JP2018142136A - サービス提供プログラム、サービス提供方法及び制御装置 - Google Patents

サービス提供プログラム、サービス提供方法及び制御装置 Download PDF

Info

Publication number
JP2018142136A
JP2018142136A JP2017035336A JP2017035336A JP2018142136A JP 2018142136 A JP2018142136 A JP 2018142136A JP 2017035336 A JP2017035336 A JP 2017035336A JP 2017035336 A JP2017035336 A JP 2017035336A JP 2018142136 A JP2018142136 A JP 2018142136A
Authority
JP
Japan
Prior art keywords
platform
access
cloud
firewall
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017035336A
Other languages
English (en)
Inventor
井上 智博
Tomohiro Inoue
智博 井上
慎吾 足立▲原▼
Shingo Adachihara
慎吾 足立▲原▼
大介 工藤
Daisuke Kudo
大介 工藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017035336A priority Critical patent/JP2018142136A/ja
Priority to US15/890,519 priority patent/US20180248846A1/en
Publication of JP2018142136A publication Critical patent/JP2018142136A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/508Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
    • H04L41/5096Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】プラットフォームに対する不適切なアクセスを抑制できる。【解決手段】サービス提供プログラムは、クラウド内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供する。サービス提供プログラムは、契約者端末13からのネットワークを介したプラットフォームの構築に関する定義情報の受信に応じて、クラウド内に複数のプラットフォームを構築する処理をコンピュータに実行させる。この際、サービス提供プログラムは、構築される複数のプラットフォームのそれぞれに、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含ませる処理をコンピュータに実行させる。【選択図】図4A

Description

本発明は、サービス提供プログラム、サービス提供方法及び制御装置に関する。
近年、クラウドでは、アプリケーションソフトが稼動するためのハードウェアやOS(Operating System)などのプラットフォームを提供するサービスが行われている。このようなサービスは、PaaS(Platform as a Service)と呼ばれる。例えば、クラウドでは、サービスを利用する事業者からの要求に応じて、仮想的なサーバや、ファイアウォール、ネットワーク等の仮想的なハードウェアを組み合わせた仮想的なシステム環境を含んだプラットフォームを構築する。
特開2016−71822号公報
ところで、プラットフォームは、構築されたデフォルト状態では全てのアクセスが可能とされており、不適切なアクセスが行われる虞がある。
1つの側面では、プラットフォームに対する不適切なアクセスを抑制できるサービス提供プログラム、サービス提供方法及び制御装置を提供することを目的とする。
1つの側面では、サービス提供プログラムは、クラウド内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供する。サービス提供プログラムは、複数の情報処理装置からのネットワークを介したプラットフォームの構築に関する定義情報の受信に応じて、クラウド内に複数のプラットフォームを構築する処理をコンピュータに実行させる。この際、サービス提供プログラムは、構築される複数のプラットフォームのそれぞれに、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含ませる処理をコンピュータに実行させる。
一実施態様によれば、プラットフォームに対する不適切なアクセスを抑制できる。
図1は、実施例1に係るシステムの構成の一例を示す図である。 図2は、実施例1に係るクラウドの構成の一例を示す図である。 図3は、実施例1に係るプラットフォームを構築する流れの一例を示す図である。 図4Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。 図4Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。 図4Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。 図5Aは、実施例1に係る操作画面の一例を示す図である。 図5Bは、実施例1に係る操作画面の一例を示す図である。 図5Cは、実施例1に係る操作画面の一例を示す図である。 図5Dは、実施例1に係る操作画面の一例を示す図である。 図6Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。 図6Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。 図6Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。 図7Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。 図7Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。 図7Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。 図8は、実施例1に係るサービス提供処理の一例を示すフローチャートである。 図9は、ハードウェア構成の一例を示す図である。
以下に、本願の開示するサービス提供プログラム、サービス提供方法及び制御装置の実施例を図面に基づいて詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下に示す各実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。
[システム全体の説明]
最初に、クラウドコンピューティング(以下、「クラウド」と表記する場合がある。)によりサービスを提供するシステムの概略的な構成を説明する。図1は、実施例1に係るシステムの構成の一例を示す図である。システム1は、クラウド10と、契約者端末13と、利用者端末14とを有する。本実施例におけるシステム1においては、クラウド10と、契約者端末13と、利用者端末14とが、ネットワークN1を通じてそれぞれ相互に通信可能に接続されている。かかるネットワークN1には、有線又は無線を問わず、インターネット(Internet)を始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。
クラウド10は、複数のサーバ装置11と、管理装置12とを有する。例えば、複数のサーバ装置11及び管理装置12は、クラウド事業者が管理するデータセンタに配置されている。なお、複数のサーバ装置11及び管理装置12は、複数のデータセンタに分散して配置されていてもよい。
クラウド10は、データセンタに配置された複数のサーバ装置11、管理装置12を含む各種のハードウェアやソフトウェアを用いて、コンピュータネットワークをベースとしたコンピュータ資源を提供する。本実施例におけるクラウド10においては、ハードウェアやOS、ミドルウェアなどのソフトウェアを用いて、アプリケーションソフトを稼動させる動作環境をプラットフォームとして提供するサービスを提供する。例えば、クラウド事業者は、クラウド10が提供するサービスの利用を希望する事業者と契約を行う。以下では、クラウド事業者と契約を行った事業者を「契約者」と表記する場合がある。クラウド10は、契約者との契約に応じて、クラウド10内にプラットフォームを構築し、ネットワークN1を介してプラットフォームを契約者に提供する。
契約者端末13は、クラウド事業者と契約を行った契約者が使用する情報処理装置である。例えば、契約者は、契約者端末13を用いて、クラウド10で稼働させるアプリケーションソフトの開発を行い、開発したアプリケーションソフトをクラウド10のプラットフォーム上で稼働させてWeb(World Wide Web)サービスなどの各種の事業を行う。例えば、契約者は、クラウド10を利用してそれぞれ事業を営むテナントである。契約者端末13は、例えば、テナントに属する情報処理装置である。
利用者端末14は、クラウド10のプラットフォーム上で稼働するアプリケーションソフトによるWebサービスなどの事業を利用する一般のユーザが使用する情報処理装置である。以下では、テナントがクラウド10を用いて提供するWebサービスなどの事業を利用する一般のユーザを「利用者」と表記する場合がある。例えば、利用者は、利用者端末14を用いて、クラウド10のプラットフォーム上で稼働するアプリケーションソフトにアクセスし、アプリケーションソフトが提供する各種のサービスを利用する。
なお、図1の例では、契約者端末13及び利用者端末14を1つずつ図示したが、契約者端末13及び利用者端末14は任意の数とすることができる。また、図1の例では、管理装置12を1つ図示したが、管理装置12は複数台とすることができる。
クラウド10は、複数の契約者に対して、クラウド10内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供する。例えば、管理装置12は、各契約者の契約者端末13からのネットワークN1を介したプラットフォームの構築に関する定義情報の受信に応じて、クラウド10内に複数のプラットフォームを構築する。管理装置12は、プラットフォームを構築する際、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含んでプラットフォームを構築する。これにより、管理装置12は、共通する1又は複数のアクセス元を除いてプラットフォームに対するアクセスをファイアウォールで遮断できるため、プラットフォームに対する不適切なアクセスを抑制できる。
[システム全体の構成]
次に、クラウド10の概略的な構成について説明する。なお、本実施例では、説明を簡略化するため、クラウド10を、1つのデータセンタで実現した場合を例に説明する。図2は、実施例1に係るクラウドの構成の一例を示す図である。図2に示すように、クラウド10は、複数のサーバ装置11と、管理装置12とを有する。
複数のサーバ装置11及び管理装置12は、データセンタに設けられたネットワークN2で接続され、通信可能とされている。このネットワークN2は、インターネットなどの外部のネットワークN1と通信可能に接続され、ネットワークN1を介して契約者端末13及び利用者端末14と通信可能とされている。なお、図2の例では、サーバ装置11を3つ図示したが、サーバ装置11は任意の台数とすることができる。また、図2の例では、管理装置12を1つ図示したが、管理装置12が複数あってもよい。
サーバ装置11は、データセンタに設けられた物理サーバであり、例えば、サーバコンピュータである。サーバ装置11は、仮想化技術を用いて、コンピュータを仮想化した仮想マシンを動作させることができる。図2の例では、サーバ装置11上に3台の仮想マシンが動作している。仮想マシンは、組み込むミドルウェアに応じて、ファイアウォールや、ロードバランサ、Webサーバ、AP(application)サーバ、DB(database)サーバなど、各種のサーバとして機能することができる。
管理装置12も、データセンタに設けられた物理サーバであり、例えば、サーバコンピュータである。管理装置12は、サーバ装置11を制御する。なお、管理装置12は、何れのかのサーバ装置11で動作する仮想マシンであってもよい。
管理装置12は、クラウド10が提供するサービスの管理・運用を行う。管理装置12は、契約者端末13からアクセスが可能とされており、契約者からの要求に応じて、アプリケーションソフトが稼動するためのプラットフォームを構築して提供する。例えば、クラウド10は、仮想化技術を用いて、ネットワークN2を構成するネットワーク機器や、サーバ装置11を含む各種のハードウェアリソースを仮想化している。管理装置12は、クラウド10内の仮想的なハードウェアリソースを組み合わせた仮想的なシステムを含んだプラットフォームを構築する。
[管理装置の構成]
次に、管理装置12の構成について説明する。図2に示すように、管理装置12は、記憶部20と、制御部21とを有する。なお、管理装置12は、図2に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有してもよい。
記憶部20は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部20は、制御部21で実行されるOSや各種プログラムを記憶する。例えば、記憶部20は、後述するサービス提供処理を実行するプログラムを記憶する。さらに、記憶部20は、制御部21で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部20は、初期設定情報30と、プラットフォーム設定情報31とを有する。
初期設定情報30は、プラットフォームを構築する際、プラットフォームの初期設定に関する情報を記憶する。本実施例では、プラットフォームを構築する際、プラットフォームに共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定を行う。初期設定情報30は、プラットフォームに対して、初期設定で、アクセスを遮断せずにアクセスを許可する通信の送信元、送信先、通信の種類などの情報を記憶する。例えば、初期設定情報30は、初期設定で、アクセスを許可する通信として、管理装置12のアドレスと、構築されるプラットフォームのサーバのうち、通信を許可するサーバの種類又はアドレスと、許可する通信の種類又はポート番号を記憶する。なお、管理装置12が複数ある場合、初期設定情報30には、初期設定でプラットフォームに対するアクセスを許可する通信のアクセス元として、各管理装置12のアドレスを記憶する。例えば、初期設定情報30は、複数の管理装置12それぞれについて、管理装置12のアドレスと、構築されるプラットフォームのサーバのうち、通信を許可するサーバの種類又はアドレスと、許可する通信の種類又はポート番号を記憶する。
プラットフォーム設定情報31は、構築されたプラットフォームに設定された各種の設定に関する情報を記憶する。例えば、プラットフォーム設定情報31は、構築されたプラットフォームに設定されたアクセス制御に関する情報を記憶する。
制御部21は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部21は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。
この制御部21は、表示制御部40と、受信部41と、構築部42と、変更部43とを有し、以下に説明する情報処理の機能や作用を実現又は実行する。なお、制御部21の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。例えば、各処理部は、他のコンピュータとの間で図示しない通信部を通じてデータの送受信を行う。また、例えば、各処理部が、図示しない入力部を通じて管理者による操作を受けてプラットフォームを構築する構成であってもよい。また、表示制御部40、受信部41、構築部42及び変更部43は、プロセッサなどの電子回路の一例又はプロセッサなどが実行するプロセスの一例である。
表示制御部40は、各種の情報の表示を制御する。例えば、表示制御部40は、クラウド10のサービスを利用するための各種の操作画面の表示を制御する。
契約者には、クラウド10のサービスを利用する契約を行った際、契約者IDとパスワードが付与され、管理装置12にアクセスするためのURLアドレスなどのアドレスが通知される。契約者は、クラウド10のサービスを利用する際、契約者端末13を用いて管理装置12にアクセスする。
表示制御部40は、アクセスを受け付けると、アクセス元に各種の操作画面の情報を送信してアクセス元に操作画面を表示させる制御を行う。例えば、表示制御部40は、契約者端末13からのアクセスに応じて、ログイン画面を契約者端末13に表示させて、契約者ID及びパスワードを入力させてログインを受け付ける。表示制御部40は、ログインが成功すると、操作画面など各種の画面を契約者端末13に表示させる制御を行う。例えば、表示制御部40は、プラットフォームの構築を指示する操作画面や、構築したプラットフォームに対して設定を行う操作画面を契約者端末13に表示させる。
受信部41は、各種の情報を受信する。例えば、受信部41は、各種の操作画面に対して受け付けた各種の操作や入力データに関する情報を契約者端末13から受信する。例えば、受信部41は、プラットフォームの構築に関する定義情報を受信する。また、例えば、受信部41は、構築したプラットフォームの設定の変更を指示する指示情報を受信する。定義情報は、構築するサーバの台数や各サーバの種類、ネットワークの構成などのシステム構成の情報を含んだものであってもよい。また、定義情報は、予め定められた複数のシステム構成から、構築するシステム構成を指定する情報であってもよい。例えば、管理装置12は、構築するサーバの台数や各サーバの種類、ネットワークの構成が異なる複数のシステム構成の情報を記憶部20に記憶する。定義情報は、複数のシステム構成のうち、プラットフォームとして構築するシステム構成を指定する情報であってもよい。
構築部42は、プラットフォームの構築に関する定義情報の受信に応じて、クラウド10内にプラットフォームとして構築する。例えば、構築部42は、定義情報で指定された台数の仮想マシンをサーバ装置11に生成する。構築部42は、生成した仮想マシンに、それぞれOSや定義情報で指定された種類に応じたミドルウェアを組み込み、指定された種類に応じた機能を有する仮想マシンを生成する。例えば、構築部42は、指定された種類に応じて、仮想マシンに組み込むミドルウェアを変えることで、ファイアウォール、ロードバランサ、Webサーバ、APサーバ、DBサーバなど各種の機能を有する仮想マシンを生成する。構築部42は、定義情報で指定されたネットワークの構成に従い、仮想的なネットワークを構成し、生成した仮想マシンと組み合わせた仮想的なシステムをプラットフォームとして生成する。
図3は、実施例1に係るプラットフォームを構築する流れの一例を示す図である。管理装置12は、契約者端末13からのアクセスを受け付けると(図3(1))、操作画面の情報を送信して操作画面を契約者端末13に表示させる(図3(2))。そして、管理装置12は、プラットフォームの構築に関する定義情報を受信すると(図3(3))、プラットフォームを構築する(図3(4))。図3の例は、1台のファイアウォール50、1台のロードバランサ51、2台のWebサーバ52、53、2台のAPサーバ54、55、1台のDBサーバ56がネットワークに接続された仮想的なシステム57がプラットフォームとして生成されている。なお、図3に示すプラットフォームは、一例であり、これに限定されるものではない。プラットフォームは、定義情報を変えることにより、システムの構成を変えることができる。また、プラットフォームは、同じ構成や異なる構成で複数生成することもできる。例えば、契約者は、事業を実施する運用用のプラットフォームと、新たな機能をテストするためのテスト用のプラットフォームをクラウド10に生成することもできる。
構築部42は、プラットフォームを構築する際、初期設定情報30に基づいて、構築するプラットフォームに初期設定を行う。例えば、構築部42は、初期設定情報30に、初期設定を行うアクセス元として記憶されたアクセス元管理装置12のアドレスからのアクセスを許可し、その他のアドレスからのアクセスを遮断する設定をファイアウォールに対して行う。例えば、構築部42は、初期設定情報30に初期設定でアクセスを許可する通信として記憶された通信を許可し、その他の通信を遮断する設定をファイアウォールに対して行う。これにより、例えば、クラウド10の管理装置12が1台の場合、構築されたプラットフォームでは、それぞれ共通する1のアクセス元を除いてアクセスを遮断する初期設定がファイアウォールに設定される。クラウド10の管理装置12が複数台の場合、構築されたプラットフォームでは、それぞれ共通する複数のアクセス元を除いてアクセスを遮断する初期設定がファイアウォールに設定される。
構築部42は、構築したプラットフォーム毎に、プラットフォームに設定された各種の設定に関する情報をプラットフォーム設定情報31に記憶する。例えば、構築部42は、構築したプラットフォームのファイアウォールに対して設定したアクセス制御に関する設定情報をプラットフォーム設定情報31に記憶する。
図4Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。図4Aの例は、通信の許可、不許可の初期設定の状態の一例を示している。図4Aの例では、1台の第1ファイアウォール60、1台のWebサーバ61、1台のAPサーバ62、1台のMNG(Management)サーバ63がネットワークに接続された仮想的なシステム64がプラットフォームとして生成されている。また、図4Aの例では、第2ファイアウォール70、1台のスプリング(Spring)サーバ71がネットワークに接続された仮想的なシステム72がプラットフォームとして生成されている。
MNGサーバ63は、Webサーバ61やAPサーバ62を制御・管理するサーバであり、利用者には非公開とされる。スプリングサーバ71は、例えば、Webサーバ61やAPサーバ62などへのデータの入出力に用いるサーバであり、利用者には非公開とされる。第1ファイアウォール60は、IP(Internet Protocol)アドレスが「10.0.0.1」であるものとする。また、MNGサーバ63は、IPアドレスが「10.0.0.3」であるものとする。第2ファイアウォール70は、IPアドレスが「10.0.2.1」であるものとする。
図4Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。図4Bには、図4Aの第1ファイアウォール60に設定された、通信を許可、不許可とする条件の設定情報が示されている。設定情報は、「優先順位」、「拒否/許可」、「送信元IP」、「送信先IP」、「送信先ポート」の各項目を有する。図4Aに示す設定情報は、一例であり、その他の項目が追加されてもよい。
優先順位の項目は、設定された条件の優先順位を記憶する領域である。設定された条件は、優先順位の値が小さいものが優先して有効とされる。拒否/許可の項目は、設定された条件が、通信を許可する条件であるか、通信を不許可する条件であるかを記憶する領域である。拒否/許可の項目には、通信を許可する条件の場合、「許可」が設定され、通信を不許可する条件の場合、「拒否」が設定される。送信元IPの項目は、通信の送信元となるIPアドレスを記憶する領域である。送信先IPの項目は、通信の送信先となるIPアドレスを記憶する領域である。送信先ポートの項目は、通信の送信先となるポート番号を記憶する領域である。
図4Bに示す設定情報では、優先順位「1」として、プラットフォームの構築を制御する管理装置12のアドレスからIPアドレスが「10.0.0.3/32」、送信先のポート番号が「80」の通信が許可されている。送信先のポート番号が「80」の通信は、通信の種類がhttpである。また、図4Bに示す設定情報では、優先順位「2」として、プラットフォームの構築を制御する管理装置12のアドレスからIPアドレスが「10.0.0.3/32」、送信先のポート番号が「443」の通信が許可されている。送信先のポート番号が「443」の通信は、通信の種類がhttpsである。また、図4Bに示す設定情報では、許可した通信以外の通信を遮断する設定がされている。例えば、図4Bに示す設定情報では、優先順位「3」として、全て(ALL)の送信元からの全て(ALL)の送信先への全て(ALL)のポート番号の通信が不許可されている。
図4Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。図4Cには、図4Aの第2ファイアウォール70に設定された、通信を許可、不許可とする条件の設定情報が示されている。
図4Cに示す設定情報では、初期設定で許可する通信が無いため、優先順位「1」として、全て(ALL)の送信元からの全て(ALL)の送信先への全て(ALL)のポート番号の通信が不許可されている。
第1ファイアウォール60は、優先順位の高いものから順に、通信が図4Bに示した設定情報の条件を満たすか判定し、条件を満たした場合、拒否/許可の項目の設定に従い、通信を許可又は不許可とする。また、第1ファイアウォール60は、複数の条件を満たした場合、優先順位の高い条件に従い、通信を許可又は不許可とする。例えば、図4Bの例では、管理装置12のアドレスからIPアドレスが「10.0.0.3/32」、送信先のポート番号が「80」の通信は、優先順位「1」と「3」の条件を満たすが、優先順位「1」が優先されて通信が許可される。また、図4Bの例では、管理装置12のアドレスからIPアドレスが「10.0.0.3/32」、送信先のポート番号が「443」の通信は、優先順位「2」と「3」の条件を満たすが、優先順位「2」が優先されて通信が許可される。その他の通信は、優先順位「3」の条件を満たすため、通信が不許可され、遮断される。
第2ファイアウォール70は、優先順位の高いものから順に、通信が図4Cに示した設定情報の条件を満たすか判定し、条件を満たした場合、拒否/許可の項目の設定に従い、通信を許可又は不許可とする。例えば、図4Cの例では、優先順位「1」の条件により、全ての通信が不許可され、遮断される。
これにより、図4Aに示すように、管理装置12は、第1ファイアウォール60を介して、MNGサーバ63とポート番号が「80」及び「443」の通信を行うことができる。一方、管理装置12は、Webサーバ61及びAPサーバ62へのアクセスが第1ファイアウォール60により遮断される。
また、契約者端末13及び利用者端末14は、Webサーバ61、APサーバ62及びMNGサーバ63へのアクセスが第1ファイアウォール60により遮断される。
また、管理装置12、契約者端末13及び利用者端末14は、スプリングサーバ71へのアクセスが第2ファイアウォール70により遮断される。
管理装置12は、構築したプラットフォーム毎に、プラットフォームに設定された各種の設定に関する情報をプラットフォーム設定情報31に記憶する。例えば、管理装置12は、図4B及び図4Cに示したアクセス制御に関する設定情報をプラットフォーム設定情報31に記憶する。
契約者は、プラットフォームが初期設定状態の場合、契約者端末13から管理装置12にアクセスしてログインを行い、操作画面を操作して管理装置12を介してMNGサーバ63の制御を行う。
管理装置12は、プラットフォームが構築されると、構築されたプラットフォームに関する情報を契約者に提供する。例えば、表示制御部40は、操作画面に、構築したプラットフォームに関する情報を表示させる制御を行う。
図5Aは、実施例1に係る操作画面の一例を示す図である。操作画面100には、各種の情報を表示するメイン領域101と、上部にメニュー領域102とが設けられている。メイン領域101には、お知らせを表示するお知らせ領域103と、プラットフォームのシステムの状況を表示するステータス領域104が表示されている。
ステータス領域104には、プラットフォームのシステム構成が表示される。図5Aの例では、システムを構成する各サーバの種類と、各サーバの接続関係が表示される。また、ステータス領域104には、プラットフォームにおける重大な問題(Critical)、警告(Warning)、未知の問題(Unknown)の発生回数が表示される。また、ステータス領域104には、各サーバの起動、停止の指示が可能とされている。
また、メニュー領域102には、「TOP」、「モニタリング」、「アプリ開発」、「環境設定」、「ドキュメント」の各領域が設けられている。図5Aの例は、メニュー領域102の「TOP」が選択された状態を示している。
管理装置12は、操作画面からプラットフォームに対するアクセス制御の設定の変更が可能とされている。契約者は、プラットフォームに対するアクセス制御の設定の変更する場合、操作画面のメニュー領域102の「環境設定」を選択し、「環境設定」のメニューに、サブメニューとして表示される「アクセス制御」を選択する。
図5Bは、実施例1に係る操作画面の一例を示す図である。図5Bの例は、サブメニューとして表示された「アクセス制御」を選択した際に表示される操作画面の一例を示している。
表示制御部40は、「アクセス制御」を選択されると、ファイアウォールに対してアクセスの遮断又は許可を設定するための設定画面を表示させる。例えば、表示制御部40は、プラットフォーム設定情報31からプラットフォームのファイアウォールに対して設定したアクセス制御に関する設定情報を読み出し、操作画面100のメイン領域101に設定画面110を表示させる。設定画面110には、ファイアウォールにおいてアクセス制御を行う対象のサーバを選択する選択領域111が設けられている。選択領域111は、選択された際に、プラットフォームのシステムを構成するサーバが表示され、表示されたサーバからアクセス制御を行うサーバを選択可能とされている。図5Bの例は、選択領域111でMNGサーバ63が選択された状態を示している。表示制御部40は、プラットフォーム設定情報31から、選択領域111で選択されたサーバに対して設定されたアクセス制御の設定情報を読み出し、メイン領域101に設定画面を表示させる。この際、表示制御部40は、初期設定情報30に記憶された初期設定を非表示として設定画面110を表示させる。図5Bの例は、図4A、図4Bに示す第1ファイアウォール60に対してアクセスの遮断又は許可を設定するための設定画面110を表示させた状態を示している。図5Bに示すように、設定画面110には、図4Bで優先順位「1」、「2」とされた、管理装置12のアドレスからMNGサーバ63へのアクセスを許可する初期設定が表示されない。また、図5Bに示すように、設定画面110には、優先順位「3」とされた全てのアドレスからのアクセスを不許可とする設定が表示されている。
ここで、管理装置12は、クラウド10が提供するサービスの管理・運用を行う装置である。このため、管理装置12のIPアドレスなどの情報が漏れることはセキュリティ上好ましくない。そこで、管理装置12は、設定画面110において、プラットフォームに対して、初期設定としてアクセス可能とする管理装置12のアドレスを非表示とする。これにより、管理装置12は、管理装置12のIPアドレスなどの情報が漏洩することを抑制できる。
また、管理装置12は、設定画面110において、初期設定情報30に記憶された初期設定を非表示とする。これにより、管理装置12は、誤って初期設定が削除されることを抑制できる。
設定画面110は、新規ルールの作成を指示する新規ルール作成ボタン112が設けられ、新規ルール作成ボタン112を選択して、アクセスの遮断又は許可する設定を追加することが可能とされている。また、設定画面110は、アクセスの遮断又は許可する設定の編集や削除が可能とされている。
図5Cは、実施例1に係る操作画面の一例を示す図である。図5Cの例は、選択領域111でAPサーバ62が選択され、新規にアクセスを許可する4つの設定を追加した状態の操作画面の一例を示している。追加された設定は、アクションで「設定」を選択することにより、編集可能とされている。図5Dは、実施例1に係る操作画面の一例を示す図である。図5Dは、図5Cに示す設定画面110で新規ルール作成ボタン112が選択された状態の操作画面の一例を示している。設定画面110は、新規ルール作成ボタン112が選択されると、行が追加され、アクセスの遮断又は許可する設定を追加することができる。また、設定画面110には、新規ルール作成ボタン112に代えて、新規ルールの作成の中止を指示する新規作成から戻るボタン113が表示され、新規ルールの作成の中止することができる。
図2の説明に戻る。受信部41は、各種の操作画面に対して受け付けた各種の操作の情報を契約者端末13から受信する。例えば、受信部41は、設定画面110からプラットフォームに対するアクセス制御の設定の変更を指示する指示情報を受信する。
変更部43は、構築したプラットフォームの設定の変更を指示する指示情報の受信に応じて、プラットフォームの設定を変更する。例えば、変更部43は、アクセス制御の設定の変更を指示する指示情報に応じて、プラットフォームのファイアウォールに対してアクセスの遮断又は許可を設定する。これにより、プラットフォームは、アクセスが遮断又は許可される条件が変更される。
変更部43は、変更された各種の設定に関する情報をプラットフォーム設定情報31に記憶する。例えば、変更部43は、変更されたアクセス制御に関する設定情報をプラットフォーム設定情報31に記憶する。
契約者は、プラットフォームで稼働させるアプリケーションソフトを開発する場合、設定画面110から、プラットフォームに対してアプリケーションソフトを開発する端末のアクセスを許可する設定を行う。例えば、契約者端末13を用いて、クラウド10で稼働させるアプリケーションソフトの開発を行う場合、契約者は、プラットフォームに対して、契約者端末13のアクセスを許可する設定を行う。
図6Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。図6Aの例は、図4Aの例を開発段階の設定に変更した場合を示している。図6Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。図6Bには、図6Aの第1ファイアウォール60に設定された、通信を許可、不許可とする条件の設定情報が示されている。図6Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。図6Cには、図6Aの第2ファイアウォール70に設定された、通信を許可、不許可とする条件の設定情報が示されている。
図6Bに示す設定情報では、優先順位「3」として、契約者端末13のアドレスからIPアドレスが「10.0.0.0/24」、送信先のポート番号が「80」への通信を許可する設定が追加されている。また、図6Bに示す設定情報では、優先順位「4」として、契約者端末13のアドレスからIPアドレスが「10.0.0.0/24」、送信先のポート番号が「443」への通信を許可する設定が追加されている。また、図6Bに示す設定情報では、全て(ALL)の送信元からの全て(ALL)の送信先への全て(ALL)のポート番号の通信が不許可の設定が優先順位「5」に変更されている。
また、図6Cに示す設定情報では、優先順位「1」として、契約者端末13のアドレスからIPアドレスが「10.0.2.0/24」、送信先のポート番号が「22」への通信を許可する設定が追加されている。送信先のポート番号が「22」の通信は、通信の種類がsshである。また、図6Cに示す設定情報では、全て(ALL)の送信元からの全て(ALL)の送信先への全て(ALL)のポート番号の通信が不許可の設定が優先順位「2」に変更されている。
これにより、図6Aに示すように、管理装置12は、第1ファイアウォール60を介して、MNGサーバ63とポート番号が「80」及び「443」の通信を行うことができる。一方、管理装置12は、Webサーバ61及びAPサーバ62へのアクセスが第1ファイアウォール60により遮断される。
また、契約者端末13は、Webサーバ61、APサーバ62及びMNGサーバ63とポート番号が「80」及び「443」の通信を行うことができる。一方、利用者端末14は、Webサーバ61、APサーバ62及びMNGサーバ63へのアクセスが第1ファイアウォール60により遮断される。
また、契約者端末13は、スプリングサーバ71とポート番号が「22」の通信を行うことができる。一方、管理装置12及び利用者端末14は、スプリングサーバ71へのアクセスが第2ファイアウォール70により遮断される。
これにより、契約者は、プラットフォームを用いてアプリケーションソフトの開発を行うことができる。
契約者は、開発したアプリケーションソフトをプラットフォームで稼働させて事業を開始する場合、設定画面110から、プラットフォームに対して利用者からのアクセスを許可する設定を行う。例えば、契約者は、利用者端末14のアクセスを許可する設定を行う。
図7Aは、実施例1に係るプラットフォームに対する通信の許可、不許可の状態の一例を示す図である。図7Aの例は、図6Aの例を、開発したアプリケーションソフトを稼働させて事業を開始する稼働段階の設定に変更した場合を示している。図7Bは、実施例1に係る第1ファイアウォールの設定情報の一例を示す図である。図7Bには、図7Aの第1ファイアウォール60に設定された、通信を許可、不許可とする条件の設定情報が示されている。図7Cは、実施例1に係る第2ファイアウォールの設定情報の一例を示す図である。図7Cには、図7Aの第2ファイアウォール70に設定された、通信を許可、不許可とする条件の設定情報が示されている。
図7Bに示す設定情報では、優先順位「3」が、全てのアドレスからIPアドレスが「10.0.0.0/24」、送信先のポート番号が「80」への通信を許可する設定に変更されている。また、図7Bに示す設定情報では、優先順位「4」が、全てのアドレスからIPアドレスが「10.0.0.0/24」、送信先のポート番号が「443」への通信を許可する設定に変更されている。
図7Cに示す設定情報は、図6Cから変化が無く、優先順位「1」として、契約者端末13のアドレスからIPアドレスが「10.0.2.0/24」、送信先のポート番号が「22」への通信を許可する設定が記憶されている。また、図7Cに示す設定情報では、優先順位「2」として、全て(ALL)の送信元からの全て(ALL)の送信先への全て(ALL)のポート番号の通信が不許可の設定が記憶されている。
これにより、図7Aに示すように、管理装置12、契約者端末13及び利用者端末14は、第1ファイアウォール60を介して、Webサーバ61、APサーバ62及びMNGサーバ63とポート番号が「80」及び「443」の通信を行うことができる。
また、契約者端末13は、スプリングサーバ71とポート番号が「22」の通信を行うことができる。一方、管理装置12及び利用者端末14は、スプリングサーバ71へのアクセスが第2ファイアウォール70により遮断される。
これにより、契約者は、開発したアプリケーションソフトをプラットフォームで稼働させて利用者に対してサービスを提供する事業を行うことができる。
[処理の流れ]
次に、管理装置12が、クラウド10内にプラットフォームを構築するサービス提供処理の流れについて説明する。図8は、実施例1に係るサービス提供処理の一例を示すフローチャートである。このサービス提供処理は、所定のタイミング、例えば、受信部41がプラットフォームの構築に関する定義情報を受信したタイミングで実行される。
構築部42は、受信した定義情報に応じて、クラウド10内にプラットフォームを構築する(ステップS10)。例えば、構築部42は、定義情報で指定された台数の仮想マシンをサーバ装置11に生成する。そして、構築部42は、生成した仮想マシンに、それぞれOSや定義情報で指定された種類に応じたミドルウェアを組み込み、指定された種類に応じた機能を有する仮想マシンを生成する。構築部42は、定義情報で指定されたネットワークの構成に従い、仮想的なネットワークを構成し、生成した仮想マシンと組み合わせた仮想的なシステムをプラットフォームとして生成する。
構築部42は、初期設定情報30に基づいて、構築したプラットフォームにアクセス制御の初期設定を行い(ステップS11)、処理を終了する。例えば、構築部42は、初期設定情報30に、初期設定を行うアクセス元として記憶されたアクセス元管理装置12のアドレスからのアクセスを許可し、その他のアドレスからのアクセスを遮断する設定をファイアウォールに対して行う。
本実施例によれば、管理装置12は、複数の契約者端末13からのネットワークを介したプラットフォームの構築に関する定義情報の受信に応じて、クラウド10内に複数のプラットフォームを構築する。管理装置12は、構築される複数のプラットフォームのそれぞれに、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含ませる。これにより、管理装置12は、プラットフォームに対する不適切なアクセスを抑制できる。
また、管理装置12は、共通する1又は複数のアクセス元を、プラットフォームの構築を制御する管理装置12のアドレスとする。これにより、管理装置12は、管理装置12以外からのプラットフォームに対するアクセスを抑制できる。
また、管理装置12は、プラットフォームで稼働させるアプリケーションソフトの開発段階において共通する1又は複数のアクセス元を、アプリケーションソフトの開発元のアドレスに更新する。管理装置12は、開発したアプリケーションソフトをプラットフォームで稼働させる稼働段階において全てのアクセスが可能な状態にファイアウォールの設定を更新する。これにより、開発段階において、開発元がプラットフォームにアクセスしてアプリケーションソフトを開発できる。また、稼働段階において、一般のユーザがプラットフォームにアクセスできる。
また、管理装置12は、ファイアウォールに対してアクセスの遮断又は許可を設定するための設定画面110を表示する際、初期設定を非表示にする。これにより、管理装置12は、初期設定の情報が漏えいすることを抑制できる。また、管理装置12は、初期設定が変更されることを抑制できる。
また、管理装置12は、テナントに属する情報処理装置である契約者端末13から定義情報を受信する。これにより、管理装置12は、テナント毎に、定義情報に応じたプラットフォームを構築できる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
例えば、上記の実施例では、開発段階及び稼働段階で契約者がファイアウォールのアクセス制御を変更する場合を説明したが、これに限定されるものではない。例えば、管理装置12は、契約者から開発に用いる開発端末のアドレスの登録を受付けて記憶する。そして、管理装置12は、開発段階への切り替え指示に応じて、開発端末をアクセス可能にファイアウォールのアクセス制御を変更してもよい。また、管理装置12は、稼働段階への切り替え指示に応じて、全てのアドレスをアクセス可能にファイアウォールのアクセス制御を変更してもよい。
また、上記の実施例では、ファイアウォールにおいて、通信の送信元、送信先、通信の種類により通信の許可、拒否を判定する場合を説明したが、これに限定されるものではない。例えば、ファイアウォールにおいて、通信の送信元のみで、通信の許可、拒否を判定してもよい。この場合、初期設定情報30には、通信を許可するアクセス元のアドレスが記憶されていればよい。
また、上記の実施例では、初期設定として、管理装置12からの通信を許可する設定を初期設定情報30に設定した場合を説明したが、これに限定されるものではない。例えば、管理装置12以外に、構築した初期状態のプラットフォームに対して通信を許可する端末がある場合、当該端末のアドレスを初期設定情報30に記憶させてもよい。
また、上記の実施例では、設定画面110に初期設定を非表示にする場合を説明したが、これに限定されるものではない。例えば、表示制御部40は、設定画面110に初期設定の一部を非表示にするようにしてもよい。例えば、表示制御部40は、管理装置12のアドレスなど、セキュリティに影響を与える部分を非表示にするようにしてもよい。また、表示制御部40は、プラットフォームに対して通信を許可する端末が複数ある場合、一部の端末の設定を設定画面110に非表示にするようにしてもよい。例えば、表示制御部40は、管理装置12以外にもプラットフォームに対して通信を許可する端末が初期設定情報30に登録されている場合、管理装置12の設定のみを設定画面110に非表示にするようにしてもよい。また、設定画面110に初期設定を表示するか、非表示とするかを設定可能としてもよい。例えば、初期設定情報30は、通信を許可するアクセス制御の条件毎に、表示又は非表示の設定を記憶する。表示制御部40は、初期設定情報30で非表示が設定されたアクセス制御の条件を設定画面110に非表示してもよい。
また、上記の実施例では、通信を許可する初期設定を初期設定情報30に記憶させる場合を説明したが、これに限定されるものではない。例えば、初期設定として、管理装置12からの通信を許可する場合、管理装置12は、自身を含む管理装置12のアドレスからの通信が許可されるようにファイアウォールに対してアクセス制御の初期設定を行ってもよい。この場合、管理装置12は、設定画面110に、自身を含む管理装置12のアドレスを送信元とする設定を非表示とする表示制御を行えばよい。
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られない。つまり、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、管理装置12の機能を複数のサーバに分散して実装させるような構成であってもよい。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[システム]
さて、これまで開示のシステムに関する各実施例について説明したが、各実施例における管理装置12のハードウェア構成の一例について説明する。各装置で行われる各種処理機能は、CPU(又はMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよいことは言うまでもない。上記の各実施例で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、ハードウェア構成の一例として、上記の各実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。
図9は、ハードウェア構成の一例を示す図である。管理装置12は、図9に示すコンピュータ7000と同様のハードウェア構成により実現できる。図9に示すように、コンピュータ7000は、各種演算処理を実行するプロセッサ7001と、入出力装置7002と、通信装置7003とを有する。また、コンピュータ7000は、各種情報を一時記憶するRAM7004と、ハードディスク装置7005とを有する。また、各装置7001〜7005は、バス7006に接続される。
ハードディスク装置7005には、上記各実施例で示した表示制御部40、受信部41、構築部42及び変更部43の各処理部と同様の機能を有するサービス提供プログラムが記憶される。また、ハードディスク装置7005には、初期設定情報30及びプラットフォーム設定情報31が記憶される。ハードディスク装置7005には、サービス提供プログラムを実現するための各種データが記憶される。
プロセッサ7001は、ハードディスク装置7005に記憶された各プログラムを読み出して、RAM7004に展開して実行することで、各種の処理を行う。また、これらのプログラムは、コンピュータ7000を上記各実施例で示した表示制御部40、受信部41、構築部42及び変更部43として機能させることができる。なお、上記の各プログラムは、必ずしもハードディスク装置7005に記憶されている必要はない。例えば、コンピュータ7000が読み取り可能な記憶媒体に記憶されたプログラムを、コンピュータ7000が読み出して実行するようにしてもよい。
1 システム
10 クラウド
11 サーバ装置
12 管理装置
13 契約者端末
14 利用者端末
20 記憶部
21 制御部
30 初期設定情報
31 プラットフォーム設定情報
40 表示制御部
41 受信部
42 構築部
43 変更部

Claims (7)

  1. クラウド内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供するサービス提供プログラムにおいて、
    複数の情報処理装置からのネットワークを介したプラットフォームの構築に関する定義情報の受信に応じて、前記クラウド内に複数のプラットフォームを構築し、
    構築される前記複数のプラットフォームのそれぞれは、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含む、
    処理をコンピュータに実行させることを特徴とするサービス提供プログラム。
  2. 前記共通する1又は複数のアクセス元は、前記プラットフォームの構築を制御する制御装置に対応するアドレスである
    ことを特徴とする請求項1に記載のサービス提供プログラム。
  3. 前記プラットフォームで稼働させるアプリケーションソフトの開発段階において前記共通する1又は複数のアクセス元を、前記アプリケーションソフトの開発元のアドレスに更新し、開発した前記アプリケーションソフトを前記プラットフォームで稼働させる稼働段階において全てのアクセスが可能な状態に前記ファイアウォールの設定を更新する
    処理をコンピュータにさらに実行させることを特徴とする請求項1又は2に記載のサービス提供プログラム。
  4. 前記ファイアウォールに対してアクセスの遮断又は許可を設定するための設定画面を表示する際、前記初期設定を非表示にする
    処理をコンピュータにさらに実行させることを特徴とする請求項1〜3の何れか1つに記載のサービス提供プログラム。
  5. 前記複数の情報処理装置は、異なるテナントに属する情報処理装置である
    ことを特徴とする請求項1〜4の何れか1つに記載のサービス提供プログラム。
  6. クラウド内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供するサービス提供方法において、
    複数の情報処理装置からのネットワークを介したプラットフォームの構築に関する定義情報の受信に応じて、前記クラウド内に複数のプラットフォームを構築し、
    構築される前記複数のプラットフォームのそれぞれは、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含む、
    処理をコンピュータが実行することを特徴とするサービス提供方法。
  7. クラウド内にプラットフォームを構築し、構築した該プラットフォームを利用するサービスを提供するクラウドの制御装置において、
    複数の情報処理装置からのネットワークを介したプラットフォームの構築に関する定義情報を受信する受信部と、
    前記受信部により受信した定義情報に応じて、前記クラウド内に、共通する1又は複数のアクセス元を除いてアクセスを遮断する初期設定がなされたファイアウォールを含む、複数のプラットフォームを構築する構築部と、
    を有することを特徴とする制御装置。
JP2017035336A 2017-02-27 2017-02-27 サービス提供プログラム、サービス提供方法及び制御装置 Pending JP2018142136A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017035336A JP2018142136A (ja) 2017-02-27 2017-02-27 サービス提供プログラム、サービス提供方法及び制御装置
US15/890,519 US20180248846A1 (en) 2017-02-27 2018-02-07 Service providing method and control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017035336A JP2018142136A (ja) 2017-02-27 2017-02-27 サービス提供プログラム、サービス提供方法及び制御装置

Publications (1)

Publication Number Publication Date
JP2018142136A true JP2018142136A (ja) 2018-09-13

Family

ID=63247125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017035336A Pending JP2018142136A (ja) 2017-02-27 2017-02-27 サービス提供プログラム、サービス提供方法及び制御装置

Country Status (2)

Country Link
US (1) US20180248846A1 (ja)
JP (1) JP2018142136A (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012065015A (ja) * 2010-09-14 2012-03-29 Hitachi Ltd マルチテナント型情報処理システム、管理サーバ及び構成管理方法
JP2015142167A (ja) * 2014-01-27 2015-08-03 富士通株式会社 管理装置、管理プログラムおよびネットワーク装置の設定情報管理方法
JP2016095597A (ja) * 2014-11-12 2016-05-26 富士通株式会社 配備制御プログラム、配備制御装置及び配備制御方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9237194B2 (en) * 2010-11-05 2016-01-12 Verizon Patent And Licensing Inc. Load balancer and firewall self-provisioning system
JP6620494B2 (ja) * 2015-09-30 2019-12-18 株式会社リコー 通信システム、情報処理装置、通信方法、プログラム
US10171425B2 (en) * 2016-12-15 2019-01-01 Keysight Technologies Singapore (Holdings) Pte Ltd Active firewall control for network traffic sessions within virtual processing platforms

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012065015A (ja) * 2010-09-14 2012-03-29 Hitachi Ltd マルチテナント型情報処理システム、管理サーバ及び構成管理方法
JP2015142167A (ja) * 2014-01-27 2015-08-03 富士通株式会社 管理装置、管理プログラムおよびネットワーク装置の設定情報管理方法
JP2016095597A (ja) * 2014-11-12 2016-05-26 富士通株式会社 配備制御プログラム、配備制御装置及び配備制御方法

Also Published As

Publication number Publication date
US20180248846A1 (en) 2018-08-30

Similar Documents

Publication Publication Date Title
US10791056B2 (en) Policy based service routing
AU2019250191B2 (en) Unified device and service discovery across multiple network types
AU2023229528B2 (en) Workflow support for dynamic action input
JP7304442B2 (ja) クラウドベースの認証、承認、及びユーザ管理サービスの発見及びマッピング
US20130346619A1 (en) Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure
US11799732B2 (en) Internet of things device discovery and configuration
US11099826B2 (en) Canary deployment using an application delivery controller
US11558268B2 (en) System and method for processing network data
KR20220016276A (ko) 작업흐름으로의 원격 소프트웨어 애플리케이션들의 통합
EP3439240B1 (en) Automatic grouping of similar applications and devices on a network map
US11652790B2 (en) Quarantine for cloud-based services
US10878057B2 (en) Web application with custom form components
KR20150132155A (ko) 멀티 테넌트 데이터 센터 내에서의 진단 저장 기법
CN113359511A (zh) 工控仿真网络的构建方法、装置、计算机设备及存储介质
JP2018142136A (ja) サービス提供プログラム、サービス提供方法及び制御装置
US11770436B2 (en) Web client with response latency awareness
JP2022525547A (ja) ケース・マネジメントのためのアクション決定
JP2018173920A (ja) 制御プログラム、制御方法および制御装置
JP6638819B2 (ja) ネットワーク管理プログラム、ネットワーク管理方法及びネットワーク管理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210316

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210921