JP4937863B2 - 計算機システム、管理計算機及びデータ管理方法 - Google Patents

計算機システム、管理計算機及びデータ管理方法 Download PDF

Info

Publication number
JP4937863B2
JP4937863B2 JP2007230337A JP2007230337A JP4937863B2 JP 4937863 B2 JP4937863 B2 JP 4937863B2 JP 2007230337 A JP2007230337 A JP 2007230337A JP 2007230337 A JP2007230337 A JP 2007230337A JP 4937863 B2 JP4937863 B2 JP 4937863B2
Authority
JP
Japan
Prior art keywords
data
volume
data stored
storage device
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007230337A
Other languages
English (en)
Other versions
JP2009064159A (ja
Inventor
雄一 田口
山本  政行
弘志 那須
法子 中嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007230337A priority Critical patent/JP4937863B2/ja
Priority to US12/030,545 priority patent/US20090063797A1/en
Publication of JP2009064159A publication Critical patent/JP2009064159A/ja
Application granted granted Critical
Publication of JP4937863B2 publication Critical patent/JP4937863B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1456Hardware arrangements for backup
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0866Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches for peripheral storage systems, e.g. disk cache
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ストレージ装置に格納されたデータを消去する技術に関し、特に、消去対象のデータの複製を消去する技術に関する。
一台以上の外部記憶装置と一台以上の計算機とを接続するストレージエリアネットワーク(SAN)が知られている。ストレージエリアネットワークは、複数の計算機が一つの大規模記憶装置を共有する場合に特に有効である。ストレージエリアネットワークを含むストレージシステムは、記憶装置又は計算機を容易に追加又は削除できるため、拡張性に優れている。
また、SANに接続する外部記憶装置には、ディスクアレイ装置が一般的によく利用される。ディスクアレイ装置は、ハードディスクに代表される記憶デバイス(例えば、磁気記憶デバイス)を多数搭載する装置である。
ディスクアレイ装置は、RAID(Redundant Array of Independent Disks)技術によって、数台の磁気記憶デバイスを一つのRAIDグループとして管理する。RAIDグループは、一つ以上の論理的な記憶領域を形成する。SANに接続された計算機は、当該記憶領域に対してデータ入出力処理を実行する。ディスクアレイ装置は、当該記憶領域にデータを記録する場合に、RAIDグループを構成する磁気記憶デバイスに冗長データを記録する。当該冗長データによって、磁気記憶デバイスの一つが故障した場合であっても、データを復元することができる。
また、磁気記憶デバイスに記録されたデータを消去するためには、消去対象の記憶領域にダミーデータを上書きする。しかし、ダミーデータの上書き回数が一回のみの場合には、残留磁気が残存してしまうため、データが復元可能となってしまう場合がある。そこで、ダミーデータの上書きを少なくとも三回以上繰り返すことによって、完全に残留磁気を消去する技術が開示されている(特許文献1参照)。完全に残留磁気を消去し、データの復元を防止することによって、セキュリティリスクを軽減することができる。
近年、複数の論理記憶装置を備え、当該複数の論理記憶装置のいずれかを計算機のアクセス対象とするジュークボックス制御機構を有する記憶装置システムが提案されている。ジュークボックス制御機構は、管理計算機からの要求に応じて、アクセス対象の論理記憶装置を変更することができる(特許文献2参照)。アクセス対象の論理記憶装置を変更することによって、変更時点のデータの複製を保存することが可能となり、データの複製を世代管理することができる。
特開2007−11522号公報 特開2005−209149号公報
磁気ディスク媒体(ハードディスクドライブ)は、データを保存するために広く使われている。磁気ディスク媒体に記録されたデータは、単純なファイル削除操作又はボリュームフォーマット処理では完全に抹消されずに、復元可能であるという特徴がある。特に磁気ディスクの特性上、データを一回のみ上書きした場合又はフォーマット処理では残留磁気が媒体上に残存し、残留磁気を元にデータが復元されてしまう場合がある。
また、近年のセキュリティに対する関心の高まりに伴って、保存されたデータを完全に消去する技術が求められている。そこで、磁気ディスク上の残留磁気を完全に抹消するためには、ダミーデータの上書きを複数回繰り返す完全消去処理が有効である。
一方、記憶装置に格納されたデータを完全に消去した場合であっても、バックアップデータが保存されている場合には、当該バックアップデータからデータが漏洩してしまうおそれがある。特に、過去に作成されたバックアップデータの管理が不十分な場合には、データの消去が困難になる可能性がある。
さらに別の要因として、磁気記憶装置のデータを磁気記憶装置にバックアップを作成する場合には、コピー元のデータ領域を複数回上書きして完全消去し、ゼロデータに置き換えた場合であっても、ゼロデータをコピー先のディスクに複製するだけでは、コピー先のデータ領域に対する上書きは一回のみであるため、残留磁気が残存し、データを復元することができる可能性がある。
本発明の代表的な一形態では、ストレージ装置と、前記ストレージ装置にネットワークを介して接続されるホスト計算機と、前記ストレージ装置及び前記ホスト計算機にアクセス可能な管理計算機と、を含む計算機システムであって、前記ストレージ装置は、前記ネットワークに接続される第1インタフェースと、前記第1インタフェースに接続される第1プロセッサと、前記第1プロセッサに接続される第1メモリと、を備え、データが読み書きされる第1のボリュームを前記ホスト計算機に提供し、前記管理計算機は、前記ネットワークに接続される第2インタフェースと、前記第2インタフェースに接続される第2プロセッサと、前記第2プロセッサに接続される第2メモリと、を備え、前記管理計算機は、前記第1のボリュームと前記第1のボリュームに格納されたデータの複製を格納する第2のボリュームとの対応を含むカタログ情報、を格納し、前記管理計算機は、データ消去方法と複製データの消去の有無を示すデータ消去条件を含む前記第1のボリュームに格納されたデータの消去要求、を受け付けた場合には、前記第1のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、前記ストレージ装置は、前記第1のボリュームに格納されたデータの消去要求に基づいて、前記第1のボリュームに格納されたデータを、前記データ消去条件に従って消去し、前記管理計算機は、前記データ消去条件に従って、前記カタログ情報に基づいて、前記第1のボリュームに格納されたデータの複製を格納する前記第2のボリュームを特定し、前記管理計算機は、前記特定された第2のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、前記ストレージ装置は、前記特定された第2のボリュームに格納されたデータを、前記データ消去条件に従って、消去し、前記管理計算機は、前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去された場合には、それぞれ前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去されたことを示す消去証明書を出力する
本発明の一形態によれば、記憶領域に格納されたデータを消去した場合に、消去されたデータの複製(バックアップ、アーカイブ)をさらに消去することによって、セキュリティリスクを低減することができる。
以下に図面を参照しながら本発明の実施の形態を説明する。
(第1の実施の形態)
図1は、本発明の第1の実施の形態のストレージエリアネットワークの構成を表す図である。ストレージエリアネットワークは、データ入出力用ネットワーク及び管理用ネットワーク600によって構成される。
データ入出力用ネットワークは、ストレージ装置100、テープライブラリ装置200、ホスト計算機300及びネットワーク接続装置400を含む。ホスト計算機300及びストレージ装置100は、ネットワーク接続装置400を介して互いに接続することによって、相互にデータを入出力する。データ入出力用ネットワークは、図1では太線で表示されている。データ入出力用ネットワークは、ファイバチャネル又はイーサネット(「イーサネット」は登録商標、以下同じ)などの従来技術によるネットワークである。
管理用ネットワーク600は、ファイバチャネル又はイーサネットなどの従来技術によるネットワークである。ストレージ装置100、テープライブラリ装置200、ホスト計算機300及びネットワーク接続装置400は、管理用ネットワーク600を介して管理計算機500に接続する。
ホスト計算機300は、データベース又はファイルサーバなどのアプリケーションが稼働し、記憶領域に対するデータの入出力を実行する。ストレージ装置100は、磁気記憶装置などの記憶デバイスを搭載し、ホスト計算機300によって読み書きされるデータの記憶領域を提供する。テープライブラリ装置200は、ストレージ装置100に格納されたデータのバックアップをテープに記録する。ネットワーク接続装置400は、ホスト計算機300とストレージ装置100とを接続する機器であって、例えば、ファイバチャネルスイッチである。
なお、第1の実施の形態では、管理用ネットワーク600と、データ入出力用ネットワークとが、それぞれ独立した形態となっているが、双方の機能を兼ねる単一のネットワークであってもよい。
図2は、本発明の第1の実施の形態のストレージ装置100の構成を示す図である。
ストレージ装置100は、データ入出力用通信インタフェース140、管理用通信インタフェース150、ストレージコントローラ190、プログラムメモリ1000、データ入出力用キャッシュメモリ160及び磁気記憶装置120を含む。データ入出力用通信インタフェース140、管理用通信インタフェース150、プログラムメモリ1000、データ入出力用キャッシュメモリ160及び磁気記憶装置120は、ストレージコントローラ190を介して互いに接続される。
データ入出力用通信インタフェース140は、データ入出力用ネットワークを介してネットワーク接続装置400に接続する。管理用通信インタフェース150は、管理用ネットワーク600を介して管理計算機500に接続する。なお、データ入出力用通信インタフェース140及び管理用通信インタフェース150の数は任意である。また、データ入出力用通信インタフェース140は、管理用通信インタフェース150と独立した構成とする必要はなく、データ入出力用通信インタフェース140から管理情報を入出力し、管理用通信インタフェース150と共用してもよい。
ストレージコントローラ190は、ストレージ装置100を制御するプロセッサを搭載する。データ入出力用キャッシュメモリ160は、ホスト計算機300から記憶領域に対する入出力を高速化するための一時記憶領域である。データ入出力用キャッシュメモリ160は、揮発性メモリによる構成が一般的であるが、不揮発性メモリ又は磁気記憶装置で代用することも可能である。なお、データ入出力用キャッシュメモリ160の個数及び容量に制限はない。磁気記憶装置120は、ホスト計算機300によって読み書きされるデータを格納する。
プログラムメモリ1000は、ストレージ装置100で実行される処理に必要なプログラム及び制御情報を格納する。プログラムメモリ1000は、磁気記憶装置又は揮発性半導体メモリによって構成される。プログラムメモリ1000に格納される制御プログラム及び制御情報は、図5にて後述する。
図3は、本発明の第1の実施の形態のホスト計算機300の構成を示す図である。
ホスト計算機300は、データ入出力用通信インタフェース340、管理用通信インタフェース350、入力用インタフェース370、出力用インタフェース375、演算処理装置380、磁気記憶装置320及びデータ入出力用キャッシュメモリ360を含む。
データ入出力用通信インタフェース340、管理用通信インタフェース350、入力用インタフェース370、出力用インタフェース375、演算処理装置380、磁気記憶装置320及びデータ入出力用キャッシュメモリ360は、通信バス390を介して互いに接続される。ホスト計算機300は、汎用計算機(PC)で実現可能なハードウェア構成である。
データ入出力用通信インタフェース340は、データ入出力用ネットワークを介してネットワーク接続装置400に接続し、データを入出力する。管理用通信インタフェース150は、管理用ネットワーク600を介して管理計算機500に接続し、管理情報を入出力する。なお、データ入出力用通信インタフェース340及び管理用通信インタフェース350の数は任意である。また、データ入出力用通信インタフェース340は、管理用通信インタフェース350と独立した構成とする必要はなく、データ入出力用通信インタフェース340から管理情報を入出力し、管理用通信インタフェース350と共用してもよい。
入力用インタフェース370は、利用者が情報を入力するための機器と接続し、例えば、キーボード及びマウスなどと接続する。出力用インタフェース375は、利用者に情報を出力するための機器と接続し、例えば、汎用ディスプレイなどと接続する。演算処理装置380は、各種演算を実行し、CPU又はプロセッサに相当する。磁気記憶装置320は、オペレーティングシステム及びアプリケーションなどのソフトウェアを格納する。
データ入出力用キャッシュメモリ360は、揮発性メモリなどによって構成され、磁気記憶装置320に対するデータ入出力を高速化するために使用される。データ入出力用キャッシュメモリ360は、揮発性メモリによる実装が一般的であるが、不揮発性メモリ又は磁気記憶装置で構成してもよい。なお、データ入出力用キャッシュメモリ360の個数及び容量に制限はない。
プログラムメモリ3000は、ホスト計算機300で実行される処理に必要なプログラム及び制御情報を格納する。プログラムメモリ3000は、磁気記憶装置又は揮発性半導体メモリによって構成される。
プログラムメモリ3000は、業務アプリケーションプログラム3001を記憶する。業務アプリケーションプログラム3001は、例えば、データベース又は会計プログラムなど、ストレージ装置100に格納される情報を作成及び更新するプログラムである。
図4は、本発明の第1の実施の形態の管理計算機500の構成を示す図である。
管理計算機500は、データ入出力用通信インタフェース540、管理用通信インタフェース550、入力用インタフェース570、出力用インタフェース575、演算処理装置580、磁気記憶装置520、プログラムメモリ5000及びデータ入出力用キャッシュメモリ560を含む。
データ入出力用通信インタフェース540、管理用通信インタフェース550、入力用インタフェース570、出力用インタフェース575、演算処理装置580、磁気記憶装置520、プログラムメモリ5000及びデータ入出力用キャッシュメモリ560は、通信バス590を介して互いに接続される。管理計算機500は、汎用計算機(PC)で実現可能なハードウェア構成となっており、各部の機能は、図3に示されたホスト計算機300と同じである。
プログラムメモリ5000は、管理計算機500で実行される処理に必要なプログラム及び情報を格納する。プログラムメモリ5000は、磁気記憶装置又は揮発性半導体メモリによって構成される。プログラムメモリ5000に格納されるプログラム及び情報は、図6にて後述する。
図5は、本発明の第1の実施の形態のストレージ装置100のプログラムメモリ1000に格納される制御プログラム及び制御情報の一例を示す図である。
プログラムメモリ1000には、ストレージ構成管理機構1010、コピー管理機構1020、データ消去プログラム1001及び構成情報更新サービスプログラム1002が含まれる。
ストレージ構成管理機構1010は、ストレージ装置100がホスト計算機300に提供する記憶資源を管理するためのプログラム及び情報を含む。具体的には、ストレージ構成管理機構1010には、記憶領域構成管理プログラム1011、RAIDグループ構成情報1012、記憶領域構成情報1013、論理記憶ユニット構成情報1014及び記憶領域更新制限プログラム1015が含まれる。
記憶領域構成管理プログラム1011は、ストレージコントローラ190に搭載されたプロセッサに実行されることによって、後述する記憶領域構成情報1013に基づいて、ホスト計算機300に提供する記憶領域を管理及び制御する。
RAIDグループ構成情報1012は、磁気記憶装置120の集合によるRAIDグループの構成情報である。RAIDグループ構成情報1012の詳細については、図7にて後述する。
記憶領域構成情報1013は、RAIDグループが論理的な単位に分割された記憶資源の単位である記憶領域の構成情報である。記憶領域構成情報1013の詳細については、図8にて後述する。
論理記憶ユニット構成情報1014は、ホスト計算機300に提供する記憶資源の単位である論理記憶ユニットの構成情報である。論理記憶ユニット構成情報1014の詳細については、図9にて後述する。
記憶領域更新制限プログラム1015は、ストレージコントローラ190に実行されることによって、ある記憶領域に対する書き込み要求を受信した場合に、当該記憶領域への更新が許可されていなければ書き込みを実行せず、要求に対してエラーメッセージを応答する。
コピー管理機構1020は、ストレージ装置100が提供する記憶領域に格納されたデータを、別の記憶領域に複製するためのプログラム及び情報である。コピー管理機構1020には、データコピープログラム1021、コピー構成情報1022及び更新データ情報1023が含まれる。
データコピープログラム1021は、ストレージコントローラ190に実行されることによって、コピー構成情報1022に基づいて、コピー元記憶領域に記録されたデータをコピー先記憶領域に複写する。
コピー構成情報1022は、コピー対象の記憶領域と、当該記憶領域のコピー先となる記憶領域の対応関係を含む。コピー構成情報1022の詳細については、図10にて後述する。
更新データ情報1023は、ホスト計算機300によるデータの書き込みによってコピー元記憶領域が更新された場合に、コピー先記憶領域に複写されていない差分データの位置情報がコピー元記憶領域ごとに格納される。更新データ情報1023の詳細については、図11にて後述する。
データコピープログラム1021は、データコピー処理においてコピー元記憶領域に格納されたすべてのデータをコピー先記憶領域に複写するのではなく、更新データ情報1023に記録された差分だけをコピー先記憶領域に複写することによって、コピー処理を完了することができる。
データ消去プログラム1001は、ストレージコントローラ190に実行されることによって、記憶領域に対してゼロデータ又は乱数データなどのダミーデータを複数回上書きする。記憶領域にダミーデータを複数回上書きすることによって、磁気記憶装置120上の残留磁気を抹消し、完全にデータを読み出せなくすることができる。ダミーデータの上書き回数は、例えば、3回である。
構成情報更新サービスプログラム1002は、ストレージコントローラ190に搭載されたプロセッサに実行されることによって、管理計算機500からの要求に基づいて、構成情報を送信する。
図6は、本発明の第1の実施の形態の管理計算機500のプログラムメモリ5000に格納される制御プログラム及び制御情報の一例を示す図である。
管理計算機500のプログラムメモリ5000には、データ消去要求プログラム5001、コピー構成情報1022、構成情報更新プログラム5002、消去証明書発行プログラム5003及びコピーデータカタログ情報5101が記憶される。
データ消去要求プログラム5001は、演算処理装置580によって実行されることによって、管理者から入力された情報に基づいて、ストレージ装置100にデータ消去を要求する。コピー構成情報1022は、構成情報更新プログラム5002によって、ストレージ装置100に格納されたコピー構成情報1022と同じ内容を格納する。
構成情報更新プログラム5002は、ストレージ装置100が保持する構成情報を取得し、保存するためのプログラムである。構成情報更新プログラム5002による処理の手順は、図13にて後述する。
消去証明書発行プログラム5003は、出力用インタフェース575を介して、消去証明書を管理者に提供するプログラムである。消去証明書の一例は、図17にて後述する。
コピーデータカタログ情報5101は、コピー構成情報1022に基づいて、現在及び過去に作成されたコピーデータの格納位置をカタログとして保管している。コピーデータカタログ情報5101の詳細については、図12にて後述する。
図7は、本発明の第1の実施の形態のストレージ装置100に格納されるRAIDグループ構成情報1012の一例を示す図である。
RAIDグループ構成情報1012は、RAIDグループとRAIDグループを構成する磁気記憶装置との対応関係を格納する。RAIDグループ構成情報1012は、RAIDグループ識別情報10121及び磁気記憶装置識別情報10122を含む。
RAIDグループ識別情報10121は、ストレージ装置100に備えられるRAIDグループを一意に識別する識別子である。
磁気記憶装置識別情報10122は、RAIDグループ識別情報10121によって特定されるRAIDグループを構成する磁気記憶装置120を一意に識別する識別子である。例えば、RAIDグループ「RG−01」は、磁気記憶装置「HD−01」、「HD−02」、「HD−03」及び「HD−04」によって構成される。
図8は、本発明の第1の実施の形態のストレージ装置100に格納される記憶領域構成情報1013の一例を示す図である。
記憶領域構成情報1013は、記憶領域識別情報10131、RAIDグループ識別情報10132、開始ブロックアドレス10133、終了ブロックアドレス10134及び更新可否情報10135を含む。
記憶領域識別情報10131は、記憶領域を識別する識別子である。RAIDグループ識別情報10132は、RAIDグループを識別する識別子である。記憶領域識別情報10131によって識別される記憶領域は、RAIDグループ識別情報10132によって識別されるRAIDグループに定義された論理的な記憶領域である。
開始ブロックアドレス10133は、記憶領域識別情報10131によって識別される記憶領域が格納される物理領域の開始ブロックアドレスである。一方、終了ブロックアドレス10134は、記憶領域識別情報10131によって識別される記憶領域が格納される物理領域の終了ブロックアドレスである。
更新可否情報10135は、記憶領域識別情報10131によって識別される記憶領域のセキュリティ属性である。本発明の第1の実施の形態の更新可否情報10135では、記憶領域がホスト計算機300などの外部入出力装置から書き込みを許可する場合には“No”を記録し、書き込みを禁止するときは“Yes”を格納する。また、本発明の第1の実施の形態では属性値を文字列によって表現しているが、属性値は“0”又は“1”の真偽値などによって表現してもよい。
ストレージ装置100のストレージコントローラ190は、記憶領域更新制限プログラム1015を実行すると、書き込み要求の対象である記憶領域の更新可否情報10135が“No”である場合には、書き込み処理を実行せずにエラーを通知する。すなわち、更新可否情報10135が“No”である間には、記憶領域に格納されたデータが保存されることが保証される。
図9は、本発明の第1の実施の形態のストレージ装置100に格納される論理記憶ユニット構成情報1014の一例を示す図である。論理記憶ユニット構成情報1014は、通信インタフェースと、ホスト計算機300からアクセス可能な記憶資源の単位である記憶ユニットと、記憶領域との対応が格納される。
論理記憶ユニット構成情報1014は、通信インタフェース識別情報10141、記憶ユニット識別情報10142及び記憶領域識別情報10143を含む。
通信インタフェース識別情報10141は、データ入出力用通信インタフェース140を一意に識別する識別子である。通信インタフェース識別情報10141には、例えば、WWN(World Wide Name)が格納される。
記憶ユニット識別情報10142は、記憶ユニットを一意に識別する識別子である。記憶ユニットは、ストレージ装置100に接続されたホスト計算機300からアクセス可能な記憶資源の単位であり、ホスト計算機300が稼働するファイルシステムにマウントされるボリュームに相当する。
記憶領域識別情報10143は、ストレージ装置100によって提供される論理的な記憶領域を一意に識別する識別子である。
図10は、本発明の第1の実施の形態のストレージ装置100に格納されるコピー構成情報1022の一例を示す図である。
コピー構成情報1022は、コピー元記憶領域識別情報10221、コピー先記憶領域識別情報10222、順序番号10223及びコピー時刻10224を含む。
ストレージコントローラ190のプロセッサは、データコピープログラム1021を実行することによって、コピー元記憶領域識別情報10221によって識別される記憶領域から、コピー先記憶領域識別情報10222によって識別される記憶領域にデータをコピーする。
順序番号10223は、一つのコピー元記憶領域に対して複数のコピー先記憶領域が定義されている場合に、コピー順序を示す値である。データコピープログラム1021が複数のコピー先に対して順番にコピーを実行することによって、複数世代のバックアップを作成することができる。コピー時刻10224は、データコピーが実行された時刻、すなわちバックアップ取得時間が格納される。
なお、管理計算機300が複数のストレージ装置100を管理する場合には、管理計算機300に格納されるコピー構成情報1022は、コピー元及びコピー先の記憶領域識別情報によって各記憶領域を提供するストレージ装置100を識別できる必要がある。記憶領域識別情報によってストレージ装置を識別できない場合には、コピー元及びコピー先の記憶領域を提供するストレージ装置100の識別情報をさらに格納する必要がある。
また、コピー先の記憶領域が他のストレージ装置100によって提供される場合には、ストレージ装置100に格納されるコピー構成情報1022にコピー先の記憶領域を提供するストレージ装置100の識別情報を格納する必要がある。
図11は、本発明の第1の実施の形態のストレージ装置100に格納される更新データ情報1023の一例を示す図である。
更新データ情報1023は、コピー元記憶領域とコピー先記憶領域のペアの数だけストレージ装置100に保持される。更新データ情報1023は、ブロックアドレス10231及び更新情報10232を含む。
ブロックアドレス10231は、コピー元記憶領域における位置情報が格納される。更新情報10232は、コピー元記憶領域のブロックアドレス10231に記録されたデータがコピー先記憶領域に複写されていなければ“Yes”が記録され、複写されていれば“No”が記録される。本発明の第1の実施の形態では、更新情報10232に格納される値を文字列によって表しているが、“0”又は“1”の真偽値などによって表現してもよい。
図12は、本発明の第1の実施の形態の管理計算機500に格納されるコピーデータカタログ情報5101の一例を示す図である。
コピーデータカタログ情報5101は、コピー元記憶領域識別情報51011、コピー先記憶領域識別情報51012及びコピー時刻51013を含む。
コピー元記憶領域識別情報51011は、コピー元の記憶領域を識別する識別子が格納される。コピー先記憶領域識別情報51012は、コピー先の記憶領域を識別する識別子が格納される。コピー時刻51013は、コピーが実行された時刻が格納される。
なお、管理計算機300が複数のストレージ装置を管理する場合には、構成情報1022と同じく、コピーデータカタログ情報5101にコピー元及びコピー先の記憶領域を提供するストレージ装置100の識別情報を格納する必要がある。
図13は、本発明の第1の実施の形態の管理計算機500に格納されるストレージ装置の構成情報を更新する手順を示すフローチャートである。
本処理は、演算処理装置580によって構成情報更新プログラム5002が実行されることによって処理される。処理の概要は、ストレージ装置100から構成情報を取得し、コピー構成情報1022及びコピーデータカタログ情報5101を更新する。
管理計算機500の演算処理装置580は、まず、ストレージ装置100に構成情報送信要求メッセージを送信する(ステップS101)。このとき、構成情報送信要求メッセージに、要求する構成情報を指定し、必要な構成情報のみをストレージ装置100から取得するようにしてもよい。
ストレージ装置100のストレージコントローラ190は、構成情報更新サービスプログラム1002を実行することによって、構成情報送信要求メッセージを受信し、要求された内容に基づいて、ストレージ装置100の構成情報を管理計算機500に送信する(ステップS102)。
管理計算機500の演算処理装置580は、ストレージ装置100から送信された構成情報を受信すると、受信した構成情報に基づいて、プログラムメモリ5000に格納されたコピー構成情報1022を更新する(ステップS103)。
さらに、管理計算機500の演算処理装置580は、更新された情報をコピーデータカタログ情報5101に反映する(ステップS104)。このとき、登録済みの情報を破棄せずに更新情報を追記することによって、過去のコピー実績を保存することができる。
なお、過去のコピーデータが格納されていた記憶領域が、別の用途で使用されるために再利用されていた場合には、過去のコピーデータすなわちバックアップに該当しないと判定することができる。したがって、過去にコピーデータが格納されていた記憶領域が再利用されていた場合には、コピー先記憶領域識別情報51012に当該記憶領域が記録されているエントリをコピーデータカタログ情報5101から削除してもよい。また、各エントリに対応する記憶領域がバックアップに該当するか否かを判定する項目をコピーデータカタログ情報5101に追加することによって、消去対象の記憶領域か否かを判定してもよい。
ここで、図14から図16を参照しながら、本発明の第1の実施の形態の記憶領域のデータ消去処理手順について説明する。なお、データ消去処理は、管理計算機500の演算処理装置580がデータ消去要求プログラム5001を処理することによって実行される。
図14は、本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。図14に示すフローチャートは、指定された記憶領域に格納されるデータを消去する手順を示している。
管理計算機500の演算処理装置580は、まず、データ消去要求プログラム5001を実行することによって、システム管理者によるデータ消去要求命令の入力を受け付ける(ステップS201)。データ消去要求命令には、データ消去対象及びデータ消去条件が含まれる。データ消去対象には、例えば、記憶領域又は論理記憶ユニットが指定される。また、データ消去条件は、上書き回数、ゼロデータ又はランダムデータなどの上書きデータの種別に加え、消去対象のデータのコピーデータ又はバックアップデータを消去するか否かの情報が含まれる。
管理計算機500の演算処理装置580は、次に、消去対象の記憶領域への入出力停止をホスト計算機300に要求する(ステップS202)。
ホスト計算機300の演算処理装置380は、業務アプリケーションプログラム3001の処理において、消去対象の記憶領域への入出力停止要求を受け付け、消去対象記憶量領域に対するデータ読み出し及び書き込みを停止する(ステップS203)。さらに、入出力停止完了通知を管理計算機500に送信する(ステップS204)。
管理計算機500の演算処理装置580は、以上のステップS202からS204の処理によって、データ消去処理実行前に消去対象記憶領域に対するデータの入出力を停止し、消去処理中に入出力要求が発生して障害が生じる可能性を排除する。なお、本発明の第1の実施の形態では、ホスト計算機300に対して入出力停止を要求する手順を示したが、ストレージ装置100の記憶領域構成情報1013に含まれる更新可否情報10135を“No”に設定することによって、ホスト計算機300からの書き込み要求を拒否してもよい。このとき、読み出し要求に対してはエラーでなく、消去済み記憶領域から読み出されたデータを擬似的に模したゼロデータを応答してもよい。
管理計算機500の演算処理装置580は、次に、消去対象記憶領域に対するデータ消去要求メッセージをストレージ装置100に送信する(ステップS205)。
ストレージ装置100のストレージコントローラ190は、管理計算機500からデータ消去要求メッセージを受信する。そして、ストレージ装置100のストレージコントローラ190は、データ消去プログラム1001を実行することによって、データ消去要求メッセージに含まれる消去条件に基づいて、指定された記憶領域に格納されたデータを消去し、かつ、残留磁気を抹消する(ステップS206)。具体的には、記憶領域全体を消去し、かつ、残留磁気を抹消するために、開始ブロックアドレス10133から終了ブロックアドレス10134までの領域に対して、ゼロデータ又は乱数データを指定された回数分上書きする。処理が完了すると、ストレージ装置100のストレージコントローラ190は、消去処理完了通知を管理計算機500に送信する(ステップS207)。
図15は、本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。図15に示すフローチャートは、ホスト計算機300からの書き込みを再開する手順を示している。
管理計算機500の演算処理装置580は、図14のステップS205の処理が終了し、ストレージ装置100から消去処理完了通知を受信すると、消去対象記憶領域に対するデータの入出力の再開をホスト計算機300に要求する(ステップS208)。
ホスト計算機300の演算処理装置380は、消去対象記憶領域に対するデータの入出力を再開する(ステップS209)。さらに、入出力再開完了通知を管理計算機500に送信する(ステップS210)。
以上のステップS208からS210の処理が実行されることによって、ホスト計算機300から消去対象の記憶領域に再びアクセスすることが可能となる。
図16は、本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。図16に示すフローチャートは、消去対象領域の複製が格納された記憶領域のバックアップデータを消去する手順を示している。
管理計算機500の演算処理装置580は、まず、ステップS201の処理で入力されたデータ消去条件にコピーデータを消去する指示が含まれるか否かを判定する(ステップS211)。
管理計算機500の演算処理装置580は、コピーデータを消去する場合には(ステップS211の結果が「Yes」)、コピーデータカタログ情報5101を参照し、消去対象記憶領域の複製を格納する記憶領域を検索し、取得する(ステップS212)。
管理計算機500の演算処理装置580は、ステップS212の処理で取得されたすべてのコピー先記憶領域について、以下のデータ消去処理を繰り返す(ステップS213)。
管理計算機500の演算処理装置580は、コピー先記憶領域を消去対象とするデータ消去要求メッセージをストレージ装置100に送信する(ステップS214)。
ストレージ装置100のストレージコントローラ190は、データ消去要求メッセージを受信すると、データ消去要求メッセージに含まれる消去条件に基づいて、消去対象の記憶領域のデータを消去し、かつ、残留磁気を抹消する(ステップS215A)。
ストレージ装置100のストレージコントローラ190は、さらに、コピー元記憶領域とコピー先記憶領域とのペア関係を格納した更新データ情報1023を初期化する(ステップS215B)。ステップS215Bの処理は、コピー元記憶領域とコピー先記憶領域がいずれも消去された状態であることから、次回の差分データ複写時にコピー元記憶領域に上書きされた全データが複写されないようにするための処理である。更新データ情報1023の初期化処理は、消去対象の記憶領域の更新情報10232にすべて“No”を記録すればよい。
ストレージ装置100のストレージコントローラ190は、消去対象の記憶領域のデータの消去が完了すると、消去処理完了通知を管理計算機500に送信する(ステップS216)。
管理計算機500の演算処理装置580は、ステップS212の処理で取得されたすべてのコピー先記憶領域のデータの消去が完了した場合には、消去された記憶領域の情報を消去条件及び時刻とともに消去証明書に記載し、出力用インタフェース575から出力する(ステップS217)。なお、消去証明書の出力は、画面に出力してもよいし、プリンタから紙に印刷することによって出力してもよい。
なお、管理計算機500の演算処理装置580は、コピーデータを消去しない場合には(ステップS211の結果が「No」)、コピーデータの消去をせずに消去証明書を発行する(ステップS217)。
図17は、本発明の第1の実施の形態の消去証明書の出力例を示す図である。
消去証明書には、データ消去処理を施した記憶領域の一覧が、消去条件とともに出力される。消去対象がコピー先記憶領域である場合には、コピー構成情報1022のコピー時刻10224を記載することによって、データが複製された時期を明示してもよい。また、管理者がコピー元の記憶領域を消去対象としてステップS201の処理で入力した場合には、あわせて消去された記憶領域の数及び識別情報を消去証明書に出力してもよい。
以上の手順に基づいて、本発明の第1実施の形態のデータ消去処理の流れを具体的に説明する。
ここでは、図14のステップS201の処理において、消去対象の記憶領域として、記憶領域“LD−01”の消去が管理者によって指示された場合について説明する。また、ステップS201の処理入力された消去条件は、コピー先記憶領域の消去を実行し、さらに、上書き回数は3回、1回目は全記憶領域にゼロデータを上書き、2回目は乱数データを上書き、3回目に再びゼロデータを上書きするアルゴリズムが指示されたとする。
管理計算機500の演算処理装置580は、“LD−01”に入出力する業務アプリケーションプログラム3001の実行を一時停止するようにホスト計算機300に指示する(ステップS203)。さらに、“LD−01”のデータ消去を指示するようにストレージ装置100に指示する(ステップS206)。
管理計算機500の演算処理装置580は、データの消去が完了すると、“LD−01”に対する業務アプリケーションプログラム3001の実行によるデータの入出力を再開する(ステップS209)。
続いて、管理計算機500の演算処理装置580は、コピーデータの消去が消去条件に含まれているため、コピー構成情報1022を参照し、“LD−01”のコピー先記憶領域を取得する(ステップS212)。具体的には、図10のコピー構成情報1022を参照すると、コピー先記憶領域として“LD−05”、“LD−06”、“LD−07”を取得することができる。また、過去にコピー先記憶領域として利用されていた記憶領域を取得する場合には、図12に示したコピーデータカタログ情報5101を参照すればよい。
管理計算機500の演算処理装置580は、消去対象のコピー先記憶領域“LD−05”、“LD−06”及び“LD−07”に対して消去処理を実行する(ステップS213)。
ストレージ装置100のストレージコントローラ190は、管理計算機500からの要求を受け付けると、“LD−05”、“LD−06”、“LD−07”の消去を実行する(ステップS215)。
最後に、管理計算機500の演算処理装置580は、図17に示した消去証明書を発行し(ステップS217)、本処理を終了する。
図18は、本発明の第1の実施の形態のストレージ装置100のコピー構成を示す図である。なお、図18では、2台のストレージ装置が示されており、それぞれ、ストレージ装置100A及びストレージ装置100Bとする。ストレージ装置100A及びストレージ装置100Bは、前述したストレージ装置100と同じ構成である。
記憶領域“LD−01”は、図10に示したコピー構成情報を参照すると、“LD−05”、“LD−06”及び“LD−07”がコピー先記憶領域として登録されている。このような構成では、“LD−01”とコピー先記憶領域の消去を指示された場合には、“LD−01”、“LD−05”、“LD−06”及び“LD−07”が消去対象となる。
また、コピー構成をカスケード構成としてもよい。具体的には、記憶領域“LD−61”は、“LD−62”、“LD−63”及び“LD−64”がコピー先記憶領域として登録されている。さらに、“LD−63”には、“LD−65”及び“LD−66”がコピー先として登録されている。カスケード構成では、“LD−65”及び“LD−66”に記録されるデータは、“LD−61”の特定の時点における複製となる。したがって、“LD−61”のデータ消去が指示され、消去条件としてコピー先記憶領域のデータ消去を指示されている場合には、記憶領域“LD−62”、“LD−63”、“LD−64”、“LD−65”及び“LD−66”が消去対象となり、ステップS215の処理で消去される。
さらに、コピー構成を複数のストレージ装置100に複製が格納されるリモートコピー構成としてもよい。“LD−51”には、ストレージ装置100Aにコピー先記憶領域として“LD−52”及び“LD−53”が作成されており、さらに、ストレージ装置100Bに“LD−81”が作成されている。すなわち、“LD−51”と“LD−81”とは、リモートコピーを構成する関係にある。さらに、“LD−81”は、ストレージ装置100Bの記憶領域“LD−82”、“LD−83”及び“LD−84”をコピー先としている。このような構成において、ステップS201の処理で記憶領域“LD−51”のデータ消去が指示され、消去条件としてコピー先記憶領域のデータ消去を指示されている場合には、記憶領域“LD−52”、“LD−53”、“LD−81”、“LD−82”、“LD−83”及び“LD−84”が消去対象となる。
リモートコピー構成のように複製を格納するストレージ装置100Bが消去対象のデータを格納するボリュームを提供するストレージ装置100Aと異なる場合には、前述したように、コピー構成情報1022及びコピーデータカタログ情報5101にストレージ装置の識別情報を含ませる必要がある。
また、リモートコピー構成の場合には、ストレージ装置100Bに対するデータ消去要求をストレージ装置100Aから送信してもよいし、管理計算機300から送信してもよい。なお、過去に記録されたデータの複製を格納し、保管されている記憶領域を消去する場合には、管理計算機300に格納されたコピーデータカタログ情報5101を参照して当該記憶領域を含むストレージ装置に対してデータ消去要求を送信する必要がある。
本発明の第1の実施の形態によれば、指定された記憶領域のデータを消去する場合に、バックアップデータなどの当該データの複製を同時に消去することができる。
また、本発明の第1の実施の形態によれば、バックアップデータの残留磁気まで含めた完全消去を実行するため、データの復元を防止し、セキュリティリスクを低減することができる。
(第2の実施の形態)
本発明の第1の実施の形態では、指定された記憶領域に格納されたデータを消去する場合に、当該記憶領域のコピー先の記憶領域に格納されたデータを消去する技術について説明したが、本発明の第2の実施の形態では、消去対象の記憶領域に格納されたデータについて、別の形態で保存されたデータを消去する場合について説明する。具体的には、特許文献2に開示された、ストレージ装置100が論理記憶ユニットを構成する記憶領域を別の記憶領域に切り替える技術に対して適用する。特許文献2に開示された技術では、記憶領域が切り替えられた時点における記憶領域に格納されたデータを保存することが可能である。
なお、本発明の第2の実施の形態において、本発明の第1の実施の形態と共通する内容については適宜説明を省略する。
図19は、本発明の第2の実施の形態のストレージ装置100のプログラムメモリ1000に格納される制御プログラム及び制御情報の一例を示す図である。
本発明の第2の実施の形態のプログラムメモリ1000に格納される制御プログラム及び制御情報は、コピー管理機構1020の代わりに記憶領域交換プログラム1003を含む。ストレージ構成管理機構1010、データ消去プログラム1001及び構成情報更新サービスプログラム1002は、本発明の第1の実施の形態と同様である。
記憶領域交換プログラム1003は、論理記憶ユニットを構成する記憶領域を別の記憶領域に置き換えるプログラムである。例えば、図9に示した論理記憶ユニット構成情報1014を参照すると、識別情報が“50:00:01:1E:0A:E8:02”であるデータ入出力用通信インタフェース140には、識別情報が“LU−11”である論理記憶ユニットが定義されている。そして、当該論理記憶ユニットを構成する記憶領域は、“LD−01”となっている。
この場合において、ストレージ装置100のストレージコントローラ190は、記憶領域交換プログラム1003を実行することによって、データ入出力用通信インタフェース140に対応する記憶領域識別情報を“LD−02”に更新する。データ入出力用通信インタフェース140に対応する記憶領域識別情報が“LD−02”に更新されると、記憶ユニット“LU−11”にアクセスするホスト計算機300は、以後“LD−01”ではなく、“LD−02”に対してデータを読み書きする。さらに、交換される記憶領域(例えば、“LD−01”)の更新可否情報10135を“No”に設定することによって、記憶ユニットから解除された時点のデータを保存することができる。
図20は、本発明の第2の実施の形態の管理計算機500のプログラムメモリ5000に格納される制御プログラム及び制御情報の一例を示す図である。
管理計算機500のプログラムメモリ5000には、データ消去要求プログラム5001、記憶領域構成管理機構5010及び消去証明書発行プログラム5003が記憶される。
データ消去要求プログラム5001は、ストレージ装置100にデータの消去を要求する点では、本発明の第1の実施の形態と同じであり、処理の相違点については、図22にて後述する。
記憶領域構成管理機構5010は、記憶領域交換技術を用いたデータ保存を管理及び制御するためのプログラム及び情報である。記憶領域構成管理機構5010には、記憶領域構成情報1013、論理記憶ユニット構成情報1014、構成情報更新プログラム5002、記憶領域交換要求プログラム5011及び記憶領域カタログ管理情報5012が含まれる。
記憶領域構成情報1013及び論理記憶ユニット構成情報1014は、構成情報更新プログラム5002を実行することによって、ストレージ装置100から取得される構成情報である。構成情報更新プログラム5002による構成情報更新処理の手順は、図13に示した本発明の第1の実施の形態と同様である。
記憶領域交換要求プログラム5011は、入力用インタフェース570を介して管理者によって入力された記憶領域交換要求操作に基づいて、ストレージ装置100に記憶領域の交換を指示するプログラムである。
記憶領域カタログ管理情報5012は、記憶領域の交換指示に応じてストレージ装置100で記憶領域交換プログラム1003が実行され、交換された記憶領域の履歴情報を格納する。
消去証明書発行プログラム5003は、本発明の第1の実施の形態と同様に、出力用インタフェース575を介して、消去証明書を管理者に提供するプログラムである。
図21は、本発明の第2の実施の形態の管理計算機500に格納される記憶領域カタログ管理情報5012の一例を示す図である。
記憶領域カタログ管理情報5012は、記憶領域識別情報50121、使用状態情報50122、通信インタフェース識別情報50123、論理記憶ユニット識別情報50124及び解除時刻50125を含む。
記憶領域識別情報50121は、論理記憶ユニットを構成する記憶領域、及び、過去に論理記憶ユニットを構成し、記憶領域交換プログラムの実行によって交換され、現在は論理記憶ユニットを構成していない記憶領域の識別子が格納される。
使用状態情報50122は、記憶領域識別情報50121によって識別される記憶領域が論理記憶ユニットを構成していれば“On”を、論理記憶ユニットを構成していなければ“Off”が設定される。本発明の第2の実施の形態では、使用状態情報50122の値が文字列で表現されているが、“0”又は“1”の真偽値などで表現されてもよい。
通信インタフェース識別情報50123及び論理記憶ユニット識別情報50124は、データ入出力用通信インタフェース140及びデータ入出力用通信インタフェース140に定義された論理記憶ユニットの識別情報が格納される。すなわち、現在又は過去において、記憶領域識別情報50121で識別される記憶領域が論理記憶ユニットを構成していたことを表す情報が格納される。
解除時刻50125は、記憶領域識別情報で識別される、過去に論理記憶ユニットを構成していた記憶領域が、記憶領域交換プログラム1003の実行によって、別の記憶領域に交換された時刻が格納される。
図22は、本発明の第2の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。
指定された記憶領域に格納されるデータを消去する手順(図14)及びストレージ装置100に対するホスト計算機300からのデータのアクセスを再開する手順(図15)については、本発明の第1の実施の形態と同じである。本処理は、管理計算機500の演算処理装置580がデータ消去要求プログラム5001を処理することによって実行される。
図22のフローチャートに示す手順は、図15のステップS210の処理の後に実行される手順である。処理の概要としては、記憶領域カタログ管理情報5012を検索することによって、消去対象の記憶領域を特定し、消去対象の記憶領域のデータを消去する。
管理計算機500の演算処理装置580は、消去対象の記憶領域によって構成された論理記憶ユニットを過去に構成していた記憶領域(旧記憶領域)を消去対象とする指示が、入力されたデータ消去条件に含まれるか否かを判定する(ステップS301)。
管理計算機500の演算処理装置580は、旧記憶領域を消去対象とする場合には(ステップS301の結果が「Yes」)、記憶領域カタログ管理情報5012を参照し、消去対象記憶領域によって構成された論理記憶ユニットをすべて検索し、取得する(ステップS302)。
管理計算機500の演算処理装置580は、ステップS302の処理によって取得されたすべての論理記憶ユニットについて、以下の処理を実行する(ステップS303)。
管理計算機500の演算処理装置580は、記憶領域カタログ管理情報5012を参照し、当該論理記憶ユニットを過去に構成していた記憶領域をすべて検索、取得する(ステップS304)。そして、取得されたすべての記憶領域について、以下のデータ消去処理を実行する(ステップS305)。
管理計算機500の演算処理装置580は、旧記憶領域を対象としたデータ消去要求メッセージをストレージ装置100に送信する(ステップS306)。ストレージ装置100のストレージコントローラ190は、データ消去要求メッセージを受信すると、消去条件に基づいて、指定された記憶領域のデータを消去し、かつ、残留磁気を抹消する(ステップS307)。データ消去処理が完了すると、管理計算機500の演算処理装置580は、消去処理完了通知を管理計算機500に送信する(ステップS308)。
以上の手順に基づいて、本発明の第2の実施の形態のデータ消去処理の流れをより具体的に説明する。
ここでは、図14のステップS201の処理において、消去対象の記憶領域として、記憶領域“LD−01”の消去が管理者によって指示された場合について説明する。また、ステップS201の処理入力された消去条件には、過去に“LD−01”と交換された旧記憶領域の消去が指示されているものとする。
管理計算機500の演算処理装置580は、ステップS206の処理で記憶領域“LD−01”を消去した後、記憶領域カタログ管理情報5012を参照し、記憶領域“LD−01”が構成する論理記憶ユニットの情報を取得する(ステップS302)。具体的には、図21に示した記憶領域カタログ管理情報5012を参照すると、取得された論理記憶ユニットは、通信インタフェース“50:00:01:1E:0A:E8:02”に定義された“LU−11”となる。さらに、記憶領域“LD−02”が過去に論理記憶ユニット“LU−11”を構成していたことを特定することができる(ステップS304)。管理計算機500の演算処理装置580は、特定された記憶領域“LD−02”に対してもデータ消去処理を実行する(ステップS307)。
本発明の第2の実施の形態によれば、消去対象の記憶領域とペアを構成している記憶領域だけでなく、消去対象の記憶領域の過去に取得された複製など、ホスト計算機300からオフラインとなっているデータを消去することができる。
(第3の実施の形態)
本発明の第1の実施の形態及び第2の実施の形態では、データの複製を磁気記憶装置に格納する場合について説明したが、本発明の第3の実施の形態では、記憶領域に格納されたデータをテープ記録媒体に保存するバックアップシステムにおけるデータ消去技術について説明する。
図23は、本発明の第3の実施の形態のテープライブラリ装置200の構成を示す図である。
テープライブラリ装置200は、データ入出力用通信インタフェース240、管理用通信インタフェース250、データ入出力コントローラ290、テープ記録媒体入出力装置260、テープ記録媒体220及びプログラムメモリ2000を含む。データ入出力用通信インタフェース240、管理用通信インタフェース250、テープ記録媒体入出力装置260及びプログラムメモリ2000は、データ入出力コントローラ290を介して互いに接続される。
データ入出力用通信インタフェース240は、データ入出力用ネットワークを介してネットワーク接続装置400に接続する。管理用通信インタフェース250は、管理用ネットワーク600を介して管理計算機500に接続する。なお、データ入出力用通信インタフェース240及び管理用通信インタフェース250の数は任意である。また、データ入出力用通信インタフェース240は、管理用通信インタフェース250と独立した構成とする必要はなく、データ入出力用通信インタフェース240から管理情報を入出力し、管理用通信インタフェース250と共用してもよい。
テープ記録媒体入出力装置260は、テープ記録媒体に対するデータの読み出し及び書き込みを制御する。テープ記録媒体220は、磁気テープによる記録媒体である。
データ入出力コントローラ290は、入出力命令に基づいて、読み出し又は書き込み先のテープ記録媒体220をテープ記録媒体入出力装置260にロードし、テープ記録媒体220に対するデータの読み出し又は書き込み処理を実行する。
プログラムメモリ2000は、テープライブラリ装置200で実行される処理に必要なプログラム及び情報を格納する。プログラムメモリ2000は、磁気記憶装置又は揮発性半導体メモリによって構成される。
プログラムメモリ2000には、テープ記録媒体管理情報2001及び構成情報更新プログラム2002が格納される。
テープ記録媒体管理情報2001は、テープライブラリ装置200が搭載するテープ記録媒体220の管理情報である。構成情報更新プログラム2002は、管理計算機500からの要求に基づいて、構成情報を送信するプログラムである。
図24は、本発明の第3の実施の形態のストレージ装置100のプログラムメモリ1000に格納される制御プログラム及び制御情報の一例を示す図である。
プログラムメモリ1000には、ストレージ構成管理機構1010、データ消去プログラム1001及び構成情報更新サービスプログラム1002が含まれる。
本発明の第3の実施の形態のストレージ装置100のプログラムメモリ1000には、テープライブラリ装置200によってデータのバックアップが作成されるため、コピー管理機構などを含まない点で本発明の第1の実施の形態及び第2の実施の形態と相違する。
ストレージ構成管理機構1010、コピー管理機構1020、データ消去プログラム1001及び構成情報更新サービスプログラム1002の機能は、本発明の第2の実施の形態と同様である。
図25は、本発明の第3の実施の形態の管理計算機500のプログラムメモリ5000に格納される制御プログラム及び制御情報の一例を示す図である。
管理計算機500のプログラムメモリ5000には、データ消去要求プログラム5001、記憶領域構成情報1013、論理記憶ユニット構成情報1014、構成情報更新プログラム5002、バックアップ管理機構5020、消去証明書発行プログラム5003及びデータ消去プログラム5004が記憶される。
データ消去要求プログラム5001は、管理者からの入力に基づいて、ストレージ装置100及びテープライブラリ装置200に対してデータ消去プログラム1001又は5004によるデータ消去を要求するプログラムである。
記憶領域構成情報1013及び論理記憶ユニット構成情報1014は、構成情報更新プログラム5002を実行することによって、ストレージ装置100から取得される構成情報である。構成情報更新プログラム5002による構成情報更新処理の手順は、図11に示した本発明の第1の実施の形態の手順と同様である。
消去証明書発行プログラム5003は、本発明の第1の実施の形態と同様に、出力用インタフェース575を介して、消去証明書を管理者に提供するプログラムである。
データ消去プログラム5004は、テープ記録媒体220に対してゼロデータ又は乱数データなどのダミーデータを上書きすることによって、テープ記録媒体220上の残留磁気を抹消することで完全にデータを読み出せなくするプログラムである。
バックアップ管理機構5020は、バックアップシステムの動作及び状況を管理又は制御するためのプログラム及び情報である。バックアップ管理機構5020には、バックアップ処理プログラム5021及びバックアップカタログ管理情報5022が含まれる。
バックアップ処理プログラム5021は、テープライブラリ装置200に対して記憶領域に格納されたデータの書き込み処理を行うプログラムである。バックアップカタログ管理情報5022は、バックアップ処理プログラム5021によって実行されたバックアップ処理により、テープ記録媒体220に格納されたバックアップデータの管理情報である。
図26は、本発明の第3の実施の形態のバックアップカタログ管理情報5022の一例を示す図である。
バックアップカタログ管理情報5022は、データ識別情報50221、記憶領域識別情報50222、テープ記録媒体識別情報50223、開始アドレス50224、終了アドレス50225及び更新日時50226を含む。
データ識別情報50221は、バックアップデータを識別するための識別子が格納される。記憶領域識別情報50222は、作成されたバックアップデータを格納していた記憶領域の識別子が格納される。記憶領域識別情報50222によって識別される記憶領域のバックアップデータが、データ識別情報50221で識別されるデータに対応する。
テープ記録媒体識別情報50223は、バックアップデータが格納されたテープ記録媒体220を識別する識別子が格納される。開始アドレス50224及び終了アドレス50225によって定義されるアドレス空間は、テープ記録媒体識別情報50223で識別されるテープ記録媒体220において、当該データが格納されているアドレス空間に対応する。更新日時50226は、バックアップデータが作成又は更新された日時が格納される。
図27は、本発明の第3の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。
指定された記憶領域に格納されるデータを消去する手順(図14)及びストレージ装置100に対するホスト計算機300からの書き込みを再開する手順(図15)については、本発明の第1の実施の形態と同じである。本処理は、管理計算機500の演算処理装置580がデータ消去要求プログラム5001を処理することによって実行される。
図27のフローチャートに示す手順は、図15のステップS210の処理の後に実行される手順である。具体的には、記憶領域カタログ管理情報5012を検索することによって、消去対象の記憶領域を取得し、消去対象の記憶領域のデータを消去する。
管理計算機500の演算処理装置580は、テープ記録媒体220に記録されたバックアップデータを消去する指示が、入力されたデータ消去条件に含まれるか否かを判定する(ステップS401)。
管理計算機500の演算処理装置580は、テープ記録媒体220に記録されたバックアップデータを消去する場合には(ステップS401の結果が「Yes」)、バックアップカタログ管理情報5022を参照し、指定された消去対象記憶領域のバックアップデータをすべて検索し、取得する(ステップS402)。
管理計算機500の演算処理装置580は、取得されたすべてのバックアップデータについて、以下の処理を実行する(ステップS403)。
管理計算機500の演算処理装置580は、データ消去プログラム5004を実行することによって、テープライブラリ装置200にバックアップデータを格納したテープ記録媒体220のロードを指示する。そして、テープ記録媒体220の開始アドレス50224から終了アドレス50225までに格納されたバックアップデータを消去し、残留磁気を抹消する(ステップS404)。
以上の手順に基づいて、本発明の第3の実施の形態のデータ消去処理の流れをより具体的に説明する。
ここでは、図14のステップS201の処理において、消去対象の記憶領域として、記憶領域“LD−01”の消去が管理者によって指示された場合について説明する。また、ステップS201の処理入力された消去条件には、“LD−01”のバックアップデータの消去が指示されているものとする。
管理計算機500の演算処理装置580は、ステップS206の処理で記憶領域“LD−01”を消去した後、バックアップカタログ管理情報5022を参照し、記憶領域“LD−01”のバックアップデータの情報を取得する(ステップS302)。図26に示したバックアップカタログ管理情報5022を参照すると、記憶領域識別情報50222が“LD−01”であるバックアップデータには、“BK−01”、“BK−02”及び“BK−03”が該当する。
管理計算機500の演算処理装置580は、データ消去プログラム5004を実行し、取得されたバックアップデータに対してデータ消去処理を実行する(ステップS404)。具体的には、“BK−01”については、まず、テープライブラリ装置200にテープ記録媒体“TP−01”のロードを指示し、アドレス“0x0001”から“0x0100”に該当する領域に対して消去処理を実行する。同様に、“BK−02”、“BK−03”に対しても消去処理を実行する。
本発明の第3の実施の形態によれば、指定された記憶領域のデータを消去する場合に、当該データの複製がテープ記録媒体などの記憶装置に格納されていても、バックアップデータなどの関連するデータを消去することができる。
本発明の第1の実施の形態のストレージエリアネットワークの構成を表す図である。 本発明の第1の実施の形態のストレージ装置の構成を示す図である。 本発明の第1の実施の形態のホスト計算機の構成を示す図である。 本発明の第1の実施の形態の管理計算機の構成を示す図である。 本発明の第1の実施の形態のストレージ装置のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第1の実施の形態の管理計算機のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第1の実施の形態のストレージ装置に格納されるRAIDグループ構成情報の一例を示す図である。 本発明の第1の実施の形態のストレージ装置に格納される記憶領域構成情報の一例を示す図である。 本発明の第1の実施の形態のストレージ装置に格納される論理記憶ユニット構成情報の一例を示す図である。 本発明の第1の実施の形態のストレージ装置に格納されるコピー構成情報の一例を示す図である。 本発明の第1の実施の形態のストレージ装置に格納される更新データ情報の一例を示す図である。 本発明の第1の実施の形態の管理計算機に格納されるコピーデータカタログ情報の一例を示す図である。 本発明の第1の実施の形態の管理計算機に格納されるストレージ装置の構成情報を更新する手順を示すフローチャートである。 本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。 本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。 本発明の第1の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。 本発明の第1の実施の形態の消去証明書の出力例を示す図である。 本発明の第1の実施の形態のストレージ装置のコピー構成を示す図である。 本発明の第2の実施の形態のストレージ装置のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第2の実施の形態の管理計算機のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第2の実施の形態の管理計算機に格納される記憶領域カタログ管理情報の一例を示す図である。 本発明の第2の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。 本発明の第3の実施の形態のテープライブラリ装置の構成を示す図である。 本発明の第3の実施の形態のストレージ装置のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第3の実施の形態の管理計算機のプログラムメモリに格納される制御プログラム及び制御情報の一例を示す図である。 本発明の第3の実施の形態のバックアップカタログ管理情報の一例を示す図である。 本発明の第3の実施の形態の記憶領域のデータ消去処理手順を示すフローチャートである。
符号の説明
100 ストレージ装置
120 磁気記憶装置
140 データ入出力用通信インタフェース
150 管理用通信インタフェース
190 ストレージコントローラ
300 ホスト計算機
320 磁気記憶装置
340 データ入出力用通信インタフェース
350 管理用通信インタフェース
370 入力用インタフェース
375 出力用インタフェース
380 演算処理装置
400 ネットワーク接続装置
500 管理計算機
520 磁気記憶装置
540 データ入出力用通信インタフェース
550 管理用通信インタフェース
570 入力用インタフェース
575 出力用インタフェース
580 演算処理装置
600 管理用ネットワーク
1000 プログラムメモリ
1001 データ消去プログラム
1002 構成情報更新サービスプログラム
1003 記憶領域交換プログラム
1011 記憶領域構成管理プログラム
1012 RAIDグループ構成情報
1013 記憶領域構成情報
1014 論理記憶ユニット構成情報
1015 記憶領域更新制限プログラム
1021 データコピープログラム
1022 コピー構成情報
1023 更新データ情報
2000 プログラムメモリ
2001 テープ記録媒体管理情報
2002 構成情報更新プログラム
3000 プログラムメモリ
3001 業務アプリケーションプログラム
5000 プログラムメモリ
5001 データ消去要求プログラム
5002 構成情報更新プログラム
5003 消去証明書発行プログラム
5004 データ消去プログラム
5012 記憶領域カタログ管理情報
5022 バックアップカタログ管理情報
5101 コピーデータカタログ情報

Claims (14)

  1. ストレージ装置と、前記ストレージ装置にネットワークを介して接続されるホスト計算機と、前記ストレージ装置及び前記ホスト計算機にアクセス可能な管理計算機と、を含む計算機システムであって、
    前記ストレージ装置は、前記ネットワークに接続される第1インタフェースと、前記第1インタフェースに接続される第1プロセッサと、前記第1プロセッサに接続される第1メモリと、を備え、データが読み書きされる第1のボリュームを前記ホスト計算機に提供し、
    前記管理計算機は、前記ネットワークに接続される第2インタフェースと、前記第2インタフェースに接続される第2プロセッサと、前記第2プロセッサに接続される第2メモリと、を備え、
    前記管理計算機は、前記第1のボリュームと前記第1のボリュームに格納されたデータの複製を格納する第2のボリュームとの対応を含むカタログ情報を格納し、
    前記管理計算機は、データ消去方法と複製データの消去の有無とを示すデータ消去条件を含む前記第1のボリュームに格納されたデータの消去要求を受け付けた場合には、前記第1のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、
    前記ストレージ装置は、前記第1のボリュームに格納されたデータの消去要求に基づいて、前記第1のボリュームに格納されたデータを、前記データ消去条件に従って消去し、
    前記管理計算機は、前記データ消去条件に従って、前記カタログ情報に基づいて、前記第1のボリュームに格納されたデータの複製を格納する前記第2のボリュームを特定し、
    前記管理計算機は、前記特定された第2のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、
    前記ストレージ装置は、前記特定された第2のボリュームに格納されたデータを、前記データ消去条件に従って、消去し、
    前記管理計算機は、前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去された場合には、それぞれ前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去されたことを示す消去証明書を出力することを特徴とする計算機システム。
  2. 前記カタログ情報は、前記第1のボリュームに格納されたデータの複製が更新されることなく格納されている、前記第2のボリュームと異なる第3のボリュームの情報をさらに含み、
    前記管理計算機は、前記データ消去条件に従って、前記カタログ情報に基づいて、前記データの消去を要求された前記第1のボリュームに対応する前記第3のボリュームを特定し、
    前記ストレージ装置は、前記特定された前記第3のボリュームに格納されたデータを消去することを特徴とする請求項1に記載の計算機システム。
  3. 前記ストレージ装置は、前記第1のボリューム及び前記第2のボリュームに所定のダミーデータを複数回上書きすることによって、前記第1のボリューム及び前記第2のボリュームに格納されたデータを消去することを特徴とする請求項1に記載の計算機システム。
  4. 前記ストレージ装置は、前記第2のボリュームに格納されたデータの複製を格納する第4のボリュームをさらに含み、
    前記ストレージ装置は、前記第2のボリュームに格納されたデータが消去された場合に、前記第4のボリュームに格納されたデータを消去することを特徴とする請求項1に記載の計算機システム。
  5. 前記計算機システムは、前記ストレージ装置に接続される第2のストレージ装置をさらに含み、
    前記第2のボリュームは、前記第2のストレージ装置によって提供されることを特徴とする請求項1に記載の計算機システム。
  6. 前記第1のボリュームに対するデータの読み書きが停止され、前記第2のボリュームにデータが読み書されるように設定された場合に、前記第2のボリュームに格納されたデータの消去要求を受け付けた場合には、前記管理計算機は、前記第2のボリュームに格納されたデータの消去を前記ストレージ装置に要求し、
    前記ストレージ装置は、前記第2のボリュームに格納されたデータの消去要求に基づいて、前記第2のボリュームに格納されたデータを消去し、
    前記管理計算機は、
    前記カタログ情報に基づいて、前記第2のボリュームに対応する前記第1のボリュームを特定し、
    前記特定された第1のボリュームに格納されたデータの消去を前記ストレージ装置に要求し、
    前記ストレージ装置は、前記特定された第1のボリュームに格納されたデータを消去することを特徴とする請求項1に記載の計算機システム。
  7. ストレージ装置と、前記ストレージ装置にネットワークを介して接続されるホスト計算機と、前記ストレージ装置及び前記ホスト計算機にアクセス可能な管理計算機と、を含む計算機システムにおける管理計算機であって、
    前記ネットワークに接続されるインタフェースと、前記インタフェースに接続されるプロセッサと、前記プロセッサに接続されるメモリと、を備え、
    前記メモリは、前記ストレージ装置によって前記ホスト計算機に記憶領域として提供される第1のボリュームと前記第1のボリュームに格納されたデータの複製を格納する第2のボリュームとの対応を含むカタログ情報、を記憶し、
    前記プロセッサは、
    データ消去方法と複製データの消去の有無とを示すデータ消去条件を含む前記第1のボリュームに格納されたデータの消去要求を受け付けた場合に、前記ストレージ装置に前記第1のボリュームに格納されたデータの前記データ消去条件に従った消去を要求し、
    前記データ消去条件に従って、前記カタログ情報に基づいて、前記第1のボリュームに格納されたデータの複製を格納する前記第2のボリュームを特定し、
    前記特定された第2のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、
    前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去された場合には、それぞれ前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去されたことを示す消去証明書を出力することを特徴とする管理計算機。
  8. 前記カタログ情報は、前記第1のボリュームに格納されたデータの複製が格納され、格納されたデータが更新されないように保管されている、前記第2のボリュームと異なる第3のボリュームの情報をさらに含み、
    前記プロセッサは、
    前記データ消去条件に従って、前記カタログ情報に基づいて、前記データの消去を要求された前記第1のボリュームに対応する前記第3のボリュームを特定し、
    前記特定された前記第3のボリュームに格納されたデータの消去を前記ストレージ装置に要求することを特徴とする請求項7に記載の管理計算機。
  9. ストレージ装置と、前記ストレージ装置にネットワークを介して接続されるホスト計算機と、前記ストレージ装置及び前記ホスト計算機にアクセス可能な管理計算機と、を含む計算機システムにおいて、前記ストレージ装置に格納されたデータを管理する方法であって、
    前記ストレージ装置は、前記ネットワークに接続される第1インタフェースと、前記第1インタフェースに接続される第1プロセッサと、前記第1プロセッサに接続される第1メモリと、を備え、前記ホスト計算機によってデータが読み書きされる第1のボリュームを前記ホスト計算機に提供し、
    前記管理計算機は、前記ネットワークに接続される第2インタフェースと、前記第2インタフェースに接続される第2プロセッサと、前記第2プロセッサに接続される第2メモリと、を備え、
    前記管理計算機は、前記第1のボリュームと前記第1のボリュームに格納されたデータの複製を格納する第2のボリュームとの対応を含むカタログ情報、を格納し、
    前記データ管理方法は、
    前記第2プロセッサが、データ消去方法と複製データの消去の有無とを示すデータ消去条件を含む前記第1のボリュームに格納されたデータの消去要求を受け付けた場合には、前記第1のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、
    前記第1プロセッサが、前記第1のボリュームに格納されたデータの消去要求に基づいて、前記第1のボリュームに格納されたデータを前記データ消去条件に従って消去し、
    前記第2プロセッサが、前記データ消去条件に従って、前記カタログ情報に基づいて、前記第1のボリュームに格納されたデータの複製を格納する前記第2のボリュームを特定し、
    前記第2プロセッサが、前記特定された第2のボリュームに格納されたデータの前記データ消去条件に従った消去を前記ストレージ装置に要求し、
    前記第1プロセッサが、前記特定された第2のボリュームに格納されたデータを前記データ消去条件に従って消去し、
    前記第2プロセッサが、前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去された場合には、それぞれ前記第1のボリューム及び前記第2のボリュームに格納されたデータが前記データ消去条件に従って消去されたことを示す消去証明書を出力することを特徴とするデータ管理方法。
  10. 前記カタログ情報は、前記第1のボリュームに格納されたデータの複製が更新されることなく格納されている、前記第2のボリュームと異なる第3のボリュームの情報をさらに含み、
    前記データ管理方法は、
    前記第2プロセッサが、前記データ消去条件に従って、前記カタログ情報に基づいて、前記データの消去を要求された前記第1のボリュームに対応する前記第3のボリュームを特定し、
    前記第1プロセッサが、前記特定された前記第3のボリュームに格納されたデータを消去することを含むことを特徴とする請求項9に記載のデータ管理方法。
  11. 前記第1のボリュームに格納されたデータを消去する処理は、前記第1のボリュームに所定のダミーデータを複数回上書きすることによって実行され、
    前記第2のボリュームに格納されたデータを消去する処理は、前記第2のボリュームに所定のダミーデータを複数回上書きすることによって実行されることを特徴とする請求項9に記載のデータ管理方法。
  12. 前記ストレージ装置は、前記第2のボリュームに格納されたデータの複製を格納する第4のボリュームをさらに含み、
    前記データ管理方法は、前記第1プロセッサが、前記第2のボリュームに格納されたデータが消去された場合に、前記第4のボリュームに格納されたデータを消去することを含むことを特徴とする請求項9に記載のデータ管理方法。
  13. 前記計算機システムは、前記ストレージ装置に接続される第2のストレージ装置をさらに含み、
    前記第2のボリュームは、前記第2のストレージ装置によって提供されることを特徴とする請求項9に記載のデータ管理方法。
  14. 前記データ管理方法は、前記第1のボリュームに対するデータの読み書きが停止され、前記第2のボリュームにデータが読み書されるように設定された場合に、前記第2のボリュームに格納されたデータの消去要求を受け付けた場合には、
    前記第2プロセッサが、前記第2のボリュームに格納されたデータの消去を前記ストレージ装置に要求し、
    前記第1プロセッサが、前記第2のボリュームに格納されたデータの消去要求に基づいて、前記第2のボリュームに格納されたデータを消去し、
    前記第2プロセッサが、前記カタログ情報に基づいて、前記第2のボリュームに対応する前記第1のボリュームを特定し、
    前記第2プロセッサが、前記特定された第1のボリュームに格納されたデータの消去を前記ストレージ装置に要求し、
    前記第1プロセッサが、前記特定された第1のボリュームに格納されたデータを消去することを特徴とする請求項9に記載のデータ管理方法。
JP2007230337A 2007-09-05 2007-09-05 計算機システム、管理計算機及びデータ管理方法 Expired - Fee Related JP4937863B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007230337A JP4937863B2 (ja) 2007-09-05 2007-09-05 計算機システム、管理計算機及びデータ管理方法
US12/030,545 US20090063797A1 (en) 2007-09-05 2008-02-13 Backup data erasure method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007230337A JP4937863B2 (ja) 2007-09-05 2007-09-05 計算機システム、管理計算機及びデータ管理方法

Publications (2)

Publication Number Publication Date
JP2009064159A JP2009064159A (ja) 2009-03-26
JP4937863B2 true JP4937863B2 (ja) 2012-05-23

Family

ID=40409317

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007230337A Expired - Fee Related JP4937863B2 (ja) 2007-09-05 2007-09-05 計算機システム、管理計算機及びデータ管理方法

Country Status (2)

Country Link
US (1) US20090063797A1 (ja)
JP (1) JP4937863B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5113537B2 (ja) * 2008-01-16 2013-01-09 株式会社日立製作所 計算機システム、管理計算機及びデータ管理方法
JP4691602B2 (ja) * 2009-03-19 2011-06-01 富士通株式会社 データバックアップ方法及び情報処理装置
EP2270708A1 (en) * 2009-06-29 2011-01-05 Thomson Licensing Data security in solid state memory
US20140325629A1 (en) * 2013-03-15 2014-10-30 Securedock, Llc System and method of online document storage and retrieval for use by hosting companies as a service to their clients
US9363085B2 (en) 2013-11-25 2016-06-07 Seagate Technology Llc Attestation of data sanitization
CN103680520B (zh) * 2013-12-27 2016-08-17 上海爱数信息技术股份有限公司 一种基于对象备份系统的磁带记录方法
CN104008343A (zh) * 2014-05-14 2014-08-27 北京奇虎科技有限公司 数据粉碎的方法及装置
US10978123B2 (en) * 2018-12-04 2021-04-13 Nxp Usa, Inc. Tamper protection of memory devices on an integrated circuit

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6507911B1 (en) * 1998-07-22 2003-01-14 Entrust Technologies Limited System and method for securely deleting plaintext data
US6304948B1 (en) * 1998-10-06 2001-10-16 Ricoh Corporation Method and apparatus for erasing data after expiration
JP3842544B2 (ja) * 2000-11-09 2006-11-08 富士通株式会社 情報記憶装置および情報再生方法
US6826666B2 (en) * 2002-02-07 2004-11-30 Microsoft Corporation Method and system for transporting data content on a storage area network
JP2004013599A (ja) * 2002-06-07 2004-01-15 Ricoh Co Ltd 管理サーバ、ウェブページ情報管理方法及びプログラム
US20050015407A1 (en) * 2003-07-17 2005-01-20 International Business Machines Corporation System and method of relational configuration mirroring
US7188222B2 (en) * 2003-09-29 2007-03-06 International Business Machines Corporation Method, system, and program for mirroring data among storage sites
JP2007149071A (ja) * 2004-01-21 2007-06-14 Orient Sokki Computer Kk データクリーニング処理プログラム
JP4566808B2 (ja) * 2005-04-21 2010-10-20 株式会社日立製作所 情報処理システム、ストレージシステム及び情報処理方法
US7680830B1 (en) * 2005-05-31 2010-03-16 Symantec Operating Corporation System and method for policy-based data lifecycle management
JP4963808B2 (ja) * 2005-08-05 2012-06-27 株式会社日立製作所 記憶制御システム
JP2009512968A (ja) * 2005-10-20 2009-03-26 エンスコンス データ テクノロジー インコーポレイテッド ハードドライブイレーサ
JP4797680B2 (ja) * 2006-02-20 2011-10-19 富士ゼロックス株式会社 情報処理装置及び情報処理方法

Also Published As

Publication number Publication date
JP2009064159A (ja) 2009-03-26
US20090063797A1 (en) 2009-03-05

Similar Documents

Publication Publication Date Title
US8448167B2 (en) Storage system, and remote copy control method therefor
JP4937863B2 (ja) 計算機システム、管理計算機及びデータ管理方法
CN100414547C (zh) 用于访问文件系统快照的方法和文件系统
US7386695B2 (en) Storage system with multiple copy targeting
US8204858B2 (en) Snapshot reset method and apparatus
JP4837378B2 (ja) データの改竄を防止する記憶装置
US9569314B2 (en) Flash copy for disaster recovery (DR) testing
US20090216973A1 (en) Computer system, storage subsystem, and data management method
US20060047926A1 (en) Managing multiple snapshot copies of data
JP5984151B2 (ja) データの復旧方法、プログラムおよびデータ処理システム
JP2005031716A (ja) データバックアップの方法及び装置
US20070239803A1 (en) Remote mirroring method between tiered storage systems
CN103597440A (zh) 用于创建克隆文件的方法以及采用该方法的文件系统
US20060168415A1 (en) Storage system, controlling method thereof, and virtualizing apparatus
US20070112892A1 (en) Non-disruptive backup copy in a database online reorganization environment
JP2009064160A (ja) 計算機システム、管理計算機及びデータ管理方法
US20070300034A1 (en) Virtual storage control apparatus
US10114703B2 (en) Flash copy for disaster recovery (DR) testing
US7549029B2 (en) Methods for creating hierarchical copies
JP2008269374A (ja) ストレージシステムおよびその制御方法
US8131958B2 (en) Storage system, storage device, and data updating method using a journal volume
JP4394467B2 (ja) ストレージシステム、サーバ装置及び先行コピーデータ生成方法
JP4790283B2 (ja) ストレージサブシステム及びストレージシステム
JP2006040065A (ja) データ記憶装置およびデータ記憶方法
JP2006189976A (ja) 記憶装置、そのデータ処理方法、そのデータ処理プログラム及びデータ処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120222

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150302

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees