JP5734421B2 - 管理情報生成方法、管理情報生成プログラムおよび管理情報生成装置 - Google Patents
管理情報生成方法、管理情報生成プログラムおよび管理情報生成装置 Download PDFInfo
- Publication number
- JP5734421B2 JP5734421B2 JP2013513844A JP2013513844A JP5734421B2 JP 5734421 B2 JP5734421 B2 JP 5734421B2 JP 2013513844 A JP2013513844 A JP 2013513844A JP 2013513844 A JP2013513844 A JP 2013513844A JP 5734421 B2 JP5734421 B2 JP 5734421B2
- Authority
- JP
- Japan
- Prior art keywords
- management
- information
- authority
- server
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Description
本発明は、サーバへの接続および利用方法を制御するための管理情報を生成する管理情報生成方法等の技術に関する。
近年、システムの大規模化に伴い、サーバや管理者の数は増加しており、サーバの種類も変化している。また、これらのサーバを管理するための管理製品も増加しているため、システムの形態は拡大・複雑化している。
このような状況においては、ユーザは複数のサーバを利用する場合が発生する。ここで、ユーザの操作ミスによる影響の拡大防止や、ユーザに不要な情報を見せないようにするために、各サーバにはユーザの役割に合った権限を設定する必要がある(特許文献1参照)。しかし、この設定作業は、システムの大規模化や、サーバ間の上下関係を意識する必要があるため、煩雑であるという問題がある。
本発明は、このような背景に鑑みてなされたものであり、複数のサーバに対し適切な管理情報を効率的に生成することを目的とする。
前記課題を解決するために、本発明の管理情報生成方法は、複数の管理対象を有するシステムにおいて、複数の管理対象を有するシステムにおいて、前記管理対象に対する管理情報を生成する管理情報生成装置における管理情報生成方法であって、前記管理情報生成装置の制御部は、前記システムにおける管理対象の構成情報と、前記複数の管理対象のうち一部の管理対象に対する予め設定された管理情報と、を記憶部に格納し、前記管理情報生成装置の設定部は、前記構成情報と、前記予め設定された管理情報とを用いて、前記複数の管理対象のうち他の管理対象に対する管理情報を生成するとともに、前記管理対象の移動先の親の管理対象を含むように前記複数の管理対象を予め設定されたグループに分割するグループ定義情報を参照して、権限情報が予め設定された管理対象と同一のグループに属する他の管理対象に対する権限情報を生成する処理、または、前記親の管理対象の権限範囲をその子の管理対象の権限範囲より狭く設定した伝播情報を参照して、前記親の管理対象に対する権限情報として、当該親の管理対象の子の管理対象に対する権限情報より狭い権限範囲の権限情報を生成する処理、を実行することを特徴とする。
その他の解決手段については、実施形態中で適宜説明する。
その他の解決手段については、実施形態中で適宜説明する。
本発明によれば、複数のサーバに対し適切な管理情報を効率的に生成することが可能となる。
<第1実施形態>
以下、本発明の第1実施形態について、図1〜図9を参照して説明する。なお、各図において、共通する部分には同一の符号を付し重複した説明を省略する。
図1は、実施形態に係る管理情報生成システム1の全体構成を示す図である。
図1に示すように、管理情報生成システム1は、管理サーバ(管理情報生成装置)20と、物理サーバ14(14a,14b,14c)と、ネットワークスイッチ11と、ストレージスイッチ15と、ディスクアレイ装置30と、関連管理サーバ10と、を備える。管理情報生成システム1は、各装置を1つ以上備えている。
以下、本発明の第1実施形態について、図1〜図9を参照して説明する。なお、各図において、共通する部分には同一の符号を付し重複した説明を省略する。
図1は、実施形態に係る管理情報生成システム1の全体構成を示す図である。
図1に示すように、管理情報生成システム1は、管理サーバ(管理情報生成装置)20と、物理サーバ14(14a,14b,14c)と、ネットワークスイッチ11と、ストレージスイッチ15と、ディスクアレイ装置30と、関連管理サーバ10と、を備える。管理情報生成システム1は、各装置を1つ以上備えている。
管理サーバ20は、ネットワークスイッチ11を介して、物理サーバ14、ディスクアレイ装置30、関連管理サーバ10に接続する。
物理サーバ14は、ネットワークスイッチ11を介して、他の物理サーバ14、管理サーバ20、ディスクアレイ装置30、関連管理サーバ10に接続する。また、物理サーバ14は、ストレージスイッチ15を介して、ディスクアレイ装置30に接続する。
ネットワークスイッチ11は、ネットワークスイッチ、ルータ、ロードバランサ、ファイアウォール等のネットワーク機器である。
物理サーバ14は、ネットワークスイッチ11を介して、他の物理サーバ14、管理サーバ20、ディスクアレイ装置30、関連管理サーバ10に接続する。また、物理サーバ14は、ストレージスイッチ15を介して、ディスクアレイ装置30に接続する。
ネットワークスイッチ11は、ネットワークスイッチ、ルータ、ロードバランサ、ファイアウォール等のネットワーク機器である。
ディスクアレイ装置30は、FC(Fiber Channel)およびLAN(Local Area Network)インタフェースを備え、管理サーバ20、各物理サーバ14、関連管理サーバ10が使用する1つ以上のディスクを含む記憶装置システムである。
関連管理サーバ10は、管理サーバ20が管理情報生成システム1の各部に接続するために連携するものである。関連管理サーバ10は、管理サーバ20が管理情報生成システム1の各部に対し情報取得、状態変更、構成変更等を行うための機能を有する。また、関連管理サーバ10は、外部インタフェース(API(Application Program Interface)、CLI(Command Line Interface)等)を備え、管理サーバ20は、ネットワーク等を介して関連管理サーバ10の機能を実行することができる。
仮想サーバ12(12a,12b,12c,12d,12e,12f)およびサーバ仮想化機構13(13a,13b,13c)については、後記する。
なお、関連管理サーバ10、仮想サーバ12、サーバ仮想化機構13および物理サーバ14をまとめて、適宜「各サーバ」という。
関連管理サーバ10は、管理サーバ20が管理情報生成システム1の各部に接続するために連携するものである。関連管理サーバ10は、管理サーバ20が管理情報生成システム1の各部に対し情報取得、状態変更、構成変更等を行うための機能を有する。また、関連管理サーバ10は、外部インタフェース(API(Application Program Interface)、CLI(Command Line Interface)等)を備え、管理サーバ20は、ネットワーク等を介して関連管理サーバ10の機能を実行することができる。
仮想サーバ12(12a,12b,12c,12d,12e,12f)およびサーバ仮想化機構13(13a,13b,13c)については、後記する。
なお、関連管理サーバ10、仮想サーバ12、サーバ仮想化機構13および物理サーバ14をまとめて、適宜「各サーバ」という。
[管理サーバ20の構成]
次に、管理サーバ20の構成について図2を参照して説明する。
図2に示すように、管理サーバ20は、設定部21と、構成管理部22と、利用状況管理部23と、制御部24と、を備える。また、管理サーバ20は、利用状況テーブル100と、権限定義テーブル200と、構成情報テーブル300と、伝播テーブル400と、グループ定義テーブル(グループ定義情報)500と、ユーザ情報テーブル600と、をメモリ(記憶部)28に格納する。
なお、伝播テーブル400は、第2実施形態で必要となり、グループ定義テーブル500は、第3実施形態で必要となる。第1実施形態では、これらのテーブルは不要である。
次に、管理サーバ20の構成について図2を参照して説明する。
図2に示すように、管理サーバ20は、設定部21と、構成管理部22と、利用状況管理部23と、制御部24と、を備える。また、管理サーバ20は、利用状況テーブル100と、権限定義テーブル200と、構成情報テーブル300と、伝播テーブル400と、グループ定義テーブル(グループ定義情報)500と、ユーザ情報テーブル600と、をメモリ(記憶部)28に格納する。
なお、伝播テーブル400は、第2実施形態で必要となり、グループ定義テーブル500は、第3実施形態で必要となる。第1実施形態では、これらのテーブルは不要である。
設定部21は、管理サーバ20、仮想サーバ12、サーバ仮想化機構13、物理サーバ14、および関連管理サーバ10に、権限情報を設定するものである。権限情報とは、ユーザによる各サーバ等への接続を制御するための情報であり、Administrator権限、Modifier権限、Viewer権限がある。Administrator権限とは、すべての操作が実行可能な権限であり、Modifier権限とは、制御(状態や構成を変更する機能を実行すること)および情報取得が可能な権限であり、Viewer権限とは、情報取得のみが可能な権限である。
構成管理部22は、各サーバの構成情報(ホスト名、IP(Internet Protocol)アドレス等)を収集するものである。また、構成管理部22は、収集した情報を保持するために後記する構成情報テーブル300を使用する。
利用状況管理部23は、権限情報を利用状況テーブル100に設定するものである。利用状況管理部23は、管理者に対し、権限情報を設定するためのインタフェース(GUI(Graphical User Interface)等)を提供する。
NIC(Network Interface Card)26は、ネットワーク27に接続するためのものである。管理サーバ20は、ネットワーク27を介して、物理サーバ14、ディスクアレイ装置30、関連管理サーバ10と接続する。管理サーバ20は、複数のNICを有してもよい。
制御部24は、管理サーバ20内の全体を制御する主制御部である。この制御部24は、各機能部から通知される制御情報に基づいて、動作を決定し、他の機能部に対して指示を行う。
NIC(Network Interface Card)26は、ネットワーク27に接続するためのものである。管理サーバ20は、ネットワーク27を介して、物理サーバ14、ディスクアレイ装置30、関連管理サーバ10と接続する。管理サーバ20は、複数のNICを有してもよい。
制御部24は、管理サーバ20内の全体を制御する主制御部である。この制御部24は、各機能部から通知される制御情報に基づいて、動作を決定し、他の機能部に対して指示を行う。
利用状況テーブル100、権限定義テーブル200、構成情報テーブル300、伝播テーブル400、グループ定義テーブル500については、後記する。
ユーザ情報テーブル600は、ユーザが管理サーバ20や各サーバに対し、直接または管理サーバ20を介して情報取得や制御を実行するための認証情報(ユーザID、パスワード等)を保持するものである。この情報は、ユーザが管理サーバ20のGUI等を介して事前に設定する。
ユーザ情報テーブル600は、ユーザが管理サーバ20や各サーバに対し、直接または管理サーバ20を介して情報取得や制御を実行するための認証情報(ユーザID、パスワード等)を保持するものである。この情報は、ユーザが管理サーバ20のGUI等を介して事前に設定する。
なお、第1実施形態では、設定部21、構成管理部22、利用状況管理部23は、CPU(Central Processing Unit)25によって実行されるプログラム(管理情報生成プログラム)として説明するが、管理サーバ20に搭載するハードウェアやファームウェア、またはそれらの組み合わせにより実装してもよい。また、設定部21、構成管理部22、利用状況管理部23は、管理サーバ20が備える補助記憶装置に格納され、実行時にはメモリ28にロードされてから、CPU25によって実行される。
図3は、実施形態に係る物理サーバ14およびディスクアレイ装置30の構成を示すブロック図である。
物理サーバ14は、プログラム制御により動作するコンピュータであり、NIC26を介して、ネットワーク27に接続される。また、物理サーバ14は、HBA(Host Bus Adapter)29を介して、ディスクアレイ装置30に接続される。なお、物理サーバ14は、複数のNIC26およびHBA29を備えていてもよい。
業務ソフトウェア41は、業務に必要な処理を実行するプログラムである。OS(Operating System)42は、物理サーバ14を制御する基本ソフトウェアである。
システムディスク33は、物理サーバ14にインストールされたOSを有するディスクボリュームである。データディスク34は、仮想サーバ12や物理サーバ14が業務のために使用するデータを有するディスクボリュームである。
物理サーバ14は、プログラム制御により動作するコンピュータであり、NIC26を介して、ネットワーク27に接続される。また、物理サーバ14は、HBA(Host Bus Adapter)29を介して、ディスクアレイ装置30に接続される。なお、物理サーバ14は、複数のNIC26およびHBA29を備えていてもよい。
業務ソフトウェア41は、業務に必要な処理を実行するプログラムである。OS(Operating System)42は、物理サーバ14を制御する基本ソフトウェアである。
システムディスク33は、物理サーバ14にインストールされたOSを有するディスクボリュームである。データディスク34は、仮想サーバ12や物理サーバ14が業務のために使用するデータを有するディスクボリュームである。
図4は、実施形態に係る仮想サーバ12を構築した物理サーバ14およびディスクアレイ装置30の構成を示すブロック図である。物理サーバ14は、物理サーバ14上において、仮想サーバ12、サーバ仮想化機構13を稼動させている。
サーバ仮想化機構13は、仮想サーバ管理部40、制御I/F(Interface)43を備えている。
仮想サーバ管理部40は、仮想サーバ12の負荷情報、構成に関する情報、状態情報を収集、保持、更新するものである。負荷情報とは、例えば、CPU使用率、メモリ使用量等の情報である。構成に関する情報とは、例えば、OSの種別、割り当てた仮想デバイス等の情報である。状態情報とは、電源、デバイスの有効・無効、デバイスの障害の有無等の情報である。
制御I/F43は、外部(管理サーバ20、各サーバ等)への、仮想サーバ管理部40に対するアクセス手段の提供を行う。
サーバ仮想化機構13は、仮想サーバ管理部40、制御I/F(Interface)43を備えている。
仮想サーバ管理部40は、仮想サーバ12の負荷情報、構成に関する情報、状態情報を収集、保持、更新するものである。負荷情報とは、例えば、CPU使用率、メモリ使用量等の情報である。構成に関する情報とは、例えば、OSの種別、割り当てた仮想デバイス等の情報である。状態情報とは、電源、デバイスの有効・無効、デバイスの障害の有無等の情報である。
制御I/F43は、外部(管理サーバ20、各サーバ等)への、仮想サーバ管理部40に対するアクセス手段の提供を行う。
サーバ仮想化機構13上では、1つ以上の仮想サーバ12が動作する。
仮想サーバ12は、サーバ仮想化機構13によって物理サーバ14の資源が割り当てられて動作する仮想的なサーバ装置である。仮想サーバ12では、業務ソフトウェア41、OS42が動作する。また、仮想サーバ12内にさらに別のサーバ仮想化機構13を動作させてもよい。
仮想サーバ12は、サーバ仮想化機構13によって物理サーバ14の資源が割り当てられて動作する仮想的なサーバ装置である。仮想サーバ12では、業務ソフトウェア41、OS42が動作する。また、仮想サーバ12内にさらに別のサーバ仮想化機構13を動作させてもよい。
ディスクアレイ装置30は、仮想サーバイメージ格納ディスク31と、定義情報格納ディスク32と、をさらに備えている。
仮想サーバイメージ格納ディスク31は、仮想サーバ12を構成するディスクイメージである仮想サーバOSイメージ131を有するディスクボリュームである。定義情報格納ディスク32は、仮想サーバ12にインストールされたOSや、割り当てられた仮想的なデバイスであるCPUやメモリ等の内容を記述した仮想サーバ定義132を有するディスクボリュームである。
仮想サーバイメージ格納ディスク31は、仮想サーバ12を構成するディスクイメージである仮想サーバOSイメージ131を有するディスクボリュームである。定義情報格納ディスク32は、仮想サーバ12にインストールされたOSや、割り当てられた仮想的なデバイスであるCPUやメモリ等の内容を記述した仮想サーバ定義132を有するディスクボリュームである。
図5は、実施形態に係る管理情報生成システム1の利用形態を示す図である。
管理情報生成システム1では、このシステムの利用者として、管理者50、ユーザA51、ユーザB52を想定している。管理者50は、システム全体を管理する者であり、通常は、システムに対し1人であるが複数人いてもよい。ユーザA51、ユーザB52は、管理者50の代行として管理作業を行うものであり、1人でもよい。
管理者50、ユーザA51、ユーザB52は、管理サーバ20もしくは関連管理サーバ10を介して、または直接に、物理サーバ14、仮想サーバ12、サーバ仮想化機構13に接続して、管理作業に必要な機能(情報取得、状態変更、構成変更等)を使用する。管理者50、ユーザA51、ユーザB52が接続先の装置で使用できる機能は、各装置に設定されている権限に基づいて決められる。
管理情報生成システム1では、このシステムの利用者として、管理者50、ユーザA51、ユーザB52を想定している。管理者50は、システム全体を管理する者であり、通常は、システムに対し1人であるが複数人いてもよい。ユーザA51、ユーザB52は、管理者50の代行として管理作業を行うものであり、1人でもよい。
管理者50、ユーザA51、ユーザB52は、管理サーバ20もしくは関連管理サーバ10を介して、または直接に、物理サーバ14、仮想サーバ12、サーバ仮想化機構13に接続して、管理作業に必要な機能(情報取得、状態変更、構成変更等)を使用する。管理者50、ユーザA51、ユーザB52が接続先の装置で使用できる機能は、各装置に設定されている権限に基づいて決められる。
管理者50は、すべての装置に対しすべての機能を利用することができる。また、ユーザA51、ユーザB52は、システムの一部に対し、すべてまたは一部の機能を利用することができる。例えば、ユーザB52は、ユーザA51のみに権限が設定された仮想サーバ(A用)12aには接続することができない。また、ユーザA51およびユーザB52に権限が設定されたサーバ仮想化機構(A、B共用)13cには、ユーザA51、ユーザB52の両者が接続することができる。管理者50は、ユーザA51、ユーザB52が装置に対して利用できる機能の範囲を管理方針等に基づいて事前に決める。
(利用状況テーブル100)
次に、利用状況テーブル100について、図6を参照して説明する。
図6は、実施形態に係る利用状況テーブル100の一例を示す図である。
利用状況テーブル100は、ユーザ(管理者)が管理サーバ20を介して各サーバに接続する際の権限情報を保持するものである。管理対象項目110は、各サーバを識別するための識別子を格納するものである。なお、本明細書等において、管理対象とは、管理情報を設定する対象の装置のことである。例えば、管理対象は、管理サーバ20が管理する物理サーバ14、仮想サーバ12、サーバ仮想化機構13、関連管理サーバ10である。ここで、管理情報とは、権限情報を含む概念である。利用状況(権限情報)項目120は、管理対象に対するユーザごとの権限情報を格納するものである。第1実施形態では、ユーザごとの権限情報を格納するためのユーザA項目121,ユーザB項目122を有する。
次に、利用状況テーブル100について、図6を参照して説明する。
図6は、実施形態に係る利用状況テーブル100の一例を示す図である。
利用状況テーブル100は、ユーザ(管理者)が管理サーバ20を介して各サーバに接続する際の権限情報を保持するものである。管理対象項目110は、各サーバを識別するための識別子を格納するものである。なお、本明細書等において、管理対象とは、管理情報を設定する対象の装置のことである。例えば、管理対象は、管理サーバ20が管理する物理サーバ14、仮想サーバ12、サーバ仮想化機構13、関連管理サーバ10である。ここで、管理情報とは、権限情報を含む概念である。利用状況(権限情報)項目120は、管理対象に対するユーザごとの権限情報を格納するものである。第1実施形態では、ユーザごとの権限情報を格納するためのユーザA項目121,ユーザB項目122を有する。
例えば、テーブル100における管理対象項目110がノード1であるレコードのユーザA項目121に対してModifier権限が設定されている場合、ノード1に対してユーザA51にModifier権限が設定されているということであり、ユーザA51は、管理サーバ20を用いてノード1に対して、制御および情報取得が可能である。同様に、ノード10に対してユーザA51にViewer権限が設定されている場合、ユーザA51は、管理サーバ20を用いてノード10に対して、情報取得のみが可能である。また、ノード3に対してユーザA51に権限が設定されていない場合、ユーザA51は、管理サーバ20を用いてノード3に接続することはできない。
ユーザは、運用管理方針に基づいて、利用状況テーブル100に初期レコードを追加する。例えば、ユーザは、ノード1〜ノード6(仮想サーバ12a,12b,12g,12c,12d,12e)(図5において、丸番号1〜6)に対する権限情報を予め設定する。ノード1〜ノード6は、業務ソフトウェアが動いているサーバである。なお、本明細書等において、これらの予め設定される情報を、予め設定された管理情報または予め設定された権限情報という。
ところで、業務ソフトウェアが動いているサーバを管理するためには、そのシステムインフラであるノード7〜ノード10(サーバ仮想化機構13a,13b,13c,関連管理サーバ10)(図5において、丸番号7〜10)に対しても、権限情報を設定する必要がある。
例えば図5に示すように、ノード7(サーバ仮想化機構13a)(図5において、丸番号7)の子ノードには、ユーザA51がModifier権限を持つノード1とノード2、および、ユーザB52がModifier権限を持つノード3が存在する。ノード1、ノード2、ノード3は仮想マシンであるため、Modifier権限がサポートするノード1〜3の制御命令の実行は、サーバ仮想化機構であるノード7を介する必要がある。すなわち、ノード7では、制御先のノード1〜3に対する権限に関係なく、ノード1〜3の制御命令は、一旦ノード7にトラップされ、ユーザにその命令を実行する権限があるか否かがチェックされる。したがって、ユーザA51とユーザB52は、ノード7に対するModifier権限を持つ必要がある。
例えば図5に示すように、ノード7(サーバ仮想化機構13a)(図5において、丸番号7)の子ノードには、ユーザA51がModifier権限を持つノード1とノード2、および、ユーザB52がModifier権限を持つノード3が存在する。ノード1、ノード2、ノード3は仮想マシンであるため、Modifier権限がサポートするノード1〜3の制御命令の実行は、サーバ仮想化機構であるノード7を介する必要がある。すなわち、ノード7では、制御先のノード1〜3に対する権限に関係なく、ノード1〜3の制御命令は、一旦ノード7にトラップされ、ユーザにその命令を実行する権限があるか否かがチェックされる。したがって、ユーザA51とユーザB52は、ノード7に対するModifier権限を持つ必要がある。
ノード7〜ノード10の権限情報については、管理サーバ20の設定部21が、利用状況テーブル100の初期レコード、ノードの種別(対象種別)、ノード間の親子関係の情報(親情報)を基に設定する。
すなわち、ユーザが子であるノード1〜ノード6に対する権限情報を予め設定した後、管理サーバ20の設定部21は、親であるノード7〜ノード10に対する権限情報を自動的に設定することになる。これにより、複数のサーバに対し適切な管理情報を効率的に生成することができる。詳細は後記する。
すなわち、ユーザが子であるノード1〜ノード6に対する権限情報を予め設定した後、管理サーバ20の設定部21は、親であるノード7〜ノード10に対する権限情報を自動的に設定することになる。これにより、複数のサーバに対し適切な管理情報を効率的に生成することができる。詳細は後記する。
(権限定義テーブル200)
次に、権限定義テーブル200について、図7を参照して説明する。
図7は、実施形態に係る権限定義テーブル200の一例を示す図である。
権限定義テーブル200は、管理サーバ20で定義している権限情報と、各サーバで定義している権限情報を対応づけた情報を保持するものである。
対象種別項目210は、各サーバの種別を識別するための識別子である対象種別を格納するものである。同一のサーバの種別では、同一の権限情報が定義されているものとする。権限定義項目220は、権限定義を格納するものである。権限定義とは、製品ごとに異なる表現をしている権限情報のことである。通常、この権限定義は、製品ごとに事前に決められている。権限情報は、権限定義を抽象化して表現したものである。
次に、権限定義テーブル200について、図7を参照して説明する。
図7は、実施形態に係る権限定義テーブル200の一例を示す図である。
権限定義テーブル200は、管理サーバ20で定義している権限情報と、各サーバで定義している権限情報を対応づけた情報を保持するものである。
対象種別項目210は、各サーバの種別を識別するための識別子である対象種別を格納するものである。同一のサーバの種別では、同一の権限情報が定義されているものとする。権限定義項目220は、権限定義を格納するものである。権限定義とは、製品ごとに異なる表現をしている権限情報のことである。通常、この権限定義は、製品ごとに事前に決められている。権限情報は、権限定義を抽象化して表現したものである。
例えば図7に示すように、利用状況項目には、Administrator権限項目221、Modifi
er権限項目222、Viewer権限項目223が設定されている。例えば、ユーザにサーバ仮想化管理製品に対してModifier権限を与える設定をした場合、サーバ仮想化管理製品上には、Read only権限を設定する必要があることを示す。
er権限項目222、Viewer権限項目223が設定されている。例えば、ユーザにサーバ仮想化管理製品に対してModifier権限を与える設定をした場合、サーバ仮想化管理製品上には、Read only権限を設定する必要があることを示す。
(構成情報テーブル300)
次に、構成情報テーブル300について、図8を参照して説明する。
図8は、実施形態に係る構成情報テーブル300の一例を示す図である。
構成情報テーブル300は、管理サーバ20が接続する各サーバの対象種別、接続情報、構成情報を保持するものである。構成管理部22は、定期的に各サーバからこれらの情報を取得し、この構成情報テーブル300を更新する。
次に、構成情報テーブル300について、図8を参照して説明する。
図8は、実施形態に係る構成情報テーブル300の一例を示す図である。
構成情報テーブル300は、管理サーバ20が接続する各サーバの対象種別、接続情報、構成情報を保持するものである。構成管理部22は、定期的に各サーバからこれらの情報を取得し、この構成情報テーブル300を更新する。
管理対象項目310は、各サーバを識別するための識別子を格納するものである。対象種別項目320は、各サーバの種別を識別するための識別子である対象種別を格納するものである。対象種別項目320の値は、対象種別項目210(図7参照)の値と対応するものである。接続情報項目330は、各サーバに接続するための情報である接続情報を格納するものである。第1実施形態では、接続情報をIPアドレスとしているが、他にもサブネットマスク、ゲートウェイ、VLANID(Virtual Local Area Network IDentification)、プロトコル種別、ポート番号等を含めてもよい。
親情報項目340は、各サーバの親のサーバを識別するための識別子である親情報を格納するものである。親情報項目340の値は、管理対象項目310の値と対応している。第1実施形態では、親情報として設定したサーバ間の親子関係は、管理対象と被管理対象の関係にあるもの(例えば、図5に示す関連管理サーバ10とサーバ仮想化機構13)、1つ以上の物理サーバ14の資源の集約と分割の関係にあるもの(例えば、図5に示すサーバ仮想化機構13と仮想サーバ12)としている。なお、本明細書等において、構成情報とは、親情報を含む概念である。
[管理サーバ20の処理動作(1)]
次に、管理サーバ20の処理動作(1)について図6〜図9(構成は適宜図2参照)を参照して説明する。
図9は、第1実施形態に係る管理サーバ20の処理動作を示すフローチャートである。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに関する権限情報を用いて、当該サーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらのサーバに対して、当該権限情報に相当する権限範囲内の権限を設定するものである。また、この処理は、新しい管理対象として各サーバが利用状況テーブル100(図6参照)に登録された直後に開始する。なお、この処理の動作の契機を、管理者50からの指示としてもよいし、各サーバから管理サーバ20への接続完了通知やイベント信号等の受信時としてもよい。
次に、管理サーバ20の処理動作(1)について図6〜図9(構成は適宜図2参照)を参照して説明する。
図9は、第1実施形態に係る管理サーバ20の処理動作を示すフローチャートである。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに関する権限情報を用いて、当該サーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらのサーバに対して、当該権限情報に相当する権限範囲内の権限を設定するものである。また、この処理は、新しい管理対象として各サーバが利用状況テーブル100(図6参照)に登録された直後に開始する。なお、この処理の動作の契機を、管理者50からの指示としてもよいし、各サーバから管理サーバ20への接続完了通知やイベント信号等の受信時としてもよい。
図9のフローチャートに示すように、ステップS101において、設定部21は、ユーザにより入力されたユーザ名、管理対象および利用状況を利用状況テーブル100(図6参照)に登録する。なお、既に登録している場合は、このステップを省略することができる。
ステップS102において、設定部21は、利用状況テーブル100(図6参照)を参照して、ユーザA51について、管理対象項目110の管理対象と利用状況項目120の利用状況の組を1つ取得する(以下、適宜項目名と符号を省略する)。
例えば図6に示すように、設定部21は、ユーザA51について、ユーザA項目121から、管理対象「ノード1」と利用状況「Modifier」の組を取得する。
ステップS102において、設定部21は、利用状況テーブル100(図6参照)を参照して、ユーザA51について、管理対象項目110の管理対象と利用状況項目120の利用状況の組を1つ取得する(以下、適宜項目名と符号を省略する)。
例えば図6に示すように、設定部21は、ユーザA51について、ユーザA項目121から、管理対象「ノード1」と利用状況「Modifier」の組を取得する。
ステップS103において、設定部21は、構成情報テーブル300(図8参照)を参照して、取得した管理対象に対応する対象種別を取得する。
例えば図8に示すように、設定部21は、管理対象「ノード1」の対象種別「OS−1」を取得する。
ステップS104において、設定部21は、権限定義テーブル200(図7参照)を参照して、取得した対象種別と利用状況から権限定義を生成する。
例えば図7に示すように、設定部21は、対象種別「OS−1」と利用状況「Modifier」から権限定義「Power Users」を生成する。
例えば図8に示すように、設定部21は、管理対象「ノード1」の対象種別「OS−1」を取得する。
ステップS104において、設定部21は、権限定義テーブル200(図7参照)を参照して、取得した対象種別と利用状況から権限定義を生成する。
例えば図7に示すように、設定部21は、対象種別「OS−1」と利用状況「Modifier」から権限定義「Power Users」を生成する。
ステップS105において、設定部21は、構成情報テーブル300(図8参照)を参照して、取得した管理対象に対応する接続情報を取得して、当該管理対象に接続し、ユーザ情報と生成した権限定義を当該管理対象に設定する。ここで、ユーザ情報とは、ユーザ情報テーブル600(図2参照)に格納されているユーザID(IDentification)およびパスワードである。
例えば図8に示すように、設定部21は、管理対象「ノード1」の接続情報「192.168.
0.100」を取得して、管理対象「ノード1」(図5の仮想サーバ12a)に接続し、ユーザ情報と権限定義「Power Users」を管理対象「ノード1」に設定する。
例えば図8に示すように、設定部21は、管理対象「ノード1」の接続情報「192.168.
0.100」を取得して、管理対象「ノード1」(図5の仮想サーバ12a)に接続し、ユーザ情報と権限定義「Power Users」を管理対象「ノード1」に設定する。
ステップS106において、設定部21は、取得した管理対象に親の管理対象が存在するか否かを判定する。すなわち、設定部21は、構成情報テーブル300(図8参照)を参照して、取得した管理対象に対応する親情報が設定されているか否かを判定する。
例えば図8に示すように、設定部21は、管理対象「ノード1」に対応する親情報には「ノード7」が設定されているため、親の管理対象「ノード7」が存在すると判定する。
例えば図8に示すように、設定部21は、管理対象「ノード1」に対応する親情報には「ノード7」が設定されているため、親の管理対象「ノード7」が存在すると判定する。
親の管理対象が存在すると判定した場合は(ステップS106・Yes)、ステップS107において、設定部21は、当該親の管理対象を現在の管理対象としてステップS103に戻り、同様の処理を繰り返す。すなわち、設定部21は、当該親の管理対象について、対象種別を取得し(ステップS103)、取得した対象種別と利用状況から権限定義を生成し(ステップS104)、当該親の管理対象に接続してユーザ情報と権限定義を設定する(ステップS105)。なお、このとき、設定部21は、利用状況テーブル100(図6参照)にも、権限定義に相当する権限情報を設定する。そして、設定部21は、当該親の管理対象にさらに親の管理対象が存在するか否かを判定する(ステップS106)。その後、設定部21は、同様の処理を繰り返す。
例えば図8に示すように、設定部21は、管理対象「ノード7」の対象種別「サーバ仮想化機構」を取得し、図7に示すように、対象種別「サーバ仮想化機構」と利用状況「Modifier」から権限定義「Power Users」を生成し、管理対象「ノード7」に接続してユーザ情報と権限定義「Power Users」を設定する。なお、権限定義が「−」(ヌル値)であるときは、設定部21は、管理対象には接続せず、権限定義は設定しない。
そして、設定部21は、利用状況テーブル100(図6参照)のユーザA51の管理対象「ノード7」に対して、権限定義「Power Users」に相当する権限情報「Modifier」を設定する。次に、設定部21は、図8を参照して、管理対象「ノード7」に親の管理対象「ノード10」が存在すると判定する。その後、設定部21は、図8を参照して、管理対象「ノード10」の対象種別「サーバ仮想化管理製品」を取得し、図7を参照して、対象種別「サーバ仮想化管理製品」と利用状況「Modifier」から権限定義「Read only」を生成し、管理対象「ノード10」に接続してユーザ情報と権限定義「Read only」を設定する。そして、設定部21は、利用状況テーブル100(図6参照)のユーザA51の管理対象「ノード10」に対して、権限定義「Read only」に相当する権限情報「Viewer」を設定する。
そして、設定部21は、利用状況テーブル100(図6参照)のユーザA51の管理対象「ノード7」に対して、権限定義「Power Users」に相当する権限情報「Modifier」を設定する。次に、設定部21は、図8を参照して、管理対象「ノード7」に親の管理対象「ノード10」が存在すると判定する。その後、設定部21は、図8を参照して、管理対象「ノード10」の対象種別「サーバ仮想化管理製品」を取得し、図7を参照して、対象種別「サーバ仮想化管理製品」と利用状況「Modifier」から権限定義「Read only」を生成し、管理対象「ノード10」に接続してユーザ情報と権限定義「Read only」を設定する。そして、設定部21は、利用状況テーブル100(図6参照)のユーザA51の管理対象「ノード10」に対して、権限定義「Read only」に相当する権限情報「Viewer」を設定する。
一方、親の管理対象が存在しないと判定した場合は(ステップS106・No)、ステップS108において、設定部21は、利用状況テーブル100(図6参照)を参照して、他の管理対象またはユーザについて、利用状況が設定されているか否かを判定する。
他の管理対象またはユーザについて、利用状況が設定されていると判定した場合は(ステップS108・Yes)、ステップS102に戻り、設定部21は、同様の処理を繰り返す。
一方、他の管理対象またはユーザについて、利用状況が設定されていないと判定した場合は(ステップS108・No)、設定部21は、処理を終了する。
他の管理対象またはユーザについて、利用状況が設定されていると判定した場合は(ステップS108・Yes)、ステップS102に戻り、設定部21は、同様の処理を繰り返す。
一方、他の管理対象またはユーザについて、利用状況が設定されていないと判定した場合は(ステップS108・No)、設定部21は、処理を終了する。
第1実施形態により、管理サーバ20に設定された各サーバに対する利用状況120(権限情報)を用いて、当該サーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらの親のサーバに対して、当該権限情報に相当する権限範囲内の権限を設定することができる。
<第2実施形態>
次に、本発明の第2実施形態について、図10および図11(構成は適宜図2)を参照して説明する。
第1実施形態では、管理サーバ20に設定した権限情報と等価の権限情報を各サーバに設定することを想定していたのに対して、第2実施形態では、あるサーバに設定する権限情報とその親のサーバに設定する権限情報との間で、権限範囲が異なる場合を考慮する。つまり、あるサーバの親のサーバに権限情報を設定するときは、より狭い権限範囲の権限を設定する場合も存在する。例えば、サーバ仮想化機構にはModifier権限を設定したいが、その親であるサーバ仮想化管理製品にはViewer権限を設定したい場合がある。第2実施形態では、これを解決するために、管理サーバ20に、次に説明する伝播テーブル400をさらに備えている(図2参照)。
次に、本発明の第2実施形態について、図10および図11(構成は適宜図2)を参照して説明する。
第1実施形態では、管理サーバ20に設定した権限情報と等価の権限情報を各サーバに設定することを想定していたのに対して、第2実施形態では、あるサーバに設定する権限情報とその親のサーバに設定する権限情報との間で、権限範囲が異なる場合を考慮する。つまり、あるサーバの親のサーバに権限情報を設定するときは、より狭い権限範囲の権限を設定する場合も存在する。例えば、サーバ仮想化機構にはModifier権限を設定したいが、その親であるサーバ仮想化管理製品にはViewer権限を設定したい場合がある。第2実施形態では、これを解決するために、管理サーバ20に、次に説明する伝播テーブル400をさらに備えている(図2参照)。
(伝播テーブル400)
伝播テーブル400について、図10を参照して説明する。
図10は、第2実施形態に係る伝播テーブル400の一例を示す図である。
伝播テーブル400は、管理サーバ20に設定した権限情報と異なる権限範囲の権限情報を対象種別ごとに設定可能としたものである。
伝播テーブル400について、図10を参照して説明する。
図10は、第2実施形態に係る伝播テーブル400の一例を示す図である。
伝播テーブル400は、管理サーバ20に設定した権限情報と異なる権限範囲の権限情報を対象種別ごとに設定可能としたものである。
対象種別項目410は、各サーバの種別を識別するための識別子である対象種別を格納するものである。対象種別項目410の値は、対象種別項目320(図8参照)の値と対応するものである。権限伝播情報項目420は、管理サーバ20に設定した権限情報である利用状況に、対象種別ごとに対応させた権限情報である権限伝播情報を格納しておくものである。この権限伝播情報項目420の値は、管理者(ユーザ)が事前に決定する。利用状況項目には、Administrator権限項目421、Modifier権限項目422、Viewer権限項目423が設定されている。この利用状況項目の値の種類が増えれば、その分利用状況項目として列を増やせばよい。
各サーバには、この伝播テーブル400に基づいて、権限情報が次々と伝播するように設定されていくこととなる。この動作を次に説明する。
各サーバには、この伝播テーブル400に基づいて、権限情報が次々と伝播するように設定されていくこととなる。この動作を次に説明する。
[管理サーバ20の処理動作(2)]
管理サーバ20の処理動作(2)について図10および図11(構成は適宜図2参照)を参照して説明する。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに対する権限情報(図6参照)を用いて、あるサーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらの親のサーバに対して、当該権限情報に相当する権限範囲または異なる権限範囲の権限を設定するものである。
図11は、第2実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S107,S108の処理は、図9のフローチャートのステップS101〜S107,S108の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS201〜S203の処理について説明する。
管理サーバ20の処理動作(2)について図10および図11(構成は適宜図2参照)を参照して説明する。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに対する権限情報(図6参照)を用いて、あるサーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらの親のサーバに対して、当該権限情報に相当する権限範囲または異なる権限範囲の権限を設定するものである。
図11は、第2実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S107,S108の処理は、図9のフローチャートのステップS101〜S107,S108の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS201〜S203の処理について説明する。
図11のフローチャートに示すように、ステップS201において、設定部21は、構成情報テーブル300(図8参照)を参照して、管理対象の親情報340に格納されている親について、対象種別を取得する。
例えば図8に示すように、設定部21は、管理対象「ノード7」の対象種別「サーバ仮想化機構」を取得する。
ステップS202において、設定部21は、伝播テーブル400(図10参照)を参照して、取得した対象種別と利用状況から権限伝播情報を取得する。
例えば図10に示すように、設定部21は、対象種別「サーバ仮想化機構」と利用状況「Modifier」から権限伝播情報「Modifier」を取得する。
例えば図8に示すように、設定部21は、管理対象「ノード7」の対象種別「サーバ仮想化機構」を取得する。
ステップS202において、設定部21は、伝播テーブル400(図10参照)を参照して、取得した対象種別と利用状況から権限伝播情報を取得する。
例えば図10に示すように、設定部21は、対象種別「サーバ仮想化機構」と利用状況「Modifier」から権限伝播情報「Modifier」を取得する。
ステップS203において、設定部21は、取得した権限伝播情報を利用状況に代入し、権限定義テーブル200(図7参照)を参照して、取得した対象種別と、利用状況から権限定義を生成する。そして、処理はステップS105へ戻る。
例えば図7に示すように、設定部21は、取得した権限伝播情報「Modifier」を利用状況に代入し、対象種別「サーバ仮想化機構」と利用状況「Modifier」から権限定義「Power Users」を生成し、管理対象「ノード7」に接続してユーザ情報と権限定義「Power Users」を設定する。
例えば図7に示すように、設定部21は、取得した権限伝播情報「Modifier」を利用状況に代入し、対象種別「サーバ仮想化機構」と利用状況「Modifier」から権限定義「Power Users」を生成し、管理対象「ノード7」に接続してユーザ情報と権限定義「Power Users」を設定する。
その後、同様に、設定部21は、管理対象「ノード7」に親の管理対象「ノード10」が存在すると判定し(ステップS106・Yes)、管理対象「ノード10」の対象種別「サーバ仮想化管理製品」を取得し(ステップS201)、伝播テーブル400(図10参照)を参照して、対象種別「サーバ仮想化管理製品」と利用状況「Modifier」から権限伝播情報「Viewer」を取得し(ステップS202)、取得した権限伝播情報「Viewer」を利用状況に代入し、権限定義テーブル200(図7参照)を参照して、対象種別「サーバ仮想化管理製品」と利用状況「Viewer」から権限定義「Read only」を生成する(ステップS203)。そして、ステップS105において、設定部21は、管理対象「ノード10」に接続してユーザ情報と権限定義「Read only」を設定する。
第2実施形態により、管理サーバ20に設定されたサーバに対する権限情報を用いて、当該サーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらのサーバに対して、子のサーバの権限情報よりも狭い権限範囲の権限を設定することができる。
<第3実施形態>
次に、本発明の第3実施形態について、図5、図12および図13(構成は適宜図2)を参照して説明する。
第3実施形態では、各サーバがグループに所属する状況を考慮する。このグループは、負荷分散、フェイルオーバ等のために、管理者、ユーザ、管理サーバ20、関連管理サーバ10によって定義されるものである。
例えば、ノード3(仮想サーバ(B用)12g)(図5において、丸番号3)は、負荷分散やフェイルオーバのために、ノード8(サーバ仮想化機構(A用)13b)(図5において、丸番号8)の上に移動される場合がある。ノード3が移動した直後には、ノード8は、A,B共用となる必要がある。すなわち、ノード8に対して、ユーザB52の権限を設定しておく必要がある。
これを解決するために、ノード3とノード8とが予め同一グループに所属するように設定されていれば、ユーザB52の権限がノード3に加えてノード8にも設定されることとなる。
次に、本発明の第3実施形態について、図5、図12および図13(構成は適宜図2)を参照して説明する。
第3実施形態では、各サーバがグループに所属する状況を考慮する。このグループは、負荷分散、フェイルオーバ等のために、管理者、ユーザ、管理サーバ20、関連管理サーバ10によって定義されるものである。
例えば、ノード3(仮想サーバ(B用)12g)(図5において、丸番号3)は、負荷分散やフェイルオーバのために、ノード8(サーバ仮想化機構(A用)13b)(図5において、丸番号8)の上に移動される場合がある。ノード3が移動した直後には、ノード8は、A,B共用となる必要がある。すなわち、ノード8に対して、ユーザB52の権限を設定しておく必要がある。
これを解決するために、ノード3とノード8とが予め同一グループに所属するように設定されていれば、ユーザB52の権限がノード3に加えてノード8にも設定されることとなる。
また、通常は、ノード1を使用しているが、障害が発生したときに、ノード7を使用するという場合に、ノード7に対しても、ノード1と同じ権限を設定しておく必要がある。
これを解決するために、ノード1とノード7とが予め同一グループに所属するように設定されていれば、ノード1に加えてノード7にも権限が設定されることとなる。
このため、第3実施形態では、管理サーバ20に、次に説明するグループ定義テーブル500をさらに備えている(図2参照)。
これを解決するために、ノード1とノード7とが予め同一グループに所属するように設定されていれば、ノード1に加えてノード7にも権限が設定されることとなる。
このため、第3実施形態では、管理サーバ20に、次に説明するグループ定義テーブル500をさらに備えている(図2参照)。
(グループ定義テーブル500)
グループ定義テーブル500について、図12を参照して説明する。
図12は、第3実施形態に係るグループ定義テーブル500の一例を示す図である。
グループ定義テーブル500は、管理サーバ20が管理する各サーバのグルーピングに関する情報を保持するものである。
グループ定義テーブル500について、図12を参照して説明する。
図12は、第3実施形態に係るグループ定義テーブル500の一例を示す図である。
グループ定義テーブル500は、管理サーバ20が管理する各サーバのグルーピングに関する情報を保持するものである。
管理対象項目510は、各サーバを識別するための識別子を格納するものである。管理対象項目510の値は、管理対象項目110,310の値と対応するものである。所属グループ情報項目520は、各サーバが所属するグループを示すものである。第3実施形態では、所属グループ情報項目520には、リソースグループ1項目521、リソースグループ2項目522、リソースグループ3項目523が設定されている。設定が必要なグループの数が増えれば、その分グループ項目の列を増やせばよい。
なお、第3実施形態では、グループ定義テーブル500の内容を、すべて管理サーバ20で保持することとし、所属グループ情報項目520の値は、構成管理部22が、作成・更新することとする。なお、管理負荷分散のために関連管理サーバ10で一部の情報を管理する場合には、管理サーバ20が必要に応じて、その都度、関連管理サーバ10から情報を取得することとしてもよい。
[管理サーバ20の処理動作(3)]
次に、管理サーバ20の処理動作(3)について図12および図13(構成は適宜図2)を参照して説明する。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに対する権限情報(図6参照)を用いて、あるサーバと同一のグループに属する他のサーバに対して、その権限情報に相当する権限範囲の権限を設定するものである。
図13は、第3実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S107,S108の処理は、図9のフローチャートのステップS101〜S107,S108の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS301,S302の処理について説明する。
次に、管理サーバ20の処理動作(3)について図12および図13(構成は適宜図2)を参照して説明する。
まず概略を説明すると、この処理は、管理サーバ20に設定された各サーバに対する権限情報(図6参照)を用いて、あるサーバと同一のグループに属する他のサーバに対して、その権限情報に相当する権限範囲の権限を設定するものである。
図13は、第3実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S107,S108の処理は、図9のフローチャートのステップS101〜S107,S108の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS301,S302の処理について説明する。
図13のフローチャートに示すように、ステップS301において、設定部21は、ステップS102で取得した管理対象が属するグループと同一のグループに属する他の管理対象が存在するか否かを判定する。
同一のグループに属する他の管理対象が存在すると判定した場合は(ステップS301・Yes)、ステップS302において、設定部21は、当該他の管理対象を現在の管理対象とする。その後、同様に、設定部21は、当該他の管理対象に接続し、ユーザ情報および権限定義を設定する(ステップS103a〜ステップS105a)。なお、ステップS103a〜ステップS105aの処理は、ステップS103〜ステップS105と同じ処理である。
一方、同一のグループに属する他の管理対象が存在しないと判定した場合は(ステップS301・No)、処理は、ステップS108へ進む。
同一のグループに属する他の管理対象が存在すると判定した場合は(ステップS301・Yes)、ステップS302において、設定部21は、当該他の管理対象を現在の管理対象とする。その後、同様に、設定部21は、当該他の管理対象に接続し、ユーザ情報および権限定義を設定する(ステップS103a〜ステップS105a)。なお、ステップS103a〜ステップS105aの処理は、ステップS103〜ステップS105と同じ処理である。
一方、同一のグループに属する他の管理対象が存在しないと判定した場合は(ステップS301・No)、処理は、ステップS108へ進む。
例えば図12に示すように、設定部21は、ステップS102で取得した管理対象「ノード1」が属するグループ「リソースグループ1」と同一のグループに属する他の管理対象「ノード2(ノード3〜5,7,8)」が存在すると判定し(ステップS301)、管理対象を「ノード2」とする(ステップS302)。その後、同様に、設定部21は、構成情報テーブル300(図8参照)を参照して、管理対象「ノード2」の対象種別「OS−1」を取得し(ステップS103a)、権限定義テーブル200(図7参照)を参照して、対象種別「OS−1」と利用状況「Modifier」から権限定義「Power Users」を生成する(ステップS104a)。そして、設定部21は、構成情報テーブル300(図8参照)を参照して、取得した管理対象「ノード2」の接続情報「192.168.0.101」を取得して、管理対象「ノード2」に接続し、ユーザ情報と生成した権限定義「Power Users」を管理対象「ノード2」に設定する(ステップS105a)。
第3実施形態により、管理サーバ20に設定された各サーバに対する権限情報(図6参照)を用いて、あるサーバの親のサーバ、さらにその親のサーバと次々に辿りながら、これらの親のサーバに対して、当該権限情報に相当する権限範囲の権限を設定することができる。
また、管理サーバ20に設定された各サーバに対する権限情報を用いて、あるサーバと同一のグループに属する他のサーバに対して、その権限情報に相当する権限範囲の権限を設定することができる。
また、管理サーバ20に設定された各サーバに対する権限情報を用いて、あるサーバと同一のグループに属する他のサーバに対して、その権限情報に相当する権限範囲の権限を設定することができる。
<第4実施形態>
[管理サーバ20の処理動作(4)]
次に、第4実施形態に係る管理サーバ20の処理動作(4)について図14(構成は適宜図2)を参照して説明する。
まず概略を説明すると、この処理は、あるサーバに権限情報を設定することができない場合に、当該管理対象の親の管理対象の構成を変更することにより、ユーザの権限を制限するものである。
図14は、第4実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S104,S105〜S107,S108,S201〜S203の処理は、図11のフローチャートのステップS101〜S104,S105〜S107,S108,S201〜S203の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS401,S402の処理について説明する。
[管理サーバ20の処理動作(4)]
次に、第4実施形態に係る管理サーバ20の処理動作(4)について図14(構成は適宜図2)を参照して説明する。
まず概略を説明すると、この処理は、あるサーバに権限情報を設定することができない場合に、当該管理対象の親の管理対象の構成を変更することにより、ユーザの権限を制限するものである。
図14は、第4実施形態に係る管理サーバ20の処理動作を示すフローチャートである。このフローチャートにおいて、ステップS101〜S104,S105〜S107,S108,S201〜S203の処理は、図11のフローチャートのステップS101〜S104,S105〜S107,S108,S201〜S203の処理と同様であるため、同一のステップ番号を付し説明は省略する。ここでは、ステップS401,S402の処理について説明する。
図14のフローチャートに示すように、ステップS401において、設定部21は、管理対象に権限情報の設定が可能か否かを判定する。この判定は、管理対象の対象種別や、権限定義や、サーバの機能リスト等に基づいて行われる。例えば、設定部21は、権限定義テーブル200にヌル値「-」が設定されている場合は、権限情報の設定が不可能であると判定する。
管理対象に権限情報の設定が可能であると判定した場合は(ステップS401・Yes)、ステップS105において、設定部21は、管理対象に接続してユーザ情報と権限定義を設定する。
一方、管理対象に権限情報の設定が不可能であると判定した場合は(ステップS401・No)、ステップS402において、制御部24は、当該管理対象の親の管理対象の構成を変更する。ここで、管理対象に権限情報の設定が不可能であるとは、管理対象に外部からユーザ名および権限情報を設定するインタフェースがない場合や、そもそも権限定義が存在しない場合等をいう。また、管理対象の構成の変更とは、パーティション分割や、サーバのマイグレーションや、物理サーバから仮想サーバへの変更等をいう。これにより、ユーザのアクセス権限を制限あるいは変更したことと同等の効果を得ることができる。
一方、管理対象に権限情報の設定が不可能であると判定した場合は(ステップS401・No)、ステップS402において、制御部24は、当該管理対象の親の管理対象の構成を変更する。ここで、管理対象に権限情報の設定が不可能であるとは、管理対象に外部からユーザ名および権限情報を設定するインタフェースがない場合や、そもそも権限定義が存在しない場合等をいう。また、管理対象の構成の変更とは、パーティション分割や、サーバのマイグレーションや、物理サーバから仮想サーバへの変更等をいう。これにより、ユーザのアクセス権限を制限あるいは変更したことと同等の効果を得ることができる。
例えば図5において、丸番号8で示すノード8(サーバ仮想化機構13b)には、権限情報を設定できない場合を考える。このとき、ノード8には、デフォルトで設定されているユーザ名および権限情報(例えば、root)を用いることとなり、ユーザに対し不必要な権限を与えてしまうおそれがある。この場合、ノード8の親ノードであるノード9(サーバ仮想化機構13c)のパーティション分割等を行うことにより、ノード8へのユーザのアクセス権限を制限する。
第4実施形態により、あるサーバに権限情報を設定することができない場合に、当該管理対象の親の管理対象の構成を変更することにより、ユーザの権限を制限することができる。
<変形例>
以上、本発明の一実施形態について説明したが、本発明はこれに限定されず、本発明の趣旨を逸脱しない範囲で変更することができる。
以上、本発明の一実施形態について説明したが、本発明はこれに限定されず、本発明の趣旨を逸脱しない範囲で変更することができる。
例えば、第1〜第4実施形態の説明では、権限情報を用いたが、権限情報の他に、制御情報、認証情報等にも適用できる。なお、本明細書等において、これらの情報をまとめて、管理情報という。
また、本発明の実施形態では、フローチャートのステップは、記載された順序に沿って時系列的に行われる処理の例を示したが、必ずしも時系列的に処理されなくとも、並列的あるいは個別実行される処理をも含むものである。
また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
1 管理情報生成システム
10 関連管理サーバ(管理対象)
11 ネットワークスイッチ
12 仮想サーバ(管理対象)
13 サーバ仮想化機構(管理対象)
14 物理サーバ(管理対象)
15 ストレージスイッチ
20 管理サーバ(管理情報生成装置)
21 設定部
22 構成管理部
23 利用状況管理部
24 制御部
25 CPU
26 NIC
27 ネットワーク
28 メモリ(記憶部)
30 ディスクアレイ装置
31 仮想サーバイメージ格納ディスク
32 定義情報格納ディスク
33 システムディスク
34 データディスク
40 仮想サーバ管理部
41 業務ソフトウェア
50 管理者
100 利用状況テーブル(管理情報)
131 仮想サーバOSイメージ
132 仮想サーバ定義
200 権限定義テーブル
300 構成情報テーブル(構成情報)
400 伝播テーブル
500 グループ定義テーブル(グループ定義情報)
600 ユーザ情報テーブル
10 関連管理サーバ(管理対象)
11 ネットワークスイッチ
12 仮想サーバ(管理対象)
13 サーバ仮想化機構(管理対象)
14 物理サーバ(管理対象)
15 ストレージスイッチ
20 管理サーバ(管理情報生成装置)
21 設定部
22 構成管理部
23 利用状況管理部
24 制御部
25 CPU
26 NIC
27 ネットワーク
28 メモリ(記憶部)
30 ディスクアレイ装置
31 仮想サーバイメージ格納ディスク
32 定義情報格納ディスク
33 システムディスク
34 データディスク
40 仮想サーバ管理部
41 業務ソフトウェア
50 管理者
100 利用状況テーブル(管理情報)
131 仮想サーバOSイメージ
132 仮想サーバ定義
200 権限定義テーブル
300 構成情報テーブル(構成情報)
400 伝播テーブル
500 グループ定義テーブル(グループ定義情報)
600 ユーザ情報テーブル
Claims (10)
- 複数の管理対象を有するシステムにおいて、前記管理対象に対する管理情報を生成する管理情報生成装置における管理情報生成方法であって、
前記管理情報生成装置の制御部は、
前記システムにおける管理対象の構成情報と、前記複数の管理対象のうち一部の管理対象に対する予め設定された管理情報と、を記憶部に格納し、
前記管理情報生成装置の設定部は、
前記構成情報と、前記予め設定された管理情報とを用いて、前記複数の管理対象のうち他の管理対象に対する管理情報を生成するとともに、
前記管理対象の移動先の親の管理対象を含むように前記複数の管理対象を予め設定されたグループに分割するグループ定義情報を参照して、権限情報が予め設定された管理対象と同一のグループに属する他の管理対象に対する権限情報を生成する処理、または、前記親の管理対象の権限範囲をその子の管理対象の権限範囲より狭く設定した伝播情報を参照して、前記親の管理対象に対する権限情報として、当該親の管理対象の子の管理対象に対する権限情報より狭い権限範囲の権限情報を生成する処理、を実行する
ことを特徴とする管理情報生成方法。 - 前記管理情報は、前記管理対象に対するユーザの権限情報である
ことを特徴とする請求項1に記載の管理情報生成方法。 - 前記設定部は、前記構成情報を参照し、前記管理対象の親の管理対象に対する権限情報として、前記権限情報に相当する権限範囲の権限情報を生成する
ことを特徴とする請求項2に記載の管理情報生成方法。 - 前記制御部は、管理対象に権限情報を設定することができない場合は、当該管理対象の親の管理対象の構成を変更することにより、ユーザの権限を制限する
ことを特徴とする請求項2に記載の管理情報生成方法。 - 前記構成情報は、前記管理対象への接続情報を保持し、
前記設定部は、前記接続情報に基づいて当該管理対象に接続し、生成した前記権限情報を当該管理対象に設定する
ことを特徴とする請求項2に記載の管理情報生成方法。 - 請求項1から請求項5のいずれか一項に記載の管理情報生成方法をコンピュータに実行させるための管理情報生成プログラム。
- 複数の管理対象を有するシステムにおいて、前記管理対象に対する管理情報を生成する管理情報生成装置であって、
前記システムにおける管理対象の構成情報と、前記複数の管理対象のうち一部の管理対象に対する予め設定された管理情報とが格納される記憶部と、
前記構成情報と、前記予め設定された管理情報とを用いて、前記複数の管理対象のうち他の管理対象に対する管理情報を生成するとともに、前記管理対象の移動先の親の管理対象を含むように前記複数の管理対象を予め設定されたグループに分割するグループ定義情報を参照して、権限情報が予め設定された管理対象と同一のグループに属する他の管理対象に対する権限情報を生成する処理、または、前記親の管理対象の権限範囲をその子の管理対象の権限範囲より狭く設定した伝播情報を参照して、前記親の管理対象に対する権限情報として、当該親の管理対象の子の管理対象に対する権限情報より狭い権限範囲の権限情報を生成する処理、を実行する設定部と、
を備えることを特徴とする管理情報生成装置。 - 前記管理情報は、前記管理対象に対するユーザの権限情報である
ことを特徴とする請求項8に記載の管理情報生成装置。 - 前記設定部は、前記構成情報を参照し、前記管理対象の親の管理対象に対する権限情報として、前記権限情報に相当する権限範囲の権限情報を生成する
ことを特徴とする請求項9に記載の管理情報生成装置。 - 前記管理対象に権限情報を設定することができない場合は、当該管理対象の親の管理対象の構成を変更することにより、ユーザの権限を制限する制御部
をさらに備えることを特徴とする請求項9に記載の管理情報生成装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2011/060726 WO2012153388A1 (ja) | 2011-05-10 | 2011-05-10 | 管理情報生成方法、管理情報生成プログラムおよび管理情報生成装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012153388A1 JPWO2012153388A1 (ja) | 2014-07-28 |
| JP5734421B2 true JP5734421B2 (ja) | 2015-06-17 |
Family
ID=47138891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013513844A Expired - Fee Related JP5734421B2 (ja) | 2011-05-10 | 2011-05-10 | 管理情報生成方法、管理情報生成プログラムおよび管理情報生成装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140047083A1 (ja) |
| JP (1) | JP5734421B2 (ja) |
| WO (1) | WO2012153388A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9858399B2 (en) * | 2011-09-27 | 2018-01-02 | Rakuten, Inc. | Group definition management system |
| JP2016115238A (ja) * | 2014-12-17 | 2016-06-23 | 株式会社日立システムズ | 運用操作集約システム、集約方法及び集約プログラム |
| US10262157B2 (en) * | 2016-09-28 | 2019-04-16 | International Business Machines Corporation | Application recommendation based on permissions |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006085720A (ja) * | 2003-06-23 | 2006-03-30 | Hitachi Ltd | サービス提供システム及び方法 |
| JP2008129644A (ja) * | 2006-11-16 | 2008-06-05 | Canon Inc | 文書管理装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3173102B2 (ja) * | 1992-03-17 | 2001-06-04 | 株式会社日立製作所 | ネットワーク管理オペレーションシステム、および管理オペレーション処理方法 |
| WO2001082086A1 (fr) * | 2000-04-24 | 2001-11-01 | Matsushita Electric Industrial Co., Ltd. | Dispositif de definition de droit d'acces et terminal gestionnaire |
| US7904392B2 (en) * | 2001-10-25 | 2011-03-08 | Panasonic Corporation | Content usage rule management system |
| US7546633B2 (en) * | 2002-10-25 | 2009-06-09 | Microsoft Corporation | Role-based authorization management framework |
| CN1316325C (zh) * | 2003-06-23 | 2007-05-16 | 株式会社日立制作所 | 服务器 |
| JP4455239B2 (ja) * | 2004-09-10 | 2010-04-21 | キヤノン株式会社 | 情報処理方法及び装置 |
| US20060080316A1 (en) * | 2004-10-08 | 2006-04-13 | Meridio Ltd | Multiple indexing of an electronic document to selectively permit access to the content and metadata thereof |
| US7669244B2 (en) * | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
| US8751799B2 (en) * | 2010-05-20 | 2014-06-10 | Absio Corporation | Method and apparatus for providing content |
-
2011
- 2011-05-10 US US14/112,643 patent/US20140047083A1/en not_active Abandoned
- 2011-05-10 JP JP2013513844A patent/JP5734421B2/ja not_active Expired - Fee Related
- 2011-05-10 WO PCT/JP2011/060726 patent/WO2012153388A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006085720A (ja) * | 2003-06-23 | 2006-03-30 | Hitachi Ltd | サービス提供システム及び方法 |
| JP2008129644A (ja) * | 2006-11-16 | 2008-06-05 | Canon Inc | 文書管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012153388A1 (ja) | 2012-11-15 |
| US20140047083A1 (en) | 2014-02-13 |
| JPWO2012153388A1 (ja) | 2014-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11983082B2 (en) | Server clustering in a computing-on-demand system | |
| US11089115B2 (en) | Discovery of cloud-based infrastructure and resources | |
| US11088919B1 (en) | Data structure for defining multi-site logical network | |
| US8296267B2 (en) | Upgrade of highly available farm server groups | |
| US8015275B2 (en) | Computer product, method, and apparatus for managing operations of servers | |
| US8856337B2 (en) | Method and apparatus of cluster system provisioning for virtual maching environment | |
| JP4961411B2 (ja) | 計算機システム及びその構成管理方法 | |
| US11121906B2 (en) | Data plane API in a distributed computing network | |
| US20120233315A1 (en) | Systems and methods for sizing resources in a cloud-based environment | |
| US9280646B1 (en) | Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems | |
| US9130943B1 (en) | Managing communications between client applications and application resources of on-premises and cloud computing nodes | |
| US10924344B2 (en) | Discovery and mapping of cloud-based resource modifications | |
| WO2014026524A1 (zh) | 一种分配资源的方法及装置 | |
| JP2010282447A (ja) | 仮想計算機システム、そのアクセス制御方法及び通信装置 | |
| WO2012125144A1 (en) | Systems and methods for sizing resources in a cloud-based environment | |
| US9935830B1 (en) | Cloud management system and method for disparate computing nodes in a cloud computing environment | |
| JP2016116184A (ja) | 網監視装置および仮想ネットワーク管理方法 | |
| US9774600B1 (en) | Methods, systems, and computer readable mediums for managing infrastructure elements in a network system | |
| JP4843499B2 (ja) | 制御プログラム、制御方法及び制御装置 | |
| JP5734421B2 (ja) | 管理情報生成方法、管理情報生成プログラムおよび管理情報生成装置 | |
| JP2013186793A (ja) | 情報処理装置、イメージファイル作成方法およびプログラム | |
| CN112714166B (zh) | 分布式存储系统的多集群管理方法及装置 | |
| JP5758519B2 (ja) | 計算機システム及びその管理方法 | |
| JP2015103827A (ja) | 管理装置、方法及びプログラム | |
| JP2014045437A (ja) | ネットワークトポロジ生成システム、方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141017 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150317 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150414 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5734421 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |