JP2013012865A - 情報処理装置、情報処理プログラムおよび管理方法 - Google Patents

情報処理装置、情報処理プログラムおよび管理方法 Download PDF

Info

Publication number
JP2013012865A
JP2013012865A JP2011143675A JP2011143675A JP2013012865A JP 2013012865 A JP2013012865 A JP 2013012865A JP 2011143675 A JP2011143675 A JP 2011143675A JP 2011143675 A JP2011143675 A JP 2011143675A JP 2013012865 A JP2013012865 A JP 2013012865A
Authority
JP
Japan
Prior art keywords
service
virtual machine
virtual
rule
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011143675A
Other languages
English (en)
Other versions
JP5824911B2 (ja
Inventor
Shunsuke Kikuchi
俊介 菊地
Yuji Imai
祐二 今井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2011143675A priority Critical patent/JP5824911B2/ja
Priority to US13/493,405 priority patent/US8856786B2/en
Publication of JP2013012865A publication Critical patent/JP2013012865A/ja
Application granted granted Critical
Publication of JP5824911B2 publication Critical patent/JP5824911B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2874Processing of data for distribution to the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5009Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
    • H04L41/5012Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF] determining service availability, e.g. which services are available at a certain point in time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信監視のルールを容易に設定できるようにする。
【解決手段】情報処理装置1は、記憶部1aと制御部1bとを有する。記憶部1aは、サービスごとに定義された、仮想ルータ2aによる通信監視のルールを記憶する。制御部1bは、仮想マシン2b上で利用するサービスが選択されると、記憶部1aを参照して、選択された該サービスに応じた通信監視のルールを仮想ルータ2aに送信し、該通信監視のルールに基づく監視を行わせる。
【選択図】図1

Description

本件は仮想マシンの運用管理を支援する情報処理装置、情報処理プログラムおよび管理方法に関する。
現在、情報処理の分野では、物理的なコンピュータ(物理マシンや物理ホストと呼ぶことがある)上で、複数の仮想的なコンピュータ(仮想マシンや論理ホストと呼ぶことがある)を動作させる仮想化技術が利用されている。各仮想マシン上では、OS(Operating System)などのソフトウェアを実行できる。仮想化技術を利用する物理マシンは、複数の仮想マシンを管理するためのソフトウェアを実行する。
例えば、ハイパーバイザと呼ばれるソフトウェアが、CPU(Central Processing Unit)の処理能力やRAM(Random Access Memory)の記憶領域を、演算のリソースとして複数の仮想マシンに割り振る。また、例えば、ハイパーバイザが、該演算のリソースによりネットワークのルーティング機能を物理マシン上に実現することもある。物理マシン上に実現されたルーティング機能を仮想ルータと呼ぶことがある。仮想ルータに仮想マシンの通信を中継させることで、物理マシン上に仮想マシンのネットワークを構築できる。このように、物理マシン上で仮想マシンを動作させ、該仮想マシン上で実現されるサービスをクライアント装置から利用可能とする情報処理システムがある。
ところで、ネットワークを介した通信のセキュリティを確保するため、ネットワークの経路上にファイアウォールを設けることがある。ファイアウォールは、ネットワーク上のトラフィックを所定のルールによりフィルタリングして、許容する通信経路やプロトコル以外の通信を遮断する。
例えば、ユーザ端末装置がゲートウェイ装置を介して所定のネットワークに接続するとき、接続先のネットワークに対して予め定められたフィルタリングテーブルを該ゲートウェイ装置に設定して、トラフィックのフィルタリングを行わせる提案がある。
また、例えば、ユーザ端末装置がファイアウォール装置を介して外部ネットワークに接続開始する際に、該ファイアウォール装置が、ポリシサーバ装置からユーザに対応するフィルタリングのルールを取得する提案がある。
特開2003−244245号公報(〔0038〕〜〔0042〕) 国際公開第2004/71038号(32頁36行目〜33頁4行目)
仮想マシン上のサービスをクライアント装置から利用可能とする情報処理システムでは、該サービスに応じて、仮想マシン/クライアント装置間、または、仮想マシン/仮想マシン間の通信内容が異なることがある。例えば、Webアクセスを可能とするサービスと、ファイル転送を可能とするサービスとでは、通信に用いるポート番号が異なることがある。このため、各仮想マシンに対して、サービスに応じた通信のセキュリティ対策がなされていることが望ましい。そこで、各仮想マシンにつき通信監視のルールをどのように容易に設定可能とするかが問題となる。
例えば、仮想マシン上で利用可能とするサービスがユーザによって事後的に選択される場合、該サービスに応じたルールを事前に設定するのが困難となる。また、複数の物理マシン上で複数の仮想マシンが動作している場合、各仮想マシン上で利用可能なサービスに応じたルールの設定を、仮想マシンごと、または、物理マシンごとに、システム管理者が個別に行うとすると、設定のための作業負担が生ずる。
本発明はこのような点に鑑みてなされたものであり、通信監視のルールを容易に設定できるようにした情報処理装置、情報処理プログラムおよび管理方法を提供することを目的とする。
仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な他の情報処理装置と通信する情報処理装置が提供される。この情報処理装置は、記憶部と制御部とを有する。記憶部は、サービスごとに定義された、仮想ルータによる通信監視のルールを記憶する。制御部は、仮想マシン上で利用するサービスが選択されると、記憶部を参照して、選択された該サービスに応じた通信監視のルールを仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる。
また、仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な情報処理装置と通信するコンピュータが実行する情報処理プログラムが提供される。この情報処理プログラムは、コンピュータに、仮想マシン上で利用するサービスが選択されると、サービスごとに定義された、仮想ルータによる通信監視のルールを記憶する記憶部を参照して、選択された該サービスに応じた通信監視のルールを仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる、処理を実行させる。
また、仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な他の情報処理装置と通信する情報処理装置が実行する管理方法が提供される。この管理方法では、仮想マシン上で利用するサービスが選択されると、サービスごとに定義された、仮想ルータによる通信監視のルールを記憶する記憶部を参照して、選択された該サービスに応じた通信監視のルールを仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる。
通信監視のルールを容易に設定できる。
第1の実施の形態の情報処理システムを示す図である。 第2の実施の形態の情報処理システムを示す図である。 第2の実施の形態の制御装置のハードウェア例を示す図である。 第2の実施の形態の各装置の機能を示すブロック図である。 第2の実施の形態の仮想ルータの機能を示すブロック図である。 第2の実施の形態の接続リストテーブルの例を示す図である。 第2の実施の形態のフィルタ雛型テーブルの例を示す図である。 第2の実施の形態のフィルタテーブルの例を示す図である。 第2の実施の形態の仮想マシンの起動処理を示すフローチャートである。 第2の実施の形態の仮想マシンの起動処理を示すシーケンス図である。 第2の実施の形態のフィルタ設定処理を示すフローチャートである。 第2の実施の形態のフィルタ設定処理を示すシーケンス図である。 第3の実施の形態のフィルタ雛型テーブルの例を示す図である。 第3の実施の形態のフィルタテーブルの例を示す図である。 第3の実施の形態のフィルタ設定処理を示すフローチャートである。
以下、本実施の形態を図面を参照して説明する。
[第1の実施の形態]
図1は、第1の実施の形態の情報処理システムを示す図である。この情報処理システムは、情報処理装置1,2を含む。情報処理装置1は、情報処理装置2と通信する。情報処理装置2では、仮想ルータ2aおよび仮想マシン2bが動作可能である。仮想ルータ2aは、仮想マシン2bの通信を中継する。
情報処理装置1は、記憶部1aおよび制御部1bを有する。
記憶部1aは、サービスごとに定義された、仮想ルータによる通信監視のルールを記憶する。記憶部1aは、RAMやHDD(Hard Disk Drive)として実装してもよい。通信監視のルールとは、例えば、通信のフィルタリングを行うためのルールである。通信監視のルールには、例えば、仮想マシン上で利用されるサービスに応じたフィルタ内容が定義される。具体的には、該サービスで利用する通信ポート以外のポートでの通信を制限する設定が考えられる。また、該サービスで利用する伝送制御プロトコル(例えば、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol))以外のプロトコルでの通信を制限する設定が考えられる。
制御部1bは、仮想マシン2b上で利用するサービスが選択されると、記憶部1aを参照して、選択された該サービスに応じた通信監視のルールを仮想ルータ2aに送信し、該通信監視のルールに基づく監視を行わせる。例えば、仮想マシン2b上で利用するサービスは、仮想マシン2bを利用するユーザにより選択される。ユーザは、例えば、情報処理装置1とネットワークを介して接続された端末装置を操作して、情報処理装置1にサービスの選択内容を入力できる。
情報処理装置1によれば、仮想マシン2b上で利用するサービスが選択されると、制御部1bにより、記憶部1aが参照されて、選択された該サービスに応じた通信監視のルールが仮想ルータ2aに送信される。仮想ルータ2aは、該通信監視のルールを受信すると、該ルールに基づき通信監視を行う。
これにより、通信監視のルールを容易に設定可能となる。具体的には、仮想マシン2bのサービスが選択されたときに、サービスごとに定義された通信監視のルールを、仮想マシン2bの通信を中継する仮想ルータ2aに送信することで、該サービスのためのルールを、仮想ルータ2aに容易に設定できる。複数の情報処理装置上で複数の仮想マシンが動作している場合でも、各仮想マシンに対して選択されたサービスに対するルールを自動的に取得し、各仮想マシンに対応する仮想ルータに送信する。このため、システム管理者による設定のための作業負担を軽減できる。
通信監視のルールには、種々の内容を定義できる。例えば、仮想マシン2bとユーザが仮想ルータ2aを介して仮想マシン2bにアクセスするために利用する端末装置(または、該端末装置が属するネットワーク)との間でのフィルタを定義できる。これにより、該端末装置(または、該端末装置が属するネットワーク)と仮想マシン2bとの間で、選択されたサービスを利用する際の通信のセキュリティ向上を図れる。
また、例えば、第1のサービスを実行する仮想マシン2bと第2のサービスを実行する他の仮想マシンとの間の通信路での通信を制限するフィルタを該ルールとして定義してもよい。このとき、制御部1bは、仮想マシン2bに対して第1のサービスが選択されたとき、該第1のサービスに応じたルールに加えて、第1,第2のサービスの組に関するルールを記憶部1aから取得して、仮想ルータ2aに送信してもよい。このようにすれば、相互に接続する仮想マシン間で、通信のセキュリティ向上を図れる。
[第2の実施の形態]
図2は、第2の実施の形態の情報処理システムを示す図である。データセンタ20は、サービス事業者が運用する事業所である。ユーザ拠点30は、ユーザが運用する事業所である。サービス事業者は、データセンタ20上のサーバ装置で複数の仮想マシンを実行させ、該仮想マシンをユーザ拠点30から利用可能とする。具体的には、ユーザは、ユーザ拠点30に設置されたクライアント装置から該仮想マシン上のソフトウェアに所定の処理の実行を要求することで、該ソフトウェアにより実現されるサービスを利用できる。このようなソフトウェアの利用形態は、SaaS(Software as a Service)と呼ばれることがある。
この情報処理システムは、制御装置100、仮想マシン管理装置200、実行サーバ装置300,300a、ゲートウェイ装置400,400a、ルータ装置500、クライアント装置600,600aおよび通信事業者サーバ装置700を含む。
制御装置100、仮想マシン管理装置200、実行サーバ装置300,300aおよびゲートウェイ装置400,400aは、データセンタ20に設置されており、データセンタ20内のネットワーク21にそれぞれ接続されている。ルータ装置500およびクライアント装置600,600aは、ユーザ拠点30に設置されており、ユーザ拠点30内のネットワーク31にそれぞれ接続されている。通信事業者サーバ装置700は、通信事業者の事業所(図示を省略)に設置されており、ネットワーク10に接続される。ネットワーク10は、通信事業者の管理するIP(Internet Protocol)網である。ネットワーク10は、例えば、PPPoE(Point to Point Protocol over Ethernet)網である。
制御装置100は、実行サーバ装置300,300a上の仮想ルータとルータ装置500との間のL2VPN(Layer2 Virtual Private Network)によるトンネル接続の確立を支援する情報処理装置である。これにより、クライアント装置600,600aから、該仮想ルータと通信する仮想マシンに対して、IP網を介したVPN接続を可能とする。
仮想マシン管理装置200は、実行サーバ装置300,300a上の仮想マシンや仮想ルータの起動を制御する情報処理装置である。仮想マシン管理装置200は、何れの実行サーバ装置で何れの仮想マシンや仮想ルータが実行されているか管理する。仮想マシン管理装置200は、仮想ルータに設けられた仮想のネットワークIF(InterFace)の情報を管理する。
実行サーバ装置300,300aは、仮想マシン管理装置200からの起動指示に応じて、仮想マシンおよび仮想ルータを実行する情報処理装置である。例えば、実行サーバ装置300,300aは、ハイパーバイザを実行する。ハイパーバイザは、仮想マシン管理装置200から仮想マシンや仮想ルータの起動の指示を受けると、実行サーバ装置300,300a上のリソースを用いて仮想マシンや仮想ルータを起動する。
ゲートウェイ装置400,400aは、ネットワーク10とネットワーク21と間の通信を中継する通信装置である。
ルータ装置500は、ネットワーク10とネットワーク31との間の通信を中継する通信装置である。ルータ装置500は、サービス事業者から仮想マシンを割り当てられたユーザが、該仮想マシン上で利用したいサービスの選択を受け付ける機能も備えている。ルータ装置500は、サービスの選択内容を制御装置100に送信して、該サービスを該ユーザの仮想マシン上で利用可能とするよう依頼する。
クライアント装置600,600aは、ユーザが利用する情報処理装置である。ユーザは、クライアント装置600,600aを操作して、実行サーバ装置300,300a上の仮想マシンに対して処理の要求を行える。例えば、クライアント装置600,600aからWebブラウザ、RDP(Remote Desktop Protocol)、VNC(Virtual Network Computing)、SSH(Secure SHell)およびFTP(File Transfer Protocol)などを用いて、実行サーバ装置300,300a上の仮想マシンを利用できる。
通信事業者サーバ装置700は、制御装置100からの要求により、ゲートウェイ装置400,400aとルータ装置500とをネットワーク10に接続するための情報を提供する。例えば、通信事業者サーバ装置700は、ゲートウェイ装置400,400aおよびルータ装置500に、PPPoEのユーザID(IDentifier)やパスワードなどの情報を送信する。ゲートウェイ装置400,400aおよびルータ装置500は、提供された情報に基づいて、ネットワーク10上の所定の認証サーバでPPPoE認証され、ネットワーク10に接続する。また、通信事業者サーバ装置700は、例えば、ゲートウェイ装置400,400aおよびルータ装置500をIP−VPN接続するための情報を提供する。ゲートウェイ装置400,400aおよびルータ装置500は、提供された情報に基づいて、IP−VPN接続を確立する。
図3は、第2の実施の形態の制御装置のハードウェア例を示す図である。制御装置100は、CPU101、ROM(Read Only Memory)102、RAM103、HDD104、グラフィック処理装置105、入力インタフェース106、ディスクドライブ107および通信インタフェース108を有する。
CPU101は、OSやアプリケーションのプログラムを実行して、制御装置100全体を制御する。
ROM102は、制御装置100の起動時に実行されるBIOS(Basic Input / Output System)プログラムなどの所定のプログラムを記憶する。ROM102は、書き換え可能な不揮発性メモリであってもよい。
RAM103は、CPU101が実行するOSやアプリケーションのプログラムの少なくとも一部を一時的に記憶する。また、RAM103は、CPU101の処理に用いられるデータの少なくとも一部を一時的に記憶する。
HDD104は、OSプログラムやアプリケーションプログラムを記憶する。また、HDD104は、CPU101の処理に用いられるデータを記憶する。なお、HDD104に代えて(または、HDD104と併せて)、SSD(Solid State Drive)など他の種類の不揮発性の記憶装置を用いてもよい。
グラフィック処理装置105は、モニタ11に接続される。グラフィック処理装置105は、CPU101からの命令に従って、画像をモニタ11に表示させる。
入力インタフェース106は、キーボード12やマウス13などの入力デバイスに接続される。入力インタフェース106は、入力デバイスから送られる入力信号をCPU101に出力する。
ディスクドライブ107は、記録媒体14に格納されたデータを読み取る読取装置である。記録媒体14には、例えば、制御装置100に実行させるプログラムが記録されている。制御装置100は、例えば、記録媒体14に記録されたプログラムを実行することで、後述するような機能を実現できる。すなわち、当該プログラムはコンピュータ読み取り可能な記録媒体14に記録して配布可能である。
記録媒体14としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリを使用できる。磁気記録装置には、HDD、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、CD(Compact Disc)、CD−R(Recordable)/RW(ReWritable)、DVD(Digital Versatile Disc)、DVD−R/RW/RAMなどがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。半導体メモリには、USB(Universal Serial Bus)メモリなどのフラッシュメモリがある。
通信インタフェース108は、ネットワーク10に接続される。通信インタフェース108は、ネットワーク21を介して仮想マシン管理装置200、実行サーバ装置300,300aおよびゲートウェイ装置400,400aとデータ通信を行える。また、通信インタフェース108は、ゲートウェイ装置400,400aおよびネットワーク10を介してルータ装置500および通信事業者サーバ装置700とデータ通信を行える。
なお、仮想マシン管理装置200、実行サーバ装置300,300a、クライアント装置600,600aおよび通信事業者サーバ装置700も、制御装置100と同様のハードウェア構成により実現できる。
また、以下の説明では、ゲートウェイ装置400,400aのうち、ゲートウェイ装置400を主に示して説明するが、ゲートウェイ装置400aも同様である。
図4は、第2の実施の形態の各装置の機能を示すブロック図である。制御装置100は、制御情報記憶部110、接続制御部120およびルール管理部130を有する。制御装置100の構成要素の機能は、例えばCPU101が所定のプログラムを実行することにより、制御装置100上に実現される。制御装置100の構成要素の機能の全部または一部を専用のハードウェアで実装してもよい。
制御情報記憶部110は、制御情報を記憶する。制御情報には、接続リストテーブルおよびフィルタ雛型テーブルが含まれる。接続リストテーブルは、ユーザの識別情報と該ユーザが現在利用中のサービスの識別情報とを対応付けたデータである。フィルタ雛型テーブルは、サービスごとのデフォルトのフィルタルールを設定したものである。
接続制御部120は、ルータ装置500と実行サーバ300,300a上の仮想ルータとの接続を制御する。具体的には、接続制御部120は、ルータ装置500からの要求により、ルータ装置500に対するゲートウェイ装置400,400aの割り当てを仮想マシン管理装置200に指示する。また、接続制御部120は、ルータ装置500からの要求により、実行サーバ装置300,300a上の仮想マシンおよび仮想ルータの起動を仮想マシン管理装置200に指示する。そして、接続制御部120は、実行サーバ装置300,300a上の仮想ルータとルータ装置500との間のL2VPN接続を確立する。
より具体的には、接続制御部120は、通信事業者サーバ装置700と連携して、ゲートウェイ装置400とネットワーク10との間のPPPoE接続を開始させる。また、接続制御部120は、通信事業者サーバ装置700と連携して、ルータ装置500とネットワーク10との間のPPPoE接続を開始させる。接続制御部120は、ゲートウェイ装置400とルータ装置500とをIP−VPNで接続させる。
更に、接続制御部120は、仮想ルータとルータ装置500との間のEtherIP(Ethernet over IP)によるトンネル接続を開始させる。仮想ルータやルータ装置500は、クライアント装置600,600aと実行サーバ装置300,300a上の仮想マシンとの間のEthernet(登録商標)フレームをEtherIPによりカプセル化して通信を行う。L2VPN接続により、通信事業者のIP網であるネットワーク10を介して、クライアント装置600,600aと仮想マシンとの間のVPN接続が可能となる。
更に、接続制御部120は、ユーザによるサービスの選択内容をルータ装置500から受信する。接続制御部120は、サービスの選択内容をルール管理部130および起動制御部220に送信する。サービスの選択内容には、ユーザに割り当てられた何れの仮想マシンで、何れのサービスを選択したかを示す情報が含まれる。
ルール管理部130は、実行サーバ装置300,300a上の仮想ルータに通信監視用のルールを送信する。具体的には、ルール管理部130は、ユーザによるサービスの選択内容を接続制御部120から受信したとき、該サービス応じたルールを制御情報記憶部110から取得して、該ユーザに割り当てた仮想マシンに対応する仮想ルータに送信する。
仮想マシン管理装置200は、管理情報記憶部210および起動制御部220を有する。仮想マシン管理装置200の構成要素の機能は、例えば仮想マシン管理装置200が備えるCPUが所定のプログラムを実行することにより、仮想マシン管理装置200上に実現される。仮想マシン管理装置200の構成要素の機能の全部または一部を専用のハードウェアで実装してもよい。
管理情報記憶部210は、管理情報を記憶する。管理情報には、実行サーバ装置300,300aおよびゲートウェイ装置400,400aに関する情報が含まれる。具体的には、実行サーバ装置300,300a上で利用可能なリソースの情報、実行中の仮想マシンのユーザへの割り当て状況を示す情報、実行中の仮想マシンと仮想ルータとの対応を示す情報および各仮想ルータ上の仮想のネットワークIFを示す情報が含まれる。また、管理情報には、ゲートウェイ装置400,400a上で利用可能なリソースの情報や、ゲートウェイ装置400,400aのユーザへの割り当て状況を示す情報が含まれる。
起動制御部220は、ユーザに対するゲートウェイ装置400,400aの割り当て指示を接続制御部120から受け付ける。すると、起動制御部220は、管理情報記憶部210を参照して、該ユーザに対するゲートウェイ装置400,400aの割り当てを行う。起動制御部220は、該ユーザと割り当てたゲートウェイ装置との対応を管理情報記憶部210に記録する。
起動制御部220は、ユーザに対する仮想マシンの起動指示を接続制御部120から受け付ける。すると、起動制御部220は、管理情報記憶部210を参照して、仮想マシンおよび仮想ルータを起動させる実行サーバ装置を選択する。起動制御部220は、選択した実行サーバ装置に仮想マシンおよび仮想ルータを起動させる。起動制御部220は、該ユーザ、割り当てた実行サーバ装置、仮想マシンおよび仮想ルータの対応を管理情報記憶部210に記録する。起動制御部220は、管理情報記憶部210を参照して、接続制御部120からの問い合わせに応じる。例えば、実行サーバ装置、仮想マシンおよび仮想ルータの対応関係、仮想ルータと該仮想ルータ上の仮想のネットワークIFとの対応関係、仮想マシンとネットワークIFとの対応関係などの問い合わせに応じることができる。
更に、起動制御部220は、ユーザによるサービスの選択内容を接続制御部120から受信すると、該ユーザに割り当てられた仮想マシンに該サービスを利用するためのソフトウェアを実行させる。
実行サーバ装置300は、仮想ルータ310および仮想マシン320,320aを有する。実行サーバ装置300の構成要素の機能は、例えば実行サーバ装置300が備えるCPUが所定のプログラムを実行することにより、実行サーバ装置300上に実現される。実行サーバ装置300の構成要素の機能の全部または一部を専用のハードウェアで実装してもよい。
仮想ルータ310は、ネットワーク21と仮想マシン320,320aとの間の通信を中継する。仮想ルータ310は、中継する通信データを監視する。具体的には、仮想ルータ310は、ルール管理部130から取得したフィルタルールに基づき通信のフィルタリングを行う。
仮想マシン320,320aは、実行サーバ装置300上に実現された仮想マシンである。仮想マシン320,320aは、それぞれ独立にOSを実行している。仮想マシン320,320aが実行するOSは同一でもよいし、異なっていてもよい。仮想マシン320,320aは、それぞれが所定のサービスを利用するためのソフトウェアを実行する。仮想マシン320,320aで何れのサービスを利用可能とするかは、上述したようにユーザの選択により決定される。
実行サーバ装置300aは、仮想ルータ310aおよび仮想マシン320b,320cを有する。仮想ルータ310aは、ネットワーク21と仮想マシン320bとの間の通信を中継する。また、仮想ルータ310aは、中継する通信データを監視する。仮想マシン320b,320cは、実行サーバ装置300a上に実現された仮想マシンであり、それぞれが所定のサービスを利用可能とするためのソフトウェアを実行する。
ゲートウェイ装置400は、通信処理部410を有する。通信処理部410は、接続制御部120から取得した情報に基づいて、ネットワーク10とPPPoE接続を確立する。また、通信処理部410は、ルータ装置500との間でIP−VPN接続を確立する。
ルータ装置500は、通信処理部510を有する。通信処理部510は、接続制御部120から取得した情報に基づいて、ネットワーク10、ゲートウェイ装置400および仮想ルータ310,310aとの間のL2VPN接続を確立する。また、通信処理部510は、サービスを選択するためのインタフェースをクライアント装置600,600aに提供する。ユーザは、該インタフェースにより、自身の利用したいサービスを選択する。通信処理部510は、サービスの選択内容を制御装置100に送信する。
図5は、第2の実施の形態の仮想ルータの機能を示すブロック図である。仮想ルータ310は、ルール記憶部311、ネットワークIF312,313,314、トンネル処理部315、フィルタ処理部316およびルール設定部317を有する。
ルール記憶部311は、制御装置100から受信した通信監視のためのルールを記憶する。
ネットワークIF312,313,314は、仮想ルータ310上に実現された仮想的なネットワークIFである。ネットワークIF312は、仮想マシン320と通信する。ネットワークIF313は、仮想マシン320aと通信する。
ここで、以下の説明では、ネットワークIF312,313〜仮想マシン320,320aまでのネットワークを、仮想マシン側のネットワークということがある。ネットワークIF314は、ネットワーク21を介してゲートウェイ装置400と通信する。ネットワークIF314〜ゲートウェイ装置400〜ユーザ拠点30までのネットワークを、ユーザ側のネットワークということがある。
トンネル処理部315は、EtherIPによるトンネル接続を終端する。具体的には、トンネル処理部315は、EtherIPによりカプセル化された通信データをネットワークIF314から取得すると、該通信データからEthernetフレームを取出して、フィルタ処理部316に出力する。また、トンネル処理部315は、フィルタ処理部316から取得したEthernetフレームをEtherIPによりカプセル化して、ネットワークIF314に出力する。
フィルタ処理部316は、Ethernetフレームを監視して、ユーザ側のネットワークと仮想マシン側のネットワークの間の通信を制限する。具体的には、フィルタ処理部316は、ルール記憶部311に記憶されたフィルタルールに基づいて宛先や送信元の情報およびポート番号などによるフィルタリングを行う。
ルール設定部317は、通信監視のためのルールを制御装置100から受信して、ルール記憶部311に格納する。ルール設定部317は、ルール記憶部311に既存のルールが格納されている場合には、新たに受信したルールにより既存のルールを更新する。
ルール設定部317は、専用の仮想ネットワークIFを備え、ネットワーク21および制御装置100と該仮想ネットワークIFで通信する。ただし、フィルタ処理部316およびルール設定部317は、ネットワークIF314を介して制御装置100と通信してもよい。
図6は、第2の実施の形態の接続リストテーブルの例を示す図である。接続リストテーブル111は、制御情報記憶部110に格納される。接続リストテーブル111には、ユーザID、SaaS種別およびネットワークIFを示す項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのユーザに関する情報を示す。
ユーザIDの項目には、ユーザIDが設定される。ユーザIDは、ユーザ拠点30を運営する事業者を識別する情報である。SaaS種別の項目には、サービスを示す識別情報が設定される。ネットワークIFの項目には、仮想ルータ310,310aにおける仮想マシン側のネットワークIFの識別情報が設定される。
ここで、ユーザ拠点30を運営する事業者のユーザIDを“User1”とする。他のユーザ拠点を運営する事業者のユーザIDを“User2”とする。
また、仮想マシン320上で利用されているサービスのSaaS種別を“SaaS1”とする。仮想マシン320a上で利用されているサービスのSaaS種別を“SaaS2”とする。仮想マシン320b上で利用されているサービスのSaaS種別を“SaaS3”とする。仮想マシン320c上で利用されているサービスのSaaS種別を“SaaS4”とする。
更に、ネットワークIF312の識別情報を“IF−S1”とする。ネットワークIF313の識別情報を“IF−S2”とする。仮想マシン320bと接続する仮想ルータ310a上のネットワークIFの識別情報を“IF−S3”とする。仮想マシン320cと接続する仮想ルータ310a上のネットワークIFの識別情報を“IF−S4”とする。例えば、各ネットワークIFの識別情報は、各ネットワークIFの属するネットワーク上のIPアドレスとしてもよい。
例えば、接続リストテーブル111には、ユーザIDが“User1”、SaaS種別が“SaaS1”、ネットワークIFが“IF−S1”という情報が設定される。これは、ユーザ拠点30を運営する事業者(“User1”)がSaaS種別“SaaS1”のサービスを利用していることを示す。また、該サービスを利用するために仮想ルータ310上のネットワークIF312(“IF−S1”)を介して通信していることを示す。
図7は、第2の実施の形態のフィルタ雛型テーブルの例を示す図である。フィルタ雛型テーブル112,112a,・・・は、SaaS種別ごとのフィルタルールの雛型(以下、フィルタ雛型という)を定義したものであり、制御情報記憶部110に格納される。フィルタ雛型テーブル112,112a,・・・は、仮想マシン側ネットワークとユーザ側ネットワークとの間のフィルタを定義したものである。フィルタ雛型テーブル112は、SaaS種別“SaaS1”に対するフィルタ雛型を定義したものである。フィルタ雛型テーブル112aは、SaaS種別“SaaS2”に対するフィルタ雛型を定義したものである。以下、フィルタ雛型テーブル112を説明するが、フィルタ雛型テーブル112a,・・・についても同様である。
フィルタ雛型テーブル112には、Fromポート、Toポート、Protocol、From−IF、To−IFおよび許可/禁止の項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのフィルタ雛型を示す。
Fromポートの項目には、送信元のポート番号が設定される。Toポートの項目には、宛先のポート番号が設定される。Protocolの項目には、プロトコルの種別が設定される。From−IFの項目には、ユーザ側のネットワークと接続するネットワークIFの識別情報が設定される。To−IFの項目には、仮想マシン側のネットワークと接続するネットワークIFの識別情報が設定される。許可/禁止の項目には、通信を許可するか禁止するかを示す情報が設定される。
例えば、フィルタ雛型テーブル112には、Fromポートが“80”、Toポートが“*”、Protocolが“TCP”、From−IFが“<Local>”、To−IFが“<User>”、許可/禁止が“Permit”という情報が設定される。これは、仮想マシン側のネットワークからユーザ側のネットワークに対するポート番号80でのTCPによる通信(HTTP(Hypertext Transfer Protocol)の通信)を許可することを示す。
また、例えば、フィルタ雛型テーブル112には、Fromポートが“*”、Toポートが“80”、Protocolが“TCP”、From−IFが“<User>”、To−IFが“<Local>”、許可/禁止が“Permit”という情報が設定される。これは、ユーザ側のネットワークから仮想マシン側のネットワークに対するポート番号80でのTCPによる通信(HTTPの通信)を許可することを示す。
また、例えば、フィルタ雛型テーブル112には、Fromポートが“*”、Toポートが“*”、Protocolが“TCP”、From−IFが“<Local>”、To−IFが“<User>”、許可/禁止が“Deny”という情報が設定される。これは、これは、仮想マシン側のネットワークからユーザ側のネットワークに対する全ての通信を禁止することを示す。
また、例えば、フィルタ雛型テーブル112には、Fromポートが“*”、Toポートが“*”、Protocolが“TCP”、From−IFが“<User>”、To−IFが“<Local>”、許可/禁止が“Deny”という情報が設定される。これは、これは、ユーザ側のネットワークから仮想マシン側のネットワークに対する全ての通信を禁止することを示す。
フィルタ雛型テーブル112では、上に記述されたルール程優先度が高い。すなわち、フィルタ雛型テーブル112によれば、HTTPの通信は、ユーザ側のネットワークと仮想マシン側のネットワークとの双方向で許可されるが、それ以外の通信は全て遮断されることを示す。
なお、仮想ルータは、フィルタ雛型テーブル112で定義されたフィルタ雛型を取得すると、自身が備えるネットワークIFの識別情報をあてはめて、該仮想ルータ用のフィルタルールを生成する。具体的には、“<Local>”には、SaaS種別“SaaS1”のサービスを提供する仮想マシンと接続するネットワークIFの識別情報をあてはめる。“<User>”には、ユーザ側のネットワークと接続するネットワークIFの識別情報をあてはめる。次に、このようにして生成された仮想マシン320用のフィルタルール(フィルタテーブル)を例示する。
図8は、第2の実施の形態のフィルタテーブルの例を示す図である。フィルタテーブル311aは、ルール記憶部311に格納される。フィルタテーブル311aは、フィルタ雛型テーブル112で定義されたフィルタ雛型を仮想ルータ310が取得した場合を例示している。フィルタテーブル311aには、Fromポート、Toポート、Protocol、From−IF、To−IFおよび許可/禁止の項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのフィルタルールを示す。ここで、各項目の内容は、図7で説明したフィルタ雛型テーブル112の各項目の内容と同様である。
フィルタテーブル311aとフィルタ雛型テーブル112とでは、From−IFおよびTo−IFの設定内容が相違する。フィルタテーブル311aでは、フィルタ雛型テーブル112中“<Local>”であった箇所が、仮想マシン320と接続するネットワークIF312の識別情報“IF−S1”に置換されている。また、フィルタテーブル311aでは、フィルタ雛型テーブル112中“<User>”であった箇所が、ネットワークIF314の識別情報“IF−U1”に置換されている。
フィルタ処理部316は、フィルタテーブル311aを参照して、フィルタリングを行う。
次に、以上の構成の情報処理システムの処理手順を説明する。
図9は、第2の実施の形態の仮想マシンの起動処理を示すフローチャートである。以下、図9に示す処理をステップ番号に沿って説明する。
[ステップS11]通信処理部510は、ルータ装置500がネットワーク10と物理的に接続されると(例えば、WAN(Wide Area Network)ポートをネットワーク線で接続)、既定の接続情報によりネットワーク10との接続を確立する。更に、通信処理部510は、既定の接続情報によりゲートウェイ装置400との間のIP−VPN接続を初期設定用に確立する。既定の接続情報は、例えば、ネットワーク10とPPPoE接続するためのIDやパスワード、IP−VPNグループの情報などを含むものであり、ルータ装置500の工場出荷時などにルータ装置500が備えるメモリに記録される。なお、ゲートウェイ装置400は、ネットワーク10との間で少なくとも1つのPPPoE接続を、初期設定用に常時開設している。
[ステップS12]通信処理部510は、制御装置100に接続通知を行う。接続通知には、起動する仮想マシンの情報(例えば、OSの種別、CPUの性能、メモリやHDDの容量などを指定する情報)およびユーザの識別情報が含まれる。仮想マシンの情報は、ルータ装置500の工場出荷時などにルータ装置500が備えるメモリに記録される。接続通知には、例えば、HTTPのリクエストを利用できる。具体的には、通信処理部510は、制御装置100のURL(Uniform Resource Locator)を指定したHTTPのPUTリクエストを利用して、起動する仮想マシンの情報を含む接続通知を行う。接続制御部120は、ルータ装置500から接続通知を受信する。例えば、接続制御部120は、Webサーバ機能を有し、ルータ装置500がHTTPリクエストとして送信した接続通知を受信する。
[ステップS13]接続制御部120は、起動制御部220に対して実運用で利用する接続を確立するためのゲートウェイ装置の割り当てを依頼する。また、接続制御部120は、接続通知で指定された仮想マシンの要件を満たせる実行サーバ装置の割り当てを依頼する。起動制御部220は、管理情報記憶部210を参照して、該ユーザに対して、ゲートウェイ装置および実行サーバ装置の割り当てを行う。例えば、起動制御部220は、該ユーザに対してゲートウェイ装置400および実行サーバ装置300を割り当てたとする。接続制御部120は、ゲートウェイ装置400とルータ装置500との間のIP−VPN接続を確立する。
[ステップS14]起動制御部220は、実行サーバ装置300に仮想マシン320と、該仮想マシンに対する通信を中継させるための仮想ルータ310を起動させる。起動制御部220は、仮想ルータ310および仮想マシン320の起動が完了したことを実行サーバ装置300に確認すると、接続制御部120にその旨を通知する。ここで、起動された仮想ルータ310および仮想マシン320が該ユーザに割り当てられる。
[ステップS15]接続制御部120は、ステップS14で起動された仮想ルータ310とルータ装置500との間のL2VPN接続を確立する。接続制御部120は、L2VPN接続を確立した後、ゲートウェイ装置400とルータ装置500との間の初期設定用のIP−VPN接続を切断させる。また、ルータ装置500とネットワーク10との間の初期設定用のPPPoE接続を切断させる。
上記処理につき、装置間の関連をシーケンス図で説明する。
図10は、第2の実施の形態の仮想マシンの起動処理を示すシーケンス図である。以下、図10に示す処理をステップ番号に沿って説明する。
[ステップST101]ルータ装置500は、ネットワーク10に接続する。すると、ルータ装置500は、既定のIDおよびパスワードにより、PPPoE認証を行い、PPPoE網に接続する。また、ルータ装置500は、既定のIP−VPNグループ情報により、ゲートウェイ装置400との間のIP−VPN接続を確立する。
[ステップST102]ルータ装置500は、制御装置100に接続通知を送信する。接続通知には、起動する仮想マシンの情報やユーザIDが含まれる。
[ステップST103]ルータ装置500は、該ユーザに対する実行サーバ装置およびゲートウェイ装置の割当を、仮想マシン管理装置200に依頼する。
[ステップST104]仮想マシン管理装置200は、実行サーバ装置300およびゲートウェイ装置400を割り当てると、割当結果を制御装置100に通知する。
[ステップST105]制御装置100は、IP−VPN用のPPPoE接続情報(IDおよびパスワード)とIP−VPNグループの接続情報とを、2組分、通信事業者サーバ装置700から取得する。制御装置100は、そのうちの1組をルータ装置500に送信する。
[ステップST106]制御装置100は、ステップST105で取得したPPPoE接続情報およびIP−VPNグループの接続情報のうちのもう一方の1組をゲートウェイ装置400に送信する。
[ステップST107]ルータ装置500およびゲートウェイ装置400は、制御装置100から受信したPPPoE接続情報とIP−VPNグループの情報により、IP−VPN接続を確立する。
[ステップST108]制御装置100は、仮想マシン管理装置200に、仮想マシンおよび仮想ルータの起動指示を送信する。
[ステップST109]仮想マシン管理装置200は、割り当てた実行サーバ装置300に対して、仮想ルータ310および仮想マシン320の起動を指示する。
[ステップST110]実行サーバ装置300は、仮想ルータ310および仮想マシン320の起動が完了すると、仮想マシン管理装置200に起動完了を通知する。
[ステップST111]仮想マシン管理装置200は、実行サーバ装置300上で、仮想ルータ310および仮想マシン320の起動が完了した旨を、制御装置100に通知する。
[ステップST112]制御装置100は、仮想ルータ310およびルータ装置500の間のL2VPN接続を確立する。具体的には、制御装置100は仮想ルータ310のIPアドレスをルータ装置500に送信して、該IPアドレスに対するEthernetフレームのEtherIPによるカプセル化のための設定を行わせる。また、制御装置100は、ルータ装置500のIPアドレスを仮想ルータ310に送信して、該IPアドレスに対するEthernetフレームのEtherIPによるカプセル化のための設定を行わせる。制御装置100は、L2VPN接続が確立されると、ステップST101で確立された初期設定用のIP−VPN接続や初期設定用のPPPoE接続を切断させる。
このようにして、制御装置100は、ルータ装置500とゲートウェイ装置400との間で確立された初期設定用のIP−VPN接続により、ルータ装置500から接続通知を受け付ける。制御装置100は、通信事業者サーバ装置700より、実運用で用いるためのIP−VPN接続のための情報を取得し、ルータ装置500とゲートウェイ装置400との間で該IP−VPN接続を確立させる。制御装置100は、仮想ルータ310が起動すると、仮想ルータ310とルータ装置500との間のL2VPN接続を確立させる。
なお、上記ステップST105〜ST107およびステップST108〜ST111の処理は並行に実行されてもよい。
図11は、第2の実施の形態のフィルタ設定処理を示すフローチャートである。以下、図11に示す処理をステップ番号に沿って説明する。
[ステップS21]接続制御部120は、ルータ装置500からユーザが選択したサービスを受け付ける。接続制御部120は、ルール管理部130および起動制御部220に、該ユーザによるサービスの選択内容を送信する。サービスの選択内容には、該ユーザに割り当てられた仮想マシンを指定する情報およびサービスのSaaS種別が含まれる。仮想マシン320を指定する情報およびSaaS種別“SaaS1”を示す情報が含まれるとする。
[ステップS22]ルール管理部130は、制御情報記憶部110を参照して、選択されたサービスのSaaS種別に対応するフィルタ雛型を選択する。選択されたサービスのSaaS種別が“SaaS1”であるので、ルール管理部130はフィルタ雛型テーブル113を選択する。
[ステップS23]ルール管理部130は、指定された仮想マシンの通信を中継する仮想ルータを選択する。例えば、仮想マシン320が指定されている場合、仮想ルータ310を選択する。ルール管理部130は、仮想マシン320に対応する仮想ルータおよび仮想マシン320と接続するネットワークIFを起動制御部220に問い合わせてもよい。
[ステップS24]ルール管理部130は、ステップS22で選択したフィルタ雛型を仮想ルータ310に送信する。このとき、ルール管理部130は、SaaS種別“SaaS1”のサービスを利用可能な仮想マシン320と接続するネットワークIF312の情報(“IF−S1”)を仮想ルータ310に通知する。ネットワークIF312の情報は、雛型の<Local>の設定に相当する。
[ステップS25]ルール設定部317は、フィルタ雛型を受信する。ルール設定部317は、フィルタ雛型のFrom−IFおよびTo−IFの項目に記述された“<Local>”の文字列をネットワークIF312を示す“IF−S1”に置換する。また、ルール設定部317は、該各項目に記述された“<User>”の文字列をユーザ側ネットワークと接続するネットワークIF314を示す“IF−U1”に置換する。ルール設定部317は、このようにして生成したフィルタルールをルール記憶部311のフィルタテーブル311aに設定する。
[ステップS26]ルール設定部317は、フィルタルールの設定が完了した旨をルール管理部130に通知する。ルール管理部130は、該通知によりフィルタルールの設定完了を受け付ける。
[ステップS27]ルール管理部130は、制御情報記憶部110に記憶された接続リストテーブル111を更新する。具体的には、ルール管理部130は、新たに選択されたサービスのSaaS種別とユーザとそのユーザが利用するネットワークIFとの対応関係を設定する。より具体的には、上記ステップS21〜S26の処理に対して、ルール管理部130は、ユーザ“User1”、SaaS種別“SaaS1”、ネットワークIF“IF−S1”の対応関係を接続リストテーブル111に設定する。
このようにして、ルール管理部130は、選択されたサービスのSaaS種別に応じたフィルタルールを選択して、仮想ルータ310に送信する。
上記処理につき装置間の関連をシーケンス図で説明する。
図12は、第2の実施の形態のフィルタ設定処理を示すシーケンス図である。以下、図12に示す処理をステップ番号に沿って説明する。
[ステップST121]クライアント装置600は、ユーザ(“User1”)によるサービスの選択内容を受け付ける。サービスの選択内容には、該ユーザにより指定された仮想マシン320を示す情報およびサービスのSaaS種別“SaaS1”が含まれる。クライアント装置600は、サービスの選択内容をルータ装置500に入力する。ルータ装置500は、サービスの選択内容を、ゲートウェイ装置400を介して制御装置100に送信する。
[ステップST122]制御装置100は、選択されたサービスのSaaS種別“SaaS1”に応じたフィルタ雛型テーブル112を制御情報記憶部110から取得する。制御装置100は、フィルタ雛型テーブル112のフィルタ雛型(ルール)を実行サーバ装置300上の仮想ルータ310に送信する。
[ステップST123]仮想ルータ310は、受信したフィルタ雛型に、自身が備えるネットワークIFの情報をあてはめてフィルタルールを生成し、ルール記憶部311のフィルタテーブル311aに設定する。仮想ルータ310は、フィルタルールの設定が完了した旨を制御装置100に通知する。仮想ルータ310は、該フィルタルールによるフィルタリングを開始する。
[ステップST124]制御装置100は、仮想マシン管理装置200にサービスの選択内容を通知する。仮想マシン管理装置200は、該通知に基づき、実行サーバ装置300上の仮想マシン320に、該サービスを利用するためのソフトウェアを実行させる。
[ステップST125]制御装置100は、ユーザ“User1”とSaaS種別“SaaS1”とネットワークIF“IF−S1”との対応関係を制御情報記憶部110の接続リストテーブル111に設定する。
[ステップST126]クライアント装置600は、ユーザによる操作を受け付け、実行サーバ装置300上の仮想マシン320で実行されるソフトウェアに処理要求を送信する。こうして、該ユーザは、該ソフトウェアにより実現されるサービスを利用可能となる。
このようにして、制御装置100は、ユーザにより選択されたサービスに応じたフィルタルールを、仮想ルータ310に送信する。
これにより、通信監視のルールを容易に設定可能となる。具体的には、仮想マシン320上のサービスが選択されたときに、サービスごとに定義されたフィルタ雛型を、仮想マシン320の通信を中継する仮想ルータ310に送信することで、該サービスのためのルールを、仮想ルータ310に容易に設定できる。複数の情報処理装置上で複数の仮想マシンが動作している場合でも、各仮想マシンに対して選択されたサービスに対するルールを自動的に取得し、各仮想マシンに対応する仮想ルータに送信する。このため、システム管理者による設定のための作業負担を軽減できる。また、上記情報処理システムのように、仮想マシン上で利用するサービスが、ユーザにより事後的に選択される場合でも、選択されたサービスに応じた適切なルールを仮想ルータに容易に設定可能となる。
また、セキュリティの観点からは、上述のように該サービスが利用可能となる前に、仮想ルータ310にフィルタルールが設定されていることが好ましい。すなわち、仮想マシン管理装置200は、フィルタルール設定完了後のステップST124で仮想マシン320に該ソフトウェアの実行を指示する。フィルタルールが設定されるまで、該サービスへの通信を適切にフィルタリングできないためである。このようにすれば、サービスに対する通信の安全性を事前に確保した状態で、サービスの利用を開始することができる。ただし、ステップST122の前にステップST124を実行してもよい。
ここで、第2の実施の形態の情報処理システムでは、ユーザ拠点30のネットワーク31と仮想マシン320,320a,320bがVPN接続される。このため、これらの仮想マシンは、ネットワーク31(イントラネット)の延長上に接続された形態となる。その場合、通信のセキュリティ機能をどのように確保するか問題となる。例えば、ユーザ側の責任において設定させる場合、ユーザに対してフィルタ設定のための知識を要求することになる。一方、サービス事業者側の責任において設定する場合、多数の仮想マシンが稼働し得る情報処理システムにおいて、設定のための作業負担が問題となる。これに対し、上述のように、サービスが選択されたときに、該サービスに応じたフィルタ雛型を仮想ルータに送信することで、ユーザ側/サービス事業者側の負担を軽減して、通信のセキュリティを容易に確保できる。
第2の実施の形態のフィルタ雛型テーブル112,112a,・・・では、仮想マシン側ネットワークとユーザ側ネットワークとの間のフィルタルールを例示した。該フィルタルールによって、これらネットワーク間での通信のセキュリティ向上を図れる。
更に、ユーザがサービスの利用を中止することも考えられる。ユーザは、そのための操作を、例えば、ルータ装置500が提供するインタフェースにより行える。その場合、制御装置100は、該サービスの中止を受け付けた旨を仮想マシン管理装置200および該サービスを提供する仮想マシンの通信を中継する仮想ルータに通知する。すると、該仮想ルータは、そのサービスに対応するフィルタルールを削除する。例えば、SaaS種別“SaaS1”のサービスの利用を停止する場合、フィルタテーブル311aのFrom−IFの項目に、“IF−S1”が設定されたレコードを削除する。
[第3の実施の形態]
次に、第3の実施の形態を説明する。前述の第2の実施の形態との相違点を主に説明し、同様の事項の説明を省略する。
第2の実施の形態では、仮想マシン側ネットワークとユーザ側ネットワークとの間のフィルタルールの設定を例示した。ここで、仮想マシンでサービスを利用可能とするために、該仮想マシンから、そのユーザに割り当てられた他の仮想マシンと通信することもある。その場合、仮想マシン間の通信でもフィルタリングを行うことが好ましい。第3の実施の形態では、仮想マシン間でのフィルタルールを容易に設定可能とする方法を提供する。
ここで、第3の実施の形態の情報処理システムの構成は、図2で説明した第2の実施の形態の情報処理システムの構成と同様である。第3の実施の形態では、第2の実施の形態と同一の符号・名称により、各装置および各装置の構成要素を指し示す。
図13は、第3の実施の形態のフィルタ雛型テーブルの例を示す図である。フィルタ雛型テーブル113,113a,・・・は、あるSaaS種別のサービスを実行する仮想マシンと該SaaS種別のサービスが連携する他のサービスを実行する他の仮想マシンとの間のフィルタ雛型を定義したものである。すなわち、フィルタ雛型テーブル113,113a,・・・は、仮想マシン側ネットワークでのフィルタを定義したものである。フィルタ雛型テーブル113,113a,・・・は、制御情報記憶部110に格納される。
フィルタ雛型テーブル113は、SaaS種別“SaaS1”と他のSaaS種別との連携に対するフィルタ雛型を定義したものである。フィルタ雛型テーブル113aは、SaaS種別“SaaS2”と他のSaaS種別との連携に対するフィルタ雛型を定義したものである。以下、フィルタ雛型テーブル113を説明するが、フィルタ雛型テーブル113a,・・・についても同様である。
フィルタ雛型テーブル113には、Fromポート、Toポート、Protocol、From−IF、To−IF、Flagおよび許可/禁止の項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのフィルタ雛型を示す。ここで、Flagの項目以外の各項目の内容は、図7で説明した第2の実施の形態のフィルタ雛型テーブル112の各項目の内容と同様である。
Flagの項目には、TCPによる発呼方向などを制限するための情報が設定される。
例えば、フィルタ雛型テーブル113には、Fromポートが“*”、Toポートが“*”、Protocolが“TCP”、From−IFが“<Local>”、To−IFが“<SaaS>”、Flagが“NEW,Established”、許可/禁止が“Permit”という情報が設定される。これは、仮想ルータにおいて、SaaS種別“SaaS1”のネットワークIFから、他のSaaS種別のサービスを提供する仮想マシンが接続するネットワークIFへのTCPによる通信の一部を許可することを示す。許可されるのは、TCPセッションの新規確立用のパケット(“NEW”)および既に確立済のTCPセッションのパケット(“Established”)である。
また、例えば、フィルタ雛型テーブル113には、Fromポートが“*”、Toポートが“*”、Protocolが“TCP”、From−IFが“<SaaS>”、To−IFが“<Local>”、Flagが“Established”、許可/禁止が“Permit”という情報が設定される。これは、仮想ルータにおいて、他のSaaS種別のサービスを提供する仮想マシンが接続するネットワークIFから、SaaS種別“SaaS1”のサービスを提供する仮想マシンが接続するネットワークIFへのTCPによる通信の一部を許可することを示す。許可されるのは、既に確立済のTCPセッションのパケットである。
また、例えば、フィルタ雛型テーブル113には、Fromポートが“*”、Toポートが“*”、Protocolが“*”、From−IFが“<Local>”、To−IFが“<SaaS>”、Flagが“−”(ハイフン)、許可/禁止が“Deny”という情報が設定される。これは、仮想ルータにおいて、SaaS種別“SaaS1”のサービスを提供する仮想マシンが接続するネットワークIFから、他のSaaS種別のサービスを提供する仮想マシンが接続するネットワークIFへの全ての通信を遮断することを示す。
また、例えば、フィルタ雛型テーブル113には、Fromポートが“*”、Toポートが“*”、Protocolが“*”、From−IFが“<SaaS>”、To−IFが“<Local>”、Flagが“−”(ハイフン)、許可/禁止が“Deny”という情報が設定される。これは、仮想ルータにおいて、他のSaaS種別のサービス提供する仮想マシンが接続するネットワークIFから、SaaS種別“SaaS1”のサービスを提供する仮想マシンが接続するネットワークIFへの全ての通信を遮断することを示す。
フィルタ雛型テーブル113では、上に記述されたルール程優先度が高い。フィルタ雛型テーブル113によれば、SaaS種別“SaaS1”のサービスを提供する仮想マシンが接続するネットワークIFから、他のSaaS種別のサービスを提供する仮想マシンが接続するネットワークIFへのTCPセッションの開設が許可される。ただし、逆方向(他のSaaS種別のネットワークIFから“SaaS1”のネットワークIFへ向かう方向)へのTCPセッションの開設は禁止される。以後、両仮想マシン間で開設されたTCPセッションでの通信が許可される。それ以外の通信は、全て遮断される。
なお、仮想ルータは、フィルタ雛型テーブル113で定義されたフィルタ雛型を取得すると、自身が備えるネットワークIFの識別情報をあてはめて、該仮想ルータ用のフィルタルールを生成する。具体的には、“<Local>”には、SaaS種別“SaaS1”のサービスを提供する仮想マシンと接続するネットワークIFの識別情報をあてはめる。“<SaaS>”には、他のSaaS種別のサービスを提供する仮想マシンと接続するネットワークIFの識別情報をあてはめる。次に、このようにして生成された仮想マシン320用のフィルタルール(フィルタテーブル)を例示する。
図14は、第3の実施の形態のフィルタテーブルの例を示す図である。フィルタテーブル311bは、ルール記憶部311に格納される。フィルタテーブル311bは、フィルタテーブル311aに、フィルタ雛型テーブル113,113aで定義されたフィルタ雛型を追加設定した場合を例示している。ただし、フィルタテーブル311aで示した設定内容は図示を省略する。フィルタテーブル311bには、Fromポート、Toポート、Protocol、From−IF、To−IF、Flagおよび許可/禁止の項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのフィルタルールを示す。ここで、各項目の内容は、図13で説明したフィルタ雛型テーブル113の各項目の内容と同様である。
フィルタテーブル311bとフィルタ雛型テーブル113,113a,・・・とでは、From−IFおよびTo−IFの設定内容が相違する。ここで、フィルタテーブル311b中、設定A,Bが示されている。設定Aは、フィルタ雛型テーブル113に基づく仮想マシン320,320a間の通信のフィルタルールである。設定Bは、フィルタ雛型テーブル113aに基づく仮想マシン320,320a間の通信のフィルタルールである。
設定Aでは、フィルタ雛型テーブル113中“<Local>”であった箇所が、SaaS種別“SaaS1”のサービスを提供する仮想マシン320と接続するネットワークIF312の識別情報“IF−S1”に置換されている。また、フィルタテーブル311bでは、フィルタ雛型テーブル113中“<SaaS>”であった箇所が、SaaS種別“SaaS2”(他のSaaS種別)のサービスを提供する仮想マシン320aと接続するネットワークIF313の識別情報“IF−S2”に置換されている。
設定Bでは、フィルタ雛型テーブル113a中“<Local>”であった箇所が、SaaS種別“SaaS2”のサービスを提供する仮想マシン320aと接続するネットワークIF313の識別情報“IF−S2”に置換されている。また、フィルタテーブル311bでは、フィルタ雛型テーブル113a中“<SaaS>”であった箇所が、SaaS種別“SaaS1”(他のSaaS種別)のサービスを提供する仮想マシン320と接続するネットワークIF312の識別情報“IF−S1”に置換されている。
フィルタテーブル311bには、ユーザにより選択されたSaaS種別のサービスを提供する仮想マシンと接続するネットワークIFと、該ユーザに割り当てられた他の仮想マシンと接続するネットワークIFと、の組の分だけルールが設定される。
例えば、“User1”のユーザは、実行サーバ300a上の仮想マシン320bでSaaS種別“SaaS3”のサービスを利用している。このため、フィルタテーブル311bには、フィルタ雛型テーブル113に基づいて、仮想マシン320,320b間の通信のフィルタルールも設定される。また、フィルタテーブル311bには、フィルタ雛型テーブル113aに基づいて、仮想マシン320a,320b間の通信のフィルタルールも設定される。このようにして、該ユーザに割り当てた仮想マシン間で網羅的にフィルタルールが設定される。
次に、以上の構成の情報処理システムの処理手順を説明する。ここで、仮想マシンの起動処理は、図9で説明した第2の実施の形態の仮想マシンの起動処理と同様である。
図15は、第3の実施の形態のフィルタ設定処理を示すフローチャートである。以下、図15に示す処理をステップ番号に沿って説明する。
[ステップS31]接続制御部120は、ルータ装置500からユーザが選択したサービスを受け付ける。接続制御部120は、ルール管理部130および起動制御部220に、該ユーザによるサービスの選択内容を送信する。サービスの選択内容には、該ユーザに割り当てられた仮想マシンを指定する情報およびサービスのSaaS種別が含まれる。仮想マシン320を指定する情報およびSaaS種別“SaaS1”を示す情報が含まれるとする。
[ステップS32]ルール管理部130は、制御情報記憶部110を参照して、選択されたサービスのSaaS種別に対応するフィルタ雛型を選択する。選択されたサービスのSaaS種別が“SaaS1”であるので、ルール管理部130はフィルタ雛型テーブル113を選択する。
[ステップS33]ルール管理部130は、指定された仮想マシンの通信を中継する仮想ルータを選択する。例えば、仮想マシン320が指定されている場合、仮想ルータ310を選択する。ルール管理部130は、仮想マシン320に対応する仮想ルータおよび仮想マシン320と接続するネットワークIFを起動制御部220に問い合わせてもよい。
[ステップS34]ルール管理部130は、ステップS32で選択したフィルタ雛型を仮想ルータ310に送信する。このとき、ルール管理部130は、SaaS種別“SaaS1”のサービスを利用可能な仮想マシン320と接続するネットワークIF312の情報(“IF−S1”)を仮想ルータ310に通知する。ネットワークIF312の情報は、雛型の<Local>の設定に相当する。
[ステップS35]ルール設定部317は、フィルタ雛型を受信する。ルール設定部317は、フィルタ雛型のFrom−IFおよびTo−IFの項目に記述された“<Local>”の文字列をネットワークIF312を示す“IF−S1”に置換する。また、ルール設定部317は、該各項目に記述された“<User>”の文字列をユーザ側ネットワークと接続するネットワークIF314を示す“IF−U1”に置換する。ルール設定部317は、このようにして生成したフィルタルールをルール記憶部311のフィルタテーブル311bに設定する。
[ステップS36]ルール設定部317は、フィルタルールの設定が完了した旨をルール管理部130に通知する。ルール管理部130は、該通知によりフィルタルールの設定完了を受け付ける。
[ステップS37]ルール管理部130は、制御情報記憶部110に記憶された接続リストテーブル111を更新する。具体的には、ルール管理部130は、新たに選択されたサービスのSaaS種別とユーザとそのユーザが利用するネットワークIFとの対応関係を設定する。より具体的には、上記ステップS31〜S36の処理に対して、ルール管理部130は、ユーザ“User1”、SaaS種別“SaaS1”、ネットワークIF“IF−S1”の対応関係を接続リストテーブル111に設定する。
[ステップS38]ルール管理部130は、該ユーザが他のSaaS種別のサービスを利用中であるかを判定する。該ユーザが他のSaaS種別のサービスを利用中である場合、処理をステップS39に進める。該ユーザが他のSaaS種別のサービスを利用中でない場合、処理を終了する。この判定は、ルール管理部130は、接続リストテーブル111を参照して、該ユーザに対応する他のSaaS種別があるか判断することで行える。他のSaaS種別があれば他のSaaS種別のサービスを利用中であり、なければ他のSaaS種別のサービスを利用中でない。例えば、接続リストテーブル111の例では、“User1”に対して、“SaaS1”以外にもSaaS種別“SaaS2”および“SaaS3”が対応付けられている。よって、“User1”は、SaaS種別“SaaS1”以外の他のSaaS種別のサービスを利用中である。
[ステップS39]ルール管理部130は、制御情報記憶部110を参照して、ステップS31で選択されたSaaS種別に対し、他のSaaS種別との間のフィルタ雛型があるか否か判定する。他のSaaS種別との間のフィルタ雛型がある場合、処理をステップS40に進める。他のSaaS種別との間のフィルタ雛型がない場合、処理を終了する。ここで、制御情報記憶部110には、“SaaS1”と他のSaaS間の接続用のフィルタ雛型を定義したフィルタ雛型テーブル113が存在する。したがって、ルール管理部130は、ステップS31で選択されたSaaS種別“SaaS1”に対し、他のSaaS種別との間のフィルタ雛型があると判定する。
[ステップS40]ルール管理部130は、ステップS33で選択した仮想ルータ310にフィルタ雛型テーブル113のフィルタ雛型を送信する。このとき、ルール管理部130は、SaaS種別“SaaS1”のサービスを利用可能な仮想マシン320と接続するネットワークIF312の情報(“IF−S1”)を仮想ルータ310に通知する。ネットワークIF312の情報は、雛型の<Local>の設定に相当する。また、ルール管理部130は、該ユーザが利用する他のSaaS種別“SaaS2”、“SaaS3”を利用可能な仮想マシン320a,320bと接続するネットワークIFの情報(“IF−S2”、“IF−S3”)を仮想ルータ310に送信する。該ネットワークIFの情報は、雛型の<SaaS>の設定に相当する。
[ステップS41]ルール設定部317は、フィルタ雛型を受信する。ルール管理部130は、ルール管理部130から受信した“<Local>”の設定と“<SaaS>”の設定との組ごとにフィルタルールを生成する。具体的には、ルール設定部317は、フィルタ雛型とともに“<Local>”の設定として“IF−S1”を受信している。また、“<SaaS>”の設定として“IF−S2”、“IF−S3”を受信している。よって、(<Local>,<SaaS>)の組として、2つの組(IF−S1,IF−S2)、(IF−S1,IF−S3)が得られる。ルール設定部317は、フィルタ雛型テーブル113の“<Local>”を“IF−S1”に、“<SaaS>”を“IF−S2”に置換したフィルタルールを生成してフィルタテーブル311bに設定する。同様に、ルール設定部317は、フィルタ雛型テーブル113の“<Local>”を“IF−S1”に、“<SaaS>”を“IF−S3”に置換したフィルタルールを生成してフィルタテーブル311bに設定する。
[ステップS42]ルール設定部317は、仮想マシン間でのフィルタルールの設定が完了した旨をルール管理部130に通知する。ルール管理部130は、該通知により仮想マシン間でのフィルタルールの設定完了を受け付ける。
このようにして、ルール管理部130は、仮想マシン間の通信をフィルタリングするためのフィルタ雛型を仮想ルータ310に送信する。このとき、仮想ルータ310は、フィルタ雛型に基づき、ユーザにより選択されたSaaS種別(例えば、“SaaS1”)と、該ユーザが利用中の他のSaaS種別(例えば、“SaaS2”、“SaaS3”)との組合わせごとのフィルタルールを生成する。
これにより、第2の実施の形態と同様の効果を得られる。加えて、該ユーザが選択したサービスに対して、他のサービスとの間のフィルタルールを容易に設定可能となる。特に、ユーザが利用中のサービスが多数存在している場合に有効である。
他のサービスとの間のフィルタルールを設定した後に、選択された仮想マシンに該サービスを利用するためのソフトウェアを実行させてもよい。このようにすれば、他のサービスとの間の通信につき、フィルタによるセキュリティを確保した状態で選択されたサービスの提供を開始できる。
なお、上記の説明では、SaaS種別“SaaS1”のサービスが選択された場合の例を示した。一方、ユーザが“SaaS1”,“SaaS3”が利用中に“SaaS2”のサービスが選択された場合も同様にして、“SaaS2”と“SaaS1”との組および“SaaS2”と“SaaS3”との組に関する設定をフィルタテーブル311bに追加する。
更に、ユーザがサービスの利用を中止することも考えられる。ユーザは、そのための操作を、例えば、ルータ装置500が提供するインタフェースにより行える。その場合、制御装置100は、該サービスの中止を受け付けた旨を仮想マシン管理装置200および該サービスを提供する仮想マシンの通信を中継する仮想ルータに通知する。すると、該仮想ルータは、そのサービスに対応するフィルタルールを削除する。例えば、SaaS種別“SaaS1”のサービスの利用を停止する場合、フィルタテーブル311bのFrom−IFおよびTo−IFの項目に、“IF−S1”が設定されたレコードを削除する。
また、第2,第3の実施の形態では、サービスの選択を受け付けたとき、フィルタ雛型を仮想ルータに送信して該フィルタ雛型に基づくフィルタルールによる監視を行わせるものとした。しかしながら、送信するルールは、フィルタルールに限らない。例えば、IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)に用いられる不正アクセスを検知するためのルール(シグネチャやアノマリと呼ばれることもある)の雛型をサービスごとに定義してもよい。このとき、雛型では、通信の宛先(To−IF)や送信元(From−IF)を示す箇所にフィルタ雛型テーブル112,113のように、“<Local>”、“<User>”、“<SaaS>”などの文字列を設定しておく。そして、サービスが選択されたときに、該サービスを利用するためのソフトウェアを実行させる仮想マシンに、該ルールの雛型を送信して、各文字列を各仮想マシンのネットワークIFの識別情報に置換させる。このようにすれば、フィルタルールと同様に、サービスごとの不正アクセス検知のためのルールを、仮想ルータに容易に設定することが可能となる。
1,2 情報処理装置
1a 記憶部
1b 制御部
2a 仮想ルータ
2b 仮想マシン

Claims (7)

  1. 仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な他の情報処理装置と通信する情報処理装置であって、
    サービスごとに定義された、前記仮想ルータによる通信監視のルールを記憶する記憶部と、
    前記仮想マシン上で利用するサービスが選択されると、前記記憶部を参照して、選択された該サービスに応じた前記通信監視のルールを前記仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる制御部と、
    を有する情報処理装置。
  2. 前記記憶部は、前記仮想ルータ上のインタフェース部が何れのサービスを提供する仮想マシンと通信するか管理するためのリストを記憶し、
    前記制御部は、前記記憶部に記憶された前記リストを参照して、選択された前記サービスに対応するインタフェース部につき前記通信監視のルールに基づく監視を前記仮想ルータに行わせる、
    請求項1記載の情報処理装置。
  3. 前記仮想ルータは、前記サービスを選択したユーザのネットワークと通信するユーザ側インタフェース部を有しており、
    前記制御部は、前記記憶部に記憶された前記リストを参照して、選択された前記サービスに対応するインタフェース部と前記ユーザ側インタフェース部との間の通信につき、前記通信監視のルールに基づく監視を前記仮想ルータに行わせる、
    請求項2記載の情報処理装置。
  4. 前記仮想ルータは、前記サービスを選択したユーザが利用中の他のサービスを提供する他の仮想マシンと通信する他のインタフェース部を有しており、
    前記制御部は、前記記憶部に記憶された前記リストを参照して、選択された前記サービスに対応するインタフェース部と前記他のインタフェース部との通信につき、前記通信監視のルールに基づく監視を前記仮想ルータに行わせる、
    請求項2または3記載の情報処理装置。
  5. 前記制御部は、選択された前記サービスを前記仮想マシンに提供開始させる前に、前記通信監視のルールを送信する、請求項1乃至4の何れか一項に記載の情報処理装置。
  6. 仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な情報処理装置と通信するコンピュータに、
    前記仮想マシン上で利用するサービスが選択されると、サービスごとに定義された、前記仮想ルータによる通信監視のルールを記憶する記憶部を参照して、選択された該サービスに応じた前記通信監視のルールを前記仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる、
    処理を実行させる情報処理プログラム。
  7. 仮想マシンおよび該仮想マシンの通信を中継する仮想ルータが動作可能な他の情報処理装置と通信する情報処理装置が実行する管理方法であって、
    前記仮想マシン上で利用するサービスが選択されると、サービスごとに定義された、前記仮想ルータによる通信監視のルールを記憶する記憶部を参照して、選択された該サービスに応じた前記通信監視のルールを前記仮想ルータに送信し、該通信監視のルールに基づく監視を行わせる、
    管理方法。
JP2011143675A 2011-06-29 2011-06-29 情報処理装置、情報処理プログラムおよび管理方法 Expired - Fee Related JP5824911B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011143675A JP5824911B2 (ja) 2011-06-29 2011-06-29 情報処理装置、情報処理プログラムおよび管理方法
US13/493,405 US8856786B2 (en) 2011-06-29 2012-06-11 Apparatus and method for monitoring communication performed by a virtual machine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011143675A JP5824911B2 (ja) 2011-06-29 2011-06-29 情報処理装置、情報処理プログラムおよび管理方法

Publications (2)

Publication Number Publication Date
JP2013012865A true JP2013012865A (ja) 2013-01-17
JP5824911B2 JP5824911B2 (ja) 2015-12-02

Family

ID=47392079

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011143675A Expired - Fee Related JP5824911B2 (ja) 2011-06-29 2011-06-29 情報処理装置、情報処理プログラムおよび管理方法

Country Status (2)

Country Link
US (1) US8856786B2 (ja)
JP (1) JP5824911B2 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013254337A (ja) * 2012-06-06 2013-12-19 Ntt Data Corp 仮想化装置、仮想化制御方法、仮想化装置制御プログラム
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム
JP2018501590A (ja) * 2015-04-07 2018-01-18 ホアウェイ・テクノロジーズ・カンパニー・リミテッド モバイルデバイスに基づくクラスタコンピューティングインフラストラクチャのための方法および装置
WO2018122892A1 (ja) * 2016-12-26 2018-07-05 株式会社日立製作所 管理対象を追加する方法及び情報システム
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2745208B1 (en) 2011-08-17 2018-11-28 Nicira, Inc. Distributed logical l3 routing
US9817968B2 (en) * 2012-10-31 2017-11-14 Unisys Corporation Secure connection for a remote device through a mobile application
JP2014096675A (ja) * 2012-11-08 2014-05-22 Hitachi Ltd 通信装置、及び、設定方法
EP2973365A4 (en) * 2013-03-15 2016-11-02 Stryker Corp PATIENT SUPPORT APPARATUS WITH REMOTE COMMUNICATIONS
US9887960B2 (en) 2013-08-14 2018-02-06 Nicira, Inc. Providing services for logical networks
US9952885B2 (en) 2013-08-14 2018-04-24 Nicira, Inc. Generation of configuration files for a DHCP module executing within a virtualized container
US9503371B2 (en) 2013-09-04 2016-11-22 Nicira, Inc. High availability L3 gateways for logical networks
US9577845B2 (en) 2013-09-04 2017-02-21 Nicira, Inc. Multiple active L3 gateways for logical networks
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US10063458B2 (en) 2013-10-13 2018-08-28 Nicira, Inc. Asymmetric connection with external networks
US9575782B2 (en) 2013-10-13 2017-02-21 Nicira, Inc. ARP for logical router
US9519513B2 (en) * 2013-12-03 2016-12-13 Vmware, Inc. Methods and apparatus to automatically configure monitoring of a virtual machine
US9678731B2 (en) 2014-02-26 2017-06-13 Vmware, Inc. Methods and apparatus to generate a customized application blueprint
US9225597B2 (en) 2014-03-14 2015-12-29 Nicira, Inc. Managed gateways peering with external router to attract ingress packets
US9313129B2 (en) 2014-03-14 2016-04-12 Nicira, Inc. Logical router processing by network controller
US9590901B2 (en) 2014-03-14 2017-03-07 Nicira, Inc. Route advertisement by managed gateways
US9419855B2 (en) 2014-03-14 2016-08-16 Nicira, Inc. Static routes for logical routers
US9647883B2 (en) 2014-03-21 2017-05-09 Nicria, Inc. Multiple levels of logical routers
US9503321B2 (en) 2014-03-21 2016-11-22 Nicira, Inc. Dynamic routing for logical routers
US9893988B2 (en) 2014-03-27 2018-02-13 Nicira, Inc. Address resolution using multiple designated instances of a logical router
US9413644B2 (en) 2014-03-27 2016-08-09 Nicira, Inc. Ingress ECMP in virtual distributed routing environment
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US10205648B1 (en) * 2014-05-30 2019-02-12 EMC IP Holding Company LLC Network monitoring using traffic mirroring and encapsulated tunnel in virtualized information processing system
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US20150378763A1 (en) 2014-06-30 2015-12-31 Vmware, Inc. Methods and apparatus to manage monitoring agents
US10020960B2 (en) 2014-09-30 2018-07-10 Nicira, Inc. Virtual distributed bridging
US9768980B2 (en) 2014-09-30 2017-09-19 Nicira, Inc. Virtual distributed bridging
US10511458B2 (en) 2014-09-30 2019-12-17 Nicira, Inc. Virtual distributed bridging
US10250443B2 (en) 2014-09-30 2019-04-02 Nicira, Inc. Using physical location to modify behavior of a distributed virtual network element
US9866473B2 (en) 2014-11-14 2018-01-09 Nicira, Inc. Stateful services on stateless clustered edge
US10044617B2 (en) 2014-11-14 2018-08-07 Nicira, Inc. Stateful services on stateless clustered edge
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
US9876714B2 (en) 2014-11-14 2018-01-23 Nicira, Inc. Stateful services on stateless clustered edge
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US10079779B2 (en) 2015-01-30 2018-09-18 Nicira, Inc. Implementing logical router uplinks
JP6445715B2 (ja) 2015-03-30 2018-12-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Vnfm間のインターフェースを確立するための方法及び装置、並びにシステム
US10038628B2 (en) 2015-04-04 2018-07-31 Nicira, Inc. Route server mode for dynamic routing between logical and physical networks
US10225184B2 (en) 2015-06-30 2019-03-05 Nicira, Inc. Redirecting traffic in a virtual distributed router environment
US10129142B2 (en) 2015-08-11 2018-11-13 Nicira, Inc. Route configuration for logical router
US10057157B2 (en) 2015-08-31 2018-08-21 Nicira, Inc. Automatically advertising NAT routes between logical routers
US10095535B2 (en) 2015-10-31 2018-10-09 Nicira, Inc. Static route types for logical routers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
US10333849B2 (en) 2016-04-28 2019-06-25 Nicira, Inc. Automatic configuration of logical routers on edge nodes
US10841273B2 (en) 2016-04-29 2020-11-17 Nicira, Inc. Implementing logical DHCP servers in logical networks
US10484515B2 (en) 2016-04-29 2019-11-19 Nicira, Inc. Implementing logical metadata proxy servers in logical networks
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10091161B2 (en) 2016-04-30 2018-10-02 Nicira, Inc. Assignment of router ID for logical routers
US10560320B2 (en) 2016-06-29 2020-02-11 Nicira, Inc. Ranking of gateways in cluster
US10153973B2 (en) 2016-06-29 2018-12-11 Nicira, Inc. Installation of routing tables for logical router in route server mode
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US9762619B1 (en) 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10454758B2 (en) 2016-08-31 2019-10-22 Nicira, Inc. Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP
US10341236B2 (en) 2016-09-30 2019-07-02 Nicira, Inc. Anycast edge service gateways
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
WO2018106612A1 (en) 2016-12-06 2018-06-14 Nicira, Inc. Performing context-rich attribute-based services on a host
US11089066B2 (en) * 2016-12-09 2021-08-10 Nutanix, Inc. System and method for dynamic medium access control (MAC) relating to a virtualization environment
US10212071B2 (en) 2016-12-21 2019-02-19 Nicira, Inc. Bypassing a load balancer in a return path of network traffic
US10742746B2 (en) 2016-12-21 2020-08-11 Nicira, Inc. Bypassing a load balancer in a return path of network traffic
US10237123B2 (en) 2016-12-21 2019-03-19 Nicira, Inc. Dynamic recovery from a split-brain failure in edge nodes
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10616045B2 (en) 2016-12-22 2020-04-07 Nicira, Inc. Migration of centralized routing components of logical router
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
WO2018183312A1 (en) * 2017-03-28 2018-10-04 Cloudjumper Corporation Methods and systems for providing wake-on-demand access to session servers
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
US11570092B2 (en) 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
US10511459B2 (en) 2017-11-14 2019-12-17 Nicira, Inc. Selection of managed forwarding element for bridge spanning multiple datacenters
US10374827B2 (en) 2017-11-14 2019-08-06 Nicira, Inc. Identifier that maps to different networks at different datacenters
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10896916B2 (en) 2017-11-17 2021-01-19 Sunrise Memory Corporation Reverse memory cell
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US10931560B2 (en) 2018-11-23 2021-02-23 Vmware, Inc. Using route type to determine routing protocol behavior
US10797998B2 (en) 2018-12-05 2020-10-06 Vmware, Inc. Route server for distributed routers using hierarchical routing protocol
US10938788B2 (en) 2018-12-12 2021-03-02 Vmware, Inc. Static routes for policy-based VPN
US11095480B2 (en) 2019-08-30 2021-08-17 Vmware, Inc. Traffic optimization using distributed edge services
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11616755B2 (en) 2020-07-16 2023-03-28 Vmware, Inc. Facilitating distributed SNAT service
US11606294B2 (en) 2020-07-16 2023-03-14 Vmware, Inc. Host computer configured to facilitate distributed SNAT service
US11611613B2 (en) 2020-07-24 2023-03-21 Vmware, Inc. Policy-based forwarding to a load balancer of a load balancing cluster
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11902050B2 (en) 2020-07-28 2024-02-13 VMware LLC Method for providing distributed gateway service at host computer
US11451413B2 (en) 2020-07-28 2022-09-20 Vmware, Inc. Method for advertising availability of distributed gateway service and machines at host computer
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11496556B1 (en) * 2021-04-26 2022-11-08 Cisco Technology, Inc. Service provider selection for application-driven routing
US11995024B2 (en) 2021-12-22 2024-05-28 VMware LLC State sharing between smart NICs
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
US11962564B2 (en) 2022-02-15 2024-04-16 VMware LLC Anycast address for network address translation at edge
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090144393A1 (en) * 2007-11-29 2009-06-04 Yutaka Kudo Method and apparatus for locating candidate data centers for application migration
JP2009522868A (ja) * 2005-12-30 2009-06-11 エクストリーム・ネットワークス・インコーポレイテッド 仮想ルータ機能を提供する方法
JP2009532944A (ja) * 2006-03-31 2009-09-10 アマゾン テクノロジーズ インコーポレイテッド コンピューティングノード間通信の管理
CA2767179A1 (fr) * 2009-07-16 2011-01-20 Universite Pierre Et Marie Curie (Paris 6) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel
JP2011160300A (ja) * 2010-02-02 2011-08-18 Fujitsu Ltd ルータ、ルーティング方法、ルーティングプログラム、情報処理装置、仮想マシン構築方法および仮想マシン構築プログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609153B1 (en) * 1998-12-24 2003-08-19 Redback Networks Inc. Domain isolation through virtual network machines
JP3714549B2 (ja) 2002-02-15 2005-11-09 日本電信電話株式会社 ゲートウェイ装置及びそれによる通信方法
JP3849606B2 (ja) 2002-08-06 2006-11-22 株式会社日立製作所 情報記録媒体、情報記録方法、情報再生方法
JP4328506B2 (ja) 2002-09-13 2009-09-09 ヤマハ株式会社 クライアント登録方法およびカラオケ装置の開局方法
JP3941014B2 (ja) 2002-12-02 2007-07-04 ソニー株式会社 情報処理システム、および情報処理装置
US7735129B2 (en) 2003-02-05 2010-06-08 Nippon Telegraph And Telephone Corporation Firewall device
US7802000B1 (en) * 2005-08-01 2010-09-21 Vmware Virtual network in server farm
US8838756B2 (en) * 2009-07-27 2014-09-16 Vmware, Inc. Management and implementation of enclosed local networks in a virtual lab
WO2009045299A1 (en) * 2007-10-03 2009-04-09 Virtela Communications, Inc. Virtualized application acceleration infrastructure
US8560634B2 (en) * 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
US7941539B2 (en) * 2008-06-30 2011-05-10 Oracle America, Inc. Method and system for creating a virtual router in a blade chassis to maintain connectivity
AU2010234958A1 (en) * 2009-03-31 2011-10-13 Coach Wei System and method for access management and security protection for network accessible computer services
US8429647B2 (en) * 2009-05-06 2013-04-23 Vmware, Inc. Virtual machine migration across network by publishing routes to the associated virtual networks via virtual router after the start of migration of the virtual machine
US8370481B2 (en) * 2009-05-13 2013-02-05 Verizon Patent And Licensing Inc. Inventory management in a computing-on-demand system
US8959201B2 (en) * 2009-12-16 2015-02-17 Juniper Networks, Inc. Limiting control traffic in a redundant gateway architecture
JP2011160298A (ja) * 2010-02-02 2011-08-18 Fujitsu Ltd ネットワークシステム、処理を提供するサーバの切替方法、処理を提供するサーバの切替プログラム、情報処理装置、仮想マシン構築方法および仮想マシン構築プログラム

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009522868A (ja) * 2005-12-30 2009-06-11 エクストリーム・ネットワークス・インコーポレイテッド 仮想ルータ機能を提供する方法
JP2009532944A (ja) * 2006-03-31 2009-09-10 アマゾン テクノロジーズ インコーポレイテッド コンピューティングノード間通信の管理
US20110252135A1 (en) * 2007-11-29 2011-10-13 Hitachi, Ltd. Method and apparatus for locating candidate data centers for application migration
JP2009134687A (ja) * 2007-11-29 2009-06-18 Hitachi Ltd アプリケーションマイグレーションのための候補データセンタを見つける方法および装置[0001]
US20100325273A1 (en) * 2007-11-29 2010-12-23 Hitachi, Ltd. Method and apparatus for locating candidate data centers for application migration
US20090144393A1 (en) * 2007-11-29 2009-06-04 Yutaka Kudo Method and apparatus for locating candidate data centers for application migration
CA2767179A1 (fr) * 2009-07-16 2011-01-20 Universite Pierre Et Marie Curie (Paris 6) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel
WO2011007105A1 (fr) * 2009-07-16 2011-01-20 Universite Pierre Et Marie Curie (Paris 6) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel.
FR2948248A1 (fr) * 2009-07-16 2011-01-21 Univ Paris Curie Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel.
EP2454849A1 (fr) * 2009-07-16 2012-05-23 Universite Pierre Et Marie Curie - Paris 6 Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel.
KR20120052981A (ko) * 2009-07-16 2012-05-24 유니베르시테 피에르 에 마리에 쿠리에 (파리 6) 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템
US20120131579A1 (en) * 2009-07-16 2012-05-24 Centre National De La Recherche Scientifique Method and system for deploying at least one virtual network on the fly and on demand
JP2012533253A (ja) * 2009-07-16 2012-12-20 ユニヴェルシテ ピエール エ マリー キュリー(パリ シス) 少なくとも1つの仮想ネットワークをオンザフライかつオンデマンドでデプロイする方法及びシステム
JP2011160300A (ja) * 2010-02-02 2011-08-18 Fujitsu Ltd ルータ、ルーティング方法、ルーティングプログラム、情報処理装置、仮想マシン構築方法および仮想マシン構築プログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSND201100052005; 'オンデマンド仮想システムサービスの全貌 -テクノロジー編-' 日経コンピュータ 第776号, 20110217, 86,87頁, 日経BP社 *
JPN6015000252; 'オンデマンド仮想システムサービスの全貌 -テクノロジー編-' 日経コンピュータ 第776号, 20110217, 86,87頁, 日経BP社 *
JPN6015020658; 阿蘇和人: 'IPサービスを変える"仮想"ルーター 各社各様の製品出そろう ユーザー個別に利用環境設定' 日経コミュニケーション 第364号, 20020415, p.78〜80, 日経BP社 *

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013254337A (ja) * 2012-06-06 2013-12-19 Ntt Data Corp 仮想化装置、仮想化制御方法、仮想化装置制御プログラム
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US11122085B2 (en) 2014-02-20 2021-09-14 Nicira, Inc. Method and apparatus for distributing firewall rules
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム
JP2018501590A (ja) * 2015-04-07 2018-01-18 ホアウェイ・テクノロジーズ・カンパニー・リミテッド モバイルデバイスに基づくクラスタコンピューティングインフラストラクチャのための方法および装置
US11128600B2 (en) 2015-06-30 2021-09-21 Nicira, Inc. Global object definition and management for distributed firewalls
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11005815B2 (en) 2016-04-29 2021-05-11 Nicira, Inc. Priority allocation for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
WO2018122892A1 (ja) * 2016-12-26 2018-07-05 株式会社日立製作所 管理対象を追加する方法及び情報システム
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US12058108B2 (en) 2019-03-13 2024-08-06 VMware LLC Sharing of firewall rules among multiple workloads in a hypervisor

Also Published As

Publication number Publication date
US20130007740A1 (en) 2013-01-03
JP5824911B2 (ja) 2015-12-02
US8856786B2 (en) 2014-10-07

Similar Documents

Publication Publication Date Title
JP5824911B2 (ja) 情報処理装置、情報処理プログラムおよび管理方法
JP5673398B2 (ja) 情報処理装置、情報処理プログラムおよび管理方法
US11044236B2 (en) Protecting sensitive information in single sign-on (SSO) to the cloud
US10075459B1 (en) Securing workspaces in a cloud computing environment
JP6158415B2 (ja) サービスとしての装置の提供
US10558446B2 (en) Methods, systems, and computer program products for monitoring and control of a changes to computer apparatus and/or virtual machines by means of a management system via a network
RU2646343C1 (ru) Объекты виртуального сетевого интерфейса
JP5333263B2 (ja) アクセス制御システム及びアクセス制御方法
US11924165B2 (en) Securing containerized applications
JP6582554B2 (ja) シンクライアントシステム、サーバ装置、ポリシー管理装置、制御方法及び制御プログラム
JP4507104B2 (ja) 情報処理装置、通信制御方法および通信制御用プログラム
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP2011250209A (ja) ルータ、情報処理装置及びプログラム
JP2011160300A (ja) ルータ、ルーティング方法、ルーティングプログラム、情報処理装置、仮想マシン構築方法および仮想マシン構築プログラム
US11233850B2 (en) Replicating data over a public network
US10601788B2 (en) Interception of secure shell communication sessions
JPWO2013080659A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法、及びプログラム
US20210218712A1 (en) Accessing an authentication service from a cloud domain in a network zone different from that of the authentication service
JP2011160298A (ja) ネットワークシステム、処理を提供するサーバの切替方法、処理を提供するサーバの切替プログラム、情報処理装置、仮想マシン構築方法および仮想マシン構築プログラム
US11630682B2 (en) Remoting user credential information to a remote browser
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
JP5979304B2 (ja) プログラム、情報処理装置および更新方法
JP2011248690A (ja) 情報処理装置及びプログラム
JP2017103703A (ja) ネットワークシステム、制御装置、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150928

R150 Certificate of patent or registration of utility model

Ref document number: 5824911

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees