JP6090423B2 - 通信システム、制御装置、通信装置、通信制御方法およびプログラム - Google Patents

通信システム、制御装置、通信装置、通信制御方法およびプログラム Download PDF

Info

Publication number
JP6090423B2
JP6090423B2 JP2015502576A JP2015502576A JP6090423B2 JP 6090423 B2 JP6090423 B2 JP 6090423B2 JP 2015502576 A JP2015502576 A JP 2015502576A JP 2015502576 A JP2015502576 A JP 2015502576A JP 6090423 B2 JP6090423 B2 JP 6090423B2
Authority
JP
Japan
Prior art keywords
virtual machine
node
communication
virtual
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015502576A
Other languages
English (en)
Other versions
JP2015515205A (ja
Inventor
健太郎 園田
健太郎 園田
英之 下西
英之 下西
俊夫 小出
俊夫 小出
洋一 波多野
洋一 波多野
中江 政行
政行 中江
山形 昌也
昌也 山形
陽一郎 森田
陽一郎 森田
貴之 佐々木
貴之 佐々木
佑樹 芦野
佑樹 芦野
岳夫 大野
岳夫 大野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015502576A priority Critical patent/JP6090423B2/ja
Publication of JP2015515205A publication Critical patent/JP2015515205A/ja
Application granted granted Critical
Publication of JP6090423B2 publication Critical patent/JP6090423B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/42Centralised routing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2012−080279号(2012年3月30日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、制御装置、通信装置、通信制御方法、及びプログラムに関し、特に、ネットワークにおけるパケットの転送経路の設定を行う通信システム、制御装置、通信装置、通信制御方法、及びプログラムに関する。
特許文献1、非特許文献1および非特許文献2には、オープンフロー技術を用いた集中管理型の経路制御手法が開示されている。特許文献1に記載のオープンフロー技術は、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御を行い、負荷分散や経路の最適化を行うものである。
特許文献1、非特許文献1および非特許文献2において、転送ノードとして機能するスイッチは、パケットの経路を計算するコントローラ(制御装置)との通信用のセキュアチャネルを備え、コントローラが設定するフローテーブルに従って動作する。フローテーブルでは、パケットのヘッダ情報に照合するマッチングルール(照合規則)と、そのマッチングルールに適合するパケットに適用する処理の内容を記述したアクション(Action)との組が定義されている。アクションは、パケットを特定のインターフェースへ転送する処理などである。
特許文献1、非特許文献1および非特許文献2に記載のスイッチは、パケットを受信すると、フローテーブルから、受信したパケットのヘッダ情報に適合するマッチングルールを持つエントリを検索する。検索の結果、受信したパケットに適合するエントリが見つかった場合、スイッチは、そのエントリのアクションフィールドに記述された処理内容(例えば、受信したパケットを特定のインターフェースへの転送すること)を実施する。
一方、検索の結果、パケットに適合するエントリが見つからない場合、スイッチは、コントローラに対して、受信したパケットに対するエントリの設定を要求する。コントローラは、該要求に応じて、該受信したパケットの経路を計算し、計算した経路に関係するスイッチに対して、該経路を用いた転送を実現するエントリを通知する。エントリの通知を受けたスイッチは、フローテーブルを更新し、更新後のフローテーブルのエントリに記述された処理内容、すなわち受信したパケットの転送を実施する。
国際公開第2008/095010号 Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks,"[online]、[平成23年10月31日検索]、インターネット〈URL:http://www.openflowswitch.org/documents/openflow−wp−latest.pdf〉 "OpenFlow Switch Specification" Version 1.1.0 Implemented(Wire Protocol 0x02) [平成23年10月31日検索]、インターネット〈URL:http://www.openflowswitch.org/documents/openflow−spec−v1.1.0.pdf〉
上記の特許文献および非特許文献の全開示内容は、本書に引用をもって繰り込み記載されているものとする。以下の分析は、本発明によって与えられたものである。特許文献1、非特許文献1および非特許文献2に開示されたシステムにおいて、スイッチは、パケットの宛先となる通信装置と転送ノードとの接続関係に変更が生じた場合、通信装置宛のパケットを変更後の接続関係に基づいた転送経路により転送する必要がある。しかしながら、スイッチは、変更後の接続関係に基づいた転送経路を実現するための処理規則を保持していない。したがって、スイッチは、通信装置宛のパケットを受信すると、受信したパケットを処理するための処理規則を制御装置に要求する。制御装置は、その要求に応じて、受信したパケットの転送経路を変更後の接続関係に基づいて計算する。
上記のとおり、制御装置は、パケットの宛先となる通信装置と転送ノードとの接続関係が変更されるたびに、スイッチから処理規則の要求を受ける必要がある。このことは、制御装置の負荷が上昇する要因となる。
そこで、スイッチからの処理規則の要求を低減させることにより、制御装置の負荷の上昇を抑えることが要望される。本発明の目的は、かかる要望に寄与する通信システム、制御装置、通信制御方法およびプログラムを提供することにある。
本発明の第1の視点によれば、パケットを処理するための処理規則を要求するノードと、前記要求に応じて、前記処理規則を前記ノードに通知する制御装置と、パケットの宛先となる仮想マシンと他の仮想マシンとの間の接続の可否を示すアクセスルールを管理する通信ポリシ管理装置と、を備え、前記制御装置は、前記仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記通信ポリシ管理装置から通知される前記アクセスルールに基づいて、前記仮想マシン宛のパケットの転送経路を決定し、前記転送経路でパケットを転送するための処理規則を前記ノードに通知する通信システムが提供される。
本発明の第2の視点によれば、パケットを処理するための処理規則を生成し、ノードに送信する第一の手段と、パケットの宛先となる仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記仮想マシンと他の仮想マシンとの間の接続の可否を示すアクセスルールを管理する通信ポリシ管理装置から通知されるアクセスルールに基づいて、前記仮想マシン宛のパケットの転送経路を決定し、前記転送経路でパケットを転送するための処理規則を前記ノードに通知する第二の手段と、を備える制御装置が提供される。
本発明の第3の視点によれば、制御装置が、パケットを処理するための処理規則を生成するステップと、前記生成した処理規則をノードに通知するステップと、パケットの宛先となる通信機器と前記ノードとの接続関係の変更を通知されたことに応じて、前記通信機器宛のパケットの転送経路を決定するステップと、前記転送経路を実現するための処理規則を前記ノードに通知するステップと、を含む、通信制御方法が提供される。
本発明の第4の視点によれば、パケットを処理する通信装置を制御する制御装置に、パケットを処理するための処理規則を生成する処理と、前記生成した処理規則をノードに通知する処理と、パケットの宛先となる通信機器と前記ノードとの接続関係の変更を通知されたことに応じて、前記通信機器宛のパケットの転送経路を決定する処理と、前記転送経路を実現するための処理規則を前記ノードに通知する処理と、を実行させるプログラムが提供される。
また、上記プログラムが記録された非一時的なコンピュータ可読記録媒体(non-transitory computer-readable storage medium)が提供される。
本発明によれば、通信装置宛のパケットを処理するための処理規則を決定する制御装置の負荷を低減させることができる。
一実施形態に係る通信システムの構成例を示す図である。 一実施形態に係る通信ノードの構成例を示す図である。 一実施形態に係る処理規則の構成例を示す図である。 一実施形態に係る制御装置の構成例を示す図である。 第1の実施形態に係る通信システムの構成例を示す図である。 第1の実施形態に係る仮想マシン管理装置の構成例を示す図である。 第1の実施形態に係る仮想マシン管理装置が作成する仮想マシン仕様情報と論理ネットワーク情報の一例を示す図である。 第1の実施形態に係る制御装置の構成例を示す図である。 第1の実施形態に係る転送ノードおよび仮想転送ノードの構成例を示す図である。 第1の実施形態に係る転送ノードに設定されている処理規則の一例を示す図である。 第1の実施形態の通信システムの動作例を示すシーケンス図である。 第2の実施形態に係る通信システムの構成例を示す図である。 第2の実施形態に係る認証情報の一例を示す図である。 第2の実施形態に係る通信ポリシ管理装置の構成例を示す図である。 第2の実施形態に係る通信ポリシの一例を示す図である。 第2の実施形態に係るリソース情報の一例を示す図である。 第2の実施形態に係るアクセスルールの一例を示す図である。 第2の実施形態の通信システムの動作例を示すシーケンス図である。 第3の実施形態に係る通信システムの構成例を示す図である。 第3の実施形態の通信システムの動作例を示すシーケンス図である。 第4の実施形態に係る通信システムの構成例を示す図である。 第4の実施形態の通信システムの動作例を示すシーケンス図である。 第4の実施形態の通信システムの他の動作例を示すシーケンス図である。
はじめに一実施形態の概要について図面を参照して説明する。図1に示すように、一の実施形態の通信システムは、パケットの転送を行う転送ノード20−1および20−2を含む。また、通信システムは、転送ノード20−1および20−2の少なくとも1つからの要求に応じて、パケットの転送経路を制御する制御装置10を含む。また、通信システムは、パケットの宛先となる通信機器30を含む。また、通信システムは、転送ノード20−1および20−2と、通信機器30との接続関係を管理する通信機器管理装置40を含む。
制御装置10が、複数の転送ノード20−1、20−2の少なくとも1つからの要求に応じて、パケットの転送経路を制御する。
このような集中管理型の関連技術の一例として、上述した通り、オープンフロー技術がある。本発明を実施するためには、オープンフロー技術を適用してもよい。以下では、本発明にオープンフロー技術を適用した場合の実施形態を説明する。なお、本発明を実施するためには、制御装置(経路制御装置)が複数のノードにおけるパケットの転送経路を集中制御できればよく、本発明がオープンフロー技術に限定されるものではない。
通信機器30は、パケットの宛先となる装置であり、例えば、サーバ(Server)や移動端末、仮想サーバ(Server)である。
通信機器管理装置40は、転送ノード20と通信機器30との接続関係を管理する装置である。通信機器管理装置40は、例えば、転送ノード20とサーバ(Server)との接続関係を管理する装置である。通信機器管理装置40は、例えば、転送ノード20と移動端末との接続関係を管理する装置である。通信機器管理装置40は、例えば、仮想リソースに仮想転送ノードや仮想マシンを作成する仮想マシン管理装置であり、作成した仮想転送ノードと転送ノード20との接続関係を管理する。
転送ノード20−1および20−2の各々は、制御装置10と通信するために、制御装置10との間にセキュリティが確保された通信チャネルを確立する(図1の点線)。そして、転送ノード20−1および20−2の各々は、制御装置10から適宜追加または書き換えられる処理規則(以下、「フローエントリ」と記す。)に従って受信したパケットを処理する。
転送ノード20−1および20−2の各々の構成例を図2に示す。
図2は、転送ノード20の構成例を示す図である。転送ノード20は、受信パケットに適合する処理規則を用いてパケットを処理する転送処理部21を備える。転送処理部21は、パケットの受信に応じて、受信パケットに適合する処理規則100をテーブルデータベース(テーブルDB)22から検索し、受信パケットに適合する処理規則100が見つかった場合、その処理規則100のインストラクションにしたがって、受信パケットを処理する。一方、転送処理部21は、受信パケットに適合する処理規則が見つからなかった場合、制御装置10に受信パケットを処理する処理規則を要求する。なお、転送処理部21は、受信パケットに適合する処理規則100に、制御装置10に問い合わせを行う処理内容が規定されていた場合、該処理規則に従って制御装置10に問い合わせを行ってもよい。
転送処理部21は、例えば、非特許文献2のオープンフロースイッチと同様の仕組みを用いて実現してもよい。
図3は、図2の転送ノード20が保持する処理規則100の構成例を示す図である。図3は例示であり、処理規則100の構成は、図3の構成例に限定されない。図3に示すように、処理規則100は、マッチングフィールド(Match Field)を有する。転送ノード20は、パケットを受信するとマッチングフィールドを参照して、受信パケットに適合する処理規則100を検索する。転送ノード20は、受信パケットに適合する処理規則100が見つかった場合には、その処理規則100のインストラクション(Instruction)に従ってパケットを処理する。また、転送ノード20は、受信パケットの処理に応じて、処理規則100の統計情報(Counter)を更新する。
一方、転送ノード20は、受信パケットに適合する処理規則100が見つからなかった場合には、制御装置10に対して処理規則の設定を依頼する。なお、転送ノード20は、制御装置10に対して処理規則を要求する処理内容を規定した処理規則に基づいて、制御装置10に対して処理規則の設定を要求してもよい。
転送ノード20は、処理規則を格納するテーブルDB22を備える。テーブルDB22は、例えば、転送処理部21が受信パケットの処理を行う際に参照するテーブルを一つ以上格納可能なデータベースによって構成される。
転送ノード20は、処理規則を管理する処理規則管理部23を備える。
通信部24は、転送ノード20に処理規則を設定する制御装置10との通信を実現する手段である。
図4は、図1における制御装置10の構成例を示す図である。制御装置10は、トポロジ管理部11と、制御メッセージ処理部12と、経路・アクション計算部13と、転送ノード管理部14と、処理規則管理部15と、処理規則データベース16と、ノード通信部17とを含む。
トポロジ管理部11は、ノード通信部17を介して収集された転送ノード20−1および20−2の接続関係に基づいてネットワークトポロジ情報を構築する。また、トポロジ情報が変化した場合、トポロジ管理部11が経路・アクション計算部13にトポロジ情報の変化を通知し、経路・アクション計算部13に既存の処理規則の再設定等を行わせるようにしてもよい。
制御メッセージ処理部12は、転送ノード20の少なくとも1つから受信した制御メッセージを解析して、制御装置10内の該当する処理手段に制御メッセージ情報を引き渡す。
経路・アクション計算部13は、トポロジ管理部11にて管理されているトポロジ情報に基づいてパケットの転送経路を計算する手段を有する。また、経路・アクション計算部13は、転送ノード管理部14にて管理されている各転送ノード20の情報(例えば、各転送ノード20の能力情報)を参照して、各転送ノード20に実行させる処理内容(アクション)を求める手段として機能する。なお、各転送ノード20の能力情報は、例えば、各転送ノードのポートの数や種類、サポートするアクションの種類などである。なお、能力情報は、これらの情報に限られず、どのような情報が含まれていてもよい。
一実施形態において、経路・アクション計算部13は、通信機器30と転送ノード20−1、20−2との接続関係の変更を、通信機器管理装置40から通知される。経路・アクション計算部13は、通信機器管理装置40からの通知に応じて、通信機器30宛のパケットの転送経路を決定する。経路・アクション計算部13は、転送ノード20−1および20−2の少なくとも1つに、決定した転送経路を実現するための処理規則を予め通知する。
転送ノード管理部14は、管理対象の転送ノード20の各々の能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
処理規則管理部15は、転送ノード20に設定されている処理規則を管理する。処理規則管理部15は、経路・アクション計算部13で計算された結果を処理規則として処理規則データベース16に記憶する。また、処理規則管理部15は、転送ノード20からの処理規則削除通知などに基づき、転送ノード20に設定された処理規則に変更が生じた場合に、処理規則データベース16の内容を更新する。
処理規則データベース16は、少なくとも1つの処理規則を格納する。
ノード通信部17は、転送ノード20の各々と通信を行う。本実施形態では、ノード通信部17は、非特許文献2のオープンフロープロトコルを用いて転送ノード20と通信するものとする。ただし、ノード通信部17と転送ノード20との通信プロトコルは、オープンフロープロトコルに限定されるものではない。
上記構成によれば、制御装置が、パケットの宛先となる通信機器と転送ノードとの接続関係の変更に応じて、当該通信機器宛のパケットを処理するための処理規則を転送ノード(スイッチ)に予め通知する。転送ノード(スイッチ)は、通信装置宛のパケットを受信した場合に、すでに処理規則が設定されているため、制御装置に対して処理規則を要求しない。したがって、一実施形態によれば、転送ノード(スイッチ)からの処理規則の要求が削減されることにより、制御装置の負荷を低減することができる。
[第1の実施形態]
第1の実施形態を、図面を参照して説明する。図5は、第1の実施形態におけるシステムの構成例を示す図である。第1の実施形態におけるシステムは、図5に示すように、制御装置10と、転送ノード20と、仮想リソース300と、仮想マシン管理装置400と、ユーザ端末50と、を含む。転送ノード20の数は、1つに限られず、複数あってもよい。制御装置10と、仮想マシン管理装置400とは、図5のように別々の装置として動作してもよいし、ひとつの装置として動作してもよい。
仮想マシン管理装置400は、ユーザ端末50から仮想マシンの作成や設定変更などの要求を受け付け、それを元に任意のリソースに仮想マシンを作成する。
図6は、図5に示す仮想マシン管理装置400の構成例を示す図である。
図6のとおり、仮想マシン管理装置400は、管理情報記憶部410と、イメージ記憶部420と、仮想マシン作成部430と、を備える。
管理情報記憶部410は、ユーザ端末50から仮想マシンの作成の要求を受け付け、その要求を記憶する手段を有する。管理情報記憶部410は、ユーザ端末50から受け付けた要求に基づいて、論理的に構成する論理ネットワークの情報を作成する。管理情報記憶部410は、ユーザ端末50からの要求に応じて、作成した論理ネットワークの情報を仮想マシン作成部430へ渡す。
図7は、管理情報記憶部410に記憶される管理情報の構成例を示す図である。図7に示すように、管理情報記憶部410は、管理情報をテーブルとして記憶する。
図7(a)は、ユーザ端末50から受けた要求の例を示す図である。ユーザ端末50から受けた要求は、例えば、仮想マシン仕様情報として記憶される。図7(a)に示すように、仮想マシン仕様情報は、ユーザ端末50から要求された仮想マシンの仕様を示す。仮想マシン仕様情報では、例えば、ユーザが要求するCPU(Central Processing Unit)のコア数やメモリ量が、仮想マシンのID(Identification)やユーザIDと対応付けられている。図7(a)のテーブルの2行目に記載の情報は、例えば、「ユーザIDが0001のユーザは、仮想マシンIDがaであり、CPUコア数を2個、メモリ量を2GBの仮想マシンの作成を要求する」ことを意味する。なお、仮想マシン仕様情報は、CPUのコア数やメモリ量以外の、ストレージ量やOS(Operating System)など他の様々な仕様情報であってもよい。
図7(b)は、ユーザ端末50から受けた要求に基づいて作成した論理ネットワークに関する情報の例を示す図である。管理情報記憶部410は、例えば、仮想マシン仕様情報に基づいて作成した論理ネットワーク情報を記憶する。仮想マシン管理装置400が仮想マシンを作成する先のリソースは、例えば、リソース内で稼働する仮想マシン数が最小のリソースを選択する方法や、リソースのCPU稼働率が最小のリソースを選択する方法などにより決定される。なお、仮想マシンを作成する先のリソースの決定方法は、これらの方法に限られず、どのような方法であってもよい。
図7(b)に示すように、論理ネットワーク情報は、仮想マシンのIDと、その仮想マシンが所属する所属ネットワークIDと、が対応付けられている。所属ネットワークIDは、複数の論理ネットワークを互いに識別するための情報である。同じ論理ネットワークに所属する仮想マシンどうしは、同一の所属ネットワークIDが割り当てられる。同一の所属ネットワークIDが割り振られた仮想マシンどうしは、互いに通信可能に構成される。一方、異なる所属ネットワークIDが割り当てられた仮想マシンどうしは、異なる論理ネットワークに所属することになるため、互いに通信できないように構成される。
論理ネットワーク情報は、仮想マシンIDと、仮想マシンが接続する仮想転送ノードのIDと、仮想マシンが接続する仮想転送ノードのポート番号とが対応付けられている。図7の(b)のテーブルの2行目に記載の情報は、「仮想マシンID=aの仮想マシンは、所属するネットワークIDが100で、接続する転送ノードIDが210で、ポート番号が1番である」という情報を意味する。
イメージ記憶部420は、仮想マシン作成部430が仮想マシンを作成する際のイメージファイルをあらかじめ記憶する。イメージファイルは、ファイルやディレクトリの構造を保持した複製データのことである。イメージ記憶部420には、ユーザ端末50が利用するイメージファイルを、ユーザ端末50が記憶するように構成してもよい。イメージ記憶部420は、これらイメージファイルを仮想マシン作成部430へ通知する。
仮想マシン作成部430は、管理情報記憶部410から仮想マシン仕様情報および論理ネットワーク情報を受け取るとともに、イメージ記憶部420からイメージファイルを受け取り、仮想マシンを作成する。仮想マシンの作成は、KVM(Kernel−BasedVirtualMachine)など、仮想マシンを作成するどのようなソフトウェアで実現してもよい。仮想マシンは、仮想マシン仕様情報に基づいて作成され、論理ネットワーク情報の転送ノードID、およびポート番号を持つリソースに配置される。仮想マシン作成部430は、仮想マシンを作成後、論理ネットワーク情報を制御装置10へ通知する。
仮想リソース300には、仮想マシン管理部400により作成された仮想転送ノード310と仮想マシン320とが実装される。なお、仮想転送ノード310と仮想マシン320は、1つに限られず、複数実装されてもよい。仮想転送ノード310は、ソフトウェアによって実現される転送ノードであり、例えば、OpenvSwitchなどがある。第1の実施形態では、転送ノードと仮想転送ノードとの組み合わせによってネットワークが実現されているが、転送ノードのみ、または仮想転送ノードのみでネットワークが実現されてもよい。
図8は、図5における制御装置10の構成例を示す図である。制御装置10は、仮想マシン管理装置400から論理ネットワーク情報を受け取り、パケットの通信を制御する処理規則を生成し、転送ノード20および仮想転送ノード310へ設定する。制御装置10は、処理規則の設定要求を受けた場合、当該処理規則の設定要求に含まれるパケット情報に基づいて、パケットの転送経路および該転送経路を実現する処理規則を作成し、作成した処理規則を該転送経路上の転送ノード20および仮想転送ノード310に設定する。
制御装置10は、トポロジ管理部11と、制御メッセージ処理部12と、経路・アクション計算部13と、転送ノード管理部14と、処理規則管理部15と、処理規則データベース16と、ノード通信部17と、仮想リソース管理部18と、を含む。
トポロジ管理部11は、ノード通信部17を介して収集された転送ノード20に関する情報に基づいて、ネットワークのトポロジ情報を構築する。また、トポロジ情報が変化した場合、トポロジ管理部11が経路・アクション計算部13にトポロジ情報の変化を通知し、経路・アクション計算部13に既存の処理規則の再設定等を行わせるようにしてもよい。なお、トポロジ管理部11は、転送ノード20に関する情報だけでなく、仮想転送ノード310に関する情報にも基づいて、ネットワークのトポロジ情報を構築してもよい。この場合、仮想転送ノード310に関する情報は、仮想マシン管理装置400から通知を受けてもよいし、ノード通信部17を介して収集してもよい。
制御メッセージ処理部12は、転送ノード20の少なくとも1つから受信した制御メッセージを解析して、制御装置10内の該当する処理手段に制御メッセージ情報を引き渡す。
経路・アクション計算部13は、トポロジ管理部11にて管理されているトポロジ情報、および、仮想マシン管理装置400から通知される論理ネットワーク情報に基づいて、パケットの転送経路を計算する手段を有する。また、経路・アクション計算部13は、転送ノード管理部14にて管理されている転送ノード20の情報(例えば、各転送ノード20の能力情報)、および、論理ネットワーク情報に含まれる仮想転送ノード310の情報を参照して、転送ノード20、および、仮想転送ノード310に実行させる処理内容(アクション)を求める手段として機能する。
第1の実施形態において、経路・アクション計算部13は、仮想マシン管理装置400から、論理ネットワーク情報が通知される。経路・アクション計算部13は、論理ネットワーク情報の通知に応じて、トポロジ管理部11に格納された転送ノード20の情報と、通知された論理ネットワーク情報に含まれる仮想転送ノード310情報とに基づいて、仮想マシン320宛のパケットの転送経路を決定する。経路・アクション計算部13は、トポロジ管理部11に格納された転送ノード20の能力情報(例えば、ポートの数や種類、サポートするアクションの種類など)に基づいて、転送ノード20が仮想転送ノード310に接続することを把握する。また、経路・アクション計算部13は、論理ネットワーク情報に含まれる仮想転送ノード310の能力(例えば、ポートの数や種類、サポートするアクションの種類など)に基づいて、仮想転送ノード310がパケットの宛先である仮想マシン320に接続していることを把握する。
経路・アクション計算部13は、把握した情報に基づいて、ユーザ端末50から仮想マシン320までパケットを転送する経路を計算し、計算した転送経路を実現するための処理規則を、転送ノード20および仮想転送ノード310に予め通知する。
転送ノード管理部14は、管理対象の転送ノード20の能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
仮想リソース管理部18は、仮想マシン管理装置400から通知された論理ネットワーク情報を格納し、管理対象の仮想転送ノード310の能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
処理規則管理部15は、転送ノード20に設定されている処理規則を管理する。処理規則管理部15は、経路・アクション計算部13で計算された結果を処理規則として処理規則データベース16に記憶する。また、処理規則管理部15は、転送ノード20からの処理規則削除通知などに基づき、転送ノード20に設定された処理規則に変更が生じた場合に、処理規則データベース16の内容を更新する。
処理規則データベース16は、少なくとも1つの処理規則を格納する。
ノード通信部17は、転送ノード20および仮想転送ノード310と通信を行う。本実施形態では、ノード通信部17は、特許文献1のオープンフロープロトコルを用いて転送ノード20および仮想転送ノード310と通信するものとする。ただし、ノード通信部17と転送ノード20および仮想転送ノード310との通信プロトコルは、オープンフロープロトコルに限定されるものではない。
以上のような制御装置10の各部(処理手段)は、制御装置10を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
図9は、図5における転送ノード20および仮想転送ノード310の構成例を示す図である。仮想転送ノード310は、転送ノード20と同様の構成で実装される。転送ノード20および仮想転送ノード310は、図3に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いることもできる。
転送ノード20および仮想転送ノード310は、転送処理部21と、テーブルデータベース(テーブルDB)22と、処理規則管理部23と、通信部24とを含む。
転送処理部21は、図9に示すように、テーブル検索部210と、アクション実行部211とを有する。テーブル検索部210は、テーブルDB22に格納されたテーブルから、受信パケットに適合するマッチフィールドを持つ処理規則を検索する。アクション実行部211は、テーブル検索部210にて検索された処理規則のインストラクションフィールドに示す処理内容に従ってパケット処理を行う。
転送処理部21は、受信パケットに適合するマッチフィールドを持つ処理規則が見つからなかった場合、その旨を処理規則管理部23に通知する。転送処理部21は、受信パケットに適合するマッチフィールドを有する処理規則に、パケットの処理方法として、制御装置10への問い合わせを行うことが規定されていた場合、処理規則管理部23に通知してもよい。処理規則管理部23は、転送処理部21から通知を受け、通信部24を介して制御装置10に問い合わせを行う。
転送処理部21は、パケット処理に応じて、テーブルDB22に登録されている処理規則の統計情報(Counters)を更新する。転送処理部21は、複数の処理規則の各々に対応する統計情報(Counters)から統計値を求めてもよい。例えば、転送処理部21は、複数の処理規則の各々に対応する統計情報を合算して統計値を算出し、処理規則管理部23はこの統計値と各処理規則の失効条件とを比較して各処理規則が有効か否かを判断する。また、例えば、転送処理部21は、テーブルDB22に格納された処理規則のうち、所定の条件に対応する処理規則に対応する統計情報から統計値を算出する。例えば、転送処理部21は、所定のポートから入力されたパケットを処理するための処理規則や、所定のポートへパケットを出力するための処理規則に対応する統計情報から統計値を算出する。
テーブルDB22は、例えば、転送処理部21が受信パケットの処理を行う際に参照するテーブルを一つ以上格納可能なデータベースによって構成される。
図10は、転送ノード20のテーブルDB22に設定されているテーブルの例である。図10の例では、図5のユーザ端末50と、仮想マシン320間の通信を実現する処理規則が設定されている。例えば、ユーザ端末50から仮想マシン320に宛てられたパケットのヘッダフィールドには、送信元IPアドレスとしてユーザ端末50のIPアドレスが設定され、宛先IPアドレスとして仮想マシン320のIPアドレスが設定されている。このため、ユーザ端末50から仮想マシン320に宛てられたパケットを受信すると、転送ノード20のテーブル検索部210は、図10のテーブルの上から1番目の処理規則を、受信パケットに適合する処理規則として探し出す。そして、転送ノード20および仮想転送ノード310のアクション実行部211は、そのインストラクションフィールドに示された内容に従って、転送ノード20および仮想転送ノード310と接続されたポート(#1)から当該受信パケットを転送する。なお、転送ノード20および仮想転送ノード310は、例えば、受信パケットに対応する処理規則が存在しない場合や処理規則に規定された“Instructions”が制御装置10への問い合わせである場合、制御装置10に対して処理規則の設定を要求する。
同様に、例えば、仮想マシン320からユーザ端末50に宛てられたパケットのヘッダフィールドには、送信元IPアドレスとして仮想マシン320のIPアドレスが設定され、宛先IPアドレスとしてユーザ端末50のIPアドレスが設定されている。このため、仮想マシン320からユーザ端末50に宛てられたパケットを受信すると、転送ノード20のテーブル検索部210は、図10のテーブルの上から2番目の処理規則を、受信パケットに適合する処理規則として探し出す。そして、転送ノード20および仮想転送ノード310のアクション実行部211は、そのインストラクションフィールドに示された内容に従って、ユーザ端末50と接続されたポート(#2)から当該受信パケットを転送する。なお、転送ノード20および仮想転送ノード310は、受信パケットに対応する処理規則が存在しない場合や処理規則に規定された“Instructions”が制御装置10への問い合わせである場合、制御装置10に対して処理規則の設定を要求する。
処理規則管理部23は、テーブルDB22に保持されているテーブルを管理する手段である。具体的には、処理規則管理部23は、制御装置10から指示された処理規則をテーブルDB22に登録する。また、処理規則管理部23は、転送処理部21から、新規パケットを受信したことを通知されたことに応じて、制御装置10に対し、受信パケットを処理するための処理規則の設定を要求する。
通信部24は、転送ノード20および仮想転送ノード310に処理規則を設定する制御装置10との通信を実現する手段である。第1の実施形態では、通信部24は、非特許文献2のオープンフロープロトコルを用いて制御装置10と通信するものとする。但し、通信部24と制御装置10との通信プロトコルは、オープンフロープロトコルに限定されるものではない。
図11は、第1の実施形態の通信システムの動作例を示すシーケンス図である。
ユーザ端末50が、ユーザ認証を行う(図11のS001)。ユーザ認証は、ユーザを一意に特定するための処理であり、ユーザIDとパスワードを用いた認証方法やユーザが使用するユーザ端末のMAC(Media Access Control)アドレスを用いた認証方法など、どのような方法を用いてもよい。ユーザ認証は、認証処理を実行する専用の認証装置(図示せず)を用いてもよいし、仮想マシン管理装置400において認証処理を行ってもよい。
続いて、ユーザ端末50が、仮想マシン管理装置400に対して、仮想マシンの作成を要求する(図11のS002)。
仮想マシン管理装置400は、ユーザ端末50からの要求にしたがって仮想マシン320を作成し(図11のS003)、指定の仮想リソース300へ配置処理を行う(図11のS004)。仮想リソース300に、仮想マシン320が配置される(図11のS005)。仮想マシン管理装置400は、作成した仮想マシン320が所属するネットワークを形成する(図11のS006)。
仮想マシン管理装置400は、ユーザ認証時のユーザIDと管理情報記憶部410に記憶した仮想マシン仕様情報のユーザIDとを照合する。ユーザIDが仮想マシン仕様情報内に存在する場合、論理ネットワーク情報を制御装置10へ通知する(図11のS007)。
一方、ユーザIDが仮想マシン仕様情報内に存在しない場合、そのユーザIDに対して新しい所属ネットワークIDを論理ネットワーク情報に登録し、所属ネットワークIDを登録した論理ネットワーク情報を制御装置10へ通知する(図11S007)。
制御装置10は、仮想マシン管理装置400から仮想マシンの所属ネットワーク情報を受け取り、その所属ネットワーク情報にしたがって処理規則を作成する(図11のS008)。
制御装置10は、作成した処理規則を転送ノード20および仮想転送ノード310に通知する(図11のS009のFlowMod)。
転送ノード20および仮想転送ノード310は、制御装置10から処理規則を受け取り、処理規則を設定する(図11のS010)。
なお、仮想マシン管理装置400が仮想マシンを作成する処理と、制御装置10へ論理ネットワーク情報を通知する処理とは、どちらが先に処理されてもよいし、同時に処理されてもよい。
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図11のS011)。
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード310へと順に転送される。転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットの転送を判定し、パケットを転送する(図11のS012)。
第1の実施形態において、制御装置10が、仮想マシン管理装置400から仮想マシン320と仮想転送ノード310との接続関係に関する情報の通知を受けたことに応じて、当該仮想マシン320宛のパケットを処理するための処理規則を転送ノード20および仮想転送ノード310に予め通知する。転送ノード20または仮想転送ノード310は、仮想マシン320宛のパケットを受信した場合に、すでに処理規則が設定されているため、制御装置10に対して処理規則を要求しない。したがって、第1の実施形態によれば、転送ノード20または仮想転送ノード310からの処理規則の要求が削減されることにより、制御装置の負荷を低減することができる。
[第2の実施形態]
認証装置60および通信ポリシ管理装置70が通信システムに含まれる第2の実施形態について、図面を参照して説明する。
第2の実施形態において、認証装置60は、ユーザ端末50の認証を実行する。通信ポリシ管理装置70は、ユーザ端末50が作成する仮想マシン320による他の仮想マシンへのアクセスの可否を示すアクセスルールを決定する。
第2の実施形態において、ユーザ端末50は、ポリシ管理装置70に対してアクセスルールの変更を指示する。通信ポリシ管理装置70は、アクセスルールの変更の指示に応じて、新たなアクセスルールを決定する。制御装置10は、新たなアクセスルールに基づいて、ユーザ端末50から仮想マシン320までの転送経路を再設定する。制御装置10は、再設定した転送経路を実現する処理規則を、転送ノード20および仮想転送ノード310に予め設定する。
このように、第2の実施形態では、通信ポリシ管理装置70を設けたことにより、ユーザ端末50からアクセスルールの変更の指示を受け付け、その変更の指示に応じた処理規則を転送ノード20および仮想転送ノード310に予め設定することができる。
図12は、第2の実施形態における通信システムの構成例である。図12に示すように、第1の実施形態との相違点は、通信システムが認証装置60、および、通信ポリシ管理装置70を含む点である。その他は、第1の実施形態及び第2の実施形態と同等であるため、以下その相違点を中心に説明する。
認証装置60は、ユーザ端末50を認証する装置である。認証装置60は、例えば、ユーザ端末50からの要求により、ユーザ端末50を認証する。ユーザ端末50は、認証装置60に対する要求を通じて、アクセスルールの変更を指示する。
なお、第2の実施形態では、ユーザ端末50が認証装置60を介してアクセスルールの変更を指示しているが、ユーザ端末50が通信ポリシ管理装置70に直接アクセスルールの変更を指示してもよい。
図13は、認証装置60がユーザ端末50の認証に成功した場合に、通信ポリシ管理装置70に送信する認証情報の一例である。認証装置60は、例えば、ユーザ端末50の認証に成功した場合、通信ポリシ管理装置70に対して、ユーザIDと、ロールIDと、属性情報とを対応付けた認証情報を通知する。
ユーザIDは、ユーザ端末50を識別する識別子である。
ロールIDは、アクセス制限に関する情報を特定するために用いる識別子である。ロールIDがrole_0001の場合、例えば、リソースグループIDがresource_group_0001およびresource_group_0002のリソースグループへのアクセスが許可されることを意味する。ロールIDと、アクセス制限に関する情報との対応関係は、通信ポリシ管理装置70の通信ポリシ記憶部71に記憶される(図14)。リソースグループは、複数の仮想リソース群である。リソースグループIDは、リソースグループを互いに識別する識別子である。
属性情報は、ユーザ端末50が作成する仮想マシンに関する情報(例えば、IPアドレスやMACアドレス)である。
認証装置60は、図13に示すように、例えば、ユーザIDが0001であるユーザ端末の認証に成功した場合、通信ポリシ管理装置70に対して、ユーザIDとして0001、ロールIDとしてrole_0001、属性情報としてIPアドレス:192.168.100.1およびMACアドレス:00−00−00−44−55−66を通知する。
認証装置60は、ユーザ端末50からの要求に応じて、通信ポリシ管理装置70に新たな認証情報を通知する。認証装置60は、例えば、ユーザ端末50からの要求に応じて、通信ポリシ管理装置70に対し、ロールIDをrole_0002と変更した認証情報を通知する。すなわち、認証装置60は、例えば、ユーザ端末50からの要求に応じて、通信ポリシ管理装置70に対し、ユーザIDとして0001、ロールIDとしてrole_0002、属性情報としてIPアドレス:192.168.100.1およびMACアドレス:00−00−00−44−55−66を通知する。
なお、認証情報は、図13の例に限定するものではなく、通信ポリシ管理装置70がユーザ端末50のアクセスルールを決定できる情報であればよい。認証情報は、例えば、ユーザ端末50の位置情報などが含まれていてもよい。また、認証装置60が通信ポリシ管理装置70に送信する情報は、認証情報に限られず、ユーザIDやロールID、ユーザ端末50の位置情報を用いてもよい。
図12に示すように、第2の実施形態において、通信システムは、通信ポリシ管理装置70を含む。通信ポリシ管理装置70は、ユーザ端末50が作成する仮想マシン320による他の仮想マシンへのアクセスの可否を示すアクセスルールを決定する。
図14は、図12における通信ポリシ管理装置70の構成例を示す図である。
図14に示すように、通信ポリシ管理装置70は、通信ポリシ記憶部71と、ポリシ制御部72とを備えて構成される。
通信ポリシ記憶部71は、通信ポリシと、リソース情報とを記憶する。
図15は、通信ポリシ記憶部71が記憶する通信ポリシの一例である。図15の例では、通信ポリシ記憶部71は、ロールID毎に、リソースグループIDと、そのリソースグループに対するアクセス制限に関する情報とが記憶される。アクセス制限に関する情報は、例えば、アクセスを許可することをallowで、アクセスを拒否することをdenyで示す。図15の2行目の通信ポリシは、例えば、ロールID:role_0001の仮想マシンは、リソースグループID:resource_group_0002のリソースグループに、アクセスが許可されている(allow)ことを示す。同様に、図15の3行目の通信ポリシは、例えば、ロールID:role_0002の仮想マシンが、リソースグループID:resource_group_0001のリソースグループに、アクセスが禁止されていることを示す。
図16は、通信ポリシ記憶部71が記憶するリソース情報の一例である。図16の例では、通信ポリシ記憶部71は、リソースグループID毎に、そのリソースグループに含まれる仮想リソースと、その仮想リソースの情報とを対応付けて記憶する。図16を参照すると、通信ポリシ記憶部71は、例えば、リソースグループIDがresource_group_0001で特定されるグループに、そのグループに含まれるリソースとしてresource_0001と、resource_0002と、resource_0003とを対応付けて記憶し、それぞれのリソースに関する情報(例えば、IPアドレス、MACアドレス、および、サービスに利用するポート番号など)を記憶する。
ポリシ制御部72は、通信ポリシ記憶部71に記憶されている通信ポリシおよびリソース情報と、仮想マシン管理装置400から通知される認証情報とに基づいて、ユーザ端末50が作成する仮想マシン320のアクセス可否に関するアクセスルールを作成する。ポリシ制御部72は、作成したアクセスルールを、制御装置10に通知する。
図17は、ポリシ制御部72が作成する、仮想マシン320による他の仮想マシンに対するアクセス可否を示すアクセスルールである。図17において、送信元フィールドには、ユーザ端末50が作成を要求した仮想マシン320に関する情報(例えば、IPアドレスやMACアドレス)が格納される。送信元フィールドに格納される情報は、認証装置60がポリシ管理装置70に送信する認証情報の属性フィールドから作成する。
図17において、宛先フィールドは、仮想リソースに関する情報(例えば、リソースのIPアドレス、MACアドレス、および、サービスに利用するポート番号の情報)である。宛先フィールドに格納される情報は、通信ポリシ記憶部71に記憶されたリソース情報のリソース属性フィールドから作成する。
図17において、アクセス権限フィールドには、アクセス制限に関する情報が格納される。アクセス権限フィールドに格納される情報は、通信ポリシ記憶部71の通信ポリシのアクセス権限フィールドから作成される。
図17において、条件(オプション)フィールドには、例えば、通信ポリシ記憶部71に記憶されたリソース情報のリソース属性フィールドに設定されているサービスに利用するポート番号が設定される。
ポリシ制御部72は、例えば、図17のテーブルの4行目目に示すように、送信元アドレス:192.168.100.1の仮想マシンが、宛先アドレス:192.168.0.3の仮想マシンと通信が不可(deny)というアクセスルールを作成し、制御装置10へ通知する。
ポリシ制御部72は、仮想リソース300に配置される仮想マシンに変更が生じた場合、ポリシ記憶部71に記憶する通信ポリシとリソース情報とを更新する。ポリシ制御部72は、例えば、仮想マシン管理装置400から論理ネットワーク情報の通知を受け、リソースグループに含まれるリソースに変更があったことに応じて、リソース情報に含まれるリソースグループIDとリソースIDとの対応関係を更新する。
第2の実施形態の通信ポリシ管理装置70は、ユーザ端末50からの要求を受けて、ポリシの作成や修正、削除等を行う。このような通信ポリシ管理の仕組み(ポリシ管理システム)は、Webベースのシステムとして提供してもよいし、独立したPC(Personal Computer)上で動くアプリケーションとして提供してもよい。また、通信ポリシ管理装置70のポリシ管理の仕組みは、GUI(Graphical User Interface)を用いたアプリケーションで提供されるだけでなく、CLI(Command Line Interface)で提供されてもよいし、その他どのような形態であってもよい。
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める。制御装置10は、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知する。なお、制御装置10は、求める処理規則に有効期限を設けてもよい。この場合、制御装置10は、処理規則が転送ノード210および仮想転送ノード310に設定されてから、または、最後に照合規則に適合するパケットを受信してから有効期限が経過した場合に、その処理規則が無効になるように、または、その処理規則が削除されるように設定する。
第2の実施形態における通信システムの動作について、図面を参照して説明する。図18は、第2の実施形態における通信システムの動作例を示すシーケンス図である。図18の動作例は、ユーザ端末50が、認証装置60に対する要求を通じて、アクセスルールの変更を指示する場合の動作例である。
図18を参照すると、ユーザ端末50が、認証装置60に対して、認証を要求する(図18のS101)。認証装置60は、ユーザ端末50のユーザ認証を行う(図18のS102)。認証装置60は、ユーザ端末50の認証に成功した場合に、通信ポリシ管理装置70に認証情報を送信する(図18のS103)。
通信ポリシ管理装置70は、通知された認証情報と、通信ポリシ記憶部71に記憶された通信ポリシおよびリソース情報とに基づいて、ユーザ端末50からの要求に応じて作成される仮想マシン320のアクセスに関するアクセスルールを作成する(図18のS104)。通信ポリシ管理装置70は、作成したアクセスルールを、制御装置10に送信する(図18のS105)。
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める(図18のS106)。制御装置10は、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知する(図18のFlowMod、S107)。
転送ノード20および仮想転送ノード310は、制御装置10からの処理規則を受け取り、処理規則を設定する(図18のS108)。
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図18のS109)。
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード310へと順に転送される。転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する(図18のS110)。
以上のように、第2の実施形態の通信システムでは、通信ポリシ管理装置70を設けたことにより、ユーザ端末50からアクセスルールの変更の指示を受け付け、その変更の指示に応じた処理規則を転送ノード20および仮想転送ノード310に予め設定することができる。したがって、第2の実施形態によれば、転送ノード20または仮想転送ノード310からの処理規則の要求が削減されることにより、制御装置の負荷を低減することができる。
[第3の実施形態]
第3の実施形態は、第2の実施形態における通信システムに、仮想マシン移動装置80を追加した実施形態である。第3の実施形態では、仮想マシン移動装置80を設けたことで、仮想リソース間で仮想マシンを移動させることができるシステムを提供できる。
第3の実施形態について、図面を参照して説明する。
図19は、第3の実施形態における通信システムの構成例である。図19に示すように、第2の実施形態との相違点は、仮想マシン移動装置80が追加したことである。その他は、第2の実施形態と同等であるため、以下その相違点を中心に説明する。
仮想マシン移動装置80は、仮想リソース300に含まれる仮想マシン320を、ユーザ端末50からの要求により、又は、仮想リソース300の稼働状況などにより、他の仮想リソース900に移動する。
仮想マシン移動装置80は、仮想マシン320の移動の要求に応じて、仮想マシン320の移動先の情報を仮想マシン管理装置400に通知する。仮想マシン320の移動先の情報は、ユーザ端末50から移動の要求を受けた仮想マシンの仮想マシンIDである。なお、移動先の情報は、仮想マシンIDに限られず、ユーザ端末50が移動を要求した仮想マシンを特定でいる情報であればどのような情報であってもよい。
仮想マシン管理装置400の仮想マシン作成部430は、仮想マシン移動装置80から、仮想マシン320の移動先の情報を受け取ったことに応じて、管理情報記憶部410に記憶された論理ネットワーク情報を参照して、仮想マシン320の移動先を決定する。
仮想マシン管理装置400は、仮想マシン320の移動先を決定した後、仮想マシン320を移動先である仮想リソース900に移動する。仮想マシン管理装置400は、仮想マシン320の移動に応じて、論理ネットワーク情報を更新する。仮想マシン管理装置は、更新後の論理ネットワーク情報を、制御装置10へ通知する。
第3の実施形態における通信システムの動作について、図面を参照して説明する。図20は、第3の実施形態における通信システムの動作例を示すシーケンス図である。
ユーザ端末50が、認証装置60により、ユーザ認証を行う(図20のS201)。
続いて、ユーザ端末50が、仮想マシン移動装置80に対して、仮想マシンの移動を要求する(図20のS002)。
仮想マシン移動装置80は、仮想マシン320の移動の要求に応じて、仮想マシン320の移動先の情報を仮想マシン管理装置400に通知する(図20のS203)。
仮想マシン管理装置400の仮想マシン作成部430は、仮想マシン移動装置80から、仮想マシン320の移動先の情報を受け取ったことに応じて、管理情報記憶部410に記憶された論理ネットワーク情報を参照して、仮想マシン320の移動先を決定する(図20のS204)。
仮想マシン管理装置400は、仮想マシン320の複製を、仮想リソース300に要求する(図20のS205)。
仮想リソース300は、仮想マシン管理装置400からの複製要求を受けて、仮想マシン320を複製し(図20のS206)、複製した仮想マシン320を仮想マシン管理装置400へ通知する(図20のS207)。仮想マシン管理装置400は、複製した仮想マシン320を受け取り、イメージ記憶部420に一時保存する(図20のS208)。仮想マシン管理装置400は、仮想リソース300に対して、仮想マシン320の削除を要求する(図20のS209)。仮想リソース300は、仮想マシン管理装置400から削除要求を受けて、仮想マシン320を削除し(図20のS210)、削除の完了を仮想マシン管理装置400へ通知する(図20のS211)。
仮想マシン管理装置400は、仮想リソース300から仮想マシン320の削除完了の通知を受け取り、イメージ記憶部320に一助保存していた複製した仮想マシン320を、仮想リソース900へ通知する(図20のS212)。仮想リソース900は、仮想マシン管理装置400から複製した仮想マシン320を受け取り、仮想リソース900内に仮想マシン320を配置する(図20のS213)。
仮想マシン管理装置400は、仮想リソース320を移動した後の論理ネットワーク情報を制御装置10へ通知する(図20のS214)。
制御装置10は、仮想マシン管理装置400から仮想マシンの所属ネットワーク情報を受け取り、その所属ネットワーク情報にしたがって処理規則を作成する(図20のS215)。
制御装置10は、作成した処理規則を転送ノード20および仮想リソース900内の仮想転送ノード910に通知する(図20のS216のFlowMod)。
転送ノード20および仮想転送ノード910は、制御装置10から処理規則を受け取り、処理規則を設定する(図20のS217)。
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図20のS218)。
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード910へと順に転送される。転送ノード20および仮想転送ノード910は、制御装置10によって設定された処理規則にしたがってパケットの転送を判定し、パケットを転送する(図20のS218)。
以上のように、第3の実施形態の通信システムでは、仮想マシン移動装置80を設けたことで、仮想リソース間で仮想マシンを移動させることができ、仮想リソースの移動を反映した処理規則を転送ノード20および仮想転送ノード910に予め設定することができる。したがって、第3の実施形態によれば、転送ノード20または仮想転送ノード910からの処理規則の要求が削減されることにより、制御装置の負荷を低減することができる。
[第4の実施形態]
第4の実施形態は、第3の実施形態における通信システムを冗長化した実施形態である。通信システムを冗長化したことにより、いずれかの通信システムが使用できなくなった場合であっても、その通信システムが提供していたサービスを継続して提供することができる。
第4の実施形態について、図面を参照して説明する。
図21は、第4の実施形態における通信システムの構成例である。図21に示すように、第3の実施形態との相違点は、通信システムが冗長化されていることである。その他は、第3の実施形態と同等であるため、以下その相違点を中心に説明する。
図21に示すように、第4の実施形態における通信システムは、第1の通信システムと第2の通信システムとを含む。なお、第4の実施形態における通信システムは、第1および第2の通信システムだけでなく、いくつの通信システムを含んでもよい。第1の通信システムと第2の通信システムとは、互いに同じサービスを提供する。第1の通信システムは、例えば、データセンター内に構築される。第2の通信システムは、例えば、第1の通信システムに対してインターネットや広域ネットワークなどの外部ネットワークを介した企業内に構築される。
第4の実施形態における第2の通信システムは、図21に示すように、ローカル制御装置10Aと、ローカル転送ノード20Aと、ローカル仮想リソース300Aと、ローカル仮想マシン管理装置400Aと、ローカル認証装置60Aと、ローカル通信ポリシ管理装置70Aと、ローカル仮想マシン移動装置80Aと、を含む。
ローカル制御装置10Aは、第1の通信システムの制御装置10と同様の処理を行う。ローカル転送ノード20Aは、第1の通信システムの転送ノード20と同様の処理を行う。ローカル仮想リソース300Aは、第1の通信システムの仮想リソース300と同様の処理を行う。ローカル仮想マシン管理装置400Aは、仮想マシン管理装置400と同様の処理を行う。ローカル認証装置60Aは、第1の通信システムの認証装置60と同様の処理を行う。ローカル通信ポリシ管理装置70Aは、第1の通信システムの通信ポリシ管理装置70と同様の処理を行う。ローカル仮想マシン移動装置80Aは、第1の通信システムの仮想マシン移動装置80と同様の処理を行う。
第4の実施形態において、第1の通信システムに含まれる各装置と、第2の通信システムに含まれる各装置とは、互いに同期して動作するものとして説明する。なお、第1の通信システムに含まれる各装置と、第2の通信システムに含まれる各装置とは、同期して動作する必要はなく、互いに独立して動作してもよい。
第4の実施形態において、仮想マシン管理装置400が、ユーザ端末50から仮想マシンの作成や設定変更の要求を受け付け、それを元に任意のリソースに仮想マシンを作成する。仮想マシン管理装置400の管理情報記憶部410は、ユーザ端末50から受け付けた要求に応じて、論理ネットワークの情報を作成する。
第4の実施形態において、仮想マシン管理装置400は、作成した論理ネットワークの情報を、第2の通信システムに含まれるローカル仮想マシン管理装置400Aに通知する。ローカル仮想マシン管理装置400Aは、通知された論理ネットワークの情報に基づいて、ローカル仮想リソース300Aにローカル仮想マシン320Aを作成する。なお、ユーザ端末50がローカル仮想マシン管理装置300Aに仮想マシンの作成や設定変更の要求を行った場合には、ローカル仮想マシン管理装置400Aが、仮想マシン管理装置400に論理ネットワークの情報を通知するように構成してもよい。
同様に、第4の実施形態において、ユーザ端末50がアクセスルールの変更を要求した場合には、ポリシ管理装置70が、決定したアクセスルールを制御装置10に通知するとともに、ローカル制御装置10Aにも通知する。ローカル制御装置10Aは、通知されたアクセスルールに基づいて、パケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める。ローカル制御装置10Aは、求めた処理規則を、ローカル転送ノード20Aとローカル仮想転送ノード310Aに予め設定する。
同様に、第4の実施形態において、ユーザ端末50が仮想マシンの移動を要求した場合には、仮想マシン管理装置400は、仮想マシンを移動した後に更新する論理ネットワーク情報を、ローカル仮想マシン管理装置400Aに通知する。ローカル仮想マシン管理装置400Aは、通知された論理ネットワークの情報に基づいて、ローカル仮想マシン320Aの移動処理を実行する。
第4の実施形態における通信システムの動作について、図面を参照して説明する。
図22は、第4の実施形態における通信システムの動作例を示すシーケンス図である。図22の動作例は、ユーザ端末50が、仮想マシン管理装置400に対して、仮想マシンの作成や設定変更の要求する場合の動作例である。
ユーザ端末50が、ユーザ認証を行う(図22のS201)。
続けて、ユーザ端末50が、仮想マシン管理装置400に対して、仮想マシンの作成を要求する(図22のS201)。
仮想マシン管理装置400は、ユーザ端末50からの要求にしたがって仮想マシン320を作成し(図22のS203)、指定の仮想リソース300へ配置処理を行う(図22のS204)。仮想リソース300に、仮想マシン320が配置される(図22のS205)。仮想マシン管理装置400は、作成した仮想マシン320が所属するネットワークを形成する(図22のS206)。
仮想マシン管理装置400は、ユーザ認証時のユーザIDと管理情報記憶部410に記憶した仮想マシン仕様情報のユーザIDとを照合する。仮想マシン管理装置400は、ユーザIDが仮想マシン仕様情報内に存在する場合、論理ネットワーク情報を制御装置10へ通知する(図22のS207)。
一方、ユーザIDが仮想マシン仕様情報内に存在しない場合、そのユーザIDに対して新しい所属ネットワークIDを論理ネットワーク情報に登録し、所属ネットワークIDを登録した論理ネットワーク情報を制御装置10へ通知する(図22のS207)。
第4の実施形態において、第1の通信システムに含まれる仮想マシン管理装置400は、第2の通信システムに含まれるローカル仮想マシン管理装置400Aに対しても、論理ネットワーク情報を通知する(図22のS207)。
制御装置10は、仮想マシン管理装置400から仮想マシンの所属ネットワーク情報を受け取り、その所属ネットワーク情報にしたがって処理規則を作成する(図22のS208)。
制御装置10は、作成した処理規則を転送ノード20および仮想転送ノード310に通知する(図22のS209のFlowMod)。
転送ノード20および仮想転送ノード310は、制御装置10から処理規則を受け取り、処理規則を設定する(図22のS210)。
第4の実施形態において、第1の通信システムの仮想マシン管理装置400から論理ネットワーク情報の通知を受けたローカル仮想マシン管理装置400Aは、論理ネットワーク情報に基づいて、ローカル仮想マシン320Aを作成し(図22のS211)、指定のローカル仮想リソース300Aへ配置処理を行う(図22のS212)。ローカル仮想リソース300Aに、ローカル仮想マシン320Aが配置される(図22のS213)。
ローカル仮想マシン管理装置400Aは、論理ネットワーク情報をローカル制御装置10Aへ通知する(図22のS214)。
ローカル制御装置10Aは、ローカル仮想マシン管理装置400Aから論理ネットワーク情報を受け取り、その論理ネットワーク情報にしたがって処理規則を作成する(図22のS215)。
ローカル制御装置10Aは、作成した処理規則をローカル転送ノード20Aおよびローカル仮想転送ノード310Aに通知する(図22のS216のFlowMod)。
ローカル転送ノード20Aおよびローカル仮想転送ノード310Aは、ローカル制御装置10Aから処理規則を受け取り、処理規則を設定する(図22のS217)。
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図22のS218)。
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード310へと順に転送される。転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する(図22のS219)。
図23は、第4の実施形態における通信システムの動作例を示すシーケンス図である。図23の動作例は、ユーザ端末50が、認証装置60に対する要求を通じて、アクセスルールの変更を指示する場合の動作例である。
図23を参照すると、ユーザ端末50が、認証装置60に対して、認証を要求する(図23のS301)。認証装置60は、ユーザ端末50のユーザ認証を行う(図23のS302)。認証装置60は、ユーザ端末50の認証に成功した場合に、ポリシ管理装置70に認証情報を送信する(図23のS303)。
通信ポリシ管理装置70は、通知された認証情報と、通信ポリシ記憶部71に記憶された通信ポリシおよびリソース情報とに基づいて、ユーザ端末50からの要求に応じて作成される仮想マシン320のアクセスに関するアクセスルールを作成する(図23のS304)。通信ポリシ管理装置70は、作成したアクセスルールを、制御装置10に送信する(図23のS305)。
第4の実施形態において、第1の通信システムの通信ポリシ管理装置70は、作成したアクセスルールを、第2の通信システムのローカル制御装置10Aに対しても通知する(図23のS305)。
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める(図23のS306)。制御装置10は、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知する(図23のFlowMod、S307)。
転送ノード20および仮想転送ノード310は、制御装置10からの処理規則を受け取り、処理規則を設定する(図23のS308)。
第4の実施形態において、第1の通信システムのポリシ管理装置70からアクセスルールを受け取った第2の通信システムのローカル制御装置10Aは、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める(図23のS309)。ローカル制御装置10Aは、求めた処理規則を、ローカル転送ノード20Aと、ローカル仮想転送ノード310Aに通知する(図23のFlowMod、S310)。
ローカル転送ノード20Aおよびローカル仮想転送ノード310Aは、ローカル制御装置10Aからの処理規則を受け取り、処理規則を設定する(図23のS311)。
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図23のS312)。
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード310へと順に転送される。転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する(図23のS313)。
以上のように、第4の実施形態では、通信システムを冗長化している。したがって、制御装置10などの装置が故障した場合や、転送ノード20と仮想転送ノード310との間のネットワークに障害が発生した場合など、通信システムが使用できなくなっても、その通信システムが提供していたサービスを、他の通信システムで継続して提供することができる。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10 制御装置
10A ローカル制御装置
11 トポロジ管理部
12 制御メッセージ処理部
13 経路・アクション計算部
14 転送ノード管理部
15 処理規則管理部
16 処理規則データベース
17 ノード通信部
18 仮想リソース管理部
20、20−1、20−2 転送ノード
20A ローカル転送ノード
21 転送処理部
22 テーブルデータベース(テーブルDB)22
23 処理規則管理部
24 通信部
30 通信機器
40 通信機器管理装置
50 ユーザ端末
60 認証装置
60A ローカル認証装置
70 通信ポリシ管理装置
70A ローカル通信ポリシ管理装置
71 通信ポリシ記憶部
72 ポリシ制御部
80 仮想マシン移動装置
80A ローカル仮想マシン移動装置
300 仮想リソース
300A ローカル仮想リソース
310 仮想転送ノード
310A ローカル仮想転送ノード
320 仮想マシン
320A ローカル仮想マシン
400 仮想マシン管理装置
400A ローカル仮想マシン管理装置
410 管理情報記憶部
420 イメージ記憶部
430 仮想マシン作成部
900 仮想リソース
910 仮想転送ノード
920 仮想マシン

Claims (9)

  1. パケットを処理するための処理規則を要求するノードと、
    前記要求に応じて、前記処理規則を前記ノードに通知する制御装置と、
    パケットの宛先となる仮想マシンと他の仮想マシンとの間の接続の可否を示すアクセスルールを管理する通信ポリシ管理装置と、を備え、
    前記制御装置は、前記仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記通信ポリシ管理装置から通知される前記アクセスルールに基づいて、前記仮想マシン宛のパケットの転送経路を決定し、前記転送経路でパケットを転送するための処理規則を前記ノードに通知することを特徴とする通信システム。
  2. 前記制御装置は、前記仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記転送経路を実現するための処理規則を前記ノードに予め通知すること
    を特徴とする請求項1に記載の通信システム。
  3. 前記仮想マシンと前記ノードとの接続関係を管理する通信機器管理装置を備え、
    前記通信機器管理装置は、前記仮想マシンと前記ノードとの接続関係を変更したことに応じて、前記制御装置に対して前記接続関係の変更を通知すること
    を特徴とする請求項1または2に記載の通信システム。
  4. 前記仮想マシンは、前記通信機器管理装置によって仮想リソースに配置され
    前記通信機器管理装置は、前記仮想リソースに前記仮想マシンを配置したことに応じて、前記制御装置に対して前記仮想マシンと前記ノードとの接続関係の変更を通知すること
    を特徴とする請求項3に記載の通信システム。
  5. 前記通信機器管理装置は、前記仮想マシンを前記仮想リソースから移動したことに応じて、前記制御装置に対して前記仮想マシンと前記ノードとの接続関係の変更を通知すること
    を特徴とする請求項4に記載の通信システム。
  6. パケットを処理するための処理規則を生成し、ノードに送信する第一の手段と、
    パケットの宛先となる仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記仮想マシンと他の仮想マシンとの間の接続の可否を示すアクセスルールを管理する通信ポリシ管理装置から通知されるアクセスルールに基づいて、前記仮想マシン宛のパケットの転送経路を決定し、前記転送経路でパケットを転送するための処理規則を前記ノードに通知する第二の手段と、
    を備えることを特徴とする制御装置。
  7. 前記第二の手段は、前記仮想マシンと前記ノードとの接続関係の変更を通知されたことに応じて、前記転送経路を実現するための処理規則を前記ノードに予め通知すること
    を特徴とする請求項6に記載の制御装置。
  8. 前記第二の手段は、前記仮想マシンと前記ノードとの接続関係を変更する通信機器管理装置から、前記接続関係の変更を通知されること
    を特徴とする請求項6または7に記載の制御装置。
  9. 前記仮想マシンは、前記通信機器管理装置によって仮想リソースに配置され
    前記第二の手段は、前記仮想リソースに前記仮想マシンを配置した前記通信機器管理装置から、前記仮想マシンと前記ノードとの接続関係の変更を通知されること
    を特徴とする請求項8に記載の制御装置。
JP2015502576A 2012-03-30 2013-03-29 通信システム、制御装置、通信装置、通信制御方法およびプログラム Active JP6090423B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015502576A JP6090423B2 (ja) 2012-03-30 2013-03-29 通信システム、制御装置、通信装置、通信制御方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2012080279 2012-03-30
JP2012080279 2012-03-30
JP2015502576A JP6090423B2 (ja) 2012-03-30 2013-03-29 通信システム、制御装置、通信装置、通信制御方法およびプログラム
PCT/JP2013/002183 WO2013145780A1 (en) 2012-03-30 2013-03-29 Communication system, control apparatus, communication apparatus, communication control method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017021123A Division JP6327371B2 (ja) 2012-03-30 2017-02-08 通信システム、制御装置、通信制御方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2015515205A JP2015515205A (ja) 2015-05-21
JP6090423B2 true JP6090423B2 (ja) 2017-03-08

Family

ID=49259070

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2015502576A Active JP6090423B2 (ja) 2012-03-30 2013-03-29 通信システム、制御装置、通信装置、通信制御方法およびプログラム
JP2017021123A Active JP6327371B2 (ja) 2012-03-30 2017-02-08 通信システム、制御装置、通信制御方法およびプログラム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2017021123A Active JP6327371B2 (ja) 2012-03-30 2017-02-08 通信システム、制御装置、通信制御方法およびプログラム

Country Status (5)

Country Link
US (2) US9935876B2 (ja)
EP (1) EP2832058B1 (ja)
JP (2) JP6090423B2 (ja)
ES (1) ES2718652T3 (ja)
WO (1) WO2013145780A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2700206A4 (en) 2011-04-18 2014-12-17 Nec Corp END DEVICE, CONTROL DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, COMMUNICATION MODULE, PROGRAM AND INFORMATION PROCESSING DEVICE
WO2013161178A1 (ja) * 2012-04-27 2013-10-31 日本電気株式会社 通信システム及び経路制御方法
US20150169342A1 (en) * 2012-12-17 2015-06-18 Unisys Corporation System and method for managing computing resources
US20150134941A1 (en) * 2013-11-13 2015-05-14 Institute For Information Industry Control center deployment method for cloud-based system
CN104702502B (zh) * 2013-12-09 2019-11-26 中兴通讯股份有限公司 网络路径计算方法及装置
US9438506B2 (en) * 2013-12-11 2016-09-06 Amazon Technologies, Inc. Identity and access management-based access control in virtual networks
CN104753828B (zh) 2013-12-31 2019-10-25 华为技术有限公司 一种sdn控制器、数据中心系统和路由连接方法
US9613218B2 (en) * 2014-06-30 2017-04-04 Nicira, Inc. Encryption system in a virtualized environment
JP6477037B2 (ja) * 2015-03-06 2019-03-06 日本電気株式会社 ネットワーク制御システム、ネットワーク制御方法、制御装置の制御プログラム、及び、中継装置の制御プログラム
JP6476034B2 (ja) * 2015-03-27 2019-02-27 株式会社エヌ・ティ・ティ・データ 制御装置及び制御方法
WO2017173667A1 (zh) 2016-04-08 2017-10-12 华为技术有限公司 一种管理方法及装置
JP6723289B2 (ja) * 2018-05-24 2020-07-15 株式会社日立製作所 計算機システム及びリソースアクセス制御方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080189769A1 (en) 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US20110032830A1 (en) * 2009-08-06 2011-02-10 Jacobus Van Der Merwe Live Router Migration
JP5446040B2 (ja) 2009-09-28 2014-03-19 日本電気株式会社 コンピュータシステム、及び仮想マシンのマイグレーション方法
JP5621781B2 (ja) 2009-10-06 2014-11-12 日本電気株式会社 ネットワークシステムとコントローラと方法とプログラム
JP5717164B2 (ja) 2009-10-07 2015-05-13 日本電気株式会社 コンピュータシステム、及びコンピュータシステムのメンテナンス方法
JPWO2011081104A1 (ja) * 2010-01-04 2013-05-09 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
JP2011141635A (ja) 2010-01-06 2011-07-21 Hitachi Ltd ホスト間通信を使用した仮想サーバのデータの通信方法
CA2810663A1 (en) 2010-09-09 2012-03-15 Nec Corporation Network system and network managing method
JP5476261B2 (ja) 2010-09-14 2014-04-23 株式会社日立製作所 マルチテナント型情報処理システム、管理サーバ及び構成管理方法
RU2558624C2 (ru) * 2010-09-22 2015-08-10 Нек Корпорейшн Устройство управления, система связи, способ связи и носитель записи, содержащий записанную на нем программу для связи
US9124515B2 (en) * 2010-11-22 2015-09-01 Hewlett-Packard Development Company, L.P. Elephant flow detection in a computing device
US8560663B2 (en) * 2011-09-30 2013-10-15 Telefonaktiebolaget L M Ericsson (Publ) Using MPLS for virtual private cloud network isolation in openflow-enabled cloud computing

Also Published As

Publication number Publication date
US20180191614A1 (en) 2018-07-05
US9935876B2 (en) 2018-04-03
EP2832058B1 (en) 2019-01-02
WO2013145780A1 (en) 2013-10-03
EP2832058A4 (en) 2015-11-11
ES2718652T3 (es) 2019-07-03
EP2832058A1 (en) 2015-02-04
JP2017092986A (ja) 2017-05-25
JP6327371B2 (ja) 2018-05-23
US20150063354A1 (en) 2015-03-05
JP2015515205A (ja) 2015-05-21

Similar Documents

Publication Publication Date Title
JP6327371B2 (ja) 通信システム、制御装置、通信制御方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP6337947B2 (ja) ネットワーク管理サービスシステム、制御装置、方法およびプログラム
JP5446040B2 (ja) コンピュータシステム、及び仮想マシンのマイグレーション方法
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
JP5943006B2 (ja) 通信システム、制御装置、通信方法およびプログラム
JP5850068B2 (ja) 制御装置、通信システム、通信方法およびプログラム
JP5288081B1 (ja) 通信システム、ポリシー管理装置、通信方法およびプログラム
KR20130079525A (ko) 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
JP6424820B2 (ja) 機器管理システム、機器管理方法及びプログラム
JP5440740B2 (ja) 通信システム、制御装置、通信方法及びプログラム
JP5939298B2 (ja) 通信端末、通信方法および通信システム
WO2014084198A1 (ja) ストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム
JP5994847B2 (ja) 通信端末、通信方法、通信システムおよび制御装置
JP2018093246A (ja) ネットワークシステム、制御装置、制御方法及びプログラム
JP2018093245A (ja) ネットワークシステム、制御装置、制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170123

R150 Certificate of patent or registration of utility model

Ref document number: 6090423

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350