JP5894963B2 - Analysis server and analysis method - Google Patents
Analysis server and analysis method Download PDFInfo
- Publication number
- JP5894963B2 JP5894963B2 JP2013095226A JP2013095226A JP5894963B2 JP 5894963 B2 JP5894963 B2 JP 5894963B2 JP 2013095226 A JP2013095226 A JP 2013095226A JP 2013095226 A JP2013095226 A JP 2013095226A JP 5894963 B2 JP5894963 B2 JP 5894963B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- communication
- record information
- analysis
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、データセンタ上に構築するテナントの情報通信システムのネットワークの状態を分析するための計算機および分析方法に関する。 The present invention relates to a computer and an analysis method for analyzing a network state of a tenant information communication system constructed on a data center.
近年、サーバ、ネットワーク、ストレージ等の各種機器を設置し、運用することに特化した施設であるデータセンタが普及しつつある。データセンタでは、様々な仮想化技術を用いて、物理的な機器の計算機リソースを論理的に分割し、データセンタを利用する顧客の情報通信システムであるテナントシステムに分割した計算機リソースを割り当てている。サーバの仮想化技術は、物理的なサーバを複数の仮想マシンに分割する技術を含む。ネットワークでは、物理的なネットワークインタフェースを複数の仮想的なLANに分割するVLAN(Virtual Local Area Network)や、サブインタフェースのような仮想インタフェース技術を含む。 In recent years, data centers, which are facilities specialized in installing and operating various devices such as servers, networks, and storages, are becoming widespread. In data centers, computer resources of physical devices are logically divided using various virtualization technologies, and the divided computer resources are allocated to tenant systems that are information communication systems for customers using the data center. . Server virtualization technology includes technology that divides a physical server into a plurality of virtual machines. The network includes a virtual interface technology such as a virtual local area network (VLAN) that divides a physical network interface into a plurality of virtual LANs and a sub-interface.
データセンタには、1つ以上のテナントシステムが構築されている。あるテナントに障害が発生した場合、その障害がネットワークに起因する障害なのか、テナントシステムを構成する仮想マシン等、ネットワーク以外に起因する障害なのかを特定するために、特定のテナントシステムに関連するネットワークの状態を迅速に分析する必要がある。 One or more tenant systems are constructed in the data center. When a failure occurs in a tenant, it is related to a specific tenant system in order to identify whether the failure is caused by a network or a failure caused by something other than the network, such as a virtual machine that constitutes the tenant system. There is a need to quickly analyze the state of the network.
テナントシステムに関連するネットワークの状態は、テナントシステムに関連して生じる通信パケットを、パケットキャプチャ装置などで記録し、記録したキャプチャログを比較することで分析することができる。しかしながら、大規模なデータセンタでは、設置するネットワーク機器の数が多く、ネットワーク機器を経由する通信パケットの量も非常に多い。 The state of the network related to the tenant system can be analyzed by recording a communication packet generated in connection with the tenant system with a packet capture device or the like and comparing the recorded capture logs. However, in a large-scale data center, the number of network devices to be installed is large, and the amount of communication packets passing through the network devices is very large.
また、特定のテナントシステムだけを分析する場合、分析対象となるテナントシステムの通信パケットは、データセンタ内の一部の機器だけを経由する。このため、すべてのネットワーク機器でキャプチャして分析する方法では、テナントシステムの通信パケットが含まれないキャプチャログを多く分析することになり、分析のための計算時間が長くなる。そこで、特定のテナントシステムのネットワーク状態を迅速に分析するために、キャプチャするネットワーク機器のインタフェース及びキャプチャログの量を削減することが必要である。また、どこで収集したログを最初に分析するか、キャプチャしたログの分析の順番を決定することも、データ量が多いログから迅速に必要な分析結果を得るためには重要である。 Further, when analyzing only a specific tenant system, the communication packet of the tenant system to be analyzed passes only through some devices in the data center. For this reason, in the method of capturing and analyzing with all network devices, many capture logs that do not include communication packets of the tenant system are analyzed, and the calculation time for analysis becomes long. Therefore, in order to quickly analyze the network state of a specific tenant system, it is necessary to reduce the amount of interface and capture log of the network device to be captured. It is also important to quickly obtain necessary analysis results from logs with a large amount of data, where the collected logs are analyzed first and the order of analysis of the captured logs is determined.
データセンタ内に構築されたテナントシステムの数が少ない場合には、テナントシステムの通信パケットが経由するネットワーク機器を管理者が予測し、キャプチャするインタフェースを削減することが可能である。また、どのキャプチャしたデータを最初に分析するかを決定することも容易である。しかし、テナントシステムの構成が複雑な場合には、管理者が手作業で通信パケットが経由するネットワーク機器を予測し、キャプチャしたパケットを迅速に分析できる順番を決定することは難しい。また、イーサネット(登録商標)ファブリックやマルチシャーシのリンクアグリゲーションを利用した構成では、同一コストで通信可能な通信経路が1つ以上存在する場合がある。このような場合、ネットワーク機器に実装されたフロー割り当てアルゴリズムに基づいて、どの通信経路を利用するかを通信フロー毎に選択するため、管理者が手作業で通信パケットが経由するネットワーク機器やインタフェースを予測することは非常に難しい。 When the number of tenant systems built in the data center is small, it is possible for the administrator to predict the network devices through which the communication packets of the tenant system pass, and to reduce the number of interfaces to be captured. It is also easy to determine which captured data is analyzed first. However, when the configuration of the tenant system is complicated, it is difficult for the administrator to manually predict the network device through which the communication packet passes and determine the order in which the captured packet can be analyzed quickly. In a configuration using Ethernet (registered trademark) fabric or multi-chassis link aggregation, there may be one or more communication paths that can communicate at the same cost. In such a case, the administrator selects the network device or interface through which the communication packet passes manually to select which communication route to use for each communication flow based on the flow allocation algorithm implemented in the network device. It is very difficult to predict.
本技術分野の背景技術として、特許文献1が知られている。この公報には、パケットのキャプチャに必要なキャプチャ装置の台数を低減するために、経路制御装置から中継装置に対して、キャプチャ対象とするプロトコルの経路を、キャプチャ装置向け、またはキャプチャ装置に隣接する中継装置に変更することが記載されている(例えば、段落0021)。
また、特許文献2には、複数のファイヤウォールのログを収集し、複数のファイヤウォールのトラフィックログを比較することで、通信パケットのキャプチャログを利用せずに、通信経路を分析することが記載されている(例えば、段落0078)。
上記特許文記載1の技術では、対象とするプロトコルをキャプチャするために、キャプチャ装置向けに通信パケットの経路を変更する。このため、キャプチャ時の通信経路と、実運用時の通信経路が異なり、実運用時の通信経路を利用した際のネットワークの状態を分析することはできない。
In the technique described in
上記特許文記載2に記載の技術では、ファイヤウォールのトラフィックログを比較するため、トラフィックログに記録された通信パケットが、テナントシステムを構成する仮想マシンに到達したか否かを分析することはできない。また、トラフィックログに記載された通信フローを逐次追跡するため、大規模なネットワークでは最終的な経路を分析するためには、大量にトラフィックログを比較する必要がある。さらに、データセンタでは、顧客の拠点に配置したシステムと、データセンタに配置したシステムを専用線やVPN(Virtual Private Network)を用いて接続する場合は、ファイヤウォールを使用しない構成でテナントシステムを構築することも可能である。ファイヤウォールを使用しない構成では、上記特許文献2に記載の技術を利用して通信経路のネットワーク状態を分析することはできない。
In the technology described in
本発明の課題は、実運用時にテナントシステムの通信パケットが経由するネットワークの状態を分析する際、分析に要する時間を削減することである。 An object of the present invention is to reduce the time required for analysis when analyzing a network state through which a communication packet of a tenant system passes during actual operation.
本発明は、サーバとネットワーク機器とを含む情報処理システム上に構築された1つ以上のテナントのネットワークの状態を分析する分析サーバであって、前記分析サーバは、前記テナントの前記情報処理システムのネットワークを構成するノードの構成情報と、前記構成情報に基づいて、前記ネットワークのノードのうち通信記録情報を収集するノードを選択する設定処理部と、前記選択されたノードに前記通信記録情報を収集させる収集処理部と、前記収集された前記通信記録情報を取得して、前記ネットワークの状態を分析する分析処理部と、を備え、前記分析処理部は、前記ネットワークにおいて分析対象レイヤの端点となるノード間で通信パケットの通信経路を計算するサービス経路計算処理部と、前記分析対象レイヤの第1の端点となる第1のノードの通信記録情報と、第2の端点となる第2のノードの通信記録情報とを比較し、前記第1のノードの通信パケットが、前記第2のノードに到達したことを判定する到達判定処理部と、前記第2のノードに未到達の通信パケットを廃棄したノードを特定する特定処理部と、を備える。 The present invention is an analysis server that analyzes a network state of one or more tenants constructed on an information processing system including a server and a network device, and the analysis server includes the information processing system of the tenant. Configuration information of nodes constituting the network, a setting processing unit that selects a node that collects communication record information among the nodes of the network based on the configuration information, and the communication record information is collected in the selected node And an analysis processing unit that acquires the collected communication record information and analyzes the state of the network, and the analysis processing unit is an end point of an analysis target layer in the network A service route calculation processing unit for calculating a communication route of communication packets between nodes, and a first end of the analysis target layer The communication record information of the first node to be compared with the communication record information of the second node to be the second endpoint, and the communication packet of the first node has reached the second node And a determination processing unit that specifies a node that has discarded a communication packet that has not reached the second node.
本発明により、データセンタ内に構築した特定のテナントシステムで発生する通信パケットが経由するネットワークの状態を分析する際に、分析に要する時間を削減することが可能となる。 According to the present invention, it is possible to reduce the time required for analysis when analyzing the state of a network through which a communication packet generated in a specific tenant system constructed in a data center passes.
以下、本発明の一実施形態を添付図面に基づいて説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.
本実施例では、テナントの構成情報、ネットワークの状態を分析するレイヤの情報、およびトラフィックログを用いて、通信パケットをキャプチャするインタフェースを削減する。また、テナントの構成情報からサービスの端点となるノードを特定し、サービスの端点となるノード間のネットワーク状態から分析することで、分析に要する時間を削減する例を説明する。なお、レイヤは、OSI(Open Systems Interconnection)参照モデルの第1層から第7層に対応する例を示す。 In this embodiment, the interface for capturing communication packets is reduced by using the configuration information of the tenant, the information of the layer that analyzes the state of the network, and the traffic log. In addition, an example will be described in which a node serving as an end point of a service is identified from tenant configuration information and analysis is performed based on a network state between nodes serving as service end points, thereby reducing the time required for the analysis. In addition, a layer shows the example corresponding to the 1st layer to the 7th layer of OSI (Open Systems Interconnection) reference model.
図1は、本実施例1の計算機システムの一例を示すブロック図である。 FIG. 1 is a block diagram illustrating an example of a computer system according to the first embodiment.
データセンタ100は、1つ以上のネットワーク機器およびサーバから構成される。ネットワーク機器には、スイッチ(SW)7a〜7h、ファイヤウォール(FW)9a、ロードバランサ(LB)10aが含まれる。サーバ8a〜8fは、仮想基盤を用いることにより、仮想マシン(VM:Virtual Machine)に、分割したサーバリソースを割り当てる。サーバ8a〜8fは、スイッチ7a〜7hのいずれかを介して、他のサーバおよびファイヤウォール9a、ロードバランサ10aと接続する。なお、図示の例では、ひとつのラックに1以上のサーバと、1以上のスイッチが格納される。例えば、スイッチ7fを収容したラックには、サーバ8aとサーバ8bが収容され、サーバ8a、8bがスイッチ7fに接続されている。
The
分析サーバ1は、テナントシステムに関連するネットワークの状態を分析するための計算機である。キャプチャ装置4は、テナントシステムに関連する通信パケットをキャプチャするための装置である。分析サーバ1と、キャプチャ装置2は、データセンタ内のスイッチ7aを介して他のネットワーク機器およびサーバ8a〜8eと接続する。また、キャプチャ装置2は、テナントシステムに関連する通信パケットをキャプチャするために、他のスイッチ(7b〜7h)と直接接続されていてもよい。
The
図2は、サーバ8aの一例を示すブロック図である。サーバ8b〜8fは、サーバ8aと同様の構成である。サーバ8aは、ハードウェアとして、CPU(Central Processing Unit)802、メモリ803、インタフェース804を備え、それぞれはバス(またはインターコネクト)で接続される。
FIG. 2 is a block diagram illustrating an example of the
メモリ803は、CPU802によって実行される処理である仮想基盤805や仮想マシンのOS等を格納する。仮想基盤805は、CPU802等のサーバリソースを論理的に分割して、仮想マシン(VM)に割り当てるための処理である。仮想基盤805としては例えば、ハイパーバイザやVMM(Virtual Machine Monitor)などの仮想化部で構成することができる。
The memory 803 stores a
仮想基盤805は、仮想スイッチ806と、1つ以上の仮想マシン(11、12)と、キャプチャ機能810を提供する。仮想マシン11は、仮想NIC113、OS(Operation System)112、サービス111を備える。
The
仮想NIC113は、仮想マシン11が、他の機器と通信するための通信パケットを送受信するための仮想的なインタフェースである。仮想NICの数は、仮想基盤805によって、適宜増減可能であり、1つ以上の仮想NIC113を備えてもよい。
The
サービス111は、仮想マシン11にインストールされたプログラムであり、OS112上で実行される。管理者は、管理する仮想マシン11に任意のプログラムをインストールすることで仮想マシン11にサービスを追加することができる。例えば、ファイヤウォール機能を提供するサービス111がインストールされている仮想マシン11は、ファイヤウォール(FW)として機能する。WEBサーバとして機能するサービス121がインストールされている仮想マシンは12、WEBサーバとして機能する。1つの仮想マシンに複数のサービスをインストールしてもよい。
The
仮想スイッチ806は、1つ以上のポート807、808、809を備える。各ポートには、仮想マシンの仮想NIC113、123、またはインタフェース804が論理的に接続される。仮想スイッチ806は、インタフェース804が受信した通信パケットを適切な仮想NICに転送したり、仮想NIC113、123が送信した通信パケットを適切な仮想NICやインタフェース804に転送する。図2の例では、仮想NIC113はポート807、仮想NIC123はポート808、インタフェース804はポート809に接続されている。通信パケットは、ネットワークを介して通信する装置間でやりとりするデータの最小単位である。通信パケットの最も代表的な例は、イーサネット(登録商標)フレームである。キャプチャ810は、仮想スイッチ806が送受信する通信パケットをすべてキャプチャするための機能である。
The
サーバ8aで行われる処理としては、仮想基盤が仮想マシン11、12へ仮想NICを割り当てる処理と、仮想NICと論理的に接続された仮想スイッチ806が、インタフェース804または仮想マシン11、12同士で通信パケットを転送する処理と、キャプチャ810が仮想スイッチ806で転送される通信パケットを記録する処理と、を含む。
As processing performed by the
図3Aは、スイッチ7aの構成の一例を示すブロック図である。スイッチ7b〜7hは、スイッチ7aと同様の構成であるので重複する説明は。スイッチ7aは、ハードウェアとしてCPU71と、メモリ72と、複数のインタフェース73を備え、それぞれはバス等で接続される。メモリ72は、各処理が参照するテーブルであるルーティングテーブル721と、CPU71によって実行される処理であるフロー割当処理722と、転送処理723とを備える。
FIG. 3A is a block diagram illustrating an example of the configuration of the
ルーティングテーブル721は、スイッチ7aに入力された通信パケットの宛先アドレスをもとに、スイッチ7aから出力するインタフェース73を決定するためのテーブルである。スイッチ7aが、IP(Internet Protocol)ルーティングを行う場合は、レイヤ3のルーティングテーブルを備える。スイッチ7aが、イーサネット(登録商標)ファブリックまたはマルチシャーシのリンクアグリゲーションに対応したスイッチである場合は、レイヤ2のルーティングテーブルを備える。スイッチ7aは複数のレイヤのルーティングテーブルを備えていてもよい。
The routing table 721 is a table for determining the
フロー割当処理722は、通信フローとルーティングテーブルのエントリとを割り当てるための処理である。イーサネット(登録商標)ファブリックや、マルチシャーシのリンクアグリゲーションのように、宛先に対して、同一コストの通信経路が1つ以上存在する場合は、通信フロー毎にどの通信経路に割り当てるかを決定する。 The flow allocation process 722 is a process for allocating communication flows and routing table entries. When one or more communication paths with the same cost exist for the destination as in the Ethernet (registered trademark) fabric or multi-chassis link aggregation, the communication path to be assigned is determined for each communication flow.
転送処理723は、インタフェース73から入力された通信パケットの宛先アドレスと、ルーティングテーブル721を参照し、出力するインタフェースを決定する。スイッチ7aがレイヤ3のスイッチ7aとして機能する場合はレイヤ3のルーティングテーブルを参照する。レイヤ2のスイッチ7aとして機能する場合は、レイヤ2のルーティングテーブルを参照する。なお、フロー割当処理722および、転送処理723は、ハードウェアとして実装していてもよい。
The
スイッチ7aで行われる処理としては、スイッチ7aが通信パケットを受け付ける処理と、通信パケットの宛先情報からルーティングテーブル721を参照して出力するインタフェース73を決定する処理と、当該通信パケットを転送する処理と、含む。スイッチ7aは、宛先に対して、同一コスト(ホップ数)の通信経路が1つ以上存在する場合には、フロー割当処理722によって通信フロー毎にどの通信経路に割り当てるかを決定する処理と、出力するインタフェース73を決定する処理と、当該通信パケットを転送する処理と、を含む。
The processing performed by the
図3Bは、ファイヤウォール9aの構成の一例を示すブロック図である。ファイヤウォール9aは、ハードウェアとしてCPU91と、メモリ92と、1つ以上のインタフェース93を備え、それぞれはバス等で接続される。メモリ92は、各処理が参照するテーブルであるルーティングテーブル921と、ポリシーテーブル922と、CPU71によって実行される処理である転送処理923と、アドレス変換処理924と、アクセス制御処理925と、ログ記憶処理926とを備える。
FIG. 3B is a block diagram showing an example of the configuration of the
ルーティングテーブル921は、ファイヤウォール9aに入力された通信パケットに含まれる宛先IPアドレスを基に、ファイヤウォール9aから出力するインタフェース93を決定するためのテーブルである。ファイヤウォール9aが、IPルーティングを行う場合は、レイヤ3のルーティングテーブルを備える。ポリシーテーブル922は、ファイヤウォールとして機能するためのルールを記述したテーブルである。特定の通信フローに対して、ファイヤウォール9aで通過させたり、拒否したり、アドレス変換する等のアクションを記述する。アドレス変換には、VIP(Virtual IP)やMIP(Mapped IP)等のIPヘッダの宛先アドレス、送信元アドレス、TCPまたはUDPヘッダの宛先ポート番号、送信元ポート番号を変換する処理がすべてが含まれる。
The routing table 921 is a table for determining the
転送処理923は、インタフェース93から入力された通信パケットの宛先アドレスと、ルーティングテーブル921を参照し、出力するインタフェース93を決定する。
The
アドレス変換処理924は、ポリシーテーブル922の記述に従い、ファイヤウォール9aで受信した通信パケットに含まれるIPヘッダおよびTCPヘッダの変換を行う。
The
アクセス制御処理925は、ポリシーテーブル922の記述に従い、ファイヤウォール9aで受信した通信パケットを廃棄したり、通過させる。
The
ログ記録処理926は、通信フローに対してファイヤウォール9aが行う処理を記録する。通信フローに対する記録は、通信パケット毎ではなく、TCPのセッション毎等、1つ以上の通信パケットをまとめた処理が記録される。なお、ファイヤウォール9aで実行する各種処理(923〜926)は、ハードウェアとして実装していてもよい。
The
ファイヤウォール9aの処理としては、ファイヤウォール9aに入力された通信パケットについてポリシーテーブル922を参照し、当該通信パケットに対する操作(通過、拒否、アドレス変換)を決定する処理と、通信パケットの宛先IPアドレスに基づいて、ルーティングテーブル921を参照して出力するインタフェース93を決定する処理と、当該通信パケットの通信フローを記録する処理と、を含む。
As processing of the
図4は、分析サーバ1の構成の一例を示すブロック図である。分析サーバ1は、CPU401、メモリ402を備える計算機を用いて実現することができる。メモリ402には、OSや分析プログラム等の様々なプログラムを格納する。また、各プログラムは、必要なときに通信インタフェース403やメディアインタフェース404を経由して上記計算機が利用可能な媒体を介し、他の装置から上記記憶装置に導入されてもよい。媒体とは、たとえば、通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)、またはメディアインタフェース404に着脱可能な外部記憶媒体406を指す。なお、分析サーバ1は、入出力装置405を介して管理サーバを操作するコンソール407に接続してもよい。
FIG. 4 is a block diagram illustrating an example of the configuration of the
キャプチャ装置2の構成は、分析サーバと同様の装置構成であり、メモリ上に格納されたプログラムがそれぞれ異なる。すなわち、メモリ上にキャプチャプログラムが格納され、CPUによって実行されている点が分析サーバ1と異なる。
The configuration of the
図5は、分析サーバが実行する処理及び使用するデータの一例を示すブロック図である。分析サーバ1は、ソフトウェアの構成要素として、指示受付処理501、設定処理510、収集処理520、分析処理530を備える。これらのソフトウェアは、指示受付処理部(501)と、設定処理部(510)と、収集処理部(520)と、分析処理部(530)として機能する。
FIG. 5 is a block diagram illustrating an example of processing executed by the analysis server and data used. The
指示受付処理501は、管理者が指示した収集開始、分析開始等の指示を受け付ける。受け付けた指示に応じて、設定処理510、収集処理520、分析処理530を呼び出す。収集開始は、特定のテナントに関連するネットワークの状態を分析するためのログまたは通信パケット等の通信記録情報の収集を開始するための指示である。分析開始は、特定のテナントのログの収集を終了し、収集したログまたは通信パケット等の通信記録情報から分析を開始するための指示である。
The
設定処理510は、構成要素として、収集機器選択処理511、キャプチャ設定処理512、トラフィックログ収集設定処理513を備える。
The
収集機器選択処理511は、テナント構成DB540を参照し、テナントシステムの通信パケットが経由するネットワーク機器、サーバを特定し、通信パケットをキャプチャする機器と、ログとしてトラフィックログを収集する機器を決定する。
The collection
キャプチャ設定処理512は、収集機器選択処理511の決定に従い、ネットワーク機器またはサーバに対して、通信パケットのパケットキャプチャの設定を行う。トラフィックログ収集設定処理513は、収集機器選択処理511の決定に従い、ネットワーク機器、サーバ、キャプチャ装置に対して、トラフィックログ収集のための設定を行う。
The
収集処理520は、構成要素として、トラフィックログ収集処理521、パケット収集処理522を備える。トラフィックログ収集処理521は、ネットワーク機器からトラフィックログを収集する。パケット収集処理522は、キャプチャ装置またはサーバから、キャプチャした通信パケットのファイルを収集し、パケット蓄積DB550に保存する。
The
分析処理530は、構成要素として、テナントパケット抽出処理531、到達判定処理532、廃棄ノート特定処理533を備える。テナントパケット抽出処理531は、パケット蓄積DB550に蓄積した通信パケットのうち、テナントの通信パケットを含む可能性のある通信パケットのファイルから、テナントの通信パケットを抽出する。
The
到達判定処理532は、抽出したテナントの通信パケットを比較し、サービスの最終的な宛先となるノードに通信パケットが到達したか否かを判定する。到達判定処理532で判定した結果を、分析結果DB570に記録する。廃棄ノード特定処理533は、最終的な宛先となるノードに到達したなった通信パケットがどこのノードで廃棄されたかを特定し、分析結果DB570に記録する。
The
ここで、分析サーバ1では設定処理510、収集処理520、分析処理530などの各機能部はプログラムとしてメモリ402にロードされる。CPU401は、各機能部のプログラムに従って処理することによって、所定の機能部を実現する。例えば、CPU401は、分析プログラムに従って処理することで分析処理部として機能する。他のプログラムについても同様である。さらに、CPU401は、各プログラムが実行する複数の処理のそれぞれを実現する機能部となる。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
Here, in the
分析部の各機能を実現するプログラム、テーブル等の情報は、外部記憶媒体406や不揮発性半導体メモリ、ハードディスクドライブ、SSD(Solid State Drive)等の記憶デバイス、または、ICカード、SDカード、DVD等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。
Information such as programs and tables for realizing each function of the analysis unit is stored in an
図6A、図6B、図6Cおよび図7A、図7B、図7C、図7Dにテナント構成DB540の構成例を示す。テナント構成DB540は、テナントシステムの構成情報を管理するためのデータベースである。
FIG. 6A, FIG. 6B, FIG. 6C and FIG. 7A, FIG. 7B, FIG. 7C, and FIG. 7D show configuration examples of the
テナント構成DB540は、テナント識別子541、ノード管理テーブル542、インタフェース管理テーブル543、仮想ノード管理テーブル544、アドレス変換テーブル545、ポリシー管理テーブル546、ログ種別管理テーブル547、分析レイヤ管理テーブル548を含む。各テーブルをテナント識別子541ごとに管理する。
The
テナント識別子541は、データセンタ内でテナントシステムを一意に識別するための識別子である。
The
図6Aは、テナント構成DB540を構成するノード管理テーブル542の一例を示す図である。
FIG. 6A is a diagram illustrating an example of the node management table 542 configuring the
ノード管理テーブル542は、テナントシステムを構成するノードを管理するためのテーブルである。ノード管理テーブルは、構成要素として、ノード識別子5421、ノード種別5422、サービス5423、通信種別5424、インタフェース識別子5425を含む。
The node management table 542 is a table for managing the nodes constituting the tenant system. The node management table includes a
ノード識別子5421は、データセンタ内でノードを一意に識別するための識別子である。ノード識別子は、スイッチ7、ファイヤウォール9、サーバ8のような物理的なノードだけでなく、仮想マシン(VM)11〜13や仮想スイッチ806のような仮想的(または論理的)なノードにも識別子を付与する。ノード種別5422は、ノード識別子で識別されるノードの種類を示す。
The
ノード種別5422には、クライアント、ファイヤウォール(FW)、仮想マシン(VM)、スイッチ(SW)等が含まれる。
The
サービス5423は、各ノードが提供するサービスの種類が格納される。サービス5423には、クライアント、ファイヤウォール(FW)、ウェブサービス(WEB)、アプリケーション(AP)、スイッチ(SW)等が含まれる。
The
通信種別5424は、ノード識別子で識別されるノードが行う通信の種類を示す。通信種別5424には、“終端”と“転送”がある。“終端”は、ノードに含まれるインタフェースのIPアドレスを用いて、通信パケットを送受信することを示す。“転送”は、ノードに含まれるインタフェースのIPアドレスを用いた通信パケットの送受信は行わず、転送処理だけを行うことを示す。
The
インタフェース識別子5425は、ノード識別子で識別されるノードが備えるインタフェースの識別子である。インタフェースには、スイッチ7に含まれるインタフェース73等物理的なインタフェースの他、仮想マシンにおける仮想NIC113、123、仮想スイッチ806におけるポートのように、仮想的なインタフェースも含まれる。インタフェース識別子5425は、データセンタ内でインタフェースを一意に識別できる識別子である。なお、インタフェース識別子5425は、ノード内で一意に識別できる識別子としてもよい。ノード内で一意に識別できる識別子とする場合は、ノード識別子とインタフェース識別子を用いて、データセンタ内でインタフェースを一意に識別する。
The
図6Aに示すノード管理テーブル542において、ノード識別子N1で識別されるノードは、ノードの種別5422はクライアントであり、インタフェース識別子5425=I0で示されるインタフェースを備えていることを示す。
In the node management table 542 shown in FIG. 6A, the node identified by the node identifier N1 indicates that the
ノード識別子5421=N3で識別されるノードは、ノードの種別5422は仮想マシン(VM)であり、インタフェース識別子I3、I4で示されるインタフェースを備えていることを示す。
The node identified by the
図6Bは、テナント構成DB540を構成するインタフェース管理テーブル543の一例を示す図である。
FIG. 6B is a diagram illustrating an example of the interface management table 543 configuring the
インタフェース管理テーブル543は、テナントシステムを構成するノードが備えるインタフェースを管理するためのテーブルである。インタフェース管理テーブル543は、構成要素としてインタフェース識別子5431、VLAN5432、MAC(Media Access Control)5433、IP5434、ノード識別子5435、隣接インタフェース5436を含む。
The interface management table 543 is a table for managing interfaces provided in nodes constituting the tenant system. The interface management table 543 includes an
インタフェース識別子5431は、データセンタ内でインタフェースを一意に識別するための識別子である。VLAN5432は、インタフェース識別子5431で示されるインタフェースがVLANに属する場合は、VLAN番号を登録する。VLANに属さない場合は、登録しなくてよい。
The
MAC5433は、インタフェース識別子で示されるインタフェースに付与されているMACアドレスを示す。IP5434は、インタフェース識別子5431で示されるインタフェースに付与されているIPアドレスを示す。隣接インタフェース5436は、インタフェース識別子5431で示されるインタフェースが接続するインタフェースの識別子を示す。なお、ノード識別子5435は、ノード管理テーブル542のノード識別子5421に対応する識別子が格納される。
The
図6Cは、テナント構成DB540を構成する仮想ノード管理テーブル544の一例を示す図である。
FIG. 6C is a diagram illustrating an example of the virtual node management table 544 that configures the
仮想ノード管理テーブル544は、仮想ノードのノード識別子5441と、仮想ノードが配置されている物理ノードのノード識別子5442との対応関係を示す。図6Cに示した仮想ノード管理テーブル544では、ノード識別子N3、N4で示される仮想ノードが、N11で示される物理ノードに配置されていることを示す。
The virtual node management table 544 shows a correspondence relationship between the
図7Aは、テナント構成DB540を構成するアドレス変換テーブル545の一例を示す図である。
FIG. 7A is a diagram illustrating an example of the address conversion table 545 that configures the
アドレス変換テーブル545は、テナントシステムを構成するノードのいずれかで、変換するアドレスを管理するためのテーブルである。アドレス変換テーブル545は、構成要素として、変換前の送信元IPアドレスとポート番号5451、変換前の宛先アドレスIPアドレスとポート番号5452、変換後の送信元IPアドレスとポート番号5453、変換後の宛先IPアドレスとポート番号5454と、ノード識別子5455を含む。
The address conversion table 545 is a table for managing an address to be converted in any of the nodes constituting the tenant system. The address conversion table 545 includes, as components, a source IP address and
ノード識別子5455は、アドレス変換を行うノードの識別子である。変換前の送信元IPアドレス:ポート番号5451および、宛先IPアドレス:ポート番号5452に該当する通信パケットは、ノード識別子5455で示されるノードで、変換後の送信元IPアドレス:ポート番号5453および、宛先IPアドレス:ポート番号5454で示されるアドレスおよびポートに変換することを示す。図中“Any”はすべてのIPアドレスやポート番号が該当することを示す。また、アドレスやポート番号をレンジで指定してもよい。アドレス変換には、VIPやMIPによるアドレス変換も含まれる。変換後が“any”の場合は、アドレスやポートの変換は行わないことを示す。
The
図7Aに示すアドレス変換テーブル545の例では、ノード識別子5455がN2で示されるノードが、宛先 IPアドレスがxxxx、宛先ポート番号5452が80の通信パケットを受信した場合に、宛先IPアドレス5454をzzzzに変換することを示す。送信元IPアドレス、送信元ポート番号の変換は行わない。
In the example of the address conversion table 545 shown in FIG. 7A, when the node whose
図7Bは、テナント構成DB540を構成するポリシー管理テーブル546の一例を示す図である。
FIG. 7B is a diagram illustrating an example of the policy management table 546 that configures the
ポリシー管理テーブル546は、テナントシステムを構成するファイヤウォールやロードバランサ等のポリシーを管理するためのテーブルである。ポリシー管理テーブル546は構成要素として、ノード識別子5461、ポリシーID5462、ポリシー5463を含む。ノード識別子5461は、ポリシー5463で指定された処理を実行するノードの識別子である。ポリシーID5462は、ノードに設定されているポリシーのIDである。ポリシー5463は実際にノードに設定されているポリシーである。図7Bにおいて、ノード識別子N2で示されるノードのポリシーID=1000に、zoneAからzoneBに向かう宛先IPアドレスxxxx、宛先ポート番号80の通信パケットを、宛先IPアドレスzzzzにアドレス変換するように設定されていることを示す。
The policy management table 546 is a table for managing policies such as firewalls and load balancers constituting the tenant system. The policy management table 546 includes a
また、ノード識別子N3で示されるノードに、zoneCからzoneDに向かう宛先IPアドレスがzzzz、宛先ポート番号が443の通信パケットを拒否するように設定されている。通過パケットに対する処理は、拒否(deny)、通過(pass)、アドレス変換(nat)等がある。 Further, the node indicated by the node identifier N3 is set so as to reject a communication packet having a destination IP address from zone C to zone D of zzz and a destination port number of 443. Processing for the passing packet includes denial, passage, address translation (nat), and the like.
図7Cは、テナント構成DB540を構成するログ種別管理テーブル547の一例を示す図である。
FIG. 7C is a diagram illustrating an example of the log type management table 547 configuring the
ログ種別管理テーブル547は、ノードの種類ごとにログまたは通信パケット等の通信記録情報の収集方法を管理するためのテーブルである。ログ種別管理テーブル547は、構成要素としてノード種別5471、ログ種別5472、収集ノード5473、記録ノード5474を含む。
The log type management table 547 is a table for managing a method of collecting communication record information such as a log or a communication packet for each node type. The log type management table 547 includes a
ノード種別5471は、テナントシステムを構成するノードの種類である。ノード種類には、仮想マシン(VM)、ファイヤウォール(FW)、スイッチ(SW)、クライアント等が含まれる。ログ種別5472は、ノード種別5471で示されるノードの通信記録情報をどのようなデータを収集するかが設定されている。ログ種別5472には、キャプチャとトラフィックログが含まれる。収集ノード5473は、ノード種別5471で示されるノードのログまたは通信パケットを収集するノードが記載されている。記録ノード5474には、収集したノードのログまたは通信パケットを記録するノードが記載されている。
The
図7Cのログ種別管理テーブル547において、ノード種別5471が“VM”のノードは、仮想スイッチで通信パケットのキャプチャを行い、キャプチャしたファイルは、サーバに記録されることを示す。また、ノード種別が“FW”のノードは、自ノードでトラフィックログ記録し、記録したトラフィックログは自ノードに記録されることを示す。なお、ログ種別管理テーブル547は、テナント毎ではなく、データセンタ全体で1つのログ種別管理テーブルを管理してもよい。
In the log type management table 547 of FIG. 7C, a node whose
図7Dは、テナント構成DB540を構成する分析レイヤ管理テーブル548の一例を示す図である。
FIG. 7D is a diagram illustrating an example of the analysis layer management table 548 that configures the
分析レイヤ管理テーブル548は、テナントシステムのネットワーク状態を分析するレイヤと、該当レイヤを分析するためにログまたは通信パケットを収集するノードとの対応関係を表すテーブルである。 The analysis layer management table 548 is a table representing a correspondence relationship between a layer that analyzes the network state of the tenant system and a node that collects logs or communication packets in order to analyze the corresponding layer.
分析レイヤ5481には、サービス、レイヤ3、レイヤ2が含まれる。収集機器5482には、テナントシステムを構成するノード管理テーブルに登録されたノード種別を含む。サービスは、レイヤ4以上の分析を行う。レイヤ3は、IPレイヤ以上の分析を行う。レイヤ2は、イーサネット(登録商標)レイヤ以上の分析を行う。
The
図8は、パケット蓄積DB550の一例を示す図である。パケット蓄積DB550は、通信パケットをキャプチャしたファイルを管理するためのテーブルである。パケット蓄積DB550は、構成要素として、インタフェース識別子5501、ノード識別子5502、テナント識別子5503、ディレクトリ5504、ファイル名5505、タイムスタンプ5506を含む。
FIG. 8 is a diagram illustrating an example of the
インタフェース識別子5501は、通信パケットをキャプチャしたインタフェースのインタフェース識別子である。ノード識別子5502は、インタフェースを含むノードの識別子である。テナント識別子5503は、該当のファイルに含まれる通信パケットが関連するテナントの識別子である。
The
ディレクトリ5504は、キャプチャしたファイルを格納したディレクトリ名であり、ファイル名5505は、キャプチャしたファイルの名前である。タイムスタンプ5506は、該当のファイルのキャプチャを開始した時刻と、終了した時刻が含まれる。
A
図9A、図9Bは、収集管理DB560の一例を示す図である。収集管理DB560は、キャプチャ中のインタフェースを管理するためのテーブルである。収集管理DB560は、構成要素として、テナント識別子561、キャプチャインタフェース管理テーブル562、トラフィックログ収集管理テーブル563、収集インタフェース管理テーブル564を含む。
9A and 9B are diagrams illustrating an example of the
なお、キャプチャインタフェース管理テーブル562および、トラフィックログ収集管理テーブル563は、テナント識別子561毎に管理する。
The capture interface management table 562 and the traffic log collection management table 563 are managed for each
図9Aは、収集管理DBに含まれるキャプチャインタフェース管理テーブル562及びトラフィックログ収集管理テーブル563の一例を示す図である。 FIG. 9A is a diagram illustrating an example of the capture interface management table 562 and the traffic log collection management table 563 included in the collection management DB.
キャプチャインタフェース管理テーブル562は、テナント識別子561に該当するテナントシステムでキャプチャするインタフェースを管理するためテーブルである。キャプチャインタフェース管理テーブル562の構成要素として、対象インタフェース5621、収集ノードのノード識別子5622、インタフェース識別子5623、記録ノードのノード識別子5624を含む。
The capture interface management table 562 is a table for managing an interface captured by the tenant system corresponding to the
対象インタフェース5621には、インタフェース識別子が含まれ、本項目で指定したインタフェースが送受信する通信パケットをキャプチャすることを示す。収集ノードのノード識別子5622は、対象インタフェース5621で指定したインタフェースが送受信する通信パケットをキャプチャするノードの識別子である。インタフェース識別子5623は、対象インタフェースで指定したインタフェースが送受信する通信パケットをキャプチャするインタフェースの識別子である。記録ノードのノード識別子5624は、対象インタフェース5621で指定したインタフェースが送受信する通信パケットをキャプチャし、キャプチャしたファイルを一時的に保管するノードの識別子である。
The
トラフィックログ収集管理テーブル563は、該当するテナントシステムにおいてトラフィックログを収集するノードの識別子5631と、ポリシーID5632およびポリシー5633を管理するためのテーブルである。ポリシー5633には、トラフィックログの収集対象などが定義される。
The traffic log collection management table 563 is a table for managing the
図9Bは、収集管理DBに含まれる収集インタフェース管理テーブル564の一例を示す図である。 FIG. 9B is a diagram illustrating an example of the collection interface management table 564 included in the collection management DB.
収集インタフェース管理テーブル564は、データセンタ内で通信パケットをキャプチャ中のインタフェースを管理するためのテーブルである。収集インタフェース管理テーブル564は、構成要素として、インタフェース識別子5641、ノード識別子5642、テナント識別子5643、記録ノードのノード識別子5644、キャプチャファイルのファイル名5645を含む。
The collection interface management table 564 is a table for managing interfaces that are capturing communication packets in the data center. The collection interface management table 564 includes, as components, an
図10は、分析結果DB570に含まれるテーブルの一例を示す図である。分析結果DB570は、テナントシステムに関連するネットワーク状態を分析した結果を記録するためのDBである。分析結果DB570は、構成要素として、テナント識別子571、到達判定テーブル572、廃棄ノード特定テーブル573を含む。
FIG. 10 is a diagram illustrating an example of a table included in the
到達判定テーブル572は、到達判定処理532の結果を記録するテーブルである。到達判定テーブル572は、構成要素として、サービスの送信元ノードの送信元IPアドレス:ポート番号5721、宛先IPアドレス:ポート番号5722、サービスの宛先ノードの送信元IPアドレス:ポート番号5723、宛先IPアドレス:ポート番号5724、到達判定5725、セッション情報5726を含む。
The arrival determination table 572 is a table that records the result of the
サービスの送信元ノードとは、アプリケーション通信の送信元となるノードを示し、サービスの宛先ノードとは、アプリケーション通信の宛先となるノードを示す。例えば、Webシステムの場合、サービスの送信元ノードとは、クライアント端末を示し、サービスの宛先ノードとはWebサーバを示す。Webサーバからクライアント端末への通信は、送信元と宛先が入れ替わる。 A service transmission source node indicates a node that is a transmission source of application communication, and a service destination node indicates a node that is a destination of application communication. For example, in the case of a Web system, a service transmission source node indicates a client terminal, and a service destination node indicates a Web server. In communication from the Web server to the client terminal, the transmission source and the destination are switched.
サービスの送信元ノードの送信元IPアドレス:ポート番号5721は、サービスの送信元となるノードが送信した通信パケットの送信元IPアドレスとポート番号を示す。サービスの送信元ノードの宛先IPアドレス:ポート番号5722は、サービスの送信元となるノードが送信した通信パケットの宛先IPアドレスとポート番号を示す。
The source IP address of the service source node:
サービスの宛先ノードの送信元IPアドレス:ポート番号5723は、サービスの宛先となるノードに到達した通信パケットの送信元IPアドレスとポート番号を示す。サービスの宛先ノードの宛先IPアドレス:ポート番号5724は、サービスの宛先となるノードに到達した通信パケットの宛先IPアドレスとポート番号を示す。
The source IP address of the service destination node:
到達判定5725は、サービスの送信元ノードが送信した通信パケットが、サービスの宛先ノードに到達したか否かを示す。到達の場合は“到達”、未到達の場合は“未到達”と登録する。
The
セッション情報5726は、サービスの送信元ノードが送信した通信パケットが含まれるTCPセッションの開始時刻と終了時刻を示す。
The
廃棄ノード特定テーブル573は、廃棄ノード特定処理533の結果を記録するテーブルである。廃棄ノード特定テーブル573は、構成要素として、到達判定5731、通信パケットの送信元IPアドレス:ポート番号5732、通信パケットの宛先IPアドレス:ポート番号5733、宛先ノードのノード識別子5734、ノード種別5735、アクション5736を含む。到達判定5731は、到達判定処理532の結果を示す。廃棄ノード特定処理533は、到達判定処理532の結果、未到達となった通信パケットのみ実施するため、到達判定の項目は常に“未到達”である。
The discard node specifying table 573 is a table that records the result of the discard
通信パケットの送信元IPアドレス:ポート番号5732は、到達判定処理532の結果、未到達となった通信パケットの送信元IPアドレスと送信元ポート番号を示す。通信パケットの宛先IPアドレス:ポート番号5733は、到達判定処理532の結果、未到達となった通信パケットの宛先IPアドレスと宛先ポート番号を示す。宛先ノードのノード識別子5734、ノード種別5735は、未到達となった通信パケットの宛先となるノードのノード識別子およびノード種別を示す。宛先ノードのアクション5736は、廃棄ノード特定処理533で特定した宛先ノードにおける通信パケットの処理結果が登録される。本実施例における処理結果の種類は、“拒否”、“通過”、“到達”、“未到達”である。“廃棄”および”通過“は、宛先ノードの種別がファイヤウォールの場合に、ファイヤウォールが通信パケットに対して行った処理結果を示す。なお、ファイヤウォールが“拒否”、“通過”以外の処理を行う場合は、処理結果に該当の処理を登録してもよい。“到達”は、宛先ノードまで通信パケットが到達したことを示す。"未到達"は、宛先ノードまで通信パケットが到達していないことを示す。廃棄ノード特定テーブル573は、未到達の通信パケット毎にテーブルを備える。
The source IP address:
テナント識別子571、到達判定テーブル572、廃棄ノード特定テーブル573は、テナント識別子571毎に管理する。
The
図11、図12は、本発明の計算機システムで実行される処理の一例を示すシーケンス図である。 11 and 12 are sequence diagrams showing an example of processing executed by the computer system of the present invention.
管理者は、クライアント5から分析サーバ1に対して、ネットワークの状態を分析したいテナントの識別子と、ネットワーク状態を分析するためのログ収集(または通信パケット収集)を指示する(S1)。この指示は、クライアント5から広域ネットワーク6を経由して分析サーバ1に対して行ってもよいし、管理者が分析サーバ1のコンソール407を操作して行ってもよい。本実施例では、管理者がクライアント5を操作して、分析サーバ1に収集開始指示と、ネットワーク状態を分析するレイヤの情報と、テナント識別子を通知する。
The administrator instructs the
分析サーバ1は、図5に示した指示受付処理501を介して、テナント識別子と、ネットワーク状態を分析するレイヤの情報、収集開始指指示を受け付ける。指示受付処理は、指示の内容が“収集開始”であるので、図5に示した設定処理510の収集機器選択処理511を呼び出す(S2)。本実施例では、テナントの識別子は1000、分析するレイヤは“サービスレイヤ”とする。なお、サービスレイヤは、前記OSIにおける第4層以上とする。
The
収集機器選択処理511(S2)では、テナントの通信経路とサービス経路を後述するように算出し、ログまたは通信パケットを収集する機器(ノードとインタフェース)を選択する。そして、分析サーバ1は、選択した機器についてログまたは通信パケットの記録先などキャプチャ設定処理512(S3)を実施する。
In the collection device selection processing 511 (S2), the communication route and service route of the tenant are calculated as described later, and the device (node and interface) that collects the log or communication packet is selected. Then, the
次に分析サーバ1は、トラフィックログ収集設定処理513で、トラフィックログの収集が必要なノードに対して、トラフィックログを記録するように設定する(S4)。
Next, in the traffic log
分析サーバ1は、通信パケットの収集対象の設定と、トラフィックログの収集設定を完了すると、通信パケットまたはトラフィックログの収集を開始する(S5)。以降は、クライアント5が要求した処理を、FW9aでアドレスを変換し(S6)、VM(FW)11、VM(WEB)12、VM(AP)13によって所定の処理を実行する(S7、S8)。
When the
図13は、図11の収集機器選択処理511(S2)、キャプチャ設定処理(S3)で行われる処理の一例を示すフローチャートを示す。なお、以下の説明では処理の主体を収集機器選択処理511とするが、上述のように収集機器選択処理511をプログラムで実現する場合には、収集機器選択プログラムを実行するCPU401が処理の主体となる。そして、CPU401は収集機器選択部として機能する。また、収集機器選択処理511をハードウェアで実現する場合には、図示しない収集機器選択部が処理の主体となる。他のフローチャートについても同様である。
FIG. 13 is a flowchart showing an example of processing performed in the collection device selection processing 511 (S2) and capture setting processing (S3) in FIG. In the following description, the processing entity is the collection
収集機器選択処理511は、まず、テナントシステムに関連して発生する通信パケットの通信経路を計算する(ステップ1301)。通信経路の計算は、該当するテナントのテナント構成DB540におけるノード管理テーブル542およびインタフェース管理テーブル543を参照し、周知または公知の経路計算アルゴリズムを用いる。
The collection
テナントシステム1000の構成を図14A〜図14Dに示す。図14Aは、テナントシステムの論理構成を示すブロック図である。図14B、図14C、図14Dは、テナントシステムの通信経路の一例を示すブロック図である。
The configuration of the
テナント識別子=1000のテナントシステムの論理構成を図14Aに示す。テナントシステム1000は、クライアント5、ファイヤウォール9a、ファイヤウォールサービスを提供する仮想マシン11(以下VM(FW)と称す)、Webサーバサービスを提供する仮想マシン12(以下VM(WEB)と称す)、アプリケーションサーバサービスを提供する仮想マシン13(以下VM(AP)と称す)で構成する。図1に示すように、VM(FW)11およびVM(WEB)12がサーバ8a、VM(AP)13はサーバ8cに配置されている。
The logical configuration of the tenant system with tenant identifier = 1000 is shown in FIG. 14A. The
経路計算処理1301により、通信種別が“終端”であるノード間の通信経路は、図14Bのように計算される。
By the
図14Bは、クライアント5とファイヤウォール9aとの通信経路である。クライアント5に含まれるインタフェースであるI0は、スイッチ7a、7b、7e、仮想スイッチ806を介してファイヤウォール9aに含まれるインタフェースI1と通信する。
FIG. 14B shows a communication path between the
図中ノードに含まれるインタフェースは六角形で示す。インタフェースI0のIPアドレスは“Any”である。IPアドレスが、“Any”の場合、該当インタフェースはあらゆるIPアドレスを使用可能である。クライアント5aが、1つ以上の場合や、インタフェースを1つ以上有する場合は、“Any”やアドレスレンジ等でまとめて表記することも可能である。 In the figure, the interfaces included in the nodes are indicated by hexagons. The IP address of the interface I0 is “Any”. When the IP address is “Any”, the corresponding interface can use any IP address. When the client 5a has one or more, or has one or more interfaces, it can be expressed collectively by “Any”, an address range, or the like.
図14Cは、ファイヤウォール9aとVM(WEB)12との通信経路である。ファイヤウォール9aに含まれるインタフェースI2は、仮想スイッチ806、スイッチ7e、7b、7c、7d、7f、仮想スイッチ806、VM(FW)11、仮想スイッチ806を介してVM(WEB)12に含まれるインタフェースであるI5と通信する。なお、スイッチの構成はファブリック構成のため、通信フローによりスイッチ7b、7c、7dのいずれかを経由する。
FIG. 14C shows a communication path between the
図14Dは、VM(WEB)12とVM(AP)13との通信経路である。VM(WEB)12に含まれるインタフェースI5は、仮想スイッチ806、VM(FW)11、仮想スイッチ806、スイッチ7f、7b、7c、7d、7g、仮想スイッチ806を介してVM(AP)に含まれるインタフェースであるI6と通信する。
FIG. 14D shows a communication path between the VM (WEB) 12 and the VM (AP) 13. The interface I5 included in the VM (WEB) 12 is included in the VM (AP) via the
図13の収集機器選択処理では、経路計算処理1301の次に、サービス経路計算処理1302を実行する。サービス経路計算処理1302は、通信パケットに含まれるサービスレイヤのデータであるTCPまたはUDPパケットのペイロード部分の情報が、IPヘッダのアドレス変換や、TCPまたはUDPヘッダのポート番号変換を経て、最終的にサービスの宛先となるノードに到達するまでの経路(以下、サービス経路と称す)を計算する。
In the collection device selection process of FIG. 13, a service
サービス経路の計算は、該当するテナントのテナント構成DB540におけるアドレス変換テーブル545を収集機器選択処理511が参照し、通信種別が“終端”であるノードで、アドレス変換を行う場合は、経路計算処理1301で求めた通信経路を、アドレス変換を行うノードで連結する。
For the calculation of the service route, the collection
収集機器選択処理511は、図7Aで示したアドレス変換テーブル545の変換前の宛先IPアドレスを参照し、変換後の宛先IPアドレス5454と、アドレス変換を行うノード(5455)を特定する。さらに、変換後の宛先IPアドレス5454を基に図6Bのインタフェース管理テーブル543を参照し、サービスの終端となるインタフェースの識別子5431とノードの識別子5435を特定する。
The collection
収集機器選択処理511は、特定したインタフェース識別子5431とノード識別子5435から、連結する経路を特定し、サービス経路を計算する。サービス経路計算処理1302により、計算された通信経路を、図15Aに示す。
The collection
図15Aは、テナントシステムのサービス経路の一例を示すブロック図である。図15Aにおいて、ファイヤウォール9a(ノードN2)でアドレス変換を行うことから、通信経路の図14Bと図14Cとを連結し、図15Aに示す通信経路をクライアント5(ノードN1)とVM(WEB)12(ノードN4)間のサービス経路とする。
FIG. 15A is a block diagram illustrating an example of a service route of the tenant system. In FIG. 15A, since the address conversion is performed by the
図14Dに示す通信経路では、アドレス変換を行わないため、通信経路の連結は行わず、VM(WEB)12と、VM(AP)13間のサービス経路とする。図15Bは、VM(WEB)12(ノードN4)、VM(AP)13(ノードN5)間のサービス経路を示す。 In the communication path shown in FIG. 14D, since the address conversion is not performed, the communication paths are not connected, and the service path is between the VM (WEB) 12 and the VM (AP) 13. FIG. 15B shows a service path between the VM (WEB) 12 (node N4) and the VM (AP) 13 (node N5).
収集機器選択処理511では、サービス経路計算処理1302の次に、レイヤ別機器選択処理1303を実行する。レイヤ別機器選択処理1303は、管理者がネットワーク状態を分析したいレイヤに合わせて、通信パケットやログを収集する機器を選択する処理である。
In the collection
ログまたは通信パケットを収集する機器を選択するために、収集機器選択処理511は、テナント構成DB540の分析レイヤ管理テーブル548を参照する。管理者から指示された分析レイヤに対応する機器を、ログまたは通信パケットを収集する機器として選択する。指示された分析レイヤが、“サービス”である場合は、テナント構成DB540のノード管理テーブル542を参照し、通信種別5424が“終端”であるノードを選択する。この場合、ログまたは通信パケットを収集する機器は、クライアント5、ファイヤウォール9a、VM(WEB)12、VM(AP)である。
In order to select a device that collects logs or communication packets, the collection
分析レイヤが“レイヤ3”である場合は、テナント構成DB540のノード管理テーブル542を参照し、通信種別5424が“終端”であるノードと、通信種別5424が“転送”であるノードのうち、サービス5423がファイヤウォール(FW)とL3スイッチ(SW)であるノードを選択する。
When the analysis layer is “Layer 3”, the node management table 542 of the
分析レイヤが“レイヤ2”である場合は、全てのノードを選択する。
If the analysis layer is “
本実施例において、管理者が指示した分析レイヤは“サービス”であるので、ログまたは通信パケットを収集する機器として、クライアント5、ファイヤウォール9a、VM(WEB)12、VM(AP)13を選択する。
In this embodiment, since the analysis layer designated by the administrator is “service”, the
管理者が指示した分析レイヤが“レイヤ2”である場合(ステップ1304でYes)には、等コスト機器選択処理1305を実行する。等コスト機器選択処理1305については、図19Bで詳しく説明する。分析レイヤが“レイヤ2”以外である場合(ステップ1304でNo)には、等コスト機器選択処理1305は実行せず、収集方法決定処理1306を実行する。
If the analysis layer designated by the administrator is “
分析レイヤが“サービス”の場合、分析レイヤ管理テーブル548より収集機器5482は通信種別が“終端”となり、ノード管理テーブル542からログまたは通信パケットを収集する機器は、通信種別5424=“終端”となる、クライアント5(ノードN1)、ファイヤウォール9a(ノードN22)、VM(WEB)12(ノードN4)、VM(AP)13(ノードN5)である。
When the analysis layer is “service”, the
収集方法決定処理1306は、通信パケットやログの収集が必要な機器毎に、通信パケットやログの収集方法を決定する処理である。通信パケットまたはログの収集方法を決定するために、テナント構成DB540のログ種別管理テーブル547を参照する。
The collection
クライアント5は、ノード種別がクライアントであるため、ログ種別管理テーブル547においてログ種別5472は“キャプチャ”で、収集ノードは“隣接インタフェースを含むノード”、収集ノードは“キャプチャ装置”である。クライアント5に含まれるインタフェースはI0であり、インタフェース管理テーブル543を参照することにより、隣接インタフェースはI7であることが特定できる。インタフェース識別子I7を含むノードは、ノード管理テーブル542を参照することにより、スイッチ7a(ノード識別子=N6)であることが特定できる。特定したノードのノード識別子とインタフェース識別子を、収集管理DB560のキャプチャインタフェース管理テーブル562に登録する。記録ノードのノード識別子には、キャプチャ装置のノード識別子を登録する。
Since the node type of the
ファイヤウォール9aは、ログ種別管理テーブル547においてログ種別5472が“トラフィックログ”、収集ノードは“自ノード”、記録ノードは“自ノード”である。ファイヤウォール9aでは、ログの収集にトラフィックログを利用できることから、通信パケットのキャプチャは行わず、ネットワーク状態の分析にトラフィックログを用いる。トラフィックログは、ファイヤウォールやロードバランサ等において、通信セッションに対して行った処理を記録したログであり、設定したポリシーごとにログが記録される。
In the log type management table 547, the
ログ収集にトラフィックログを用いる場合は、収集管理DB560のトラフィック収集管理テーブル563に、ログを収集するノード(FW)の識別子5631とポリシーID5632と、ポリシー5633を登録する。ログ種別管理テーブル547において、ノード種別5471が“FW”の場合、収集ノード5473は“自ノード”であるので、ファイヤウォール9aのノード識別子であるN2をノード識別子として登録する。
When a traffic log is used for log collection, an identifier (5631), a
また、収集方法決定処理1306は、ポリシー管理テーブル546を参照し、ノード識別子N2に設定されたポリシーIDと、ポリシーをトラフィックログ収集管理テーブル563に登録する。
Also, the collection
VM(WEB)12は、ログ種別管理テーブル547において、ノード種別5471がVMであるため、ログ種別5472は“キャプチャ”、収集ノード5473は、“仮想スイッチ”、記録ノード5474は“サーバ”である。
Since the
収集方法決定処理1306は、テナント構成DB540のノード管理テーブル542を参照し、VM(WEB)12が接続する仮想スイッチのノード識別子5421と、ポートのインタフェース識別子5425を特定する。特定した識別子を、図9Aに示したキャプチャインタフェース管理テーブル562の収集ノードのノード識別子5622およびインタフェース識別子5623に登録する。さらに、収集方法決定処理1306は、仮想ノード管理テーブル544を参照し、仮想マシンが配置されている物理ノード5442であるサーバを特定する。特定したサーバのノード識別子5442を、キャプチャインタフェース管理テーブル562の記録ノードのノード識別子5624に登録する。
The collection
VM(AP)13は、ノード種別がVMである。上記VM(WEB)12と同様のステップを用いて、VM(AP)12が接続する仮想スイッチのノード識別子、インタフェース識別子、VM(AP)が配置されているサーバのノード識別子を収集管理DB560のキャプチャインタフェース管理テーブル562に登録する。
The VM (AP) 13 has a node type VM. Using the same steps as those for the VM (WEB) 12, the node identifier of the virtual switch to which the VM (AP) 12 is connected, the interface identifier, and the node identifier of the server where the VM (AP) is arranged are captured in the
以上により、トラフィックログを収集するノードと、通信パケットをキャプチャするノードおよびインタフェースを決定する。トラフィックログを収集する機器を図15Aにおいて二重線で示す。また、図15A、図15Bにおいて、通信パケットをキャプチャするインタフェースを太線で示す。 As described above, the node that collects the traffic log and the node and interface that capture the communication packet are determined. Devices that collect traffic logs are shown as double lines in FIG. 15A. In FIGS. 15A and 15B, an interface for capturing a communication packet is indicated by a bold line.
収集機器選択処理511の次に、分析サーバ1は、トラフィックログ収集設定処理513を実行する(図11のS3)。
After the collection
トラフィックログ収集設定処理513は、トラフィックログの収集が必要なノードに対して、トラフィックログを記録するように設定する。収集管理DB560のトラフィックログ収集管理テーブル563を参照し、トラフィックログを記録するノードに対して、トラフィックログで記録するポリシーを通知し、トラフィックログの記録を開始するように設定する。以上で、トラフィックログ収集設定処理513を終了する。
The traffic log
トラフィックログ収集設定処理513の次に、分析サーバ1はキャプチャ設定処理512を実行する(図11のS4)。キャプチャ設定処理512は、収集機器選択処理511が生成した収集管理DB560のキャプチャインタフェース管理テーブル562を参照し、新たにキャプチャの設定が必要な機器を特定し、キャプチャのための設定を行う。
Following the traffic log
収集インタフェース管理テーブル564は、データセンタ内でキャプチャ中のインタフェースを管理するためのテーブルである。キャプチャインタフェース管理テーブル562と、収集インタフェース管理テーブル564とを比較し、キャプチャインタフェース662に登録されているインタフェースが、収集インタフェース管理テーブル564に登録されていない場合は、キャプチャインタフェース管理テーブル562に登録されている収集ノードのノード識別子5622、インタフェース識別子5623、記録ノードのノード識別子5624と、テナント識別子561を、収集インタフェース管理テーブル564に登録する。
The collection interface management table 564 is a table for managing interfaces being captured in the data center. The capture interface management table 562 is compared with the collection interface management table 564. If an interface registered in the capture interface 662 is not registered in the collection interface management table 564, it is registered in the capture interface management table 562. The
新規に収集を開始する機器に対しては、収集ノードと記録ノードが異なる場合、収集ノードに対してポートミラーリングの設定を行う。記録ノードに対しては、キャプチャ開始の設定を行い、キャプチャした通信パケットを記録するためのファイル名と、ファイルを蓄積するディレクトリをキャプチャファイル名5645に登録する。
For devices that newly start collection, if the collection node and recording node are different, port mirroring is set for the collection node. For the recording node, the capture start is set, and the file name for recording the captured communication packet and the directory for storing the file are registered in the
既に収集を行っているインタフェースに対しては、テナント識別子561だけを登録する。
For the interface that has already been collected, only the
以上で、キャプチャ設定処理512を終了する。分析サーバ1は、通信パケットまたはログの収集準備が整ったことをクライアント5に通知する。なお、この通知は、分析サーバのコンソール407に表示したり、テナント用のポータルに表示する方法でもよい。また、通知は行わなくてもよい。
Thus, the
キャプチャ設定処理512により、通信パケットのキャプチャが開始されると、収集処理520のパケット収集処理522が定期的に実行される。パケット収集処理522は、収集管理DB560の収集インタフェース管理テーブル564を参照し、記録ノードから通信パケットを記録したファイルを収集し、収集したファイルにタイムスタンプを付与してパケット蓄積DB550に蓄積する。
When capturing of a communication packet is started by the
テナントのネットワーク状態を分析するために、通信パケットまたはログの収集準備が整ったデータセンタのテナントシステムに対して、処理リクエストを送信する。クライアント5からの処理リクエストは、ファイヤウォール9aでアドレス変換、VM(FW)11でアクセス制御が行われ、VM(WEB)12に到達する。また、VM(WEB)12、VM(AP)13間の通信パケットは、VM(FW)11でアクセス制御が行われ、宛先であるVMに到達する。この際、クライアントが送受信する通信パケットはスイッチ7a、VM(WEB)12が送受信される通信パケットは、仮想スイッチ806、VM(AP)13が送受信する通信パケットは、仮想スイッチ806のキャプチャ機能810でキャプチャされる。また、ファイヤウォール9aではトラフィックログが記録される。
In order to analyze the network state of the tenant, a processing request is transmitted to the tenant system of the data center that is ready to collect communication packets or logs. The processing request from the
図12は、分析開始指示以後のシーケンス図を示す。 FIG. 12 shows a sequence diagram after the analysis start instruction.
管理者は、分析サーバ1に対して、ネットワークの状態を分析したいテナントの識別子と、ネットワーク状態分析のためのログまたは通信パケットの収集を指示する。この指示は、クライアント5から広域ネットワーク6を経由して行ったり、管理者が分析サーバのコンソールを操作して行ってもよい。本実施例では、テナント管理者がクライアント5を操作して、分析サーバ1に分析開始指示と、テナント識別子を通知する(S11)。
The administrator instructs the
分析サーバ1は、指示受付処理501を介して、テナント識別子と、分析開始指指示を受け付ける。指示受付処理は、指示の内容が“分析”である場合は、収集処理520のトラフィックログ収集処理521を呼び出す(S12)。
The
トラフィックログ収集処理521は、分析開始指示を行ったテナントのトラフィックログ収集管理テーブル563を参照し、テナントに関連してトラフィックログを記録しているノードに、ポリシーIDまたはポリシーを通知し、対応するトラフィックログを収集する(S13)。
The traffic
トラフィックログ収集処理521の次に、トラフィックログ収集設定処理521を呼び出す。指示が“分析開始”の場合、トラフィックログの収集を終了する。該当テナントのトラフィックログ収集管理テーブル563を参照し、トラフィックログを記録しているノードに対して、記録を終了するように設定する(S14、S15)。
Following the traffic
トラフィックログ収集設定処理513の次に、キャプチャ設定処理512を呼び出す(S16)。クライアント5からの指示が“分析開始”の場合、キャプチャ設定処理512は、関連するテナントの通信パケットの収集を終了する。
Next to the traffic log
分析サーバ1は、収集インタフェース管理テーブル564を参照し、該当するテナントのテナント識別子を削除する。該当するテナントのテナント識別子を削除することにより、収集インタフェースに登録されたテナント識別子がすべて削除された場合は、該当するインタフェースを収集インタフェース管理テーブル564から削除する。
The
収集インタフェース管理テーブル564からインタフェースを削除する場合は、インタフェースを含むノードおよび収集ノードに対して、ポートミラーリングの設定を解除し、キャプチャを終了するように設定する。 When deleting an interface from the collection interface management table 564, the port mirroring setting is canceled for the node including the interface and the collection node, and the capture is set to end.
収集設定の解除後、分析処理530を呼び出し、テナントシステムのネットワーク状態を分析する。分析処理530では、まず、テナントパケット抽出処理531を呼び出す(S17)。
After canceling the collection setting, the
テナントパケット抽出処理531では、パケット蓄積DB550の蓄積ファイル管理テーブル551を参照し、該当するテナントの通信パケットが含まれるキャプチャファイルを抽出する。
In the tenant
その後、サービスの端点となるノード間でのネットワーク状態を分析するために、到達判定処理532を呼び出す(S18)。
Thereafter, in order to analyze the network state between the nodes serving as service endpoints, the
到達判定処理532は、該当テナントのサービス経路を参照し、サービスの端点となるノード間で通信パケットが到達したか否かを判定するための処理である。図16Aは到達判定処理532で行われる処理の一例を示すフローチャートである。
The
まず、分析サーバ1は、図15Aに示したサービス経路を参照し、サービスの端点となるノードとインタフェースを選択する(ステップ1601)。図15Aで示したように、テナントシステム1000では、サービス経路(c1)の端点となるノードは、クライアント5(ノードN1)とVM(WEB)12(ノードN4)で、これらのノードが送受信する通信パケットをキャプチャするインタフェースは、スイッチ7a(ノードN8)のインタフェースI7と、仮想スイッチ806(ノードN7)のインタフェースI10である。到達判定処理532は、パケット蓄積DB550を参照し、選択したサービス経路の端点となるインタフェースが送受信する通信パケットを記録したキャプチャファイルを取得する。
First, the
次にパケット比較処理1602を実行する。図17に、パケット比較処理1602で行われる処理の一例を示すフローチャートを示す。パケット比較処理1602は、2点でキャプチャされた通信パケットを比較し、サービス経路の一方の端点となるインタフェースから送信された通信パケットが、他方の端点となるインタフェースまで到達したか否かを判定する処理である。
Next,
まず、一方のインタフェースをキャプチャしたファイルから、該当インタフェースが送信した通信パケットを比較元パケットとして1つ選択する(ステップ1701)。 First, one communication packet transmitted by the corresponding interface is selected as a comparison source packet from a file obtained by capturing one interface (step 1701).
比較元パケットのIPアドレスと、TCP/UDPポート番号等が変換されてサービスの端点となるノードに転送される場合(ステップ1702でYes)は、アドレス変換テーブル545を参照し、変換後のIPアドレス、TCP/UDPポート番号等を用いて、変換後の比較元パケットのTCP/UDPチェックサムを計算する(ステップ1703)。 When the IP address of the comparison source packet, the TCP / UDP port number, etc. are converted and transferred to the node serving as the service end point (Yes in Step 1702), the IP address after conversion is referred to the address conversion table 545. Then, a TCP / UDP checksum of the converted comparison source packet is calculated using the TCP / UDP port number and the like (step 1703).
サービス経路の他方のインタフェースをキャプチャしたファイルから、通信パケットを比較先パケットとして1つ取得する(ステップ1704)。ステップ1701で選択した比較元パケットと、比較先パケットのTCP/UDPチェックサムを比較する(ステップ1705)。比較するチェックサムの値は、IPアドレス、TCP/UDPポート番号が変換されている場合は、ステップ1705で計算したチェックサムと、比較先パケットのチェックサムであり、IPアドレス、TCP/UDPポート番号が変換されない場合は、ステップ1701で取得した比較元パケットと比較先パケットのチェックサムである。
One communication packet is acquired as a comparison destination packet from a file obtained by capturing the other interface of the service path (step 1704). The comparison source packet selected in
チェックサムが一致する場合(ステップ1706でYes)は、TCP/UDPのペイロード部分を比較する(ステップ1707)。ペイロード部分も含めて2つのパケットが一致する場合は(ステップ1708でYes)、サービス経路の端点となるインタフェースから送信された比較元パケットが、他方のサービス経路の端点となるインタフェースに到達したと判定(ステップ1713)する。 If the checksums match (Yes in Step 1706), the payload portions of TCP / UDP are compared (Step 1707). If the two packets including the payload portion match (Yes in step 1708), it is determined that the comparison source packet transmitted from the interface serving as the end point of the service route has reached the interface serving as the end point of the other service route. (Step 1713).
チェックサムが一致しない場合(ステップ1706でNo)の場合は、比較元パケットと比較先パケットは異なるペイロード情報をもつと判定する。比較対象ファイルに含まれる全通信パケットの比較が終了したかを判定する(ステップ1709)。全通信パケットの比較が終了していない場合(ステップ1709でNo)は、ステップ1704に戻り処理を継続する。全通信パケットの比較が終了した場合(ステップ1709でYes)は、比較元パケットがサービス経路の他方の端点となるインタフェースに未到達と判定する(ステップ1710)。 If the checksums do not match (No in step 1706), it is determined that the comparison source packet and the comparison destination packet have different payload information. It is determined whether comparison of all communication packets included in the comparison target file has been completed (step 1709). If the comparison of all communication packets has not been completed (No in step 1709), the process returns to step 1704 and continues. When the comparison of all communication packets is completed (Yes in Step 1709), it is determined that the comparison source packet has not reached the interface that is the other end point of the service route (Step 1710).
以上で、パケット比較処理1602を終了する。図16Aに戻り、到達判定処理532を説明する。パケット比較処理1602の実行後、到達判定処理532は、パケット蓄積DB550を参照して、比較元パケットを含むセッションの情報を特定する(ステップ1603)。セッションは、TCPコネクション確立から終了までであり、TCPのSYNC、AC、FIN等のシグナリングパケットと、シーケンス番号を利用して特定することができる。TCPのSYNCパケットが送信され、比較元パケットを含むTCPセッションが開始された時刻と、FINパケットが送信され比較元パケットを含むTCPセッションが終了した時刻と、開始から終了までに送信したデータ量を特定する。
Thus, the
次に、ステップ1602および1603の処理結果を、到達判定テーブル572に記録する(ステップ1604)。到達判定処理532は、パケット比較処理1602で使用した、比較元パケットの送信元および宛先IPアドレスとTCP/UDPポートを、到達判定テーブル572のサービスの送信元ノードの欄(57、215、722)に記録し、比較先パケットの送信元および宛先IPアドレスとTCP/UDPポートをサービスの宛先ノードの欄(57、235、724)に記録する。パケット比較処理1602の結果、通信パケットが到達と判断した場合は、到達判定(5725)の欄に“到達”、未到達と判断した場合は、到達判定の欄に“未到達”と記録する。セッション計算(ステップ1603)で特定した、セッションの開始時刻と終了時刻および、セッション開始から終了までに送信したデータ量を、セッションの欄(5726)に記録する。
Next, the processing results of
ステップ1601で取得したキャプチャファイルについて、選択したノードが送信する通信パケットの比較がすべて終了した場合(ステップ1605でYes)は、到達判定処理を終了する。通信パケットの比較がすべて終了していない場合は、ステップ1602に戻り、処理を継続する。 When the comparison of the communication packets transmitted by the selected node has been completed for the capture file acquired in step 1601 (Yes in step 1605), the arrival determination process ends. If all communication packet comparisons have not been completed, the process returns to step 1602 to continue the processing.
以上で、到達判定処理532を終了する。到達判定処理532は、サービス経路の端点となる全インタフェースについて実行する。到達判定処理532の終了後、廃棄ノード特定処理533を実行する(図12のS19)。
Thus, the
図16Bは、廃棄ノード特定処理の一例を示すフローチャートである。廃棄ノード特定処理533は、到達判定処理532において、未到達と判定した通信パケットについて、廃棄したノードを特定する処理である。
FIG. 16B is a flowchart illustrating an example of the discard node specifying process. The discard
まず、廃棄ノード特定処理533は、到達判定テーブル572から、判定結果5725が“未到達”であるサービス送信元ノードで送信した通信パケットの送信元および宛先のIPアドレスとポート番号(57、215、722)を選択する(ステップ1606)。
First, the discard
次に、廃棄ノード特定処理533は、到達判定テーブル572のサービスの送信元ノードの欄に記録された送信元IPアドレスと宛先IPアドレスの情報をもとに、インタフェース管理テーブル543と、収集機器選択処理511の経路計算処理1301で計算した通信経路を参照し、通信経路の端点となるノードを特定する。(ステップ1607)。
Next, the discard
廃棄ノード特定処理533は、ログ種別管理テーブル547を参照し、ノードのログ種別5472が“トラフィックログ”である場合(ステップ1608でYes)には、セッション比較処理1609を実行する。
The discard
セッション比較処理(1609)で行われる処理の一例を図18のフローチャートに示す。セッション比較処理1609は、まず、該当ノードのトラフィックログを取得する(ステップ1801)。トラフィックログは、図12のステップS13で収集され、保持されるものである。
An example of processing performed in the session comparison processing (1609) is shown in the flowchart of FIG. The
取得したトラフィックログに記録されたセッション情報と、到達判定テーブル572のセッション情報5726の欄に記録されたセッション情報とを比較する。トラフィックログに記録された送信元および宛先のIPアドレスとポート番号、データ量を比較し、一致した場合(ステップ1802でYes)は、セッション開始時刻と終了時刻を比較する。IPアドレスとポート番号、データ量が一致するトラフィックログが存在しない場合(ステップ1802でNo)は、処理を終了する。
The session information recorded in the acquired traffic log is compared with the session information recorded in the
到達判定テーブル572に登録されたセッションの開始、終了時刻と、トラフィックログに記録されたセッションの開始、終了時刻は、ネットワークの転送遅延やジッタの影響を受けて時刻差が生じる。そのため、開始時刻と終了時刻の差が所定の閾値以下である場合(ステップ1803でYes)には、トラフィックログが一致すると判定する(ステップ1804)。一方、時刻の差が閾値を超える場合(ステップ1804でNo)は、処理を終了する。 There is a time difference between the start and end times of the session registered in the arrival determination table 572 and the start and end times of the session recorded in the traffic log due to network transfer delay and jitter. Therefore, when the difference between the start time and the end time is equal to or smaller than a predetermined threshold (Yes in Step 1803), it is determined that the traffic logs match (Step 1804). On the other hand, if the time difference exceeds the threshold (No in step 1804), the process ends.
セッション比較処理1609は、トラフィックログの形式により異なってもよい。例えば、通信パケットのヘッダ情報と、通信パケットへのアクションとをトラフィックログに記録する形式では、トラフィックログに記録されたIPアドレス、ポート番号、識別子等のヘッダ情報と、キャプチャされた通信パケットのIPアドレス、ポート番号、識別子等のヘッダ情報とを比較し、一致する場合にトラフィックログが一致すると判定してもよい。
The
以上で、セッション比較処理1609は終了である。図16Bに戻り、廃棄ノード特定処理533を説明する。
This is the end of the
ノードのログ種別が“キャプチャ”の場合(ステップ1608でNo)は、ステップ1606で取得した未到達の通信パケットと、ステップ1707で特定した通信パケットの宛先であるインタフェースのキャプチャファイルをもとに、図17に示したパケット比較処理(1602)を実行する。
When the log type of the node is “capture” (No in step 1608), based on the unreachable communication packet acquired in
廃棄ノード特定処理533は、セッション比較処理(1609)またはパケット比較処理(1602)の終了後、廃棄ノード特定テーブル573を更新する。宛先ノードのノード識別子5734およびノード種別5735には、ステップ16、071、608で特定したノード識別子およびノード種別を記録する。アクション5736には、トラフィックログに記録されたアクション、または、パケット比較処理の判断結果を記録する。
The discard
廃棄ノード特定テーブル573のアクション5736が、拒否の場合は、宛先ノードで通信パケットを廃棄したと特定する。アクション5736が未到達の場合は、通信経路上で、宛先ノードの手前のいずれかのノードで廃棄されており廃棄ノードの範囲が特定できる。アクション5736が、通過や到達の場合は、宛先ノード以降のいずれかのノードで廃棄されており廃棄ノードの範囲を特定できる。
If the
廃棄ノードが特定(ステップ1611でYes)された場合は処理を終了する。廃棄ノードの範囲が特定されており、廃棄ノードの範囲に含まれるノードでログまたは通信パケットを収集している場合(ステップ1612でYes)は、廃棄ノードの範囲に含まれるノードの中からノードを選択し、ステップ1608からの処理を繰り返す。廃棄ノードの範囲は特定されているが、ログまたは通信パケットを収集しているノードが含まれていない場合(ステップ1612でNo)は、処理を終了する。
If the discard node is specified (Yes in step 1611), the process is terminated. When the range of the discard node is specified and the log or the communication packet is collected in the node included in the range of the discard node (Yes in Step 1612), the node is selected from the nodes included in the range of the discard node. The process from
以上により、未到達パケットを廃棄したノードまたは、未到達パケットを廃棄したノードの範囲が特定できる。 From the above, it is possible to specify the range of nodes that have discarded unreachable packets or nodes that have discarded unreachable packets.
本実施例では、クライアント5が送受信する通信パケットを、データセンタ100内のスイッチ7a〜7hでキャプチャする例を説明したが、クライアント5が送受信する通信パケットをクライアント5自身およびデータセンタ100内のスイッチ7a〜7hの両方でキャプチャすることにより、クライアント5とデータセンタ100とを接続する広域ネットワーク6で廃棄された通信パケットを特定することも可能である。
In this embodiment, the communication packet transmitted / received by the
本実施例によると、テナントの構成情報を利用して、サービスの端点となるノード間での通信パケットの到達判定を最初に実施することにより、サービスの端点となるノード間のネットワーク状態の分析を迅速に行うことができる。 According to the present embodiment, by using the tenant configuration information, the communication packet arrival determination between the nodes serving as service endpoints is first performed, thereby analyzing the network state between the nodes serving as service endpoints. Can be done quickly.
また、テナントの構成情報を利用して、通信パケットのキャプチャやトラフィックログを収集するノードを選択することにより、通信パケットやログを収集するノードと、パケット比較のためのデータ量を削減することができる。 Also, by selecting the node that collects communication packets and traffic logs using the tenant configuration information, it is possible to reduce the amount of data for packet comparison with the nodes that collect communication packets and logs. it can.
さらに、テナントのネットワーク状態を分析するレイヤと、該当レイヤのネットワーク状態の分析のためにログまたは通信パケットの収集が必要なノードの種類との対応関係を予め用意することにより、分析レイヤに応じた収集機器を迅速に決定することができる。 Furthermore, by preparing in advance the correspondence between the layer that analyzes the network status of the tenant and the types of nodes that need to collect logs or communication packets to analyze the network status of the corresponding layer, Collection equipment can be determined quickly.
その上、ネットワーク状態の分析に、通信パケットのキャプチャだけでなく、トラフィックログを用いることにより、通信パケットの比較回数を削減し、迅速にネットワーク状態の分析を行うことができる。 In addition, not only the communication packet capture but also the traffic log is used for the network state analysis, so that the number of communication packet comparisons can be reduced and the network state can be analyzed quickly.
次に、図13の収集機器選択処理のステップ1305で行われる等コスト機器選択処理について説明する。図19Bは、等コスト機器選択処理の一例を示すフローチャートである。また、図19Aは、スイッチ管理テーブルの一例を示す図である。
Next, the equal cost device selection process performed in
等コスト機器選択処理1305では、ネットワークの状態をレイヤ2について分析する例を説明する。分析サーバ1は、等コスト機器選択処理を実現するため、さらに、図19Aで示すように、テナント構成DB540にスイッチ管理テーブル549を備える。
In the equal cost
スイッチ管理テーブル549は、テナントシステムを構成するスイッチ7a〜7hのフロー割り当て処理722で用いるフロー割り当てアルゴリズムを管理するテーブルである。スイッチ管理テーブル549は、スイッチ7a〜7hのノード識別子5491と、フロー割り当てアルゴリズム5492から構成される。
The switch management table 549 is a table for managing the flow allocation algorithm used in the flow allocation processing 722 of the
図19Bにおいて、等コスト機器選択処理1305は、ファブリックやマルチシャーシのリンクアグリゲーションのように、同一コストとなる経路が1つ以上存在する場合、テナントシステムで発生し得る通信フローを基に、通信経路を計算し、テナントシステムで発生する通信パケットが経由するスイッチを選択する処理である。
In FIG. 19B, the equal cost
等コスト機器選択処理1305は、テナントシステムのサービス経路から、等コスト経路への分岐ノードを選択する(ステップ2001)。図15Aのサービス経路では、クライアント5、VM(WEB)12間の通信経路は、スイッチ7b、7c、7dの何れかを経由する3つの経路が選択可能であり、スイッチ7e、7fが分岐ノードである。図15Bのサービス経路では、VM(WEB)12、VM(AP)13間の通信経路は、スイッチ7b、7c、7dの何れかを経由する3つの経路が選択可能であり、スイッチ7b、7gが分岐ノードである。
The equal cost
等コスト機器選択処理1305は、分岐ノードを特定した後、スイッチ管理テーブル549を参照し、分岐ノードのフロー割り当てアルゴリズム5492を特定する。スイッチ7a〜7hは、スイッチを提供するベンダや、機種によって様々なフロー割当アルゴリズムを用いる。例えば、図19Aに示すスイッチ管理テーブル549において、ノード識別子N8で示されるノードは、通信パケットに含まれるイーサフレームの宛先MACアドレスと送信元MACアドレスのハッシュ値を用いて、通信フローの経路を割り当てることが登録されている。また、ノード識別子N9で表わされるノードのフロー割当アルゴリズムは不明である。
The equal cost
等コスト機器選択処理1305は、ノード識別子N8で表わされるノードのように、フロー割当アルゴリズムが既知である場合(ステップ2002でYes)は、スイッチ管理テーブル549に登録されたフロー割当アルゴリズム5492に従って、サービス経路において通信フローが経由する通信経路を特定する(ステップ2003)。
In the case where the flow allocation algorithm is known (Yes in step 2002) as in the node represented by the node identifier N8, the equal cost
等コスト機器選択処理1305は、図13で示したレイヤ別機器選択処理1303で選択したノードから、ステップ2003で特定した通信経路上のノードを残し、ホップ数を通信経路のコストとして算出する。通信経路が複数存在する場合は、各通信経路毎にホップ数を算出する(ステップ2004)。
The equal cost
等コスト機器選択処理1305は、コストが等しい通信経路が複数存在する場合は、通信経路とならないノードを除外する(ステップ2005)。
The equal cost
一方、図19A で示したノード識別子N9で表わされるノードのように、フロー割当アルゴリズムが不明または既知ではない場合(ステップ2002でNo)は、機器の絞り込みは行わず処理を終了する。 On the other hand, when the flow allocation algorithm is unknown or not known (No in step 2002) as in the node represented by the node identifier N9 shown in FIG. 19A, the processing is terminated without narrowing down the devices.
図20A、図20Bは、サービス経路の一例を示すブロック図である。図20A、図20Bに、等コスト機器選択処理1305により、通信パケットまたはログを収集する機器から除外されたノードを二重線で示す。図20Aでは、スイッチ7bおよび7dは、スイッチ7cの通信経路とコストは等しいが、スイッチ7b、7dは通信経路ではないので通信パケットやログの収集対象から除外されたことを示す。
20A and 20B are block diagrams illustrating examples of service paths. In FIG. 20A and FIG. 20B, the nodes excluded from the devices that collect communication packets or logs by the equal cost
以上により、ファブリックやマルチシャーシのリンクアグリゲーションのように、等コストの通信経路が1つ以上存在する場合に、分析サーバ1がスイッチ7a〜7hのフロー割当アルゴリズムを管理し、テナントシステムの通信パケットが経由する機器が事前に計算できる場合は、通信パケットが経由しない機器をログ(または通信パケット)の収集対象から除外することができる。これにより、通信パケットやログを収集するデータ量を削減し、分析にかける時間を削減することができる。
As described above, the
以上のように、分析対象のレイヤが“レイヤ3”以上であれば、レイヤ別機器選択処理1303で選択したノードを通信パケットやログを収集する機器とし、分析対象のレイヤが“レイヤ2”であれば、全てのノードを選択した後に、通信経路とならないノードを除外する。これにより、テナントシステムが利用する通信経路から通信パケットやログの収集対象のノードを絞り込むことで、データ量の削減が可能となって、分析に要する時間を短縮できるのである。
As described above, if the analysis target layer is “Layer 3” or higher, the node selected in the device selection processing by
なお、上記実施例1では、分析サーバ1とキャプチャ装置2が独立した計算機で構成した例を示したが、同一の計算機で分析サーバの処理と、キャプチャ処理を実行しても良い。
In the first embodiment, the
本実施例2では、仮想マシンが送受信する通信パケットのキャプチャを、キャプチャ専用の仮想マシンを配備してキャプチャする例について説明する。キャプチャ専用の仮想マシンとは、パケットキャプチャソフトウェアをインストールした仮想マシンであったり、OF(Open Virtualization Format)等で提供されるパケットキャプチャ機能を備えた仮想マシン等で構成することができる。 In the second embodiment, an example will be described in which a capture of a communication packet transmitted and received by a virtual machine is performed by deploying a capture-dedicated virtual machine. The capture-dedicated virtual machine may be a virtual machine in which packet capture software is installed or a virtual machine having a packet capture function provided by OF (Open Virtualization Format) or the like.
図25は、第2の実施例における計算機システムの一例を示すブロック図である。 FIG. 25 is a block diagram illustrating an example of a computer system according to the second embodiment.
本実施例2における計算機システムの構成は、前記第1の実施例におけるキャプチャ装置2をサーバ8bの仮想マシン2Aに配備し、分析サーバ1にはキャプチャ用の仮想マシン2Aを管理する情報を追加し、その他の構成は前記第1の実施例と同様である。
In the configuration of the computer system in the second embodiment, the
仮想マシン11、12、13が送受信する通信パケットをキャプチャする仮想マシン2Aを配置するネットワークを決定するために、分析サーバ1は、第1の実施例の構成に加えて、インタフェースグループ管理テーブル2201と、キャプチャ用の仮想マシン2Aの構築と設定を行うためのキャプチャノード管理テーブル2202と、キャプチャ専用の仮想マシンに対応した収集方法決定処理1306aおよびキャプチャ設定処理512aを備える。
In order to determine a network in which the
図21Aは、インタフェースグループ管理テーブル2201の一例を示す図である。インタフェースグループ管理テーブル2201は、構成要素として、インタフェース識別子22011、インタフェースが所属するグループを管理するためのグループ識別子22012を含む。インタフェースグループの代表的な例は、仮想スイッチ806におけるポートグループである。仮想スイッチ806では、複数のポートを束ねてVLAN等の設定を行うために、ポートグループに各ポートを関連づける。
FIG. 21A is a diagram showing an example of the interface group management table 2201. The interface group management table 2201 includes, as components, an
図21Bは、キャプチャノード管理テーブル2202の一例を示す図である。キャプチャノード管理テーブル2202は、構成要素として、対象インタフェース22021、インタフェースグループ22022、物理ノード22023、収集・記録ノード22024、収集・記録インタフェース22025を含む。対象インタフェース22021は、キャプチャ対象とするインタフェースのインタフェース識別子である。インタフェースグループ22022は、キャプチャ対象とするインタフェースが接続する仮想スイッチのインタフェースが所属するグループの識別子である。物理ノード22023は、仮想スイッチ806が配備されている物理ノードのノード識別子である。収集・記録ノード22024は、キャプチャ専用の仮想マシン2Aのノード識別子であり、収集・記録インタフェース22025は、キャプチャ専用の仮想マシン2Aが備えるインタフェースのインタフェース識別子である。
FIG. 21B is a diagram showing an example of the capture node management table 2202. The capture node management table 2202 includes a
キャプチャ専用の仮想マシン2Aに対応した収集方法決定処理1306aは、第1の実施例で説明した収集方法決定処理1603の処理に加え、テナント構成DB540のログ種別管理テーブル547におけるノード種別5471が“VM”で、ログ種別5472が“キャプチャ”、収集ノード5473が“キャプチャVM”、記録ノード5474が“キャプチャVM”に対応した処理を追加する。他の処理については、第1の実施例と同様である。
In the collection method determination process 1306a corresponding to the capture-only
VM(WEB)12が送受信する通信パケットを仮想マシン2Aでキャプチャする例をもとに説明する。
A description will be given based on an example in which a communication packet transmitted / received by the VM (WEB) 12 is captured by the
分析サーバ1は、仮想マシン11、12、13の通信パケットを、キャプチャ専用の仮想マシン2Aでキャプチャする場合、ログ種別管理テーブル547には、ノード種別5471に“VM”、ログ種別5472に“キャプチャ”、収集ノード5473に“キャプチャVM”、記録ノード5474に“キャプチャVM”と事前に登録する。
When the
分析サーバ1は、収集ノード5473が“キャプチャVM”である場合、テナント構成DB540のノード管理テーブル542およびインタフェース管理テーブル543を参照し、VM(WEB)12が接続する仮想スイッチ806のノード識別子54、235、431と、ポートのインタフェース識別子5431を特定する。
When the
VM(WEB)12が接続する仮想スイッチ806のノード識別子はN7、仮想スイッチのポート808のインタフェース識別子はI10である。特定したインタフェースのインタフェース識別子=I10をもとに、分析サーバ1は、インタフェースグループ管理テーブル2201を参照し、VM(WEB)12が接続する仮想スイッチ806のポート808が属するインタフェースグループを特定する。分析サーバ1は、インタフェース識別子=I10が属するインタフェースグループ識別子22012はNW50と特定できる。
The node identifier of the
分析サーバ1は、VM(WEB)12のインタフェース識別子I5をキャプチャノード管理テーブル2202の対象インタフェース22021に、特定したインタフェースグループNW50を、キャプチャノード管理テーブル2202のインタフェースグループ22022に登録する。
The
さらに、分析サーバ1は、特定した仮想スイッチ806のノード識別子N7を基に、仮想ノード管理テーブル544を参照し、仮想スイッチ806が配置されている物理ノードであるサーバを特定する。特定したサーバのノード識別子5442をキャプチャノード管理テーブル2202の物理ノード22023に登録する。
Furthermore, the
収集・記録ノード22024及び収集・記録インタフェース22025には、キャプチャ専用の仮想マシン2Aを生成した時に、分析サーバ1が、生成した仮想マシン2Aのノード識別子と、インタフェース識別子を登録する。
In the collection /
以上により、対象とする仮想マシンの通信パケットをキャプチャするために、キャプチャ専用の仮想マシン2Aを配置するノード及び、仮想マシンの仮想NIC113、123に接続する仮想スイッチ806のインタフェースが属するインタフェースグループを特定することができる。以上で、収集方法決定処理1306aを終了する。
As described above, in order to capture the communication packet of the target virtual machine, the interface group to which the node of the
続いて、キャプチャ専用の仮想マシン2Aに対応したキャプチャ設定処理512aについて説明する。キャプチャ設定処理512aは、第1の実施例で説明した処理に加え、キャプチャノード管理テーブル2202を参照し、キャプチャ用の仮想マシン2Aの構築と設定を行う。
Next, the capture setting process 512a corresponding to the capture-only
図22は、キャプチャ設定処理512aの一例を示すフローチャートである。まず、キャプチャ設定処理512aは、キャプチャノード管理テーブル2202の対象インタフェース22021に登録されているインタフェースを選択し、対象インタフェース22021を含む仮想マシンを提供するサーバのノード識別子(22023)を特定する(ステップ2301)。
FIG. 22 is a flowchart illustrating an example of the capture setting process 512a. First, the capture setting process 512a selects an interface registered in the
図21Bに示すキャプチャノード管理テーブル2202では、対象インタフェース22021=I5と対象インタフェースが接続する仮想スイッチ806が配置されているサーバは、物理ノード22023の欄を参照することにより、N11で示されるノードであるサーバ8aと特定できる。
In the capture node management table 2202 shown in FIG. 21B, the server on which the
キャプチャ設定処理512aは、特定したサーバ8aの仮想基盤805に、該当するテナントのキャプチャ用仮想マシン2Aが構築されているか否かを判定する(ステップ2302)。仮想マシン2Aが構築いない場合(ステップ2302でNo)、キャプチャ設定処理512aは、特定したサーバ8aの仮想基盤805に対して、キャプチャ用の仮想マシン2Aを生成するように指示する(ステップ2305)。
The capture setting process 512a determines whether or not the capture
キャプチャ用の仮想マシン2Aを構築した後、仮想基盤805は構築した仮想マシン2Aに仮想NICを追加(ステップ2306)し、追加した仮想NICを、キャプチャ対象とする仮想マシンと同じインタフェースグループに属するようにキャプチャ設定処理512aが設定する(ステップ2307)。設定が終了した後、キャプチャするインタフェース(22011)とファイル名を指定して仮想マシン2Aのキャプチャソフトウェアを実行する。
After constructing the capture
キャプチャ設定処理512aは、キャプチャノード管理テーブル2202に登録された記録・収集ノード22024のノード識別子を、収集インタフェース管理テーブル564のノード識別子5642および記録ノード5644の欄に登録する。キャプチャ設定処理512aは、収集・記録インタフェース22025のインタフェース識別子を、収集インタフェース管理テーブル564のインタフェース識別子5641に登録する。また、テナント識別子5643およびキャプチャソフトウェアを実行する時に指定したディレクトリとファイル名をキャプチャファイル名5645の欄に登録する。
The capture setting process 512 a registers the node identifier of the recording /
キャプチャ設定処理512aは、特定したサーバ8aの仮想基盤805に、該当するテナントのキャプチャ用仮想マシン2Aが構築されている場合(ステップ2302でYes)は、新たなキャプチャ用仮想マシンの構築は行わない。キャプチャ設定処理512aは、構築済みのキャプチャ用仮想マシン2Aの仮想NICが接続するポートを含むインタフェースグループ識別子22012を取得し、キャプチャノード管理テーブル2202に登録されているインタフェースグループと比較する。インタフェースグループが一致しない場合(ステップ2303でNo)は、キャプチャ用仮想マシン2Aに仮想NICを追加して、インタフェースグループを設定する(ステップ2306、2307)。そして、キャプチャ設定処理512aは、収集インタフェース管理テーブル564に、インタフェース識別子5641、ノード識別子5642、テナント識別子5643、記録ノード5644、キャプチャファイル名5645を登録する。
The capture setting processing 512a does not construct a new capture virtual machine when the capture
インタフェースグループが一致する場合(ステップ2303でYes)は、収集インタフェース管理テーブル564のインタフェース識別子5641から、キャプチャノード管理テーブル2202の収集・記録インタフェース22025に登録されたインタフェース識別子を取得し、テナント識別子5643のみを登録する。
If the interface groups match (Yes in step 2303), the interface identifier registered in the collection /
以上により、キャプチャ設定処理512aを終了する。その他の処理については、第1の実施例と同様の処理を行う。 Thus, the capture setting process 512a ends. Other processes are the same as those in the first embodiment.
以上により、仮想マシン11〜13の通信パケットをキャプチャ用の仮想マシン2Aを用いてキャプチャすることが可能になる。本第2の実施例におけるキャプチャ設定処理によると、1つのサーバに複数の仮想マシンが構築されている場合でも、インタフェースグループが一致する場合には、1つのキャプチャ用の仮想マシン2Aで複数の仮想マシンの通信パケットをキャプチャすることができ、キャプチャ用の仮想マシン2Aの数を削減することができる。
As described above, communication packets of the
本実施例3では、テナントシステムが提供するサービスと、サービスが利用するプロトコルのポート番号との対応関係を管理し、サービスを提供する仮想マシンのIPアドレスやポート番号の設定変更前後においてサービスが継続していることを分析する例について説明する。 In the third embodiment, the correspondence between the service provided by the tenant system and the port number of the protocol used by the service is managed, and the service continues before and after the setting of the IP address and port number of the virtual machine providing the service is changed. An example of analyzing what is being done will be described.
本実施例3におけるシステム構成は第1の実施例における構成と同様である。分析サーバ1は、第1の実施例で説明したすべての処理およびDBを備える。さらに、テナント構成DB540内に、テナントシステムで提供するサービスと、サービスが利用するポート番号との対応関係を登録したサービスポート管理テーブル2401と、第1の実施例の到達判定テーブル572の構成要素に、提供サービス5727を加えた到達判定テーブル572Aを備える。
The system configuration in the third embodiment is the same as that in the first embodiment. The
図23Aは、第3の実施例のサービスポート管理テーブル2401の一例を示す図である。サービスポート管理テーブル2401は、構成要素として、サービス提供ノード24011、サービス24012、プロトコル24013、ポート番号24014を含む。
FIG. 23A is a diagram illustrating an example of the service port management table 2401 according to the third embodiment. The service port management table 2401 includes a
サービス提供ノード24011は、サービスを提供するノードのノード識別子である。サービス24012は、サービス提供ノードで示されるノードが提供するサービスの名称である。例として、HTTP(Hyper text Transport Protocol)やFTP(File Transport Protocol)等が含まれる。プロトコル24013は、サービスを提供するために使用するプロトコルの種類である。例として、TCP、UDP、ICMP等が含まれる。ポート番号24014は、サービスを提供するために利用するポート番号である。
The
図23Bは、第3の実施例の到達判定テーブル572Aの一例を示す図である。到達判定テーブル572Aは、第1の実施例の到達判定テーブル572に、ノードが提供するサービスの名称を格納する提供サービス5727を加えたもので、その他の構成は前記実施例1と同様である。
FIG. 23B is a diagram illustrating an example of the arrival determination table 572A according to the third embodiment. The arrival determination table 572A is obtained by adding a
管理者は、サービスを提供する仮想マシンの設定変更を実施する以前に、分析サーバ1に対して、情報の収集開始及び分析開始を指示し、テナントシステムに関連するネットワークの状態分析を依頼する。
The administrator instructs the
テナントシステムの論理構成は図14Aに示したとおりで第1の実施例と同一である。第1の実施例と同様に、分析サーバ1は、テナントシステムのネットワーク構成を分析する。
The logical configuration of the tenant system is as shown in FIG. 14A and is the same as that of the first embodiment. Similar to the first embodiment, the
図24に、第3の実施例における到達判定処理532aの一例を示すフローチャートを示す。第3の実施例における到達判定処理532aでは、前記第1の実施例の図16Aに示したセッション計算1603の後に、サービス特定処理2501を加えたものであり、その他の構成は、第1の実施例の到達判定処理532と同様である。
FIG. 24 is a flowchart showing an example of the arrival determination process 532a in the third embodiment. In the arrival determination process 532a in the third embodiment, a
図24のサービス特定処理2501は、パケット比較処理1602(図17参照)で特定した比較先パケットの宛先IPアドレスおよびポート番号から、該当テナントのサービスポート管理テーブル2401を参照し、サービスの宛先となるノードで提供するサービス24012を特定する。
The
ステップ1604では、ステップ1602、1603の処理結果に加え、サービス特定処理2501で特定したサービスを、分析サーバ1が到達判定テーブル572Aの提供サービス5727の欄に登録し、変更前の到達判定テーブル572Aを作成する。
In
以上により、設定変更前のテナントシステムにおいて、サービスの宛先となるノードに通信パケットが到達しているサービスの一覧を含む到達判定テーブル572Aを作成することができる。 As described above, in the tenant system before the setting change, the arrival determination table 572A including the list of services that have reached the communication destination node can be created.
管理者によるサービスを提供する仮想マシンの設定の変更後、設定変更に伴って変更が必要なテナント構成DB540の各種テーブルの登録内容を分析サーバ1が変更する。例えば、仮想マシンの宛先IPアドレスを変更した場合、ノード管理テーブル542、インタフェース管理テーブル543、アドレス管理テーブル545、ポリシー管理テーブル456への変更が必要である。
After the setting of the virtual machine that provides the service by the administrator is changed, the
テナント構成DB540の変更後、管理者は、分析サーバ1に対して、情報の収集開始及び分析開始を指示しテナントシステムに関連するネットワークの状態分析を指示する。分析サーバ1は、変更前と同様の処理を行い、設定変更後のテナントシステムにおいて、サービスの宛先となるノードに通信パケットが到達しているサービスの一覧を含む到達判定テーブル2402b作成する。
After changing the
設定変更前の到達判定テーブル2402aと、設定変更後の到達判定テーブル2402bに含まれるサービスを比較する。設定変更前の到達判定テーブル2402aに含まれるすべてのサービスが、設定変更後の到達判定テーブル2402bに含まれている場合は、設定変更後もすべてのサービスが継続していると判定できる。一方、設定変更前の到達判定テーブル2402aに含まれるサービスと、設定変更後の到達判定テーブル2402bに含まれるサービスが異なる場合は、設定変更により、サービスが継続できなかったと判定する。継続できなかったサービスの通信パケットを廃棄したノードは、廃棄ノード特定処理により特定できる。 The services included in the arrival determination table 2402a before the setting change and the arrival determination table 2402b after the setting change are compared. When all the services included in the arrival determination table 2402a before the setting change are included in the arrival determination table 2402b after the setting change, it can be determined that all the services continue after the setting change. On the other hand, if the service included in the arrival determination table 2402a before the setting change is different from the service included in the arrival determination table 2402b after the setting change, it is determined that the service could not be continued due to the setting change. The node that has discarded the communication packet of the service that could not be continued can be specified by the discard node specifying process.
以上により、サービスを提供する仮想マシンの設定変更の前後において同一のサービスが継続していることを分析できる。 As described above, it is possible to analyze that the same service continues before and after the setting change of the virtual machine that provides the service.
なお、本発明において説明した計算機等の構成、処理部及び処理手段等は、それらの一部又は全部を、専用のハードウェアによって実現してもよい。 The configuration of the computer, the processing unit, the processing unit, and the like described in the present invention may be partially or entirely realized by dedicated hardware.
また、本実施例で例示した種々のソフトウェアは、電磁的、電子的及び光学式等の種々の記録媒体(例えば、非一時的な記憶媒体)に格納可能であり、インターネット等の通信網を通じて、コンピュータにダウンロード可能である。 In addition, the various software exemplified in the present embodiment can be stored in various recording media (for example, non-transitory storage media) such as electromagnetic, electronic, and optical, and through a communication network such as the Internet. It can be downloaded to a computer.
また、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明をわかりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。 The present invention is not limited to the above-described embodiments, and includes various modifications. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described.
1 分析サーバ
2 キャプチャ装置
5 クライアント
6 広域ネットワーク
7a〜7h スイッチ
8a〜8f サーバ
9a ファイやウォール
10a ロードバランサ
11、12、13 仮想マシン
111、121 サービス
112 122 OS
113、123 仮想NIC
71、91、401、802 CPU
72、92、402、803 メモリ
73、93、403、804 インタフェース
404 メディアインタフェース
405 入出力装置
406 外部記録媒体
407 コンソール
501 指示受付処理
510 設定処理
511 収集機器選択処理
512 キャプチャ設定処理
513 トラフィックログ収集設定処理
519 スイッチ管理テーブル
520 収集処理
521 トラフィックログ収集処理
522 パケット収集処理
530 分析処理
531 テナントパケット抽出処理
532 到達判定処理
533 廃棄ノード特定処理
540 テナント構成DB
541、561、571 テナント識別子
542 ノード管理テーブル
543 インタフェース管理テーブル
544 仮想ノード管理テーブル
545 アドレス変換テーブル
546 ポリシー管理テーブル
547 ログ種別管理テーブル
548 分析レイヤ管理テーブル
550 パケット蓄積DB
560 収集管理DB
562 キャプチャインタフェース管理テーブル
563 トラフィックログ収集管理テーブル
564 収集インタフェース管理テーブル
570 分析結果DB
572 到達判定テーブル
573 廃棄ノード特定テーブル
721、921 ルーティングテーブル
722 フロー割り当て処理
723 923転送処理
806 仮想スイッチ
807、808、809 ポート
810 キャプチャ機能
922 ポリシーテーブル
924 アドレス変換処理
925 アクセス制御処理
926 ログ記録処理
DESCRIPTION OF
113, 123 Virtual NIC
71, 91, 401, 802 CPU
72, 92, 402, 803
541, 561, 571 Tenant identifier 542 Node management table 543 Interface management table 544 Virtual node management table 545 Address translation table 546 Policy management table 547 Log type management table 548 Analysis layer management table 550 Packet storage DB
560 Collection management DB
562 Capture interface management table 563 Traffic log collection management table 564 Collection interface management table 570 Analysis result DB
572 Arrival determination table 573 Discarded node specification table 721, 921 Routing table 722
Claims (15)
前記分析サーバは、
前記テナントの前記情報処理システムのネットワークを構成するノードの構成情報と、
前記構成情報に基づいて、前記ネットワークのノードのうち通信記録情報を収集するノードを選択する設定処理部と、
前記選択されたノードに前記通信記録情報を収集させる収集処理部と、
前記収集された前記通信記録情報を取得して、前記ネットワークの状態を分析する分析処理部と、を備え、
前記分析処理部は、
前記ネットワークにおいて分析対象レイヤの端点となるノード間で通信パケットの通信経路を計算するサービス経路計算処理部と、
前記分析対象レイヤの第1の端点となる第1のノードの通信記録情報と、第2の端点となる第2のノードの通信記録情報とを比較し、前記第1のノードの通信パケットが、前記第2のノードに到達したことを判定する到達判定処理部と、
前記第2のノードに未到達の通信パケットを廃棄したノードを特定する特定処理部と、
を備えることを特徴とする分析サーバ。 An analysis server that analyzes a network state of one or more tenants constructed on an information processing system including a server and a network device,
The analysis server
Configuration information of nodes constituting the network of the information processing system of the tenant;
Based on the configuration information, a setting processing unit that selects a node that collects communication record information among nodes of the network;
A collection processing unit for causing the selected node to collect the communication record information;
An analysis processing unit that acquires the collected communication record information and analyzes the state of the network, and
The analysis processing unit
A service route calculation processing unit for calculating a communication route of a communication packet between nodes serving as end points of an analysis target layer in the network;
The communication record information of the first node that is the first endpoint of the analysis target layer is compared with the communication record information of the second node that is the second endpoint, and the communication packet of the first node is: An arrival determination processing unit for determining that the second node has been reached;
A specific processing unit that identifies a node that has discarded a communication packet that has not reached the second node;
An analysis server comprising:
前記設定処理部は、
前記ネットワークの状態を分析するレイヤ毎に、前記ネットワークの状態を分析するために通信記録情報を収集するノードとの対応関係を保持し、
前記分析対象レイヤを受け付けて、前記分析対象レイヤと前記対応関係とに基づいて、通信記録情報を収集するノードを選択することを特徴とする分析サーバ。 The analysis server according to claim 1,
The setting processing unit
For each layer that analyzes the state of the network, maintain a correspondence with a node that collects communication record information in order to analyze the state of the network;
An analysis server that receives the analysis target layer and selects a node that collects communication record information based on the analysis target layer and the correspondence relationship.
前記設定処理部は、さらに、
前記テナントの情報処理システムを構成するノードの種別と、前記ノードの通信記録情報を収集するノードとの対応関係を保持し、
前記対応関係に基づいて、前記通信記録情報を収集するノードを選択することを特徴とする分析サーバ。 The analysis server according to claim 2,
The setting processing unit further includes:
Holding the correspondence between the type of the node constituting the information processing system of the tenant and the node collecting the communication record information of the node;
An analysis server, wherein a node that collects the communication record information is selected based on the correspondence relationship.
前記ネットワークは、
通信コストが等しい複数の通信経路を含み、
前記設定処理部は、さらに、
前記テナントの情報処理システムを構成するノードと、前記ノードが使用する前記複数の通信経路におけるフロー割当アルゴリズムとの対応関係を保持し、
前記対応関係に基づいて、前記テナントの通信パケットが経由しないノードを通信記録情報を収集するノードから除外することを特徴とする分析サーバ。 The analysis server according to claim 3,
The network is
Including multiple communication paths with equal communication costs,
The setting processing unit further includes:
Holding a correspondence relationship between the nodes constituting the information processing system of the tenant and the flow allocation algorithm in the plurality of communication paths used by the node;
An analysis server characterized in that, based on the correspondence relationship, a node through which a communication packet of the tenant does not pass is excluded from a node that collects communication record information.
前記特定処理部は、
前記未到達の通信パケットに含まれる宛先となるノードの通信記録情報と、前記第1のノードの通信記録情報とを比較して、前記未到達の通信パケットを廃棄したノードまたはノードの範囲を特定することを特徴とする分析サーバ。 The analysis server according to any one of claims 1 to 4, wherein
The specific processing unit is
The communication record information of the destination node included in the unreachable communication packet is compared with the communication record information of the first node, and the node or the range of nodes that discarded the unreachable communication packet is specified. An analysis server characterized by
前記通信記録情報は、
トラフィックログを含み、
前記到達判定処理部は、さらに、
前記第2のノードに未到達の通信パケットが含まれるセッション情報を計算し、
前記特定処理部は、
前記通信記録情報を収集するノードの中から通信経路の端点となるノードを選択し、前記選択したノードの通信記録情報がトラフィックログである場合に、前記到達判定処理部が計算したセッション情報と、前記トラフィックログに記録されたセッション情報とを比較し、前記未到達の通信パケットを廃棄したノードを特定することを特徴とする分析サーバ。 The analysis server according to claim 5,
The communication record information is
Including traffic logs,
The arrival determination processing unit further includes:
Calculating session information including a communication packet that has not reached the second node;
The specific processing unit is
Selecting a node that is an end point of a communication path from the nodes that collect the communication record information, and when the communication record information of the selected node is a traffic log, the session information calculated by the arrival determination processing unit, An analysis server characterized by comparing with session information recorded in the traffic log and identifying a node that has discarded the unreachable communication packet.
前記通信記録情報は、
前記通信パケットを含み、
前記到達判定処理部は、
前記第1のノードの通信記録情報に記録された通信パケットと、もう一方の端点となる第2のノードの通信記録情報に記録された通信パケットのTCPまたはUDPヘッダのチェックサムを比較し、前記チェックサムが一致した場合に、TCPまたはUDPペイロードを比較し、ペイロードが一致する場合に、到達と判断することを特徴とする分析サーバ。 The analysis server according to claim 1,
The communication record information is
Including the communication packet;
The arrival determination processing unit
Comparing the checksum of the TCP or UDP header of the communication packet recorded in the communication record information of the first node and the communication packet recorded in the communication record information of the second node as the other end point, An analysis server characterized by comparing TCP or UDP payloads when checksums match and determining arrival when the payloads match.
前記到達判定処理部は、さらに
前記テナントの情報処理システムで変換される、変換前のIPアドレスとTCPまたはUDPポート番号と、変換後のIPアドレスとTCPまたはUDPポート番号との対応関係を保持し、
前記第1のノードで記録された通信記録情報の前記変換後のTCPまたはUDPチェックサムを計算し、
前記計算したチェックサムと、前記第2のノードで記録された通信記録情報のTCPまたはUDPチェックサムとを比較することを特徴とする分析サーバ。 The analysis server according to claim 7,
The arrival determination processing unit further maintains a correspondence relationship between the IP address before conversion and the TCP or UDP port number, and the IP address after conversion and the TCP or UDP port number, which are converted by the information processing system of the tenant. ,
Calculating the converted TCP or UDP checksum of the communication record information recorded at the first node;
An analysis server that compares the calculated checksum with a TCP or UDP checksum of communication record information recorded in the second node.
前記計算機が、前記テナントの前記情報処理システムのネットワークを構成するノードの構成情報に基づいて、前記ネットワークのノードのうち通信記録情報を収集するノードを選択する第1のステップと、
前記計算機が、前記選択されたノードに前記通信記録情報を収集させる第2のステップと、
前記計算機が、前記収集された前記通信記録情報を取得して、前記ネットワークの状態を分析する第3のステップと、を含み、
前記第3のステップは、
前記ネットワークにおいて分析対象レイヤの端点となるノード間で通信パケットの通信経路を計算するステップと、
前記分析対象レイヤの第1の端点となる第1のノードの通信記録情報と、第2の端点となる第2のノードの通信記録情報とを比較し、前記第1のノードの通信パケットが、前記第2のノードに到達したことを判定するステップと、
前記第2のノードに未到達の通信パケットを廃棄したノードを特定するステップと、を含むことを特徴とする分析方法。 An analysis method for analyzing a state of a network of one or more tenants constructed on an information processing system including a server and a network device by a computer including a processor and a memory,
A first step in which the computer selects a node that collects communication record information among nodes of the network based on configuration information of a node that configures a network of the information processing system of the tenant;
A second step in which the computer collects the communication record information in the selected node;
A third step in which the computer acquires the collected communication record information and analyzes a state of the network;
The third step includes
Calculating a communication path of a communication packet between nodes serving as end points of an analysis target layer in the network;
The communication record information of the first node that is the first endpoint of the analysis target layer is compared with the communication record information of the second node that is the second endpoint, and the communication packet of the first node is: Determining that the second node has been reached;
Identifying a node that has discarded a communication packet that has not reached the second node.
前記第1のステップは、
前記ネットワークの状態を分析するレイヤ毎に、前記ネットワークの状態を分析するために通信記録情報を収集するノードとの対応関係を保持し、前記分析対象レイヤを受け付けて、前記分析対象レイヤと前記対応関係とに基づいて、通信記録情報を収集するノードを選択することを特徴とする分析方法。 The analysis method according to claim 9, comprising:
The first step includes
For each layer that analyzes the state of the network, holds a correspondence relationship with a node that collects communication record information to analyze the state of the network, accepts the analysis target layer, and corresponds to the analysis target layer and the correspondence An analysis method comprising: selecting a node that collects communication record information based on the relationship.
第2のステップは、さらに、
前記テナントの情報処理システムを構成するノードの種別と、前記ノードの通信記録情報を収集するノードとの対応関係を保持し、
前記対応関係に基づいて、前記通信記録情報を収集するノードを選択することを特徴とする分析方法。 The analysis method according to claim 10, comprising:
The second step further includes
Holding the correspondence between the type of the node constituting the information processing system of the tenant and the node collecting the communication record information of the node;
An analysis method comprising: selecting a node that collects the communication record information based on the correspondence relationship.
前記ネットワークは、
通信コストが等しい複数の通信経路を含み、
前記第2のステップは、さらに、
前記テナントの情報処理システムを構成するノードと、前記ノードが使用する前記複数の通信経路におけるフロー割当アルゴリズムとの対応関係を保持し、
前記対応関係に基づいて、前記テナントの通信パケットが経由しないノードを通信記録情報を収集するノードから除外することを特徴とする分析方法。 The analysis method according to claim 11, comprising:
The network is
Including multiple communication paths with equal communication costs,
The second step further comprises:
Holding a correspondence relationship between the nodes constituting the information processing system of the tenant and the flow allocation algorithm in the plurality of communication paths used by the node;
An analysis method characterized in that, based on the correspondence relationship, a node through which a communication packet of the tenant does not pass is excluded from a node that collects communication record information.
前記第2のノードに未到達の通信パケットを廃棄したノードを特定するステップは、
前記未到達の通信パケットに含まれる宛先となるノードの通信記録情報と、前記第1のノードの通信記録情報とを比較して、前記未到達の通信パケットを廃棄したノードまたはノードの範囲を特定することを特徴とする分析方法。 The analysis method according to any one of claims 9 to 12,
The step of identifying a node that has discarded a communication packet that has not reached the second node includes:
The communication record information of the destination node included in the unreachable communication packet is compared with the communication record information of the first node, and the node or the range of nodes that discarded the unreachable communication packet is specified. An analysis method characterized by:
前記通信記録情報は、
トラフィックログを含み、
前記第1のノードの通信パケットが、前記第2のノードに到達したことを判定するステップは、さらに、
前記第2のノードに未到達の通信パケットが含まれるセッション情報を計算し、
前記第2のノードに未到達の通信パケットを廃棄したノードを特定するステップは、
前記通信記録情報を収集するノードの中から通信経路の端点となるノードを選択し、前記選択したノードの通信記録情報がトラフィックログである場合に、前記計算されたセッション情報と、前記トラフィックログに記録されたセッション情報とを比較し、前記未到達の通信パケットを廃棄したノードを特定することを特徴とする分析方法。 The analysis method according to claim 13, comprising:
The communication record information is
Including traffic logs,
Determining that the communication packet of the first node has reached the second node further comprises:
Calculating session information including a communication packet that has not reached the second node;
The step of identifying a node that has discarded a communication packet that has not reached the second node includes:
When a node that is an end point of a communication path is selected from the nodes that collect the communication record information, and the communication record information of the selected node is a traffic log, the calculated session information and the traffic log An analysis method comprising comparing the recorded session information and identifying a node that has discarded the unreachable communication packet.
前記通信記録情報は、
前記通信パケットを含み、
前記第1のノードの通信パケットが、前記第2のノードに到達したことを判定するステップは、
前記第1のノードの通信記録情報に記録された通信パケットと、もう一方の端点となる第2のノードの通信記録情報に記録された通信パケットのTCPまたはUDPヘッダのチェックサムを比較し、前記チェックサムが一致した場合に、TCPまたはUDPペイロードを比較し、ペイロードが一致する場合に、到達と判断することを特徴とする分析方法。 The analysis method according to claim 9, comprising:
The communication record information is
Including the communication packet;
Determining that the communication packet of the first node has reached the second node;
Comparing the checksum of the TCP or UDP header of the communication packet recorded in the communication record information of the first node and the communication packet recorded in the communication record information of the second node as the other end point, An analysis method characterized by comparing TCP or UDP payloads when the checksums match, and determining arrival when the payloads match.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013095226A JP5894963B2 (en) | 2013-04-30 | 2013-04-30 | Analysis server and analysis method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013095226A JP5894963B2 (en) | 2013-04-30 | 2013-04-30 | Analysis server and analysis method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014216991A JP2014216991A (en) | 2014-11-17 |
JP5894963B2 true JP5894963B2 (en) | 2016-03-30 |
Family
ID=51942287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013095226A Expired - Fee Related JP5894963B2 (en) | 2013-04-30 | 2013-04-30 | Analysis server and analysis method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5894963B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016143066A1 (en) * | 2015-03-10 | 2016-09-15 | 株式会社日立製作所 | Information processing device and port mirroring position selection method |
US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
CN110023908B (en) * | 2017-03-31 | 2020-12-08 | 三菱电机株式会社 | Information processing apparatus and information processing method |
JP7192367B2 (en) * | 2018-10-01 | 2022-12-20 | 日本電気株式会社 | Communication failure analysis device, communication failure analysis system, communication failure analysis method and communication failure analysis program |
JP7388203B2 (en) | 2020-01-20 | 2023-11-29 | 株式会社Ihi | Communication management device in container-type virtualization environment |
JP6998982B2 (en) * | 2020-03-19 | 2022-02-10 | 東日本電信電話株式会社 | Packet comparison program |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7239610B2 (en) * | 2002-07-18 | 2007-07-03 | Lucent Technologies Inc. | Methods and devices for partial upper layer frame loss detection based retransmission |
JP4311675B2 (en) * | 2005-03-04 | 2009-08-12 | 日本電信電話株式会社 | Quality degradation isolation method and apparatus |
JP4665639B2 (en) * | 2005-07-19 | 2011-04-06 | 日本電気株式会社 | Communication quality monitoring system, communication quality monitoring device, communication quality degradation point identifying device, method and program in the device |
JP2009015392A (en) * | 2007-06-29 | 2009-01-22 | Mitsubishi Electric Corp | Communication device and communication method |
JP5039678B2 (en) * | 2007-12-25 | 2012-10-03 | 株式会社日立製作所 | Network management system, edge node and access device |
US8352594B2 (en) * | 2008-06-12 | 2013-01-08 | Panasonic Corporation | Network monitoring device, bus system monitoring device, method and program |
EP2352355B1 (en) * | 2008-11-28 | 2014-07-02 | Panasonic Corporation | Path control device, path control method, and path control program |
JP5093160B2 (en) * | 2009-03-11 | 2012-12-05 | 富士通株式会社 | Communication device |
JP5207082B2 (en) * | 2010-01-15 | 2013-06-12 | 日本電気株式会社 | Computer system and computer system monitoring method |
JP5664645B2 (en) * | 2010-02-18 | 2015-02-04 | 日本電気株式会社 | Quality degradation location analysis system, quality degradation location analysis apparatus, quality degradation location analysis method and program |
JP2012129648A (en) * | 2010-12-13 | 2012-07-05 | Fujitsu Ltd | Server device, management device, transfer destination address setting program, and virtual network system |
JP2012182605A (en) * | 2011-03-01 | 2012-09-20 | Hitachi Ltd | Network control system and administrative server |
JP5524885B2 (en) * | 2011-03-08 | 2014-06-18 | 株式会社日立製作所 | Collector device, network management system, and network management method |
-
2013
- 2013-04-30 JP JP2013095226A patent/JP5894963B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014216991A (en) | 2014-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11625154B2 (en) | Stage upgrade of image versions on devices in a cluster | |
US20230052818A1 (en) | Controller driven reconfiguration of a multi-layered application or service model | |
US11329914B2 (en) | User customization and automation of operations on a software-defined network | |
US10313178B2 (en) | Virtual network inter-container communication | |
JP5894963B2 (en) | Analysis server and analysis method | |
Koerner et al. | Multiple service load-balancing with OpenFlow | |
CN105684365B (en) | Network control of network functions using software defined flow mapping and virtualization | |
US9787570B2 (en) | Dynamic feature peer network for application flows | |
JP5976942B2 (en) | System and method for providing policy-based data center network automation | |
US9871720B1 (en) | Using packet duplication with encapsulation in a packet-switched network to increase reliability | |
CN102668467B (en) | Computer system and monitoring method for computer system | |
Qi et al. | Assessing container network interface plugins: Functionality, performance, and scalability | |
US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
JP2018033136A (en) | Method and system for processing load balancing using virtual switch in virtual network environment | |
US20160006642A1 (en) | Network-wide service controller | |
US10230628B2 (en) | Contract-defined execution of copy service | |
US11671401B2 (en) | Providing persistent external internet protocol address for extra-cluster services | |
US20140105031A1 (en) | Feature peer network representations and scalable feature peer network management | |
JP5861772B2 (en) | Network appliance redundancy system, control device, network appliance redundancy method and program | |
Rafiq et al. | Intent-based networking with proactive load distribution in data center using IBN manager and Smart Path manager | |
EP3646533A1 (en) | Inline stateful monitoring request generation for sdn | |
JP6036506B2 (en) | Program and information processing apparatus for specifying fault influence range | |
US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
Marttila | Design and Implementation of the clusterf Load Balancer for Docker Clusters | |
US9853885B1 (en) | Using packet duplication in a packet-switched network to increase reliability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150316 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160229 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5894963 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |