JP4382328B2 - セキュアストレージシステム - Google Patents
セキュアストレージシステム Download PDFInfo
- Publication number
- JP4382328B2 JP4382328B2 JP2002169725A JP2002169725A JP4382328B2 JP 4382328 B2 JP4382328 B2 JP 4382328B2 JP 2002169725 A JP2002169725 A JP 2002169725A JP 2002169725 A JP2002169725 A JP 2002169725A JP 4382328 B2 JP4382328 B2 JP 4382328B2
- Authority
- JP
- Japan
- Prior art keywords
- storage
- conversion device
- client
- closed network
- virtual closed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2094—Redundant storage or storage space
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、クライアントとストレージがネットワークを介して接続されるストレージシステムに関する。
【0002】
【従来の技術】
クライアントとストレージがネットワークを介して接続されるストレージシステムとしては、SAN(Storage Area Network)が知られている。SANはFC(Fiber Channel)プロトコルで通信を行うSANファブリックによって構成され、クライアントはSCSI(Small Computer Systems Interface)コマンドを用いてストレージにアクセスする。このようなSANの構成は、例えば、OSBORNE社2001年発行の「Building Storage Networks SECOND EDITION」(ISBN 0-07-213072-5)(pp.23-30)に記載されている。
【0003】
SANではアクセス権を持たないクライアントからの不正アクセスを防止するために、図27に示すようなゾーニング機能を用いてストレージ11内の論理ボリューム13とFCポート12とをマッピングする。論理ボリューム13とFCポート12とのマッピングによって、FCポート12に接続を許可されたクライアント21のみが論理ボリューム13に対してアクセスが可能になり、FCポート12に接続していないクライアント22は論理ボリューム13にはアクセスできない。
【0004】
ネットワークとしては、LAN(Local Area Network)/MAN(Metropolitan Area Network)/WAN(Wide Area Network)が知られており、これらは、Ethernet(登録商標、以下同じ)、ATM(Asynchronous Transfer Mode)、IP(Internet Protocol)などのネットワークプロトコルが広く用いられている。LAN/MAN/WANに直接又はSANを経由して接続されたストレージへのアクセスには、iSCSIが知られている。iSCSIはネットワークプロトコル上でSCSI命令を交換するプロトコルで、ストレージにブロック単位でアクセスすることができる。iSCSIの詳細はIETF発行の「iSCSI」(dr aft-ietf-ips-iscsi)に記載されている。
【0005】
iSCSIでは、不正アクセスを防止するために、ログイン認証に関するプロトコルが規定されているが、LAN/MAN/WANの通信経路上でのデータの保護に関しては規定されていない。LAN/MAN/WANでは、不特定多数のクライアントがネットワークに接続しているので、不正アクセス防止や盗聴防止などのセキュリティ対策が必要となる。この不正アクセスや盗聴を防ぐ手段としてはVPN(Virtual Private Network)が知られている。
【0006】
VPNは、LAN内で用いられているプライベートネットワークを構成するネットワークプロトコルを、LAN/MAN/WANで用いられている別のネットワークプロトコルのペイロード部分に載せることで、遠隔地のプライベートネットワーク間を仮想的に1つのプライベートネットワークのエリアにする技術である。このVPNをLAN/MAN/WAN上に設定することで、当該VPN上のトラフィックをそれ以外のトラフィックから区別できるようになる。その結果、当該VPN上の端末以外からの不正アクセスや盗聴を防止し、セキュリティを確保することができる。VPNには、ネットワークプロトコルごとに異なる種類が存在する。異なる種類のVPNには接続性はなく、また同じ種類であってもVPNを管理しているドメインが異なると接続が困難になる。そのため、統一された識別子であるVPN−IDを使用することが提案されている。VPN−IDの詳細は、IETF発行の「Virtual Private Networks Identifier」(RFC2685)に記載されている。
【0007】
iSCSIには、LAN/MAN/WANの通信経路上でのデータの保護方式の一例としてIPSecがある。IPSecは、認証又は暗号化のアルゴリズム若しくは鍵管理の仕組みをプロトコル自体から切り離し、さまざまなアルゴリズムをサポートすることができるように規定されている。そのため複数のプロトコルから構成される。IPSecのセキュリティの特徴はデータの改ざん及び漏洩の防止である。IPSecは、接続元と接続先とのクライアントがIPSecに対応していて、かつ中継するネットワークがIPをサポートしていれば通信を確立することができる。そのため特別な装置が必要でなく適用範囲が広いという利点がある。IPSecのセキュリティを使用し、iSCSIに認証を行わせることで、クライアントはLAN/MAN/WANを介してストレージにセキュアにアクセスすることができる。IPSecのアーキテクチャの詳細は、IETF発行の「Security Architecture for the Internet Protocol」(RFC2401)に記載されている。
【0008】
また、ストレージの論理ボリュームの数はSANのゾーニング機能によってFCポートの数に制限されるが、実際にはストレージを利用するクライアント数が少ないため運営上の問題は少ない。
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来技術には以下の問題がある。
【0010】
クライアントがLAN/MAN/WANを介してストレージにアクセスするときは、SANとLAN/MAN/WANでセキュリティを確保する必要がある。SANではゾーニング機能によりセキュリティを確保することができ、LAN/MAN/WANではiSCSIと通信路上のデータ保護方式との組合せによってセキュリティを確保することができる。しかし、IPSecには「なりすまし」を防止することができないという問題があり、どのようなネットワーク環境でも万能というわけではない。特にクライアントがストレージにアクセスするときに経由するネットワークのセキュリティや回線品質の保証ができない広域からのアクセスの場合、それぞれのネットワークに適したデータ保護方式を使用しなければ、より安全で確実なストレージへのアクセスをクライアントに提供することができない。そのため、VPNは単一の種類による構成だけでなく、複数の種類から構成される必要がある。
【0011】
また、クライアントがLAN/MAN/WANを介してストレージにアクセスするとクライアント毎にボリュームを割り当てる必要がある。iSCSIでは1つのFCポートを複数のクライアントにアクセスさせることはできるが、クライアントごとに論理ボリュームを割り当てる機能はない。そのため、クライアントの接続数のスケーラビリティを向上させることはできても、論理ボリューム数のスケーラビリティの向上には問題が残る。
【0012】
【課題を解決するための手段】
上記の課題を解決するために、本発明では、ストレージ及び前記ストレージを使用し、仮想閉域網に接続されたクライアントによって構成されるストレージシステムであって、前記ストレージに設定された論理ボリューム、前記論理ボリューム内のアドレス範囲及び前記仮想閉域網を、前記クライアントに割り当てる管理装置と、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置と、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、前記マッピング手段に記憶された対応付けに基づいて、仮想閉域網からのクライアントの要求をストレージの接続に用いるプロトコルに変換するプロトコル変換手段と、を備えたことを特徴とする。
【0013】
また、ストレージに接続される変換装置であって、前記ストレージを使用するクライアントと仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網で使用されるプロトコルとを変換するプロトコル変換手段と、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、を備えたことを特徴とする。
【0014】
また、ストレージと、仮想閉域網に接続されたクライアントと、前記クライアントと前記仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置とで構成されるストレージシステムに用いられるストレージアクセス方法であって、前記変換装置は、前記クライアントからの前記仮想閉域網を経由したアクセス要求を受信すると、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とが対応付けられたマッピング情報を参照し、前記アクセス要求に含まれる仮想閉域網の識別情報が前記マッピング情報の仮想閉域網の識別情報と一致し、前記アクセス要求に含まれるアクセス範囲が前記マッピング情報のアクセス範囲内にあった場合に、前記変換装置に接続されている前記ストレージにデータを書き込み、前記ストレージから書込終了の応答を受信すると、前記クライアントへ書込終了の応答を返信して、前記クライアントからのデータの書込処理を終了することを特徴とする。
【0015】
【発明の作用と効果】
上記の課題を解決するために、本発明では、ストレージ及び前記ストレージを使用し、仮想閉域網に接続されたクライアントによって構成されるストレージシステムであって、前記ストレージに設定された論理ボリュームによって前記ストレージを管理する管理装置と、前記ストレージに対応するプロトコルと前記仮想閉域網で使用されるプロトコルとを変換する変換装置と、前記クライアントに割り当てられた仮想閉域網と、該仮想閉域網に対応する前記ストレージのアクセス範囲とを記憶したマッピング手段とを備えたので、不正アクセスの防止とボリューム管理のスケーラビリティを同時に実現する。
【0016】
すなわち、クライアントがネットワーク(LAN/MAN/WAN)を介したストレージへのアクセスを行うときに、クライアントが使用している仮想閉域網(VPN)を識別して、ストレージの論理ボリューム内のアドレスへのアクセス範囲を制限する。これによって、不正アクセスや盗聴を防止することができ、かつ論理ボリューム内を分割して複数のクライアントに割り当てることでボリューム管理のスケーラビリティを向上することができる。
【0017】
さらに、変換装置に仮想閉域網とストレージのアクセス範囲とのマッピング(変換テーブル40、49)を設定することにより、仮想閉域網は変換装置とストレージへの正当なアクセス権を持つクライアントとの間にしか設定されないため、仮想閉域網を識別することでクライアントを識別することが可能になり、不正アクセスを防止することができる。
【0018】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施例について説明する。
【0019】
図1に、本発明の第1の実施の形態のストレージシステムの構成を示す。図1に示す第1の実施の形態は、後述する他の実施の形態と異なり、内部ネットワークを前提としたネットワークに適用されるものである。図1において、21及び22はクライアント、23は管理装置、24及び25は変換装置、26及び27はストレージ、50はネットワークを示す。
【0020】
変換装置24には、クライアント21及び22、ストレージ26、変換装置25が接続されている。変換装置24とクライアント21、22及び変換装置25とは、EthernetやATM、IP等で構成されるネットワークプロトコルで接続される。変換装置24からストレージ26へのアクセス要求にはiSCSIが使用される。変換装置24とストレージ26とはFCプロトコルで接続され、ストレージへのアクセス要求にSCSIが使用される。
【0021】
変換装置25には、変換装置24、管理装置23、ストレージ27が接続されている。変換装置25と管理装置23とはEthernetやATM、IP等で構成されるネットワークプロトコルで接続され、変換装置25とストレージ27とはFCプロトコルで接続されている。
【0022】
クライアント21と変換装置24との間、クライアント22と変換装置24との間及び変換装置24と変換装置25との間はVPNが設定されている。
【0023】
管理装置23は、変換装置24及び25、ストレージ26及び27、クライアント21及び22を管理している。また管理装置23は予めクライアント21にストレージ26及び27の仮想ボリュームを割り当て、クライアント21の認証後にVPN−IDを持つVPNを設定し、設定したVPNの情報も管理する。
【0024】
クライアント21及び22には、予め管理装置23のIPアドレスが設定されているか、管理装置23のIPアドレスを知る手段が設けられている。IPアドレスを知る手段として、ディレクトリサービスやWebサービス、UDDI(Universal Description, Discovery and Integration)、DNS(Domain Name System)を使用する。
【0025】
UDDIは、UDDIプロジェクトが開発した仕様で、ARIBA,Inc.とINTERNATIONAL BUSINESS MACHINES CORPORATIONとMICROSOFT CORPORATIONとが著作権を持つ「UDDI Technical White Paper」に記載されている。DNSは、IETF発行の「DOMAIN NAMES - CONCEPTS AND FACILITIES」(RFC1034),「DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION」(RFC1035)に記載されている。
【0026】
図2は、クライアントが仮想ボリュームを利用するための利用手続きのシーケンス図を示す。
【0027】
クライアント21は、ユーザID、パスワード、クライアント情報34を含むクライアント認証情報33を、変換装置24及び25を経由して管理装置23に送信する(処理201)。
【0028】
クライアント情報34は、MAC(Media Access Control)アドレス、VLAN(Virtual LAN)タグ、IPアドレス、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ポート番号、Diffserv(Differentiated Services)で定義されているDSCP(Diffserv Code-Point)、IPv6ヘッダにあるフローラベル等、VPNを通過するアプリケーションやトラフィックを識別することが可能な情報である。
【0029】
VLAN及びVLANタグは、IEEE(The Institute of Electrical and Electronics Engineers,Inc.)発行の「IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks」(ISBN 0-7381-1538-X SS94709)に、DiffservはIEFT発行の「An Architecture for Differentiated Services」(RFC2475)、DSCPはIETF発行の「Definition of the Differentiated Services Field(DS Field) in the IPv4 and IPv6 Headers」(RFC2474)に規定されている。
【0030】
処理101はクライアント認証処理を示す。管理装置23はクライアント21から受信したクライアント認証情報33に基づいて、クライアント21に仮想ボリュームが割り当てられているかどうかを認証する。
【0031】
管理装置23が管理する情報を、図3、図4、図5、図6、図7に示す。
【0032】
図3のクライアント情報テーブル321は管理装置23が管理するクライアント情報の内容を示す。Client−ID304はクライアントの名前、Auth301は認証情報、VPN−ID302は接続するVPNの名前、Vol−ID309は仮想ボリュームの名前を示す。図4の変換装置情報テーブル322は管理装置23が管理する変換装置の内容を示す。TS−ID312は変換装置の名前、Addressは仮想ボリュームのアドレス、ST−ID313はストレージの名前、Vol−ID310は仮想ボリュームの名前を示す。図5の仮想ボリューム情報テーブル323は管理装置23が管理する仮想ボリュームの内容を示す。Range318は仮想ボリュームの仮想アドレスのアドレス範囲を示す。図6のストレージ情報テーブル324は管理装置23が管理するストレージ情報の内容を示す。仮想ボリューム割り当て315は仮想ボリュームがどのアドレスのどの範囲かを示す。図7のVPN設定情報テーブル325は管理装置23が管理するVPN設定情報の内容を示す。利用クライアント情報303は、Client−ID304とInformation305とから構成され、それぞれクライアント名とクライアント情報とが設定される。
【0033】
図2において、管理装置23はクライアント21の認証にクライアント情報テーブル321(図3参照)を使用する。クライアント21からのアクセスがあったとき、管理装置23はクライアント情報テーブル321を参照し、Client−ID304にクライアント21の値を持つエントリ326の中にあるAuth301と認証情報33とを比較する。管理装置23は、クライアント21の認証に成功した場合は、クライアント情報テーブル321に基づいてクライアント21用のVPN−ID31を決定し、認証に失敗した場合はアクセスを拒否する。
【0034】
クライアント21の認証に成功すると、管理装置23はVPN設定情報テーブル325(図7参照)に新しいエントリ308を作成する。エントリ308のVPN−ID302は管理装置23がクライアント21の認証に成功したときに決定したVPN−ID31を設定し、利用クライアント情報303は認証処理101のときに得たクライアント21の情報を設定する。利用クライアント情報303は、Client−ID304とInformation305とから構成され、それぞれクライアント21とクライアント情報34とが設定される。
【0035】
VPN設定情報テーブル325(図7参照)にあるエントリ308のTS−ID306はオリジナル側に設定された変換装置の識別子を示し、TS−ID307はバックアップ側に設定された変換装置の識別子を示す。この識別子は管理装置23がクライアントのIPアドレスや変換装置にアクセスするために必要な情報である。
【0036】
TS−ID306及び307の値を設定するには、まず、クライアント21が利用できる仮想ボリュームを知る必要がある。仮想ボリュームは、クライアント情報テーブル321(図3参照)のエントリ326の中にあるVol−ID309の値として設定されている仮想ボリューム16から得られる。次に、ストレージが接続されている変換装置の識別情報を得る必要がある。これは、仮想ボリュームは単一又は複数の論理ボリュームから構成されているので、仮想ボリュームを構成する論理ボリュームを持つストレージが存在するが、ストレージ自体の情報はエントリ308には必要ないためである。そこで管理装置23は、仮想ボリューム情報テーブル323(図5参照)のVol−ID310から仮想ボリューム16を持つエントリを検索し、Vol−ID310に仮想ボリューム16の値を持つエントリ327のTS−ID311の値、変換装置24及び25を得る。この変換装置24及び25を、VPN設定情報テーブル325(図7)のエントリ308のTS−ID306及び307に設定して、エントリ308は完成する。
【0037】
図8に、クライアント21に割り当てられる仮想ボリュームと実際のセキュアストレージシステムとの関係図を示す。
【0038】
仮想ボリューム16は、ストレージ26内の論理ボリューム13とバックアップ用のストレージ27内の論理ボリューム15とから構成される。クライアント21が仮想ボリューム16の利用を開始すると、管理装置23はVPN−ID31を割り当て、変換装置24をオリジナル側に、変換装置25をバックアップ側に設定し、クライアント21にVPN−ID31と変換装置24の識別情報とを送信する。この識別情報によって、クライアント21が仮想ボリューム16にアクセス要求を送信すると変換装置24が実際のストレージ26の論理ボリューム13へのアクセス要求に変換し、クライアント21がストレージ26にアクセスできる。
【0039】
変換装置24及び25は、クライアント21が仮想ボリュームにアクセスするときのアクセス制限、プロトコル変換、実際のストレージ26及び27に割り当てられている論理アドレスへのアドレス変換、等を行うための変換テーブル40及び49(図9、図10参照)を持つ。
【0040】
図9にこの変換テーブル40の例を示す。VPN識別子41はクライアントが変換装置にアクセスするときのVPNの識別子、アドレス範囲42はクライアントに割り当てられた仮想ボリューム内でのデータの仮想アドレスの範囲、ストレージ識別情報43はクライアントに割り当てられた仮想ボリュームを構成する論理ボリュームを持つストレージの識別情報、オフセット44はストレージ識別情報43に示されるストレージの論理アドレスを仮想アドレスから生成するためのオフセットアドレス、バックアップ変換装置45は管理装置23がクライアントに対してバックアップ用に設定した変換装置の識別情報を示し、変換テーブル40にはこれらの情報の関係が規定されている。
【0041】
ストレージ識別情報43はFCポートを設定する。オフセットアドレス44は、LUN(Logical Unit Number)やLBA(Logical Block Address)となる。
【0042】
図9には、VPN識別子41が同じでアドレス範囲42が異なる場合の一例であるエントリ46及び47が示されている。エントリ46及び47は一つの仮想ボリュームを異なるストレージを割り当てることにより、仮想ボリューム16を複数の論理ボリュームで構成することが可能である場合を示している。
【0043】
エントリ48はアドレス範囲42とバックアップ変換装置45の指定がない場合の一例を示している。アドレス範囲42の指定がない場合はVPN識別子41のみからストレージ識別情報43とオフセットアドレス44が決定する。バックアップ45の指定がないことで、この変換テーブルを持つ変換装置がエントリ48のVPN識別子41に割り当てられている仮想ボリュームのバックアップ側の変換装置に指定されていることを示している。
【0044】
管理装置23は変換装置24に、(1)VPN識別子41にVPN−ID31、(2)アドレス範囲42にクライアント21がアクセスする仮想ボリュームの仮想アドレスのアドレス範囲RANGE1、(3)ストレージ識別情報43にストレージ26の識別情報、(4)オフセット44にストレージ26内の論理アドレスを生成するためのオフセットアドレスOFFSET1、(5)バックアップ変換装置45にバックアップ先の変換装置である変換装置25の識別情報、の5つの項目からなる変換テーブルのエントリ58と、クライアント21のクライアント情報34とを送信する(図2の処理202)。
【0045】
同様に、管理装置23は変換装置25にも、(1)VPN識別子41にVPN−ID31、(2)アドレス範囲42にアドレス範囲RANGE1、(3)ストレージ識別情報43にはストレージ27、(4)オフセット44にはOFFSET2、(5)バックアップ変換装置45には変換装置25がバックアップ側なので値は無し、の5つの項目からなる変換テーブルのエントリ59(図10)と、クライアント21のクライアント情報34とを送信する(図2の処理203)。
【0046】
管理装置23が変換装置24の変換テーブル40のエントリ58を作成する手順は次のようになる。
【0047】
管理装置23は、VPN−ID31、クライアント21、仮想ボリューム16、変換装置24及び25、の値はエントリ308作成時に得ているが、仮想ボリュームが変換装置24のどのストレージのどのアドレス範囲なのかはエントリ308作成時には検索されていないため得ていない。そこで、エントリ308のTS−ID306の値である変換装置24を変換装置情報テーブル322(図4)のTS−ID312から検索し、変換装置24を持つエントリ328を発見する。この検索は仮想ボリューム16を持つストレージを発見することを目的としているので、エントリ328の中のST−ID313の値全てをストレージ情報テーブル324(図6)のST−ID314から検索し、該当するエントリの中の仮想ボリューム割り当て、315のVol−ID316に仮想ボリューム16が記録されているエントリ319を発見する。
【0048】
一連の検索により、エントリ319(図6)の仮想ボリューム315のOffset317をエントリ58(図9)のオフセット44に、仮想ボリューム315のRange318をエントリ58のアドレス範囲42に設定し、該当したエントリ319のST−ID314をエントリ58のストレージ識別情報43に設定する。最後に、VPN−ID31をエントリ58のVPN識別子41に設定し、変換装置25をエントリ58のバックアップ変換装置45に設定することでエントリ58は作成される。同様の手順でエントリ59も作成される。
【0049】
図11には、アクセス要求の仮想アドレスを論理アドレスに変換して、クライアント21が変換装置24を経由してストレージ26とアクセスする概念図を示す。
【0050】
図11において、81はネットワークプロトコルのヘッダの一例、82はVPNのヘッダの一例、83はiSCSIによるアクセス要求の一例、84はSCSIによるアクセス要求の一例、85はFCプロトコルのヘッダの一例を示す。クライアント21は仮想ボリューム16へデータ35を書き込むため、アクセス要求83の書き込み開始アドレス87は仮想アドレスとなっている。実際には論理ボリューム13にデータ35を書き込むため、変換装置24で仮想アドレス87から論理アドレス89へ変換する必要がある。
【0051】
変換装置24は、クライアント21からのアクセス要求を受信すると、VPNのヘッダにあるVPN識別子86を参照し、VPN−ID31を変換テーブル40で照合し、アクセス要求83の仮想アドレス87をオフセットアドレス88と仮想論理変換処理71で論理アドレス89に変換する。次に、変換装置24は変換テーブル40のエントリ58のストレージ識別情報43に設定されているストレージ26を送信先90に設定し、FCプロトコルを使用してアクセス要求84を送信する。
【0052】
図12に仮想論理変換処理を、図13に論理仮想変換処理を示す。図12は仮想アドレスを論理アドレスに変換する処理で、仮想アドレスとオフセットアドレス44とを引数に取る関数73によって論理アドレスに変換される。関数73は仮想アドレスとオフセットアドレス44とによって加算や論理和を行うことで論理アドレスを生成する関数である。図13は論理アドレスを仮想アドレスに変換する処理で、論理アドレスとオフセットアドレス44とを引数に取る関数74によって仮想アドレスに変換される。関数74は論理アドレスとオフセットアドレス44とによって減算や論理積を行うことで仮想アドレスを生成する関数である。
【0053】
図2において、処理102はVPN設定処理を示している。管理装置23は、変換装置24及び25の間にVPN−ID31によるVPN52を設定し、変換装置24とクライアント21との間にもVPN−ID31によるVPN51を設定する。
【0054】
処理103は変換装置24への変換テーブルのエントリ設定処理を示している。管理装置23は、変換装置24が持つ変換テーブル40(図9)に、変換テーブルのエントリ58を設定する。処理103と同様に、処理104は変換装置25への変換テーブルのエントリ設定処理を示し、管理装置23は、変換装置25にも管理装置24に設定したエントリ58と同じく、変換テーブルのエントリ59を設定する。
【0055】
管理装置23は変換装置24及び25から処理102、処理103、処理104、処理106の結果を受信し(処理204)、処理結果が成功の場合、管理装置23は認証応答を変換装置25及び24と経由してクライアント21に送信する(処理205)。処理102、処理103、処理104又は処理106のいずれかに失敗した場合は、VPN51の設定と変換テーブルのエントリ58及び59の設定を解除し、クライアント21のアクセスを拒否する。認証に成功した場合、クライアント21は管理装置23からVPN−ID31と変換装置24の識別情報を受信する(処理205)。
【0056】
クライアント21は、VPN−ID31によるVPN51の設定処理107を行い変換装置24へアクセスして、仮想ボリュームをクライアント21で利用するためのマウント処理を行う(処理206)。処理105は仮想ボリュームのマウント処理を示す。変換装置24はVPN−ID31により変換テーブルのエントリ58からクライアント21用の仮想ボリュームに該当するストレージを26だと認識し、変換装置24がストレージ26のマウント処理を行う。クライアント21は、変換装置24からの応答を受信し(処理207)、仮想ボリュームをマウントして利用を開始する。
【0057】
図14にクライアント21が仮想ボリューム16にデータ35を書き込むときの書き込み処理のシーケンス図を示す。
【0058】
クライアント21はVPN−ID31で設定されたVPN51を経由して、変換装置24へ書き込み命令を含むアクセス要求を送信する(処理211)。変換装置24は、変換テーブル40(図9)のVPN−ID41にVPN−ID31を持つエントリがあるかどうかを照合するアクセス受信処理111を行い、変換テーブル40に設定されているエントリ58を参照し、変換装置25へのバックアップ処理112を行う。処理112の後、変換装置24は変換装置25へアクセス要求を送信し(処理212)、ストレージ26にデータ35の書き込みを行う処理113を行う。
【0059】
変換装置24はストレージ26から書き込み終了の応答を受信するとストレージ応答処理114を行い、ストレージからの応答をクライアント21へ返信する(処理213)。変換装置25は、変換装置24からのアクセス要求を受信すると(処理212)、変換装置24の処理と同じく変換テーブル49によるアクセス受信処理115を行い、VPN−ID31が変換テーブル49のエントリ59のVPN識別子41と一致すると、ストレージ27へデータ35の書き込みを行う処理117を行う。変換装置25は、ストレージ27からの応答を受信すると変換装置24に書き込み終了の応答を返信する(処理214)。変換装置24は変換装置25からの応答を受信するとバックアップ応答処理116を行い、クライアント21からの書き込み処理を完了する。
【0060】
図14の処理111の詳細なフローチャートを図15に示す。図15は、変換装置がアクセス要求を受信したときの処理を示している。
【0061】
処理121は、変換装置がクライアントや変換装置からのアクセス要求を受信したときの処理である。処理122はアクセス要求を配送したVPNのVPN−IDが変換テーブル40又は49(図9、図10)の中のVPN識別子41にあるかどうかを照合する処理である。変換テーブルのVPN識別子41にVPN−IDが存在すれば次の処理123に移行する。一致しなければ処理126に移行し、アクセス要求を拒否する。図14の場合、変換装置24の変換テーブル40の中にはエントリ58が存在するためVPN51のVPN−ID31と一致するので、処理123に移る。処理123は、VPN識別子41から該当するエントリを抜き出し参照できるようにする。
【0062】
処理124は、アクセス要求の命令の種類を判別する。アクセスが「書き込み」の場合は処理125に移行する。アクセスが「読み込み」の場合は処理128に移行する。アクセスが「書き込み」、「読み込み」以外の場合は、処理127に移行する。図14の場合、アクセス要求は「書き込み」命令であるため処理125へ分岐する。
【0063】
処理125は、アクセス要求のアドレス部分と処理123で参照できるようにしたエントリのアドレス範囲を照合するアクセス要求のアドレスが範囲内にあればバックアップ処理112に移行し、範囲外であればアクセス拒否の処理126に移行しクライアント21のアクセスを拒否する。処理124でアクセス要求が読込み命令の場合は処理128にて書き込み処理と同じくアドレス範囲の照合を行う。アドレスが範囲内であればデータ読込み処理172に移行し、範囲外であればアクセス拒否の処理126へ移行する。処理124でのアクセス要求の命令が「読み込み」、「書き込み」のいずれでもない場合は、アクセス要求に依存した処理127を実行する。
【0064】
図14のバックアップ処理112の詳細なフローチャートを図16に示す。図16は、バックアップ側変換装置への処理を示している。
【0065】
処理131は図15の処理123で参照できるようにしたエントリのバックアップ45が設定されているか否かの判断処理を示す。設定されている場合は処理150に移行し、設定がされていない場合はデータ書き込み処理113に移行する。図14の場合、エントリ58(図9)のバックアップ45には変換装置25と設定されているので、変換装置24はバックアップ処理を行ったときに作成されるログ36及び37(図17参照)を検索する処理150を行う。このときオリジナル側の変換装置は、バックアップ側の変換装置にアクセス要求を送信する時に二重に送信することを防ぐために、図17に示す書き込みログテーブル39を持っている。
【0066】
書き込みログテーブル39は、オリジナル側変換装置とバックアップ側変換装置とのデータ書込みの同期を取ることが目的である。ログのエントリは、アクセス要求330、バックアップ変換装置45、VPN識別子41、ストレージ識別情報43、データの開始アドレス334、から構成される。ログ36は、オリジナル側変換装置に接続されているストレージに書き込みを開始したときのログで、ログ37は、オリジナル側変換装置に接続されているストレージへの書き込みを終了したときのログである。
【0067】
処理150は、対象となるログを検索する。ログが見つかればデータ書き込み処理113へ移り、見つからなければ処理151へ移る。処理151は、アクセス要求、バックアップ変換装置45、VPN識別子41、を基にログ36を作成する処理である。図14の場合、クライアント21からの書き込み命令と変換装置25とVPN−ID31とを基にログを作成する。処理152は、バックアップ変換装置45に設定されている変換装置にVPN識別子41を持つVPNを経由してアクセス要求を送信する処理である。図14の場合、VPN51を経由して変換装置25にクライアント21のアクセス要求が送信される。
【0068】
図14のデータ書込処理113の詳細なフローチャートを図18に示す。図18は変換装置に接続されているストレージへの書き込み処理を示す。
【0069】
処理133は、図15で参照できるようにしたエントリのオフセット44が設定されているか否かの判断処理である。設定されていれば処理71に移行し、設定がされていなければ処理134に移行する。図14の場合、エントリ58(図9)のオフセット44にはOFFSET1が設定されているため、変換装置24は仮想論理変換処理71を行う。処理134は、処理71の後、参照できるようにしたエントリのストレージ識別情報43にアクセス要求を送信する。図14の場合、エントリ58のストレージ識別情報43にはストレージ26が設定されているので、変換装置24はストレージ26にアクセス要求を送信する。
【0070】
図14のストレージ応答処理114の詳細を図19に示す。図19は、変換装置24がストレージ26へ書き込み命令を送信した後ストレージ26からの応答を受信したときの処理を示す。
【0071】
処理141は、データ書込み処理の後変換装置がストレージからの応答を待つ。ストレージからの応答を受信すると処理142へ移行する。処理142は図15において参照できるようにしたエントリのバックアップ45が設定されているか否かの判断処理である。設定されていると処理153に移行する。設定がされていないと処理144に移行する。図14の場合、エントリ58のバックアップ45には変換装置25と設定されているため、変換装置24は処理153を行う。
【0072】
処理153は、ストレージへの書き込み処理時のアクセス要求から作成されるログ36が書き込みログテーブル39(図17)に存在するか否かを検索する。ログ36が存在しない場合はバックアップ側の変換装置での書き込み処理が既に完了していると判断し、処理144に移行する。ログ36が残っている場合は、ログ36に実際に書き込んだストレージと論理アドレスの情報を追加する処理154に移行する。図14の場合、ログ36にストレージ26と論理アドレス89を追記し、状態331を「書き込み後」と変更する。
【0073】
処理154は、ログ36をログ37に変更する。処理144は、図15において参照できるようにしたエントリのオフセット44が設定されているか否かの判断処理である。設定されていれば処理72に移行し、設定がされていなければ処理145に移行する。図14の場合、エントリ58のオフセット44にはOFFSET1が設定されているため、変換装置24は論理仮想変換処理72を行う。
【0074】
処理145は、アクセス要求を送信してきたアクセス元へストレージからの応答を送信する。図14の場合、クライアント21がアクセス元なのでクライアント21にストレージ26からの応答をVPN51経由で送信する。クライアント21は変換装置24から応答を受信し(図5の処理213)、書き込み処理を完了する。
【0075】
図14のバックアップ応答処理116の詳細なフローチャートを図20に示す。図20は、バックアップ先の変換装置からの応答処理である。
【0076】
処理161はバックアップ先の変換装置からの応答を受信する処理で、応答を受信すると処理162へ移行する。処理162は、アクセス要求とバックアップ先の変換装置45とVPN識別子41とから該当するログ36及び37(図17参照)を検索する。ログが存在しない場合はバックアップ先の変換装置にアクセス要求を送信したことがないことを示し処理163に移行しアクセスを拒否する。ログが見つかった場合は処理164に移行する。
【0077】
処理164はアクセス要求の処理内容を判断する。処理内容が書き込み終了なら処理165に移行し該当するログの消去を行いバックアップ応答処理116を終了する。
【0078】
処理内容が再送なら処理166に移行する。処理166は、ログの種類の判別処理を行う。ログの種類が実際に書き込んだストレージの情報などが追加された書込終了を示す「書込後」状態のログ(例えば、ログ37)の場合は処理167へ移行し、書き込みが終了していないことを示す「書込前」状態のログ(例えば、ログ36)の場合は処理168に移行する。処理167は、ログ37の情報からアクセス要求を生成しバックアップ先の変換装置へ再送する。
【0079】
一方、処理168は、該当するアクセス要求を実際のストレージに書き込むために仮想アドレスから論理アドレスに変換したアクセス要求を持つプロセスが、変換装置内で稼動している状態にある。そのため、該当するログ36を消去して、保持しているアクセス要求のヘッダの論理アドレスを仮想アドレスに変換してから該当するプロセスにバックアップ開始処理132を再度行わせる。
【0080】
図14の処理214の場合、ストレージ26への書き込みが完了した時点で、変換装置25からの応答が送信される。そのため、書き込みが完了したときのログ37が生成された後にバックアップ応答処理が処理され、バックアップ応答処理116ではログ37が消去されることになる。書き込みログテーブル39によるバックアップ処理の管理により、バックアップ先の変換装置から書き込み終了の応答があるまでログ36又は37は保持されデータの同期が保証される。したがって、クライアント21へは変換装置24での書き込み処理が終わった段階で応答を1度返信するだけでよく、変換装置25からの応答は変換装置24まででクライアント21へは返信しない。また、消去対象になるログを消去せずに残しておくことも可能で、その場合は該当するログの消去時にログの状態331の値を「完了」とする。
【0081】
図21に、クライアント21の仮想ボリューム16からの読込み処理のシーケンス図を示す。
【0082】
クライアント21が仮想ボリューム16からデータを読み込む場合、クライアント21はVPN−ID31で設定されたVPN51を経由して変換装置24へ読み込み命令を含むアクセス要求を送信する(処理271)。変換装置24は、変換テーブル40(図9)のVPN識別子41にVPN−ID31を持つエントリがあるか照合し(処理111)、設定されているエントリ58を参照し、ストレージ26から読み込みを行う(処理172)。変換装置24は、ストレージ26からデータ38を含む読み込み終了の応答を受信すると、クライアント21に応答を返信して(処理272)、クライアント21からの読み込み処理を完了する。
【0083】
図21の処理111は図15に示すアクセス受信処理であり、図21はクライアントがデータを読み込むときの処理であるため、アクセス受信処理111の後、データ読込み処理172に移る。
【0084】
図22は、変換装置に接続されているストレージからのデータ読込み処理(図21の処理172)の詳細なフローチャートを示す。
【0085】
処理132は、図15で参照できるようにしたエントリのオフセット44(図9)が設定されているか否かの判断処理である。設定されていれば処理71に移行する。設定がされていなければ処理133に移行する。図21の場合、エントリ58のオフセット44にOFFSET1が設定されているので変換装置24は仮想論理変換処理71を行う。
【0086】
処理71を行った後、図15において参照できるようにしたエントリのストレージ識別情報43にアクセス要求を送信する処理133を行う。図21の場合、エントリ58のストレージ識別情報43にはストレージ26と設定されているので、変換装置24はストレージ26へアクセス要求を送信する。処理141は、ストレージ26からの応答を受信する処理である。処理72で、変換装置24は論理仮想変換処理を行う。処理144は、データ38を含むアクセス要求をクライアント21へ返信する。
【0087】
処理132でオフセットアドレス44が設定されていない場合は、変換装置はアドレスを変換せずにアクセス要求をストレージ26に中継する。クライアント21の仮想ボリューム利用終了手続きは、クライアント21からVPN−ID31とクライアント認証情報33を管理装置23に送信し、管理装置23は変換装置24及び25からVPN−ID31の変換テーブルのエントリを削除して、クライアント21用のVPN51を解除する。
【0088】
図23には、クライアント21の仮想ボリューム16からデータの読込処理でストレージ26に障害が発生した場合のシーケンス図を示す。
【0089】
クライアント21が仮想ボリューム16からデータの読み込みを行う場合、クライアント21はVPN51を経由して変換装置24へ読み込み命令を送信する(処理271)。変換装置24は変換テーブル40(図9)による照合を行い(処理111)、設定されているエントリ58を参照して、ストレージ26からデータの読み込みを行う。このとき、ストレージ26からの応答がない又は失敗応答を受信すると、ストレージ26に障害が発生したと判断する(処理173)。
【0090】
ストレージ26に障害が発生して読み込みが失敗した場合は、変換装置24はアクセス要求のヘッダの論理アドレス部分を仮想アドレスに変換してから変換装置25に送信する(処理273)。変換装置25は、変換装置24と同様に変換テーブル40による照合を行い(処理174)、エントリ59を参照してストレージ27から読込みを行いデータ38を受け取り(処理175)、変換装置24にデータ38を含むストレージからの応答を転送する(処理274)。
【0091】
変換装置24は、変換装置25から受信したストレージからの応答をクライアント21へ送信する(処理272)。クライアント21の読込み処理が完了した後に、変換装置24は管理装置23へ障害情報を送信する(処理275)。
【0092】
管理装置23は、新しいバックアップ先や差分用の仮想ボリュームを割り当てて、クライアント21からのデータ読み込み/書き込み命令への準備を行う(処理176)。差分用の仮想ボリュームが割り当てられたときは、元のストレージが復旧するまで書き込みのログ37を残しておき、元のストレージが復旧した時点で差分用の仮想ボリュームからログ37を元に最新の状態に戻して同期をとる。この一連の動作によって、障害発生時でも書き込みデータの同期をとることが可能となる。
【0093】
VPNの種類としては、MPLS−VPNや、IP−VPN、IPsecによるVPN、ATMをVPNに使用する場合にはSVC(Switched Virtual Circuit)を想定している。VPNの設定手段としては、COPS(Common Open Policy Service)等ポリシー配布による設定やオペレータの操作による設定を想定している。MPLSはIETF発行の「Multiprotocol Label Switching Architecture」(RFC3031)に、MPLS−VPNはIETF発行の「BGP/MPLS VPNs」(RFC2547)に、COPSはIETF発行の「The COPS(Common Open Policy Service) Protocol」(RFC2748)、「COPS Usage for Policy Provisioning(COPS-PR)」(RFC3084)に記載されている。
【0094】
上記のように構成された第1の実施の形態では、VPN機能を持つクライアント又はネットワークノードと、SAN等で構成されるストレージと、ストレージの容量やストレージに割り当てられた論理ボリュームを管理する手段を持つ管理装置と、ストレージで使用されるSAN等のプロトコルとLAN/MAN/WAN内で使用されるプロトコルを相互変換するプロトコル変換手段と、VPN機能を持つ変換装置と、を備える。また、セキュリティ対策として、クライアントと変換装置との間に単一又は複数の種類によるVPNを設定し、変換装置とストレージとの間にゾーニング機能によるマッピングを設定し、変換装置にVPNとストレージのアクセス範囲とのマッピングを設定するマッピング手段を備える。VPNは変換装置とストレージへの正当なアクセス権を持つクライアントとの間にしか設定されないため、VPNを識別することでクライアントを識別することが可能になる。VPNの識別にはVPN−IDを使用し、ストレージのアクセス範囲は論理ボリューム内のアドレスを使用する。これによって、不正アクセスの防止とボリューム管理のスケーラビリティを同時に実現することができる。
【0095】
すなわち、クライアントと変換装置との間に設定されたVPNはストレージ側には設定されないが、変換装置とストレージとの間に設定されたSANはLAN/MAN/WANに接続されたクライアントと直接通信することができないため、変換装置を必ず経由しなければならず、変換装置にVPN−IDが設定されていないクライアントからのストレージへのアクセスは変換装置で拒否するので、変換装置からストレージ側へのセキュリティは確保される。また、VPN−IDを使用して、VPNとストレージのアクセス範囲とのマッピング手段をすることによって、ストレージへのアクセス制限だけでなくVPN−IDごとにストレージのアクセス範囲が管理できるため、SANのポート数に制限されるボリューム監視よりもクライアントへのボリューム割り当て数を増加させることが可能になる。これによって、不正アクセスや盗聴を防止することができ、かつ論理ボリューム内を分割して複数のクライアントに割り当てることでボリューム管理のスケーラビリティを向上することができる。さらに、変換装置24をオリジナル側、変換装置25をバックアップ側に設定し、オリジナル側のストレージ26に障害が発生した場合には、管理装置23によってその障害を検出し、バックアップ側のストレージ27によって障害の起こったデータを救済することができる。
【0096】
図24には、本発明の第2の実施の形態のストレージシステムを示す。21及び22はクライアント、23は管理装置、24及び25は変換装置、26及び27はストレージ、28及び29はネットワークノード、30はネットワーク制御装置である。ネットワークノード28、29はルータやスイッチ等と呼ばれるものでVPNの設定が可能なものとする。ネットワーク制御装置30は変換装置24及び25やネットワークノード28及び29に対してVPNの設定を行い、VPN−ID31を持つトラフィックに対して通信品質(VPNのトラフィック、QOSの優先設定等)の設定や冗長構成を設定する。クライアント21及び22にはVPNを設定する手段を設ける必要はない。50はネットワークを示しており、該ネットワークにはクライアントからのストレージへのアクセスの障害になるトラフィックが流れており、ネットワーク制御装置30によって、ネットワークに対して帯域幅確保などの通信品質の設定を行う。
【0097】
変換装置24には、変換装置25、ストレージ26、ネットワークノード29が接続されている。変換装置24と変換装置25及びネットワークノード26とはネットワークプロトコルによって、変換装置24とストレージ26とはFCプロトコルによって接続される。ネットワークノード29にはネットワークノード28、ネットワーク制御装置30がネットワークプロトコルで接続されている。ネットワークノード28にはクライアント21及び22がネットワークプロトコルで接続されている。変換装置25には、管理装置23とストレージ27とが接続され、変換装置25と管理装置23とはネットワークプロトコルで、変換装置25とストレージ27とはFCプロトコルで接続される。
【0098】
ネットワークノード28及び29の間、ネットワークノード29と変換装置24との間、変換装置24及び25の間にはネットワーク制御装置30によって、VPNの設定が可能である。また、ネットワーク制御装置30はネットワークノード28にクライアント情報とVPNへのマッピングとを設定することができる。
【0099】
第2の実施の形態のストレージシステムによると、クライアント21は、ネットワーク上にある割り当てられた仮想ボリュームを利用するための利用手続きを行うために、第1の実施の形態のストレージシステムと同様にクライアント認証情報33を管理装置23に送信する。管理装置23はクライアント21の認証に成功した場合、クライアント21用のVPN−ID31を決定し、第1の実施例と同じく変換装置24及び25に変換テーブル40のエントリ58及び59とクライアント情報34を設定し、ネットワーク制御装置30にクライアント21のクライアント情報34とVPN−ID31を送信し、クライアント21にVPN−ID31と変換装置24のアドレスを送信する。
【0100】
ネットワーク制御装置30はVPN−ID31によるVPN51をネットワークノード28及び29、変換装置24の間に設定し、VPN52を変換装置24及び25の間に設定し、ネットワークノード28には、クライアント21のクライアント情報34によるトラフィックとクライアント21用のVPN51へのマッピングを設定する。以降の処理は、前記第1の実施例と同様である。
【0101】
第2の実施例をセキュリティ面で見た場合、クライアント21とネットワークノード28との間にはVPN51は設定されない点が問題になりそうだが、ネットワークノード28でクライアント21を識別して他のトラフィックとは区別するため、セキュリティは確保される。
【0102】
第2の実施例では、帯域幅確保や通信パスの設定には、MPLS(Multiprotocol Label Switching)やMPLSの拡張プロトコル、GMPLS(Generalized MPLS)シグナリング、ポリシールーティング、Diffserv、RSVP(Resource Reservation Protocol)、ATM(Asynchronous Transfer Mode)のVP(Virtual Path)/VC(Virtual Channel)設定を使用する。GMPLSシグナリングはIETF発行の「Generalized MPLS - Signaling Functional Description」(draft-ietf-mpls-generalized-signaling)に記載されている。
【0103】
ネットワーク制御装置30と管理装置23との間のインターフェースには既にネットワークを管理するサーバがあり任意のVPN−IDによるVPNの設定が可能であれば、そのサーバへの設定手段を使用する。ネットワーク制御装置30に外部からの設定手段がない場合には、予めVPNを設定しておきクライアントからの利用手続きを処理した段階でVPNが有効になるように変換装置に該当する変換テーブルのエントリを設定することで有効になるものとする。
【0104】
上記のように構成された第2の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、ネットワークノードにクライアントとVPNのマッピングを設定することで、クライアントに対して直接VPNを設定できない場合でもストレージへのアクセスのセキュリティを確保することができる。
【0105】
図25に、本発明の第3の実施の形態のストレージシステムを示す。ネットワークノード28はスイッチに相当し、VPNの機能を持たないがVLANの設定が可能である。ネットワークノード29は、ルータに相当するもので、VLANとVPNの機能を持ち、VLANとVPNのマッピングが可能である。なお、第1又は第2の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0106】
ネットワークノード28及び29との間はVLANで接続される。ネットワークノード29と変換装置24との間と、変換装置24及び25との間はVPNで接続される。ネットワーク制御装置30はネットワークノード29、変換装置24及び25にVPNを、ネットワークノード28及び29にVLANを設定することができ、ネットワークノード28にはクライアント情報とVLANへのマッピングを、ネットワークノード29にはVLANとVPNへの設定することができる。
【0107】
管理装置23からクライアント21用のVPN51の設定要求を受信した場合は、ネットワーク制御装置30は、変換装置24とネットワークノード29の間にVPN51を設定し、変換装置24と変換装置25の間にVPN52を設定し、ネットワークノード28及び29の間にVLAN53を設定する。VLAN53は管理装置23から受信したVPN−ID31と対応させてネットワーク制御装置30で決定、管理する。ネットワークノード28には、クライアント21のクライアント情報33によるトラフィックとクライアント21用のVLAN53へのマッピングを設定し、ネットワークノード29には、クライアント21用のVLAN53とクライアント21用のVPN51へのマッピングを設定する。その他の処理は第2の実施の形態と同様である。
【0108】
上記のように構成された第3の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、クライアントとネットワークノードとの間にVLANを設定しても、VPN−IDを用いてVLANとVPNとのマッピングを行うことにより、VLAN上のクライアントからストレージへのアクセスのセキュリティを確保することができる。
【0109】
図26に、本発明の第4の実施の形態のストレージシステムを示す。なお、第1〜第3の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0110】
21及び22はクライアント、24及び25は変換装置、26及び27はストレージ、23は管理装置、30はネットワーク制御装置、28はネットワークノード、7はLANやSANで構成されている内部ネットワーク、8はMANやWANなどの外部ネットワークである。変換装置24及び25、ネットワークノード28にはVPNの設定が可能である。内部ネットワーク7、外部ネットワーク8には各ネットワークに1つずつネットワーク制御装置30が配置されており、ネットワーク制御装置30は、各ネットワーク内のネットワークノード28や変換装置24及び25に対して、管理装置23から送信されたVPN−ID31によるVPN51及び52の設定、解除やVLANとVPNのマッピング、クライアント情報に基づくVPN/VLANの設定が行えるものとする。
【0111】
上記のように構成された第4の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、VLANを設定したMANやWANなどの大規模なネットワーク上のクライアントからストレージへのアクセスのセキュリティを確保することができる。
【0112】
第1の実施の形態のストレージシステムの変形例である第5の実施の形態について説明する。第5の実施の形態のストレージシステムは、変換装置25の変換テーブル49のエントリ59(図10)内で、バックアップ変換装置45に変換装置24を指定したものであり、変換装置25が変換装置24のバックアップ装置になると共に、変換装置24が変換装置25のバックアップとなる。なお、第1の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0113】
変換装置24は変換装置25から見るとバックアップ変換装置となるため、変換装置25もオリジナルの変換装置24と同様に、別のクライアントのアクセスを処理して負荷を分散させることができる。管理装置23はクライアントからの仮想ボリューム利用手続きの認証応答でクライアントのアクセスが分散されるように、もしくはアクセス速度が短くなるように、適切な変換装置の識別情報を返送することができる。
【0114】
上記のように構成された第5の実施の形態のセキュリティストレージシステムでは、前記第1の実施の形態の効果に加え、変換装置24は変換装置25をバックアップに、変換装置25は変換装置24をバックアップに、それぞれ設定するので、お互いへのアクセスが分散され、アクセス速度を短くすることができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における、ネットワーク構成図である。
【図2】本発明の第1の実施の形態における、クライアントによる仮想ボリュームの利用手続きを示すシーケンス図である。
【図3】本発明の第1の実施の形態における、管理装置が管理するクライアント情報テーブルの説明図である。
【図4】本発明の第1の実施の形態における、管理装置が管理する変換装置情報テーブルの説明図である。
【図5】本発明の第1の実施の形態における、管理装置が管理する仮想ボリューム情報テーブルの説明図である。
【図6】本発明の第1の実施の形態における、管理装置が管理するストレージ情報テーブルの説明図である。
【図7】本発明の第1の実施の形態における、管理装置が管理するVPN設定情報テーブルの説明図である。
【図8】本発明の第1の実施の形態における、仮想ボリュームと論理ボリュームとの関係の説明図である。
【図9】本発明の第1の実施の形態における、変換装置24の変換テーブルの説明図である。
【図10】本発明の第1の実施の形態における、変換装置25の変換テーブルの説明図である。
【図11】本発明の第1の実施の形態における、クライアントのアクセス要求のアドレス変換と通信プロトコル変換の説明図である。
【図12】本発明の第1の実施の形態における、仮想アドレスから論理アドレスへのアドレス変換処理のフローチャートである。
【図13】本発明の第1の実施の形態における、論理アドレスから仮想アドレスへのアドレス変換処理のフローチャートである。
【図14】本発明の第1の実施の形態における、クライアントによる仮想ボリュームへの書き込み処理のシーケンス図である。
【図15】本発明の第1の実施の形態における、変換装置によるクライアントからの仮想ボリュームへのアクセス受信処理のフローチャートである。
【図16】本発明の第1の実施の形態における、変換装置によるバックアップ側変換装置へのバックアップ処理のフローチャートである。
【図17】本発明の第1の実施の形態における、ログテーブルの説明図である。
【図18】本発明の第1の実施の形態における、変換装置によるストレージへのデータ書込み処理のフローチャートである。
【図19】本発明の第1の実施の形態における、変換装置によるストレージ応答処理のフローチャートである。
【図20】本発明の第1の実施の形態における、変換装置によるバックアップ応答処理のフローチャートである。
【図21】本発明の第1の実施の形態における、クライアントによる仮想ボリュームからの読込み処理のシーケンス図である。
【図22】本発明の第1の実施の形態における、変換装置によるデータ読込み処理のフローチャートである。
【図23】本発明の第1の実施の形態における、障害発生時の処理のシーケンス図である。
【図24】本発明の第2の実施の形態における、ネットワーク構成図である。
【図25】本発明の第3の実施の形態における、ネットワーク構成図である。
【図26】本発明の第4の実施の形態における、複数のネットワークを含むネットワーク構成図である。
【図27】従来技術のFCポートを用いたボリューム管理の説明図である。
【符号の説明】
7 内部ネットワーク(LAN/SAN)
8 外部ネットワーク(MAN/WAN)
11 ストレージ
12、14 FCポート
13、15 ストレージ内の論理ボリューム
16 仮想ボリューム
21、22 クライアント
24、25 変換装置
26、27 ストレージ
28、29 ネットワークノード(ルータ、スイッチ)
30 ネットワーク制御装置
31 クライアント21用VPN−ID
33 クライアント21の認証情報
34 クライアント21の識別情報
35 ストレージに書き込むデータ
36 変換装置25との同期用ログ
37 ストレージ26へ書き込みが完了したときの、変換装置25との同期用ログ
38 ストレージから読み出したデータ
39 同期用ログを管理する書き込みログテーブル
40 変換装置24が持つ変換テーブル
41 対象となるVPN−ID
42 対象となる仮想ボリュームのアドレス範囲
43 仮想ボリュームを構成している論理ボリュームを持つストレージ識別情報
44 ストレージ43の論理アドレスを仮想アドレスから生成するためのオフセットアドレス
45 バックアップ側の変換装置の識別情報
46 変換テーブルのエントリで、仮想アドレスのアドレス範囲によって論理ボリュームが異なる場合の例
47 変換テーブルのエントリで、仮想アドレスのアドレス範囲によって論理ボリュームが異なる場合の例
48 変換テーブルのエントリで、バックアップ用の変換装置の識別情報がない場合の例
49 変換装置25が持つ変換テーブル
50 ネットワーク
51 クライアント21用のVPN
52 VPN−ID31を持つ変換装置24,25間のVPN
53 クライアント21用のVLAN
58 実施例で変換装置24に追加される変換テーブルのエントリ
59 実施例で変換装置25に追加される変換テーブルのエントリ
73 仮想アドレスから論理アドレスに変換する関数
74 論理アドレスから仮想アドレスに変換する関数
【発明の属する技術分野】
本発明は、クライアントとストレージがネットワークを介して接続されるストレージシステムに関する。
【0002】
【従来の技術】
クライアントとストレージがネットワークを介して接続されるストレージシステムとしては、SAN(Storage Area Network)が知られている。SANはFC(Fiber Channel)プロトコルで通信を行うSANファブリックによって構成され、クライアントはSCSI(Small Computer Systems Interface)コマンドを用いてストレージにアクセスする。このようなSANの構成は、例えば、OSBORNE社2001年発行の「Building Storage Networks SECOND EDITION」(ISBN 0-07-213072-5)(pp.23-30)に記載されている。
【0003】
SANではアクセス権を持たないクライアントからの不正アクセスを防止するために、図27に示すようなゾーニング機能を用いてストレージ11内の論理ボリューム13とFCポート12とをマッピングする。論理ボリューム13とFCポート12とのマッピングによって、FCポート12に接続を許可されたクライアント21のみが論理ボリューム13に対してアクセスが可能になり、FCポート12に接続していないクライアント22は論理ボリューム13にはアクセスできない。
【0004】
ネットワークとしては、LAN(Local Area Network)/MAN(Metropolitan Area Network)/WAN(Wide Area Network)が知られており、これらは、Ethernet(登録商標、以下同じ)、ATM(Asynchronous Transfer Mode)、IP(Internet Protocol)などのネットワークプロトコルが広く用いられている。LAN/MAN/WANに直接又はSANを経由して接続されたストレージへのアクセスには、iSCSIが知られている。iSCSIはネットワークプロトコル上でSCSI命令を交換するプロトコルで、ストレージにブロック単位でアクセスすることができる。iSCSIの詳細はIETF発行の「iSCSI」(dr aft-ietf-ips-iscsi)に記載されている。
【0005】
iSCSIでは、不正アクセスを防止するために、ログイン認証に関するプロトコルが規定されているが、LAN/MAN/WANの通信経路上でのデータの保護に関しては規定されていない。LAN/MAN/WANでは、不特定多数のクライアントがネットワークに接続しているので、不正アクセス防止や盗聴防止などのセキュリティ対策が必要となる。この不正アクセスや盗聴を防ぐ手段としてはVPN(Virtual Private Network)が知られている。
【0006】
VPNは、LAN内で用いられているプライベートネットワークを構成するネットワークプロトコルを、LAN/MAN/WANで用いられている別のネットワークプロトコルのペイロード部分に載せることで、遠隔地のプライベートネットワーク間を仮想的に1つのプライベートネットワークのエリアにする技術である。このVPNをLAN/MAN/WAN上に設定することで、当該VPN上のトラフィックをそれ以外のトラフィックから区別できるようになる。その結果、当該VPN上の端末以外からの不正アクセスや盗聴を防止し、セキュリティを確保することができる。VPNには、ネットワークプロトコルごとに異なる種類が存在する。異なる種類のVPNには接続性はなく、また同じ種類であってもVPNを管理しているドメインが異なると接続が困難になる。そのため、統一された識別子であるVPN−IDを使用することが提案されている。VPN−IDの詳細は、IETF発行の「Virtual Private Networks Identifier」(RFC2685)に記載されている。
【0007】
iSCSIには、LAN/MAN/WANの通信経路上でのデータの保護方式の一例としてIPSecがある。IPSecは、認証又は暗号化のアルゴリズム若しくは鍵管理の仕組みをプロトコル自体から切り離し、さまざまなアルゴリズムをサポートすることができるように規定されている。そのため複数のプロトコルから構成される。IPSecのセキュリティの特徴はデータの改ざん及び漏洩の防止である。IPSecは、接続元と接続先とのクライアントがIPSecに対応していて、かつ中継するネットワークがIPをサポートしていれば通信を確立することができる。そのため特別な装置が必要でなく適用範囲が広いという利点がある。IPSecのセキュリティを使用し、iSCSIに認証を行わせることで、クライアントはLAN/MAN/WANを介してストレージにセキュアにアクセスすることができる。IPSecのアーキテクチャの詳細は、IETF発行の「Security Architecture for the Internet Protocol」(RFC2401)に記載されている。
【0008】
また、ストレージの論理ボリュームの数はSANのゾーニング機能によってFCポートの数に制限されるが、実際にはストレージを利用するクライアント数が少ないため運営上の問題は少ない。
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来技術には以下の問題がある。
【0010】
クライアントがLAN/MAN/WANを介してストレージにアクセスするときは、SANとLAN/MAN/WANでセキュリティを確保する必要がある。SANではゾーニング機能によりセキュリティを確保することができ、LAN/MAN/WANではiSCSIと通信路上のデータ保護方式との組合せによってセキュリティを確保することができる。しかし、IPSecには「なりすまし」を防止することができないという問題があり、どのようなネットワーク環境でも万能というわけではない。特にクライアントがストレージにアクセスするときに経由するネットワークのセキュリティや回線品質の保証ができない広域からのアクセスの場合、それぞれのネットワークに適したデータ保護方式を使用しなければ、より安全で確実なストレージへのアクセスをクライアントに提供することができない。そのため、VPNは単一の種類による構成だけでなく、複数の種類から構成される必要がある。
【0011】
また、クライアントがLAN/MAN/WANを介してストレージにアクセスするとクライアント毎にボリュームを割り当てる必要がある。iSCSIでは1つのFCポートを複数のクライアントにアクセスさせることはできるが、クライアントごとに論理ボリュームを割り当てる機能はない。そのため、クライアントの接続数のスケーラビリティを向上させることはできても、論理ボリューム数のスケーラビリティの向上には問題が残る。
【0012】
【課題を解決するための手段】
上記の課題を解決するために、本発明では、ストレージ及び前記ストレージを使用し、仮想閉域網に接続されたクライアントによって構成されるストレージシステムであって、前記ストレージに設定された論理ボリューム、前記論理ボリューム内のアドレス範囲及び前記仮想閉域網を、前記クライアントに割り当てる管理装置と、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置と、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、前記マッピング手段に記憶された対応付けに基づいて、仮想閉域網からのクライアントの要求をストレージの接続に用いるプロトコルに変換するプロトコル変換手段と、を備えたことを特徴とする。
【0013】
また、ストレージに接続される変換装置であって、前記ストレージを使用するクライアントと仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網で使用されるプロトコルとを変換するプロトコル変換手段と、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、を備えたことを特徴とする。
【0014】
また、ストレージと、仮想閉域網に接続されたクライアントと、前記クライアントと前記仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置とで構成されるストレージシステムに用いられるストレージアクセス方法であって、前記変換装置は、前記クライアントからの前記仮想閉域網を経由したアクセス要求を受信すると、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とが対応付けられたマッピング情報を参照し、前記アクセス要求に含まれる仮想閉域網の識別情報が前記マッピング情報の仮想閉域網の識別情報と一致し、前記アクセス要求に含まれるアクセス範囲が前記マッピング情報のアクセス範囲内にあった場合に、前記変換装置に接続されている前記ストレージにデータを書き込み、前記ストレージから書込終了の応答を受信すると、前記クライアントへ書込終了の応答を返信して、前記クライアントからのデータの書込処理を終了することを特徴とする。
【0015】
【発明の作用と効果】
上記の課題を解決するために、本発明では、ストレージ及び前記ストレージを使用し、仮想閉域網に接続されたクライアントによって構成されるストレージシステムであって、前記ストレージに設定された論理ボリュームによって前記ストレージを管理する管理装置と、前記ストレージに対応するプロトコルと前記仮想閉域網で使用されるプロトコルとを変換する変換装置と、前記クライアントに割り当てられた仮想閉域網と、該仮想閉域網に対応する前記ストレージのアクセス範囲とを記憶したマッピング手段とを備えたので、不正アクセスの防止とボリューム管理のスケーラビリティを同時に実現する。
【0016】
すなわち、クライアントがネットワーク(LAN/MAN/WAN)を介したストレージへのアクセスを行うときに、クライアントが使用している仮想閉域網(VPN)を識別して、ストレージの論理ボリューム内のアドレスへのアクセス範囲を制限する。これによって、不正アクセスや盗聴を防止することができ、かつ論理ボリューム内を分割して複数のクライアントに割り当てることでボリューム管理のスケーラビリティを向上することができる。
【0017】
さらに、変換装置に仮想閉域網とストレージのアクセス範囲とのマッピング(変換テーブル40、49)を設定することにより、仮想閉域網は変換装置とストレージへの正当なアクセス権を持つクライアントとの間にしか設定されないため、仮想閉域網を識別することでクライアントを識別することが可能になり、不正アクセスを防止することができる。
【0018】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施例について説明する。
【0019】
図1に、本発明の第1の実施の形態のストレージシステムの構成を示す。図1に示す第1の実施の形態は、後述する他の実施の形態と異なり、内部ネットワークを前提としたネットワークに適用されるものである。図1において、21及び22はクライアント、23は管理装置、24及び25は変換装置、26及び27はストレージ、50はネットワークを示す。
【0020】
変換装置24には、クライアント21及び22、ストレージ26、変換装置25が接続されている。変換装置24とクライアント21、22及び変換装置25とは、EthernetやATM、IP等で構成されるネットワークプロトコルで接続される。変換装置24からストレージ26へのアクセス要求にはiSCSIが使用される。変換装置24とストレージ26とはFCプロトコルで接続され、ストレージへのアクセス要求にSCSIが使用される。
【0021】
変換装置25には、変換装置24、管理装置23、ストレージ27が接続されている。変換装置25と管理装置23とはEthernetやATM、IP等で構成されるネットワークプロトコルで接続され、変換装置25とストレージ27とはFCプロトコルで接続されている。
【0022】
クライアント21と変換装置24との間、クライアント22と変換装置24との間及び変換装置24と変換装置25との間はVPNが設定されている。
【0023】
管理装置23は、変換装置24及び25、ストレージ26及び27、クライアント21及び22を管理している。また管理装置23は予めクライアント21にストレージ26及び27の仮想ボリュームを割り当て、クライアント21の認証後にVPN−IDを持つVPNを設定し、設定したVPNの情報も管理する。
【0024】
クライアント21及び22には、予め管理装置23のIPアドレスが設定されているか、管理装置23のIPアドレスを知る手段が設けられている。IPアドレスを知る手段として、ディレクトリサービスやWebサービス、UDDI(Universal Description, Discovery and Integration)、DNS(Domain Name System)を使用する。
【0025】
UDDIは、UDDIプロジェクトが開発した仕様で、ARIBA,Inc.とINTERNATIONAL BUSINESS MACHINES CORPORATIONとMICROSOFT CORPORATIONとが著作権を持つ「UDDI Technical White Paper」に記載されている。DNSは、IETF発行の「DOMAIN NAMES - CONCEPTS AND FACILITIES」(RFC1034),「DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION」(RFC1035)に記載されている。
【0026】
図2は、クライアントが仮想ボリュームを利用するための利用手続きのシーケンス図を示す。
【0027】
クライアント21は、ユーザID、パスワード、クライアント情報34を含むクライアント認証情報33を、変換装置24及び25を経由して管理装置23に送信する(処理201)。
【0028】
クライアント情報34は、MAC(Media Access Control)アドレス、VLAN(Virtual LAN)タグ、IPアドレス、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ポート番号、Diffserv(Differentiated Services)で定義されているDSCP(Diffserv Code-Point)、IPv6ヘッダにあるフローラベル等、VPNを通過するアプリケーションやトラフィックを識別することが可能な情報である。
【0029】
VLAN及びVLANタグは、IEEE(The Institute of Electrical and Electronics Engineers,Inc.)発行の「IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks」(ISBN 0-7381-1538-X SS94709)に、DiffservはIEFT発行の「An Architecture for Differentiated Services」(RFC2475)、DSCPはIETF発行の「Definition of the Differentiated Services Field(DS Field) in the IPv4 and IPv6 Headers」(RFC2474)に規定されている。
【0030】
処理101はクライアント認証処理を示す。管理装置23はクライアント21から受信したクライアント認証情報33に基づいて、クライアント21に仮想ボリュームが割り当てられているかどうかを認証する。
【0031】
管理装置23が管理する情報を、図3、図4、図5、図6、図7に示す。
【0032】
図3のクライアント情報テーブル321は管理装置23が管理するクライアント情報の内容を示す。Client−ID304はクライアントの名前、Auth301は認証情報、VPN−ID302は接続するVPNの名前、Vol−ID309は仮想ボリュームの名前を示す。図4の変換装置情報テーブル322は管理装置23が管理する変換装置の内容を示す。TS−ID312は変換装置の名前、Addressは仮想ボリュームのアドレス、ST−ID313はストレージの名前、Vol−ID310は仮想ボリュームの名前を示す。図5の仮想ボリューム情報テーブル323は管理装置23が管理する仮想ボリュームの内容を示す。Range318は仮想ボリュームの仮想アドレスのアドレス範囲を示す。図6のストレージ情報テーブル324は管理装置23が管理するストレージ情報の内容を示す。仮想ボリューム割り当て315は仮想ボリュームがどのアドレスのどの範囲かを示す。図7のVPN設定情報テーブル325は管理装置23が管理するVPN設定情報の内容を示す。利用クライアント情報303は、Client−ID304とInformation305とから構成され、それぞれクライアント名とクライアント情報とが設定される。
【0033】
図2において、管理装置23はクライアント21の認証にクライアント情報テーブル321(図3参照)を使用する。クライアント21からのアクセスがあったとき、管理装置23はクライアント情報テーブル321を参照し、Client−ID304にクライアント21の値を持つエントリ326の中にあるAuth301と認証情報33とを比較する。管理装置23は、クライアント21の認証に成功した場合は、クライアント情報テーブル321に基づいてクライアント21用のVPN−ID31を決定し、認証に失敗した場合はアクセスを拒否する。
【0034】
クライアント21の認証に成功すると、管理装置23はVPN設定情報テーブル325(図7参照)に新しいエントリ308を作成する。エントリ308のVPN−ID302は管理装置23がクライアント21の認証に成功したときに決定したVPN−ID31を設定し、利用クライアント情報303は認証処理101のときに得たクライアント21の情報を設定する。利用クライアント情報303は、Client−ID304とInformation305とから構成され、それぞれクライアント21とクライアント情報34とが設定される。
【0035】
VPN設定情報テーブル325(図7参照)にあるエントリ308のTS−ID306はオリジナル側に設定された変換装置の識別子を示し、TS−ID307はバックアップ側に設定された変換装置の識別子を示す。この識別子は管理装置23がクライアントのIPアドレスや変換装置にアクセスするために必要な情報である。
【0036】
TS−ID306及び307の値を設定するには、まず、クライアント21が利用できる仮想ボリュームを知る必要がある。仮想ボリュームは、クライアント情報テーブル321(図3参照)のエントリ326の中にあるVol−ID309の値として設定されている仮想ボリューム16から得られる。次に、ストレージが接続されている変換装置の識別情報を得る必要がある。これは、仮想ボリュームは単一又は複数の論理ボリュームから構成されているので、仮想ボリュームを構成する論理ボリュームを持つストレージが存在するが、ストレージ自体の情報はエントリ308には必要ないためである。そこで管理装置23は、仮想ボリューム情報テーブル323(図5参照)のVol−ID310から仮想ボリューム16を持つエントリを検索し、Vol−ID310に仮想ボリューム16の値を持つエントリ327のTS−ID311の値、変換装置24及び25を得る。この変換装置24及び25を、VPN設定情報テーブル325(図7)のエントリ308のTS−ID306及び307に設定して、エントリ308は完成する。
【0037】
図8に、クライアント21に割り当てられる仮想ボリュームと実際のセキュアストレージシステムとの関係図を示す。
【0038】
仮想ボリューム16は、ストレージ26内の論理ボリューム13とバックアップ用のストレージ27内の論理ボリューム15とから構成される。クライアント21が仮想ボリューム16の利用を開始すると、管理装置23はVPN−ID31を割り当て、変換装置24をオリジナル側に、変換装置25をバックアップ側に設定し、クライアント21にVPN−ID31と変換装置24の識別情報とを送信する。この識別情報によって、クライアント21が仮想ボリューム16にアクセス要求を送信すると変換装置24が実際のストレージ26の論理ボリューム13へのアクセス要求に変換し、クライアント21がストレージ26にアクセスできる。
【0039】
変換装置24及び25は、クライアント21が仮想ボリュームにアクセスするときのアクセス制限、プロトコル変換、実際のストレージ26及び27に割り当てられている論理アドレスへのアドレス変換、等を行うための変換テーブル40及び49(図9、図10参照)を持つ。
【0040】
図9にこの変換テーブル40の例を示す。VPN識別子41はクライアントが変換装置にアクセスするときのVPNの識別子、アドレス範囲42はクライアントに割り当てられた仮想ボリューム内でのデータの仮想アドレスの範囲、ストレージ識別情報43はクライアントに割り当てられた仮想ボリュームを構成する論理ボリュームを持つストレージの識別情報、オフセット44はストレージ識別情報43に示されるストレージの論理アドレスを仮想アドレスから生成するためのオフセットアドレス、バックアップ変換装置45は管理装置23がクライアントに対してバックアップ用に設定した変換装置の識別情報を示し、変換テーブル40にはこれらの情報の関係が規定されている。
【0041】
ストレージ識別情報43はFCポートを設定する。オフセットアドレス44は、LUN(Logical Unit Number)やLBA(Logical Block Address)となる。
【0042】
図9には、VPN識別子41が同じでアドレス範囲42が異なる場合の一例であるエントリ46及び47が示されている。エントリ46及び47は一つの仮想ボリュームを異なるストレージを割り当てることにより、仮想ボリューム16を複数の論理ボリュームで構成することが可能である場合を示している。
【0043】
エントリ48はアドレス範囲42とバックアップ変換装置45の指定がない場合の一例を示している。アドレス範囲42の指定がない場合はVPN識別子41のみからストレージ識別情報43とオフセットアドレス44が決定する。バックアップ45の指定がないことで、この変換テーブルを持つ変換装置がエントリ48のVPN識別子41に割り当てられている仮想ボリュームのバックアップ側の変換装置に指定されていることを示している。
【0044】
管理装置23は変換装置24に、(1)VPN識別子41にVPN−ID31、(2)アドレス範囲42にクライアント21がアクセスする仮想ボリュームの仮想アドレスのアドレス範囲RANGE1、(3)ストレージ識別情報43にストレージ26の識別情報、(4)オフセット44にストレージ26内の論理アドレスを生成するためのオフセットアドレスOFFSET1、(5)バックアップ変換装置45にバックアップ先の変換装置である変換装置25の識別情報、の5つの項目からなる変換テーブルのエントリ58と、クライアント21のクライアント情報34とを送信する(図2の処理202)。
【0045】
同様に、管理装置23は変換装置25にも、(1)VPN識別子41にVPN−ID31、(2)アドレス範囲42にアドレス範囲RANGE1、(3)ストレージ識別情報43にはストレージ27、(4)オフセット44にはOFFSET2、(5)バックアップ変換装置45には変換装置25がバックアップ側なので値は無し、の5つの項目からなる変換テーブルのエントリ59(図10)と、クライアント21のクライアント情報34とを送信する(図2の処理203)。
【0046】
管理装置23が変換装置24の変換テーブル40のエントリ58を作成する手順は次のようになる。
【0047】
管理装置23は、VPN−ID31、クライアント21、仮想ボリューム16、変換装置24及び25、の値はエントリ308作成時に得ているが、仮想ボリュームが変換装置24のどのストレージのどのアドレス範囲なのかはエントリ308作成時には検索されていないため得ていない。そこで、エントリ308のTS−ID306の値である変換装置24を変換装置情報テーブル322(図4)のTS−ID312から検索し、変換装置24を持つエントリ328を発見する。この検索は仮想ボリューム16を持つストレージを発見することを目的としているので、エントリ328の中のST−ID313の値全てをストレージ情報テーブル324(図6)のST−ID314から検索し、該当するエントリの中の仮想ボリューム割り当て、315のVol−ID316に仮想ボリューム16が記録されているエントリ319を発見する。
【0048】
一連の検索により、エントリ319(図6)の仮想ボリューム315のOffset317をエントリ58(図9)のオフセット44に、仮想ボリューム315のRange318をエントリ58のアドレス範囲42に設定し、該当したエントリ319のST−ID314をエントリ58のストレージ識別情報43に設定する。最後に、VPN−ID31をエントリ58のVPN識別子41に設定し、変換装置25をエントリ58のバックアップ変換装置45に設定することでエントリ58は作成される。同様の手順でエントリ59も作成される。
【0049】
図11には、アクセス要求の仮想アドレスを論理アドレスに変換して、クライアント21が変換装置24を経由してストレージ26とアクセスする概念図を示す。
【0050】
図11において、81はネットワークプロトコルのヘッダの一例、82はVPNのヘッダの一例、83はiSCSIによるアクセス要求の一例、84はSCSIによるアクセス要求の一例、85はFCプロトコルのヘッダの一例を示す。クライアント21は仮想ボリューム16へデータ35を書き込むため、アクセス要求83の書き込み開始アドレス87は仮想アドレスとなっている。実際には論理ボリューム13にデータ35を書き込むため、変換装置24で仮想アドレス87から論理アドレス89へ変換する必要がある。
【0051】
変換装置24は、クライアント21からのアクセス要求を受信すると、VPNのヘッダにあるVPN識別子86を参照し、VPN−ID31を変換テーブル40で照合し、アクセス要求83の仮想アドレス87をオフセットアドレス88と仮想論理変換処理71で論理アドレス89に変換する。次に、変換装置24は変換テーブル40のエントリ58のストレージ識別情報43に設定されているストレージ26を送信先90に設定し、FCプロトコルを使用してアクセス要求84を送信する。
【0052】
図12に仮想論理変換処理を、図13に論理仮想変換処理を示す。図12は仮想アドレスを論理アドレスに変換する処理で、仮想アドレスとオフセットアドレス44とを引数に取る関数73によって論理アドレスに変換される。関数73は仮想アドレスとオフセットアドレス44とによって加算や論理和を行うことで論理アドレスを生成する関数である。図13は論理アドレスを仮想アドレスに変換する処理で、論理アドレスとオフセットアドレス44とを引数に取る関数74によって仮想アドレスに変換される。関数74は論理アドレスとオフセットアドレス44とによって減算や論理積を行うことで仮想アドレスを生成する関数である。
【0053】
図2において、処理102はVPN設定処理を示している。管理装置23は、変換装置24及び25の間にVPN−ID31によるVPN52を設定し、変換装置24とクライアント21との間にもVPN−ID31によるVPN51を設定する。
【0054】
処理103は変換装置24への変換テーブルのエントリ設定処理を示している。管理装置23は、変換装置24が持つ変換テーブル40(図9)に、変換テーブルのエントリ58を設定する。処理103と同様に、処理104は変換装置25への変換テーブルのエントリ設定処理を示し、管理装置23は、変換装置25にも管理装置24に設定したエントリ58と同じく、変換テーブルのエントリ59を設定する。
【0055】
管理装置23は変換装置24及び25から処理102、処理103、処理104、処理106の結果を受信し(処理204)、処理結果が成功の場合、管理装置23は認証応答を変換装置25及び24と経由してクライアント21に送信する(処理205)。処理102、処理103、処理104又は処理106のいずれかに失敗した場合は、VPN51の設定と変換テーブルのエントリ58及び59の設定を解除し、クライアント21のアクセスを拒否する。認証に成功した場合、クライアント21は管理装置23からVPN−ID31と変換装置24の識別情報を受信する(処理205)。
【0056】
クライアント21は、VPN−ID31によるVPN51の設定処理107を行い変換装置24へアクセスして、仮想ボリュームをクライアント21で利用するためのマウント処理を行う(処理206)。処理105は仮想ボリュームのマウント処理を示す。変換装置24はVPN−ID31により変換テーブルのエントリ58からクライアント21用の仮想ボリュームに該当するストレージを26だと認識し、変換装置24がストレージ26のマウント処理を行う。クライアント21は、変換装置24からの応答を受信し(処理207)、仮想ボリュームをマウントして利用を開始する。
【0057】
図14にクライアント21が仮想ボリューム16にデータ35を書き込むときの書き込み処理のシーケンス図を示す。
【0058】
クライアント21はVPN−ID31で設定されたVPN51を経由して、変換装置24へ書き込み命令を含むアクセス要求を送信する(処理211)。変換装置24は、変換テーブル40(図9)のVPN−ID41にVPN−ID31を持つエントリがあるかどうかを照合するアクセス受信処理111を行い、変換テーブル40に設定されているエントリ58を参照し、変換装置25へのバックアップ処理112を行う。処理112の後、変換装置24は変換装置25へアクセス要求を送信し(処理212)、ストレージ26にデータ35の書き込みを行う処理113を行う。
【0059】
変換装置24はストレージ26から書き込み終了の応答を受信するとストレージ応答処理114を行い、ストレージからの応答をクライアント21へ返信する(処理213)。変換装置25は、変換装置24からのアクセス要求を受信すると(処理212)、変換装置24の処理と同じく変換テーブル49によるアクセス受信処理115を行い、VPN−ID31が変換テーブル49のエントリ59のVPN識別子41と一致すると、ストレージ27へデータ35の書き込みを行う処理117を行う。変換装置25は、ストレージ27からの応答を受信すると変換装置24に書き込み終了の応答を返信する(処理214)。変換装置24は変換装置25からの応答を受信するとバックアップ応答処理116を行い、クライアント21からの書き込み処理を完了する。
【0060】
図14の処理111の詳細なフローチャートを図15に示す。図15は、変換装置がアクセス要求を受信したときの処理を示している。
【0061】
処理121は、変換装置がクライアントや変換装置からのアクセス要求を受信したときの処理である。処理122はアクセス要求を配送したVPNのVPN−IDが変換テーブル40又は49(図9、図10)の中のVPN識別子41にあるかどうかを照合する処理である。変換テーブルのVPN識別子41にVPN−IDが存在すれば次の処理123に移行する。一致しなければ処理126に移行し、アクセス要求を拒否する。図14の場合、変換装置24の変換テーブル40の中にはエントリ58が存在するためVPN51のVPN−ID31と一致するので、処理123に移る。処理123は、VPN識別子41から該当するエントリを抜き出し参照できるようにする。
【0062】
処理124は、アクセス要求の命令の種類を判別する。アクセスが「書き込み」の場合は処理125に移行する。アクセスが「読み込み」の場合は処理128に移行する。アクセスが「書き込み」、「読み込み」以外の場合は、処理127に移行する。図14の場合、アクセス要求は「書き込み」命令であるため処理125へ分岐する。
【0063】
処理125は、アクセス要求のアドレス部分と処理123で参照できるようにしたエントリのアドレス範囲を照合するアクセス要求のアドレスが範囲内にあればバックアップ処理112に移行し、範囲外であればアクセス拒否の処理126に移行しクライアント21のアクセスを拒否する。処理124でアクセス要求が読込み命令の場合は処理128にて書き込み処理と同じくアドレス範囲の照合を行う。アドレスが範囲内であればデータ読込み処理172に移行し、範囲外であればアクセス拒否の処理126へ移行する。処理124でのアクセス要求の命令が「読み込み」、「書き込み」のいずれでもない場合は、アクセス要求に依存した処理127を実行する。
【0064】
図14のバックアップ処理112の詳細なフローチャートを図16に示す。図16は、バックアップ側変換装置への処理を示している。
【0065】
処理131は図15の処理123で参照できるようにしたエントリのバックアップ45が設定されているか否かの判断処理を示す。設定されている場合は処理150に移行し、設定がされていない場合はデータ書き込み処理113に移行する。図14の場合、エントリ58(図9)のバックアップ45には変換装置25と設定されているので、変換装置24はバックアップ処理を行ったときに作成されるログ36及び37(図17参照)を検索する処理150を行う。このときオリジナル側の変換装置は、バックアップ側の変換装置にアクセス要求を送信する時に二重に送信することを防ぐために、図17に示す書き込みログテーブル39を持っている。
【0066】
書き込みログテーブル39は、オリジナル側変換装置とバックアップ側変換装置とのデータ書込みの同期を取ることが目的である。ログのエントリは、アクセス要求330、バックアップ変換装置45、VPN識別子41、ストレージ識別情報43、データの開始アドレス334、から構成される。ログ36は、オリジナル側変換装置に接続されているストレージに書き込みを開始したときのログで、ログ37は、オリジナル側変換装置に接続されているストレージへの書き込みを終了したときのログである。
【0067】
処理150は、対象となるログを検索する。ログが見つかればデータ書き込み処理113へ移り、見つからなければ処理151へ移る。処理151は、アクセス要求、バックアップ変換装置45、VPN識別子41、を基にログ36を作成する処理である。図14の場合、クライアント21からの書き込み命令と変換装置25とVPN−ID31とを基にログを作成する。処理152は、バックアップ変換装置45に設定されている変換装置にVPN識別子41を持つVPNを経由してアクセス要求を送信する処理である。図14の場合、VPN51を経由して変換装置25にクライアント21のアクセス要求が送信される。
【0068】
図14のデータ書込処理113の詳細なフローチャートを図18に示す。図18は変換装置に接続されているストレージへの書き込み処理を示す。
【0069】
処理133は、図15で参照できるようにしたエントリのオフセット44が設定されているか否かの判断処理である。設定されていれば処理71に移行し、設定がされていなければ処理134に移行する。図14の場合、エントリ58(図9)のオフセット44にはOFFSET1が設定されているため、変換装置24は仮想論理変換処理71を行う。処理134は、処理71の後、参照できるようにしたエントリのストレージ識別情報43にアクセス要求を送信する。図14の場合、エントリ58のストレージ識別情報43にはストレージ26が設定されているので、変換装置24はストレージ26にアクセス要求を送信する。
【0070】
図14のストレージ応答処理114の詳細を図19に示す。図19は、変換装置24がストレージ26へ書き込み命令を送信した後ストレージ26からの応答を受信したときの処理を示す。
【0071】
処理141は、データ書込み処理の後変換装置がストレージからの応答を待つ。ストレージからの応答を受信すると処理142へ移行する。処理142は図15において参照できるようにしたエントリのバックアップ45が設定されているか否かの判断処理である。設定されていると処理153に移行する。設定がされていないと処理144に移行する。図14の場合、エントリ58のバックアップ45には変換装置25と設定されているため、変換装置24は処理153を行う。
【0072】
処理153は、ストレージへの書き込み処理時のアクセス要求から作成されるログ36が書き込みログテーブル39(図17)に存在するか否かを検索する。ログ36が存在しない場合はバックアップ側の変換装置での書き込み処理が既に完了していると判断し、処理144に移行する。ログ36が残っている場合は、ログ36に実際に書き込んだストレージと論理アドレスの情報を追加する処理154に移行する。図14の場合、ログ36にストレージ26と論理アドレス89を追記し、状態331を「書き込み後」と変更する。
【0073】
処理154は、ログ36をログ37に変更する。処理144は、図15において参照できるようにしたエントリのオフセット44が設定されているか否かの判断処理である。設定されていれば処理72に移行し、設定がされていなければ処理145に移行する。図14の場合、エントリ58のオフセット44にはOFFSET1が設定されているため、変換装置24は論理仮想変換処理72を行う。
【0074】
処理145は、アクセス要求を送信してきたアクセス元へストレージからの応答を送信する。図14の場合、クライアント21がアクセス元なのでクライアント21にストレージ26からの応答をVPN51経由で送信する。クライアント21は変換装置24から応答を受信し(図5の処理213)、書き込み処理を完了する。
【0075】
図14のバックアップ応答処理116の詳細なフローチャートを図20に示す。図20は、バックアップ先の変換装置からの応答処理である。
【0076】
処理161はバックアップ先の変換装置からの応答を受信する処理で、応答を受信すると処理162へ移行する。処理162は、アクセス要求とバックアップ先の変換装置45とVPN識別子41とから該当するログ36及び37(図17参照)を検索する。ログが存在しない場合はバックアップ先の変換装置にアクセス要求を送信したことがないことを示し処理163に移行しアクセスを拒否する。ログが見つかった場合は処理164に移行する。
【0077】
処理164はアクセス要求の処理内容を判断する。処理内容が書き込み終了なら処理165に移行し該当するログの消去を行いバックアップ応答処理116を終了する。
【0078】
処理内容が再送なら処理166に移行する。処理166は、ログの種類の判別処理を行う。ログの種類が実際に書き込んだストレージの情報などが追加された書込終了を示す「書込後」状態のログ(例えば、ログ37)の場合は処理167へ移行し、書き込みが終了していないことを示す「書込前」状態のログ(例えば、ログ36)の場合は処理168に移行する。処理167は、ログ37の情報からアクセス要求を生成しバックアップ先の変換装置へ再送する。
【0079】
一方、処理168は、該当するアクセス要求を実際のストレージに書き込むために仮想アドレスから論理アドレスに変換したアクセス要求を持つプロセスが、変換装置内で稼動している状態にある。そのため、該当するログ36を消去して、保持しているアクセス要求のヘッダの論理アドレスを仮想アドレスに変換してから該当するプロセスにバックアップ開始処理132を再度行わせる。
【0080】
図14の処理214の場合、ストレージ26への書き込みが完了した時点で、変換装置25からの応答が送信される。そのため、書き込みが完了したときのログ37が生成された後にバックアップ応答処理が処理され、バックアップ応答処理116ではログ37が消去されることになる。書き込みログテーブル39によるバックアップ処理の管理により、バックアップ先の変換装置から書き込み終了の応答があるまでログ36又は37は保持されデータの同期が保証される。したがって、クライアント21へは変換装置24での書き込み処理が終わった段階で応答を1度返信するだけでよく、変換装置25からの応答は変換装置24まででクライアント21へは返信しない。また、消去対象になるログを消去せずに残しておくことも可能で、その場合は該当するログの消去時にログの状態331の値を「完了」とする。
【0081】
図21に、クライアント21の仮想ボリューム16からの読込み処理のシーケンス図を示す。
【0082】
クライアント21が仮想ボリューム16からデータを読み込む場合、クライアント21はVPN−ID31で設定されたVPN51を経由して変換装置24へ読み込み命令を含むアクセス要求を送信する(処理271)。変換装置24は、変換テーブル40(図9)のVPN識別子41にVPN−ID31を持つエントリがあるか照合し(処理111)、設定されているエントリ58を参照し、ストレージ26から読み込みを行う(処理172)。変換装置24は、ストレージ26からデータ38を含む読み込み終了の応答を受信すると、クライアント21に応答を返信して(処理272)、クライアント21からの読み込み処理を完了する。
【0083】
図21の処理111は図15に示すアクセス受信処理であり、図21はクライアントがデータを読み込むときの処理であるため、アクセス受信処理111の後、データ読込み処理172に移る。
【0084】
図22は、変換装置に接続されているストレージからのデータ読込み処理(図21の処理172)の詳細なフローチャートを示す。
【0085】
処理132は、図15で参照できるようにしたエントリのオフセット44(図9)が設定されているか否かの判断処理である。設定されていれば処理71に移行する。設定がされていなければ処理133に移行する。図21の場合、エントリ58のオフセット44にOFFSET1が設定されているので変換装置24は仮想論理変換処理71を行う。
【0086】
処理71を行った後、図15において参照できるようにしたエントリのストレージ識別情報43にアクセス要求を送信する処理133を行う。図21の場合、エントリ58のストレージ識別情報43にはストレージ26と設定されているので、変換装置24はストレージ26へアクセス要求を送信する。処理141は、ストレージ26からの応答を受信する処理である。処理72で、変換装置24は論理仮想変換処理を行う。処理144は、データ38を含むアクセス要求をクライアント21へ返信する。
【0087】
処理132でオフセットアドレス44が設定されていない場合は、変換装置はアドレスを変換せずにアクセス要求をストレージ26に中継する。クライアント21の仮想ボリューム利用終了手続きは、クライアント21からVPN−ID31とクライアント認証情報33を管理装置23に送信し、管理装置23は変換装置24及び25からVPN−ID31の変換テーブルのエントリを削除して、クライアント21用のVPN51を解除する。
【0088】
図23には、クライアント21の仮想ボリューム16からデータの読込処理でストレージ26に障害が発生した場合のシーケンス図を示す。
【0089】
クライアント21が仮想ボリューム16からデータの読み込みを行う場合、クライアント21はVPN51を経由して変換装置24へ読み込み命令を送信する(処理271)。変換装置24は変換テーブル40(図9)による照合を行い(処理111)、設定されているエントリ58を参照して、ストレージ26からデータの読み込みを行う。このとき、ストレージ26からの応答がない又は失敗応答を受信すると、ストレージ26に障害が発生したと判断する(処理173)。
【0090】
ストレージ26に障害が発生して読み込みが失敗した場合は、変換装置24はアクセス要求のヘッダの論理アドレス部分を仮想アドレスに変換してから変換装置25に送信する(処理273)。変換装置25は、変換装置24と同様に変換テーブル40による照合を行い(処理174)、エントリ59を参照してストレージ27から読込みを行いデータ38を受け取り(処理175)、変換装置24にデータ38を含むストレージからの応答を転送する(処理274)。
【0091】
変換装置24は、変換装置25から受信したストレージからの応答をクライアント21へ送信する(処理272)。クライアント21の読込み処理が完了した後に、変換装置24は管理装置23へ障害情報を送信する(処理275)。
【0092】
管理装置23は、新しいバックアップ先や差分用の仮想ボリュームを割り当てて、クライアント21からのデータ読み込み/書き込み命令への準備を行う(処理176)。差分用の仮想ボリュームが割り当てられたときは、元のストレージが復旧するまで書き込みのログ37を残しておき、元のストレージが復旧した時点で差分用の仮想ボリュームからログ37を元に最新の状態に戻して同期をとる。この一連の動作によって、障害発生時でも書き込みデータの同期をとることが可能となる。
【0093】
VPNの種類としては、MPLS−VPNや、IP−VPN、IPsecによるVPN、ATMをVPNに使用する場合にはSVC(Switched Virtual Circuit)を想定している。VPNの設定手段としては、COPS(Common Open Policy Service)等ポリシー配布による設定やオペレータの操作による設定を想定している。MPLSはIETF発行の「Multiprotocol Label Switching Architecture」(RFC3031)に、MPLS−VPNはIETF発行の「BGP/MPLS VPNs」(RFC2547)に、COPSはIETF発行の「The COPS(Common Open Policy Service) Protocol」(RFC2748)、「COPS Usage for Policy Provisioning(COPS-PR)」(RFC3084)に記載されている。
【0094】
上記のように構成された第1の実施の形態では、VPN機能を持つクライアント又はネットワークノードと、SAN等で構成されるストレージと、ストレージの容量やストレージに割り当てられた論理ボリュームを管理する手段を持つ管理装置と、ストレージで使用されるSAN等のプロトコルとLAN/MAN/WAN内で使用されるプロトコルを相互変換するプロトコル変換手段と、VPN機能を持つ変換装置と、を備える。また、セキュリティ対策として、クライアントと変換装置との間に単一又は複数の種類によるVPNを設定し、変換装置とストレージとの間にゾーニング機能によるマッピングを設定し、変換装置にVPNとストレージのアクセス範囲とのマッピングを設定するマッピング手段を備える。VPNは変換装置とストレージへの正当なアクセス権を持つクライアントとの間にしか設定されないため、VPNを識別することでクライアントを識別することが可能になる。VPNの識別にはVPN−IDを使用し、ストレージのアクセス範囲は論理ボリューム内のアドレスを使用する。これによって、不正アクセスの防止とボリューム管理のスケーラビリティを同時に実現することができる。
【0095】
すなわち、クライアントと変換装置との間に設定されたVPNはストレージ側には設定されないが、変換装置とストレージとの間に設定されたSANはLAN/MAN/WANに接続されたクライアントと直接通信することができないため、変換装置を必ず経由しなければならず、変換装置にVPN−IDが設定されていないクライアントからのストレージへのアクセスは変換装置で拒否するので、変換装置からストレージ側へのセキュリティは確保される。また、VPN−IDを使用して、VPNとストレージのアクセス範囲とのマッピング手段をすることによって、ストレージへのアクセス制限だけでなくVPN−IDごとにストレージのアクセス範囲が管理できるため、SANのポート数に制限されるボリューム監視よりもクライアントへのボリューム割り当て数を増加させることが可能になる。これによって、不正アクセスや盗聴を防止することができ、かつ論理ボリューム内を分割して複数のクライアントに割り当てることでボリューム管理のスケーラビリティを向上することができる。さらに、変換装置24をオリジナル側、変換装置25をバックアップ側に設定し、オリジナル側のストレージ26に障害が発生した場合には、管理装置23によってその障害を検出し、バックアップ側のストレージ27によって障害の起こったデータを救済することができる。
【0096】
図24には、本発明の第2の実施の形態のストレージシステムを示す。21及び22はクライアント、23は管理装置、24及び25は変換装置、26及び27はストレージ、28及び29はネットワークノード、30はネットワーク制御装置である。ネットワークノード28、29はルータやスイッチ等と呼ばれるものでVPNの設定が可能なものとする。ネットワーク制御装置30は変換装置24及び25やネットワークノード28及び29に対してVPNの設定を行い、VPN−ID31を持つトラフィックに対して通信品質(VPNのトラフィック、QOSの優先設定等)の設定や冗長構成を設定する。クライアント21及び22にはVPNを設定する手段を設ける必要はない。50はネットワークを示しており、該ネットワークにはクライアントからのストレージへのアクセスの障害になるトラフィックが流れており、ネットワーク制御装置30によって、ネットワークに対して帯域幅確保などの通信品質の設定を行う。
【0097】
変換装置24には、変換装置25、ストレージ26、ネットワークノード29が接続されている。変換装置24と変換装置25及びネットワークノード26とはネットワークプロトコルによって、変換装置24とストレージ26とはFCプロトコルによって接続される。ネットワークノード29にはネットワークノード28、ネットワーク制御装置30がネットワークプロトコルで接続されている。ネットワークノード28にはクライアント21及び22がネットワークプロトコルで接続されている。変換装置25には、管理装置23とストレージ27とが接続され、変換装置25と管理装置23とはネットワークプロトコルで、変換装置25とストレージ27とはFCプロトコルで接続される。
【0098】
ネットワークノード28及び29の間、ネットワークノード29と変換装置24との間、変換装置24及び25の間にはネットワーク制御装置30によって、VPNの設定が可能である。また、ネットワーク制御装置30はネットワークノード28にクライアント情報とVPNへのマッピングとを設定することができる。
【0099】
第2の実施の形態のストレージシステムによると、クライアント21は、ネットワーク上にある割り当てられた仮想ボリュームを利用するための利用手続きを行うために、第1の実施の形態のストレージシステムと同様にクライアント認証情報33を管理装置23に送信する。管理装置23はクライアント21の認証に成功した場合、クライアント21用のVPN−ID31を決定し、第1の実施例と同じく変換装置24及び25に変換テーブル40のエントリ58及び59とクライアント情報34を設定し、ネットワーク制御装置30にクライアント21のクライアント情報34とVPN−ID31を送信し、クライアント21にVPN−ID31と変換装置24のアドレスを送信する。
【0100】
ネットワーク制御装置30はVPN−ID31によるVPN51をネットワークノード28及び29、変換装置24の間に設定し、VPN52を変換装置24及び25の間に設定し、ネットワークノード28には、クライアント21のクライアント情報34によるトラフィックとクライアント21用のVPN51へのマッピングを設定する。以降の処理は、前記第1の実施例と同様である。
【0101】
第2の実施例をセキュリティ面で見た場合、クライアント21とネットワークノード28との間にはVPN51は設定されない点が問題になりそうだが、ネットワークノード28でクライアント21を識別して他のトラフィックとは区別するため、セキュリティは確保される。
【0102】
第2の実施例では、帯域幅確保や通信パスの設定には、MPLS(Multiprotocol Label Switching)やMPLSの拡張プロトコル、GMPLS(Generalized MPLS)シグナリング、ポリシールーティング、Diffserv、RSVP(Resource Reservation Protocol)、ATM(Asynchronous Transfer Mode)のVP(Virtual Path)/VC(Virtual Channel)設定を使用する。GMPLSシグナリングはIETF発行の「Generalized MPLS - Signaling Functional Description」(draft-ietf-mpls-generalized-signaling)に記載されている。
【0103】
ネットワーク制御装置30と管理装置23との間のインターフェースには既にネットワークを管理するサーバがあり任意のVPN−IDによるVPNの設定が可能であれば、そのサーバへの設定手段を使用する。ネットワーク制御装置30に外部からの設定手段がない場合には、予めVPNを設定しておきクライアントからの利用手続きを処理した段階でVPNが有効になるように変換装置に該当する変換テーブルのエントリを設定することで有効になるものとする。
【0104】
上記のように構成された第2の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、ネットワークノードにクライアントとVPNのマッピングを設定することで、クライアントに対して直接VPNを設定できない場合でもストレージへのアクセスのセキュリティを確保することができる。
【0105】
図25に、本発明の第3の実施の形態のストレージシステムを示す。ネットワークノード28はスイッチに相当し、VPNの機能を持たないがVLANの設定が可能である。ネットワークノード29は、ルータに相当するもので、VLANとVPNの機能を持ち、VLANとVPNのマッピングが可能である。なお、第1又は第2の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0106】
ネットワークノード28及び29との間はVLANで接続される。ネットワークノード29と変換装置24との間と、変換装置24及び25との間はVPNで接続される。ネットワーク制御装置30はネットワークノード29、変換装置24及び25にVPNを、ネットワークノード28及び29にVLANを設定することができ、ネットワークノード28にはクライアント情報とVLANへのマッピングを、ネットワークノード29にはVLANとVPNへの設定することができる。
【0107】
管理装置23からクライアント21用のVPN51の設定要求を受信した場合は、ネットワーク制御装置30は、変換装置24とネットワークノード29の間にVPN51を設定し、変換装置24と変換装置25の間にVPN52を設定し、ネットワークノード28及び29の間にVLAN53を設定する。VLAN53は管理装置23から受信したVPN−ID31と対応させてネットワーク制御装置30で決定、管理する。ネットワークノード28には、クライアント21のクライアント情報33によるトラフィックとクライアント21用のVLAN53へのマッピングを設定し、ネットワークノード29には、クライアント21用のVLAN53とクライアント21用のVPN51へのマッピングを設定する。その他の処理は第2の実施の形態と同様である。
【0108】
上記のように構成された第3の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、クライアントとネットワークノードとの間にVLANを設定しても、VPN−IDを用いてVLANとVPNとのマッピングを行うことにより、VLAN上のクライアントからストレージへのアクセスのセキュリティを確保することができる。
【0109】
図26に、本発明の第4の実施の形態のストレージシステムを示す。なお、第1〜第3の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0110】
21及び22はクライアント、24及び25は変換装置、26及び27はストレージ、23は管理装置、30はネットワーク制御装置、28はネットワークノード、7はLANやSANで構成されている内部ネットワーク、8はMANやWANなどの外部ネットワークである。変換装置24及び25、ネットワークノード28にはVPNの設定が可能である。内部ネットワーク7、外部ネットワーク8には各ネットワークに1つずつネットワーク制御装置30が配置されており、ネットワーク制御装置30は、各ネットワーク内のネットワークノード28や変換装置24及び25に対して、管理装置23から送信されたVPN−ID31によるVPN51及び52の設定、解除やVLANとVPNのマッピング、クライアント情報に基づくVPN/VLANの設定が行えるものとする。
【0111】
上記のように構成された第4の実施の形態のセキュアストレージシステムでは、前記第1の実施の形態の効果に加え、VLANを設定したMANやWANなどの大規模なネットワーク上のクライアントからストレージへのアクセスのセキュリティを確保することができる。
【0112】
第1の実施の形態のストレージシステムの変形例である第5の実施の形態について説明する。第5の実施の形態のストレージシステムは、変換装置25の変換テーブル49のエントリ59(図10)内で、バックアップ変換装置45に変換装置24を指定したものであり、変換装置25が変換装置24のバックアップ装置になると共に、変換装置24が変換装置25のバックアップとなる。なお、第1の実施の形態と同一の動作をする構成には同一の符号を付して、その詳細な説明は省略する。
【0113】
変換装置24は変換装置25から見るとバックアップ変換装置となるため、変換装置25もオリジナルの変換装置24と同様に、別のクライアントのアクセスを処理して負荷を分散させることができる。管理装置23はクライアントからの仮想ボリューム利用手続きの認証応答でクライアントのアクセスが分散されるように、もしくはアクセス速度が短くなるように、適切な変換装置の識別情報を返送することができる。
【0114】
上記のように構成された第5の実施の形態のセキュリティストレージシステムでは、前記第1の実施の形態の効果に加え、変換装置24は変換装置25をバックアップに、変換装置25は変換装置24をバックアップに、それぞれ設定するので、お互いへのアクセスが分散され、アクセス速度を短くすることができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における、ネットワーク構成図である。
【図2】本発明の第1の実施の形態における、クライアントによる仮想ボリュームの利用手続きを示すシーケンス図である。
【図3】本発明の第1の実施の形態における、管理装置が管理するクライアント情報テーブルの説明図である。
【図4】本発明の第1の実施の形態における、管理装置が管理する変換装置情報テーブルの説明図である。
【図5】本発明の第1の実施の形態における、管理装置が管理する仮想ボリューム情報テーブルの説明図である。
【図6】本発明の第1の実施の形態における、管理装置が管理するストレージ情報テーブルの説明図である。
【図7】本発明の第1の実施の形態における、管理装置が管理するVPN設定情報テーブルの説明図である。
【図8】本発明の第1の実施の形態における、仮想ボリュームと論理ボリュームとの関係の説明図である。
【図9】本発明の第1の実施の形態における、変換装置24の変換テーブルの説明図である。
【図10】本発明の第1の実施の形態における、変換装置25の変換テーブルの説明図である。
【図11】本発明の第1の実施の形態における、クライアントのアクセス要求のアドレス変換と通信プロトコル変換の説明図である。
【図12】本発明の第1の実施の形態における、仮想アドレスから論理アドレスへのアドレス変換処理のフローチャートである。
【図13】本発明の第1の実施の形態における、論理アドレスから仮想アドレスへのアドレス変換処理のフローチャートである。
【図14】本発明の第1の実施の形態における、クライアントによる仮想ボリュームへの書き込み処理のシーケンス図である。
【図15】本発明の第1の実施の形態における、変換装置によるクライアントからの仮想ボリュームへのアクセス受信処理のフローチャートである。
【図16】本発明の第1の実施の形態における、変換装置によるバックアップ側変換装置へのバックアップ処理のフローチャートである。
【図17】本発明の第1の実施の形態における、ログテーブルの説明図である。
【図18】本発明の第1の実施の形態における、変換装置によるストレージへのデータ書込み処理のフローチャートである。
【図19】本発明の第1の実施の形態における、変換装置によるストレージ応答処理のフローチャートである。
【図20】本発明の第1の実施の形態における、変換装置によるバックアップ応答処理のフローチャートである。
【図21】本発明の第1の実施の形態における、クライアントによる仮想ボリュームからの読込み処理のシーケンス図である。
【図22】本発明の第1の実施の形態における、変換装置によるデータ読込み処理のフローチャートである。
【図23】本発明の第1の実施の形態における、障害発生時の処理のシーケンス図である。
【図24】本発明の第2の実施の形態における、ネットワーク構成図である。
【図25】本発明の第3の実施の形態における、ネットワーク構成図である。
【図26】本発明の第4の実施の形態における、複数のネットワークを含むネットワーク構成図である。
【図27】従来技術のFCポートを用いたボリューム管理の説明図である。
【符号の説明】
7 内部ネットワーク(LAN/SAN)
8 外部ネットワーク(MAN/WAN)
11 ストレージ
12、14 FCポート
13、15 ストレージ内の論理ボリューム
16 仮想ボリューム
21、22 クライアント
24、25 変換装置
26、27 ストレージ
28、29 ネットワークノード(ルータ、スイッチ)
30 ネットワーク制御装置
31 クライアント21用VPN−ID
33 クライアント21の認証情報
34 クライアント21の識別情報
35 ストレージに書き込むデータ
36 変換装置25との同期用ログ
37 ストレージ26へ書き込みが完了したときの、変換装置25との同期用ログ
38 ストレージから読み出したデータ
39 同期用ログを管理する書き込みログテーブル
40 変換装置24が持つ変換テーブル
41 対象となるVPN−ID
42 対象となる仮想ボリュームのアドレス範囲
43 仮想ボリュームを構成している論理ボリュームを持つストレージ識別情報
44 ストレージ43の論理アドレスを仮想アドレスから生成するためのオフセットアドレス
45 バックアップ側の変換装置の識別情報
46 変換テーブルのエントリで、仮想アドレスのアドレス範囲によって論理ボリュームが異なる場合の例
47 変換テーブルのエントリで、仮想アドレスのアドレス範囲によって論理ボリュームが異なる場合の例
48 変換テーブルのエントリで、バックアップ用の変換装置の識別情報がない場合の例
49 変換装置25が持つ変換テーブル
50 ネットワーク
51 クライアント21用のVPN
52 VPN−ID31を持つ変換装置24,25間のVPN
53 クライアント21用のVLAN
58 実施例で変換装置24に追加される変換テーブルのエントリ
59 実施例で変換装置25に追加される変換テーブルのエントリ
73 仮想アドレスから論理アドレスに変換する関数
74 論理アドレスから仮想アドレスに変換する関数
Claims (16)
- ストレージ及び前記ストレージを使用し、仮想閉域網に接続されたクライアントによって構成されるストレージシステムであって、
前記ストレージに設定された論理ボリューム、前記論理ボリューム内のアドレス範囲及び前記仮想閉域網を、前記クライアントに割り当てる管理装置と、
前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置と、
前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、を備え、
前記変換装置は、前記マッピング手段に記憶された対応付けに基づいて、仮想閉域網からのクライアントの要求をストレージの接続に用いるプロトコルに変換することを特徴とするストレージシステム。 - 前記マッピング手段は、前記仮想閉域網の識別情報と、前記ストレージに設定された論理ボリュームのアドレス範囲及び前記論理ボリュームを有するストレージの識別情報との対応を規定するエントリを記憶することを特徴とする請求項1に記載のストレージシステム。
- 前記管理装置は、
前記クライアント、前記変換装置間の仮想閉域網を前記仮想閉域網識別情報を使用して設定する仮想閉域網設定手段と、
前記変換装置、前記ストレージ及び前記仮想閉域網を管理する仮想閉域網管理手段と、
前記クライアントが前記ストレージを使用するときに、前記クライアントに割り当てられた仮想閉域網と、該仮想閉域網に対応する前記ストレージのアクセス範囲との対応を、前記マッピング手段に記憶させるエントリ設定手段と、を備えることを特徴とする請求項1又は2に記載のストレージシステム。 - 前記仮想閉域網識別情報を使用して仮想閉域網を設定するネットワーク制御装置を備え、
前記管理装置は、前記仮想閉域網識別情報を使用した仮想閉域網を前記ネットワーク制御装置に設定させる仮想閉域網設定要求手段を備え、
前記ネットワーク制御装置は、前記仮想閉域網設定要求手段からの要求に従って、複数ネットワークにわたる前記仮想閉域網を設定することを特徴とする請求項1から3のいずれか一つに記載のストレージシステム。 - 前記ネットワーク制御装置は、前記仮想閉域網識別情報を有するトラフィックに対する通信品質を設定し、該仮想閉域網の通信品質を保証することを特徴とする請求項4に記載のストレージシステム。
- 前記クライアントは、前記管理装置から送信された、前記変換装置の識別情報と仮想閉域網識別情報を使用して、該仮想閉域網によって前記変換装置まで接続し、
前記管理装置は、前記クライアントを認証し、この認証結果に基づいて、前記変換装置に前記クライアントと同じ仮想閉域網識別情報による仮想閉域網を設定し、
前記クライアントは、前記設定された仮想閉域網を用いて前記ストレージへ接続することを特徴とする請求項1から5のいずれか一つに記載のストレージシステム。 - 前記ストレージに設定された論理ボリュームに記憶される情報を予備的に記憶するバックアップストレージと、
前記バックアップストレージに対するプロトコルと前記仮想閉域網で使用されるプロトコルとを変換するバックアップ変換装置と、を備え、
前記管理装置は、前記クライアントが前記論理ボリュームを使用するときに、前記バックアップ変換装置の識別情報を前記マッピング手段に記憶させるバックアップエントリ設定手段を備えることを特徴とする請求項1から6のいずれか一つに記載のストレージシステム。 - 前記ストレージに障害が発生した場合は、前記クライアントと前記論理ボリュームとの間で前記変換装置が転送するデータを、前記変換装置が前記バックアップ変換装置を介して前記前記クライアントと前記バックアップストレージとの間で転送するデータ転送手段を備えることを特徴とする請求項7に記載のストレージシステム。
- 前記管理装置は、単一又は複数の論理ボリュームから構成される仮想ボリュームを生成する仮想ボリューム生成手段を備え、
前記マッピング手段は、前記仮想ボリュームのアドレスを前記論理ボリュームのアドレスに変換するオフセットアドレスを記憶し、
前記変換装置は、前記仮想ボリュームのアドレスと前記マッピング手段で記憶したオフセットアドレスとを利用して、前記仮想ボリュームのアドレスを前記論理ボリュームのアドレスに変換するアドレス変換手段を備えることを特徴とする請求項1から8のいずれか一つに記載のストレージシステム。 - ストレージに接続される変換装置であって、
前記ストレージを使用するクライアントと仮想閉域網によって接続され、
前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換するプロトコル変換手段と、
前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とを対応付けて記憶したマッピング手段と、を備えたことを特徴とする変換装置。 - 前記マッピング手段は、前記仮想閉域網識別情報と、前記ストレージに設定された論理ボリュームのアドレス範囲及び前記論理ボリュームを有するストレージの識別情報との対応を規定するエントリを記憶することを特徴とする請求項10に記載の変換装置。
- 前記ストレージに設定された論理ボリュームに記憶される情報を予備的に記憶するバックアップストレージに対するプロトコルと前記仮想閉域網で使用されるプロトコルとを変換するバックアップ変換装置に接続され、
前記ストレージに障害が発生した場合には、前記ストレージとの間で転送されるべきデータを、前記バックアップ変換装置との間で転送するデータ転送手段を備えることを特徴とする請求項10又は11に記載の変換装置。 - ストレージと、
仮想閉域網に接続されたクライアントと、
前記クライアントと前記仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置とで構成されるストレージシステムに用いられるストレージアクセス方法であって、
前記変換装置は、前記クライアントからの前記仮想閉域網を経由したアクセス要求を受信すると、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とが対応付けられたマッピング情報を参照し、前記アクセス要求に含まれる仮想閉域網の識別情報が前記マッピング情報の仮想閉域網の識別情報と一致し、前記アクセス要求に含まれるアクセス範囲が前記マッピング情報のアクセス範囲内にあった場合に、前記変換装置に接続されている前記ストレージにデータを書き込み、
前記ストレージから書込終了の応答を受信すると、前記クライアントへ書込終了の応答を返信して、前記クライアントからのデータの書込処理を終了することを特徴とするストレージアクセス方法。 - ストレージと、
仮想閉域網に接続されたクライアントと、
前記クライアントと前記仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置と、
前記変換装置とバックアップストレージとに接続され、前記バックアップストレージとの間の接続に使用されるプロトコルと前記変換装置との間で使用されるプロトコルとを変換するバックアップ変換装置とで構成されるストレージシステムに用いられるストレージアクセス方法であって、
前記変換装置は、前記クライアントからの前記仮想閉域網を経由したアクセス要求を受信すると、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とが対応付けられたマッピング情報を参照し、前記アクセス要求に含まれる仮想閉域網の識別情報が前記マッピング情報の仮想閉域網の識別情報と一致し、前記アクセス要求に含まれるアクセス範囲が前記マッピング情報のアクセス範囲内にあった場合に、前記変換テーブルに設定されている前記バックアップ変換装置へアクセス要求を送信し、
前記変換装置に接続されている前記ストレージにデータを書き込み、
前記ストレージから書込終了の応答を受信すると、前記クライアントへ書込終了の応答を返信し、
前記バックアップ変換装置は、前記変換装置からのアクセス要求を受信すると、前記仮想閉域網の識別情報の照合結果に基づいて、前記バックアップ変換装置に接続されているバックアップストレージにデータを書き込み、前記バックアップストレージから書込終了の応答を受信すると、前記変換装置へ書込終了の応答を返信し、
前記変換装置は前記バックアップ変換装置からの応答を受信すると、前記クライアントからのデータの書込処理を終了することを特徴とするストレージアクセス方法。 - ストレージと、
仮想閉域網に接続されたクライアントと、
前記クライアントと前記仮想閉域網によって接続され、前記ストレージとの間の接続に使用されるプロトコルと前記仮想閉域網との間の接続に使用されるプロトコルとを変換する変換装置と、
前記変換装置とバックアップストレージとに接続され、前記バックアップストレージとの間の接続に使用されるプロトコルと前記変換装置との間で使用されるプロトコルとを変換するバックアップ変換装置とで構成されるストレージシステムに用いられる
ストレージアクセス方法であって、
前記変換装置は、前記クライアントからの前記仮想閉域網を経由したアクセス要求を受信すると、前記クライアントに割り当てられた仮想閉域網の識別情報と、該仮想閉域網に対応する前記ストレージの前記論理ボリューム内のアクセス範囲とが対応付けられたマッピング情報を参照し、前記アクセス要求に含まれる仮想閉域網の識別情報が前記マッピング情報の仮想閉域網の識別情報と一致し、前記アクセス要求に含まれるアクセス範囲が前記マッピング情報のアクセス範囲内にあった場合に、前記変換装置に接続されている前記ストレージへデータの読み込み要求を送信し、
前記ストレージからのデータを受信できないと、前記変換装置に接続されている前記バックアップ変換装置へアクセス要求を送信し、
前記バックアップ変換装置は、前記変換装置からのアクセス要求を受信すると、前記仮想閉域網の識別情報の照合結果に基づいて、前記バックアップ変換装置に接続されているバックアップストレージからデータを読み込み、前記バックアップストレージからのデータを受信すると、前記バックアップストレージからのデータを前記変換装置へ送信し、
前記変換装置は、前記バックアップ変換装置からのデータを受信すると、前記バックアップストレージからのデータを前記クライアントへ送信することを特徴とするストレージアクセス方法。 - 前記変換装置には、前記ストレージに設定された論理ボリュームによって前記ストレージを管理する管理装置が接続されて構成されるストレージシステムに用いられるストレージアクセス方法であって、
前記変換装置は、前記ストレージからのデータを受信できない場合に、前記管理装置に前記ストレージの障害情報を送信し、
前記管理装置は、前記ストレージの論理ボリュームの設定を変更することを特徴とする請求項15に記載のストレージアクセス方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002169725A JP4382328B2 (ja) | 2002-06-11 | 2002-06-11 | セキュアストレージシステム |
| US10/351,382 US7346670B2 (en) | 2002-06-11 | 2003-01-27 | Secure storage system |
| CNB031045618A CN100490403C (zh) | 2002-06-11 | 2003-02-18 | 可靠的存储系统 |
| DE60323902T DE60323902D1 (de) | 2002-06-11 | 2003-02-20 | Gesichertes Speichersystem |
| EP03003200A EP1372297B1 (en) | 2002-06-11 | 2003-02-20 | Secure storage system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002169725A JP4382328B2 (ja) | 2002-06-11 | 2002-06-11 | セキュアストレージシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004013778A JP2004013778A (ja) | 2004-01-15 |
| JP4382328B2 true JP4382328B2 (ja) | 2009-12-09 |
Family
ID=29561740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002169725A Expired - Fee Related JP4382328B2 (ja) | 2002-06-11 | 2002-06-11 | セキュアストレージシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7346670B2 (ja) |
| EP (1) | EP1372297B1 (ja) |
| JP (1) | JP4382328B2 (ja) |
| CN (1) | CN100490403C (ja) |
| DE (1) | DE60323902D1 (ja) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4060114B2 (ja) * | 2002-04-23 | 2008-03-12 | 株式会社日立製作所 | プログラム、情報処理方法、情報処理装置、及び記憶装置 |
| JP4087149B2 (ja) * | 2002-05-20 | 2008-05-21 | 株式会社日立製作所 | ディスク装置共有システム、及び計算機 |
| JP4345309B2 (ja) * | 2003-01-20 | 2009-10-14 | 株式会社日立製作所 | ネットワークストレージ装置 |
| US7525994B2 (en) * | 2003-01-30 | 2009-04-28 | Avaya Inc. | Packet data flow identification for multiplexing |
| US7831736B1 (en) * | 2003-02-27 | 2010-11-09 | Cisco Technology, Inc. | System and method for supporting VLANs in an iSCSI |
| US7302500B2 (en) * | 2003-04-30 | 2007-11-27 | Dynamic Network Factory, Inc. | Apparatus and method for packet based storage virtualization |
| JP4123088B2 (ja) * | 2003-08-06 | 2008-07-23 | 株式会社日立製作所 | ストレージネットワーク管理装置及び方法 |
| JP4512179B2 (ja) * | 2003-10-28 | 2010-07-28 | 株式会社日立製作所 | ストレージ装置及びそのアクセス管理方法 |
| JP2005151259A (ja) * | 2003-11-17 | 2005-06-09 | Toshiba Corp | データ転送装置およびプログラム |
| CN100440888C (zh) * | 2004-01-17 | 2008-12-03 | 中国科学院计算技术研究所 | 基于网络存储和资源虚拟化的大型服务系统的管理系统及其方法 |
| JP3976324B2 (ja) | 2004-02-27 | 2007-09-19 | 株式会社日立製作所 | セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム |
| US7447211B1 (en) | 2004-03-23 | 2008-11-04 | Avaya Inc. | Method and apparatus of establishing a communication channel using protected network resources |
| JP4272105B2 (ja) * | 2004-04-27 | 2009-06-03 | 株式会社日立製作所 | ストレージグループ設定方法および装置 |
| JP4826077B2 (ja) * | 2004-08-31 | 2011-11-30 | 株式会社日立製作所 | ブートディスク管理方法 |
| JP4574287B2 (ja) * | 2004-09-01 | 2010-11-04 | キヤノン株式会社 | ファイル管理装置 |
| US7680100B1 (en) | 2004-09-30 | 2010-03-16 | Avaya Inc. | Internet protocol appliance manager |
| JP4574315B2 (ja) * | 2004-10-07 | 2010-11-04 | 株式会社日立製作所 | ストレージ装置およびストレージ装置における構成管理方法 |
| US7633859B2 (en) * | 2005-01-26 | 2009-12-15 | Cisco Technology, Inc. | Loop prevention technique for MPLS using two labels |
| CN1322427C (zh) * | 2005-02-25 | 2007-06-20 | 清华大学 | Windows平台下动态管理存储资源的通用方法 |
| US20060209886A1 (en) * | 2005-03-04 | 2006-09-21 | Rad Data Communications, Ltd. | Small form-factor device implementing protocol conversion |
| US7552240B2 (en) | 2005-05-23 | 2009-06-23 | International Business Machines Corporation | Method for user space operations for direct I/O between an application instance and an I/O adapter |
| US7464189B2 (en) * | 2005-05-23 | 2008-12-09 | International Business Machines Corporation | System and method for creation/deletion of linear block address table entries for direct I/O |
| US7502871B2 (en) * | 2005-05-23 | 2009-03-10 | International Business Machines Corporation | Method for query/modification of linear block address table entries for direct I/O |
| US20060265525A1 (en) * | 2005-05-23 | 2006-11-23 | Boyd William T | System and method for processor queue to linear block address translation using protection table control based on a protection domain |
| US20070005815A1 (en) * | 2005-05-23 | 2007-01-04 | Boyd William T | System and method for processing block mode I/O operations using a linear block address translation protection table |
| US7502872B2 (en) * | 2005-05-23 | 2009-03-10 | International Bsuiness Machines Corporation | Method for out of user space block mode I/O directly between an application instance and an I/O adapter |
| US7500071B2 (en) * | 2005-08-31 | 2009-03-03 | International Business Machines Corporation | Method for out of user space I/O with server authentication |
| US7657662B2 (en) * | 2005-08-31 | 2010-02-02 | International Business Machines Corporation | Processing user space operations directly between an application instance and an I/O adapter |
| US7577761B2 (en) * | 2005-08-31 | 2009-08-18 | International Business Machines Corporation | Out of user space I/O directly between a host system and a physical adapter using file based linear block address translation |
| US8161134B2 (en) * | 2005-09-20 | 2012-04-17 | Cisco Technology, Inc. | Smart zoning to enforce interoperability matrix in a storage area network |
| CN100423491C (zh) | 2006-03-08 | 2008-10-01 | 杭州华三通信技术有限公司 | 虚拟化网络存储系统及其网络存储设备 |
| JP5245240B2 (ja) | 2006-10-26 | 2013-07-24 | 住友電気工業株式会社 | 光ファイバコイル収納容器及び光ファイバモジュール |
| US7926090B2 (en) * | 2007-07-13 | 2011-04-12 | Erf Wireless, Inc. | Separate secure networks over a non-secure network |
| KR20100080822A (ko) | 2007-09-28 | 2010-07-12 | 엑세리온 악티에볼라그 | 네트워크 오퍼레이팅 시스템 |
| JP5012397B2 (ja) * | 2007-10-16 | 2012-08-29 | 日本電気株式会社 | 通信システム、方法、装置、およびプログラム |
| CN101136929B (zh) * | 2007-10-19 | 2010-08-25 | 杭州华三通信技术有限公司 | 因特网小型计算机系统接口数据传输方法及设备 |
| JP5366480B2 (ja) * | 2008-08-27 | 2013-12-11 | 株式会社日立製作所 | 計算機システム及びそのバックアップ方法 |
| US8086585B1 (en) * | 2008-09-30 | 2011-12-27 | Emc Corporation | Access control to block storage devices for a shared disk based file system |
| US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US20100281508A1 (en) | 2009-05-04 | 2010-11-04 | Comcast Cable Holdings, Llc | Internet Protocol (IP) to Video-on-Demand (VOD) Gateway |
| US8078665B2 (en) * | 2009-05-04 | 2011-12-13 | Comcast Cable Holdings, Llc | Sharing media content based on a media server |
| US20100333192A1 (en) * | 2009-06-24 | 2010-12-30 | Esgw Holdings Limited | Secure storage |
| US9386097B2 (en) * | 2010-04-23 | 2016-07-05 | Cisco Technology, Inc. | Using values represented as internet protocol (IP) addresses to access resources in a non-internet protocol address space |
| US20110289548A1 (en) * | 2010-05-18 | 2011-11-24 | Georg Heidenreich | Guard Computer and a System for Connecting an External Device to a Physical Computer Network |
| JP5158184B2 (ja) * | 2010-12-10 | 2013-03-06 | 株式会社日立製作所 | ブートディスク管理方法 |
| KR101953122B1 (ko) * | 2012-01-06 | 2019-02-28 | 삼성전자주식회사 | 프로토콜 변환 장치 및 방법 |
| JP2015166965A (ja) * | 2014-03-04 | 2015-09-24 | 日本電気株式会社 | バックアップ制御装置及びバックアップ制御方法、記憶装置システム、通信装置 |
| CN109995792B (zh) * | 2019-04-11 | 2021-08-31 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941972A (en) * | 1997-12-31 | 1999-08-24 | Crossroads Systems, Inc. | Storage router and method for providing virtual local storage |
| US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| JP3465620B2 (ja) * | 1999-03-17 | 2003-11-10 | 日本電気株式会社 | 仮想私設網構築システム |
| GB2353676A (en) * | 1999-08-17 | 2001-02-28 | Hewlett Packard Co | Robust encryption and decryption of packetised data transferred across communications networks |
| US6684209B1 (en) | 2000-01-14 | 2004-01-27 | Hitachi, Ltd. | Security method and system for storage subsystem |
| US6826580B2 (en) * | 2000-01-20 | 2004-11-30 | Emc Corporation | Distributed storage resource management in a storage area network |
| US20010034758A1 (en) * | 2000-02-24 | 2001-10-25 | Dan Kikinis | Virtual private network (VPN) for servicing home gateway system through external disk management |
| ES2249450T3 (es) | 2000-07-05 | 2006-04-01 | ERNST & YOUNG LLP | Metodo y aparato para proporcionar servicios informaticos. |
| US6920153B2 (en) * | 2000-07-17 | 2005-07-19 | Nortel Networks Limited | Architecture and addressing scheme for storage interconnect and emerging storage service providers |
| AU2002230585A1 (en) | 2000-11-02 | 2002-05-15 | Pirus Networks | Switching system |
| US6976060B2 (en) * | 2000-12-05 | 2005-12-13 | Agami Sytems, Inc. | Symmetric shared file storage system |
| US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
| US7124189B2 (en) * | 2000-12-20 | 2006-10-17 | Intellisync Corporation | Spontaneous virtual private network between portable device and enterprise network |
| US20040233910A1 (en) * | 2001-02-23 | 2004-11-25 | Wen-Shyen Chen | Storage area network using a data communication protocol |
| FI20010511A0 (fi) * | 2001-03-14 | 2001-03-14 | Stonesoft Oy | Datapakettien käsittely |
| US6622220B2 (en) * | 2001-03-15 | 2003-09-16 | Hewlett-Packard Development Company, L.P. | Security-enhanced network attached storage device |
| US7171453B2 (en) * | 2001-04-19 | 2007-01-30 | Hitachi, Ltd. | Virtual private volume method and system |
| US7099912B2 (en) * | 2001-04-24 | 2006-08-29 | Hitachi, Ltd. | Integrated service management system |
| JP4632574B2 (ja) * | 2001-05-25 | 2011-02-16 | 株式会社日立製作所 | 記憶装置およびファイルデータのバックアップ方法およびファイルデータのコピー方法 |
| US6732104B1 (en) * | 2001-06-06 | 2004-05-04 | Lsi Logic Corporatioin | Uniform routing of storage access requests through redundant array controllers |
| US6876656B2 (en) * | 2001-06-15 | 2005-04-05 | Broadcom Corporation | Switch assisted frame aliasing for storage virtualization |
| US7130305B2 (en) * | 2001-07-02 | 2006-10-31 | Stonesoft Oy | Processing of data packets within a network element cluster |
| US7006526B1 (en) * | 2001-07-31 | 2006-02-28 | Cisco Technology, Inc. | Mechanisms for avoiding problems associated with network address protocol translation |
| EP1563389A4 (en) * | 2001-08-01 | 2008-06-25 | Actona Technologies Ltd | VIRTUAL DATA DISTRIBUTION NETWORK |
| US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
| US7085827B2 (en) * | 2001-09-20 | 2006-08-01 | Hitachi, Ltd. | Integrated service management system for remote customer support |
| US6880101B2 (en) * | 2001-10-12 | 2005-04-12 | Dell Products L.P. | System and method for providing automatic data restoration after a storage device failure |
| US20030105830A1 (en) | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
| US7650412B2 (en) | 2001-12-21 | 2010-01-19 | Netapp, Inc. | Systems and method of implementing disk ownership in networked storage |
| US6895429B2 (en) * | 2001-12-28 | 2005-05-17 | Network Appliance, Inc. | Technique for enabling multiple virtual filers on a single filer to participate in multiple address spaces with overlapping network addresses |
| US6983303B2 (en) | 2002-01-31 | 2006-01-03 | Hewlett-Packard Development Company, Lp. | Storage aggregator for enhancing virtualization in data storage networks |
| US20030182363A1 (en) * | 2002-03-25 | 2003-09-25 | James Clough | Providing private network local resource access to a logically remote device |
| US20030217132A1 (en) * | 2002-05-16 | 2003-11-20 | International Business Machines Corporation | System and method for remotely managing a computer system by a wireless communications device |
-
2002
- 2002-06-11 JP JP2002169725A patent/JP4382328B2/ja not_active Expired - Fee Related
-
2003
- 2003-01-27 US US10/351,382 patent/US7346670B2/en not_active Expired - Fee Related
- 2003-02-18 CN CNB031045618A patent/CN100490403C/zh not_active Expired - Fee Related
- 2003-02-20 EP EP03003200A patent/EP1372297B1/en not_active Expired - Fee Related
- 2003-02-20 DE DE60323902T patent/DE60323902D1/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN100490403C (zh) | 2009-05-20 |
| DE60323902D1 (de) | 2008-11-20 |
| CN1467957A (zh) | 2004-01-14 |
| EP1372297B1 (en) | 2008-10-08 |
| US7346670B2 (en) | 2008-03-18 |
| EP1372297A2 (en) | 2003-12-17 |
| EP1372297A3 (en) | 2005-01-26 |
| US20030229690A1 (en) | 2003-12-11 |
| JP2004013778A (ja) | 2004-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4382328B2 (ja) | セキュアストレージシステム | |
| US7366784B2 (en) | System and method for providing and using a VLAN-aware storage device | |
| EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
| US6801528B2 (en) | System and method for dynamic simultaneous connection to multiple service providers | |
| US7760729B2 (en) | Policy based network address translation | |
| US9264356B2 (en) | Network gateway apparatus | |
| WO2014121514A1 (zh) | 一种实现私网穿越的方法、装置和系统 | |
| JP2001292163A (ja) | 通信データ中継装置 | |
| US10848457B2 (en) | Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains | |
| US8082333B2 (en) | DHCP proxy for static host | |
| KR101358775B1 (ko) | 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치 | |
| US10855733B2 (en) | Method and system for inspecting unicast network traffic between end points residing within a same zone | |
| Dangovas et al. | SDN-driven authentication and access control system | |
| US20060268863A1 (en) | Transparent address translation methods | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| Monia et al. | iFCP-a protocol for internet fibre channel storage networking | |
| CN114006909B (zh) | 一种私有云租户间点对点单向动态专线连接的方法及系统 | |
| JP2004304696A (ja) | 暗号通信装置 | |
| US7570647B2 (en) | LAN type internet access network and subscriber line accommodation method for use in the same network | |
| WO2021121040A1 (zh) | 一种宽带接入的方法、装置、设备和存储介质 | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 | |
| JP2001036581A (ja) | 通信帯域設定システムと方法 | |
| US10749789B2 (en) | Method and system for inspecting broadcast network traffic between end points residing within a same zone | |
| US20210051076A1 (en) | A node, control system, communication control method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050314 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090331 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090601 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090908 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090917 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121002 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131002 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |