JP4907482B2 - 計算機システム及びファイル管理方法 - Google Patents

計算機システム及びファイル管理方法 Download PDF

Info

Publication number
JP4907482B2
JP4907482B2 JP2007251457A JP2007251457A JP4907482B2 JP 4907482 B2 JP4907482 B2 JP 4907482B2 JP 2007251457 A JP2007251457 A JP 2007251457A JP 2007251457 A JP2007251457 A JP 2007251457A JP 4907482 B2 JP4907482 B2 JP 4907482B2
Authority
JP
Japan
Prior art keywords
file
access
access information
acl
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007251457A
Other languages
English (en)
Other versions
JP2009080779A (ja
Inventor
仁志 亀井
隆喜 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007251457A priority Critical patent/JP4907482B2/ja
Priority to US12/013,584 priority patent/US8281009B2/en
Publication of JP2009080779A publication Critical patent/JP2009080779A/ja
Application granted granted Critical
Publication of JP4907482B2 publication Critical patent/JP4907482B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/457Network directories; Name-to-address mapping containing identifiers of data entities on a computer, e.g. file names

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本発明は、ファイルサーバがクライアントに提供するファイルシステム名前空間を仮想化する装置に関する。
ファイルサーバは、ネットワークを通して複数のクライアントにファイル共有サービスを提供する。クライアントは、ファイルサーバに格納されたファイルを他のクライアントと共有する。こうすることによって、複数の利用者が特定のファイルに格納されたデータを共有できる。
ファイルサーバへ格納されるデータ量の増加に伴い、企業や団体で運用されるファイルサーバ数は増加する傾向にある。そのため、様々なファイルサーバにファイルが分散し、ファイルの保存場所の把握が困難となっている。
その問題を解決するために、グローバルネームスペース(GNS)技術がある。GNSはファイルサーバ毎に個別に管理されたファイル名前空間を一つに統合して、仮想的なファイル名前空間を作成し、作成された仮想名前空間をクライアントへ提供する。これによって、様々なファイルサーバ上のデータを統合されたファイルアクセスパスでアクセス可能とすることができる。このように、GNSはファイルサーバを仮想化する機能を提供する。
一方、ファイルサーバで管理されるファイルにアクセス可能なユーザを制限するために、ファイルのアクセスが制御されている。通常、ファイルサーバは、部門等の単位で運用されており、部門内のユーザに対してファイルのアクセスを許可している。また、ファイル毎にアクセスを許可するユーザを設定し、情報漏洩を防止している。このようなアクセス制御方式にアクセス制御リスト(ACL)と呼ばれる方式がある。
ACLは、「ユーザ」と「操作」と「アクセス可否」とを組みにしたアクセス制御エントリ(ACE)を集めて構成される。
但し、ACEは0個でもよく、その場合はファイル所有者以外のすべてのユーザがアクセスを拒否される。
また、ACLには、あるディレクトリへ設定したACLを、そのディレクトリに含まれるファイルシステムオブジェクト(例えば、ファイル及びディレクトリ)へ設定する「継承機能」がある。継承機能が有効となっているACLを継承ACLと称する。また、継承ACLが設定されたファイルシステムオブジェクトの上位ディレクトリを親ディレクトリ称し、また、継承ACLが設定されたファイルシステムオブジェクトを子ファイル又は子ディレクトリと称する。
GNSでは、中間装置によって、ファイルサーバを統合して仮想的な名前空間をクライアントへ提供している。クライアントからは通常のファイルサーバへのアクセスと同じく、アクセス要求を中間装置へ送信する。中間装置は、通常のファイルサーバと同じに認識されるため、GNSにおいてもアクセス制御機能を提供する必要がある。
特開2003−203029号公報 米国特許第6061684号明細書
GNSは、複数のファイルサーバによって提供されるファイル名前空間を、一つの仮想的なファイル名前空間へ接続する。クライアントは仮想的なファイル名前空間内のファイルツリーに対して、ファイルアクセスを要求する。
このとき、クライアントから仮想ファイル名前空間のディレクトリに継承ACLを設定すると、その継承ACLはディレクトリに格納されているファイルシステムオブジェクトにも継承ACLが設定される。例えば、ファイルサーバAにあるディレクトリを親ディレクトリとして、その親ディレクトリの下位のディレクトリにファイルサーバBを接続した場合、ファイルサーバAの親ディレクトリと、ファイルサーバB内のファイルシステムオブジェクトとは、継承ACLが異なった状態となる。
ここで、GNSの構成方法と継承ACLの付与について考慮する。GNSでは、仮想ファイル名前空間へファイルサーバを接続する。接続元となる親ディレクトリに継承ACLが設定されている場合、そのまま仮想ファイル名前空間へ接続すると、ファイルツリーの途中から継承ACLが設定されていない状態となる。
そのため、親ディレクトリに継承ACLが設定されているにもかかわらず、子ファイル又は子ディレクトリに継承ACLが設定されていない状態となる。この状態でGNSを運用し、親ディレクトリのACLによってアクセス可否を判定すると、本来、ファイルへのアクセスを禁止されるユーザにアクセスを許可する可能性がある。
さらに、GNSを運用して継承ACLが付与された状態で、接続しているファイルサーバを切り離すと、切り離された後もファイルサーバ内のファイルシステムオブジェクトに継承ACLが設定されたままとなる。このファイルサーバを別のGNSツリーへ接続した場合、不要な継承ACLが設定され続け、その継承ACLによって、ファイルへのアクセスが禁止されるユーザにアクセスを許可する可能性がある。
本発明は、GNSで構成定義を変更する前後で、継承ACLを正しく設定して、ファイルへのアクセス可否を適切に判定することを目的とする。
本発明の代表的な一例を示せば以下の通りである。すなわち、ファイルシステムを格納する少なくとも一つのファイルサーバと、前記ファイルサーバによって提供されるファイルシステムを仮想的な名前空間に接続する中間装置と、前記ファイルサーバと前記中間装置とを接続するネットワークと、を備え、前記仮想的な名前空間内に接続されたファイルシステムを提供する計算機システムであって、前記中間装置は、前記ネットワークに接続されるインターフェースと、前記インターフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、前記ファイルシステムを前記仮想的な名前空間に接続する場合に、前記ファイルシステムが接続される前記仮想的な名前空間の場所の上位のディレクトリに設定されたアクセス情報を取得し、前記取得したアクセス情報の継承の設定の有無を判定し、前記継承の設定が有る前記取得したアクセス情報前記接続されるファイルシステムに設定し、前記ファイルシステムを前記仮想的な名前空間から分離する場合に、前記ファイルシステムが接続されている前記仮想的な名前空間の場所の上位のディレクトリに設定されているアクセス情報を取得し、前記取得したアクセス情報の継承の設定の有無を判定し、前記継承の設定が有る前記取得したアクセス情報を前記分離されるファイルシステムのアクセス情報から削除する。
本発明の一実施形態によると、GNSで構成定義を変更する前後で、継承ACLを正しく作用させることが可能となる。
まず、本発明の概要について説明する。
本発明の実施の形態の計算機システムは、GNSで、仮想ファイル名前空間に新たなファイルサーバ(ファイルシステム)を接続するときに、接続元のツリーに継承ACLが設定されている場合は、ファイルサーバを仮想ファイル名前空間へ接続する時に継承ACLを設定する。また、逆に、ファイルサーバを仮想ファイル名前空間から切断するときに、接続元のツリーに設定されている継承ACLを削除する。これら二つの処理をGNSの構成定義時に実行することによって、継承ACLを正しく設定可能とする。
また、本発明の別の実施の形態の計算機システムは、GNSを提供する中間装置がファイルアクセス要求を受け取ったときに、継承ACLとファイルに設定されているACLとを合成し、ファイルへのアクセス可否を判定する。こうすることによって、アクセス可否の判定時のみに一時的に継承ACLが作成されるため、継承ACLを格納しておくディスク資源の消費を押さえることができる。また、ファイルサーバの接続時の処理が軽くなり、迅速にファイルサーバを接続することができる。
また、本発明の別の実施の形態の計算機システムは、GNSを提供する中間装置がファイルアクセス要求を受け取った時に、継承ACLに基づいてファイルのアクセス可否を判定し、その判定でアクセス可否が決定しない場合は、ファイルに設定されているACLでアクセスの可否を判定する。こうすることによって、継承ACLのみでアクセス可否を決定することができれば、高速にアクセス可否を判定できる。
本発明の実施形態について図面を参照して詳細に説明する。
<第1実施形態>
図1は、本発明の第1の実施の形態におけるクライアント・サーバ型の計算機システム(ネットワークファイルシステム)のシステム構成図である。
図1に示すように、第1の実施の形態のクライアント・サーバ型の計算機システムは、少なくとも1台のクライアント計算機100、少なくとも1台の中間装置200、及び、少なくとも1台の末端装置300を備える。さらに、計算機システムは、管理装置5000を備える。
なお、計算機システムが、末端装置300を1台も備えなくてもよい。クライアント100、中間装置200、管理装置5000及び末端装置300は、それぞれコンピュータによって構成され、LAN又はインターネット等のネットワーク101に接続され、相互にネットワーク101を介して通信可能となっている。
末端装置300は、クライアント100にファイルサービスを提供するファイルサーバである。
中間装置200は、ファイルサービスを利用するクライアント100と、ファイルサービスを提供する末端装置300との間に配置される。中間装置200は、クライアント100から末端装置300への要求と、末端装置300からクライアント100への応答とを中継するスイッチである。また、中間装置200は、クライアント100にファイルサービスを提供するファイルサーバである。つまり、中間装置200は末端装置としての機能も有する。
管理装置5000は、GNSの管理者がGNSの構成を定義するために利用する管理用の端末装置である。管理装置5000は、図1に示すように独立に存在してもよい。また、クライアント100、中間装置200又は末端装置300において、管理プログラム5003を動作させることによって、管理装置5000の機能を提供してもよい。
クライアント100から中間装置200及び末端装置300への要求は、中間装置200及び末端装置300へ何らかの処理を要求するメッセージ信号であり、中間装置200及び末端装置300からクライアント100への応答は、中間装置200及び末端装置300が要求に対して応答するメッセージ信号である。さらに、管理装置5000から中間装置200への要求は、何らかの処理を要求するメッセージ信号である。
なお、中間装置200は、論理的に、クライアント100と末端装置300の間に位置すればよい。すなわち、図1では、クライアント100、中間装置200及び末端装置300が同一のネットワーク101に接続されているが、論理的には、中間装置200は各クライアント100と各末端装置300との間に配置されており、クライアント100と末端装置300との通信を中継する。
図2は、本発明の第1の実施の形態における中間装置200の構成を示すブロック図である。
図2に示すように、第1の実施の形態の中間装置200は、少なくとも一つのプロセッサ201と、メモリ202と、メモリ−入出力バス204と、入出力コントローラ205と、記憶装置206とを備える。
メモリ202は、構成情報管理プログラム400と、スイッチプログラム600と、ファイルシステムプログラム203と、継承ACL設定/削除プログラム5100とを格納する。プロセッサ201が、これらのメモリ202に格納されたプログラムを実行することによって、中間装置200の各機能が実現される。
継承ACL設定/削除プログラム5100は、継承ACL情報5300を含む。なお、継承ACL情報5300は、継承ACL設定/削除プログラム5100中に図示したが、継承ACL設定/削除プログラム5100とは別に構成されていてもよい。
メモリ−入出力バス204は、プロセッサ201、メモリ202及び入出力コントローラ205を接続し、これらの構成間でデータを転送する。入出力コントローラ205は、ネットワーク101を介して、クライアント100及び末端装置300等と接続され、これらの装置との間でデータを入出力する。また、入出力コントローラ205は、記憶装置206と接続され、記憶装置206との間でデータを入出力する。
記憶装置206は、ファイル等のデータを管理する少なくとも一つのファイルシステム207を格納する。このファイルシステム207は、ファイルシステムプログラム203によって提供される。また、記憶装置206は、既存ACL情報(図15参照)を格納する。
図3は、本発明の第1の実施の形態における末端装置300の構成を示すブロック図である。
図3に示すように、第1の実施の形態の末端装置300は、少なくとも一つのプロセッサ301と、メモリ302と、メモリ−入出力バス304と、入出力コントローラ305と、記憶装置306とを備える。
メモリ302は、ファイルシステムプログラム203を格納する。なお、図3には示していないが、メモリ302は、さらに構成情報管理プログラム400を格納してもよい。
メモリ−入出力バス304は、プロセッサ301、メモリ302及び入出力コントローラ305を接続し、これらの構成間でデータを転送する。入出力コントローラ305は、ネットワーク101を介して、クライアント100及び中間装置200等と接続され、これらの装置との間でデータを入出力する。また、入出力コントローラ305は、記憶装置306と接続され、記憶装置306との間でデータを入出力する。
記憶装置306は、ファイル等のデータを管理する少なくとも一つのファイルシステム307を格納する。このファイルシステム307は、ファイルシステムプログラム203によって提供される。
図4は、本発明の第1の実施の形態の中間装置200における構成情報管理プログラム(サーバ)400sの構成を示す機能ブロック図であり、図5は、中間装置200における構成情報管理プログラム(クライアント)400cの構成を示す機能ブロック図である。
複数の中間装置200の1台(代表ノード)では、構成情報管理プログラム(サーバ)400s(図4)が動作し、他の中間装置200では、構成情報管理プログラム(クライアント)400c(図5)が動作している。
図4に示すように、第1の実施の形態の構成情報管理プログラム(サーバ)400sは、GNS構成情報管理サーバ部401sと、中間装置情報管理サーバ部403と、構成情報通信部404とを備える。また、構成情報管理プログラム(サーバ)400sが動作する中間装置200は、共有ID空き管理リスト402と、中間装置構成情報リスト405と、GNS構成情報テーブル1200sとを格納する。
GNS構成情報管理サーバ部401sは、中間装置200のファイルシステム207によって提供されるディレクトリ構造を、GNS空間にマウントし、さらにGNSツリー構造を管理する。共有ID空き管理リスト402は、使用可能な共有IDをプールするリストである。GNS構成情報テーブル1200sは、GNSの構成の情報を保持するテーブルで、その詳細は、図14を用いて後述する。
中間装置情報管理サーバ部403は、複数の中間装置200を統合的に処理するための処理を行う。中間装置構成情報リスト405は、複数の中間装置200の構成の情報を保持する。
構成情報通信部404は、ネットワーク101との間のプロトコルを制御する。
図5に示すように、第1の実施の形態の構成情報管理プログラム(クライアント)400cは、GNS構成情報管理クライアント部401cと、構成情報通信部404とを備える。また、構成情報管理プログラム(クライアント)400cが動作する中間装置200は、GNS構成情報テーブルキャッシュ1200cを格納する。
GNS構成情報管理クライアント部401cは、中間装置200のファイルシステム207によって提供されるディレクトリ構造を、GNS空間にマウントし、さらにGNSツリー構造を管理する。また、GNS構成情報管理クライアント部401cは、GNS構成情報テーブルキャッシュ1200cに保持される情報を、構成情報管理プログラム(サーバ)400sのGNS構成情報テーブル1200sと同期する。
GNS構成情報テーブルキャッシュ1200cは、GNS構成情報テーブル1200sと同じ情報を格納する。すなわち、全ての中間装置200が、GNS構成情報テーブルに同じ情報を保持している。構成情報通信部404は、ネットワーク101との間のプロトコルを制御する。
図6は、本発明の第1の実施の形態の中間装置200におけるスイッチプログラム600の構成を示す機能ブロック図である。
図6に示すように、第1の実施の形態のスイッチプログラム600は、クライアント通信部606と、中間・末端装置通信部605と、ファイルアクセス管理部700(図7参照)と、オブジェクトID変換処理部604と、擬似ファイルシステム601とを備える。
クライアント通信部606は、クライアント100からの要求を受信し、受信した要求をファイルアクセス管理部700に出力する。また、クライアント通信部606は、ファイルアクセス管理部700から出力されたデータを、クライアント100への応答として送信する。
中間・末端装置通信部605は、ファイルアクセス管理部700から出力されたデータ及びオブジェクトID変換処理部604から出力されたデータを、中間装置200又は末端装置300への要求として送信する。また、中間・末端装置通信部605は、中間装置200及び末端装置300からの応答を受信し、ファイルアクセス管理部700又はオブジェクトID変換処理部604へ出力する。
ファイルアクセス管理部700は、クライアント通信部606から出力されたデータを解析し、クライアント100からの要求の処理方法を決定し、決定された処理方法を中間・末端装置通信部605又はオブジェクトID変換処理部604に出力する。また、ファイルアクセス管理部700は、クライアント100からの要求が自中間装置200に備わるファイルシステム207(ローカルファイルシステム)に対する要求である場合、ファイルシステムプログラム203を通じて、記憶装置206に格納されたデータを取得し、取得したデータをクライアント通信部606へ出力する。さらに、ファイルアクセス管理部700は、継承ACL設定/削除プログラム5100から、中間装置200及び末端装置300が管理するファイルシステムオブジェクトのACLの設定及び削除の要求を受け取る。そして、ACLの設定又は削除の要求を、中間・末端装置通信部605を通して、処理の対象となる中間装置200又は末端装置300へ送信する。
オブジェクトID変換処理部604は、クライアント100から受信した要求メッセージに含まれるオブジェクトIDを末端装置300が認識できる形式に変換する。また、オブジェクトID変換処理部604は、末端装置300から受信した応答メッセージに含まれるオブジェクトIDをクライアント100が認識できる形式に変換する。
ここで、オブジェクトIDは、ファイルシステムで管理されるファイルに付される識別子であり、例えば、NFSにおいてはファイルハンドルである。
擬似ファイルシステム601は、中間装置200及び末端装置300のファイルシステム207を、擬似ファイルシステム601のルートディレクトリより下位のディレクトリにマッピングすることによって作成される、仮想的なファイルシステムである。
図7は、本発明の第1の実施の形態におけるファイルアクセス管理部700の構成を示す機能ブロック図である。
図7に示すように、ファイルアクセス管理部700は、要求データ処理部701と、要求データ解析部702と、応答データ出力部703とを備える。また、ファイルアクセス管理部700が動作する中間装置200は、スイッチ情報管理テーブル800(図10参照)と、サーバ情報管理テーブル900(図11参照)と、アルゴリズム情報管理テーブル1000(図12参照)と、接続ポイント管理テーブル1100(図13参照)とを備える。
なお、スイッチ情報管理テーブル800、サーバ情報管理テーブル900、アルゴリズム情報管理テーブル1000、及び接続ポイント管理テーブル1100は、ファイルアクセス管理部700中に図示したが、ファイルアクセス管理部700とは別に構成されていてもよい。
要求データ解析部702は、クライアント通信部606から出力された要求データを解析し、要求されたデータに対応するファイルのオブジェクトIDを取得する。さらに、要求データ解析部702は、取得したオブジェクトIDから共有IDを取得する。
要求データ処理部701は、要求データ解析部702が取得した共有IDに基づいて、スイッチ情報管理テーブル800と、サーバ情報管理テーブル900と、アルゴリズム情報管理テーブル1000と、接続ポイント管理テーブル1100とを参照し、要求データを処理する。
応答データ出力部703は、要求データ処理部701から出力されたデータを、クライアント100が理解可能な形式に変換して、変換されたデータをクライアント通信部606へ出力する。
図8は、本発明の第1の実施の形態における管理装置5000の構成を示すブロック図である。
図8に示すように、管理装置5000は、本実施形態の末端装置は、少なくとも一つのプロセッサ501と、メモリ502と、メモリ−入出力バス504と、入出力コントローラ505と、管理者ユーザインターフェース506とを備える。
メモリ502は、管理プログラム5003を格納する。プロセッサ501が、これらのメモリ502に格納されたプログラムを実行することによって、管理装置5000の各機能が実現される。
メモリ−入出力バス504は、プロセッサ501、メモリ502及び入出力コントローラ505を接続し、これらの構成間でデータを転送する。入出力コントローラ505は、ネットワーク101を介して、クライアント100、中間装置200及び末端装置300と接続され、これらの装置との間でデータを入出力する。
なお、管理プログラム5003は他の装置(例えば、中間装置200)にあってもよい。この場合は、他の装置が管理装置5000として動作する。
図9は、本発明の第1の実施の形態における継承ACL設定/削除プログラム5100の構成を示す機能ブロック図である。
図9に示すように、継承ACL設定/削除プログラム5100は、ACL設定部5101と、ファイル検索部5102と、ACL取得部5103と、継承ACL設定/削除処理部5104と、継承ACL情報5300とを含む。なお、継承ACL情報5300は、継承ACL設定/削除プログラム5100中に図示したが、継承ACL設定/削除プログラム5100とは別に構成されていてもよい。
ACL設定部5101は、ファイルシステムプログラム203又はスイッチプログラム600へ、承継ACL設定/削除要求を送信する。ファイル検索部5102は、仮想名前空間を構成する際に、継承ACLを付与又は削除する対象のファイルを検索する。
ACL取得部5103は、ファイルシステムオブジェクトに付与されたACLを取得する。また、ACL取得部5103は、スイッチプログラム600又はファイルシステムプログラム203へ、ACLを取得するための要求を送信する。
継承ACL設定/削除処理部5104は、仮想名前空間の構成変更時に、構成情報管理プログラム400から、仮想名前空間の構成変更要求を受け取り、継承ACLを設定又は削除する。継承ACL情報5300は、ファイルシステムオブジェクトに設定される継承ACL情報を保持する。なお、本実施の形態では、継承ACL情報はテーブル形式で保持される。
図10は、本発明の第1の実施の形態におけるスイッチ情報管理テーブル800の構成を示す図である。
スイッチ情報管理テーブル800は、共有ID801と、サーバID802と、アルゴリズム情報ID803との組によって構成されたエントリを格納するテーブルである。
共有ID801は、ファイルサービスの公開単位を特定する識別子であり、共有毎に一意に設定される。サーバID802は、サーバを識別するための識別子である。アルゴリズム情報ID803は、オブジェクトIDを変換するアルゴリズムを識別する識別子である。
スイッチ情報管理テーブル800を参照することによって、サーバ情報及びアルゴリズム情報を特定するためのIDを取得することが可能になる。スイッチ情報管理テーブル800では、同一の共有IDに対して複数エントリを持つことが可能である。
また、一つのエントリに共有ID、サーバID、アルゴリズム情報IDが一つずつ記録されるが、一つのエントリに一つの共有IDと2組以上のサーバID及びアルゴリズム情報IDの組が記録されてもよい。また、一組以上のサーバID及びアルゴリズム情報IDがリスト形式で格納され、各組が共有IDに関連付けられてもよい。
図11は、本発明の第1の実施の形態におけるサーバ情報管理テーブル900の構成を示す図である。
サーバ情報管理テーブル900は、サーバID901と、サーバ情報902との組によって構成されたエントリを格納するテーブルである。サーバ情報902は、例えば、IPアドレスやソケット構造体等である。スイッチ情報管理テーブル800と、サーバ情報管理テーブル900とを参照することによって、クライアント100からの要求の処理先を特定することが可能になる。
図12は、本発明の第1の実施の形態におけるアルゴリズム情報管理テーブル1000の構成を示す図である。
アルゴリズム情報管理テーブル1000は、アルゴリズム情報ID1001と、アルゴリズム情報1002との組によって構成されたエントリを格納するテーブルである。アルゴリズム情報1002は、オブジェクトIDを変換する際に必要な情報であり、例えば、オブジェクトIDの変換規則、オブジェクトIDの変換規則の格納場所を示すポインタである。
スイッチ情報管理テーブル800と、アルゴリズム情報管理テーブル1000とを参照することによって、オブジェクトIDの変換方法を特定することが可能になる。
なお、第1の実施の形態では、スイッチ情報管理テーブル800と、サーバ情報管理テーブル900と、アルゴリズム情報管理テーブル1000とは別々のテーブルで構成されているが、スイッチ情報管理テーブル800にサーバ情報902及びアルゴリズム情報1002を含めてもよい。
図13は、本発明の第1の実施の形態における接続ポイント管理テーブル1100の構成を示す図である。
接続ポイント管理テーブル1100は、接続元オブジェクトID1101と、接続先共有ID1102と、接続先オブジェクトID1103との組によって構成されたエントリを格納するテーブルである。
接続ポイント管理テーブル1100を参照することによって、中間装置200は、ある共有から別の共有へ跨るアクセスの場合も、クライアント100が単一の共有へのアクセス手順のみでアクセスを可能とするように、名前空間を仮想化できる。
なお、接続ポイント管理テーブル1100に格納される接続元オブジェクトID1101及び接続先オブジェクトID1103は、クライアント100と中間装置200でやり取りされるものでもよい。また、それとは異なっていてもオブジェクトを特定できる識別子であればよい。
図14は、本発明の第1の実施の形態におけるGNS構成情報テーブル1200sの構成を示す図である。
GNS構成情報テーブル1200sは、共有ID1201と、GNSパス名1202と、サーバ名1203と、共有パス名1204と、共有設定情報1205と、アルゴリズム情報ID1206との組によって構成されたエントリを格納するテーブルである。
共有ID1201は、ファイルサービスの公開単位を特定するIDである。GNSパス名1202は、その共有IDに対応する共有を単一名前空間に統合するパスである。サーバ名1203は、その共有IDに対応する共有を保有するサーバ名である。共有パス名1204は、その共有IDに対応する共有のサーバ上でのパス名である。
共有設定情報1205は、その共有IDに対応する共有のトップディレクトリに設定する情報であり、具体的には読み込み専用を示す情報や、アクセス可能なホストの制限に関する情報等である。アルゴリズム情報ID1206は、その共有IDに対応する共有のオブジェクトIDの変換方法を示す識別子である。
なお、GNS構成情報テーブル1200sは、一つの共有IDに対して複数エントリを持っていてもよい。
なお、前述したように、GNS構成情報テーブルキャッシュ1200cは、GNS構成情報テーブル1200sと同じ構造を有し、同じ情報を格納する。
次に、アクセス制御リスト(ACL:Access Control List)について説明する。ACLは、継承ACL情報5300や既存ACL情報5200と同じ表形式の情報であり、継承ACL情報5300と既存ACL情報5200とはACLの一つである。このACLを構成する一つのエントリがアクセス制御エントリ(ACE:Access Control Entry)である。
図15は、本発明の第1の実施の形態における継承ACL情報5300の構成を示す図である。
継承ACL情報5300は、アカウント5301と、マスク5302と、拒否/許可5303と、継承先5304との組によって構成されたエントリを格納するテーブルである。
アカウント5301は、このエントリがアクセス制御の対象とするアカウントが記録される。例えば、アカウントはユーザ識別子である。
マスク5302は、アクセス制御対象操作を定めるフラグであり、例えば、「読み込み操作」や「書き込み操作」を示すフラグである。
拒否/許可5303は、このエントリが許可を定めるエントリか、又は拒否を定めるエントリかを記録するフラグである。
継承先5304は、このエントリが継承されるべきファイルシステムオブジェクトの種類を記録するフラグである。例えば、ファイルのみに継承される場合は、継承先5304にファイルを示すフラグが設定される。一方、いかなるファイルシステムオブジェクトにも継承されない場合は、このフラグは設定されない(値が”0”となる)。
次に、既存ACL情報5200の構成について説明する、既存ACL情報5200は、 図15に示した継承ACL情報5300と同じフィールドによって構成されたエントリを格納する。各フィールドは、継承ACL情報5300と同じ意味である。
図16A及び図16Bは、本発明の第1の実施の形態における、クライアント100、中間装置200、末端装置300の間でやり取りされるオブジェクトIDのフォーマットを示す図である。
クライアント100と中間装置200との間でやり取りされるオブジェクトIDのフォーマットは、共有IDフォーマットでオブジェクトIDを生成できる装置のオブジェクトと、共有IDフォーマットでオブジェクトIDを生成できない装置のオブジェクトで異なる。
共有IDフォーマットでオブジェクトを生成できる装置は、中間装置200と一部の末端装置300である。この場合、クライアント100と中間装置200との間、中間装置200同士の間、及び中間装置200と末端装置300との間でやり取りされるオブジェクトIDフォーマットは不変である(変換されない)。
共有IDフォーマットでオブジェクトIDを生成できる装置のオブジェクトIDのフォーマットは、図16Aに示すように、オブジェクトID形式1301と、共有ID1302と、ファイルID1303とを含む。
オブジェクトID形式フィールド1301には、オブジェクトIDのファーマットを示すフィールドで、共有IDフォーマットであることを示す値が記録される。共有IDフィールド1302には、共有を特定(共有は複数ある場合もある)するための共有IDが記録される。ファイルIDフィールド1303には、そのオブジェクトを保有する装置がオブジェクトを特定するためのIDが記録される。
一方、共有IDフォーマットでオブジェクトIDを生成できない装置は、一部の末端装置300である。例えば、オブジェクトIDのビット数が異なる末端装置300(ファイルシステム307)は、共有IDフォーマットでオブジェクトIDを生成できない。
この場合、クライアント100と中間装置200との間でやり取りされるオブジェクトIDフォーマットと、中間装置200と末端装置300との間でやり取りされるオブジェクトIDフォーマットとは異なる。クライアント100と中間装置200との間でやり取りされるオブジェクトIDのフォーマットは、図16Bに示すように、オブジェクトID形式フィールド1301、共有IDフィールド1302、変換後の装置オブジェクトIDフィールド1304を含む。オブジェクトID形式フィールド1301、共有IDフィールド1302は、先に図16Aで説明したとおりである。
変換後の装置オブジェクトIDフィールド1304には、中間装置200と末端装置300との間でやり取りされるオブジェクトIDであるオリジナルの装置オブジェクトID1305を変換した値が記録される。オブジェクトIDフォーマットが可変で、その長さに余裕がある場合は、オリジナルの装置オブジェクトID1305をそのまま記録してもよい。中間装置200と末端装置300との間でやり取りされるオブジェクトIDから、クライアント100と中間装置200とのでやり取りされるオブジェクトIDへの変換を正変換といい、クライアント100と中間装置200との間でやり取りされるオブジェクトIDから、中間装置200と末端装置300との間でやり取りされるオブジェクトIDへの変換を逆変換といい。この変換はアルゴリズム情報で特定された規則に基づいて行われる。
次に、第1の実施の形態の中間装置200の動作について説明する。第1の実施の形態の中間装置200は、複数の共有を単一の共有に仮想化したファイル共有サービスをクライアント100に提供する。なお、以下に説明する処理は、プロセッサ201がメモリ202に格納されたプログラムを実行することによって、処理が行われる。
図17は、本発明の第1の実施の形態における、中間装置200による共有の名前空間を仮想化する処理を示すフローチャートである。
クライアント通信部606は、クライアント100よりファイルアクセス要求を受信する。このファイルアクセス要求は、例えば、NFSプロトコルのリモートプロシージャーコール(RPC)である。ファイルアクセス管理部700は受信した要求からオブジェクトIDを抽出する。そして、抽出されたオブジェクトIDの形式が共有ID形式か否かを判定する(S101)。
受信した要求から抽出されたオブジェクトIDが共有ID形式でなかった場合は、従来のファイルサービス処理を行い(S102)、処理を終了する。
受信した要求から抽出されたオブジェクトIDが共有ID形式であった場合は、受信した要求の中のオブジェクトIDの共有IDと一致する共有IDを含むエントリがスイッチ情報管理テーブル800にあるか否かを判定する。スイッチ情報管理テーブル800中に、条件に合致する(同じ共有IDを含む)エントリは、前述したように複数存在する場合がある。
一致するエントリがない場合は(S105で”NO”)、この要求は、この要求を受信した中間装置200が処理を行うべきであると判断し、GNSローカル処理を行う(S300)。なお、GNSローカル処理(S300)は、図19を用いて後述する。
一方、一致するエントリがある場合は(S105で”YES”)、この要求は、この要求を受信した中間装置200以外の中間装置200が処理を行うべきであると判断し、共有IDが一致するエントリから一組のサーバIDとアルゴリズム情報IDとの組を取得する(S106)。条件に合致するエントリが複数ある場合には、ラウンドロビンで取得する情報の組を決めたり、予め測定しておいた応答時間の早いサーバを含む組の情報を取得してもよい。
次に、アルゴリズム情報管理テーブル1000を参照し、取得した組のアルゴリズム情報IDと一致するアルゴリズム情報を取得する。取得したアルゴリズム情報に基づいて、要求中に含まれるオブジェクトIDを逆変換する(S107)。図12で示したように、アルゴリズム情報には、何も変換しないアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除するだけのアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除した後、変換後の装置オブジェクトIDフィールド1304等の情報に基づき、オリジナルの装置オブジェクトIDを復元するアルゴリズム等がある。
次に、ファイルアクセス要求レベルでトランザクションを管理しているプロトコルで、要求中にトランザクションIDが含まれる場合は、そのトランザクションIDを保存し、これから要求を転送する宛先の装置に対するトランザクションIDを付与する(S108)。この場合、サーバ情報管理テーブル900を参照し、取得した組のサーバIDと一致するサーバ情報902を取得することによって、転送先の装置を特定する。
次に、サーバ情報902に基づいて定められた装置に、変換後のファイルアクセス要求を送信し(S109)、送信先装置からの応答メッセージを待つ(S110)。
その後、ファイルアクセス要求を送信した装置から応答メッセージを受信したら、応答処理を行い(S200)、処理を終了する。なお、応答処理(S200)は、図18を用いて後述する。
図18は、本発明の第1の実施の形態における、中間装置200による他の装置から応答メッセージを受信した際の中間装置200による応答処理(S200)を示すフローチャートである。
中間装置200は、末端装置300又は他の中間装置200から応答メッセージを受信する(S201)。
オブジェクトIDが応答メッセージ中に含まれている場合は、処理S107で使用されたアルゴリズム情報に基づき、メッセージ中に含まれるオブジェクトIDを正変換する(S202)。
ファイルアクセス要求レベルでトランザクションを管理しているプロトコルで、応答メッセージ中にトランザクションIDが含まれる場合は、処理S108において保存されていたトランザクションIDを応答メッセージに上書きする(S203)。
その後、共有を跨るアクセスの場合の特別の処理である接続ポイント処理を行い(S400)、応答処理を終了する。なお、接続ポイント処理(S400)は、図20を用いて後述する。
図19は、本発明の第1の実施の形態における、ファイルアクセス要求を受信した中間装置200が処理を行うべき要求であると判断した場合に実行されるGNSローカル処理(S300)を示すフローチャートである。
まず、オブジェクトID中の共有IDとファイルIDに基づいてファイルを特定する(S301)。
次に、受信した要求中のオペレーション情報に基づいて、応答メッセージを作成する(S302)。なお、受信した要求が応答メッセージ中にオブジェクトIDを含めることが必要である場合には、オブジェクトIDは、受信した形式と同じ共有ID型フォーマットを用いる。
その後、共有を跨るアクセスの場合の特別の処理である接続ポイント処理を行い(S400)、GNSローカル処理を終了する。なお、接続ポイント処理(S400)は、図20を用いて後述する。
図20は、本発明の第1の実施の形態における、共有を跨るアクセスの場合の特別な処理である接続ポイント処理(S400)を示すフローチャートである。
まず、応答メッセージ中に、ファイルアクセス要求で指定されたオブジェクトから見て、子オブジェクト又は親オブジェクトのオブジェクトIDが含まれるか否かを判定する(S401)。例えば、これは、NFSでは、LOOKUPプロシージャの応答メッセージや、READ DIRプロシージャの応答メッセージや、READ DIR PLUSプロシージャの応答メッセージが、このようなオブジェクトIDを含む。応答メッセージ中に、このようなオブジェクトIDを含まない場合は、接続ポイント処理を終了する。
子オブジェクト又は親オブジェクトのオブジェクトIDが、応答メッセージ中に含まれる場合、応答メッセージ中の最初の子オブジェクト又は親オブジェクトのオブジェクトIDを取得する(S402)。
そして、接続ポイント管理テーブル1100を参照して、取得したオブジェクトIDのオブジェクトが接続ポイントか否かを判定する(S403)。具体的には、取得したオブジェクトIDが、接続ポイント管理テーブル1100の接続元オブジェクトIDフィールドに登録されたIDと一致するエントリがあるかを検索する。
オブジェクトIDが一致するエントリがない場合は、取得したオブジェクトIDのオブジェクトは接続ポイントではないので、応答メッセージ中に他に子オブジェクト又は親オブジェクトのオブジェクトIDが含まれているか否かを判定する(S407)。さらに、他のオブジェクトIDが含まれてない場合は、接続ポイント処理を終了する。一方、他のオブジェクトIDが含まれている場合は、応答メッセージ中の次の子オブジェクト又は親オブジェクトのオブジェクトIDを取得する(S408)。そして、S403からの処理を繰り返す。
一方、オブジェクトIDが一致するエントリがある場合は、取得したオブジェクトIDのオブジェクトは接続ポイントなので、その応答メッセージ中に含まれる接続元オブジェクトIDを接続先オブジェクトIDに置換する(S404)。
次に、そのオブジェクトに関連する付随情報があるか否かを判定する(S405)。例えば、付随情報とは、そのオブジェクトの属性情報である。付随情報がない場合は、S407の処理へ進む。付随情報がある場合は、接続元オブジェクトの付随情報を接続先オブジェクトの付随情報に置換して(S406)、S407の処理へ進む。
S407以降の処理は先に述べたとおりである。
以上説明した第1の実施の形態によれば、共有ID形式でオブジェクトIDを生成できる装置ではオブジェクトID変換が不要なため、ファイルに対するアクセスの遅延(レイテンシ)を短縮できる効果がある。
次に、管理者が、管理端末5000の管理者ユーザインターフェース506を用いて、GNSを構成する共有の統合の処理手順について説明する。
図21は、本発明の第1の実施の形態の共有統合処理における管理装置5000と中間装置200との動作を示すフローチャートである。
まず、管理者は、管理者ユーザインターフェース506から、統合したい共有のサーバ名、アルゴリズム情報ID、共有パス名、共有設定情報、GNSパス名を入力する(S501)。ここで、GNSパス名とは仮想化された一つの共有におけるパス名である。
これらの入力された情報を、システム内の一つの中間装置200で動作する構成情報管理プログラム(サーバ)400sに転送する(S502)。
構成情報管理プログラム(サーバ)400sは、共有ID空き管理リスト402を参照して、システム内で一意の共有IDを選択する(S503)。
そして、受信した情報及び選択された共有IDに基づいてエントリを生成し、生成されたエントリをGNS構成情報テーブル1200sに追加する(S504)。
各中間装置200に対して、追加されたエントリについてGNS情報の統合を要求する(S505)。要求を受け取った中間装置200(構成情報管理プログラム(クライアント)400cが動作する中間装置200)は、共有統合ローカル処理を行い(S600)、その後、共有統合処理を終了する。なお、共有統合ローカル処理(S600)は、図22を用いて後述する。
図22は、共有統合処理(図21)から呼び出される、共有統合ローカル処理(S600)を示すフローチャートである。
まず、追加したエントリと同じ内容を取得し、GNS構成情報テーブルキャッシュ1200cに登録する(S601)。次に、そのエントリのサーバ名が自装置であるか否かを判定する(S602)。
サーバ名が自装置である場合(S602で”YES”)、エントリの情報に基づいて、GNSツリーの該当する箇所に、bindマウントを実行する(S605)。そして、継承ACL設定処理を実行する(S1000)。その後、S606の処理へ進む。なお、継承ACL設定処理(S1000)は、図23を用いて後述する。
一方、サーバ名が自装置でない場合(S602で”NO”)、エントリの情報に基づいて、GNSツリーの該当する箇所に、ネットワークマウントを実行する(S603)。そして、スイッチ情報管理テーブル800と接続ポイント管理テーブル1100とにエントリを追加する(S604)。
マウント完了後、共有情報をマウントディレクトリに設定して(S606)、共有統合ローカル処理を終了する。
図23は、共有統合ローカル処理(S600)から呼び出される、継承ACL設定処理(S1000)を示すフローチャートである。
まず、管理者が、管理装置5000の管理プログラム5003を通して、新たなファイルサーバをGNSへ接続する要求をすると、中間装置200の構成情報管理プログラム400は継承ACL設定/削除プログラム5100へ要求を送る。
継承ACL設定/削除プログラム5100は、GNSツリーのマウントポイントの一つ上位のディレクトリに付与されたACLの中から一つのACEを取得する(S1001)。
次に、処理がされていないACEがACLにあるか否かを判定する(S1002)。S1002で処理がされていないACEがあると判定された場合(S1002で”YES”)、S1001で取得したACEの継承先情報に基づいて、継承があるか否かを判定する(S1003)。そして、抽出されたACEに継承がある場合(S1004で”YES”)、継承ACL情報5300にそのACEを追加し(S1005)、S1001へ戻り、他のACEについてS1001から処理を実行する。一方、抽出されたACEに継承がない場合(S1004で”NO”)、そのACEについては何もせずにS1001へ戻る。そして、他のACEについてS1001から処理を実行する。
一方、S1002で処理がされていないACEがないと判定された場合(S1002で”NO”)、継承設定メイン処理を実行し(S1100)、最後に継承ACL情報5300を削除して(S1006)、継承ACL設定処理を終了する。なお、継承設定メイン処理(S1100)は、図24を用いて後述する。
図24は、継承ACL設定処理(S1000)から呼び出される、継承ACL設定メイン処理(S1100)を示すフローチャートである。
継承ACL設定/削除プログラム5100は、継承ACL設定処理(S1000)で作成された継承ACL情報5300の継承先5204から、ディレクトリへの継承を含む全てのACEを選択して、マウントポイントのディレクトリへ設定する(S1101)。そして、継承ACL設定/削除プログラム5100は、マウントポイント以下のファイルシステムオブジェクトを一つ選択する(S1102)。
そして、選択されたファイルシステムオブジェクトがファイルか否かを判定する(S1103)。その結果、選択されたファイルシステムオブジェクトがファイルである場合(S1103で”YES”)、継承ACL情報5300の継承先5204から、ファイルへの継承を含むACEをすべて選択する(S1104)。
その後、選択されたACEが既にACLに設定されているか(設定すべきACEが重複しているか)否かを判定する(S1110)。その結果、選択されたACEがACLに設定されていなければ、選択されたACEをACLに設定する(S1111)。一方、選択されたACEがACLに設定されていれば、重複するACEを除き(S1150)、重複しないACEを設定する(S1111)。
一方、選択されたファイルシステムオブジェクトがファイル以外(例えば、ディレクトリ)である場合(S1103で”NO”)、継承ACL情報5300の継承先5204から、ディレクトリへの継承を含む全てのACEを選択する(S1105)。
その後、選択されたACEが既にACLに設定されているか(設定すべきACEが重複しているか)否かを判定する(S1112)。その結果、選択されたACEがACLに設定されていなければ、選択されたACEをACLに設定する(S1113)。一方、選択されたACEがACLに設定されていれば、重複するACEを除き(S1151)、重複しないACEを設定する(S1113)。
さらに、ディレクトリに格納されているファイル又は下位のディレクトリを選択して、継承ACL設定メイン処理(S1100)を実行する(S1107)。
このように、対象となるファイルシステムオブジェクトがディレクトリであれば、そのディレクトリに格納されているファイルシステムオブジェクトを選択し、継承ACLを設定する。そして、ディレクトリの配下のファイル及びディレクトリに対して、この処理を続けることによって、再帰的に継承ACLを設定することができ、全てのファイルシステムオブジェクトに継承ACLを設定できる。
最後に、未選択のファイルシステムオブジェクトがあるか否かを判定し(S1106)、まだ未選択のものがある場合は(S1106で”YES”)、別のファイルシステムオブジェクトを一つ選択し(S1102)、以降の処理を実行する。一方、ファイルシステムオブジェクトがない場合(S1106で”NO”)、全てのファイルシステムオブジェクトに継承ACLの設定が完了しているので、継承ACL設定メイン処理を終了する。
図25は、本発明の第1の実施の形態における共有分離処理の処理フローを示すフローチャートである。
共有分離処理は、管理者が管理装置5000の管理プログラム5003を通して、ファイルサーバをGNSから分離する要求をしたときに実行される。
まず、管理者は、管理者ユーザインターフェース506から、分離したいディレクトリのGNSパス名を入力する(S1201)。ここで、GNSパス名とは仮想化された一つの共有におけるパス名である。
これらの入力された情報を、システム内の一つの中間装置200で動作する構成情報管理プログラム(サーバ)400sに転送する(S1202)。
構成情報管理プログラム(サーバ)400sは、S1202で受け取ったGNSパスからGNS構成情報テーブル1200sのエントリを特定し、GNS構成情報テーブル1200sからサーバ名及び共有パス名を取得する(S1203)。
そして、各中間装置200の構成情報管理プログラム(クライアント)400cへ、GNSの分離要求を送信する。
GNSの分離要求を受信した中間装置200(構成情報管理プログラム(クライアント)400cが動作する中間装置200)は、共有分離ローカル処理1300を実行する。なお、共有分離ローカル処理(S1300)は、図26を用いて後述する。
さらに、構成情報管理プログラム(サーバ)400sは、GNS構成情報テーブル1200の不要なエントリを削除する(S1206)。例えば、管理者が要求したGNSパス名とGNS構成情報テーブル1200sのGNSパス名1202とが一致するエントリは不要なエントリである。
最後に、共有統合処理(図21のS503)で選択した共有IDを、共有ID空き管理リスト402戻して(S1207)、共有分離処理を終了する(S1207)。
図26は、共有分離処理から呼び出される、共有分離ローカル処理(S1300)を示すフローチャートである。
各中間装置の構成情報管理プログラム(クライアント)400cは、GNS構成情報テーブル1200cを調べ、管理者によって入力されたGNSパス名からエントリを特定し、GNS構成情報テーブル1200cからサーバ名を抽出する(S1301)。次に、抽出されたサーバ名が自装置であるか否かを判定する(S1302)。
サーバ名が自装置である場合(S1302で”YES”)、継承ACL削除処理を実行し(S1400)、その後GNSツリーからbindアンマウントを実行する(S1305)。なお、継承ACL削除処理(S1400)は、図27を用いて後述する。
一方、サーバ名が自装置でなかった場合(S1302で”NO”)、GNSツリーからGNSツリーの該当するマウントポイントをネットワークアンマウントを実行する(S1307)。そして、構成情報管理プログラム(クライアント)400cは、スイッチ情報管理テーブル800と接続ポイント管理テーブル1100とからエントリを削除する(S1303)。
最後に、構成情報管理プログラム(クライアント)400cは、GNS構成テーブルキャッシュ1200cを、GNS構成情報テーブル(サーバ)1200sと同期するように更新する(S1306)。例えば、GNS構成情報テーブルキャッシュ1200cのGNSパス名と分離したいGNSパス名とが一致するエントリを、GNS構成情報テーブルキャッシュ1200cから削除する。
図27は、共有分離ローカル処理(S1300)から呼び出される、継承ACL削除処理(S1400)を示すフローチャートである。
まず、GNSツリーのマウントポイントの上位ディレクトリのACLから、設定されている一つのACEを取得する(S1401)。
次に、処理がされていないACEがACLにあるか否かを判定する(S1402)。S1402で処理がされていないACEがあると判定された場合(S1402で”YES”)、そのACEの継承先から継承有りか否かを判定する(S1403)。ここで、抽出されたACEに継承がない場合(S1404で”NO”)、ステップ1401へ戻り、他のACEについてS1401から処理を実行する。一方、抽出されたACEに継承がある場合(S1404で”YES”)、継承ACL情報5300にそのACEを追加する(S1405)。そして、ステップ1401へ戻り、他のACEについてS1401から処理を実行する。
一方、S1402で処理がされていないACEがないと判定された場合(S1402で”NO”)、継承ACL削除メイン処理を実行し(S1500)、継承ACL情報5300を破棄して(S1406)、継承ACL削除処理を終了する。なお、継承ACL削除メイン処理(S1500は、図28を用いて後述する。
図28は、継承ACL削除処理(S1400)から呼び出される、継承ACL削除メイン処理(S1500)を示すフローチャートである。
継承ACL削除処理(S1400)で作成された継承ACL情報5300から、ディレクトリへの継承を含む全てのACEを選択し、マウントポイントのディレクトリに設定されているACLと一致する全てのACEを削除する(S1501)。そして、マウントポイント以下のファイルシステムオブジェクトを一つ選択する(S1502)。
選択されたファイルシステムオブジェクトがファイルか否かを調べる(S1503)。ファイルシステムオブジェクトがファイルの場合(S1503で”YES”)、継承ACL情報5300の継承先からファイルへの継承を持つACEをすべて選択し、ファイルに設定されているACLのうち、マウントポイントのディレクトリに設定されているACLと一致する全てのACEを削除する(S1504)。
一方、選択されたファイルシステムオブジェクトがファイル以外(例えば、ディレクトリ)である場合(S1503で”NO”)、継承ACL情報5300の継承先5204から、ディレクトリへの継承を含む全てのACEを選択し、そのファイルシステムオブジェクトに設定されているACLのうち、マウントポイントのディレクトリに設定されているACLと一致するACEをすべて削除する(S1505)。
さらに、ディレクトリに格納されているファイル又は下位のディレクトリを選択して、継承ACL削除メイン処理(S1500)を実行する(S1507)。
このように、対象となるファイルシステムオブジェクトがディレクトリであれば、そのディレクトリに格納されているファイルシステムオブジェクトを選択し、継承ACLを削除する。ディレクトリの配下のファイル及びディレクトリに対して、この処理を続けることによって、再帰的に継承ACLを削除することができ、全てのファイルシステムオブジェクトに継承ACLを削除できる。
そして、未選択のファイルシステムオブジェクトがあるか否かを判定する(S1506)。未選択のファイルシステムオブジェクトがある場合は(S1506で”YES”)、ステップ1502で未選択のファイルシステムオブジェクトを選択して、以降の処理を実行する。一方、未選択のファイルシステムオブジェクトがない場合は(S1506で”NO”)、継承ACL削除メイン処理を終了する。
<第2実施形態>
次に、本発明の第2の実施の形態について説明する。第2の実施の形態は、第1の実施の形態のようにGNSツリーへファイルサーバをマウントするときに継承ACLを設定するのではなく、中間装置200がクライアント100からファイルアクセス要求を受けた時に、動的に、継承ACLを設定した合成ACLを作成して、ファイルへのアクセス可否を判定する。
第2の実施の形態では、仮想名前空間の構成変更時に、共有統合ローカル処理(S600)から呼び出される継承ACL設定処理(S1000)は実行されない。また、同様に、共有分離ローカル処理1300から呼び出される継承ACL削除処理(S1400)も実行されない。
図29は、本発明の第2の実施の形態における中間装置200の構成を示すブロック図である。
第2の実施の形態の中間装置200は、前述した第1の実施の形態と異なり、継承ACL設定/削除プログラム5100を持たず、継承ACL抽出プログラム5700とアクセス判定プログラム5600とを持つ。継承ACL抽出プログラム5700は、ファイルシステムオブジェクトに設定されているACLから継承ACLのみを抽出してメモリ等の記憶装置に保持する。また、アクセス判定プログラム5600は、ファイルへのアクセス可否を判定する。
図30は、第2の実施の形態の中間装置200におけるアクセス判定プログラム5600の構成を示す機能ブロック図である。
図30に示すように、第2の実施の形態のアクセス判定プログラム5600は、アクセス要求判定部5601と、ACL合成処理部5602と、ACL取得部5605とを備える。また、アクセス判定プログラム5600が動作する中間装置200は、合成ACL情報5400と、共有ID/継承ACL対応表5500とを格納する。
アクセス要求判定部5601は、クライアント100からのファイルのアクセスの要求の可否を判定する。ACL合成処理部5602は、継承ACLとファイルシステムオブジェクトに設定されているACLとを合成する。
ACL取得部5605は、前述した第1の実施の形態のACL取得部5103(図9参照)と同様に、ACLの取得のための要求を送信する。
合成ACL情報5400は、継承ACLとファイルシステムオブジェクトに設定されているACLとが合成されたACLである(図32参照)。共有ID/継承ACL対応表5500は、共有IDと継承ACL情報5300との対応を格納する(図33参照)。
なお、合成ACL情報5400及び共有ID/継承ACL対応表5500は、アクセス判定プログラム5600中に図示したが、アクセス判定プログラム5600とは別に構成されていてもよい。
図31は、第2の実施の形態の中間装置200における継承ACL抽出プログラム5700の構成を示す機能ブロック図である。
図31に示すように、継承ACL抽出プログラム5700は、ファイル検索部5701と、ACL取得部5702と、継承ACL抽出処理部5703とを備える。また、継承ACL抽出プログラム5700が動作する中間装置200は、継承ACL情報5704を格納する。
ファイル検索部5701は、前述した第1の実施の形態のファイル検索部5102(図9参照)と同様に、仮想名前空間を構成する際に、継承ACLを付与又は削除する対象のファイルを検索する。ACL取得部5702は、前述した第1の実施の形態のACL取得部5103(図9参照)と同様に、ファイルシステムオブジェクトに付与されたACLを取得する。
継承ACL抽出処理部5703は、継承ACL抽出処理(S1700、図35)によって、継承設定されたACEを既存ACLから取り出す(図35参照)。継承ACL情報5704は、前述した第1の実施の形態の継承ACL情報5300(図15)と同じ構成を有するテーブル形式の情報である。
なお、継承ACL情報5704は、継承ACL抽出プログラム5700中に図示したが、継承ACL抽出プログラム5700とは別に構成されていてもよい。
第2の実施の形態の中間装置200における構成情報管理プログラム(サーバ)400sは、第1の実施の形態の構成情報管理プログラム(サーバ)400s(図4)と同様に、GNS構成情報管理サーバ部401sと、中間装置情報管理サーバ部403と、構成情報通信部404とを備える。また、構成情報管理プログラム(サーバ)400sが動作する中間装置200は、共有ID空き管理リスト402と、中間装置構成情報リスト405と、GNS構成情報テーブル1200sとを格納する。
但し、第2の実施の形態の中間装置200は、継承ACL設定/削除プログラム5100を備えないので、GNS構成情報管理サーバ部401sは、継承ACL抽出プログラム5700と接続され、継承ACL抽出プログラム5700との間でデータを受け渡す。
第2の実施の形態の中間装置200における構成情報管理プログラム(クライアント)400cは、第1の実施の形態の構成情報管理プログラム(クライアント)400c(図5)と同様に、GNS構成情報管理クライアント部401cと、構成情報通信部404とを備える。また、構成情報管理プログラム(クライアント)400cが動作する中間装置200は、GNS構成情報テーブルキャッシュ1200cを格納する。
但し、第2の実施の形態の中間装置200は、継承ACL設定/削除プログラム5100を備えないので、GNS構成情報管理クライアント部401cは、継承ACL抽出プログラム5700と接続され、継承ACL抽出プログラム5700との間でデータを受け渡す。
第2の実施の形態の中間装置200におけるスイッチプログラム600は、第1の実施の形態のスイッチプログラム600(図6)と同様に、クライアント通信部606と、中間・末端装置通信部605と、ファイルアクセス管理部700と、オブジェクトID変換処理部604と、擬似ファイルシステム601とを備える。
但し、第2の実施の形態の中間装置200は、継承ACL設定/削除プログラム5100を備えないので、ファイルアクセス管理部700は、アクセス判定プログラム5600及び継承ACL抽出プログラム5700と接続され、アクセス判定プログラム5600と継承ACL抽出プログラム5700から、ACLの取得要求を受け取り、ファイルシステムオブジェクトに設定されているACLを取得する。
第2の実施の形態の中間装置200におけるファイルアクセス管理部700は、第1の実施の形態のファイルアクセス管理部700(図7)と同様に、要求データ処理部701と、要求データ解析部702と、応答データ出力部703とを備える。また、ファイルアクセス管理部700が動作する中間装置200は、スイッチ情報管理テーブル800(図10参照)と、サーバ情報管理テーブル900(図11参照)と、アルゴリズム情報管理テーブル1000(図12参照)と、接続ポイント管理テーブル1100(図13参照)とを備える。
但し、第2の実施の形態の中間装置200は、継承ACL設定/削除プログラム5100を備えないので、要求データ処理部701は、アクセス判定プログラム5600及び継承ACL抽出プログラム5700と接続され、アクセス判定プログラム5600と継承ACL抽出プログラム5700からのACL取得要求を受け取り、ファイルシステムオブジェクトに設定されているACLを取得する。
図32は、本発明の第2の実施の形態における合成ACL情報5400の構成を示す図である。
合成ACL情報5400は、継承ACLとファイルシステムオブジェクトに設定されているACLとを合わせたACLで、第2の実施の形態では、この合成ACL情報5400に基づいてアクセス可否を判定する。
合成ACL情報5400は、アカウント5401と、マスク5402と、許否/許可5403と、継承先5404との組によって構成されたエントリを格納する表形式の情報である。
アカウント5401と、マスク5402と、許否/許可5403と、継承先5404とは、各々、前述した第1の実施の形態の継承ACL情報5300(図15)のアカウント5301と、マスク5302と、拒否/許可5303と、継承先5304と同じである。
合成ACL情報5400には、既存ACLのエントリと、継承ACLのエントリとが含まれる。このとき、合成ACL情報5400には、既存ACLのエントリが上(先)に、継承ACLのエントリが下(後)に記録される。これは、矛盾したACEが合成ACL情報5400にある場合に、既存ACLのACEを優先してアクセス可否を判定するためである。
図33は、本発明の第2の実施の形態における共有ID/継承ACL対応表5500の構成を示す図である。
共有ID/継承ACL対応表5500は、共有ID5501と、継承ACL情報アドレス5502との組によって構成されたエントリを格納するテーブルである。
共有ID5501は、ファイルサービスの公開単位を特定するIDである。継承ACL情報アドレス5502は、継承ACL情報5704へのポインタである。
図34は、本発明の第2の実施の形態における共有統合ローカル処理(S600)を示すフローチャートである。共有統合ローカル処理(S600)は、第1の実施の形態と同じ共有統合処理(図21参照)から呼び出される。
まず、追加したエントリと同じ内容を取得し、GNS構成情報テーブルキャッシュ1200cに登録する(S601)。次に、そのエントリのサーバ名が自装置であるか否かを判定する(S602)。
サーバ名が自装置である場合(S602で”YES”)、エントリの情報に基づいて、GNSツリーの該当する箇所に、bindマウントを実行する(S605)。その後、S606の処理へ進む。
一方、サーバ名が自装置でない場合(S602で”NO”)、エントリの情報に基づいて、GNSツリーの該当する箇所に、ネットワークマウントを実行する(S603)。そして、スイッチ情報管理テーブル800と接続ポイント管理テーブル1100とにエントリを追加する(S604)。
マウント完了後、共有情報をマウントディレクトリに設定して(S606)、継承ACL抽出処理(S1700)を実行した後に、共有統合ローカル処理を終了する。なお、継承ACL抽出処理(S1700)は、図35を用いて後述する。
図35は、本発明の第2の実施の形態における継承ACL抽出処理(S1700)を示すフローチャートである。
まず、継承ACL情報5704を作成するか否か(作成するか、破棄するか)を判定する(S1706)。本処理が共有統合ローカル処理(S600)から呼ばれる場合は、継承ACL情報5704を作成する(S1706で”YES”)。一方、本処理が共有分離ローカル処理1800から呼ばれる場合は、継承ACL情報5704を破棄する(S1706で”NO”)。
継承ACL情報を作成する場合(S1706で”YES”)、GNSツリーのマウントポイントの一つ上位のディレクトリに付与されたACLの中から一つのACEを取得する(S1701)。
次に、取得すべきACEがあるか否かを判定する(S1702)。S1702で取得すべきACEがあると判定された場合(S1702で”YES”)、S1701で取得したACEの継承先情報に基づいて、継承があるか否かを判定する(S1703)。そして、抽出されたACEに継承がある場合(S1704で”YES”)、継承ACL情報5704にそのACEを追加する(S1705)。継承ACL情報5704は、メモリ上でもストレージ上でもどこに存在してもよい。そして、S1701へ戻り、他のACEについてS1701から処理を実行する。一方、抽出されたACEに継承がない場合(S104で”NO”)、そのACEについては何もせずにS1701へ戻る。そして、他のACEについてS1701から処理を実行する。
一方、S170で取得すべきACEがないと判定された場合(S1702で”NO”)、共有/継承ACL対応表5500の共有ID5501と継承ACL情報アドレス5502を設定(S1708)して、継承ACL抽出処理を終了する。
S1706で継承ACL情報5704を破棄すると判定された場合(S1706で”NO”)、継承ACL情報5704をメモリ上(又は、ストレージ上等)から削除して、共有/継承ACL対応表5500のエントリを削除する(S1707)。
図36は、本発明の第2の実施の形態における共有分離ローカル処理(S1800)を示すフローチャートである。共有分離ローカル処理(S600)は、第1の実施の形態と同じ共有分離処理(図25参照)から呼び出される、
各中間装置の構成情報管理プログラム(クライアント)400cは、GNS構成情報テーブル1200cを調べ、管理者によって入力されたGNSパス名からエントリを特定し、GNS構成情報テーブル1200cからサーバ名を抽出する(S1301)。次に、抽出されたサーバ名が自装置であるか否かを判定する(S1302)。
サーバ名が自装置である場合(S1302で”YES”)、GNSツリーからbindアンマウントを実行する(S1305)。
一方、サーバ名が自装置でなかった場合(S1302で”NO”)、GNSツリーからGNSツリーの該当するマウントポイントをネットワークアンマウントを実行する(S1307)。そして、構成情報管理プログラム(クライアント)400cは、スイッチ情報管理テーブル800と接続ポイント管理テーブル1100とからエントリを削除する(S1303)。
その後、構成情報管理プログラム(クライアント)400cは、継承ACL抽出処理(S1700、図35参照)を呼び出す。
最後に、構成情報管理プログラム(クライアント)400cは、GNS構成テーブルキャッシュ1200cを、GNS構成情報テーブル(サーバ)1200sと同期するように更新する(S1306)。例えば、GNS構成情報テーブルキャッシュ1200cのGNSパス名と分離したいGNSパス名とが一致するエントリを、GNS構成情報テーブルキャッシュ1200cから削除する。
図37は、本発明の第2の実施の形態における、中間装置200による共有の名前空間を仮想化する処理を示すフローチャートである。
クライアント通信部606は、クライアント100よりファイルアクセス要求を受信する。このファイルアクセス要求は、例えば、NFSプロトコルのリモートプロシージャーコール(RPC)である。ファイルアクセス管理部700は受信した要求からオブジェクトIDを抽出する。そして、抽出されたオブジェクトIDの形式が共有ID形式か否かを判定する(S3101)。
受信した要求から抽出されたオブジェクトIDが共有ID形式でなかった場合は、従来のファイルサービス処理を行い(S3102)、処理を終了する。
受信した要求から抽出されたオブジェクトIDが共有ID形式であった場合は、受信した要求の中のオブジェクトIDの共有IDと一致する共有IDを含むエントリがスイッチ情報管理テーブル800にあるか否かを判定する。前述したように、スイッチ情報管理テーブル800中に、条件に合致する(同じ共有IDを含む)エントリは、複数存在する場合がある。
一致するエントリがない場合は(S3105で”NO”)、要求を受信した中間装置200が、この要求を処理すべきであると判断し、GNSローカル処理を行う(S4300)。なお、GNSローカル処理(S4300)は、図38を用いて後述する。
一方、一致するエントリがある場合は(S3105で”YES”)、要求を受信した中間装置200以外の中間装置200が、この要求を処理すべきであると判断し、ネットワークアクセス判定処理(S1900)を実行する。なお、ネットワークアクセス判定処理(S1900)は、図40を用いて後述する。そして、アクセス許可が得られるか否かを判定する(S3111)。
その結果、アクセス許可が得られない場合(S3111で”NO”)、クライアント100へアクセス拒否を返信して(S3112)、処理を終了する。
一方、ネットワークアクセス判定処理(S1900)の結果、アクセス許可が得られた場合(S3111で”YES”)、共有IDが一致するエントリから一組のサーバIDとアルゴリズム情報IDとの組を取得する(S3106)。条件に合致するエントリが複数ある場合には、ラウンドロビンで取得する情報の組を決めたり、予め測定しておいた応答時間の早いサーバを含む組の情報を取得してもよい。
次に、アルゴリズム情報管理テーブル1000を参照し、取得した組のアルゴリズム情報IDと一致するアルゴリズム情報を取得する。取得したアルゴリズム情報に基づいて、要求中に含まれるオブジェクトIDを逆変換する(S3107)。図12で示したように、アルゴリズム情報には、何も変換しないアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除するだけのアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除した後、変換後の装置オブジェクトIDフィールド1304等の情報に基づき、オリジナルの装置オブジェクトIDを復元するアルゴリズム等がある。
次に、ファイルアクセス要求レベルでトランザクションを管理しているプロトコルで、要求中にトランザクションIDが含まれる場合は、そのトランザクションIDを保存し、これから要求を転送する宛先の装置に対するトランザクションIDを付与する(S3108)。この場合、サーバ情報管理テーブル900を参照し、取得した組のサーバIDと一致するサーバ情報902を取得することによって、転送先の装置を特定する。
次に、サーバ情報902に基づいて定められた装置に、変換後のファイルアクセス要求を送信し(S3109)、送信先装置からの応答メッセージを待つ(S3110)。
その後、ファイルアクセス要求を送信した装置から応答メッセージを受信したら、応答処理(S200)を行い(図18参照)、処理を終了する。
図38は、本発明の第2の実施の形態における、ファイルアクセス要求を受信した中間装置200が処理を行うべき要求であると判断した場合に実行されるGNSローカル処理(S4300)を示すフローチャートである。
まず、ローカルアクセス判定処理(S2100)を実行する。ローカルアクセス判定処理(S2100)によってアクセス許可が得られない場合(S4302で”NO”)、クライアント100へアクセス拒否を送信して(S4305)、GNSローカル処理を終了する。なお、ローカルアクセス判定処理(S2100)は、図39を用いて後述する。
一方、アクセス許可が得られた場合(S4302で”YES”)、オブジェクトID中の共有IDとファイルIDに基づいてファイルを特定する(S4303)。
次に、受信した要求中のオペレーション情報に基づいて、応答メッセージを作成する(S4304)。なお、受信した要求が応答メッセージ中にオブジェクトIDを含める必要がある場合には、オブジェクトIDは、受信した形式と同じ共有ID型フォーマットを用いる。
その後、共有を跨るアクセスの場合の特別の処理である接続ポイント処理(S400)を行い(図20参照)、GNSローカル処理を終了する。
図39は、本発明の第2の実施の形態におけるローカルアクセス判定処理(S2100)を示すフローチャートである。
まず、ファイルアクセス管理部700は、ファイルシステムプログラム203から、アクセス対象のファイルに設定されているACLを取得する(S2105)。
次に、ACL合成処理(S2000)を実行し、合成ACL情報5400を作成する。なお、ACL合成処理(S2000)は、図41を用いて後述する。
そして、合成ACL情報5400に基づいて、アクセス可否を判定する(S2101)。具体的には、ACLの各エントリのうち、アクセス要求を送信したユーザのアカウントとアカウント5401とが一致するエントリを抽出し、アクセス要求の内容と、マスク5402及び拒否/許可5403とを比較して、アクセス可否を判定する。
その結果、アクセス許可が得られた場合(S2102で”YES”)、本処理の戻り値(ローカルアクセス判定処理からGNSローカル処理に返す値)に”OK”を設定して(S2104)、ローカルアクセス判定処理を終了する。
一方、アクセス許可が得られなかった場合(S2102で”NO”)、本処理の戻り値に”NG”を設定して(S2103)、ローカルアクセス判定処理を終了する。
図40は、本発明の第2の実施の形態におけるネットワークアクセス判定処理(S1900)を示すフローチャートである。
まず、ファイルアクセス管理部700は、オブジェクトIDを変換し、中間装置200(又は、末端装置300)へ、アクセス対象のACLの取得を要求し(S1906)、中間装置200(又は、末端装置300)からACLを受信する(S1901)。
次に、ACL合成処理(S2000)を実行し、合成ACL情報5400を作成する。なお、ACL合成処理(S2000)は、図41を用いて後述する。
そして、合成ACL情報5400に基づいて、アクセス可否を判定する(S1902)。具体的には、ACLの各エントリのうち、アクセス要求を送信したユーザのアカウントとアカウント5401が一致するエントリを抽出し、アクセス要求の内容と、マスク5402と拒否/許可5403とを比較して、アクセス可否を判定する。
判定の結果がアクセス許可である場合(S1906で”YES”)、本処理の戻り値(ネットワークアクセス判定処理からGNSローカル処理に返す値)に”OK”を設定して(S2104)、ネットワークアクセス判定処理を終了する。
一方、判定の結果がアクセス許否である場合(S1906で”NO”)、アクセス拒否をクライアント100へ送信して(S1903)、本処理の戻り値に”NG”を設定(S1904)して、ネットワークアクセス判定処理を終了する。
図41は、本発明の第2の実施の形態におけるACL合成処理(S2000)を示すフローチャートである。
まず、変換前のオブジェクトIDから共有IDを取得して、共有ID/継承ACL対応表5500を参照して、継承ACL情報5704を特定する(S2001)。次に、クライアントから要求されたアクセス対象がファイルか否かを判定する(S2002)。
その結果、アクセス対象がファイルである場合(S2002で”YES”)、継承ACL情報の継承先がファイルであるACEのうち、合成ACL情報に登録していないACEを一つ選択する(S2003)。一方、アクセス対象がファイル以外(例えば、ディレクトリ)である場合(S2002で”NO”)、継承ACL情報の継承先がディレクトリであるACEのうち、合成ACL情報に登録していないACEを一つ選択する(S2004)。
その後、選択された継承ACL中のACEを、アクセス対象のファイルシステムオブジェクトに設定されている既存ACLの後に配置して、合成ACL情報5400を作成する(S2005)。
そして、継承ACL情報5704に未処理のACEがあるか否かを判定する(S2006)。その結果、未処理のACEがある場合(S2006で”YES”)、ステップ2002へ戻って、未処理のACEの処理を継続する。一方、継承ACL情報5704に未処理のACEがない場合(S2006で”NO”)、ACL合成処理を終了する。
以上説明したように、本発明の第2の実施の形態では、ファイルシステムのマウント時にACLの継承を判定せず、ファイルアクセス時にACLの継承を判定するので、迅速にファイルシステムをマウントすることができる。特に、ファイルシステムを頻繁につなぎ変える計算機システムにおいては、システムのダウンタイムを短くすることができる。
また、前述した第1の実施の形態では、多くのファイルが含まれるファイルシステムにおいて、ファイルシステムをつなぎ変える際に、多くのACEを判定する必要があるため、システムのダウンタイムが長くなる。しかし、第2の実施の形態のようにファイルアクセス時に継承されるACLによってアクセス可否を判定すれば、迅速にファイルシステムをマウントすることができる。
<第3実施形態>
次に、第3の実施の形態について説明する。
第3の実施の形態は、前述した実施の形態と中間装置200が異なる。第3の実施の形態の中間装置200は、第1の実施の形態の中間装置200とは異なり、GNSツリーへファイルサーバを接続するときに継承ACLを設定しない。さらに、第3の実施の形態の中間装置200は、第2の実施の形態の中間装置と異なり、アクセス要求を受けた時に、継承ACLとファイルシステムオブジェクトに付与されたACLとを合成してアクセス可否を判定しない。
第3の実施の形態では、中間装置200がクライアント100からファイルアクセス要求を受けた時に、まず継承ACL情報を用いてプレアクセス判定処理を行い、プレアクセス判定処理によってアクセス判定(アクセス許否)が確定した場合、プレアクセス判定の結果のみを用いて、アクセスの可否を判定する。このようにすることによって、アクセス判定処理を高速化することができる。
図42は、本発明の第3の実施の形態における、中間装置200による共有の名前空間を仮想化する処理を示すフローチャートである。
クライアント通信部606は、クライアント100よりファイルアクセス要求を受信する。このファイルアクセス要求は、例えば、NFSプロトコルのリモートプロシージャーコール(RPC)である。ファイルアクセス管理部700は受信した要求からオブジェクトIDを抽出する。そして、抽出されたオブジェクトIDの形式が共有ID形式か否かを判定する(S5101)。
受信した要求から抽出されたオブジェクトIDが共有ID形式でなかった場合は、従来のファイルサービス処理を行い(S5102)、処理を終了する。
受信した要求から抽出されたオブジェクトIDが共有ID形式であった場合は、プレアクセス判定処理を行う(S2200)。なお、プレアクセス判定処理(S2200)は、図43を用いて後述する。
プレアクセス判定処理(S2200)の結果がアクセス拒否である場合(S5111で”NO”)、クライアント100へアクセス拒否を送信して(S5112)、処理を終了する。一方、プレアクセス判定処理(S2200)の結果がアクセス許可である場合(S5111で”YES”)、S5105の処理へ進む。
その後、受信した要求の中のオブジェクトIDの共有IDと一致する共有IDを含むエントリがスイッチ情報管理テーブル800にあるか否かを判定する。前述したように、スイッチ情報管理テーブル800中に、条件に合致する(同じ共有IDを含む)エントリは、複数存在する場合がある。
一致するエントリがない場合は(S5105で”NO”)、要求を受信した中間装置200が、この要求を処理すべきであると判断し、GNSローカル処理(S4300)を行う(図38参照)。GNSローカル処理(S4300)では、初めにローカルアクセス判定処理が実行される。なお、第3の実施の形態では、GNSローカル処理(S4300)から呼び出されるローカルアクセス判定処理は、図45に示すローカルアクセス判定処理(S2400)になる。
一方、一致するエントリがある場合は(S5105で”YES”)、要求を受信した中間装置200以外の中間装置200が、この要求を処理すべきであると判断し、、共有IDが一致するエントリから一組のサーバIDとアルゴリズム情報IDとの組を取得する(S5106)。条件に合致するエントリが複数ある場合には、ラウンドロビンで取得する情報の組を決めたり、予め測定しておいた応答時間の早いサーバを含む組の情報を取得してもよい。
次に、アルゴリズム情報管理テーブル1000を参照し、取得した組のアルゴリズム情報IDと一致するアルゴリズム情報を取得する。取得したアルゴリズム情報に基づいて、要求中に含まれるオブジェクトIDを逆変換する(S5107)。図12で示したように、アルゴリズム情報には、何も変換しないアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除するだけのアルゴリズムや、オブジェクトID形式フィールド1301と共有IDフィールド1302を削除した後、変換後の装置オブジェクトIDフィールド1304等の情報に基づき、オリジナルの装置オブジェクトIDを復元するアルゴリズム等がある。
次に、ファイルアクセス要求レベルでトランザクションを管理しているプロトコルで、要求中にトランザクションIDが含まれる場合は、そのトランザクションIDを保存し、これから要求を転送する宛先の装置に対するトランザクションIDを付与する(S5108)。
次に、ネットワークアクセス判定処理(S2300)を実行する。なお、ネットワークアクセス判定処理(S2300)は、図44を用いて後述する。そして、アクセス許可が得られるか否かを判定する(S5113)。
。ネットワークアクセス判定処理(S2300)の結果がアクセス拒否である場合(S5113で”NO”)、クライアント100へアクセス拒否を送信して(S5114)、処理を終了する。
一方、ネットワークアクセス判定処理(S2300)の結果がアクセス許可である場合(S5112で”YES”)、S5109の処理へ進む。この場合、サーバ情報管理テーブル900を参照し、取得した組のサーバIDと一致するサーバ情報902を取得することによって、転送先の装置を特定する。
次に、サーバ情報902に基づいて定められた装置に、変換後のファイルアクセス要求を送信し(S5109)、送信先装置からの応答メッセージを待つ(S5110)。
その後、ファイルアクセス要求を送信した装置から応答メッセージを受信したら、応答処理(S200)を行い(図18参照)、処理を終了する。
図43は、本発明の第3の実施の形態におけるプレアクセス判定処理(S2200)を示すフローチャートである。
まず、ファイルアクセス管理部700は、変換前のオブジェクトIDを用いてGNS構成テーブル1200から共有IDを取得し、共有ID/継承ACL対応表5500を参照して、継承ACL情報を特定する(S2201)。次に、クライアントから要求されたアクセス対象がファイルか否かを判定する(S2202)。
その結果、アクセス対象がファイルである場合(S2202で”YES”)、継承ACL情報5300の継承先がファイルであるACEを一つ選択する(S2203)。一方、アクセス対象がファイル以外(例えば、ディレクトリ)である場合(S2202で”NO”)、継承ACL情報の継承先がディレクトリであるACEを一つ選択する(S2204)。
そして、選択されたACEとアクセスを要求したユーザのユーザ情報に基づいて、アクセス可否を判定する(S2205)。
判定の結果がアクセス許可である場合は(S2206で”YES”)、ステップ2207の処理へ進む。一方、判定の結果がアクセス拒否である場合は(S2206で”NO”)、戻り値にアクセス拒否を設定して(S2208)、プレアクセス判定処理を終了する。
ステップ2207で、継承ACL情報に未処理のACEがあるか否かを判定する(S2207)。その結果、未処理のACEがある場合(S2207で”YES”)、ステップ2202へ戻って、未処理のACEの処理を継続する。一方、継承ACL情報にに未処理のACEがない場合(S2207で”NO”)、戻り値にアクセス許可を設定し(S2209)、プレアクセス判定処理を終了する。
図44は、本発明の第3の実施の形態におけるネットワークアクセス判定処理(S2300)を示すフローチャートである。
まず、ファイルアクセス管理部700は、オブジェクトIDを正変換し、中間装置200(又は、末端装置300)へ、アクセス対象のACLの取得を要求し(S2301)、中間装置200(又は、末端装置300)からACLを受信する(S2302)。
そして、受信したACLに基づいて、アクセスを要求したユーザのアクセス可否を判定する(S2303)。
判定の結果がアクセス許可である場合(S2307で”YES”)、本処理の戻り値(ネットワークアクセス判定処理から呼び出し元の処理に返す値)に”OK”を設定して(S2306)、ネットワークアクセス判定処理を終了する。
一方、判定の結果がアクセス許否である場合(S2307で”NO”)、アクセス拒否をクライアント100へ送信して(S2304)、本処理の戻り値に”NG”を設定(S2305)して、ネットワークアクセス判定処理を終了する。
図45は、第3の実施の形態におけるローカルアクセス判定処理(S2400)を示すフローチャートである。このローカルアクセス判定処理(S2400)は、前述した第2の実施の形態と同じGNSローカル処理(S4300、図38参照)から呼び出される。
まず、ファイルアクセス管理部700は、ファイルシステムプログラム203からアクセス対象のファイルシステムオブジェクトに付与されているACLを取得する(S2401)。そして、取得したACLに基づいて、アクセスを要求したユーザのアクセス可否を判定する(S2402)。
判定の結果がアクセス許可である場合(S2403で”YES”)、本処理の戻り値(ローカルアクセス判定処理から呼び出し元の処理に返す値)に”OK”を設定して(S2405)、ローカルアクセス判定処理を終了する。一方、判定の結果がアクセス許否である場合(S2403で”NO”)、本処理の戻り値に”NG”を設定(S2404)して、ローカルアクセス判定処理を終了する。
以上説明したように、本発明の第3の実施の形態では、ファイルシステムのマウント時にACLの継承を判定せず、ファイルアクセス時にACLの継承を判定するので、前述した第2の実施の形態と同様に、迅速にファイルシステムをマウントすることができる。さらに、第3の実施の形態では、ファイルアクセス時にプレアクセス処理によって、継承先のアクセス情報を取得し、取得した継承先のアクセス情報の少なくとも一つがアクセス拒否を示す場合にはアクセス要求を拒否するので、ファイルアクセス時のアクセス可否を迅速に判定することができる。
本発明の第1の実施の形態のクライアント・サーバ型の計算機システムのシステム構成図である。 本発明の第1の実施の形態の中間装置の構成を示すブロック図である。 本発明の第1の実施の形態の末端装置の構成を示すブロック図である。 本発明の第1の実施の形態の中間装置の構成情報管理プログラム(サーバ)の構成を示す機能ブロック図である。 本発明の第1の実施の形態の構成情報管理プログラム(クライアント)の構成を示す機能ブロック図である。 本発明の第1の実施の形態のスイッチプログラムの構成を示す機能ブロック図である。 本発明の第1の実施の形態のファイルアクセス管理部の構成を示す機能ブロック図である。 本発明の第1の実施の形態の管理装置の構成を示すブロック図である。 本発明の第1の実施の形態の継承ACL設定/削除プログラムの構成を示す機能ブロック図である。 本発明の第1の実施の形態のスイッチ情報管理テーブルの構成を示す図である。 本発明の第1の実施の形態のサーバ情報管理テーブルの構成を示す図である。 本発明の第1の実施の形態のアルゴリズム情報管理テーブルの構成を示す図である。 本発明の第1の実施の形態の接続ポイント管理テーブルの構成を示す図である。 本発明の第1の実施の形態のGNS構成情報テーブルの構成を示す図である。 本発明の第1の実施の形態の継承ACL情報の構成を示す図である。 本発明の第1の実施の形態の装置間でやり取りされるオブジェクトIDのフォーマットを示す図である。 本発明の第1の実施の形態の装置間でやり取りされるオブジェクトIDのフォーマットを示す図である。 本発明の第1の実施の形態の共有の名前空間を仮想化する処理を示すフローチャートである。 本発明の第1の実施の形態の応答処理を示すフローチャートである。 本発明の第1の実施の形態のGNSローカル処理を示すフローチャートである。 本発明の第1の実施の形態の接続ポイント処理を示すフローチャートである。 本発明の第1の実施の形態の共有統合処理における管理装置と中間装置との動作を示すフローチャートである。 本発明の第1の実施の形態の共有統合ローカル処理を示すフローチャートである。 本発明の第1の実施の形態の継承ACL設定処理を示すフローチャートである。 本発明の第1の実施の形態の継承ACL設定メイン処理を示すフローチャートである。 本発明の第1の実施の形態の共有分離処理の処理フローを示すフローチャートである。 本発明の第1の実施の形態の共有分離ローカル処理を示すフローチャートである。 本発明の第1の実施の形態の継承ACL削除処理を示すフローチャートである。 本発明の第1の実施の形態の継承ACL削除メイン処理を示すフローチャートである。 本発明の第2の実施の形態の中間装置の構成を示すブロック図である。 本発明の第2の実施の形態のアクセス判定プログラムの構成を示す機能ブロック図である。 本発明の第2の実施の形態継承ACL抽出プログラムの構成を示す機能ブロック図である。 本発明の第2の実施の形態の合成ACL情報の構成を示す図である。 本発明の第2の実施の形態の共有ID/継承ACL対応表の構成を示す図である。 本発明の第2の実施の形態の共有統合ローカル処理を示すフローチャートである。 本発明の第2の実施の形態の継承ACL抽出処理を示すフローチャートである。 本発明の第2の実施の形態の共有分離ローカル処理を示すフローチャートである。 本発明の第2の実施の形態の共有の名前空間を仮想化する処理を示すフローチャートである。 本発明の第2の実施の形態のGNSローカル処理を示すフローチャートである。 本発明の第2の実施の形態のローカルアクセス判定処理を示すフローチャートである。 本発明の第2の実施の形態のネットワークアクセス判定処理を示すフローチャートである。 本発明の第2の実施の形態のACL合成処理を示すフローチャートである。 本発明の第3の実施形態の共有の名前空間を仮想化する処理を示すフローチャートである。 本発明の第3の実施形態のプレアクセス判定処理を示すフローチャートである。 本発明の第3の実施形態のネットワークアクセス判定処理を示すフローチャートである。 本発明の第3の実施形態のローカルアクセス判定処理を示すフローチャートである。
符号の説明
100 クライアント
200 中間装置
300 末端装置
600 スイッチプログラム
700 ファイルアクセス管理部
800 スイッチ情報管理テーブル
900 サーバ情報管理テーブル
1000 アルゴリズム情報管理テーブル
1100 接続ポイント管理テーブル
1200 GNS構成情報テーブル
5000 管理装置
5100 継承ACL設定/削除プログラム
5300 継承ACL情報
5200 既存ACL情報
5400 合成ACL情報
5500 共有ID/継承ACL対応表

Claims (15)

  1. ファイルシステムを格納する少なくとも一つのファイルサーバと、前記ファイルサーバによって提供されるファイルシステムを仮想的な名前空間に接続する中間装置と、前記ファイルサーバと前記中間装置とを接続するネットワークと、を備え、前記仮想的な名前空間内に接続されたファイルシステムを提供する計算機システムであって、
    前記中間装置は、
    前記ネットワークに接続されるインターフェースと、前記インターフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、
    前記ファイルシステムを前記仮想的な名前空間に接続する場合に、前記ファイルシステムが接続される前記仮想的な名前空間の場所の上位のディレクトリに設定されたアクセス情報を取得し、前記取得したアクセス情報の継承の設定の有無を判定し、前記継承の設定が有る前記取得したアクセス情報前記接続されるファイルシステムに設定し、
    前記ファイルシステムを前記仮想的な名前空間から分離する場合に、前記ファイルシステムが接続されている前記仮想的な名前空間の場所の上位のディレクトリに設定されているアクセス情報を取得し、前記取得したアクセス情報の継承の設定の有無を判定し、前記継承の設定が有る前記取得したアクセス情報を前記分離されるファイルシステムのアクセス情報から削除することを特徴とする計算機システム。
  2. ファイルシステムを格納する少なくとも一つのファイルサーバと、前記ファイルサーバによって提供されるファイルシステムを仮想的な名前空間に接続する中間装置と、前記ファイルサーバと前記中間装置とを接続するネットワークと、を備え、前記仮想的な名前空間内に接続されたファイルシステムを提供する計算機システムであって、
    前記中間装置は、
    前記ネットワークに接続されるインターフェースと、前記インターフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、
    前記ファイルシステムを前記仮想的な名前空間に接続する場合に、前記ファイルシステムが接続される前記仮想的な名前空間の場所の上位のディレクトリに設定されたアクセス情報を取得し、前記取得したアクセス情報の継承の設定の有無を判定し、前記継承の設定が有る前記取得したアクセス情報を前記接続されるファイルシステムに設定し、
    前記アクセス情報を設定する場合に、前記設定すべきアクセス情報と同一のアクセス情報が、前記接続されるファイルシステムのアクセス情報にあるか否かを判定し、
    前記追加すべきアクセス情報と同一のアクセス情報が前記接続されるファイルシステムのアクセス情報にある場合は、前記取得したアクセス情報を前記接続されるファイルシステムのアクセス情報に追加しないことを特徴とする計算機システム。
  3. 前記中間装置は、
    前記取得したアクセス情報の継承の設定の有無の判定の終了後に、
    ファイルシステムが接続される場所の下位のオブジェクトを選択し、
    前記選択されたオブジェクトがディレクトリであるか否かを判定し、
    前記選択されたオブジェクトがディレクトリである場合、前記ディレクトリに前記アクセス情報を設定した後に、前記取得したアクセス情報を、前記ディレクトリの下位のファイル及びディレクトリに設定することを特徴とする請求項1又は2に記載の計算機システム。
  4. ファイルシステムを格納する少なくとも一つのファイルサーバと、前記ファイルサーバによって提供されるファイルシステムを仮想的な名前空間に接続する中間装置と、前記ファイルサーバと前記中間装置とを接続するネットワークと、を備え、前記仮想的な名前空間内に接続されたファイルシステムをクライアント装置に提供する計算機システムであって、
    前記中間装置は、
    前記ネットワークに接続されるインターフェースと、前記インターフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、
    前記クライアント装置から前記ファイルシステムに含まれるファイルのアクセス要求を受信すると、受信したアクセス要求からアクセス対象のファイルの識別子を抽出し、
    前記抽出された識別子に基づいて、アクセス対象のファイルのアクセス情報を取得し、
    前記取得したアクセス情報のうち、継承によるアクセス情報を先に判定し、
    その結果、アクセス情報の少なくとも一つがアクセス拒否を示す場合には、前記受信したアクセス要求を拒否すると判定し、
    前記継承によるアクセス情報がアクセス許可だった場合は、残りのアクセス情報を判定し、
    その結果、アクセス情報の少なくとも一つがアクセス拒否を示す場合には、前記受信したアクセス要求を拒否すると判定し、
    前記アクセスを要求したクライアント装置にアクセス拒否を通知することを特徴とする計算機システム。
  5. 前記中間装置は、
    前記選択されたアクセス情報が一つもアクセス拒否を示していない場合には、前記抽出された識別子を他の装置と共有可能な形式の識別子に変換し、
    前記共有形式に変換された識別子を、他の前記中間装置及び前記ファイルサーバに送信して、アクセス対象のファイルのアクセス情報を要求し、
    前記要求によって取得したアクセス情報の少なくとも一つがアクセス拒否を示す場合には、前記受信したアクセス要求を拒否すると判定し、
    前記アクセスを要求したクライアント装置にアクセス拒否を通知することを特徴とする請求項4に記載の計算機システム。
  6. 前記中間装置は、
    前記抽出された識別子に基づいて、受信したアクセス要求を処理すべき装置が他の装置であるか否かを判定し、
    前記受信したアクセス要求を処理すべき装置が他の装置であると判定された場合に、前記抽出された識別子を他の装置と共有可能な形式の識別子に変換する以後の処理を実行することを特徴とする請求項5に記載の計算機システム。
  7. 前記中間装置は、
    前記ファイルシステムを前記仮想的な名前空間に接続する場合に、前記ファイルシステムが接続される前記仮想的な名前空間の場所の上位のディレクトリに設定されたアクセス情報を取得し、
    前記取得したアクセス情報から継承の設定が有るアクセス情報を抽出することを特徴とする請求項4に記載の計算機システム。
  8. 前記中間装置は、前記アクセス要求から抽出された識別子に基づいて取得したアクセス情報と、前記上位のディレクトリに設定された、継承の設定が有るアクセス情報とを合成することを特徴とする請求項4に記載の計算機システム。
  9. 前記中間装置は、前記アクセス要求から抽出された識別子に基づいて取得したアクセス情報の後に、前記上位のディレクトリに設定された、継承の設定が有るアクセス情報を追加することによって、アクセス情報を合成することを特徴とする請求項8に記載の計算機システム。
  10. ファイルシステムを格納する少なくとも一つのファイルサーバと、前記ファイルサーバによって提供されるファイルシステムを仮想的な名前空間に接続する中間装置と、前記ファイルサーバと前記中間装置とを接続するネットワークと、を備え、前記仮想的な名前空間内に接続されたファイルシステムをクライアント装置に提供する計算機システムにおけるファイルの管理方法であって、
    前記中間装置は、前記ネットワークに接続されるインターフェースと、前記インターフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、
    前記ファイル管理方法は、
    前記プロセッサが、前記クライアント装置から前記ファイルシステムに含まれるファイルのアクセス要求を受信すると、受信したアクセス要求からアクセス対象のファイルの識別子を抽出し、
    前記プロセッサが、前記抽出された識別子に基づいて、アクセス対象のファイルのアクセス情報を取得し、
    前記プロセッサが、前記取得したアクセス情報の継承先がファイルであるか否かを判定し、
    前記プロセッサが、前記取得したアクセス情報の継承先がファイルであるアクセス情報を選択し、
    前記プロセッサが、前記選択されたアクセス情報の少なくとも一つがアクセス拒否を示す場合には、前記受信したアクセス要求を拒否すると判定し、
    前記プロセッサが、前記インターフェースを介して、前記アクセスを要求したクライアント装置にアクセス拒否を通知することを特徴とするファイル管理方法。
  11. 前記ファイル管理方法は、さらに、
    前記選択されたアクセス情報が一つもアクセス拒否を示していない場合には、前記プロセッサが、前記抽出された識別子を他の装置と共有可能な形式の識別子に変換し、
    前記プロセッサが、前記共有形式に変換された識別子を、他の前記中間装置及び前記ファイルサーバに送信して、アクセス対象のファイルのアクセス情報を要求し、
    前記プロセッサが、前記要求によって取得したアクセス情報の少なくとも一つがアクセス拒否を示す場合には、前記受信したアクセス要求を拒否すると判定し、
    前記プロセッサが、前記インターフェースを介して、前記アクセスを要求したクライアント装置にアクセス拒否を通知することを特徴とする請求項10に記載のファイル管理方法。
  12. 前記ファイル管理方法は、さらに、
    前記プロセッサが、前記抽出された識別子に基づいて、受信したアクセス要求を処理すべき装置が他の装置であるか否かを判定し、
    前記受信したアクセス要求を処理すべき装置が他の装置であると判定された場合に、前記抽出された識別子を他の装置と共有可能な形式の識別子に変換する以後の処理を実行することを特徴とする請求項11に記載のファイル管理方法。
  13. 前記ファイル管理方法は、さらに、
    前記プロセッサが、前記ファイルシステムを前記仮想的な名前空間に接続する場合に、前記ファイルシステムが接続される前記仮想的な名前空間の場所の上位のディレクトリに設定されたアクセス情報を取得し、
    前記プロセッサが、前記取得したアクセス情報から継承の設定が有るアクセス情報を抽出することを特徴とする請求項10に記載のファイル管理方法。
  14. 前記ファイル管理方法は、さらに、前記プロセッサが、前記アクセス要求から抽出された識別子に基づいて取得したアクセス情報と、前記上位のディレクトリに設定された、継承の設定が有るアクセス情報とを合成することを特徴とする請求項10に記載のファイル管理方法。
  15. 前記ファイル管理方法は、さらに、前記プロセッサが、前記アクセス要求から抽出された識別子に基づいて取得したアクセス情報の後に、前記上位のディレクトリに設定された、継承の設定が有るアクセス情報を追加することによって、アクセス情報を合成することを特徴とする請求項14に記載のファイル管理方法。
JP2007251457A 2007-09-27 2007-09-27 計算機システム及びファイル管理方法 Expired - Fee Related JP4907482B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007251457A JP4907482B2 (ja) 2007-09-27 2007-09-27 計算機システム及びファイル管理方法
US12/013,584 US8281009B2 (en) 2007-09-27 2008-01-14 Intermediate NAS apparatus having ACL inheritance function for namespace integration

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007251457A JP4907482B2 (ja) 2007-09-27 2007-09-27 計算機システム及びファイル管理方法

Publications (2)

Publication Number Publication Date
JP2009080779A JP2009080779A (ja) 2009-04-16
JP4907482B2 true JP4907482B2 (ja) 2012-03-28

Family

ID=40509623

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007251457A Expired - Fee Related JP4907482B2 (ja) 2007-09-27 2007-09-27 計算機システム及びファイル管理方法

Country Status (2)

Country Link
US (1) US8281009B2 (ja)
JP (1) JP4907482B2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8677342B1 (en) * 2008-10-17 2014-03-18 Honeywell International Inc. System, method and apparatus for replacing wireless devices in a system
JP2012008854A (ja) * 2010-06-25 2012-01-12 Hitachi Ltd ストレージ仮想化装置
US8832686B2 (en) * 2010-10-29 2014-09-09 Microsoft Corporation Inherited product activation for virtual machines
US8826407B2 (en) 2010-11-24 2014-09-02 Skai, Inc. System and method for access control and identity management
US8775610B2 (en) * 2010-12-30 2014-07-08 Sonus Networks, Inc. Identifying an application server in a plurality of application servers associated with a shared identifier
JP5249368B2 (ja) * 2011-01-31 2013-07-31 株式会社バッファロー ネットワーク装置
JP5944184B2 (ja) * 2012-02-29 2016-07-05 株式会社東芝 情報通知装置、方法、プログラム及びシステム
US9092235B2 (en) 2012-05-25 2015-07-28 Microsoft Technology Licensing, Llc Virtualizing integrated calls to provide access to resources in a virtual namespace
US20150293938A1 (en) * 2012-09-27 2015-10-15 Hewlett-Packard Development Company, L.P. Replacing virtual file system data structures deleted by a forced unmount
CN103064957B (zh) * 2012-12-28 2016-06-15 华为技术有限公司 实现acl的方法及客户端
US20150331916A1 (en) * 2013-02-06 2015-11-19 Hitachi, Ltd. Computer, data access management method and recording medium
US10277601B1 (en) 2015-05-11 2019-04-30 Google Llc System and method for recursive propagating application access control
US10432628B2 (en) * 2016-02-23 2019-10-01 Cisco Technology, Inc. Method for improving access control for TCP connections while optimizing hardware resources
US10824747B1 (en) 2017-01-25 2020-11-03 State Farm Mutual Automobile Insurance Company Systems and methods for controlled access to policy data on blockchain
US10649666B1 (en) * 2017-05-10 2020-05-12 Ambarella International Lp Link-list shortening logic
CN112445764B (zh) * 2020-11-27 2024-05-31 北京五一视界数字孪生科技股份有限公司 文件操作的方法、装置、存储介质及电子设备

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956715A (en) * 1994-12-13 1999-09-21 Microsoft Corporation Method and system for controlling user access to a resource in a networked computing environment
EP0944873B1 (en) * 1996-06-07 2007-08-22 AT&T Corp. Internet file system
JPH11282741A (ja) * 1998-03-27 1999-10-15 Hitachi Ltd ディレクトリのマウント方法、ファイルアクセス方法およびアクセス権限判別方法
US7139973B1 (en) * 2000-11-20 2006-11-21 Cisco Technology, Inc. Dynamic information object cache approach useful in a vocabulary retrieval system
JP3879594B2 (ja) 2001-11-02 2007-02-14 日本電気株式会社 スイッチ方法、装置およびプログラム
JP2003162449A (ja) * 2001-11-27 2003-06-06 Mitsubishi Electric Corp アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム
JP4455239B2 (ja) * 2004-09-10 2010-04-21 キヤノン株式会社 情報処理方法及び装置
JP4341072B2 (ja) * 2004-12-16 2009-10-07 日本電気株式会社 データ配置管理方法及びシステムと装置およびプログラム
US7814427B2 (en) * 2005-01-05 2010-10-12 Microsoft Corporation Object model tree diagram
US8055680B2 (en) * 2005-04-19 2011-11-08 International Business Machines Corporation Assigning access control lists to a hierarchical namespace to optimize ACL inheritance

Also Published As

Publication number Publication date
JP2009080779A (ja) 2009-04-16
US20090089413A1 (en) 2009-04-02
US8281009B2 (en) 2012-10-02

Similar Documents

Publication Publication Date Title
JP4907482B2 (ja) 計算機システム及びファイル管理方法
JP4931660B2 (ja) データ移行処理装置
US20230325360A1 (en) System And Method For Policy Based Synchronization Of Remote And Local File Systems
JP4400126B2 (ja) 仮想一元化ネットワークストレージシステムにおける一元的なディスク使用量制御方法
JP4919851B2 (ja) ファイルレベルの仮想化を行う中間装置
US8255420B2 (en) Distributed storage
CN101567003B (zh) 并行文件系统中资源的管理和分配方法
US8577892B2 (en) Utilizing affinity groups to allocate data items and computing resources
EP1589411A2 (en) Managing method for storing subsystem
EP1465072A2 (en) Computer system with distributed file system for managing distributed files
US20070192375A1 (en) Method and computer system for updating data when reference load is balanced by mirroring
US10565142B2 (en) System and method for supporting user-level direct memory access input/output in distributed file system environment
JP5584910B2 (ja) 分散ストレージ
JP2005539289A (ja) 区分アプリケーション・サービスのための透過的な要求の経路指定
US10579597B1 (en) Data-tiering service with multiple cold tier quality of service levels
JP2009059201A (ja) ファイルレベルの仮想化と移行を行う中間装置
WO2015000502A1 (en) Method and apparatus for virtualization of a file system, data storage system for virtualization of a file system, and file server for use in a data storage system
WO2014162518A1 (ja) ファイル保存サービスシステム及びその方法
KR101714412B1 (ko) 클라우드 환경에서 데이터베이스 시스템을 구성하는 방법 및 장치
JP5557824B2 (ja) 階層ファイルストレージに対する差分インデクシング方法
KR101236477B1 (ko) 비대칭 클러스터 파일 시스템의 데이터 처리 방법
US8627446B1 (en) Federating data between groups of servers
JP5775359B2 (ja) システム管理サーバ、管理方法及びプログラム
US8250176B2 (en) File sharing method and file sharing system
US9432238B2 (en) Communicating large amounts of data over a network with improved efficiency

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111213

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees