROM(現用DKC100ないしチャネルアダプタ104が備えるもの)や共有メモリ103などに格納しているプログラムを実行することで実現するものとできる。図1では、前記データコピー手段111に対応するプログラムを前記共有メモリ103に格納している場合を例示した。勿論、前記データコピー手段111に対応するプログラムを前記チャネルアダプタ104のROMに格納しているとしてもよい。
また、前記現用DKC100は、前記記憶デバイス50へのデータ書込ログをチャネルエクステンダ107を介してログ発生毎に災対DKC200にリモートコピーするログコピー手段112を備える。このログコピー手段112は、前記現用DKC100ないし前記チャネルアダプタ104のプロセッサがROM(現用DKC100ないしチャネルアダプタ104が備えるもの)や共有メモリ103などに格納しているプログラムを実行することで実現するものとできる。図1では、前記ログコピー手段112に対応するプログラムを前記共有メモリ103に格納している場合を例示した。勿論、前記ログコピー手段112はに対応するプログラムを前記チャネルアダプタ104のROMに格納しているとしてもよい。
一方、前記災対DKC200は、前記現用DKC100からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶デバイス60に格納するデータ取得手段210を備える。このデータ取得手段210は、前記災対DKC200、前記チャネルアダプタ204、および前記ディスクアダプタ205のいずれかのプロセッサがROM(災対DKC200、チャネルアダプタ204、ディスクアダプタ205のいずれかが備えるもの)や共有メモリ203などに格納しているプログラムを実行することで実現するものとできる。図1では、前記データ取得手段210に対応するプログラムを前記共有メモリ203に格納している場合を例示した。勿論、前記データ取得手段210に対応するプログラムを前記チャネルアダプタ104ないしディスクアダプタ105のROMに格納しているとしてもよい。
また、前記災対DKC200は、前記現用DKC100での障害発生に伴う代替対応指示をチャネルアダプタ207を介して管理者端末40より受信し、前記現用DKC100から得ている前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させるデータ復旧手段211を備える。このデータ復旧手段211は、前記災対DKC200、前記チャネルアダプタ204、および前記ディスクアダプタ205のいずれかのプロセッサがROM(災対DKC200、チャネルアダプタ204、ディスクアダプタ205のいずれかが備えるもの)や共有メモリ203などに格納しているプログラムを実行することで実現するものとできる。図1では、前記データ復旧手段211に対応するプログラムを前記共有メモリ203に格納している場合を例示した。勿論、前記データ復旧手段211に対応するプログラムを前記チャネルアダプタ104ないしディスクアダプタ105のROMに格納しているとしてもよい。
また、前記災対DKC200は、前記記憶デバイス60への書込データを暗号化する暗号化プロセッサ208を備え、チャネルアダプタ204で受けた上位装置2からのI/O要求が含む書込データを前記暗号化プロセッサ208で暗号化し、前記復旧後の格納データに対し書込処理する書込手段212を備える。この書込手段212は、前記災対DKC200ないし前記ディスクアダプタ205のいずれかのプロセッサがROM(災対DKC200ないしディスクアダプタ205のいずれかが備えるもの)や共有メモリ203などに格納しているプログラムを実行することで実現するものとできる。図1では、前記書込手段手段212に対応するプログラムを前記共有メモリ203に格納している場合を例示した。勿論、前記書込手段212に対応するプログラムを前記ディスクアダプタ105のROMに格納しているとしてもよい。
なお、前記災対DKC200は、前記現用DKC100からリモートコピーで得た前記格納データを、前記所定時間毎に前記記憶媒体23(例:磁気テープ記憶装置など)にバックアップする媒体書込手段213を備えるとしてもよい。本実施形態では、一例として、前記媒体書込手段213が、前記管理サーバ75に対し所定時間毎に前記格納データを含むバックアップ指示を送信し、前記管理サーバ75が記憶媒体23に前記格納データを書込処理する状況を想定した。前記媒体書込手段213は、前記災対DKC200、前記チャネルアダプタ204、および前記ディスクアダプタ205のいずれかのプロセッサがROM(災対DKC200、チャネルアダプタ204、ディスクアダプタ205のいずれかが備えるもの)や共有メモリ203などに格納しているプログラムを実行することで実現するものとできる。図1では、前記媒体書込取得手段213に対応するプログラムを前記共有メモリ203に格納している場合を例示した。勿論、前記媒体書込手段213に対応するプログラムを前記チャネルアダプタ104ないしディスクアダプタ105のROMに格納しているとしてもよい。
この場合の前記災対DKC200のデータ復旧手段211は、格納データのリモートコピーを前記現用DKC100から受けている際に、障害発生に伴う代替対応指示をチャネルアダプタ207を介して管理者端末45より受信した場合、直近版の格納データを前記記憶媒体23から読み出し、この直近版格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる。本実施形態では、一例として、前記データ復旧手段211が前記管理サーバ75に対し前記直近版の格納データを要求し、前記管理サーバ75が前記記憶媒体23から該当データを読み出してデータ復旧手段211に返信する状況を想定した。
なお、前記現用DKC100および災対DKC200がそれぞれ備える暗号化プロセッサ108、208は、例えば、既存の暗号処理装置を想定でき、前記ディスクアダプタ105、205に備わる状況を想定できる。この暗号化プロセッサは、例えば、乱数発生器、ROM、およびRAMを備えるか、或いはディスク装置内の該当機能を利用可能である。前記乱数発生器は、上位装置からのI/O要求などが含む平文を暗号化する際のワーク鍵となる所定の乱数を発生させる。一方、前記ROMは、例えばKPS方式における秘密アルゴリズム、シングルDESまたはトリプルDESの共通鍵として使用されるスクランブルキー、シングルDESまたはトリプルDESによって暗号化されたスクランブルIDとが記憶されている。また、前記ROMには所定のアドレスが設定されており、前記暗号化プロセッサが、前記所定のアドレスにアクセスすることにより、データを読み出すことが可能である。前記暗号化プロセッサは、DESのアルゴリズム(シングルDESまたはトリプルDES)に基づくデータの暗号化あるいは復号化を行う。また前記暗号化プロセッサは、KPS方式に基づいて共通鍵を算出する際の行列演算回路としても機能する。
また、前記KPS(Key Predistribution System)方式は、データ暗号化に使用する鍵を安全に配送する方式の一つであり、暗号化アルゴリズムにはDESを用いる。このKPS方式においては、前記現用DKC100および災対DKC200の間でのデータ送信=リモートコピーの処理にあたり、送信側および受信側にKPSセンターから秘密アルゴリズムがそれぞれ発行されている。そして、送信側において、受信者の公開IDを一方向性関数によって処理した実行IDと、秘密アルゴリズムとを行列演算し、一方向性関数によって処理した結果を共通鍵として暗号化を行う。より詳細には、送信側において、所定の乱数を発生させ、これをワーク鍵として平文を暗号化し、ワーク鍵である乱数を共通鍵によって暗号化する。また送信側では、平文から得た暗号文と、暗号化されたワーク鍵とを受信側に送信する。一方、受信側においては、送信者の公開IDを一方向性関数によって処理した実行IDと、秘密アルゴリズムとを行列演算し、一方向性関数によって処理した結果を共通鍵として復号化を行う。より詳細には、受信側において、共通鍵によって、暗号化されたワーク鍵を復号化し、そのワーク鍵によって暗号文を平文に復号化する。
なお、これまで示した前記システム10をなす各ディスク制御装置における各手段110〜112、210〜213らはハードウェアとして実現してもよいし、各ディスク制御装置における例えば共有メモリ103などの適宜な記憶部に格納したプログラムとして実現するとしてもよい。この場合、各ディスク制御装置やチャネルアダプタ104、ディスクアダプタ105のCPUがプログラム実行に合わせて各記憶部より該当プログラムを読み出して実行することとなる。
−−−リモートコピーについて−−−
本実施形態の現用DKC100および災対DKC200の間で実行されるリモートコピーは、ディスク制御装置が自律的に、指定されたボリュームを他のディスク制御装置にコピーする機能である。この機能は、例えばディスク制御装置が(チャネルアダプタ104や共有メモリ103等で)記憶するプログラムにより実現される。例えば、現用DKC100から災対DKC200へのリモートコピーの動作は、次のようになる。まず、上位装置1からの記憶デバイス50への書込要求コマンドに対し、例えば現用DKC100のチャネルアダプタ104は、その書込先のボリューム“A”がリモートコピーの対象になっているか否かを判断する。リモートコピー対象ボリュームの情報は、共有メモリ103上に置かれており、前記チャネルアダプタ104上のプロセッサが共有メモリ103を参照して判断する。前記ボリューム“A”がリモートコピーの対象になっていない場合、前記チャネルアダプタ104はそのまま書込要求コマンドを処理する。
一方、書込先である前記ボリューム“A”がリモートコピーの対象になっている場合、前記チャネルアダプタ104は、通常通りに書込要求コマンドを処理すると共に、前記現用DKC100と接続されている災対DKC200のチャネルアダプタ204に対し、上位装置1から受け取ったコマンドと同一の書込要求コマンドを発行する。これにより、災対DKC200の記憶デバイス60上に、前記ボリューム“A” の複製が生成される。前記チャネルアダプタ104、204らは、入出力コマンドの発行処理と受信処理の両方の機能を備えている。これらコマンドの処理/生成機能はチャネルアダプタ104、204中のプロセッサの処理により実現される。
こうしたリモートコピーの開始/終了等は、通常の入出力命令と同様なコマンドを用い、上位装置上のプログラムから制御される。主なコマンドを次に述べる。
(1)初期化&コピー開始コマンド(コピー先のボリュームの内容をコピー元と同一にするために、指定されたボリュームの全内容をコピー先へコピーする(初期化)と共に、ホストから発行された書込要求コマンドに対し、指定されたコピーモード(同期/非同期)でリモートコピーを開始する)。
(2)中断コマンド(リモートコピーを一時中断する。この後に受け付けた書込要求コマンドに対するリモートコピーデータはバッファに保存しておき、後の再開コマンドに備える)。
(3)再開コマンド(中断していたリモートコピーを再開する。バッファに保存されているリモートコピーデータに対してもコピーを行う)。
(4)フラッシュコマンド(バッファに保存されているリモートコピーデータを強制的にコピー先へコピーする)。
本実施形態において現用DKC100および災対DKC200の間は、上位装置とストレージシステムとを接続するチャネルパスと同種類のパスで結んでもよいが、一般的なチャネルパスの物理/電気的仕様では比較的短距離間の接続を前提にしているため、WAN(Wide Area Network)などのネットワーク30を利用して結ぶものとする。チャネルパスの結合距離を長距離に伸ばすには、通信事業者が提供する前記WANを利用するのが一般的である。この場合、前記現用DKC100および災対DKC200において、WANとの接続点に前記チャネルエクステンダ107、108等の変換装置を設置する。こうしたチャネルエクステンダを使用するディスク制御装置や上位装置では、WANを経由している事は認識されず、通常のチャネルパス接続と等価に見える。このため、ディスク制御装置や上位装置上のプログラムを変更すること無しに、遠距離間のデータ入出力が可能になる。
−−−処理フロー例1−−−
以下、本実施形態における災害対策方法の実際手順について図に基づき説明する。なお、以下で説明する災害対策方法に対応する各種動作は、前記システム10を構成する前記現用DKC100および災対DKC200が、自身で備えるプログラムを実行するか該当機能を発現するハードウェアを用いて実行する。
図2〜4は本実施形態におけるデータ遷移例1〜3を示すイメージ図であり、図5は本実施形態における災害対策方法の処理手順例1を示すフロー図である。ここでは、災害の発生がない平常時における、前記現用DKC100から災対DKC200へのリモートコピーによるデータバックアップ処理について説明する。なお、以降で示すリモートコピーの処理は、記憶デバイス50の正ボリューム(上位装置1からのI/O要求に応じてデータ入出力される通常のボリューム)に格納されているデータ(以下、DBデータ)と、前記正ボリュームに対して行なわれた操作を再実行するための作業履歴情報であるログ(以下、DBログ)、その他転送データとでそれぞれ異なっている。
まず、前記DBデータのリモートコピーの処理について述べる。リモートコピーに先立ち、前記現用DKC100の書込手段110は、前記チャネルアダプタ104で上位装置1からI/O要求を受ける毎に、前記I/O要求が含む書込データを前記暗号化プロセッサ108で暗号化し、記憶デバイス50の正ボリューム125に書込処理している(s100)。つまりこの正ボリューム125は、暗号化されたボリュームとなっており、記憶デバイス50ごと盗難・紛失の事態となってもセキュリティ性が確保される。
また、前記現用DKC100のデータコピー手段111は、前記正ボリューム125の格納データを日次など所定時間毎に副ボリューム126にバックアップする(s101)。このバックアップに際しては、例えば、「ShadowImage(Oracle社:登録商標)」やSQLserverにおける「完全データベースバックアップ」の技術を用いて物理的に正ボリューム125から副ボリューム126にデータコピーする。この日次のデータバックアップにより前記副ボリューム126の静止点を作成した後、前記データコピー手段111は、前記副ボリューム126の格納データをチャネルエクステンダ107を介して、例えば日次で前記災対DKC200の受信ボリューム225にリモートコピーする(s102)。
なお前記データコピー手段111は、通常時(前記ステップs100まで)、前記正ボリューム125−副ボリューム126のペア(例:ShadowImageペア)を、基本的にペア分割の状態(ペアサスペンディッド)にしておく。また、前記副ボリューム126−災対DKC200の受信ボリューム225のリモートコピーのペアについても、通常時はペア分割の状態にしておく。一方、前記データコピー手段111は、前記ステップs101の日次のバックアップにあわせて、前記正ボリューム125−副ボリューム126のペアを、分割の状態から同期の状態に遷移させる。また前記データコピー手段111は、このペア同期、つまり日次バックアップが完了した時点で、前記正ボリューム125−副ボリューム126のペアを分割し、続いて、前記ステップs102でのリモートコピーにあわせて、現用DKC100の副ボリューム126と災対DKC200の受信ボリューム225の間のペアの再同期を実施することとなる。この現用DKC100の副ボリューム126−災対DKC200の受信ボリューム225の再同期が完了した時点で、前記データコピー手段111は、現用DKC100の副ボリューム126−災対DKC200の受信ボリューム225の間のペアを分割してペア分割状態とする。
上記のように、前記データコピー手段111でDBデータのリモートコピーが実行されるのに加え、前記現用DKC100のログコピー手段112は、前記記憶デバイス50の正ボリューム125へのデータ書込ログをチャネルエクステンダ107を介してログ発生毎(つまり常時)に災対DKC200の受信ボリューム225にリモートコピーする(s103)。この処理は、前記DBデータのリモートコピー中の被災により、受信ボリューム225のDBデータが使用不可となった事態を想定して実行されるものである。この場合、前記災対DKC200は、前記現用DKC100から得たDBログについて当日と前日の2日分を例えば受信ボリューム225に格納しておくものとする。
前記ログコピー手段112は、逐次更新されるREDOログファイル(Oracle社:商標登録)と自動取得のアーカイブログファイル(Oracle社:商標登録)、或いは、トランザクションログバックアップ(SQLserver)を、災対DKC200の前記受信ボリューム225に対しリモートコピーする。なお、上記DBデータやDBログの他に、前記ログコピー手段112は、その他の転送データを前記受信ボリューム225にリモートコピーするとしてもよい。
一方、前記災対DKC200のデータ取得手段210は、前記現用DKC100からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶デバイス60の受信ボリューム225に格納する(s104)。また、前記災対DKC200の媒体書込手段213は、前記現用DKC100からのリモートコピーで受信ボリューム225に得た前記DBデータ(格納データ)を、管理サーバ75を介して日次など所定時間毎に記憶媒体23(例:磁気テープ記憶装置など)にバックアップする(s105)。
−−−処理フロー例2−−−
次に、前記現用DKC100を含む現用センタ(例えば上位装置1や記憶デバイス50も含む)が被災した際に、災対DKC200が前記現用DKC100の代替機となってシステム復旧を図る場合の処理について説明する。図6は本実施形態におけるデータ遷移例4を示すイメージ図であり、図7は本実施形態における災害対策方法の処理手順例2を示すフロー図である。
この場合、前記災対DKC200のデータ復旧手段211は、前記現用DKC100での障害発生に伴う代替対応指示をチャネルアダプタ207を介して管理者端末45より受信したとする(s200)。前記データ復旧手段211(ないし災対DKC200を含む災対センタの管理サーバ75:RAID Manager)は、現用DKC100−災対DKC200間のリモートコピーペア(DBログのリモートコピー用の常時接続ペア)を削除する(s201)。なお、前記災対センタ(災対DKC200の他、記憶デバイス60も含む)において、前記現用DKC100の代替機としての機能だけでなく、普段は他業務処理を正ボリューム226に対し実行している場合も想定できる。この場合、前記災対センタにおける正ボリューム226とそのバックアップボリュームである副ボリューム227におけるバックアップ処理のペア(例:ShadowImageのペア)を解除するものとする(s202)。
次に、前記データ復旧手段211は、前記受信ボリューム225と前記正ボリューム226の間でバックアップ処理のペア(例:ShadowImageのペア)を生成し、前記受信ボリューム225の前記正ボリューム226へのコピー処理(例:Shadowコピー)を実行する(s203)。なお、本実施形態の災対センタは通常時に他業務処理に利用されているとしたので、前記ステップs203の処理にあわせて、前記現用センタでの業務処理の環境に変更する必要がある。そこで、例えば、災対センタに備わる所定の管理サーバが、現用センタの業務処理環境イメージ(業務処理用のアプリケーションや必要なデータ類)を、上位装置2にコピーしておくものとする。
また、前記データ復旧手段211(ないし前記管理サーバ)は上位装置2(アプリケーションサーバ等)に起動指示を通知し、上位装置2の再起動を実施する(s204)。前記正ボリューム226におけるDBデータについては、可能な限り被災直前の状態にするために、リカバリ(ロールフォワード/ロールバック)を実施することとなる。そのため、前記データ復旧手段211は、前記現用DKC100から得て、受信ボリューム215から正ボリューム226へコピー(=リストア)した前記DBデータに対し、前記アーカイブログとREDOログ(データ書込ログ)を適用して当該アーカイブログとREDOログの取得時点の状態にDBデータを復旧させる(s205)。或いは、前記「完全データベースバックアップ」に対して、前記トランザクションログバックアップを適用してリカバリを実施する。
その後、前記現用DKC100の代替機として通常運用状態となった前記災対DKC200においては、前記書込手段212が、前記正ボリューム226への書込データ(=I/O要求)をチャネルアダプタ204で上位装置2から受信し、この書込データを前記暗号化プロセッサ208で暗号化し、前記復旧後の正ボリューム226の格納データに対し書込処理することとなる。なお、前記災対DKC200が現用DKC100の代替機となって稼働して以降、前記正ボリューム226から前記受信ボリューム225へのコピー処理(例:Shadowコピー)を実行し、親子関係を再構築する。
−−−処理フロー例3−−−
次に、前記現用DKC100から災対DKC200へのDBデータのリモートコピー中に被災した場合の処理について説明する。図8は本実施形態におけるデータ遷移例5を示すイメージ図であり、図9は本実施形態における災害対策方法の処理手順例3を示すフロー図である。この場合の前記災対DKC200のデータ復旧手段211は、現用DKC100−災対DKC200間のリモートコピー(DBログのリモートコピー)中に、障害発生に伴う代替対応指示をチャネルアダプタ207を介して管理者端末45より受信したとする(s300)。或いは前記データ復旧手段211は、前記リモートコピーのペア状態が被災によりペア・サスペンドエラー状態となり、I/O禁止状態となったことを検知して被災を認識する。
この時、前記データ復旧手段211は、前記現用DKC100−災対DKC200間のリモートコピーペア(DBログのリモートコピー用の常時接続ペア)を削除する(s301)。また、前記データ復旧手段211は、前記災対センタにおける正ボリューム226とそのバックアップボリュームである副ボリューム227におけるバックアップ処理のペア(例:ShadowImageのペア)を解除する(s302)。
また、前記データ復旧手段211は、直近版=ここでは日次であるから前日分のDBデータを、管理サーバ75を介して前記記憶媒体23から読み出して、受信ボリューム225にリストアする(s303)。前記データ復旧手段211は、前記災対センタの受信ボリューム225と正ボリューム226の間でコピー処理のペア(例:ShadowImageのペア)を生成し、受信ボリューム225の正ボリューム226へのコピー処理(例:Shadowコピー)を実行する(s304)。なお、本実施形態の災対センタは通常時に他業務処理に利用されているとしたので、前記ステップs304の処理にあわせて、前記現用センタでの業務処理の環境に変更する必要がある。そこで、例えば、災対センタに備わる所定の管理サーバが、現用センタの業務処理環境イメージ(業務処理用のアプリケーションや必要なデータ類)を、上位装置2にコピーしておくものとする。
前記データ復旧手段211(ないし前記管理サーバ)は上位装置2(アプリケーションサーバ等)に起動指示を通知し、上位装置2の再起動を実施する(s305)。前記正ボリューム226におけるDBデータについては、可能な限り被災直前の状態にするために、リカバリ(ロールフォワード/ロールバック)を実施することとなる。そのため、前記データ復旧手段211は、前記現用DKC100から得て、記憶媒体23から受信ボリューム215にリストアし、更に正ボリューム226にコピー=リストアした前記DBデータに対し、前記アーカイブログとREDOログ(データ書込ログ)を適用して当該アーカイブログとREDOログの取得時点の状態にDBデータを復旧させる(s306)。或いは、前記「完全データベースバックアップ」に対して、前記トランザクションログバックアップを適用してリカバリを実施する。
その後、前記現用DKC100の代替機として通常運用状態となった前記災対DKC200においては、前記書込手段212が、前記正ボリューム226への書込データ(=I/O要求)をチャネルアダプタ204で上位装置2から受信し、この書込データを前記暗号化プロセッサ208で暗号化し、前記復旧後の正ボリューム226の格納データに対し書込処理することとなる。なお、前記災対DKC200が現用DKC100の代替機となって稼働して以降、前記正ボリューム226から前記受信ボリューム225へのコピー処理(例:Shadowコピー)を実行し、親子関係を再構築する。
以上、本実施形態によれば、ミッションクリティカルなコンピュータシステムについて、迅速で確実な災害復旧と効率的なセキュリティ対策とを両立できる。
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
1、2 上位装置
10 災害対策システム
11 クライアントPC
12 プリンタ
13 記憶媒体(磁気テープ記憶装置)
30 ネットワーク
40 管理者端末
50、60 記憶デバイス(記憶装置)
51、61 記憶装置群
100 現用DKC(第1ディスク制御装置)
102、202 キャッシュメモリ
103、203 共有メモリ
104、204 チャネルアダプタ
105、205 ディスクアダプタ
107、207 チャネルエクステンダ
108、208 暗号化プロセッサ
110 書込手段
111 データコピー手段
112 ログコピー手段
200 災対DKC(第2ディスク制御装置)
210 データ取得手段
211 データ復旧手段
212 書込手段
213 媒体書込手段

Claims (3)

  1. 互いに通信可能である第1および第2のディスク制御装置を含むシステムであり、
    前記第1ディスク制御装置は、
    記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し記憶装置に書込処理する手段と、
    前記記憶装置の格納データをチャネルエクステンダを介して所定時間毎に第2ディスク制御装置にリモートコピーする手段と、
    前記記憶装置へのデータ書込ログをチャネルエクステンダを介してログ発生毎に第2ディスク制御装置にリモートコピーする手段とを備え、
    前記第2ディスク制御装置は、
    前記第1ディスク制御装置からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶装置に格納する手段と、
    前記第1ディスク制御装置での障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信し、前記第1ディスク制御装置から得ている前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる手段と、
    記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し、前記復旧後の格納データに対し書込処理する手段とを備える、
    ことを特徴とする災害対策システム。
  2. 前記第2ディスク制御装置は、
    前記第1ディスク制御装置からリモートコピーで得た前記格納データを、前記所定時間毎に記憶媒体にバックアップする手段と、
    格納データのリモートコピーを前記第1ディスク制御装置から受けている際に、障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信した場合、直近版の格納データを前記記憶媒体から読み出し、この直近版格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させる手段と、
    を備えることを特徴とする請求項1に記載の災害対策システム。
  3. 第1ディスク制御装置が、
    記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し記憶装置に書込処理し、
    前記記憶装置の格納データをチャネルエクステンダを介して所定時間毎に第2ディスク制御装置にリモートコピーし、
    前記記憶装置へのデータ書込ログをチャネルエクステンダを介してログ発生毎に第2ディスク制御装置にリモートコピーし、
    前記第2ディスク制御装置が、
    前記第1ディスク制御装置からのリモートコピーで得た前記格納データおよび前記データ書込ログを記憶装置に格納し、
    前記第1ディスク制御装置での障害発生に伴う代替対応指示をチャネルアダプタを介して他端末より受信し、前記第1ディスク制御装置から得ている前記格納データに対し前記データ書込ログを適用して当該データ書込ログの取得時点の状態に格納データを復旧させ、
    記憶装置への書込データを暗号化する暗号化プロセッサを備え、チャネルアダプタで受けた上位装置からのI/O要求が含む書込データを前記暗号化プロセッサで暗号化し、前記復旧後の格納データに対し書込処理する、
    ことを特徴とする災害対策方法。
JP2009134403A 2009-06-03 2009-06-03 災害対策システムおよび災害対策方法 Pending JP2010282373A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009134403A JP2010282373A (ja) 2009-06-03 2009-06-03 災害対策システムおよび災害対策方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009134403A JP2010282373A (ja) 2009-06-03 2009-06-03 災害対策システムおよび災害対策方法

Publications (1)

Publication Number Publication Date
JP2010282373A true JP2010282373A (ja) 2010-12-16

Family

ID=43539053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009134403A Pending JP2010282373A (ja) 2009-06-03 2009-06-03 災害対策システムおよび災害対策方法

Country Status (1)

Country Link
JP (1) JP2010282373A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014528610A (ja) * 2011-09-29 2014-10-27 オラクル・インターナショナル・コーポレイション トランザクショナルミドルウェアマシン環境においてトランザクションレコードを永続化するためのシステムおよび方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014528610A (ja) * 2011-09-29 2014-10-27 オラクル・インターナショナル・コーポレイション トランザクショナルミドルウェアマシン環境においてトランザクションレコードを永続化するためのシステムおよび方法

Similar Documents

Publication Publication Date Title
US9722788B1 (en) Rekeying encrypted virtual machines in a cloud
US9740880B1 (en) Encrypted virtual machines in a cloud
US6966001B2 (en) Computing system and data decryption method and computer system with remote copy facility
US9749300B1 (en) Method and system for immediate recovery of virtual machines encrypted in the cloud
JP4699091B2 (ja) ディザスタリカバリ方法およびシステム
US8935537B2 (en) Storage device and its control method
JP5124183B2 (ja) 非同期リモートコピーシステムの制御方法及び非同期リモートコピーシステム
CN101174197B (zh) 信息系统及信息系统的数据转发方法
JP4515132B2 (ja) ストレージシステム、ストレージ装置及びリモートコピー方法
JP4148722B2 (ja) オンラインデータ移行方法
US8098824B2 (en) Storage apparatus and data management method
US7111137B2 (en) Data storage systems and processes, such as one-way data mirror using write mirroring
US7822827B2 (en) Continuous data protection and remote block-level storage for a data volume
US8396835B2 (en) Computer system and its data control method
CN101755257B (zh) 管理在不同的网络上将写入从首要存储器拷贝到次要存储器
US6526419B1 (en) Method, system, and program for remote copy in an open systems environment
US20050149683A1 (en) Methods and systems for data backups
US8745006B2 (en) Computing system and backup method using the same
US20090172417A1 (en) Key management method for remote copying
US10896199B2 (en) Apparatus and method for managing storage copy services systems
US7194562B2 (en) Method, system, and program for throttling data transfer
US11386070B2 (en) Method and system for secure data replication data integrity verification
CN106331166A (zh) 一种存储资源的访问方法及装置
US20240045811A1 (en) Method and system for secure backup management of remote computing machines using quantum key distribution and encrypted ram
JP2006092535A (ja) ストレージネットワークにおける内部ミラーオペレーション