JP5977706B2 - Data exchange system and method for setting environment that enables data exchange between virtual private clouds - Google Patents

Data exchange system and method for setting environment that enables data exchange between virtual private clouds Download PDF

Info

Publication number
JP5977706B2
JP5977706B2 JP2013074776A JP2013074776A JP5977706B2 JP 5977706 B2 JP5977706 B2 JP 5977706B2 JP 2013074776 A JP2013074776 A JP 2013074776A JP 2013074776 A JP2013074776 A JP 2013074776A JP 5977706 B2 JP5977706 B2 JP 5977706B2
Authority
JP
Japan
Prior art keywords
data exchange
virtual private
tenant
exchange area
private cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013074776A
Other languages
Japanese (ja)
Other versions
JP2014200010A (en
Inventor
秀樹 藤岡
秀樹 藤岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2013074776A priority Critical patent/JP5977706B2/en
Publication of JP2014200010A publication Critical patent/JP2014200010A/en
Application granted granted Critical
Publication of JP5977706B2 publication Critical patent/JP5977706B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、データ交換システム、及び仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法に関する。   The present invention relates to a data exchange system and a method for setting an environment that enables data exchange between virtual private clouds.

昨今、クラウドコンピューティングが注目を浴びている。自身でコンピューティングリソースを資産として持たず、使用した分だけ利用料金を払うという形態は、従来のオンプレミス型で、余裕のあるコンピューティングリソースを購入して利用するのに対して、コストの大幅削減が可能となる。   Recently, cloud computing has attracted attention. The form of paying only the usage fee without using computing resources as an asset by itself is a conventional on-premise type, and purchasing and using computing resources with sufficient margins, drastically reducing costs Is possible.

しかしながら、パブリッククラウドを利用するにあたって、セキュリティ面での危険性を鑑み、プライベートクラウドを構築する企業も増えている。パブリッククラウドと、プライベートクラウドを比較すると、プライベートクラウドは、当初にリソースを購入してオンプレミス、あるいは専用線などで接続したデータセンタに設置するために、セキュリティ面での安全性が高いという特徴があるが、リソースに上限があるために、必要な時にリソース不足になる可能性がある。逆にパブリッククラウドは、潤沢なリソースを用意しているため、必要な時に必要なだけリソースを確保できるというメリットがあるものの、パブリッククラウド事業者に自社のデータを預けることになるため、安全性に不安がある。この2つのクラウドの良い点を組み合わせて、安全性が高くなくてもよいデータはパブリッククラウドに配置し、安全性を確保しなければならないデータは、プライベートクラウドに配置するという複数のクラウドサービスを利用したハイブリッドクラウドが構築されるようになってきている。   However, in view of the dangers of security when using public clouds, an increasing number of companies construct private clouds. Comparing the public cloud with the private cloud, the private cloud is characterized by high security in terms of security because it is initially installed in a data center that is purchased on-premises or connected via a dedicated line. However, because there is an upper limit on resources, there is a possibility of resource shortage when necessary. On the other hand, the public cloud has abundant resources, so there is a merit that you can secure resources as much as you need, but it will be safe because it will leave your data to public cloud operators. I have anxiety. By combining the good points of these two clouds, data that does not need to be secure is placed in the public cloud, and data that must be secured is placed in a private cloud. A hybrid cloud is being built.

この時、パブリッククラウドとプライベートクラウド間の通信の安全性の確保、パブリッククラウドのマルチテナント環境でのテナント間の分離のために、仮想プライベートクラウドが構築されるようになっている。仮想プライベートクラウドは、パブリッククラウド上で、仮想ネットワークを用いてテナント間の通信を分離することで、あたかも、各テナントのプライベートクラウドを構築できるようにしたものである。プライベートクラウドと仮想プライベートクラウド間は、VPN(Virtual Private Network)を用いて接続することで、仮想プライベートクラウド上の仮想マシンに、プライベートクラウド同様、テナントごとにIPアドレスを自由に割り振ることが可能である。   At this time, a virtual private cloud is constructed in order to ensure the safety of communication between the public cloud and the private cloud and to separate the tenants in the multi-tenant environment of the public cloud. The virtual private cloud is configured so that a private cloud of each tenant can be constructed by separating communication between tenants using a virtual network on a public cloud. By connecting between the private cloud and the virtual private cloud using VPN (Virtual Private Network), it is possible to freely assign an IP address for each tenant to a virtual machine on the virtual private cloud, as in the private cloud. .

各テナントが仮想プライベートクラウドを利用している場合、同じクラウドプラットーフォームを利用していたとしても、仮想プライベートクラウド間で簡単にデータ交換の仕組みは用意されていない。そのため、データ交換用のオンラインストレージサービスを利用するか、データ交換を行いたいテナント同士の間を別途ネットワークで接続しなければならない。例えば、多数のオンラインストレージサービスでは、ストレージサービス上に格納した任意のファイルにURLを付与し、URL経由でアクセスしてダウンロードすることで、任意のユーザ同士でファイルを共有することができる機能を提供している。また特定のユーザ同士でアクセス可能な共有フォルダを作成する機能を提供しているものもある(非特許文献1参照)。   When each tenant uses a virtual private cloud, even if the same cloud platform is used, a mechanism for easily exchanging data between virtual private clouds is not prepared. Therefore, it is necessary to use an online storage service for exchanging data, or to connect tenants who want to exchange data with another network. For example, many online storage services provide a function that allows users to share files by assigning a URL to any file stored on the storage service and accessing and downloading via the URL. doing. Some also provide a function of creating a shared folder accessible by specific users (see Non-Patent Document 1).

「Dropbox、「リンクの取得」機能で非ユーザーとのファイル共有を可能に」,ITmediaニュース(2012年4月24日);http://www.itmedia.co.jp/news/articles/1204/24/news046.html“Dropbox makes it possible to share files with non-users with the“ get link ”function”, ITmedia News (April 24, 2012); http://www.itmedia.co.jp/news/articles/1204/ 24 / news046.html

しかしながら、仮想プライベートクラウドを利用している利用者同士で、データ交換を行うにあたって、仮想プライベートクラウドと別のオンラインストレージサービスを利用することになると、一旦オンプレミス側のインターネットの出口を経由して、オンラインストレージにアクセスしないといけない。このため、(i)ネットワーク面での遅延が発生する、(ii)クラウドストレージのファイルを指すURLが漏洩すると、ファイルを共有したいテナント以外の利用者にもアクセスができてしまう、(iii)異なるクラウドサービスを利用するために複数のアカウントの管理が必要になる、といった事態が発生する可能性がある。   However, when data is exchanged between users using a virtual private cloud, if an online storage service different from that of the virtual private cloud is used, it will be once online via an on-premises Internet exit. You have to access the storage. For this reason, (i) network delays occur, (ii) URLs that point to cloud storage files leak, users other than the tenant who wants to share the files can also access (iii) different There is a possibility that multiple accounts need to be managed to use the cloud service.

本発明はこのような状況に鑑みてなされたものであり、仮想プライベートクラウドを提供しているクラウドサービス内で、安全に、かつ簡単に複数テナント間でデータ交換が行える仕組みを実現するものである。   The present invention has been made in view of such a situation, and realizes a mechanism that allows data exchange among a plurality of tenants in a cloud service providing a virtual private cloud safely and easily. .

上記目的を達成するために、本発明によるデータ交換システムは、複数のテナントと、当該複数のテナントが利用する複数の仮想プライベートクラウドが設定されているクラウドサービスシステムと、異なるテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定する仮想プライベートクラウド間通信設定システムと、を有している。本発明では、仮想プライベートクラウド間通信設定システムは、クラウドサービスシステム内に設けられるデータ交換のためのデータ交換エリアと、第1のテナントが利用する仮想プライベートクラウドに対応する第1のセグメント及び第2のテナントが利用する仮想プライベートクラウドに対応する第2のセグメントのそれぞれとをNAT(Network Address Translation)を介して接続する。この構成では、第1のセグメント内に設定される仮想マシンと第2のセグメント内に設定される仮想マシン間における通信は、NATを介してのみ可能となっている。   In order to achieve the above object, the data exchange system according to the present invention includes a cloud service system in which a plurality of tenants, a plurality of virtual private clouds used by the plurality of tenants are set, and a separate tenant used by different tenants. And a virtual private cloud communication setting system for setting an environment that enables data exchange between virtual private clouds. In the present invention, the virtual private cloud communication setting system includes a data exchange area for data exchange provided in the cloud service system, a first segment corresponding to the virtual private cloud used by the first tenant, and a second segment. Each of the second segments corresponding to the virtual private cloud used by the tenant is connected via NAT (Network Address Translation). In this configuration, communication between the virtual machine set in the first segment and the virtual machine set in the second segment is possible only via NAT.

本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。なお、本発明の態様は、要素及び多様な要素の組み合わせ及び以降の詳細な記述と添付される特許請求の範囲の様態により達成され実現される。また、本発明の特許請求の範囲又は適用例は、如何なる意味に於いても本発明を限定するものではない。   Further features related to the present invention will become apparent from the description of the present specification and the accompanying drawings. The embodiments of the present invention can be achieved and realized by elements and combinations of various elements, the following detailed description, and the appended claims. Further, the scope of claims and application examples of the present invention do not limit the present invention in any way.

本発明によれば、仮想プライベートクラウドを提供しているクラウドサービス内で、安全に、かつ簡単に複数テナント間でデータ交換を行うことができるようになる。   According to the present invention, data can be exchanged between a plurality of tenants safely and easily within a cloud service providing a virtual private cloud.

本発明の実施形態によるデータ交換システムの概略構成例を示す図である。It is a figure which shows the example of schematic structure of the data exchange system by embodiment of this invention. 仮想プライベートクラウド間通信設定システムの構成を示す図である。It is a figure which shows the structure of the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定しステムを利用する際のセルフサービスポータルの画面で、交換登録タブを選択した場合の画面の例を示す図である。It is a figure which shows the example of a screen at the time of selecting the exchange registration tab in the screen of the self-service portal at the time of setting communication between virtual private clouds, and using a stem. セルフサービスポータルの画面で、交換申請タブを選択した場合の画面の例を示す図である。It is a figure which shows the example of a screen when the replacement application tab is selected on the screen of the self-service portal. セルフサービスポータルの画面で、交換許可タブを選択した場合の画面の例を示す図である。It is a figure which shows the example of a screen when the exchange permission tab is selected on the screen of the self-service portal. セルフサービスポータルの画面で、アクセス設定タブを選択した場合の画面の例を示す図である。It is a figure which shows the example of a screen when the access setting tab is selected on the screen of the self-service portal. 仮想プライベートクラウド間通信設定システムが利用するテナント情報テーブルの構成例を示す図である。It is a figure which shows the structural example of the tenant information table which the communication setting system between virtual private clouds uses. 仮想プライベートクラウド間通信設定システムが利用するデータ交換エリア情報テーブルの構成例を示す図である。It is a figure which shows the structural example of the data exchange area information table utilized by the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムが利用する接続管理テーブルの構成例を示す図である。It is a figure which shows the structural example of the connection management table which the communication setting system between virtual private clouds uses. 仮想プライベートクラウド間通信設定システムが利用するアクセス制御テーブルの構成例を示す図である。It is a figure which shows the structural example of the access control table which a virtual private cloud communication setting system utilizes. 仮想プライベートクラウド間通信設定システムが利用するアドレス管理テーブルの構成例を示すである。It is a structural example of the address management table utilized by the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムが利用するデータ交換申請テーブルの構成例を示すである。It is a structural example of the data exchange application table used by the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信システムを使用して、2つの異なるテナント間で、データ交換可能なエリアを確保した際の論理的なネットワーク、仮想マシンの構成例を示す図である。It is a figure which shows the logical network and the example of a structure of a virtual machine at the time of ensuring the area which can exchange data between two different tenants using a virtual private cloud communication system. セルフサービスポータルの初期画面例を示す図である。It is a figure which shows the example of an initial screen of a self-service portal. 仮想プライベートクラウド間通信設定システムによる全体処理を説明するためのフローチャートである。It is a flowchart for demonstrating the whole process by the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムで、データ交換を登録する際の処理を説明するためのフローチャートである。It is a flowchart for demonstrating the process at the time of registering data exchange in the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムで、登録されたデータ交換エリアの利用申請する際の処理を説明するためのフローチャートである。It is a flowchart for demonstrating the process at the time of applying for utilization of the registered data exchange area in the virtual private cloud communication setting system. 仮想プライベートクラウド間通信設定システムで、登録されたデータ交換エリアの利用申請を許可する際の処理を説明するためのフローチャートである。It is a flowchart for demonstrating the process at the time of permitting the utilization application of the registered data exchange area in the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムで、構築されたデータ交換エリアにアクセス可能な仮想マシンを設定する際の処理を説明するためのフローチャートである。It is a flowchart for demonstrating the process at the time of setting the virtual machine which can access the constructed data exchange area in the communication setting system between virtual private clouds. 仮想プライベートクラウド間通信設定システムを構成する、仮想ネットワーク接続プログラムの処理(ステップ1806の詳細)を説明するためのフローチャートである。It is a flowchart for demonstrating the process (detail of step 1806) of the virtual network connection program which comprises a communication setting system between virtual private clouds.

本発明は、1つのパブリッククラウド内に構築された、複数のテナントの仮想プライベートクラウド間で、安全にデータ交換が可能な環境を提供する、クラウド内通信設定システムに関するものである。   The present invention relates to an in-cloud communication setting system that provides an environment in which data can be safely exchanged between virtual private clouds of a plurality of tenants constructed in one public cloud.

以下、添付図面を参照して本発明の実施形態について説明する。ただし、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。また、各図において共通の構成については同一の参照番号が付されていることもある。   Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be noted that this embodiment is merely an example for realizing the present invention, and does not limit the technical scope of the present invention. In each drawing, the same reference numerals may be given to common configurations.

なお、以後の説明では「テーブル」形式によって本発明の各情報について説明するが、これら情報は必ずしもテーブルによるデータ構造で表現されていなくても良く、リスト、DB、キュー等のデータ構造やそれ以外で表現されていても良い。そのため、データ構造に依存しないことを示すために「テーブル」、「リスト」、「DB」、「キュー」等について単に「情報」と呼ぶことがある。   In the following description, each information of the present invention will be described in a “table” format. However, the information does not necessarily have to be expressed in a data structure by a table, such as a data structure such as a list, a DB, a queue, or the like. It may be expressed as Therefore, “table”, “list”, “DB”, “queue”, etc. may be simply referred to as “information” to indicate that they do not depend on the data structure.

また、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いることが可能であり、これらについてはお互いに置換が可能である。   In addition, when explaining the contents of each information, the expressions “identification information”, “identifier”, “name”, “name”, “ID” can be used, and these can be replaced with each other. It is.

以下では「プログラム」を主語(動作主体)として本発明の実施形態における各処理について説明を行うが、プログラムはプロセッサ(CPU)によって実行されることで定められた処理をメモリ及び通信ポート(通信制御装置)を用いながら行うため、プロセッサを主語とした説明としてもよい。プログラムの一部または全ては専用ハードウェアで実現してもよく、また、モジュール化されていても良い。各種プログラムはプログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。   In the following, each process in the embodiment of the present invention will be described using “program” as the subject (operation subject), but the processing determined by the program being executed by the processor (CPU) is the memory and communication port (communication control). Therefore, the description may be based on the processor. Part or all of the program may be realized by dedicated hardware, or may be modularized. Various programs may be installed in each computer by a program distribution server or a storage medium.

<データ交換システム構成概略>
図1は、本発明の実施の形態によるデータ交換システムの概略構成を示す概念図である。データ交換システム100は、複数のテナント(図1では、テナントA_1とB_2のみが示されている)と、クラウド事業者が提供するクラウドシステム8と、を有し、それらが、インターネットまたは、ネットワーク事業者の閉域網7を介して接続されている。 <Data exchange system configuration outline>
FIG. 1 is a conceptual diagram showing a schematic configuration of a data exchange system according to an embodiment of the present invention. The data exchange system 100 includes a plurality of tenants (only tenants A_1 and B_2 are shown in FIG. 1) and a cloud system 8 provided by a cloud operator, and these are the Internet or network businesses. Connected through a closed network 7.

テナントA_1及びテナントB_2のデータセンタでは、コンピュータ5及び6のそれぞれが、VPN装置3及び4を介して、インターネットまたは、ネットワーク事業者の閉域網7及びクラウドシステム8におけるVPN装置9及び10を経由して、クラウドサービス11内にある仮想マシン12、13と通信できるようになっている。   In the data center of the tenant A_1 and the tenant B_2, the computers 5 and 6 are respectively connected via the VPN devices 3 and 4 via the Internet or the VPN devices 9 and 10 in the closed network 7 and the cloud system 8 of the network operator. Thus, communication with the virtual machines 12 and 13 in the cloud service 11 is possible.

また、仮想プライベートクラウド間通信設定システム14は、クラウドサービス11内のネットワークおよび仮想マシン、外部記憶装置などのリソースの制御を行えるようになっている。なお、図1では、仮想プライベートクラウド間通信設定システム14はクラウドシステム8内に設けられているが、この構成に限られず、クラウドシステム8とはネットワークを介して遠隔的に接続される構成としても良い。   Further, the virtual private cloud inter-communication setting system 14 can control resources such as a network, a virtual machine, and an external storage device in the cloud service 11. In FIG. 1, the virtual private cloud communication setting system 14 is provided in the cloud system 8. However, the present invention is not limited to this configuration, and the cloud system 8 may be remotely connected to the cloud system 8 via a network. good.

<仮想プライベートクラウド間通信設定システムの構成>
図2は、本発明の実施形態による仮想プライベートクラウド間通信設定システム14のシステム構成を示す図である。 <Configuration of virtual private cloud communication setting system>
FIG. 2 is a diagram showing a system configuration of the virtual private cloud communication setting system 14 according to the embodiment of the present invention.

仮想プライベートクラウド間通信設定システム14は、CPU141A及びメモリ141Bを含む端末装置141と、外部記憶装置142と、ネットワーク接続のための通信ポート143と、を有している。   The virtual private cloud communication setting system 14 includes a terminal device 141 including a CPU 141A and a memory 141B, an external storage device 142, and a communication port 143 for network connection.

外部記憶装置12は、それぞれ後述する、セルフサービスポータルプログラム142Aと、仮想ネットワーク接続プログラム142Bと、テナント情報テーブル142Cと、データ交換エリア情報テーブル142Dと、接続管理テープル142Eと、アクセス制御テーブル142Fと、アドレス管理テーブル142Gと、データ交換申請テーブル142Hとを格納している。   The external storage device 12 includes a self-service portal program 142A, a virtual network connection program 142B, a tenant information table 142C, a data exchange area information table 142D, a connection management table 142E, and an access control table 142F, which will be described later. An address management table 142G and a data exchange application table 142H are stored.

<セルフサービスポータルの画面の例>
(i)図14は、セルフサービスポータルの初期画面例を示す図である。各テナントからユーザが仮想プライベートクラウド間通信設定システム14にログインすると、当該初期画面がログインしたテナントのコンピュータ上に表示される。 <Example of self-service portal screen>
(I) FIG. 14 is a diagram illustrating an initial screen example of the self-service portal. When a user logs in to the virtual private cloud communication setting system 14 from each tenant, the initial screen is displayed on the computer of the logged-in tenant.

クライアント画面300は、新規にデータ交換エリア(データ交換領域)を登録する画面を表示する交換登録タブ301と、登録されたデータ交換エリアの利用を申請する画面を表示する交換申請タブ302と、利用申請を許可するための交換許可タブ303と、登録されたデータ交換エリアにアクセスできる仮想マシンを決めるためのアクセス設定タブ304と、を有している。   The client screen 300 includes an exchange registration tab 301 for displaying a screen for newly registering a data exchange area (data exchange area), an exchange application tab 302 for displaying a screen for applying for use of the registered data exchange area, It has an exchange permission tab 303 for authorizing an application, and an access setting tab 304 for determining a virtual machine that can access a registered data exchange area.

(ii)図3は、交換登録タブ301を選択した場合に表示されるセルフサービスポータルの画面例を示す図である。この画面は、データ交換エリアを設定したいテナントのユーザが使用する画面である。 (Ii) FIG. 3 is a diagram showing a screen example of the self-service portal displayed when the exchange registration tab 301 is selected. This screen is used by a tenant user who wants to set a data exchange area.

ログインしたユーザが交換登録タブ301を選んだ場合には、交換登録を実施するテナント名305、登録するデータ交換エリアのサイズを指定する入力領域306、アクセス時の名称の入力領域307、及び登録依頼を行うボタン308が表示される。   When the logged-in user selects the exchange registration tab 301, the tenant name 305 for performing exchange registration, the input area 306 for specifying the size of the data exchange area to be registered, the input area 307 for the name at access, and the registration request A button 308 for performing is displayed.

例えば、テナントXXX株式会社(のユーザ)が、確保したい容量を入力領域306に入力し、アクセスポイント名を入力領域307に入力する。そして、登録ボタン308が押下されると、仮想プライベートクラウド間通信設定システム14は、ストレージの空き領域に指定されたアクセスポイント名の領域を確保することになる。   For example, the tenant XXX Corporation (a user thereof) inputs a capacity to be secured in the input area 306 and inputs an access point name in the input area 307. When the registration button 308 is pressed, the virtual private cloud communication setting system 14 secures an area of the access point name designated as a free area of the storage.

(iii)図4は、交換申請タブ302を選択した場合に表示されるセルフサービスポータルの画面の例である。この画面は、データ交換エリア設定者以外で、当該交換エリアを利用したいテナントのユーザが使用する画面である。 (Iii) FIG. 4 is an example of a self-service portal screen displayed when the replacement application tab 302 is selected. This screen is used by a user other than the data exchange area setting person who wants to use the exchange area.

ログインしたユーザが交換申請タブ302を選択した場合には、データ交換エリアを登録したテナント名のリスト401と、申請ボタン402が画面に表示される。   When the logged-in user selects the exchange application tab 302, a list 401 of tenant names that have registered data exchange areas and an application button 402 are displayed on the screen.

例えば、AAA株式会社(のユーザ)が、リスト401からデータ交換を行いたいテナント(複数選択可)をチェックボックスで指定し、申請ボタン402を押下して、データ交換の申請を行う。   For example, AAA Co., Ltd. (user) designates a tenant (multiple selection is possible) to exchange data from the list 401 with a check box, and presses the application button 402 to apply for data exchange.

(iv)図5は、交換許可タブ303を選択した場合に表示されるセルフサービスポータルの画面の例である。この画面は、交換申請を受けたテナントのユーザが当該申請を許可するときに使用する画面である。 (Iv) FIG. 5 is an example of a self-service portal screen displayed when the exchange permission tab 303 is selected. This screen is used when a tenant user who has received a replacement application permits the application.

ログインしたユーザが交換許可タブ303を選択した場合には、登録してあるデータ交換エリアの利用を申請してきたテナント名のリスト501が画面に表示される。   When the logged-in user selects the exchange permission tab 303, a list 501 of tenant names that have applied for use of the registered data exchange area is displayed on the screen.

例えば、テナントXXX株式会社(のユーザ)は、リスト501からデータ交換を許可するテナントをチェックボックスで指定し、許可ボタン502を押下して、データ交換を許可する。   For example, the tenant XXX Co., Ltd. (the user) designates a tenant permitted to exchange data from the list 501 using a check box, and presses the allow button 502 to permit data exchange.

なお、他のテナントが許可申請を行った場合に、仮想プライベートクラウド間通信設定システム14が、データ交換エリアを設定したテナントに対して、交換許可(或いは交換拒否)を行うように促すメッセージを送信しても良い。この場合、交換許可すべき申請の存在をテナントに喚起することが可能となる。   When another tenant makes a permission application, the virtual private cloud inter-communication setting system 14 sends a message prompting the tenant that has set the data exchange area to exchange (or refuse to exchange). You may do it. In this case, it is possible to alert the tenant of the existence of an application that should be allowed to be exchanged.

(v)図6は、アクセス設定タブ304を選択した場合に表示されるセルフサービスポータルの画面の例である。この画面は、交換許可したテナントのユーザがアクセス許可仮想マシンを設定する際に使用する画面である。 (V) FIG. 6 is an example of a self-service portal screen displayed when the access setting tab 304 is selected. This screen is a screen that is used when a tenant user permitted to exchange sets an access-permitted virtual machine.

ログインしたユーザがアクセス設定タブ304を選択した場合には、利用可能なデータ交換エリアを持つストレージサーバのアドレスのリスト601と、接続許可を設定する仮想マシンのアドレスのリスト602が画面上に表示される。   When the logged-in user selects the access setting tab 304, a list 601 of storage server addresses having usable data exchange areas and a list 602 of virtual machine addresses for which connection permission is set are displayed on the screen. The

例えば、株式会社XXX(のユーザ)が、接続対象となるストレージサーバのアドレスをチェックボックスで指定し、接続許可する仮想マシンのアドレスをチェックボックスで指定する。そして、登録ボタン603を押下して、アクセス可能な仮想マシンを設定する。図6では、データ交換エリアが2つ作成されている。XXX株式会社のユーザは、この画面を用いて、それぞれのデータ交換エリアにアクセス可能な自身の仮想マシンを設定する。   For example, XXX Corporation (user) specifies the address of the storage server to be connected using a check box, and specifies the address of a virtual machine that is permitted to connect using the check box. Then, a registration button 603 is pressed to set an accessible virtual machine. In FIG. 6, two data exchange areas are created. A user of XXX Corporation uses this screen to set his own virtual machine that can access each data exchange area.

<テナント情報テーブル>
図7は、仮想プライベートクラウド間通信設定システム14において、システムを利用するテナントを管理するためのテナント情報テーブル142Cの例を示す図である。 <Tenant information table>
FIG. 7 is a diagram illustrating an example of the tenant information table 142C for managing the tenant using the system in the virtual private cloud communication setting system 14.

テナント情報テーブル142Cは、テナントID701と、テナント名702と、を構成情報として有している。このテーブルにより、システムを利用する全テナントを管理することができる。   The tenant information table 142C has a tenant ID 701 and a tenant name 702 as configuration information. With this table, all tenants using the system can be managed.

<データ交換エリア情報テーブル>
図8は、仮想プライベートクラウド間通信設定システム14において、各テナントが交換登録した情報を管理するためのデータ交換エリア情報テーブル142Dの例を示す図である。 <Data exchange area information table>
FIG. 8 is a diagram showing an example of a data exchange area information table 142D for managing information exchanged and registered by each tenant in the virtual private cloud communication setting system 14.

データ交換エリア情報テーブル142Dは、テナントID801と、データ交換ID802と、データ交換ストレージサーバのアドレス803と、データ交換エリアのサイズ804と、アクセスポイント名805と、を構成情報として有している。   The data exchange area information table 142D has tenant ID 801, data exchange ID 802, data exchange storage server address 803, data exchange area size 804, and access point name 805 as configuration information.

<接続管理テーブル>
図9は、仮想プライベートクラウド間通信設定システム14において、設定されたデータ交換エリアと、構築されるNATとの接続関係を管理するための接続管理テープル142Eの構成例を示す図である。 <Connection management table>
FIG. 9 is a diagram showing a configuration example of a connection management table 142E for managing the connection relationship between the set data exchange area and the NAT to be constructed in the virtual private cloud communication setting system 14.

接続管理テープル142Eは、データ交換ID901と、セグメント(1)における、データ交換エリアに接続される側のNATのポートアドレスを示すNATアドレス(1)902と、セグメント(2)における、データ交換エリアに接続される側のNATのポートアドレスを示すNATアドレス(2)903と、データ交換ストレージサーバのアドレス904と、を構成情報として有している。   The connection management table 142E includes the data exchange ID 901, the NAT address (1) 902 indicating the port address of the NAT connected to the data exchange area in the segment (1), and the data exchange area in the segment (2). The configuration information includes a NAT address (2) 903 indicating the port address of the NAT on the connected side and an address 904 of the data exchange storage server.

異なる仮想プライベートクラウド間においてデータ交換環境を構築する場合、まず、データ交換ID901と、アドレス(データ交換エリアのアドレス)904とが当該接続管理テーブル142Eに記述され、図20による処理を実行してNATが設定された後に、NATアドレス(1)902及びNATアドレス(2)903が記述されることになる。   When constructing a data exchange environment between different virtual private clouds, first, a data exchange ID 901 and an address (data exchange area address) 904 are described in the connection management table 142E, and the processing shown in FIG. Is set, NAT address (1) 902 and NAT address (2) 903 are described.

<アクセス制御テーブル>
図10は、仮想プライベートクラウド間通信設定システム14において、アクセス許可された仮想マシンの情報を管理するためのアクセス制御テーブル142Fの例を示す図である。 <Access control table>
FIG. 10 is a diagram showing an example of an access control table 142F for managing information on virtual machines that are permitted to access in the virtual private cloud communication setting system 14.

アクセス制御テーブル142Fは、データ交換ID1001と、アクセス許可アドレス1002と、を構成情報として有している。このテーブルは、図6によってアクセス設定された共有サーバとアクセス許可仮想マシンのアドレスを管理している。   The access control table 142F has a data exchange ID 1001 and an access permission address 1002 as configuration information. This table manages the addresses of the shared server and the access-permitted virtual machine that are set for access according to FIG.

<アドレス管理テーブル>
図11は、仮想プライベートクラウド間通信設定システム14において、仮想プライベートクラウドのセグメントと割り当て済のアドレスを管理するためのアドレス管理テーブル142Gの例を示す図である。 <Address management table>
FIG. 11 is a diagram illustrating an example of the address management table 142G for managing the virtual private cloud segment and the assigned address in the inter-virtual private cloud communication setting system 14.

アドレス管理テーブル142Gは、テナントID1101と、仮想プライベートクラウド(図1の点線で囲まれるもの)ID1102と、セグメント情報1103と、使用済みアドレスリスト1104と、を構成情報として有している。アドレスリストに挙がっていないアドレスがNATのアドレスとして割り振ることが可能である。   The address management table 142G has tenant ID 1101, virtual private cloud (enclosed by a dotted line in FIG. 1) ID 1102, segment information 1103, and used address list 1104 as configuration information. Addresses not listed in the address list can be assigned as NAT addresses.

<データ交換申請テーブル>
図12は、仮想プライベートクラウド間通信設定システム14において、交換申請先のテナント(例えば、XXX株式会社)と交換申請元のテナント(例えば、AAA株式会社)の情報を管理するためのデータ交換申請テーブル142Hの例を示す図である。 <Data exchange application table>
FIG. 12 shows a data exchange application table for managing information on a tenant (for example, XXX Corporation) and an exchange application source (for example, AAA Corporation) as an exchange application destination in the virtual private cloud communication setting system 14. It is a figure which shows the example of 142H.

データ交換申請テーブル142Hは、テナントID1201と、データ交換ID1202と、申請テナントID1203と、を構成情報として有している。   The data exchange application table 142H includes tenant ID 1201, data exchange ID 1202, and application tenant ID 1203 as configuration information.

なお、例えば、図12のデータ交換ID=1に関し、テナントID=1のテナント(例えば、XXX株式会社)が設定した1つのデータ交換エリアに対して、テナントID=7のテナント(例えば、AAA株式会社)とテナントID=9のテナント(例えば、BBB株式会社)の2つのテナントが交換申請を行っている状態となっている。   For example, with respect to data exchange ID = 1 in FIG. 12, a tenant with tenant ID = 7 (for example, AAA stock for one data exchange area set by a tenant with tenant ID = 1 (for example, XXX Corporation)). Two tenants, a company) and a tenant with a tenant ID = 9 (for example, BBB Co., Ltd.) are in a state of applying for replacement.

<データ交換エリアに対するアクセスを可能とする論理的構成>
図13は、データ交換エリアに対するアクセスを可能とする論理的構成を示す図である。図13は、仮想プライベートクラウド間通信システム14を用いてデータ交換可能なストレージサーバエリアを確保した際に構築される、2つの異なるテナント間の論理的なネットワーク、及び仮想マシンの構成を示している。 <Logical configuration enabling access to data exchange area>
FIG. 13 is a diagram showing a logical configuration that enables access to the data exchange area. FIG. 13 shows a logical network between two different tenants and a virtual machine configuration constructed when a storage server area capable of exchanging data is secured using the virtual private cloud communication system 14. .

テナントA_1は、VPN装置3及び9を介して、クラウド事業者が提供する仮想プライベートクラウド8に接続している。その仮想ネットワーク上で、仮想マシン1301、仮想ルータ1302が稼働している。   The tenant A_1 is connected to the virtual private cloud 8 provided by the cloud operator via the VPN devices 3 and 9. A virtual machine 1301 and a virtual router 1302 are operating on the virtual network.

一方、テナントB_2は、VPN装置4及び10を介して、クラウド事業者が提供する仮想プライベートクラウド8に接続している。その仮想ネットワーク上で、仮想マシン1304、仮想ルータ1305が稼働している。   On the other hand, the tenant B_2 is connected to the virtual private cloud 8 provided by the cloud operator via the VPN devices 4 and 10. A virtual machine 1304 and a virtual router 1305 are operating on the virtual network.

仮想プライベートクラウド間通信システム14は、テナントA_1或いはテナントB_2の要求に応じてデータ交換エリアを登録すると、テナントAの仮想プライベートクラウド上にNATサーバA_1303を設置し、テナントA_1が使用しているセグメント内の空きアドレス(192.168.1.254)をNATサーバA_1303に割り当てる。   When the virtual private cloud communication system 14 registers the data exchange area in response to the request from the tenant A_1 or the tenant B_2, the NAT server A_1303 is installed on the virtual private cloud of the tenant A and the tenant A_1 uses Is assigned to the NAT server A_1303.

また、仮想プライベートクラウド間通信システム14は、テナントB_2の仮想プライベートクラウド上にNATサーバB_1306を設置し、テナントB_2が使用しているセグメント内の空きアドレス(192.168.1.254)をNATサーバB_1306に割り当てる。   Further, the virtual private cloud communication system 14 installs the NAT server B_1306 on the virtual private cloud of the tenant B_2, and assigns a free address (192.168.1.254) in the segment used by the tenant B_2 to the NAT server. Assigned to B_1306.

さらに、仮想プライベートクラウド間通信システム14は、クラウド事業者が管理する仮想ネットワーク上にストレージサーバ1307を設置し、クラウド事業者が管理するグローバルアドレスをNATサーバA_1303(10.1.1.251)、NATサーバB_1306(10.1.1.252)、及びストレージサーバ1307(10.1.1.27)に割り当てる。同時に、仮想プライベートクラウド間通信システム14は、テナントA_1の仮想プライベートクラウド上の仮想ルータ1302のルートテーブル(図示せず)に、ストレージサーバ1307への通信をNATサーバA_1303に送信するように、また、テナントB_2の仮想プライベートクラウド上の仮想ルータ1305のルートテーブル(図示せず)にストレージサーバ1307への通信をNATサーバB_1306に送信するように経路を追加する。   Further, the virtual private cloud communication system 14 installs the storage server 1307 on the virtual network managed by the cloud operator, and assigns the global address managed by the cloud operator to the NAT server A_1303 (10.1.1.251), Assigned to the NAT server B_1306 (10.1.1.252) and the storage server 1307 (10.1.1.27). At the same time, the inter-virtual private cloud communication system 14 sends the communication to the storage server 1307 to the NAT server A_1303 to the route table (not shown) of the virtual router 1302 on the virtual private cloud of the tenant A_1. A route is added to the route table (not shown) of the virtual router 1305 on the virtual private cloud of the tenant B_2 so that the communication to the storage server 1307 is transmitted to the NAT server B_1306.

なお、図13で示されるネットワーク構成において、NATサーバA_1303及びNATB_1306がストレージサーバ1307と接続されるポートのアドレスが少なくとも互いに異なっていれば良い(図13では、10.1.1.251と10.1.1.252で異なっている)。一方、セグメント1及び2における対応する各構成のポートのアドレスは同一であっても良い。各セグメントは、NATA或いはNATBを介してストレージサーバ1307に接続されるので、セグメント同士は衝突せずにシステムを構築することができる。   In the network configuration shown in FIG. 13, the addresses of the ports connected to the NAT server A — 1303 and NATB — 1306 and the storage server 1307 need only be different from each other (in FIG. 13, 10.1.251 and 10. 1.1.252 is different). On the other hand, the addresses of the corresponding ports in the segments 1 and 2 may be the same. Since each segment is connected to the storage server 1307 via NATA or NATB, it is possible to construct a system without the segments colliding with each other.

<仮想プライベートクラウド間通信設定処理の概要>
以下、フローチャートを用いて、仮想プライベートクラウド間通信設定システムの全体動作について説明する。 <Overview of virtual private cloud communication setting process>
The overall operation of the virtual private cloud communication setting system will be described below using a flowchart.

図15は、仮想プライベートクラウド間通信設定システムによる仮想プライベートクラウド間通信設定処理の全体概要を説明するためのフローチャートである。   FIG. 15 is a flowchart for explaining the overall outline of the virtual private cloud communication setting process by the virtual private cloud communication setting system.

ネットワーク中の何れかのテナント(例えば、テナントA_1(XXX株式会社))のユーザがコンピュータを用いて、プライベートクラウド間通信設定システム14のセルフサービスポータルプログラム142Aにログインし、その情報を受信すると(ステップ1501)と、セルフサービスポータルプログラム142Aは、図14に示す画面を返却する(ステップ1502)。   When a user of any tenant in the network (for example, tenant A_1 (XXX Corporation)) logs in to the self-service portal program 142A of the private cloud communication setting system 14 using a computer and receives the information (step) 1501), the self-service portal program 142A returns the screen shown in FIG. 14 (step 1502).

ユーザがタブを押下すると、セルフサービスポータルプログラム142Aは、操作種別を受信する(ステップ1503)。   When the user presses the tab, the self-service portal program 142A receives the operation type (step 1503).

そして、セルフサービスポータルプログラム142Aは、選択された操作種別を判断する(ステップ1504)。つまり、操作種別が登録処理の場合は、ステップ1601以降の処理が実行され、交換処理の場合はステップ1701以降の処理が実行され、許可処理の場合はステップ1801以降の処理が実行され、アクセス設定処理の場合はステップ1901以降の処理が実行される。   Then, the self-service portal program 142A determines the selected operation type (step 1504). That is, when the operation type is registration processing, the processing after step 1601 is executed, when the operation type is exchange processing, the processing after step 1701 is executed, and when it is permission processing, the processing after step 1801 is executed. In the case of processing, the processing after step 1901 is executed.

何れかの処理が完了すると、処理はステップ1502に移行し、ステップ1502以降の処理が繰り返えされる。   When one of the processes is completed, the process proceeds to step 1502, and the processes after step 1502 are repeated.

<交換登録処理>
図16は、セルフサービスポータルの画面で、ユーザが交換登録タブを選択した際の交換登録処理の詳細を説明するためのフローチャートである。 <Exchange registration process>
FIG. 16 is a flowchart for explaining the details of the exchange registration process when the user selects the exchange registration tab on the self-service portal screen.

ユーザが交換登録タブを選択すると、セルフサービスポータルプログラム142Aは、セルフサービスポータルの交換登録画面(図3)を選択したユーザが属するテナントに送信し、当該画面を表示させる(ステップ1601)。   When the user selects the exchange registration tab, the self-service portal program 142A transmits the self-service portal exchange registration screen (FIG. 3) to the tenant to which the selected user belongs and displays the screen (step 1601).

対応するテナントのユーザが交換に利用したいエリアの容量を306に、そのエリアにアクセスするための名称(アクセスポイント名)を307に入力し、登録ボタン308を押すと、セルフサービスポータルプログラム142Aは、テナント名、エリアサイズ、アクセスポイント名を対応するテナントから受信する(ステップ1602)。   When the user of the corresponding tenant inputs the capacity of the area he / she wants to use for replacement into 306, the name (access point name) for accessing the area is input into 307, and the registration button 308 is pressed, the self-service portal program 142A The tenant name, area size, and access point name are received from the corresponding tenant (step 1602).

そして、セルフサービスポータルプログラム142Aは、データ交換エリアを確保するストレージサーバを選択し(ステップ1603)、エリアサイズの要領を確保し(ステップ1604)、新規にデータ交換ID(シリアルな番号)を割り当てる(ステップ1605)。   Then, the self-service portal program 142A selects a storage server that secures a data exchange area (step 1603), secures the area size (step 1604), and newly assigns a data exchange ID (serial number) ( Step 1605).

さらに、セルフサービスポータルプログラム142Aは、データ交換エリア情報テーブル142Dに、テナントID、データ交換ID、ストレージサーバのアドレス、エリアサイズ、アクセスポイント名を登録し(ステップ1606)、処理を終了する。   Further, the self-service portal program 142A registers the tenant ID, data exchange ID, storage server address, area size, and access point name in the data exchange area information table 142D (step 1606), and ends the process.

<交換申請処理>
図17は、セルフサービスポータルの画面で、該当するデータ交換エリアを有さないテナント(例えば、AAA株式会社)のユーザが、交換申請タブを選択した際の交換申請処理の詳細を説明するためのフローチャートである。 <Exchange application processing>
FIG. 17 is a self-service portal screen for explaining the details of the exchange application process when a user of a tenant (for example, AAA Corporation) who does not have the corresponding data exchange area selects the exchange application tab. It is a flowchart.

ユーザが交換申請タブを選択すると、セルフサービスポータルプログラム142Aは、データ交換エリア情報テーブル142Dから、テナントIDを取り出し(ステップ1701)、テナント情報テーブル142Cから該当するテナント名を取り出す(ステップ1702)。   When the user selects the replacement application tab, the self-service portal program 142A extracts the tenant ID from the data exchange area information table 142D (step 1701), and extracts the corresponding tenant name from the tenant information table 142C (step 1702).

また、セルフサービスポータルプログラム142Aは、データ交換IDにひもづいた全てのテナント名の一覧を作成し(ステップ1703)、図4の画面をセルフサービスポータルに表示する(ステップ1704)。   The self-service portal program 142A creates a list of all tenant names associated with the data exchange ID (step 1703) and displays the screen of FIG. 4 on the self-service portal (step 1704).

ユーザがテナント名のリスト401から、データ交換したい相手のテナントを選択し、申請ボタン402を押すと、選択された情報がテナントから仮想プライベートクラウド間通信設定システム14に送られ、セルフサービスポータルプログラム142Aは、申請元のテナントIDと申請先のテナントID、データ交換IDを受信する(ステップ1705)。   When the user selects a partner tenant whose data is to be exchanged from the tenant name list 401 and presses the application button 402, the selected information is sent from the tenant to the virtual private cloud communication setting system 14, and the self-service portal program 142A Receives the tenant ID of the application source, the tenant ID of the application destination, and the data exchange ID (step 1705).

そして、セルフサービスポータルプログラム142Aは、データ交換申請テーブル142Hに、申請先のテナントIDをテナントIDに設定し、データ交換IDを登録し、申請元のテナントIDを申請テナントIDに設定し(ステップ1706)、処理を終了する。   Then, the self-service portal program 142A sets the tenant ID of the application destination as the tenant ID, registers the data exchange ID in the data exchange application table 142H, and sets the tenant ID of the application source as the application tenant ID (step 1706). ), The process ends.

<交換許可処理>
図18は、セルフサービスポータルの画面で、申請先のテナント(例えば、XXX株式会社)のユーザが交換許可タブを選択した際の交換許可処理の詳細を説明するためのフローチャートである。 <Exchange permission process>
FIG. 18 is a flowchart for explaining the details of the exchange permission process when the user of the application tenant (for example, XXX Corporation) selects the exchange permission tab on the self-service portal screen.

申請先のテナントのユーザが交換許可タブを選択すると、セルフサービスポータルプログラム142Aは、データ交換エリア情報テーブル142Dから、データ交換IDを取り出す(ステップ1801)。   When the user of the application destination tenant selects the exchange permission tab, the self-service portal program 142A takes out the data exchange ID from the data exchange area information table 142D (step 1801).

また、セルフサービスポータルプログラム142Aは、データ交換申請テーブル142Hから、該当するデータ交換IDに対応する、申請テナントIDを取り出す(ステップ1802)。   In addition, the self-service portal program 142A takes out the application tenant ID corresponding to the corresponding data exchange ID from the data exchange application table 142H (step 1802).

さらに、セルフサービスポータルプログラム142Aは、テナント情報テーブル142Cから、申請テナントIDに対応するテナント名称を取り出してテナント名の一覧を作成し(ステップ1803)、図5の画面をセルフサービスポータルに表示する(ステップ1804)。   Furthermore, the self-service portal program 142A extracts a tenant name corresponding to the application tenant ID from the tenant information table 142C, creates a list of tenant names (step 1803), and displays the screen of FIG. 5 on the self-service portal ( Step 1804).

申請先のテナントのユーザがテナント名のリスト501から、データ交換を許可する相手のテナントを選択し、許可ボタン502を押すと、セルフサービスポータルプログラム142Aは、データ交換IDとテナントIDを受信する(ステップ1805)。   When the user of the application destination tenant selects a partner tenant whose data exchange is permitted from the tenant name list 501 and presses the permission button 502, the self-service portal program 142A receives the data exchange ID and the tenant ID ( Step 1805).

また、セルフサービスポータルプログラム142Aは、受信したテナントIDと利用中の仮想プライベートクラウドのクラウドIDと、許可元のテナントIDと利用中の仮想プライベートクラウドのクラウドID、データ交換IDを仮想ネットワーク接続プログラム142Bに送信する(ステップ1806)。ステップ1806の詳細については、図20を参照して後述する。   The self-service portal program 142A also sends the received tenant ID, the cloud ID of the virtual private cloud being used, the tenant ID of the permission source, the cloud ID of the virtual private cloud being used, and the data exchange ID to the virtual network connection program 142B. (Step 1806). Details of step 1806 will be described later with reference to FIG.

そして、セルフサービスポータルプログラム142Aは、仮想ネットワーク接続プログラムの終了を受け(ステップ1807)、データ交換申請テーブルから該当エントリを削除し(ステップ1808)、処理を終了する。   The self-service portal program 142A receives the end of the virtual network connection program (step 1807), deletes the corresponding entry from the data exchange application table (step 1808), and ends the process.

図18の処理が完了した時点で、データ交換エリアにアクセスするのに必要なNATサーバ(例えば、NATサーバA_1303及びNATサーバB_1306)が生成される。   When the processing of FIG. 18 is completed, NAT servers (for example, NAT server A_1303 and NAT server B_1306) necessary to access the data exchange area are generated.

<アクセス設定処理>
図19は、セルフサービスポータルの画面で、交換許可処理を実行したテナント(例えば、XXX株式会社)のユーザがアクセス設定タブを選択した際のアクセス設定処理の詳細を説明するためのフローチャートである。 <Access setting process>
FIG. 19 is a flowchart for explaining the details of the access setting process when the user of the tenant (for example, XXX Corporation) who has executed the exchange permission process selects the access setting tab on the self-service portal screen.

交換許可処理を実行したテナントユーザがアクセス設定タブを選択すると、セルフサービスポータルプログラム142Aは、ユーザのテナントIDをキーに、データエリア交換情報テーブル142Dから、ストレージサーバのアドレス(図9のアドレス904)のリストを作成する(ステップ1901)。この時点では、接続管理テーブル142E(図9)におけるNATアドレス(1)及び(2)は空欄の状態である。   When the tenant user who executed the exchange permission process selects the access setting tab, the self-service portal program 142A uses the tenant ID of the user as a key, and the address of the storage server (address 904 in FIG. 9) from the data area exchange information table 142D. Is created (step 1901). At this point, NAT addresses (1) and (2) in the connection management table 142E (FIG. 9) are blank.

次に、セルフサービスポータルプログラム142Aは、テナントIDと利用中の仮想プライベートクラウドのクラウドIDをキーに、アドレス管理テーブル142Gから、セグメント情報と使用済みのアドレスリストを取得して仮想マシンのアドレス一覧を作成し(ステップ(1902)、図6の画面をセルフサービスポータルに表示する(ステップ1903)。   Next, the self-service portal program 142A obtains the segment information and the used address list from the address management table 142G using the tenant ID and the cloud ID of the virtual private cloud being used as a key, and obtains a virtual machine address list. It is created (step (1902)), and the screen of FIG. 6 is displayed on the self-service portal (step 1903).

ユーザがストレージサーバとアクセス許可する仮想マシンを選択し、登録ボタン603を押すと、セルフサービスポータルプログラム142Aは、データ交換ID、アクセス許可する仮想マシンのアドレスを受信する(ステップ1904)。   When the user selects a virtual machine that is permitted to access the storage server and presses the registration button 603, the self-service portal program 142A receives the data exchange ID and the address of the virtual machine that is permitted to access (step 1904).

そして、セルフサービスポータルプログラム142Aは、受信したデータ交換IDと、アクセス許可マシンのアドレスをアクセス制御テーブル142F(図10)に登録する(ステップ1905)。   Then, the self-service portal program 142A registers the received data exchange ID and the address of the access-permitted machine in the access control table 142F (FIG. 10) (step 1905).

さらに、セルフサービスポータルプログラム142Aは、データ交換IDをキーに接続管理テーブル142Eから入手したNAT仮想マシンに対して、アクセス許可マシンからの通信だけを転送するように設定し(ステップ1906)、処理を終了する。   Furthermore, the self-service portal program 142A sets the NAT virtual machine obtained from the connection management table 142E using the data exchange ID as a key so that only communication from the access-permitted machine is transferred (step 1906), and the process is performed. finish.

<仮想ネットワーク接続プログラムによる処理>
図20は、仮想ネットワーク接続プログラム142Bの処理(ステップ1806)の詳細を説明するためのフローチャートである。 <Processing by virtual network connection program>
FIG. 20 is a flowchart for explaining details of the processing (step 1806) of the virtual network connection program 142B.

仮想ネットワーク接続プログラム142Bは、セルフサービスポータルプログラム142Aから、申請側及び許可側の2組についてのテナントIDとクラウドIDの対と、データ交換IDと、を受信する(ステップ2001)。   The virtual network connection program 142B receives, from the self-service portal program 142A, the pair of tenant ID and cloud ID and the data exchange ID for the two sets of the application side and the permission side (step 2001).

仮想ネットワーク接続プログラム142Bは、申請側のテナントIDとクラウドIDをキーにして、接続管理テーブル142Eから、利用中のセグメント情報、アドレスリストを入手し、使用していないアドレスを取得する。(ステップ2002)。   The virtual network connection program 142B uses the tenant ID and cloud ID on the application side as keys to obtain segment information and an address list that are in use from the connection management table 142E, and acquires an unused address. (Step 2002).

同様に、仮想ネットワーク接続プログラム142Bは、許可側のテナントIDとクラウドIDをキーにして、接続管理テーブル142Eから利用中のセグメント情報、アドレスリストを入手し、使用していないアドレスを取得する(ステップ2003)。   Similarly, the virtual network connection program 142B obtains the segment information and address list being used from the connection management table 142E by using the tenant ID and cloud ID of the permitting side as keys, and acquires unused addresses (step 2003).

次に、仮想ネットワーク接続プログラム142Bは、申請側及び許可側のプライベートクラウドの仮想ネットワーク上に、NAT仮想マシン(NATサーバ)を作成し(ステップ2004)、ステップ2002、ステップ2003で取得したアドレスを、それぞれのNAT仮想マシンに設定する (ステップ2005)。   Next, the virtual network connection program 142B creates a NAT virtual machine (NAT server) on the virtual network of the private cloud on the requesting side and the permitting side (Step 2004), and the addresses acquired in Step 2002 and Step 2003 are Set for each NAT virtual machine (step 2005).

その後、仮想ネットワーク接続プログラム142Bは、許可側のテナントIDとデータ交換IDをキーにデータ交換エリア情報テーブル142Dからストレージサーバのアドレスを入手する(ステップ2006)。   Thereafter, the virtual network connection program 142B obtains the address of the storage server from the data exchange area information table 142D using the permitting tenant ID and data exchange ID as keys (step 2006).

そして、仮想ネットワーク接続プログラム142Bは、クラウド管理システム(本発明の範囲外)に依頼して、ストレージサーバ1307と同じセグメントのアドレスを2つ入手する(ステップ2007)。   Then, the virtual network connection program 142B requests the cloud management system (outside the scope of the present invention) to obtain two addresses of the same segment as the storage server 1307 (step 2007).

さらに、仮想ネットワーク接続プログラム142Bは、ステップ2007で入手したアドレスを、ステップ2004で作成したNAT仮想マシン(例えば、NATサーバ)に設定する(ステップ2008)。   Furthermore, the virtual network connection program 142B sets the address obtained in Step 2007 to the NAT virtual machine (for example, NAT server) created in Step 2004 (Step 2008).

次に、仮想ネットワーク接続プログラム142Bは、許可元、許可先の仮想プライベートクラウド上にある仮想ルータ(1302や1305)に、ストレージサーバ1307への通信はNAT仮想マシン(NATサーバA_1303やNATサーバB_1306)に送信するように経路情報を追加する(ステップ2009)。   Next, the virtual network connection program 142B communicates with the virtual routers (1302 and 1305) on the virtual private cloud of the permission source and the permission destination, and the communication to the storage server 1307 is a NAT virtual machine (NAT server A_1303 and NAT server B_1306). Route information is added so as to be transmitted to (step 2009).

最後に、仮想ネットワーク接続プログラム142Bは、接続管理テーブル142Eに、データ交換ID、ステップ2007で入手した2つのNAT仮想マシンのアドレス、及びストレージサーバのアドレスを登録し(ステップ2010)、終了する。   Finally, the virtual network connection program 142B registers the data exchange ID, the addresses of the two NAT virtual machines obtained in Step 2007, and the address of the storage server in the connection management table 142E (Step 2010), and ends.

<まとめ>
(i)本発明の実施形態による仮想プライベートクラウド間通信設定システムは、仮想プライベートクラウドを利用しているテナントが、どのテナントとデータ交換するか、どの仮想マシンからデータ交換できるかを設定するセルフサービスポータルと、仮想プライベートクラウド間のネットワーク接続を自動的に行う仮想ネットワーク接続システムと、セルフサービスポータルを利用するクライアント端末である仮想マシンと、を有する。仮想プライベートクラウドを利用しているテナントが、クライアント端末である仮想マシンからセルフサービスポータルにアクセスし、データ交換を実施したい旨を登録する。もう一方のデータ交換をしたいテナントが、同様にセルフサービスポータルにアクセスして、データ交換可能となっているテナントを選択し、データ交換希望を申請する。データ交換希望を受けたテナントは、相手を選択して、データ交換許可を指示する。以上の操作で2つのテナント間でデータ交換が可能となると、仮想ネットワーク接続プログラムが、各仮想プライベートクラウド上にNAT(Network Address Translation)仮想マシンをプロビジョニングし、仮想プライベートクラウドに接続するアドレスと、データ交換を行うためのストレージサーバのネットワークセグメントに属するアドレスを設定する。各仮想プライベートクラウド上にあるルータ仮想マシンには、ストレージサーバへアクセスするパケットを、NAT仮想マシンへ転送するよう設定を追加する。その後、各テナントは、セルフサービスポータルを利用して、データ交換のためにストレージサーバにアクセス可能な仮想マシンのアドレスを設定すると、仮想ネットワーク接続システムが、NAT仮想マシンに、NAT可能なアドレスを追加する。こうすることで、各仮想プライベートクラウド上の仮想マシンから、データ交換のためのストレージサーバへアクセス可能となり、仮想プライベートクラウド間でデータ交換が可能となる。その際、一方の仮想プライベートクラウドから、他方の仮想プライベートクラウドへのアクセスは、NAT仮想マシンで禁止されているので、プライベートクラウドとしての安全性は確保されている。このように、仮想プライベートクラウド間通信設定システムのセルフサービスポータルを用いてデータ交換のための環境を設定することによって、仮想プライベートクラウド間でのデータ交換を安全に行うことが可能になる。 <Summary>
(I) The communication setting system between virtual private clouds according to the embodiment of the present invention is a self-service for setting which tenant using the virtual private cloud exchanges data with which tenant and from which virtual machine can exchange data. A portal, a virtual network connection system that automatically performs network connection between the virtual private cloud, and a virtual machine that is a client terminal that uses the self-service portal. A tenant using a virtual private cloud accesses the self-service portal from a virtual machine that is a client terminal and registers that they want to exchange data. The other tenant who wants to exchange data accesses the self-service portal in the same manner, selects a tenant that can exchange data, and requests data exchange. The tenant who received the data exchange request selects the other party and instructs the data exchange permission. When data exchange between the two tenants becomes possible by the above operation, the virtual network connection program provisions a NAT (Network Address Translation) virtual machine on each virtual private cloud, and the address and data to connect to the virtual private cloud. An address belonging to the network segment of the storage server for performing the exchange is set. A setting is added to the router virtual machine on each virtual private cloud so that a packet for accessing the storage server is transferred to the NAT virtual machine. After that, each tenant uses the self-service portal to set the address of the virtual machine that can access the storage server for data exchange, and the virtual network connection system adds the NAT-capable address to the NAT virtual machine. To do. By doing so, it becomes possible to access a storage server for data exchange from a virtual machine on each virtual private cloud, and data exchange between virtual private clouds becomes possible. At this time, access from one virtual private cloud to the other virtual private cloud is prohibited by the NAT virtual machine, so that the safety as a private cloud is ensured. Thus, by setting the environment for data exchange using the self-service portal of the communication setting system between virtual private clouds, it becomes possible to exchange data between virtual private clouds safely.

(ii)言い換えれば、仮想プライベートクラウド間通信設定システムは、ストレージエリア内に設けられるデータ交換エリアと、第1のテナントが利用する仮想プライベートクラウドに対応する第1のセグメント及び第2のテナントが利用する仮想プライベートクラウドに対応する第2のセグメントのそれぞれとをNATを介して接続するように環境を設定する。当該環境では、第1のセグメント内に設定される仮想マシンと第2のセグメント内に設定される仮想マシン間における通信はNATを介してのみ可能となっている。当該環境では、NATによって各セグメントが分離されている。以上のように環境を設定することにより、異なるテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能となる。つまり、1つのクラウドシステム内の閉じたネットワーク内でデータ交換が可能となり、安全性を確保した上で、ネットワーク性能を確保できる。また、異なるクラウドサービスを利用するためのIDやパスワードの管理が不要となる。さらに、仮想プライベートクラウド上の仮想マシンからしかアクセスできないため、他のテナントに情報を盗聴される危険性を回避することが可能となる。なお、実施形態では、2つのセグメント間でのデータ交換を可能にする構成を示しているが、3つ以上のセグメント(3つ以上のテナントが利用する仮想プライベートクラウド)間でデータ交換を可能にする環境も同様の手順によって実現することができる。 (Ii) In other words, the virtual private cloud communication setting system is used by the data exchange area provided in the storage area, the first segment corresponding to the virtual private cloud used by the first tenant, and the second tenant. The environment is set so that each of the second segments corresponding to the virtual private cloud to be connected is connected via NAT. In this environment, communication between the virtual machine set in the first segment and the virtual machine set in the second segment is possible only via NAT. In this environment, each segment is separated by NAT. By setting the environment as described above, it is possible to exchange data between different virtual private clouds used by different tenants. In other words, data can be exchanged within a closed network in one cloud system, and network performance can be secured while ensuring safety. In addition, management of IDs and passwords for using different cloud services becomes unnecessary. Furthermore, since access is only possible from a virtual machine on the virtual private cloud, it is possible to avoid the risk of wiretapping information by other tenants. In the embodiment, a configuration that enables data exchange between two segments is shown, but data exchange is possible between three or more segments (virtual private clouds used by three or more tenants). The environment to perform can be realized by the same procedure.

このような環境においては、第1のセグメントに設定されるNATがデータ交換エリアと接続されるポートのアドレス(図13におけるNATサーバA1303のアドレス10.1.1.251)は、第2のセグメントに設定されるNATがデータ交換エリアと接続されるポートのアドレス(図13におけるNATサーバA1303のアドレス10.1.1.252)と異なっている。その他の構成におけるアドレスは、第1及び第2のセグメントにおいて共通していても良い。このようにすることにより、ネットワークセグメントが衝突せずにデータ交換のための環境を構築することができるようになる。   In such an environment, the address of the port connected to the data exchange area of the NAT set in the first segment (the address 10.1.251 of the NAT server A 1303 in FIG. 13) is the second segment. Is different from the address of the port connected to the data exchange area (address 10.1.252 of NAT server A 1303 in FIG. 13). Addresses in other configurations may be common in the first and second segments. By doing so, it becomes possible to construct an environment for data exchange without collision of network segments.

また、仮想プライベートクラウド間通信設定システムは、異なるテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定するためのGUI画面のデータを各テナントに提供する。具体的には、当該GUI画面は、データ交換エリアを設定するための交換登録画面と、データ交換エリアの利用を申請するための画面と、データ交換エリアの利用を許可するための画面と、データ交換エリアに対してアクセス可能な仮想マシンを設定するための画面と、を含んでいる。各テナントのユーザは、GUI画面上のタブを選択することにより、各画面を切り替えることができるようになっている。このようにすることにより、テナントは画面を用いて簡単にデータ交換のための環境設定をクラウドシステム側に要求することができるようになる。   The virtual private cloud communication setting system provides each tenant with data on a GUI screen for setting an environment that allows data exchange between different virtual private clouds used by different tenants. Specifically, the GUI screen includes an exchange registration screen for setting a data exchange area, a screen for applying for use of the data exchange area, a screen for permitting use of the data exchange area, a data And a screen for setting a virtual machine accessible to the exchange area. The user of each tenant can switch each screen by selecting a tab on the GUI screen. By doing so, the tenant can easily request the environment setting for data exchange from the cloud system using the screen.

(iii)本発明は、実施形態の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 (Iii) The present invention can also be realized by software program codes that implement the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing the program code constitute the present invention. As a storage medium for supplying such program code, for example, a flexible disk, CD-ROM, DVD-ROM, hard disk, optical disk, magneto-optical disk, CD-R, magnetic tape, nonvolatile memory card, ROM Etc. are used.

また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。   Also, based on the instruction of the program code, an OS (operating system) running on the computer performs part or all of the actual processing, and the functions of the above-described embodiments are realized by the processing. May be. Further, after the program code read from the storage medium is written in the memory on the computer, the computer CPU or the like performs part or all of the actual processing based on the instruction of the program code. Thus, the functions of the above-described embodiments may be realized.

さらに、実施の形態の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することにより、それをシステム又は装置のハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、使用時にそのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしても良い。   Further, by distributing the program code of the software that realizes the functions of the embodiment via a network, it is stored in a storage means such as a hard disk or memory of a system or apparatus, or a storage medium such as a CD-RW or CD-R And the computer (or CPU or MPU) of the system or apparatus may read and execute the program code stored in the storage means or the storage medium when used.

最後に、ここで述べたプロセス及び技術は本質的に如何なる特定の装置に関連することはなく、コンポーネントの如何なる相応しい組み合わせによってでも実装できることを理解する必要がある。更に、汎用目的の多様なタイプのデバイスがここで記述した教授に従って使用可能である。ここで述べた方法のステップを実行するのに、専用の装置を構築するのが有益であることが判るかもしれない。また、実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。本発明は、具体例に関連して記述したが、これらは、すべての観点に於いて限定の為ではなく説明の為である。本分野にスキルのある者には、本発明を実施するのに相応しいハードウェア、ソフトウェア、及びファームウエアの多数の組み合わせがあることが解るであろう。例えば、記述したソフトウェアは、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。   Finally, it should be understood that the processes and techniques described herein are not inherently related to any particular apparatus, and can be implemented by any suitable combination of components. In addition, various types of devices for general purpose can be used in accordance with the teachings described herein. It may prove useful to build a dedicated device to perform the method steps described herein. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined. Although the present invention has been described with reference to specific examples, these are in all respects illustrative rather than restrictive. Those skilled in the art will appreciate that there are numerous combinations of hardware, software, and firmware that are suitable for implementing the present invention. For example, the described software can be implemented in a wide range of programs or script languages such as assembler, C / C ++, perl, shell, PHP, Java (registered trademark).

さらに、上述の実施形態において、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていても良い。   Furthermore, in the above-described embodiment, control lines and information lines are those that are considered necessary for explanation, and not all control lines and information lines on the product are necessarily shown. All the components may be connected to each other.

加えて、本技術分野の通常の知識を有する者には、本発明のその他の実装がここに開示された本発明の明細書及び実施形態の考察から明らかになる。記述された実施形態の多様な態様及び/又はコンポーネントは、データを管理する機能を有するコンピュータ化ストレージシステムに於いて、単独又は如何なる組み合わせでも使用することが出来る。明細書と具体例は典型的なものに過ぎず、本発明の範囲と精神は後続する請求範囲で示される。   In addition, other implementations of the invention will be apparent to those skilled in the art from consideration of the specification and embodiments of the invention disclosed herein. Various aspects and / or components of the described embodiments can be used singly or in any combination in a computerized storage system capable of managing data. The specification and specific examples are merely exemplary, and the scope and spirit of the invention are indicated in the following claims.

1、2・・・データセンタ
3、4、9、10・・・VPN装置
5、6・・・コンピュータ
7・・・インターネット
8・・・クラウド事業者のクラウドシステム
11・・・クラウドサービス
12、13・・・仮想マシン
14・・・仮想プライベートクラウド間通信設定システム
100・・・データ交換システム
141・・・端末装置
141A・・・CPU
141B・・・メモリ
142・・・外部記憶装置
142A・・・セルフサービスポータルプログラム
142B・・・仮想ネットワーク接続プログラム
142C・・・テナント情報テーブル
142D・・・データ交換エリア情報テーブル
142E・・・接続管理テーブル
142F・・・アクセス制御テーブル
142G・・・アドレス管理テーブル
142H・・・データ交換申請テーブル。 1, 2, data center 3, 4, 9, 10, VPN device 5, 6, computer 7, Internet 8, cloud service provider cloud system 11, cloud service 12, 13 ... Virtual machine 14 ... Virtual private cloud communication setting system 100 ... Data exchange system 141 ... Terminal device 141A ... CPU
141B ... Memory 142 ... External storage device 142A ... Self-service portal program 142B ... Virtual network connection program 142C ... Tenant information table 142D ... Data exchange area information table 142E ... Connection management Table 142F ... Access control table 142G ... Address management table 142H ... Data exchange application table.

Claims (12)

複数のテナントと、当該複数のテナントが利用する複数の仮想プライベートクラウドが設定されているクラウドサービスシステムと、異なるテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定する仮想プライベートクラウド間通信設定システムと、を有し、
前記仮想プライベートクラウド間通信設定システムは、クラウドサービスシステム内に設けられる前記データ交換のためのデータ交換エリアと、第1のテナントが利用する仮想プライベートクラウドに対応する第1のセグメント及び第2のテナントが利用する仮想プライベートクラウドに対応する第2のセグメントのそれぞれとをNATを介して接続し、
前記第1のセグメント内に設定される仮想マシンと前記第2のセグメント内に設定される仮想マシン間における通信は前記NATを介してのみ可能となっていることを特徴とするデータ交換システム。 Virtual that sets up an environment that allows data exchange between multiple tenants, a cloud service system configured with multiple virtual private clouds used by the multiple tenants, and separate virtual private clouds used by different tenants A private cloud communication setting system, and
The virtual private cloud communication setting system includes a data exchange area for data exchange provided in a cloud service system, a first segment and a second tenant corresponding to a virtual private cloud used by a first tenant. Connecting each of the second segments corresponding to the virtual private cloud used by the
A data exchange system, wherein communication between a virtual machine set in the first segment and a virtual machine set in the second segment is possible only through the NAT. 請求項1において、
前記第1のセグメントに設定されるNATが前記データ交換エリアと接続されるポートのアドレスは、前記第2のセグメントに設定されるNATが前記データ交換エリアと接続されるポートのアドレスと異なることを特徴とするデータ交換システム。 In claim 1,
The address of the port connected to the data exchange area of the NAT set in the first segment is different from the address of the port connected to the data exchange area of the NAT set in the second segment. A featured data exchange system. 請求項2において、
前記仮想プライベートクラウド間通信設定システムは、前記第1のテナントからの前記データ交換エリア設定のリクエストに応答して前記データ交換エリアを前記クラウドサービスシステム内に設定し、前記第2のテナントからの前記データ交換エリアに対するアクセスリクエストに対する前記第1のテナントのアクセス許可に基づいて、前記NATを設定することを特徴とするデータ交換システム。 In claim 2,
The inter-virtual private cloud communication setting system sets the data exchange area in the cloud service system in response to the data exchange area setting request from the first tenant, and receives the data exchange area from the second tenant. A data exchange system, wherein the NAT is set based on an access permission of the first tenant for an access request for a data exchange area. 請求項3において、
前記仮想プライベートクラウド間通信設定システムは、前記第1のテナントからのリクエストに応答して、前記データ交換エリアに前記NATを介してアクセス可能な、前記第1のセグメント内に設けられた仮想マシンを決定することを特徴とするデータ交換システム。 In claim 3,
In response to a request from the first tenant, the virtual private cloud communication setting system is configured to access a virtual machine provided in the first segment that is accessible to the data exchange area via the NAT. A data exchange system characterized by deciding. 請求項1において、
前記仮想プライベートクラウド間通信設定システムは、前記第1及び第2のテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定するためのGUI画面のデータを前記第1及び第2のテナントに送信し、
前記第1及び第2のテナントは前記GUI画面のデータを受信し、前記GUI画面を表示することを特徴とするデータ交換システム。 In claim 1,
The inter-virtual private cloud communication setting system uses GUI screen data for setting an environment that enables data exchange between separate virtual private clouds used by the first and second tenants. 2 to the tenant
The data exchange system, wherein the first and second tenants receive the GUI screen data and display the GUI screen. 請求項5において、
前記仮想プライベートクラウド間通信設定システムは、前記GUI画面として、前記データ交換エリアを設定するための交換登録画面と、前記データ交換エリアの利用を申請するための画面と、前記データ交換エリアの利用を許可するための画面と、前記データ交換エリアに対してアクセス可能な仮想マシンを設定するための画面と、を前記第1及び第2のテナントに提供することを特徴とするデータ交換システム。 In claim 5,
The virtual private cloud communication setting system uses, as the GUI screen, an exchange registration screen for setting the data exchange area, a screen for applying for use of the data exchange area, and use of the data exchange area. A data exchange system, characterized in that a screen for allowing and a screen for setting a virtual machine accessible to the data exchange area are provided to the first and second tenants. 仮想プライベートクラウド間通信設定システムを用いて、クラウドサービスシステムの、異なるテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法であって、
前記仮想プライベートクラウド間通信設定システムが、前記クラウドサービスシステム内に前記データ交換のためのデータ交換エリアを設定するステップと、
前記仮想プライベートクラウド間通信設定システムが、前記データ交換エリアと、第1のテナントが利用する仮想プライベートクラウドに対応する第1のセグメント及び第2のテナントが利用する仮想プライベートクラウドに対応する第2のセグメントのそれぞれとをNATを介して接続するステップと、を有し、
前記第1のセグメント内に設定される仮想マシンと前記第2のセグメント内に設定される仮想マシン間における通信は前記NATを介してのみ可能となっていることを特徴とする方法。 A method for setting an environment that enables data exchange between different virtual private clouds used by different tenants of a cloud service system using a communication setting system between virtual private clouds,
The virtual private cloud communication setting system sets a data exchange area for the data exchange in the cloud service system;
The inter-virtual private cloud communication setting system includes a second segment corresponding to the data exchange area, a first segment corresponding to the virtual private cloud used by the first tenant, and a virtual private cloud used by the second tenant. Connecting each of the segments via NAT,
2. A method according to claim 1, wherein communication between a virtual machine set in the first segment and a virtual machine set in the second segment is possible only via the NAT. 請求項7において、
前記第1のセグメントに設定されるNATが前記データ交換エリアと接続されるポートのアドレスは、前記第2のセグメントに設定されるNATが前記データ交換エリアと接続されるポートのアドレスと異なることを特徴とする方法。 In claim 7,
The address of the port connected to the data exchange area of the NAT set in the first segment is different from the address of the port connected to the data exchange area of the NAT set in the second segment. Feature method. 請求項8において、
さらに、前記仮想プライベートクラウド間通信設定システムが、前記第1のテナントからの前記データ交換エリア設定のリクエストに応答して前記データ交換エリアを前記クラウドサービスシステム内に設定し、前記第2のテナントからの前記データ交換エリアに対するアクセスリクエストに対する前記第1のテナントのアクセス許可に基づいて、前記NATを設定するステップを有することを特徴とする方法。 In claim 8,
Further, the virtual private cloud communication setting system sets the data exchange area in the cloud service system in response to the data exchange area setting request from the first tenant, and the second tenant A method comprising: setting the NAT based on an access permission of the first tenant for an access request to the data exchange area. 請求項9において、
さらに、前記仮想プライベートクラウド間通信設定システムが、前記第1のテナントからのリクエストに応答して、前記データ交換エリアに前記NATを介してアクセス可能な、前記第1のセグメント内に設けられた仮想マシンを決定するステップを有することを特徴とする方法。 In claim 9,
Further, the virtual private cloud inter-communication setting system is provided in the first segment that is accessible in the data exchange area via the NAT in response to a request from the first tenant. A method comprising the step of determining a machine. 請求項7において、
さらに、前記仮想プライベートクラウド間通信設定システムが、前記第1及び第2のテナントが利用する別々の仮想プライベートクラウド間でデータ交換を可能とする環境を設定するためのGUI画面のデータを前記第1及び第2のテナントに送信ステップと、
前記第1及び第2のテナントが、前記GUI画面のデータを受信し、前記GUI画面を表示することを特徴とする方法。 In claim 7,
Further, the virtual private cloud communication setting system receives GUI screen data for setting an environment that enables data exchange between different virtual private clouds used by the first and second tenants. And sending to the second tenant;
The method wherein the first and second tenants receive the GUI screen data and display the GUI screen. 請求項11において、
前記仮想プライベートクラウド間通信設定システムは、前記GUI画面として、前記データ交換エリアを設定するための交換登録画面と、前記データ交換エリアの利用を申請するための画面と、前記データ交換エリアの利用を許可するための画面と、前記データ交換エリアに対してアクセス可能な仮想マシンを設定するための画面と、を前記第1及び第2のテナントに提供することを特徴とする方法。 In claim 11,
The virtual private cloud communication setting system uses, as the GUI screen, an exchange registration screen for setting the data exchange area, a screen for applying for use of the data exchange area, and use of the data exchange area. A method for providing a screen for allowing and a screen for setting a virtual machine accessible to the data exchange area to the first and second tenants.
JP2013074776A 2013-03-29 2013-03-29 Data exchange system and method for setting environment that enables data exchange between virtual private clouds Expired - Fee Related JP5977706B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013074776A JP5977706B2 (en) 2013-03-29 2013-03-29 Data exchange system and method for setting environment that enables data exchange between virtual private clouds

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013074776A JP5977706B2 (en) 2013-03-29 2013-03-29 Data exchange system and method for setting environment that enables data exchange between virtual private clouds

Publications (2)

Publication Number Publication Date
JP2014200010A JP2014200010A (en) 2014-10-23
JP5977706B2 true JP5977706B2 (en) 2016-08-24

Family

ID=52356686

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013074776A Expired - Fee Related JP5977706B2 (en) 2013-03-29 2013-03-29 Data exchange system and method for setting environment that enables data exchange between virtual private clouds

Country Status (1)

Country Link
JP (1) JP5977706B2 (en)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
CA3033217C (en) 2016-08-09 2021-09-28 Huawei Technologies Co., Ltd. Method for virtual machine to access physical server in cloud computing system, apparatus, and system
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10805114B2 (en) 2017-10-02 2020-10-13 Vmware, Inc. Processing data messages of a virtual network that are sent to and received from external service machines
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
JP6858114B2 (en) * 2017-12-28 2021-04-14 株式会社日立ソリューションズ Job management system and job management device
US11310170B2 (en) 2019-08-27 2022-04-19 Vmware, Inc. Configuring edge nodes outside of public clouds to use routes defined through the public clouds
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11689959B2 (en) 2020-01-24 2023-06-27 Vmware, Inc. Generating path usability state for different sub-paths offered by a network link
US11709710B2 (en) 2020-07-30 2023-07-25 Vmware, Inc. Memory allocator for I/O operations
US11601356B2 (en) 2020-12-29 2023-03-07 Vmware, Inc. Emulating packet flows to assess network links for SD-WAN
US11792127B2 (en) 2021-01-18 2023-10-17 Vmware, Inc. Network-aware load balancing
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US12047282B2 (en) 2021-07-22 2024-07-23 VMware LLC Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs
US12057993B1 (en) 2023-03-27 2024-08-06 VMware LLC Identifying and remediating anomalies in a self-healing network
US12034587B1 (en) 2023-03-27 2024-07-09 VMware LLC Identifying and remediating anomalies in a self-healing network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3394727B2 (en) * 1999-06-29 2003-04-07 日本電信電話株式会社 Method and apparatus for communication between networks
JP4100145B2 (en) * 2002-11-26 2008-06-11 富士通株式会社 Server apparatus and IP packet communication method
JP4949350B2 (en) * 2008-10-10 2012-06-06 株式会社日立ソリューションズ Multiple organization sharing system

Also Published As

Publication number Publication date
JP2014200010A (en) 2014-10-23

Similar Documents

Publication Publication Date Title
JP5977706B2 (en) Data exchange system and method for setting environment that enables data exchange between virtual private clouds
CN114095307B (en) Coordinating inter-region operations in a provider network environment
US10666606B2 (en) Virtual private network service endpoints
JP6754809B2 (en) Use credentials stored in different directories to access a common endpoint
US10230704B2 (en) System and method for providing key-encrypted storage in a cloud computing environment
JP5998248B2 (en) How to provide local secure network access to remote services
US10348689B2 (en) Interconnecting external networks with overlay networks in a shared computing environment
JP6118850B2 (en) Provide access to a configurable private computer network
JP2021501929A (en) Components, methods and computer programs for communication between on-premises and off-premises
US20140052877A1 (en) Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
TW201229779A (en) Providing virtual networks using multi-tenant relays
US11770364B2 (en) Private network peering in virtual network environments
US10333901B1 (en) Policy based data aggregation
US11362947B2 (en) Interconnecting multiple separate openflow domains
JP2017520823A (en) Migrating applications between enterprise-based and multi-tenant networks
WO2015123849A1 (en) Method and apparatus for extending the internet into intranets to achieve scalable cloud network
US10785056B1 (en) Sharing a subnet of a logically isolated network between client accounts of a provider network
US20240129185A1 (en) Secure bi-directional network connectivity system between private networks
US20240095055A1 (en) Endpoints for virtual private label clouds
JP5589034B2 (en) Information distribution system, authentication linkage method, apparatus, and program thereof
US10623370B1 (en) Secure data flow for virtual workspaces
US11647020B2 (en) Satellite service for machine authentication in hybrid environments
Shrivastwa Hybrid cloud for architects: Build robust hybrid cloud solutions using aws and openstack
JP2018082310A (en) Paas connection program, paas connection method, and paas connection device
JP5137201B2 (en) User authentication type reverse proxy device, data relay method thereof, and program thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160722

R150 Certificate of patent or registration of utility model

Ref document number: 5977706

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees