JP5736047B2 - 計算機システム、及び、その制御方法 - Google Patents
計算機システム、及び、その制御方法 Download PDFInfo
- Publication number
- JP5736047B2 JP5736047B2 JP2013521324A JP2013521324A JP5736047B2 JP 5736047 B2 JP5736047 B2 JP 5736047B2 JP 2013521324 A JP2013521324 A JP 2013521324A JP 2013521324 A JP2013521324 A JP 2013521324A JP 5736047 B2 JP5736047 B2 JP 5736047B2
- Authority
- JP
- Japan
- Prior art keywords
- resource
- group
- user
- storage system
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
UG2は、図16のリソースグループIDビットマップより、RSG1、RSG2、RSG3、RSG11、RSG12に対して操作権を有する。物理リソースであるRSG2(パリティグループを所有)がUG2に割り当てられていることから論理リソースである論理ボリューム(LDEV)の作成が可能であり、さらに、RSG1(ターゲットポートを所有)が割り当てられていることから、同じく論理リソースであるホストグループが ホストグループを作成することができる。ログインユーザがUG2に属する場合には、判定Dが肯定される。
例えば、複数のターゲットポートがあるにも関わらず、特定のポートばかりにホストグループが設定されると、当該ポートに負荷が集中し、他のポートとの負荷分散が達成されない。また、複数のパリティグループがあるにも拘わらず、特定のパリティグループにのみからLDEVが作成されていても同様である。判定Eはこのような偏りが無いことを確かめている。この判定には、SVP108が、共有メモリ102にある、ターゲットポートやパリティグループの稼働率等の性能情報を参照することが利用される。また、これらの性能情報は、ストレージ管理ソフトウェアのGUIでも確認できるため、GUIで適切なリソースを選択してもよい。この場合における判定はログインユーザである、UG2に属するユーザによって行われる。
ログインユーザが、物理リソースのグループであるRSG2(パリティグループを所有)から論理ボリュームを定義し、これを同じくRSG2に所属させることもできるが、論理リソースのみを扱うUG11やUG12はRSG2を割り当てられていないため、論理ボリュームを使用することができなくなる。従って、このような論理リソースの設定要求は、不可能である。
次の(1)又は(2)のいずれかの成立を判定する。(1)UG11とUG12が、それぞれ専有する論理リソースのRSGのみを持つ場合、それぞれのRSGにホストグループ、仮想ボリューム、プールボリュームが割当てられている。(2)UG11とUG12が、それぞれ専有する論理リソースのRSGと、互いに共用する、論理リソースのRSGとを有する場合、前者にはホストグループと、仮想ボリュームが割当てられ、後者にはプールボリュームが割当てられていること。(1)及び(2)によれば、UG11及びUG12に、ダイナミックプロビジョニングを可能にしつつ、セキュリティを確保させることができる。
(A)図24のリソースルグル―プを実現するためのポリシー
(1)物理リソース(パリティグループ):複数ユーザ(ユーザグループ)間で共有する。
(2)物理リソース(ポート):複数ユーザ間で共有する。
(3)論理リソース(ホストグループ):該当するユーザが専有する。
(4)論理リソース(LDEV)
仮想ボリューム:使用する。
:該当するユーザが専有する。
プールボリューム(プール):複数ユーザ間で共有する。
(1)物理リソース(パリティグループ):複数ユーザ(ユーザグループ)間で共有する。
(2)物理リソース(ポート):複数ユーザ間で共有する。
(3)論理リソース(ホストグループ):ユーザの専有。
(4)論理リソース(LDEV)
仮想ボリューム:使用する。
:ユーザの専有。
プールボリューム(プール):ユーザの専有。
12A,12B ホスト計算機
16 ストレージコントローラ
18 ストレージドライブ
20 外部管理端末
108 SVP
302 ホストグループ
304 仮想ボリューム
306 プール
307 プールボリューム
308 パリティグループ
Claims (8)
- ホスト計算機からのストレージデバイスに対するリードアクセス又はライトアクセスを制御するストレージシステムと、前記ストレージシステムの複数のリソースと前記ストレージシステムを共用する複数のユーザとを管理する管理装置と、を備え、
前記ストレージシステムは、
前記複数のリソースがグループ化されることによって定義される複数のリソースグループと、
当該複数のリソースグループの管理情報と、当該複数のリソースと前記複数のリソースグループとの対応情報と、を格納する記憶領域と、
前記複数のユーザがグループ化されることによって定義され、それぞれ前記複数のリソースグループの少なくとも一つに割り当てられる複数のユーザグループと、を備え、
前記管理装置は、前記複数のユーザの少なくとも一のユーザのログインに基づいて、当該ユーザが属する前記ユーザグループに付与された権限で許容される操作を、前記ストレージシステムに、前記ユーザグループに割り当てられた前記リソースグループに対して実行させる、計算機システムであって、
前記ストレージシステムが複数の仮想ストレージシステムに分割され、
当該複数の仮想ストレージシステムのそれぞれに前記複数のユーザが設定され、
前記複数の仮想ストレージシステムのそれぞれは、同一のリソースグループに論理リソースと物理リソースとが共存しないように、前記ストレージシステムから割当てられた論理リソースのみからなる第1のリソースグループと、物理リソースを有する第2のリソースグループと、に分割され、
前記第1のリソースグループの前記論理リソースは前記第2のリソースグループから取り出し物理リソースから設定され、
前記複数のユーザグループのうち、第1のユーザグループが前記第1のリソースグループに割当てられ、
第2のユーザグループが前記第1のリソースグループと前記第2のリソースグループに割当てられて、論理リソース及び物理リソースを複数のユーザグループ間で共有させる、計算機システム。 - 前記第1のリソースグループは前記論理リソースからなり、
前記第2のリソースグループは前記物理リソースからなり、
前記第1のユーザグループと前記第2のユーザグループには前記論理リソースを作成する権限が付与され、
前記第1のリソースグループへ追加される新たな論理リソースは、前記第2のリソースグループの前記物理リソースから設定される、請求項1記載の計算機システム。 - 前記複数の仮想ストレージシステムのそれぞれは、少なくとも、物理リソースからなるリソースグループを備え、当該物理リソースには、前記ホスト計算機に対するポート、前記ストレージデバイスのメモリリソースが含まれている、請求項1記載の計算機システム。
- 前記第1のリソースグループは、それぞれ前記論理リソースとして、
記憶容量が仮想化され、前記ホスト計算機からアクセスされる仮想ボリュームと、
前記仮想ボリュームの記憶領域を構成するプールと、
前記ストレージデバイスの記憶領域から前記プールに割当てられるプールボリュームと、
を有し、
前記第1のユーザグループは前記第2のリソースグループに割当てられていない、請求項1記載の計算機システム。 - 前記第1のリソースグループは、
請求項4記載の仮想ボリュームを有する第3のリソースグループと、
請求項4記載の前記プール及び前記プールボリュームを有する第4のリソースグループを有し、
前記第4のリソースグループは前記第1のユーザグループと第3のユーザグループとに割当てられている、請求項2記載の計算機システム。 - 前記複数のユーザグループの一つとして、前記ストレージシステムに管理権限を有する第1のユーザグループが存在し、
前記第1のユーザグループは、前記ストレージシステムのリソースグループを分割して、分割したそれぞれのリソースグループに前記仮想ストレージシステムを設定する権限と、当該仮想ストレージシステムのリソースグループをさらに複数のリソースグループに分割する権限とを有し、当該仮想ストレージシステムの当該複数のリソースグループに割り当てられている、請求項1記載の計算機システム。 - 前記複数の仮想ストレージシステムのそれぞれにおいて、前記リソースグループの全てが同一の前記ユーザグループに割当てられ、当該ユーザグループに前記全てのリソースグループに対する前記権限が設定されている、請求項1記載の計算機システム。
- ホスト計算機からのストレージデバイスに対するリードアクセス又はライトアクセスを制御するストレージシステムと、前記ストレージシステムの複数のリソースと前記ストレージシステムを共用する複数のユーザとを管理する管理装置と、を備え、
前記ストレージシステムが複数の仮想ストレージシステムに分割され、
当該複数の仮想ストレージシステムのそれぞれに前記複数のユーザが設定され、
前記複数の仮想ストレージシステムのそれぞれは、同一のリソースグループに論理リソースと物理リソースとが共存しないように、前記ストレージシステムから割当てられた論理リソースのみからなる第1のリソースグループと、物理リソースを有する第2のリソースグループと、に分割され、
前記第1のリソースグループの前記論理リソースは前記第2のリソースグループから取り出し物理リソースから設定され、
前記複数のユーザグループのうち、第1のユーザグループが前記第1のリソースグループに割当てられ、
第2のユーザグループが前記第1のリソースグループと前記第2のリソースグループに割当てられて、論理リソース及び物理リソースを複数のユーザグループ間で共有させる計算機システムの制御方法であって、
前記管理装置は、
前記複数のリソースをグループ化して複数のリソースグループを設定し、
当該複数のリソースグループの管理情報と、当該複数のリソースと前記複数のリソースグループとの対応情報と、を前記ストレージシステムに登録し、
前記ユーザに対するユーザグループを定義して、当該ユーザグループに権限を設定し、
前記ユーザグループに前記複数のリソースグループの中から少なくとも一つのリソースグループを割り当て、
前記管理装置にログインしたユーザは、当該ユーザが属するユーザグループの前記権限に許容された操作を前記ユーザグループに割当てられた前記リソースグループに対して実行する、計算機システムの制御方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2011/000701 WO2012107955A1 (en) | 2011-02-08 | 2011-02-08 | Data storage system and its control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014502380A JP2014502380A (ja) | 2014-01-30 |
JP5736047B2 true JP5736047B2 (ja) | 2015-06-17 |
Family
ID=46601472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013521324A Active JP5736047B2 (ja) | 2011-02-08 | 2011-02-08 | 計算機システム、及び、その制御方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9189635B2 (ja) |
EP (1) | EP2643789A1 (ja) |
JP (1) | JP5736047B2 (ja) |
CN (1) | CN103299312B (ja) |
WO (1) | WO2012107955A1 (ja) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014054070A1 (en) * | 2012-10-03 | 2014-04-10 | Hitachi, Ltd. | Management system for managing a physical storage system, method of determining a resource migration destination of a physical storage system, and storage medium |
US20150237400A1 (en) * | 2013-01-05 | 2015-08-20 | Benedict Ow | Secured file distribution system and method |
CN104956327B (zh) * | 2013-07-31 | 2018-07-03 | 株式会社日立制作所 | 计算机系统及计算机系统控制方法 |
US9231957B2 (en) * | 2013-10-17 | 2016-01-05 | Netapp, Inc. | Monitoring and controlling a storage environment and devices thereof |
CN103716412A (zh) * | 2014-01-03 | 2014-04-09 | 汉柏科技有限公司 | 云计算系统及其二次映射控制用户权限的方法和装置 |
US9471259B2 (en) * | 2014-01-28 | 2016-10-18 | Netapp, Inc. | Shared storage architecture |
US9672118B2 (en) | 2014-04-02 | 2017-06-06 | International Business Machines Corporation | Collision avoidance using dynamic target volume allocation |
US9817718B2 (en) * | 2014-04-02 | 2017-11-14 | International Business Machines Corporation | Efficient flashcopy backup and mount, clone, or restore collision avoidance using dynamic volume allocation from a shared resource pool |
US9817723B2 (en) | 2014-04-02 | 2017-11-14 | International Business Machines Corporation | Efficient FlashCopy backup and mount, clone, or restore collision avoidance using dynamic volume allocation with reuse |
US9600188B2 (en) | 2014-04-02 | 2017-03-21 | International Business Machines Corporation | Collision avoidance using dynamic target volume allocation from a shared resource pool |
US9710339B2 (en) | 2014-04-02 | 2017-07-18 | International Business Machines Corporation | Collision avoidance using dynamic volume allocation with reuse |
US9817719B2 (en) | 2014-04-02 | 2017-11-14 | International Business Machines Corporation | Efficient Flashcopy backup and mount, clone, or restore collision avoidance using dynamic volume allocation with reuse and from a shared resource pool |
CN105307130A (zh) * | 2014-06-30 | 2016-02-03 | 中兴通讯股份有限公司 | 一种资源分配方法及系统 |
CN105763356A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种资源虚拟化处理的方法、装置及控制器 |
CN106209744B (zh) | 2015-05-07 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 用户登录会话管控方法、装置及服务器 |
CN105072183B (zh) * | 2015-08-10 | 2019-06-21 | 浪潮(北京)电子信息产业有限公司 | 云os软件仓库的管理方法和管理装置 |
US9881140B2 (en) | 2015-11-04 | 2018-01-30 | Screening Room Media, Inc. | Presenting sonic signals to prevent digital content misuse |
JP6780437B2 (ja) * | 2016-10-18 | 2020-11-04 | ブラザー工業株式会社 | 画像処理装置、処理方法およびプログラム |
WO2018160689A1 (en) | 2017-03-01 | 2018-09-07 | Carrier Corporation | Spatio-temporal topology learning for detection of suspicious access behavior |
US11373472B2 (en) | 2017-03-01 | 2022-06-28 | Carrier Corporation | Compact encoding of static permissions for real-time access control |
WO2018160560A1 (en) | 2017-03-01 | 2018-09-07 | Carrier Corporation | Access control request manager based on learning profile-based access pathways |
US10452819B2 (en) | 2017-03-20 | 2019-10-22 | Screening Room Media, Inc. | Digital credential system |
JP2021157562A (ja) * | 2020-03-27 | 2021-10-07 | 日鉄ソリューションズ株式会社 | 情報処理装置、情報処理方法、及びプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US20040213258A1 (en) * | 2003-04-25 | 2004-10-28 | Sundaresan Ramamoorthy | Implementing information technology management policies |
JP4437650B2 (ja) * | 2003-08-25 | 2010-03-24 | 株式会社日立製作所 | ストレージシステム |
JP4878433B2 (ja) * | 2004-05-11 | 2012-02-15 | 株式会社日立製作所 | 記憶装置構成管理システムおよび構成管理方法 |
US7346685B2 (en) * | 2004-08-12 | 2008-03-18 | Hitachi, Ltd. | Method and apparatus for limiting management operation of a storage network element |
JP4563794B2 (ja) | 2004-12-28 | 2010-10-13 | 株式会社日立製作所 | ストレージシステム及びストレージ管理方法 |
JP5031195B2 (ja) * | 2005-03-17 | 2012-09-19 | 株式会社日立製作所 | ストレージ管理ソフトウェア及びグルーピング方法 |
JP4786248B2 (ja) * | 2005-08-09 | 2011-10-05 | 株式会社日立製作所 | ストレージシステムの構成管理装置及び構成管理方法 |
CN101034990B (zh) * | 2007-02-14 | 2010-06-23 | 华为技术有限公司 | 权限管理方法及装置 |
CN101414253B (zh) * | 2007-10-17 | 2011-11-23 | 华为技术有限公司 | 一种权限管理方法及系统 |
JP4900847B2 (ja) * | 2008-08-19 | 2012-03-21 | 有限会社アール・シー・エス | コンテンツデータ管理装置及びそのプログラム |
CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
-
2011
- 2011-02-08 CN CN201180063871.2A patent/CN103299312B/zh active Active
- 2011-02-08 US US13/061,647 patent/US9189635B2/en active Active
- 2011-02-08 EP EP11707926.9A patent/EP2643789A1/en not_active Withdrawn
- 2011-02-08 JP JP2013521324A patent/JP5736047B2/ja active Active
- 2011-02-08 WO PCT/JP2011/000701 patent/WO2012107955A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US9189635B2 (en) | 2015-11-17 |
EP2643789A1 (en) | 2013-10-02 |
CN103299312B (zh) | 2016-03-16 |
JP2014502380A (ja) | 2014-01-30 |
WO2012107955A1 (en) | 2012-08-16 |
US20120203978A1 (en) | 2012-08-09 |
CN103299312A (zh) | 2013-09-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5736047B2 (ja) | 計算機システム、及び、その制御方法 | |
US8543701B2 (en) | Computer system and its control method | |
JP4437650B2 (ja) | ストレージシステム | |
JP4720303B2 (ja) | ストレージシステムを含む計算機システムの構成管理方法 | |
US7743190B2 (en) | Access right managing method for accessing multiple programs | |
JP5199000B2 (ja) | ファイルサーバリソース分割方法、システム、装置及びプログラム | |
US8051262B2 (en) | Storage system storing golden image of a server or a physical/virtual machine execution environment | |
US7197609B2 (en) | Method and apparatus for multistage volume locking | |
US20110078334A1 (en) | Methods and apparatus for managing virtual ports and logical units on storage systems | |
US7865688B2 (en) | Method and system for controlling information of logical division in a storage controller | |
JP2003316618A (ja) | コンピュータシステム | |
EP2107450A1 (en) | Storage system | |
JP2002222061A (ja) | 記憶領域を設定する方法、記憶装置およびプログラム記憶媒体 | |
US9092158B2 (en) | Computer system and its management method | |
JP2006048313A (ja) | 複数の管理者から管理されるストレージシステムの管理方法 | |
US9535629B1 (en) | Storage provisioning in a data storage environment | |
JP4863905B2 (ja) | ストレージ利用排他方式 | |
JP2004151798A (ja) | 記憶装置の管理用計算機、およびプログラム | |
US9047122B2 (en) | Integrating server and storage via integrated tenant in vertically integrated computer system | |
JP2016506547A (ja) | ストレージシステム及びストレージシステムの制御方法 | |
US11704426B1 (en) | Information processing system and information processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140528 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140708 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140905 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150324 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150417 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5736047 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |