JP6475768B2 - Server apparatus and program - Google Patents

Server apparatus and program Download PDF

Info

Publication number
JP6475768B2
JP6475768B2 JP2017030908A JP2017030908A JP6475768B2 JP 6475768 B2 JP6475768 B2 JP 6475768B2 JP 2017030908 A JP2017030908 A JP 2017030908A JP 2017030908 A JP2017030908 A JP 2017030908A JP 6475768 B2 JP6475768 B2 JP 6475768B2
Authority
JP
Japan
Prior art keywords
virtual
virtual server
server
identification information
group identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017030908A
Other languages
Japanese (ja)
Other versions
JP2018136751A (en
Inventor
一憲 小島
一憲 小島
敦久 池口
敦久 池口
亮成 宮澤
亮成 宮澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2017030908A priority Critical patent/JP6475768B2/en
Publication of JP2018136751A publication Critical patent/JP2018136751A/en
Application granted granted Critical
Publication of JP6475768B2 publication Critical patent/JP6475768B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は、サーバ装置及びプログラムに関する。   The present invention relates to a server device and a program.

従来から、サーバ装置(論理サーバ)上に複数の仮想サーバを設け、仮想サーバ同士で通信する技術が知られている(例えば、特許文献1参照。)。   Conventionally, a technique in which a plurality of virtual servers are provided on a server device (logical server) and the virtual servers communicate with each other is known (see, for example, Patent Document 1).

特開2016−31610号公報JP 2016-31610 A

しかしながら、仮想サーバ同士で自由に通信ができてしまうと、セキュリティの観点から好ましくない場合があるため、仮想サーバ同士の通信を制限する必要がある。   However, if the virtual servers can communicate with each other freely, it may not be preferable from the viewpoint of security, so it is necessary to limit communication between the virtual servers.

本発明は以上説明した事情を鑑みてなされたものであり、仮想サーバ同士の通信制限をユーザが容易に行うことができるサーバ装置及びプログラムを提供することを目的の一つとする。   The present invention has been made in view of the circumstances described above, and an object of the present invention is to provide a server device and a program that allow a user to easily limit communication between virtual servers.

本発明の第一態様におけるサーバ装置は、複数の仮想サーバと、各仮想サーバに対して、2つ以上の仮想サーバにおいて共通なグループ識別情報を設定する設定部と、前記複数の仮想サーバを互いに通信可能に接続する接続部であって、前記複数の仮想サーバのうち1つの仮想サーバが他の仮想サーバとデータの通信をする場合に、前記1つの仮想サーバに設定されているグループ識別情報と、前記他の仮想サーバに設定されているグループ識別情報とに基づいて、前記通信を制限する接続部と、を備える。   The server device according to the first aspect of the present invention includes a plurality of virtual servers, a setting unit that sets group identification information common to two or more virtual servers for each virtual server, and the plurality of virtual servers. A connection unit that connects to be communicable, and when one virtual server among the plurality of virtual servers communicates data with another virtual server, group identification information set in the one virtual server; And a connection unit that restricts the communication based on group identification information set in the other virtual server.

この態様によれば、サーバ装置において仮想サーバが新たに増えた場合、ユーザは、既存の仮想サーバに設定されているグループ識別情報との関係を考慮し、新たに増えた仮想サーバに対してグループ識別情報を設定することで、既存の仮想サーバに対してグループ識別情報の設定を変えることなく、新たに増えた仮想サーバと既存の仮想サーバとの通信を制限することができる。したがって、仮想サーバ同士の通信制限をユーザが容易に行うことができる。   According to this aspect, when the number of virtual servers newly increases in the server device, the user considers the relationship with the group identification information set in the existing virtual server, and groups the newly added virtual servers. By setting the identification information, communication between the newly added virtual server and the existing virtual server can be restricted without changing the setting of the group identification information for the existing virtual server. Therefore, the user can easily limit communication between virtual servers.

本発明によれば、仮想サーバ同士の通信制限をユーザが容易に行うことができる。   According to the present invention, a user can easily limit communication between virtual servers.

図1は、本実施形態のサーバ装置を含む情報処理システムの概略図である。FIG. 1 is a schematic diagram of an information processing system including a server device of the present embodiment. 図2は、物理サーバのハードウェア構成の一例を概略的に示す図である。FIG. 2 is a diagram schematically illustrating an example of the hardware configuration of the physical server. 図3は、図1に示す情報処理システムの機能的な構成の一例を概略的に示すブロック図である。FIG. 3 is a block diagram schematically showing an example of a functional configuration of the information processing system shown in FIG. 図4は、図3に示す情報処理システムの機能的な構成において、仮想サーバ同士の通信処理の流れの一例を示すフローチャートである。FIG. 4 is a flowchart illustrating an example of a flow of communication processing between virtual servers in the functional configuration of the information processing system illustrated in FIG. 3.

以下、添付図面を参照しながら本発明の実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素及びステップに対しては可能な限り同一の符号を付して、重複する説明は省略する。   Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In order to facilitate understanding of the description, the same components and steps are denoted by the same reference numerals as much as possible in each drawing, and redundant description is omitted.

図1は、本実施形態のサーバ装置を含む情報処理システムの概略図である。図1に示すように、情報処理システム1は、サーバ装置としての一又は複数の物理サーバ10を備える。複数の物理サーバ10は、通信ネットワークNTを介して互いに接続されていることにより、互いに通信可能である。   FIG. 1 is a schematic diagram of an information processing system including a server device of the present embodiment. As illustrated in FIG. 1, the information processing system 1 includes one or more physical servers 10 as server devices. The plurality of physical servers 10 can communicate with each other by being connected to each other via the communication network NT.

物理サーバ10は、一又は複数の仮想サーバ12を備えている。仮想サーバ12は、物理サーバ10に記憶されたプログラムにより実現される。仮想サーバ12は、OS(Operating System)やアプリケーションを実行させることができ、ユーザに対してあたかも独立したコンピュータを提供するものである。   The physical server 10 includes one or a plurality of virtual servers 12. The virtual server 12 is realized by a program stored in the physical server 10. The virtual server 12 can execute an OS (Operating System) and applications, and provides a user with an independent computer.

図2は、物理サーバ10のハードウェア構成の一例を概略的に示す図である。図2に示すように、物理サーバ10は、制御装置20と、通信装置26と、記憶装置28と、を備える。制御装置20は、CPU(Central Processing Unit)22及びメモリ24を主に備えて構成される。   FIG. 2 is a diagram schematically illustrating an example of the hardware configuration of the physical server 10. As illustrated in FIG. 2, the physical server 10 includes a control device 20, a communication device 26, and a storage device 28. The control device 20 mainly includes a CPU (Central Processing Unit) 22 and a memory 24.

制御装置20では、CPU22がメモリ24或いは記憶装置28等に格納された所定のプログラムを実行することにより、各種の機能実現手段として機能する。この機能実現手段の詳細については後述する。   In the control device 20, the CPU 22 functions as various function realizing means by executing predetermined programs stored in the memory 24 or the storage device 28. Details of this function realizing means will be described later.

通信装置26は、外部の装置と通信するための通信インターフェース等で構成される。通信装置26は、例えば、他の物理サーバ10との間で各種の情報を送受信する。   The communication device 26 includes a communication interface for communicating with an external device. The communication device 26 transmits and receives various types of information to and from other physical servers 10, for example.

記憶装置28は、ハードディスク等で構成される。記憶装置28は、制御装置20における処理の実行に必要な各種プログラムや各種の情報、及び処理結果の情報を記憶する。   The storage device 28 is composed of a hard disk or the like. The storage device 28 stores various programs and various information necessary for execution of processing in the control device 20 and information on processing results.

なお、物理サーバ10は、専用又は汎用のコンピュータなどの情報処理装置を用いて実現することができる。なお、物理サーバ10は、単一の情報処理装置より構成されるものであっても、通信ネットワークNT上に分散した複数の情報処理装置より構成されるものであってもよい。   The physical server 10 can be realized using an information processing apparatus such as a dedicated or general-purpose computer. Note that the physical server 10 may be configured by a single information processing apparatus or may be configured by a plurality of information processing apparatuses distributed on the communication network NT.

なお、図2は、物理サーバ10が有する主要なハードウェア構成の一部を示しているに過ぎず、物理サーバ10は、サーバが一般的に備える他の構成を備えることができる。   Note that FIG. 2 shows only a part of the main hardware configuration of the physical server 10, and the physical server 10 can have other configurations generally included in the server.

図3は、図1に示す情報処理システム1の機能的な構成の一例を概略的に示すブロック図である。図3に示すように、情報処理システム1は、例えば、物理サーバ10として、第1物理サーバ10Aと、第2物理サーバ10Bとを備える。   FIG. 3 is a block diagram schematically showing an example of a functional configuration of the information processing system 1 shown in FIG. As illustrated in FIG. 3, the information processing system 1 includes, for example, a first physical server 10 </ b> A and a second physical server 10 </ b> B as the physical server 10.

第1物理サーバ10Aは、機能的な構成として、例えば、第1仮想サーバ12Aと、第2仮想サーバ12Bと、第3仮想サーバ12Cと、第1経路部14Aと、第2経路部14Bと、第3経路部14Cと、第1接続部16Aと、設定部18Aと、を例示的に備える。第2物理サーバ10Bは、機能的な構成として、例えば、第4仮想サーバ12Dと、第5仮想サーバ12Eと、第6仮想サーバ12Fと、第4経路部14Dと、第5経路部14Eと、第6経路部14Fと、第2接続部16Bと、設定部18Bと、を例示的に備える。これら機能的な構成は、制御装置20がプログラムを実行することにより実現される。   The first physical server 10A has, for example, a first virtual server 12A, a second virtual server 12B, a third virtual server 12C, a first path unit 14A, and a second path unit 14B as functional configurations. The third path unit 14C, the first connection unit 16A, and the setting unit 18A are exemplarily provided. The second physical server 10B has, for example, a fourth virtual server 12D, a fifth virtual server 12E, a sixth virtual server 12F, a fourth path unit 14D, and a fifth path unit 14E as functional configurations. The sixth path unit 14F, the second connection unit 16B, and the setting unit 18B are exemplarily provided. These functional configurations are realized by the control device 20 executing a program.

第1仮想サーバ12A、第2仮想サーバ12B、第3仮想サーバ12C、第4仮想サーバ12D、第5仮想サーバ12E、第6仮想サーバ12Fは、例えば他の仮想サーバを宛先としてデータを送信することが可能な機能部である。本実施形態では、データは、パケットデータである。以下、パケットデータを単に「パケット」と称す。   The first virtual server 12A, the second virtual server 12B, the third virtual server 12C, the fourth virtual server 12D, the fifth virtual server 12E, and the sixth virtual server 12F transmit data, for example, using another virtual server as a destination. It is a functional part that can. In the present embodiment, the data is packet data. Hereinafter, the packet data is simply referred to as “packet”.

第1経路部14A、第2経路部14B、第3経路部14C、第4経路部14D、第5経路部14E、及び、第6経路部14Fは、パケットの経路とされる機能部である。各経路部14A〜14Fは、例えばTAPデバイスやTAPインターフェースと呼ばれるものである。   The first route unit 14A, the second route unit 14B, the third route unit 14C, the fourth route unit 14D, the fifth route unit 14E, and the sixth route unit 14F are functional units that serve as packet routes. Each of the routing units 14A to 14F is called a TAP device or a TAP interface, for example.

第1経路部14Aは、第1仮想サーバ12Aに対応付けて設けられ、第1仮想サーバ12Aと第1接続部16Aとを接続する。第2経路部14Bは、第2仮想サーバ12Bに対応付けて設けられ、第2仮想サーバ12Bと第1接続部16Aとを接続する。第3経路部14Cは、第3仮想サーバ12Cに対応付けて設けられ、第3仮想サーバ12Cと第1接続部16Aとを接続する。第4経路部14Dは、第4仮想サーバ12Dに対応付けて設けられ、第4仮想サーバ12Dと第2接続部16Bとを接続する。第5経路部14Eは、第5仮想サーバ12Eに対応付けて設けられ、第5仮想サーバ12Eと第2接続部16Bとを接続する。第6経路部14Fは、第6仮想サーバ12Fに対応付けて設けられ、第6仮想サーバ12Fと第2接続部16Bとを接続する。   The first path unit 14A is provided in association with the first virtual server 12A, and connects the first virtual server 12A and the first connection unit 16A. The second path unit 14B is provided in association with the second virtual server 12B, and connects the second virtual server 12B and the first connection unit 16A. The third path unit 14C is provided in association with the third virtual server 12C, and connects the third virtual server 12C and the first connection unit 16A. The fourth path unit 14D is provided in association with the fourth virtual server 12D, and connects the fourth virtual server 12D and the second connection unit 16B. The fifth path unit 14E is provided in association with the fifth virtual server 12E, and connects the fifth virtual server 12E and the second connection unit 16B. The sixth path unit 14F is provided in association with the sixth virtual server 12F, and connects the sixth virtual server 12F and the second connection unit 16B.

各経路部14A〜14Fには、2つ以上の仮想サーバにおいて共通とすることが可能なグループ識別情報が設定されている。本実施形態では、グループ識別情報は、非限定の例示としてグループ番号とする。例えば、第1経路部14Aには14番(Gr:14)、第2経路部14Bには20番(Gr:20)、第3経路部14Cには20番(Gr:20)が設定されている。また、第4経路部14Dには14番(Gr:14)、第5経路部14Eには14番(Gr:14)、第6経路部14Fには20番(Gr:20)が設定されている。経路部14A〜14Fは、仮想サーバ12A〜12Fそれぞれに設けられていることから、各仮想サーバ12A〜12Fには、グループ番号が対応付けられていると言える。なお、グループ番号は、経路部14A〜14Fにではなく、仮想サーバ12A〜12F自身に設定されてもよい。   In each of the path units 14A to 14F, group identification information that can be shared by two or more virtual servers is set. In the present embodiment, the group identification information is a group number as a non-limiting example. For example, No. 14 (Gr: 14) is set for the first path unit 14A, No. 20 (Gr: 20) is set for the second path unit 14B, and No. 20 (Gr: 20) is set for the third path unit 14C. Yes. In addition, No. 14 (Gr: 14) is set for the fourth path unit 14D, No. 14 (Gr: 14) is set for the fifth path unit 14E, and No. 20 (Gr: 20) is set for the sixth path unit 14F. Yes. Since the path units 14A to 14F are provided in the virtual servers 12A to 12F, it can be said that a group number is associated with each of the virtual servers 12A to 12F. The group number may be set not in the path units 14A to 14F but in the virtual servers 12A to 12F themselves.

第1接続部16A及び第2接続部16Bは、複数の仮想サーバ12A〜12Fを互いに通信可能に接続する機能部である。第1接続部16A及び第2接続部16Bは、それぞれ通信装置26に接続されている。第1接続部16A及び第2接続部16Bは、複数の仮想サーバ12A〜12Fのうち1つの仮想サーバが他の仮想サーバとパケットの通信をする場合に、1つの仮想サーバに設定されているグループ番号と、他の仮想サーバに設定されているグループ番号とに基づいて、通信を制限する。   The first connection unit 16A and the second connection unit 16B are functional units that connect the plurality of virtual servers 12A to 12F so as to communicate with each other. The first connection unit 16A and the second connection unit 16B are connected to the communication device 26, respectively. 16A of 1st connection parts and the 2nd connection part 16B are groups set to one virtual server, when one virtual server communicates a packet with another virtual server among several virtual servers 12A-12F. Communication is restricted based on the number and the group number set in another virtual server.

本実施形態では、第1接続部16A及び第2接続部16Bは、複数の仮想サーバ12A〜12Fのうち1つの仮想サーバから他の仮想サーバを宛先としてデータが送信される過程でデータを取得した場合に、1つの仮想サーバに設定されているグループ番号を取得し、取得したグループ番号が、宛先に対応付けられているグループ番号と一致するか否かを判定し、肯定判定をした場合には宛先へ転送し、否定判定をした場合には宛先への転送を禁止する。ここで、否定判定をした場合には、例えば接続部16A、16Bは、取得したデータを削除する。   In the present embodiment, the first connection unit 16A and the second connection unit 16B have acquired data in a process in which data is transmitted from one virtual server to another virtual server among the plurality of virtual servers 12A to 12F. If the group number set for one virtual server is acquired, it is determined whether the acquired group number matches the group number associated with the destination, and if an affirmative determination is made If it is transferred to the destination and a negative determination is made, transfer to the destination is prohibited. Here, when a negative determination is made, for example, the connection units 16A and 16B delete the acquired data.

設定部18A、18Bは、各仮想サーバ12A〜12Fに対応する各経路部14A〜14Fに対して、グループ番号をユーザの操作に応じて設定する機能部である。例えば、設定部18A、18Bは、経路部14が新たに設けられる場合に、新たな経路部14に対するグループ番号の指定をユーザから受け付け、受け付けたグループ番号を新たな経路部14に対して設定する。なお、設定部18A、18Bは、手動ではなく、グループ番号を自動的に設定するようにしてもよい。   The setting units 18A and 18B are functional units that set group numbers for the respective route units 14A to 14F corresponding to the virtual servers 12A to 12F in accordance with user operations. For example, when the route unit 14 is newly provided, the setting units 18A and 18B accept designation of a group number for the new route unit 14 from the user, and set the received group number for the new route unit 14. . Note that the setting units 18A and 18B may automatically set the group number instead of manually.

図4は、図3に示す情報処理システム1の機能的な構成において、仮想サーバ12同士の通信処理の流れの一例を示すフローチャートである。   FIG. 4 is a flowchart illustrating an example of a flow of communication processing between the virtual servers 12 in the functional configuration of the information processing system 1 illustrated in FIG. 3.

(ステップSP10)
複数の仮想サーバ12A〜12Fのうち1つの仮想サーバ、例えば第1仮想サーバ12Aがパケットを作成する。そして、処理は、ステップSP12の処理に移行する。 (Step SP10)
One virtual server, for example, the first virtual server 12A among the plurality of virtual servers 12A to 12F creates a packet. And a process transfers to the process of step SP12.

(ステップSP12)
第1仮想サーバ12Aは、特定の仮想サーバを宛先としてパケットを、対応する第1経路部14Aを介して送信する。そして、処理は、ステップSP14の処理に移行する。 (Step SP12)
The first virtual server 12A transmits a packet destined for the specific virtual server via the corresponding first path unit 14A. And a process transfers to the process of step SP14.

(ステップSP14)
第1経路部14Aは、第1仮想サーバ12Aからパケットを取得し、これを第1接続部16Aに転送する。そして、処理は、ステップSP16の処理に移行する。 (Step SP14)
The first path unit 14A acquires a packet from the first virtual server 12A and transfers it to the first connection unit 16A. And a process transfers to the process of step SP16.

(ステップSP16)
第1接続部16Aは、第1仮想サーバ12Aから第1経路部14Aを介してパケットを取得する。この場合に、第1仮想サーバ12Aに対応付けられているグループ番号を取得する。本実施形態では、第1仮想サーバ12Aの第1経路部14Aに設定されているグループ番号(14番)を取得する。なお、このグループ番号は、パケットと共に第1経路部14Aから転送されてもよい。そして、処理は、ステップSP18の処理に移行する。 (Step SP16)
The first connection unit 16A acquires a packet from the first virtual server 12A via the first route unit 14A. In this case, the group number associated with the first virtual server 12A is acquired. In the present embodiment, the group number (No. 14) set in the first path unit 14A of the first virtual server 12A is acquired. This group number may be transferred from the first path unit 14A together with the packet. And a process transfers to the process of step SP18.

(ステップSP18)
第1接続部16Aは、取得したグループ番号をパケットに付与する。そして、処理は、ステップSP20の処理に移行する。 (Step SP18)
The first connecting unit 16A gives the acquired group number to the packet. And a process transfers to the process of step SP20.

(ステップSP20)
第1接続部16Aは、パケットの送信先(宛先)が、パケットを送信した第1仮想サーバ12Aを備える同一の物理サーバ10A内か否か判定する。そして、肯定判定をされた場合には、処理はステップSP28の処理に移行し、否定判定をされた場合には、処理はステップSP22の処理に移行する。 (Step SP20)
16 A of 1st connection parts determine whether the transmission destination (destination) of a packet exists in the same physical server 10A provided with the 1st virtual server 12A which transmitted the packet. If the determination is affirmative, the process proceeds to step SP28. If the determination is negative, the process proceeds to step SP22.

(ステップSP22)
第1接続部16Aは、パケットを通信装置26へ転送する。そして、処理は、ステップSP24の処理に移行する。 (Step SP22)
The first connecting unit 16A transfers the packet to the communication device 26. And a process transfers to the process of step SP24.

(ステップSP24)
物理サーバ10Aの通信装置26は、パケットを、ネットワークNTを介して、宛先に対応する物理サーバ、例えば物理サーバ10Bへ転送する。そして、処理は、ステップSP26の処理に移行する。 (Step SP24)
The communication device 26 of the physical server 10A transfers the packet to the physical server corresponding to the destination, for example, the physical server 10B via the network NT. And a process transfers to the process of step SP26.

(ステップSP26)
物理サーバ10Bの通信装置26は、物理サーバ10Aからパケットを受信する。これに応答して、通信装置26は、受信したパケットを第2接続部16Bへ転送する。そして、処理は、ステップSP28の処理に移行する。 (Step SP26)
The communication device 26 of the physical server 10B receives a packet from the physical server 10A. In response to this, the communication device 26 transfers the received packet to the second connection unit 16B. And a process transfers to the process of step SP28.

(ステップSP28)
第1接続部16A又は第2接続部16Bは、パケットに付与されているグループ番号(14番)が、宛先に対応する経路部のグループ番号と一致するか否かを判定する。そして、肯定判定をされた場合には処理は、ステップSP30の処理に移行し、否定判定をされた場合には処理は、ステップSP32の処理に移行する。 (Step SP28)
The first connection unit 16A or the second connection unit 16B determines whether the group number (14) assigned to the packet matches the group number of the path unit corresponding to the destination. If an affirmative determination is made, the process proceeds to step SP30. If a negative determination is made, the process proceeds to step SP32.

例えば、宛先に対応する経路部が第2経路部14Bである場合、そのグループ番号は20番であるので、パケットに付与されているグループ番号(14番)と一致せず、ステップSP28の判定で否定判定される。また、宛先に対応する経路部が第3経路部14Cである場合、そのグループ番号は20番であるので、パケットに付与されているグループ番号(14番)と一致せず、ステップSP28の判定で否定判定される。また、宛先に対応する経路部が第4経路部14Dである場合、そのグループ番号は14番であるので、パケットに付与されているグループ番号(14番)と一致し、ステップSP28の判定で肯定判定される。   For example, when the route unit corresponding to the destination is the second route unit 14B, the group number is 20, so it does not match the group number (14) assigned to the packet, and the determination in step SP28 Negative determination is made. Further, when the route portion corresponding to the destination is the third route portion 14C, the group number is 20, so it does not match the group number (14) assigned to the packet, and the determination in step SP28 Negative determination is made. Further, when the route portion corresponding to the destination is the fourth route portion 14D, since the group number is 14, it matches the group number (14) assigned to the packet, and the determination in step SP28 is affirmative. Determined.

(ステップSP30)
第1接続部16A又は第2接続部16Bは、パケットを、対応する経路部を介して宛先に転送する。そして、一連の処理が終了する。 (Step SP30)
The first connection unit 16A or the second connection unit 16B transfers the packet to the destination via the corresponding path unit. Then, a series of processing ends.

(ステップSP32)
第1接続部16A又は第2接続部16Bは、パケットを宛先へ転送せず、破棄(削除)する。そして、一連の処理が終了する。 (Step SP32)
The first connection unit 16A or the second connection unit 16B discards (deletes) the packet without transferring it to the destination. Then, a series of processing ends.

ここで、通信を制限する方法としては、参考例として、仮想サーバ毎に、通信制限する対象の仮想サーバのIPアドレスを登録しておき、登録したIPアドレスの仮想サーバから通信があった場合には、通信を禁止する方法が考えられる。しかしながら、この方法では、仮想サーバが増える度に、増えた仮想サーバにおいて、通信を制限したい仮想サーバのIPアドレスを全て登録する必要があり、また、既存の仮想サーバにおいても、増えた仮想サーバとの通信を制限する場合にはそのIPアドレスを登録する必要があり、物理サーバのユーザ(管理者等)にとって、通信制限を行うのが煩雑である。   Here, as a method for restricting communication, as a reference example, for each virtual server, the IP address of the virtual server subject to communication restriction is registered, and there is communication from the virtual server of the registered IP address. A method of prohibiting communication is conceivable. However, in this method, every time the number of virtual servers increases, it is necessary to register all the IP addresses of the virtual servers whose communication is to be restricted in the increased number of virtual servers. In the case of restricting the communication, it is necessary to register the IP address, and it is complicated for the user (administrator or the like) of the physical server to restrict the communication.

これに対して、本実施形態によれば、サーバ装置10において仮想サーバ12が新たに増えた場合、ユーザは、既存の仮想サーバ12A〜12Fに設定されているグループ番号との関係を考慮し、新たに増えた仮想サーバに対してグループ番号を設定することで、既存の仮想サーバ12A〜12Fに対してグループ番号の設定を変えることなく、新たに増えた仮想サーバと既存の仮想サーバ12A〜12Fとの通信を制限することができる。したがって、仮想サーバ12同士の通信制限をユーザが容易に行うことができる。   On the other hand, according to this embodiment, when the virtual server 12 newly increases in the server device 10, the user considers the relationship with the group numbers set in the existing virtual servers 12A to 12F, By setting group numbers for newly added virtual servers, the newly added virtual servers and existing virtual servers 12A-12F can be changed without changing the group number settings for the existing virtual servers 12A-12F. Can be restricted. Therefore, the user can easily limit communication between the virtual servers 12.

また、第1接続部16A又は第2接続部16Bは、1つの仮想サーバからパケットを取得した場合に、1つの仮想サーバに設定されているグループ番号を取得し、取得したグループ番号が、宛先となる他の仮想サーバに設定されているグループ番号と一致するか否かを判定し、肯定判定をした場合には他の仮想サーバへ転送し、否定判定をした場合には他の仮想サーバへの転送を禁止する。このように、第1接続部16A又は第2接続部16Bは、取得したグループ番号が、宛先となる他の仮想サーバに設定されているグループ番号と一致しない場合には、他の仮想サーバへの転送を禁止するので、仮想サーバ12同士の通信制限をより確実に行うことができる。   In addition, when the first connection unit 16A or the second connection unit 16B acquires a packet from one virtual server, the first connection unit 16A or the second connection unit 16B acquires a group number set in one virtual server, and the acquired group number is the destination and It is determined whether or not it matches the group number set in the other virtual server, and if an affirmative determination is made, it is transferred to the other virtual server, and if a negative determination is made, it is transferred to the other virtual server. Prohibit transfer. In this way, the first connection unit 16A or the second connection unit 16B, when the acquired group number does not match the group number set in the other virtual server that is the destination, Since the transfer is prohibited, the communication restriction between the virtual servers 12 can be more reliably performed.

また、グループ番号は、複数の仮想サーバ12A〜12Fそれぞれに対応する経路部14A〜14Fに対して設定されている。ここで、仮想サーバ12A〜12Fのユーザは、サーバ装置10のユーザ(管理者)と異なる場合があるが、この場合でも、経路部14A〜14Fは、管理者が管理する。したがって、グループ番号を経路部14A〜14Fに対して設定するようにすれば、グループ番号を複数の仮想サーバ12A〜12Fそれ自身に設定する場合に比べて、管理者側で自由且つ確実に設定することができる。   The group number is set for the path units 14A to 14F corresponding to the plurality of virtual servers 12A to 12F, respectively. Here, the users of the virtual servers 12A to 12F may be different from the users (administrators) of the server device 10, but in this case as well, the path units 14A to 14F are managed by the administrator. Therefore, if the group number is set for the path units 14A to 14F, the group number is set freely and reliably on the administrator side as compared with the case where the group number is set for the plurality of virtual servers 12A to 12F themselves. be able to.

また、第1接続部16A又は第2接続部16Bは、否定判定をした場合には、言い換えれば、グループ番号が異なる場合には、パケットを削除するので、メモリ24の消費を抑えることができる。   Further, when the first connection unit 16A or the second connection unit 16B makes a negative determination, in other words, when the group number is different, the packet is deleted, so that the consumption of the memory 24 can be suppressed.

また、第1接続部16A又は第2接続部16Bは、1つの仮想サーバ(送信元)に設定されているグループ番号をパケットに付与するので、通信が異なる物理サーバ10間の通信であっても、グループ番号同士の一致の有無を確実に判定することができる。   In addition, since the first connection unit 16A or the second connection unit 16B assigns a group number set to one virtual server (transmission source) to the packet, even when communication is performed between physical servers 10 with different communication. Therefore, it is possible to reliably determine whether the group numbers match each other.

<変形例>
以上、具体例を参照しつつ本発明の実施の形態について説明した。しかし、本発明はこれらの具体例に限定されるものではない。すなわち、これら具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。 <Modification>
The embodiments of the present invention have been described above with reference to specific examples. However, the present invention is not limited to these specific examples. In other words, those specific examples that have been appropriately modified by those skilled in the art are also included in the scope of the present invention as long as they have the characteristics of the present invention. Each element included in each of the specific examples described above and their arrangement, conditions, shape, and the like are not limited to those illustrated, and can be changed as appropriate.

例えば、ステップSP18においてグループ番号をパケットに付与する処理を説明したが、この処理は省略してもよい。   For example, although the process of assigning a group number to a packet has been described in step SP18, this process may be omitted.

10、12A〜12F…サーバ装置(物理サーバ)
12、12A〜12F…仮想サーバ
14、14A〜14F…経路部
16A,16B…接続部
18A、18B…設定部 10, 12A-12F ... Server device (physical server)
12, 12A to 12F ... Virtual server 14, 14A to 14F ... Path parts 16A and 16B ... Connection parts 18A and 18B ... Setting part

Claims (4)

複数の仮想サーバと、
各仮想サーバに対して、2つ以上の仮想サーバにおいて共通なグループ識別情報を設定する設定部と、
前記複数の仮想サーバを互いに通信可能に接続する接続部であって、前記複数の仮想サーバのうち1つの仮想サーバが他の仮想サーバとデータの通信をする場合に、前記1つの仮想サーバに設定されているグループ識別情報と、前記他の仮想サーバに設定されているグループ識別情報とに基づいて、前記通信を制限する接続部と、
を備え
前記接続部は、前記1つの仮想サーバから前記データを取得した場合に、前記1つの仮想サーバに設定されているグループ識別情報を取得し、取得したグループ識別情報が、前記他の仮想サーバに設定されているグループ識別情報と一致するか否かを判定し、肯定判定をした場合には前記他の仮想サーバへ転送し、否定判定をした場合には前記他の仮想サーバへの転送を禁止し、
前記接続部は、前記1つの仮想サーバに設定されているグループ識別情報を前記データに付与する、サーバ装置 Multiple virtual servers,
A setting unit for setting group identification information common to two or more virtual servers for each virtual server;
A connection unit that connects the plurality of virtual servers so that they can communicate with each other, and is set in the one virtual server when one virtual server among the plurality of virtual servers communicates data with another virtual server. A connection unit that restricts the communication based on the group identification information being set and the group identification information set in the other virtual server;
Equipped with a,
When the connection unit acquires the data from the one virtual server, the connection unit acquires group identification information set in the one virtual server, and the acquired group identification information is set in the other virtual server. It is determined whether or not the group identification information matches, and if an affirmative determination is made, the data is transferred to the other virtual server. If a negative determination is made, transfer to the other virtual server is prohibited. ,
The said connection part is a server apparatus which provides the group identification information set to the said 1 virtual server to the said data . 前記接続部は、前記否定判定をした場合には前記データを削除する、
請求項に記載のサーバ装置。 The connection unit deletes the data when the negative determination is made,
The server device according to claim 1 . 前記複数の仮想サーバそれぞれに設けられ、前記複数の仮想サーバのそれぞれと前記接続部とを接続し、前記データの経路とされる経路部を更に備え、
前記グループ識別情報は、前記複数の仮想サーバそれぞれに対応する経路部に対して設定されている、
請求項1又は2に記載のサーバ装置。 Provided in each of the plurality of virtual servers, further connecting each of the plurality of virtual servers and the connection unit, further comprising a path unit configured as a path of the data;
The group identification information is set for a path unit corresponding to each of the plurality of virtual servers.
The server device according to claim 1 or 2 . 複数の仮想サーバを備えるコンピュータを、
各仮想サーバに対して、2つ以上の仮想サーバにおいて共通なグループ識別情報を設定する設定部、
前記複数の仮想サーバを互いに通信可能に接続する接続部であって、前記複数の仮想サーバのうち1つの仮想サーバが他の仮想サーバとデータの通信をする場合に、前記1つの仮想サーバに設定されているグループ識別情報と、前記他の仮想サーバに設定されているグループ識別情報とに基づいて、前記通信を制限する接続部、
として機能させ
前記接続部が、前記1つの仮想サーバから前記データを取得した場合に、前記1つの仮想サーバに設定されているグループ識別情報を取得し、取得したグループ識別情報が、前記他の仮想サーバに設定されているグループ識別情報と一致するか否かを判定し、肯定判定をした場合には前記他の仮想サーバへ転送し、否定判定をした場合には前記他の仮想サーバへの転送を禁止し、
前記接続部が、前記1つの仮想サーバに設定されているグループ識別情報を前記データに付与するためのプログラム。

A computer comprising a plurality of virtual servers,
A setting unit for setting group identification information common to two or more virtual servers for each virtual server;
A connection unit that connects the plurality of virtual servers so that they can communicate with each other, and is set in the one virtual server when one virtual server among the plurality of virtual servers communicates data with another virtual server. A connection unit that restricts the communication based on the group identification information being set and the group identification information set in the other virtual server,
To function as,
When the connection unit acquires the data from the one virtual server, it acquires group identification information set in the one virtual server, and the acquired group identification information is set in the other virtual server. It is determined whether or not the group identification information matches, and if an affirmative determination is made, the data is transferred to the other virtual server. If a negative determination is made, transfer to the other virtual server is prohibited. ,
The connecting portion, because the program to grant group identification information set in the one virtual server to the data.

JP2017030908A 2017-02-22 2017-02-22 Server apparatus and program Active JP6475768B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017030908A JP6475768B2 (en) 2017-02-22 2017-02-22 Server apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017030908A JP6475768B2 (en) 2017-02-22 2017-02-22 Server apparatus and program

Publications (2)

Publication Number Publication Date
JP2018136751A JP2018136751A (en) 2018-08-30
JP6475768B2 true JP6475768B2 (en) 2019-02-27

Family

ID=63366857

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017030908A Active JP6475768B2 (en) 2017-02-22 2017-02-22 Server apparatus and program

Country Status (1)

Country Link
JP (1) JP6475768B2 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10073971B2 (en) * 2013-06-28 2018-09-11 Microsoft Technology Licensing, Llc Traffic processing for network performance and security

Also Published As

Publication number Publication date
JP2018136751A (en) 2018-08-30

Similar Documents

Publication Publication Date Title
JP6445015B2 (en) System and method for providing data services in engineered systems for execution of middleware and applications
CN107210929B (en) Load balancing for internet protocol security tunnels
JP2019134461A (en) System and method for preventing denial of service (dos) attack on system designed for middleware and application execution, and system and method for supporting reliable connection (rc) based on subnet administrator (sa) access in system designed for middleware and application execution
CN109698788A (en) Flow forwarding method and flow forwarding device
US20150172103A1 (en) Software-defined networking tunneling extensions
CN103238301A (en) Technique for managing traffic at router
CN106797347A (en) Method, system and computer-readable medium for virtual architecture route
US11757717B2 (en) Verifying network elements
JP5935418B2 (en) Information processing apparatus, information processing method and program for managing multicast address, relay apparatus, information processing method and program for relay apparatus, and information processing system
JP2015015671A5 (en)
CN107517129B (en) Method and device for configuring uplink interface of equipment based on OpenStack
US9553764B2 (en) Migration of guest bridge
JP2016116184A (en) Network monitoring device and virtual network management method
JP2016019270A (en) Communication method and communication program
JP6475768B2 (en) Server apparatus and program
WO2014064976A1 (en) Network device, control method, and program
CN101115001B (en) Host computer of ADSL router and PVC dynamic binding method
WO2014126094A1 (en) Communication system, communication method, control device, and control device control method and program
US20150304215A1 (en) Packet relay apparatus, packet transfer method, and communication system
US9413654B2 (en) System, relay device, method, and medium
JP6586374B2 (en) COMMUNICATION DEVICE, ROUTE MANAGEMENT SERVER, COMMUNICATION METHOD, AND VIRTUAL PORT ALLOCATION METHOD
JP5902264B2 (en) Communication control device, communication control system, communication control method, and communication control program
JP6330479B2 (en) Information processing system and information processing method
WO2016068238A1 (en) Network control system, control device, network information management method, and program
CN116982306A (en) Extending IP addresses in overlay networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180703

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190201

R150 Certificate of patent or registration of utility model

Ref document number: 6475768

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250