JP2021141399A - ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム - Google Patents

ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム Download PDF

Info

Publication number
JP2021141399A
JP2021141399A JP2020036567A JP2020036567A JP2021141399A JP 2021141399 A JP2021141399 A JP 2021141399A JP 2020036567 A JP2020036567 A JP 2020036567A JP 2020036567 A JP2020036567 A JP 2020036567A JP 2021141399 A JP2021141399 A JP 2021141399A
Authority
JP
Japan
Prior art keywords
address
container
packet
virtual machine
mirror packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2020036567A
Other languages
English (en)
Inventor
和宏 鈴木
Kazuhiro Suzuki
和宏 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2020036567A priority Critical patent/JP2021141399A/ja
Priority to US17/158,044 priority patent/US11516176B2/en
Publication of JP2021141399A publication Critical patent/JP2021141399A/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/58Caching of addresses or names
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】VM内に配備されたコンテナのトラフィックのモニタリングにおいて、ミラーパケットを別のコンテナへ転送する。【解決手段】第1仮想スイッチは、第1VM内の第1コンテナが受信する受信パケット又は第1コンテナが送信する送信パケットのミラーパケットを送信する。第2仮想スイッチは、第1仮想スイッチからミラーパケットを受信して、ミラーパケットをモニタする第2コンテナを含む第2VMへ転送する。記憶部は、ミラーパケットの宛先情報と第2コンテナに対応するアドレスとを対応付けて記憶する。第2VMは、ミラーパケットを受信し、ミラーパケットの宛先情報に対するアドレス解決を要求する。第2仮想スイッチは、ミラーパケットの宛先情報と対応付けて記憶されている、第2コンテナに対応するアドレスを第2VMへ送信する。そして、第2VMは、第2コンテナに対応するアドレスを用いてミラーパケットを第2コンテナへ転送する。【選択図】図7

Description

本発明は、ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラムに関する。
サーバ仮想化技術では、物理サーバ内でハイパーバイザと呼ばれる制御プログラムが動作し、ハイパーバイザ上で、仮想マシン(Virtual Machine,VM)と呼ばれる仮想サーバが動作する。物理サーバ内で動作するVM間において、トラフィックのモニタリングを目的とするポートミラーリングが行われることがある。
図1は、VM間におけるポートミラーリングの例を示している。ホスト装置101は物理サーバであり、ホスト装置101内ではVM111及びVM112が動作している。ホスト装置101内の仮想スイッチ121は、仮想ポートであるport1及びport2を含む。VM111及びVM112は、仮想NIC(Network Interface Controller)であるeth0を含む。
例えば、VM112がVM111のトラフィックをモニタする場合、VM111のeth0に接続されているport1を通過する入力パケット131又は出力パケット132がミラーリング対象となる。入力パケット131は、VM111が受信するパケットであり、出力パケット132は、VM111が送信するパケットである。ミラーリング対象は、入力パケット131又は出力パケット132のいずれか一方であってもよく、入力パケット131及び出力パケット132の両方であってもよい。
ポートミラーリングでは、port1を通過するミラーリング対象のパケットをコピーすることでミラーパケットが生成され、生成されたミラーパケットがport2を介してVM112へ転送される。
一方、コンテナ型仮想化技術では、物理サーバ内でコンテナエンジンと呼ばれる制御プログラムが動作し、コンテナエンジン上に、コンテナと呼ばれる仮想的なOS(Operating System)空間が設けられる。コンテナは、アプリケーションと、アプリケーションが使用するライブラリとを含む。サーバ仮想化技術とコンテナ型仮想化技術とを組み合わせて、1つのVM内に複数のコンテナを配備して動作させることも可能である。
コンテナ間をインターネットプロトコル(Internet Protocol,IP)ルーティングにより接続するオープンソースソフトウェアとして、Calicoが知られている。IPルーティングによる接続は、L3接続と呼ばれることもある。
図2は、図1のVM111内でL3接続により接続されたコンテナの例を示している。VM111内では、コンテナ211及びコンテナ212が動作する。コンテナ211及びコンテナ212は、仮想NICであるeth0を含む。
コンテナ211のeth0はcali1に接続されており、コンテナ212のeth0はcali2に接続されている。cali1及びcali2は仮想タップであり、仮想ルータ221を介してVM111のeth0に接続されている。コンテナ211のeth0とcali1は、veth−pair(Virtual Ethernet Tunnel Pair)ポートである。同様に、コンテナ212のeth0とcali2は、veth−pairポートである。
コンテナ211のIPアドレスは“10.0.0.1/32”であり、コンテナ212のIPアドレスは“10.0.0.2/32”である。デフォルトゲートウェイのIPアドレスGWは“169.254.1.1”である。cali1のメディアアクセス制御(Media Access Control,MAC)アドレスは“A”であり、cali2のMACアドレスは“B”である。
cali1及びcali2は、Proxy ARP(Address Resolution Protocol)機能を有する。コンテナ211が、デフォルトゲートウェイのIPアドレスGWに対するArpリクエストをcali1へ送信すると、cali1は、cali1のMACアドレス“A”を含むArpリプライをコンテナ211へ返信する。コンテナ212が、デフォルトゲートウェイのIPアドレスGWに対するArpリクエストをcali2へ送信すると、cali2は、cali2のMACアドレス“B”を含むArpリプライをコンテナ212へ返信する。
仮想ルータ221のルーティングテーブル201には、コンテナ211のIPアドレス“10.0.0.1/32”への経路に対応するインタフェースとして、cali1が登録されている。また、コンテナ212のIPアドレス“10.0.0.2/32”への経路に対応するインタフェースとして、cali2が登録されている。
図3は、図1のVM112における経路情報の設定方法の例を示している。VM112内では、コンテナ311及びコンテナ312が動作する。コンテナ311及びコンテナ312は、仮想NICであるeth0を含む。
コンテナ311のeth0はcali3に接続されており、コンテナ312のeth0はcali4に接続されている。cali3及びcali4は仮想タップであり、仮想ルータ321を介してVM112のeth0に接続されている。コンテナ311のIPアドレスは“10.0.1.1/32”であり、コンテナ312のIPアドレスは“10.0.1.2/32”である。
VM111のeth0及びVM112のeth0は、仮想通信ネットワーク302に接続されている。VM111のeth0のIPアドレスは“192.168.0.1”であり、VM112のeth0のIPアドレスは“192.168.0.2”である。
VM111内では、BGP(Border Gateway Protocol)デーモン222が動作し、VM112内では、BGPデーモン322が動作する。BGPデーモン222とBGPデーモン322は、仮想通信ネットワーク302を介してVM間の経路情報を交換する。そして、BGPデーモン222は、経路情報を図2のルーティングテーブル201に設定し、BGPデーモン322は、経路情報を仮想ルータ321のルーティングテーブル301に設定する。
仮想ルータ321のルーティングテーブル301には、コンテナ311のIPアドレス“10.0.1.1/32”への経路に対応するインタフェースとして、cali3が登録されている。また、コンテナ312のIPアドレス“10.0.1.2/32”への経路に対応するインタフェースとして、cali4が登録されている。さらに、IPアドレス“10.0.0.0/24”への経路に対応するネクストホップとして、VM111のeth0のIPアドレス“192.168.0.1”が登録されており、インタフェースとしてVM112のeth0が登録されている。
ARPに関連して、ネットワークの負荷を抑制できる通信方法、及びL3仮想拡張ローカルエリアネットワークゲートウェイによるデータパケットの転送方法が知られている(例えば、特許文献1及び特許文献2を参照)。
特開2013−51531号公報 特表2018−516520号公報
VM内にコンテナが配備されている環境において、VMのポートミラーリング機能を用いて、コンテナのトラフィックのポートミラーリングを行う場合、トラフィックをモニタするコンテナにミラーパケットを正しく転送することは容易ではない。
1つの側面において、本発明は、VM内に配備されたコンテナのトラフィックのモニタリングにおいて、ミラーパケットを別のコンテナへ転送することを目的とする。
1つの案では、ネットワーク管理システムは、第1制御部、第2制御部、第3制御部、及び記憶部を含む。
第1制御部は、第1コンテナを含む第1仮想マシンと第1仮想スイッチとを動作させる。第1仮想スイッチは、第1コンテナが受信する受信パケット又は第1コンテナが送信する送信パケットのミラーパケットを送信する。
第2制御部は、ミラーパケットをモニタする第2コンテナを含む第2仮想マシンと第2仮想スイッチとを動作させる。第2仮想スイッチは、第1仮想スイッチからミラーパケットを受信して第2仮想マシンへ転送する。記憶部は、ミラーパケットの宛先情報と第2コンテナに対応するアドレスとを対応付けて記憶する。
第2仮想マシンは、第2仮想スイッチからミラーパケットを受信し、ミラーパケットの宛先情報に対するアドレス解決を要求する。第3制御部は、ミラーパケットの宛先情報と対応付けて記憶されている、第2コンテナに対応するアドレスを第2仮想マシンへ送信する動作を、第2仮想スイッチに行わせる。そして、第3制御部は、第2コンテナに対応するアドレスを用いてミラーパケットを第2コンテナへ転送する動作を、第2仮想マシンに行わせる。
1つの側面によれば、VM内に配備されたコンテナのトラフィックのモニタリングにおいて、ミラーパケットを別のコンテナへ転送することができる。
ポートミラーリングを示す図である。 L3接続により接続されたコンテナを示す図である。 経路情報の設定方法を示す図である。 情報処理システムを示す図である。 スタティックルーティングの設定方法を示す図である。 PBRの設定方法を示す図である。 ネットワーク管理システムの機能的構成図である。 情報処理のフローチャートである。 情報処理システムの機能的構成図である。 VMシステムを示す図である。 ルーティングテーブルを示す図である。 管理テーブルを示す図である。 制御テーブルを示す図である。 制御テーブルのエントリを示す図である。 登録処理のフローチャートである。 パケット転送処理のフローチャートである。 応答処理のフローチャートである。 情報処理装置のハードウェア構成図である。
以下、図面を参照しながら、実施形態を詳細に説明する。
図4は、コンテナを含む複数のVMを有する情報処理システムの例を示している。図4の情報処理システムは、図1のホスト装置101とホスト装置401を含む。VM111内では、コンテナ211及びコンテナ212が動作し、VM112内では、コンテナ311が動作する。
ホスト装置401は物理サーバであり、ホスト装置401内ではVM411が動作している。VM411内では、コンテナ431及びコンテナ432が動作する。ホスト装置401内の仮想スイッチ421は、仮想ポートであるport3を含む。VM411は、仮想NICであるeth0を含む。
例えば、コンテナ431がコンテナ211のトラフィックをモニタする場合、port1を通過する入力パケット441又は出力パケット442がミラーリング対象となる。入力パケット441は、コンテナ211が受信するパケットであり、出力パケット442は、コンテナ211が送信するパケットである。
ポートミラーリングでは、port1を通過するミラーリング対象のパケットをコピーすることでミラーパケットが生成され、生成されたミラーパケットが、ホスト装置401内のport3を介してVM411へ転送される。
しかしながら、入力パケット441のミラーパケットの宛先はコンテナ211であるため、ミラーパケットはコンテナ431へ転送されない。また、出力パケット442の宛先がコンテナ311である場合、出力パケット442のミラーパケットの宛先もコンテナ311であるため、ミラーパケットはコンテナ431へ転送されない。
そこで、ミラーパケットをコンテナ431へ転送するために、ミラーパケットの宛先アドレスに基づいてスタティックルーティングを設定する方法が考えられる。
図5は、図4の情報処理システムにおけるスタティックルーティングの設定方法の例を示している。コンテナ431はcali5に接続されている。VM411内のルーティングテーブル501には、コンテナ431のIPアドレス“10.0.3.1/32”への経路に対応するインタフェースとして、cali5が登録されている。
入力パケット441のミラーパケットの宛先はコンテナ211であるため、コンテナ211のIPアドレス“10.0.0.1/32”を用いて、ルーティングテーブル501にスタティックルーティングを追加することができる。この場合、コンテナ211のIPアドレス“10.0.0.1/32”への経路に対応するインタフェースとして、cali5が設定される。これにより、VM411内において、入力パケット441のミラーパケットをコンテナ431へ転送することが可能になる。
しかし、出力パケット442の宛先は一意に決まらないため、出力パケット442のミラーパケットをコンテナ431へ転送するためのスタティックルーティングを、ルーティングテーブル501に追加することは困難である。
そこで、出力パケット442のミラーパケットについては、PBR(Policy Based routing)を利用する設定方法が考えられる。PBRは、送信元アドレス、入力インタフェース等の条件に基づいてルーティングを設定する機能である。
図6は、PBRの設定方法の例を示している。図6(a)は、出力パケット442のミラーパケットの送信元アドレスに基づくPBRの例を示している。出力パケット442の送信元はコンテナ211であるため、送信元アドレスがコンテナ211のIPアドレス“10.0.0.1/32”であるパケットに対して、rule01を適用することが規定されている。
図6(b)は、rule01に基づくルーティングの例を示している。rule01に基づくルーティングでは、コンテナ431のIPアドレス“10.0.3.1/32”への経路に対応するインタフェースとして、cali5が設定される。また、デフォルトゲートウェイのIPアドレスとしては、コンテナ431のIPアドレス“10.0.3.1/32”が設定される。これにより、VM411内において、出力パケット442のミラーパケットをコンテナ431へ転送することが可能になる。
しかしながら、図5のスタティックルーティング又は図6のPBRでは、VM内のルーティングテーブルが変更されている。VMの所有者がユーザである場合、情報処理システムの管理者が、ユーザの許可なく、VM内のルーティングテーブルを変更することは好ましくない。
図7は、実施形態のネットワーク管理システムの機能的構成例を示している。図7のネットワーク管理システム701は、第1制御部711、第2制御部712、第3制御部713、及び記憶部714を含む。
図8は、図7のネットワーク管理システム701が行う情報処理の例を示すフローチャートである。まず、第1制御部711は、第1コンテナ741を含む第1仮想マシン721と第1仮想スイッチ731とを動作させる(ステップ801)。第1仮想スイッチ731は、第1コンテナ741が受信する受信パケット又は第1コンテナ741が送信する送信パケットのミラーパケットを送信する。
次に、第2制御部712は、ミラーパケットをモニタする第2コンテナ742を含む第2仮想マシン722と第2仮想スイッチ732とを動作させる(ステップ802)。第2仮想スイッチ732は、第1仮想スイッチ731からミラーパケットを受信して第2仮想マシン722へ転送する。記憶部714は、ミラーパケットの宛先情報と第2コンテナ742に対応するアドレスとを対応付けて記憶する。
第2仮想マシン722は、第2仮想スイッチ732からミラーパケットを受信し、ミラーパケットの宛先情報に対するアドレス解決を要求する。第3制御部713は、ミラーパケットの宛先情報と対応付けて記憶されている、第2コンテナ742に対応するアドレスを第2仮想マシン722へ送信する動作を、第2仮想スイッチ732に行わせる(ステップ803)。そして、第3制御部713は、第2コンテナ742に対応するアドレスを用いてミラーパケットを第2コンテナ742へ転送する動作を、第2仮想マシン722に行わせる(ステップ804)。
図7のネットワーク管理システム701によれば、VM内に配備されたコンテナのトラフィックのモニタリングにおいて、ミラーパケットを別のコンテナへ転送することができる。
なお、第1制御部711は、第1仮想マシン721と第2仮想スイッチ732とを直接接続して、第2仮想スイッチ732にミラーパケットを生成させることもできる。この場合、第1制御部711は、第1仮想スイッチ731を動作させる処理を省略し、第2仮想スイッチ732は、生成したミラーパケットを第2仮想マシン722へ転送する。
図9は、図7のネットワーク管理システム701に対応する情報処理システムの機能的構成例を示している。図9の情報処理システムは、情報処理装置901〜情報処理装置903を含む。情報処理装置901〜情報処理装置903は、通信ネットワーク904により互いに接続されている。通信ネットワーク904は、例えば、LAN(Local Area Network)又はWAN(Wide Area Network)である。
情報処理装置901は、制御部911、通信部912、及び記憶部913を含む。制御部911は、図7の第1制御部711に対応する。記憶部913は、ルーティングテーブル914、ARPテーブル915、及び制御テーブル916を記憶する。
ルーティングテーブル914は、情報処理システム内で動作するVM間の経路情報を格納する。ARPテーブル915は、アドレス解決テーブルの一例であり、IPアドレスとMACアドレスとを対応付けて格納する。制御テーブル916は、ミラーパケットの宛先情報と、ミラーパケットをモニタするコンテナに対応するMACアドレスとを対応付けて格納する。
情報処理装置902は、ネットワーク管理装置の一例であり、制御部921、制御部922、通信部923、及び記憶部924を含む。制御部921、制御部922、及び記憶部924は、図7の第2制御部712、第3制御部713、及び記憶部714にそれぞれ対応する。記憶部924は、ルーティングテーブル925、ARPテーブル926、及び制御テーブル927を記憶する。
ルーティングテーブル925は、情報処理システム内で動作するVM間の経路情報を格納する。ARPテーブル926は、IPアドレスとMACアドレスとを対応付けて格納する。制御テーブル927は、ミラーパケットの宛先情報と、ミラーパケットをモニタするコンテナに対応するMACアドレスとを対応付けて格納する。
情報処理装置903は、情報処理システムの管理者によって使用され、管理部931、通信部932、及び記憶部933を含む。記憶部933は、管理テーブル934を記憶する。管理テーブル934は、情報処理システム内におけるポートミラーリングを管理するための情報を格納する。管理部931は、情報処理システム内で動作するVM及びコンテナを管理するとともに、管理者からの指示に従って、管理テーブル934に情報を設定する。
通信部912、通信部923、及び通信部932は、通信ネットワーク904を介して互いに通信することができる。
図10は、図9の情報処理システムにより実現されるVMシステムの例を示している。VM1001及び仮想スイッチ1011は、情報処理装置901内で動作し、VM1002、VM1003、及び仮想スイッチ1012は、情報処理装置902内で動作する。VM1001内では、コンテナ1021が動作し、VM1002内では、コンテナ1022及びコンテナ1023が動作し、VM1003内では、コンテナ1024が動作する。
VM1001は、cali0及びeth0を含み、仮想スイッチ1011は、port1を含む。VM1002は、cali1、cali2、及びeth0を含み、VM1003は、eth0を含み、仮想スイッチ1012は、port2を含む。cali0、cali1、及びcali2は、仮想タップである。eth0は、仮想NICである。port1及びport2は、仮想ポートである。
コンテナ1021〜コンテナ1024は、L3接続により接続されている。コンテナ1021のIPアドレスは“10.0.0.1/32”である。コンテナ1022のIPアドレスは“10.0.1.1/32”であり、コンテナ1023のIPアドレスは“10.0.1.2/32”である。コンテナ1024のIPアドレスは“10.0.2.1/32”である。
VM1001のeth0のIPアドレスは“192.168.1.10”であり、VM1002のeth0のIPアドレスは“192.168.1.11”であり、VM1003のeth0のIPアドレスは“192.168.1.12”である。
制御部911は、VM1001及び仮想スイッチ1011を動作させ、制御部921は、VM1002、VM1003、及び仮想スイッチ1012を動作させる。仮想スイッチ1011と仮想スイッチ1012は、通信部912及び通信部923を介して互いに通信することができる。
なお、図9の情報処理システムは、不図示の他の情報処理装置を含んでいてもよい。また、図10のVMシステムは、不図示の他のVM、コンテナ、又は仮想スイッチを含んでいてもよい。ミラーパケットの宛先情報と、ミラーパケットをモニタするコンテナに対応するMACアドレスとを対応付けて格納する制御テーブルの情報は、情報処理システム内のすべてのVMで共有される。したがって、制御テーブル927の内容は、制御テーブル916の内容と同じである。
図11は、情報処理装置902が記憶するルーティングテーブル925の例を示している。図11のルーティングテーブル925には、コンテナ1022のIPアドレス“10.0.1.1/32”への経路に対応するインタフェースとして、cali1が登録されている。また、コンテナ1023のIPアドレス“10.0.1.2/32”への経路に対応するインタフェースとして、cali2が登録されている。
続いて、IPアドレス“10.0.0.0/24”への経路に対応するネクストホップとして、VM1001のeth0のIPアドレス“192.168.1.10”が登録されており、インタフェースとしてVM1002のeth0が登録されている。また、IPアドレス“10.0.2.0/24”への経路に対応するネクストホップとして、VM1003のeth0のIPアドレス“192.168.1.12”が登録されており、インタフェースとしてVM1002のeth0が登録されている。
図12は、情報処理装置903が記憶する管理テーブル934の例を示している。図12の管理テーブル934は、ID、ターゲットコンテナIPアドレス、ターゲットポート、方向、ミラー宛先IPアドレス、及びミラー宛先ポートを含む。
IDは、管理テーブル934のエントリの識別情報である。ターゲットコンテナIPアドレスは、モニタ対象のコンテナのIPアドレスであり、ターゲットポートは、ミラーリング対象のパケットが通過するポートを表す。
方向は、ミラーリング対象のパケットがターゲットポートを通過する方向を表す。方向が双方向である場合、入力パケット及び出力パケットの両方がミラーリング対象となる。方向が出力である場合、出力パケットのみがミラーリング対象となり、方向が入力である場合、入力パケットのみがミラーリング対象となる。
ミラー宛先IPアドレスは、ミラーパケットをモニタするコンテナのIPアドレスであり、ミラー宛先ポートは、そのコンテナを含むVMへミラーパケットを転送するポートを表す。
例えば、ID“1”のエントリの場合、モニタ対象のコンテナは、コンテナ1021であり、ミラーパケットをモニタするコンテナは、コンテナ1023である。この場合、ターゲットコンテナIPアドレスは“10.0.0.1/32”であり、ターゲットポートはport1であり、方向は双方向であり、ミラー宛先IPアドレスは“10.0.1.2/32”であり、ミラー宛先ポートはport2である。
図13は、情報処理装置902が記憶する制御テーブル927の例を示している。図13の制御テーブル927は、ID、ターゲットコンテナIPアドレス、方向、ミラー宛先MACアドレス、及びルータIPアドレスを含む。IDは、制御テーブル927のエントリの識別情報である。
情報処理装置903の管理部931は、管理テーブル934の情報を、情報処理装置902へ送信する。制御部921は、受信した管理テーブル934の情報に基づいて、制御テーブル927を生成する動作を、仮想スイッチ1012に行わせる。仮想スイッチ1012は、生成された制御テーブル927を記憶部924に格納する。
図13のID“1”〜ID“3”のエントリは、図12のID“1”〜ID“3”のエントリにそれぞれ対応している。したがって、図13の各エントリのターゲットコンテナIPアドレス及び方向は、図12の対応するエントリのターゲットコンテナIPアドレス及び方向と同じである。
ミラー宛先MACアドレスは、コンテナに対応するMACアドレスの一例であり、ミラーパケットをモニタするコンテナへの経路に対応するインタフェースのMACアドレスである。したがって、ID“1”及びID“2”のエントリのミラー宛先MACアドレス“AAA”は、コンテナ1023への経路に対応するcali2のMACアドレスである。
仮想スイッチ1012は、ミラー宛先IPアドレスに対するArpリクエストをブロードキャストすることで、ミラー宛先MACアドレスを取得することができる。
仮想スイッチ1012がコンテナ1023のIPアドレスに対するArpリクエストをブロードキャストした場合、cali2は、cali2のMACアドレス“AAA”を含むArpリプライを、仮想スイッチ1012へ返信する。そして、仮想スイッチ1012は、Arpリプライに含まれるcali2のMACアドレス“AAA”を、ID“1”及びID“2”のエントリのミラー宛先MACアドレスとして、制御テーブル927に格納する。
仮想スイッチ1012は、ミラーパケットをモニタするコンテナから送信される出力パケットを観測することで、ミラー宛先MACアドレスを取得することもできる。
ルータIPアドレスは、ミラーパケットの宛先情報の一例であり、ミラーパケットの宛先アドレスに対応するコンテナを含むVMのIPアドレスを表す。制御テーブル927の生成時には、初期値“None”がルータIPアドレスとして格納される。
図12のID“1”のエントリに基づいてポートミラーリングが行われる場合、port1を通過する入力パケット1031及び出力パケット1032の両方がミラーリング対象となる。入力パケット1031は、コンテナ1021が受信するパケットであり、出力パケット1032は、コンテナ1021が送信するパケットである。
この場合、仮想スイッチ1011は、入力パケット1031及び出力パケット1032の各々をコピーすることでミラーパケットを生成し、生成されたミラーパケットを仮想スイッチ1012へ送信する。これにより、コンテナ1023が動作しているVM1002に接続されたport2に、ミラーパケットが転送される。仮想スイッチ1012は、仮想スイッチ1011から受信したミラーパケットを、port2からVM1002へ転送する。
このとき、制御部921は、ミラーパケットの宛先アドレスに対応するルータIPアドレスを制御テーブル927に格納する動作を、仮想スイッチ1012に行わせる。まず、仮想スイッチ1012は、受信したミラーパケットの送信元アドレス及び宛先アドレスを用いて、次のような条件を満たすエントリを制御テーブル927から検索する。
条件C1:方向が入力又は双方向であり、かつ、ターゲットコンテナIPアドレスがミラーパケットの宛先アドレスと一致する。
条件C2:方向が出力又は双方向であり、かつ、ターゲットコンテナIPアドレスがミラーパケットの送信元アドレスと一致する。
条件C1又は条件C2を満たすエントリが存在する場合、仮想スイッチ1012は、受信したミラーパケットの宛先アドレスに対応するルータIPアドレスを、VM1002内のBGPデーモンに問い合わせる。BGPデーモンは、ルーティングテーブル925からルータIPアドレスを取得して、仮想スイッチ1012へ返信する。
仮想スイッチ1012は、BGPデーモンから受信したルータIPアドレスを、検索されたエントリのルータIPアドレスとして格納する。これにより、制御テーブル927において、ルータIPアドレスとミラー宛先MACアドレスとが対応付けられる。
図14は、制御テーブル927において、ルータIPアドレスとミラー宛先MACアドレスとが対応付けられたエントリの例を示している。図14(a)は、条件C1を満たすエントリの例を示しており、図14(b)は、条件C2を満たすエントリの例を示している。
受信したミラーパケットが入力パケット1031のミラーパケットである場合、ミラーパケットの宛先アドレスは、コンテナ1021のIPアドレス“10.0.0.1/32”である。したがって、図13のID“1”のエントリが条件C1を満たす。
図11のルーティングテーブル925において、IPアドレス“10.0.0.0/24”への経路に対応するネクストホップは“192.168.1.10”である。したがって、ミラーパケットの宛先アドレス“10.0.0.1/32”に対応するルータIPアドレスとして、“192.168.1.10”が取得され、図13のID“1”のエントリのルータIPアドレスとして登録される。
これにより、図14(a)に示すように、VM1001のeth0のIPアドレス“192.168.1.10”と、cali2のMACアドレス“AAA”とを対応付けることができる。
一方、受信したミラーパケットが出力パケット1032のミラーパケットである場合、ミラーパケットの送信元アドレスは、コンテナ1021のIPアドレス“10.0.0.1/32”である。したがって、図13のID“1”のエントリが条件C2を満たす。
出力パケット1032の宛先アドレスが、コンテナ1024のIPアドレス“10.0.2.1/32”である場合、ミラーパケットの宛先アドレスも“10.0.2.1/32”となる。図11のルーティングテーブル925において、IPアドレス“10.0.2.0/24”への経路に対応するネクストホップは“192.168.1.12”である。したがって、ミラーパケットの宛先アドレス“10.0.2.1/32”に対応するルータIPアドレスとして、“192.168.1.12”が取得され、図13のID“1”のエントリのルータIPアドレスとして登録される。
これにより、図14(b)に示すように、VM1003のeth0のIPアドレス“192.168.1.12”と、cali2のMACアドレス“AAA”とを対応付けることができる。
このように、ミラーパケットの宛先アドレスに対応するコンテナを含むVMのIPアドレスを、ミラーパケットの宛先情報として用いることで、制御テーブル927において、そのVMのIPアドレスをミラー宛先MACアドレスに対応付けることができる。したがって、VMのIPアドレスを用いて、ミラーパケットをモニタするコンテナへの経路に対応するインタフェースのMACアドレスを検索することが可能になる。
また、仮想スイッチ1012がミラーパケットを受信した時点で、ルータIPアドレスをミラー宛先MACアドレスに対応付けて制御テーブル927に登録しておくことで、ルータIPアドレスに対するArpリクエストに応答することが可能になる。
VM1002のeth0が仮想スイッチ1012からミラーパケットを受信すると、制御部922は、ミラーパケットの宛先アドレスに対応するルータIPアドレスを取得し、ルータIPアドレスに対するアドレス解決を要求する動作を、VM1002に行わせる。まず、VM1002は、ルーティングテーブル925を検索して、受信したミラーパケットの宛先アドレスに対応するルータIPアドレスを取得する。そして、VM1002は、取得したルータIPアドレスに対するArpリクエストをブロードキャストする。
次に、制御部922は、制御テーブル927において、Arpリクエストに含まれるルータIPアドレスと対応付けられたミラー宛先MACアドレスをVM1002へ送信する動作を、仮想スイッチ1012に行わせる。この場合、仮想スイッチ1012がArpリクエストに対して応答する。
受信したミラーパケットが入力パケット1031のミラーパケットである場合、ミラーパケットの宛先アドレスは、コンテナ1021のIPアドレス“10.0.0.1/32”である。したがって、VM1002は、図11のルーティングテーブル925から、ミラーパケットの宛先アドレス“10.0.0.1/32”に対応するルータIPアドレスとして、“192.168.1.10”を取得する。そして、VM1002は、ルータIPアドレス“192.168.1.10”に対するArpリクエストをブロードキャストする。
仮想スイッチ1012は、Arpリクエストを受信すると、制御テーブル927を検索して、Arpリクエストに含まれるルータIPアドレスを有するエントリから、ミラー宛先MACアドレスを取得する。この場合、仮想スイッチ1012は、図14(a)のエントリから、ルータIPアドレス“192.168.1.10”に対応付けられているミラー宛先MACアドレス“AAA”を取得する。そして、仮想スイッチ1012は、ミラー宛先MACアドレス“AAA”を含むArpリプライを、VM1002へ返信する。
一方、受信したミラーパケットが出力パケット1032のミラーパケットであり、出力パケット1032の宛先がコンテナ1024である場合、ミラーパケットの宛先アドレスは、コンテナ1024のIPアドレス“10.0.2.1/32”である。したがって、VM1002は、図11のルーティングテーブル925から、ミラーパケットの宛先アドレス“10.0.2.1/32”に対応するルータIPアドレスとして、“192.168.1.12”を取得する。そして、VM1002は、ルータIPアドレス“192.168.1.12”に対するArpリクエストをブロードキャストする。
仮想スイッチ1012は、Arpリクエストを受信すると、制御テーブル927を検索する。この場合、仮想スイッチ1012は、図14(b)のエントリから、ルータIPアドレス“192.168.1.12”に対応付けられているミラー宛先MACアドレス“AAA”を取得する。そして、仮想スイッチ1012は、ミラー宛先MACアドレス“AAA”を含むArpリプライを、VM1002へ返信する。
ArpリプライをVM1002へ返信した後、仮想スイッチ1012は、制御テーブル927において、検索されたエントリのルータIPアドレスを、初期値“None”に変更する。
VM1002がArpリプライを受信すると、制御部922は、ミラーパケットの宛先アドレスと、Arpリプライに含まれるミラー宛先MACアドレスとを対応付けて、ARPテーブル926に格納する動作を、VM1002に行わせる。これにより、次に同じ宛先アドレスを有するミラーパケットを受信した場合、ARPテーブル926のミラー宛先MACアドレスを用いて、ミラーパケットをモニタするコンテナへミラーパケットを転送することが可能になる。
次に、制御部922は、Arpリプライに含まれるミラー宛先MACアドレスを用いて、ミラーパケットをモニタするコンテナへミラーパケットを転送する動作を、VM1002に行わせる。VM1002は、ミラーパケットの宛先MACフィールドに、ミラー宛先MACアドレス“AAA”を挿入して、ミラーパケットを送信する。これにより、ミラーパケットがcali2にルーティングされて、コンテナ1023に到達する。
なお、コンテナ1023は、情報処理装置901内で動作するコンテナ1021の代わりに、情報処理装置902内で動作する別のコンテナのトラフィックをモニタすることもできる。この場合、仮想スイッチ1011の代わりに、仮想スイッチ1012がミラーパケットを生成し、生成したミラーパケットをport2からVM1002へ転送する。
図9の情報処理システムによれば、VM内のコンテナがL3接続により接続されている環境において、トラフィックをモニタするコンテナを含む情報処理装置の制御テーブルに、ミラーパケットの宛先情報とミラー宛先MACアドレスとが対応付けて登録される。これにより、情報処理装置は、ミラーパケットの宛先情報に対するArpリクエストに対して、ミラー宛先MACアドレスをArpリプライとして返信することが可能になる。したがって、VMのポートミラーリング機能を用いて、トラフィックをモニタするコンテナにミラーパケットを正しく転送することができる。
図15は、情報処理装置902内で動作する仮想スイッチ1012が行う登録処理の例を示すフローチャートである。制御部921が図15の登録処理を仮想スイッチ1012に行わせることで、ミラーパケットの宛先アドレスに対応するルータIPアドレスが制御テーブル927に格納される。
まず、仮想スイッチ1012は、パケットを受信し(ステップ1501)、受信したパケットがミラーパケットであるか否かをチェックする(ステップ1502)。受信したパケットがミラーパケットではない場合(ステップ1502,NO)、仮想スイッチ1012は、ステップ1501以降の処理を繰り返す。
受信したパケットがミラーパケットである場合(ステップ1502,YES)、仮想スイッチ1012は、ミラーパケットの送信元アドレスを用いて制御テーブル927を検索する(ステップ1502)。そして、仮想スイッチ1012は、ミラーパケットの送信元アドレスと一致するターゲットコンテナIPアドレスを含むエントリの方向をチェックする(ステップ1504)。
エントリの方向が出力又は双方向である場合(ステップ1504,YES)、仮想スイッチ1012は、ミラーパケットの宛先アドレスに対応するルータIPアドレスをBGPデーモンに問い合わせる(ステップ1505)。そして、仮想スイッチ1012は、BGPデーモンからルータIPアドレスを取得する。
次に、仮想スイッチ1012は、取得したルータIPアドレスを、制御テーブル927から検索されたエントリに登録する(ステップ1506)。これにより、制御テーブル927において、ルータIPアドレスとミラー宛先MACアドレスとが対応付けられる。
エントリの方向が入力である場合(ステップ1504,NO)、仮想スイッチ1012は、ミラーパケットの宛先アドレスを用いて制御テーブル927を検索する(ステップ1507)。そして、仮想スイッチ1012は、ミラーパケットの宛先アドレスと一致するターゲットコンテナIPアドレスを含むエントリの方向をチェックする(ステップ1508)。
エントリの方向が入力又は双方向である場合(ステップ1508,YES)、仮想スイッチ1012は、ステップ1505以降の処理を行う。エントリの方向が出力である場合(ステップ1508,NO)、仮想スイッチ1012は、処理を終了する。
図16は、情報処理装置902内で動作するVM1002が行うパケット転送処理の例を示すフローチャートである。制御部922が図16のパケット転送処理をVM1002に行わせることで、VM1002が受信したミラーパケットがコンテナ1023に転送される。
まず、VM1002のeth0は、仮想スイッチ1012からパケットを受信し(ステップ1601)、VM1002は、受信したパケットの宛先アドレスを用いてルーティングテーブル925を検索する(ステップ1602)。
ルーティングテーブル925において、宛先アドレスに対応するエントリが存在する場合、VM1002は、ARPテーブル926を検索する(ステップ1603)。そして、VM1002は、宛先アドレスに対応するMACアドレス、又はデフォルトゲートウェイのMACアドレスを含むエントリが、ARPテーブル926に存在するか否かをチェックする(ステップ1604)。
ARPテーブル926にエントリが存在する場合(ステップ1604,YES)、VM1002は、受信したパケットの宛先MACフィールドに、エントリに含まれるMACアドレスを挿入して、パケットを転送する(ステップ1608)。
一方、ARPテーブル926にエントリが存在しない場合(ステップ1604,NO)、VM1002は、ルーティングテーブル925を検索して、受信したパケットの宛先アドレスに対応するルータIPアドレスを取得する。そして、VM1002は、取得したルータIPアドレスに対するArpリクエストをブロードキャストする(ステップ1605)。
次に、VM1002は、Arpリプライを受信し(ステップ1606)、Arpリプライに含まれるMACアドレスを用いて、ARPテーブル926を更新する(ステップ1607)。そして、VM1002は、受信したパケットの宛先MACフィールドに、Arpリプライに含まれるMACアドレスを挿入して、パケットを転送する(ステップ1608)。
例えば、受信したパケットがミラーパケットである場合、ステップ1605において、ミラーパケットの宛先アドレスに対応するルータIPアドレスが取得され、そのルータIPアドレスに対するArpリクエストがブロードキャストされる。この場合、ステップ1607において、ミラーパケットの宛先アドレスと、Arpリプライに含まれるミラー宛先MACアドレスとが対応付けられ、ARPテーブル926に格納される。そして、ステップ1608において、ミラーパケットの宛先MACフィールドに、ミラー宛先MACアドレスが挿入され、コンテナ1023に転送される。
図17は、情報処理装置902内で動作する仮想スイッチ1012が行う応答処理の例を示すフローチャートである。制御部922が図17の応答処理を仮想スイッチ1012に行わせることで、VM1002からブロードキャストされたArpリクエストに対して、Arpリプライが返信される。
まず、仮想スイッチ1012は、VM1002からパケットを受信し(ステップ1701)、受信したパケットがArpリクエストであるか否かをチェックする(ステップ1702)。受信したパケットがArpリクエストではない場合(ステップ1702,NO)、仮想スイッチ1012は、そのパケットを転送する(ステップ1707)。
一方、受信したパケットがArpリクエストである場合(ステップ1702,YES)、仮想スイッチ1012は、Arpリクエストに含まれるルータIPアドレスを用いて、制御テーブル927を検索する(ステップ1703)。そして、仮想スイッチ1012は、そのルータIPアドレスを含むエントリが制御テーブル927に存在するか否かをチェックする(ステップ1704)。制御テーブル927にエントリが存在しない場合(ステップ1704,NO)、仮想スイッチ1012は、処理を終了する。
一方、制御テーブル927にエントリが存在する場合(ステップ1704,YES)、仮想スイッチ1012は、エントリに含まれるミラー宛先MACアドレスを取得する。そして、仮想スイッチ1012は、取得したミラー宛先MACアドレスを含むArpリプライを、VM1002へ返信する(ステップ1705)。
次に、仮想スイッチ1012は、制御テーブル927から検索されたエントリのルータIPアドレスを削除し、代わりに初期値“None”を格納する(ステップ1706)。これにより、そのエントリが初期状態に変更される。
図7のネットワーク管理システム701の構成は一例に過ぎず、ネットワーク管理システム701の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。図9の情報処理システムの構成は一例に過ぎず、情報処理システムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。図10のVMシステムの構成は一例に過ぎず、VMシステムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。
図8及び図15〜図17に示したフローチャートは一例に過ぎず、ネットワーク管理システム701又は情報処理システムの構成又は条件に応じて一部の処理を省略又は変更してもよい。
図1〜図5及び図10に示したVM、コンテナ、仮想スイッチ、仮想ポート、仮想NIC、仮想ルータ、及び仮想タップは一例に過ぎず、VMシステムの構成は、VMシステムの用途に応じて変化する。
図6に示したPBRと図11に示したルーティングテーブルは一例に過ぎず、PBR及びルーティングテーブルは、VMシステムの構成に応じて変化する。図12に示した管理テーブルと図13及び図14に示した制御テーブルは一例に過ぎず、管理テーブル及び制御テーブルは、管理者により入力される情報に応じて変化する。
図18は、図9の情報処理装置901〜情報処理装置903のハードウェア構成例を示している。情報処理装置は、コンピュータと呼ばれることもある。図18の情報処理装置は、CPU(Central Processing Unit)1801、メモリ1802、入力装置1803、出力装置1804、補助記憶装置1805、媒体駆動装置1806、及びネットワーク接続装置1807を含む。これらの構成要素はハードウェアであり、バス1808により互いに接続されている。
メモリ1802は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、フラッシュメモリ等の半導体メモリであり、処理に用いられるプログラム及びデータを記憶する。メモリ1802は、図9の記憶部913、記憶部924、又は記憶部933として用いることができる。
CPU1801(プロセッサ)は、例えば、メモリ1802を利用してプログラムを実行することにより、図9の制御部911として動作する。CPU1801は、メモリ1802を利用してプログラムを実行することにより、制御部921及び制御部922としても動作する。CPU1801は、メモリ1802を利用してプログラムを実行することにより、管理部931としても動作する。
入力装置1803は、例えば、キーボード、ポインティングデバイス等であり、ユーザ又はオペレータからの指示や情報の入力に用いられる。出力装置1804は、例えば、表示装置、プリンタ、スピーカ等であり、ユーザ又はオペレータへの問い合わせ及び処理結果の出力に用いられる。処理結果は、図10のコンテナ1023が行うミラーパケットの解析処理の結果であってもよい。
補助記憶装置1805は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。補助記憶装置1805は、ハードディスクドライブ又はフラッシュメモリであってもよい。情報処理装置は、補助記憶装置1805にプログラム及びデータを格納しておき、それらをメモリ1802にロードして使用することができる。
媒体駆動装置1806は、可搬型記録媒体1809を駆動し、その記録内容にアクセスする。可搬型記録媒体1809は、メモリデバイス、フレキシブルディスク、光ディスク、光磁気ディスク等である。可搬型記録媒体1809は、CD−ROM(Compact Disk Read Only Memory)、DVD(Digital Versatile Disk)、又はUSB(Universal Serial Bus)メモリであってもよい。ユーザ又はオペレータは、可搬型記録媒体1809にプログラム及びデータを格納しておき、それらをメモリ1802にロードして使用することができる。
このように、処理に用いられるプログラム及びデータを格納するコンピュータ読み取り可能な記録媒体は、メモリ1802、補助記憶装置1805、及び可搬型記録媒体1809のような、物理的な(非一時的な)記録媒体である。
ネットワーク接続装置1807は、通信ネットワーク904に接続され、通信に伴うデータ変換を行う通信インタフェース回路である。ネットワーク接続装置1807は、図9の通信部912、通信部923、又は通信部932として用いることができる。情報処理装置は、プログラム及びデータを外部の装置からネットワーク接続装置1807を介して受け取り、それらをメモリ1802にロードして使用することができる。
なお、情報処理装置が図18のすべての構成要素を含む必要はなく、用途又は条件に応じて一部の構成要素を省略することも可能である。例えば、図18の情報処理装置が情報処理装置901又は情報処理装置902であり、かつ、ユーザ又はオペレータとのインタフェースが不要である場合は、入力装置1803及び出力装置1804を省略してもよい。また、可搬型記録媒体1809を利用しない場合は、媒体駆動装置1806を省略してもよい。
開示の実施形態とその利点について詳しく説明したが、当業者は、特許請求の範囲に明確に記載した本発明の範囲から逸脱することなく、様々な変更、追加、省略をすることができるであろう。
図4乃至図18を参照しながら説明した実施形態に関し、さらに以下の付記を開示する。
(付記1)
第1コンテナを含む第1仮想マシンと、前記第1コンテナが受信する受信パケット又は前記第1コンテナが送信する送信パケットのミラーパケットを送信する第1仮想スイッチとを動作させる第1制御部と、
前記ミラーパケットをモニタする第2コンテナを含む第2仮想マシンと、前記第1仮想スイッチから前記ミラーパケットを受信して前記第2仮想マシンへ転送する第2仮想スイッチとを動作させる第2制御部と、
前記ミラーパケットの宛先情報と前記第2コンテナに対応するアドレスとを対応付けて記憶する記憶部と、
前記第2仮想マシンが前記第2仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第2コンテナに対応するアドレスを前記第2仮想マシンへ送信する動作を、前記第2仮想スイッチに行わせ、前記第2コンテナに対応するアドレスを用いて前記ミラーパケットを前記第2コンテナへ転送する動作を、前記第2仮想マシンに行わせる第3制御部と、
を備えることを特徴とするネットワーク管理システム。
(付記2)
前記ミラーパケットの宛先情報は、前記ミラーパケットの宛先アドレスに対応する第3コンテナを含む第3仮想マシンのアドレスであり、
前記第3制御部は、前記ミラーパケットの宛先アドレスに基づいて前記第3仮想マシンのアドレスを取得し、前記第3仮想マシンのアドレスに対するアドレス解決を要求する動作を、前記第2仮想マシンに行わせることを特徴とする付記1記載のネットワーク管理システム。
(付記3)
前記ミラーパケットが前記受信パケットのミラーパケットである場合、前記第3コンテナは前記第1コンテナであり、前記第3仮想マシンは前記第1仮想マシンであることを特徴とする付記2記載のネットワーク管理システム。
(付記4)
前記第2制御部は、前記第2仮想スイッチが前記第1仮想スイッチから前記ミラーパケットを受信した場合、前記ミラーパケットの宛先アドレスに基づいて前記第3仮想マシンのアドレスを取得し、前記第3仮想マシンのアドレスと前記第2コンテナに対応するアドレスとを対応付けて前記記憶部に格納する動作を、前記第2仮想スイッチに行わせることを特徴とする付記2又は3記載のネットワーク管理システム。
(付記5)
前記記憶部は、アドレス解決テーブルをさらに記憶し、
前記第3制御部は、前記ミラーパケットの宛先アドレスと前記第2コンテナに対応するアドレスとを対応付けて前記アドレス解決テーブルに格納する動作を、前記第2仮想マシンに行わせることを特徴とする付記2乃至4のいずれか1項に記載のネットワーク管理システム。
(付記6)
前記ミラーパケットの宛先アドレスは、前記第3コンテナのインターネットプロトコルアドレスであり、前記第3仮想マシンのアドレスは、前記第3仮想マシンのインターネットプロトコルアドレスであり、前記第2コンテナに対応するアドレスは、前記第2コンテナへの経路に対応するインタフェースのメディアアクセス制御アドレスであることを特徴とする付記2乃至5のいずれか1項に記載のネットワーク管理システム。
(付記7)
ミラーパケットをモニタする第1コンテナを含む第1仮想マシンと、前記ミラーパケットを前記第1仮想マシンへ転送する仮想スイッチとを動作させる第1制御部と、
前記ミラーパケットの宛先情報と前記第1コンテナに対応するアドレスとを対応付けて記憶する記憶部と、
前記第1仮想マシンが前記仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第1コンテナに対応するアドレスを前記第1仮想マシンへ送信する動作を、前記仮想スイッチに行わせ、前記第1コンテナに対応するアドレスを用いて前記ミラーパケットを前記第1コンテナへ転送する動作を、前記第1仮想マシンに行わせる第2制御部と、
を備えることを特徴とするネットワーク管理装置。
(付記8)
前記ミラーパケットの宛先情報は、前記ミラーパケットの宛先アドレスに対応する第2コンテナを含む第2仮想マシンのアドレスであり、
前記第2制御部は、前記ミラーパケットの宛先アドレスに基づいて前記第2仮想マシンのアドレスを取得し、前記第2仮想マシンのアドレスに対するアドレス解決を要求する動作を、前記第1仮想マシンに行わせることを特徴とする付記7記載のネットワーク管理装置。
(付記9)
前記第1制御部は、前記仮想スイッチが前記ミラーパケットを受信した場合、前記ミラーパケットの宛先アドレスに基づいて前記第2仮想マシンのアドレスを取得し、前記第2仮想マシンのアドレスと前記第1コンテナに対応するアドレスとを対応付けて前記記憶部に格納する動作を、前記仮想スイッチに行わせることを特徴とする付記8記載のネットワーク管理装置。
(付記10)
前記記憶部は、アドレス解決テーブルをさらに記憶し、
前記第2制御部は、前記ミラーパケットの宛先アドレスと前記第1コンテナに対応するアドレスとを対応付けて前記アドレス解決テーブルに格納する動作を、前記第1仮想マシンに行わせることを特徴とする付記8又は9記載のネットワーク管理装置。
(付記11)
前記ミラーパケットの宛先アドレスは、前記第2コンテナのインターネットプロトコルアドレスであり、前記第2仮想マシンのアドレスは、前記第2仮想マシンのインターネットプロトコルアドレスであり、前記第1コンテナに対応するアドレスは、前記第1コンテナへの経路に対応するインタフェースのメディアアクセス制御アドレスであることを特徴とする付記8乃至10のいずれか1項に記載のネットワーク管理装置。
(付記12)
ミラーパケットをモニタする第1コンテナを含む第1仮想マシンと、前記ミラーパケットを前記第1仮想マシンへ転送する仮想スイッチとを動作させ、
前記第1仮想マシンが前記仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第1コンテナに対応するアドレスを前記第1仮想マシンへ送信する動作を、前記仮想スイッチに行わせ、
前記第1コンテナに対応するアドレスを用いて前記ミラーパケットを前記第1コンテナへ転送する動作を、前記第1仮想マシンに行わせる、
処理をコンピュータに実行させるためのネットワーク管理プログラム。
(付記13)
前記ミラーパケットの宛先情報は、前記ミラーパケットの宛先アドレスに対応する第2コンテナを含む第2仮想マシンのアドレスであり、
前記ネットワーク管理プログラムは、
前記ミラーパケットの宛先アドレスに基づいて前記第2仮想マシンのアドレスを取得し、前記第2仮想マシンのアドレスに対するアドレス解決を要求する動作を、前記第1仮想マシンに行わせる処理を、
前記コンピュータにさらに実行させることを特徴とする付記12記載のネットワーク管理プログラム。
(付記14)
前記ネットワーク管理プログラムは、
前記仮想スイッチが前記ミラーパケットを受信した場合、前記ミラーパケットの宛先アドレスに基づいて前記第2仮想マシンのアドレスを取得し、前記第2仮想マシンのアドレスと前記第1コンテナに対応するアドレスとを対応付ける動作を、前記仮想スイッチに行わせる処理を、
前記コンピュータにさらに実行させることを特徴とする付記13記載のネットワーク管理プログラム。
(付記15)
前記ネットワーク管理プログラムは、
前記ミラーパケットの宛先アドレスと前記第1コンテナに対応するアドレスとを対応付けて前記アドレス解決テーブルに格納する動作を、前記第1仮想マシンに行わせる処理を、
前記コンピュータにさらに実行させることを特徴とする付記13又は14記載のネットワーク管理プログラム。
(付記16)
前記ミラーパケットの宛先アドレスは、前記第2コンテナのインターネットプロトコルアドレスであり、前記第2仮想マシンのアドレスは、前記第2仮想マシンのインターネットプロトコルアドレスであり、前記第1コンテナに対応するアドレスは、前記第1コンテナへの経路に対応するインタフェースのメディアアクセス制御アドレスであることを特徴とする付記13乃至15のいずれか1項に記載のネットワーク管理プログラム。
101、401 ホスト装置
111、121、1001〜1003 VM
121、421、1011、1012 仮想スイッチ
131、441、1031 入力パケット
132、442、1032 出力パケット
201、301、501、914、925 ルーティングテーブル
211、212、311、312、431、432、1021〜1024 コンテナ
221、321 仮想ルータ
222、322 BGPデーモン
302 仮想通信ネットワーク
701 ネットワーク管理システム
711 第1制御部
712 第2制御部
713 第3制御部
714 記憶部
721 第1仮想マシン
722 第2仮想マシン
731 第1仮想スイッチ
732 第2仮想スイッチ
741 第1コンテナ
742 第2コンテナ
901〜903 情報処理装置
904 通信ネットワーク
911、921、922 制御部
912、923、932 通信部
913、924、933 記憶部
915、926 ARPテーブル
916、927 制御テーブル
931 管理部
934 管理テーブル
1801 CPU
1802 メモリ
1803 入力装置
1804 出力装置
1805 補助記憶装置
1806 媒体駆動装置
1807 ネットワーク接続装置
1808 バス
1809 可搬型記録媒体

Claims (7)

  1. 第1コンテナを含む第1仮想マシンと、前記第1コンテナが受信する受信パケット又は前記第1コンテナが送信する送信パケットのミラーパケットを送信する第1仮想スイッチとを動作させる第1制御部と、
    前記ミラーパケットをモニタする第2コンテナを含む第2仮想マシンと、前記第1仮想スイッチから前記ミラーパケットを受信して前記第2仮想マシンへ転送する第2仮想スイッチとを動作させる第2制御部と、
    前記ミラーパケットの宛先情報と前記第2コンテナに対応するアドレスとを対応付けて記憶する記憶部と、
    前記第2仮想マシンが前記第2仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第2コンテナに対応するアドレスを前記第2仮想マシンへ送信する動作を、前記第2仮想スイッチに行わせ、前記第2コンテナに対応するアドレスを用いて前記ミラーパケットを前記第2コンテナへ転送する動作を、前記第2仮想マシンに行わせる第3制御部と、
    を備えることを特徴とするネットワーク管理システム。
  2. 前記ミラーパケットの宛先情報は、前記ミラーパケットの宛先アドレスに対応する第3コンテナを含む第3仮想マシンのアドレスであり、前記第3制御部は、前記ミラーパケットの宛先アドレスに基づいて前記第3仮想マシンのアドレスを取得し、前記第3仮想マシンのアドレスに対するアドレス解決を要求する動作を、前記第2仮想マシンに行わせることを特徴とする請求項1記載のネットワーク管理システム。
  3. 前記ミラーパケットが前記受信パケットのミラーパケットである場合、前記第3コンテナは前記第1コンテナであり、前記第3仮想マシンは前記第1仮想マシンであることを特徴とする請求項2記載のネットワーク管理システム。
  4. 前記第2制御部は、前記第2仮想スイッチが前記第1仮想スイッチから前記ミラーパケットを受信した場合、前記ミラーパケットの宛先アドレスに基づいて前記第3仮想マシンのアドレスを取得し、前記第3仮想マシンのアドレスと前記第2コンテナに対応するアドレスとを対応付けて前記記憶部に格納する動作を、前記第2仮想スイッチに行わせることを特徴とする請求項2又は3記載のネットワーク管理システム。
  5. 前記記憶部は、アドレス解決テーブルをさらに記憶し、
    前記第3制御部は、前記ミラーパケットの宛先アドレスと前記第2コンテナに対応するアドレスとを対応付けて前記アドレス解決テーブルに格納する動作を、前記第2仮想マシンに行わせることを特徴とする請求項2乃至4のいずれか1項に記載のネットワーク管理システム。
  6. ミラーパケットをモニタする第1コンテナを含む第1仮想マシンと、前記ミラーパケットを前記第1仮想マシンへ転送する仮想スイッチとを動作させる第1制御部と、
    前記ミラーパケットの宛先情報と前記第1コンテナに対応するアドレスとを対応付けて記憶する記憶部と、
    前記第1仮想マシンが前記仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第1コンテナに対応するアドレスを前記第1仮想マシンへ送信する動作を、前記仮想スイッチに行わせ、前記第1コンテナに対応するアドレスを用いて前記ミラーパケットを前記第1コンテナへ転送する動作を、前記第1仮想マシンに行わせる第2制御部と、
    を備えることを特徴とするネットワーク管理装置。
  7. ミラーパケットをモニタする第1コンテナを含む第1仮想マシンと、前記ミラーパケットを前記第1仮想マシンへ転送する仮想スイッチとを動作させ、
    前記第1仮想マシンが前記仮想スイッチから前記ミラーパケットを受信し、前記ミラーパケットの宛先情報に対するアドレス解決を要求した場合、前記ミラーパケットの宛先情報と対応付けて記憶されている、前記第1コンテナに対応するアドレスを前記第1仮想マシンへ送信する動作を、前記仮想スイッチに行わせ、
    前記第1コンテナに対応するアドレスを用いて前記ミラーパケットを前記第1コンテナへ転送する動作を、前記第1仮想マシンに行わせる、
    処理をコンピュータに実行させるためのネットワーク管理プログラム。
JP2020036567A 2020-03-04 2020-03-04 ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム Ceased JP2021141399A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020036567A JP2021141399A (ja) 2020-03-04 2020-03-04 ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム
US17/158,044 US11516176B2 (en) 2020-03-04 2021-01-26 Network management apparatus, network management system, and non-transitory computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020036567A JP2021141399A (ja) 2020-03-04 2020-03-04 ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム

Publications (1)

Publication Number Publication Date
JP2021141399A true JP2021141399A (ja) 2021-09-16

Family

ID=77556410

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020036567A Ceased JP2021141399A (ja) 2020-03-04 2020-03-04 ネットワーク管理システム、ネットワーク管理装置、及びネットワーク管理プログラム

Country Status (2)

Country Link
US (1) US11516176B2 (ja)
JP (1) JP2021141399A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11658933B2 (en) * 2020-12-31 2023-05-23 Juniper Networks, Inc. Dynamically learning media access control and internet protocol addresses
US11669257B2 (en) * 2021-10-08 2023-06-06 Hewlett Packard Enterprise Development Lp Container management in a storage system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5712870B2 (ja) 2011-08-30 2015-05-07 富士通株式会社 通信方法、通信装置、および通信プログラム
CN106254256B (zh) 2015-06-04 2019-08-16 新华三技术有限公司 基于三层vxlan网关的数据报文转发方法和设备
US9998371B2 (en) * 2015-12-16 2018-06-12 Nicira, Inc. Packet communication between container data compute nodes and a managed forwarding element
US10296370B2 (en) * 2017-05-30 2019-05-21 Nicira, Inc. Port mirroring in a virtualized computing environment
US10530656B2 (en) * 2017-10-19 2020-01-07 Nicira, Inc. Traffic replication in software-defined networking (SDN) environments
JP7104317B2 (ja) * 2018-08-09 2022-07-21 富士通株式会社 ミラーパケット転送プログラム及びミラーパケット転送方法
US11184295B2 (en) * 2018-12-28 2021-11-23 Vmware, Inc. Port mirroring based on remote direct memory access (RDMA) in software-defined networking (SDN) environments
US11184274B2 (en) * 2019-05-31 2021-11-23 Microsoft Technology Licensing, Llc Multi-cast support for a virtual network
JP7226123B2 (ja) * 2019-06-19 2023-02-21 富士通株式会社 情報処理システム、情報処理装置、及び情報処理プログラム
US20200401492A1 (en) * 2019-06-19 2020-12-24 Vmware, Inc. Container-level monitoring

Also Published As

Publication number Publication date
US11516176B2 (en) 2022-11-29
US20210281536A1 (en) 2021-09-09

Similar Documents

Publication Publication Date Title
EP3913480B1 (en) Method and apparatus for determining virtual machine migration
US20150358232A1 (en) Packet Forwarding Method and VXLAN Gateway
US8429304B2 (en) Information processing apparatus and communication control method
JP5398410B2 (ja) ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
CN109587065B (zh) 转发报文的方法、装置、交换机、设备及存储介质
US20090063706A1 (en) Combined Layer 2 Virtual MAC Address with Layer 3 IP Address Routing
US20040243718A1 (en) Packet transfer apparatus with multiple general-purpose processors
JPWO2006067951A1 (ja) アクセス制御装置およびアクセス制御方法
US11516176B2 (en) Network management apparatus, network management system, and non-transitory computer-readable storage medium
US10574570B2 (en) Communication processing method and apparatus
US11757766B2 (en) Reflection route for link local packet processing
US10764234B2 (en) Method and system for host discovery and tracking in a network using associations between hosts and tunnel end points
CN116248595B (zh) 一种云内网与物理网通信的方法、装置、设备以及介质
WO2014142278A1 (ja) 制御装置、通信システム、通信方法及びプログラム
JP2007081877A (ja) ネットワークシステム及びデータ転送方法
JP5580766B2 (ja) サーバ装置、パケット伝送システム、パケット伝送方法及びプログラム
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
CN114827015A (zh) 一种数据转发方法和虚拟化云网络架构
CN106888166B (zh) 一种报文转发方法和装置
US20200213356A1 (en) Malware inspection support system and malware inspection support method
WO2019142327A1 (ja) 中継装置および中継方法
CN111800340A (zh) 数据包转发方法和装置
JP6162831B2 (ja) パケット通信システム、sdn制御装置、パケット通信方法、及びプログラム
WO2018230608A1 (ja) 通信システム、通信制御装置、スイッチ装置、通信制御方法、及び、記録媒体
US11316888B2 (en) Malware inspection support system and malware inspection support method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230927

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20240227