JP7419771B2 - Network system and connection method - Google Patents

Network system and connection method Download PDF

Info

Publication number
JP7419771B2
JP7419771B2 JP2019217168A JP2019217168A JP7419771B2 JP 7419771 B2 JP7419771 B2 JP 7419771B2 JP 2019217168 A JP2019217168 A JP 2019217168A JP 2019217168 A JP2019217168 A JP 2019217168A JP 7419771 B2 JP7419771 B2 JP 7419771B2
Authority
JP
Japan
Prior art keywords
server
cloud
premises
vpn
connection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019217168A
Other languages
Japanese (ja)
Other versions
JP2021087190A (en
Inventor
友英 鷹野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2019217168A priority Critical patent/JP7419771B2/en
Publication of JP2021087190A publication Critical patent/JP2021087190A/en
Application granted granted Critical
Publication of JP7419771B2 publication Critical patent/JP7419771B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークシステム及び接続方法に関する。 The present invention relates to a network system and a connection method.

大学や病院などの大型の施設内に点在する拠点(教室や研究室、図書室等)においてインターネット経由のリモートサービス(以下、例示としてリモート印刷として記述)を導入するには、クラウドにサービスの受け口を設けてオンプレミスに配置されるプリンタへ印刷データを送ることになる。そしてこの機能の実現には、何らかの手段でFW(Fire Wall)やProxyを超える仕組みが必要となる。 To introduce remote services via the Internet (hereinafter referred to as remote printing as an example) at locations scattered within large facilities such as universities and hospitals (classrooms, laboratories, libraries, etc.), it is necessary to install the service in the cloud. A receiving port will be provided to send print data to a printer located on-premises. In order to realize this function, a mechanism that goes beyond FW (Fire Wall) and Proxy is required in some way.

一般に、VPN(Virtual Private Network)技術を利用してクラウドとオンプレミスを接続して実現する方法がある。またVPNを張ることが難しい場合には、クラウドへのポーリング機能を持つプリンタを利用する方法もある。 Generally, there is a way to achieve this by connecting the cloud and on-premises using VPN (Virtual Private Network) technology. If setting up a VPN is difficult, you can also use a printer that has a cloud polling function.

しかし、VPNを張るには拠点単位ではなく構内網の基幹側の管轄であるFWやProxyに手を加える必要があり、容易ではない。 However, in order to set up a VPN, it is not easy to do so because it is necessary to modify the FW and Proxy, which are in charge of the core side of the in-house network, rather than at each site.

またクラウドへのポーリング機能を持つプリンタを使う案についても、既設のプリンタを置き換える必要があり容易ではない。 Also, the idea of using a printer with a cloud polling function is not easy as it would require replacing the existing printer.

さらには、拠点が個別にクラウドサービスを導入しようとした場合、基幹側のネットワーク管理者が定めるセキュリティルールを満たせない可能性があり、管理者を説得するためにセキュリティが担保できていることの根拠が必要となる。 Furthermore, if each branch tries to introduce a cloud service individually, it may not be possible to satisfy the security rules set by the core network administrator, and in order to persuade the administrator, it is necessary to provide evidence that security is guaranteed. Is required.

このように、既存環境を活かしつつ、クラウドサービスを活用することは難しい。 In this way, it is difficult to utilize cloud services while making use of the existing environment.

本発明は、セキュリティを確保しつつ、オンプレミスとクラウド環境の接続環境を容易に構築することを目的とする。 An object of the present invention is to easily construct a connection environment between an on-premises environment and a cloud environment while ensuring security.

上述した課題を解決するために、本発明の一観点に係るネットワークシステムは、クラウド上に配置される第1のサーバと、オンプレミス上に配置される第2のサーバと、VPN over Websocketを活用して前記第1のサーバとのVPN接続を確立して、前記第1のサーバとHTTPリクエストベースのVPNで接続する接続装置と、を備え、前記接続装置は、前記オンプレミス上のローカルエリア向けにネットワークアドレスをNAT化し、前記第1のサーバは、前記クラウド上のコンテナの有効/無効情報を保持するリストと、前記リストの有効/無効情報を前記第1のサーバの稼働状態に応じて更新する更新部と、を有し、前記接続装置は、前記クラウドと、前記オンプレミス内の共有エリアとをポートフォワードにより接続するNAPTモジュールを有し、前記更新部により更新された前記リストに従って、前記NAPTモジュールの動作モード情報の設定の変更を行うことにより、前記第2のサーバを前記オンプレミス内のアクセス禁止エリアから前記共有エリアに推移して、前記第1のサーバから前記第2のサーバへデータ転送可能とする。
In order to solve the above-mentioned problems, a network system according to one aspect of the present invention includes a first server located on a cloud, a second server located on an on-premises system, and utilizes a VPN over Websocket. a connection device that establishes a VPN connection with the first server and connects to the first server using an HTTP request-based VPN; The network address is NATed , and the first server updates a list holding valid/invalid information of containers on the cloud and the valid/invalid information in the list according to the operating state of the first server. an update unit, the connection device includes a NAPT module that connects the cloud and the shared area within the on-premises by port forwarding, and the connection device connects the NAPT module according to the list updated by the update unit. By changing the settings of the operation mode information, the second server can be moved from the access-prohibited area in the on-premises to the shared area, and data can be transferred from the first server to the second server. shall be.

セキュリティを確保しつつ、オンプレミスとクラウド環境の接続環境を容易に構築できる。 You can easily build a connection environment between on-premises and cloud environments while ensuring security.

実施形態に係るネットワークシステムの全体構成を示す図A diagram showing the overall configuration of a network system according to an embodiment 仮想N/Wアプライアンスの機能モジュール構成図Functional module configuration diagram of virtual N/W appliance NAPT設定の自動更新の流れを示す図Diagram showing the flow of automatic update of NAPT settings サービスリストのyaml形式のフォーマット例Example of service list yaml format 実施形態に係るネットワークシステムの大学への適用イメージImage of application of the network system according to the embodiment to a university PC(サーバ)のハードウェア構成図Hardware configuration diagram of PC (server)

以下、添付図面を参照しながら実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。 Embodiments will be described below with reference to the accompanying drawings. In order to facilitate understanding of the description, the same components are denoted by the same reference numerals as much as possible in each drawing, and redundant description will be omitted.

図1は、実施形態に係るネットワークシステム1の全体構成を示す図である。図1に示すネットワークシステム1は、オンプレミス環境において、クラウドサービスを簡易に活用する環境を提供する。例えば、基幹ネットワーク側の規制が厳しい大学の教室や研究室、図書室等において、構内網外からのリモート印刷を実現することを可能とする。 FIG. 1 is a diagram showing the overall configuration of a network system 1 according to an embodiment. The network system 1 shown in FIG. 1 provides an environment in which cloud services can be easily utilized in an on-premises environment. For example, remote printing from outside the campus network can be realized in university classrooms, laboratories, libraries, etc. where regulations on the backbone network are strict.

図1に示すように、ネットワークシステム1は、クラウドA上に配置されたクラウドサーバ2(第1のサーバ)と、例えば大学内の構内網などのオンプレミスB上に配置され、クラウド連携可能なサーバ3(図1では印刷サーバ。以下では「印刷サーバ3」とも表記する)(第2のサーバ)と、オンプレミスB上に配置される仮想ネットワーク(N/W)アプライアンス4(接続装置)と、を備える。 As shown in FIG. 1, a network system 1 includes a cloud server 2 (first server) located on a cloud A, and a server that is located on an on-premise B such as a campus network and is capable of cloud collaboration. 3 (print server in FIG. 1; hereinafter also referred to as "print server 3") (second server), and a virtual network (N/W) appliance 4 (connection device) located on on-premises B. Be prepared.

オンプレミス環境Bには、印刷サーバ3の他にプリンタ、個人利用のPC、認証装置、LDAP(Lightweight Directory Access Protocol)サーバ、共有印刷クライアントなどの他のネットワークリソース群5が既存LAN6を介して印刷サーバ3と通信可能に接続されている。図1の例では、オンプレミスBに配置されるネットワークリソース群の中で、印刷サーバ3のみがクラウド連携が可能であり、他のリソース群5はクラウドA側からアクセスできないよう配置されている。 In the on-premise environment B, in addition to the print server 3, other network resources 5 such as printers, personal PCs, authentication devices, LDAP (Lightweight Directory Access Protocol) servers, and shared print clients are connected to the print server via the existing LAN 6. 3 and is communicably connected. In the example of FIG. 1, among the network resource groups arranged in on-premise B, only the print server 3 can be linked to the cloud, and the other resource group 5 is arranged so as not to be accessible from the cloud A side.

本実施形態のネットワークシステム1では、オンプレミス環境Bの外部にいる利用者Xが所持するスマートフォンなどの端末装置7から発行される印刷ジョブをクラウドサーバ2、仮想N/Wアプライアンス4経由で、オンプレミスB上の印刷サーバ3に転送して、オンプレミス環境B下のプリンタで印刷を行うことができる。 In the network system 1 of this embodiment, a print job issued from a terminal device 7 such as a smartphone owned by a user The data can be transferred to the print server 3 above and printed using a printer under the on-premises environment B.

本実施形態のネットワークシステム1は、次の構成を備える。 The network system 1 of this embodiment has the following configuration.

構成1:HTTPリクエストを活用したVPNの実現
クラウドA上のクラウドサーバ2と、オンプレミスB上の印刷サーバ3は、HTTPリクエストベースのVPN(Virtual Private Network、仮想専用ネットワーク)で接続する通信方式を備える。本実施形態では、VPN over Websocketを活用する。VPN over Websocketにより、基幹側(ルータ、ファイアウォール(FW)等)の変更が不要となる。言い換えると、例えば図1に図示されるオンプレミス環境Bのファイアウォール(FW)やプロキシ(Proxy)8を、VPN用に設定変更する必要がない。また、VPNによりサーバプッシュが可能になり、オンプレミスB下の既存プリンタをそのまま活用可能となる。
Configuration 1: Realization of VPN using HTTP requests The cloud server 2 on Cloud A and the print server 3 on On-Premise B are equipped with a communication method that connects them using an HTTP request-based VPN (Virtual Private Network). . In this embodiment, VPN over Websocket is utilized. VPN over Websocket eliminates the need to change the core side (router, firewall (FW), etc.). In other words, there is no need to change the settings of the firewall (FW) and proxy (Proxy) 8 of the on-premise environment B shown in FIG. 1 for VPN, for example. Additionally, the VPN enables server push, making it possible to use existing printers under on-premises B as they are.

構成2:オンプレ向きのNAT化
VPN構築において、仮想N/Wアプライアンス4を内向け(オンプレミスの内部に配置され、外部からアクセスさせたくない他のネットワークリソース群5に向けて)にNAT(Network Address Translation)化することで、クラウドA側のIPアドレス体系も自由度を持たせることを実現する。また、お客様環境(オンプレミス環境B)のネットワークリソースであるIPアドレスの消費を軽減できる。
Configuration 2: NAT for on-premises When constructing a VPN, use NAT (Network Address Translation), it is realized that the IP address system on the cloud A side also has a degree of freedom. Additionally, consumption of IP addresses, which are network resources in the customer environment (on-premises environment B), can be reduced.

構成3:NAT設定の自動構築
また、仮想N/Wアプライアンス4は、NATだけではなく、ポートフォワード、ブリッジの動作モードを可能とする。この動作モード情報とクラウド上に構築するサーバ情報(IPアドレス、ポート番号)に応じて、オンプレミス環境の仮想N/Wアプライアンス4は、仮想的なEthernet I/Fを自動生成する。
Configuration 3: Automatic construction of NAT settings In addition, the virtual N/W appliance 4 enables not only NAT but also port forwarding and bridge operation modes. The virtual N/W appliance 4 in the on-premises environment automatically generates a virtual Ethernet I/F according to this operation mode information and server information (IP address, port number) built on the cloud.

構成4:安全なクラウドサービスの利用環境構築
Octaver機能により、クラウド側からのアクセス範囲を隔離ネットワーク技術にて制限することで、安全性も確保する。
Configuration 4: Establishing a safe cloud service usage environment The October function ensures safety by restricting the range of access from the cloud using isolation network technology.

図2は、仮想N/Wアプライアンス4の機能モジュール構成図である。図2に示すように、仮想N/Wアプライアンス4は、ハードウェア(H/W)層L1と、カーネル(kernel)層L2と、ルートファイルシステム(rootfs)層L3とを備える。 FIG. 2 is a functional module configuration diagram of the virtual N/W appliance 4. As shown in FIG. As shown in FIG. 2, the virtual N/W appliance 4 includes a hardware (H/W) layer L1, a kernel layer L2, and a root file system (rootfs) layer L3.

仮想N/Wアプライアンス4のハードウェア構成は、IoT Gatway などで使われるCPU41、RAM42などのメモリ、ストレージ43、Ethernet(登録商標)44を備える一般的なLinux(登録商標) Boxを想定している。図2の例では、H/W層L1にCPU41、RAM42、ストレージ43、Ethernet44が設けられる。 The hardware configuration of the virtual N/W appliance 4 is assumed to be a general Linux (registered trademark) Box that includes a CPU 41, memory such as RAM 42, storage 43, and Ethernet (registered trademark) 44 used in IoT Gateway, etc. . In the example of FIG. 2, the H/W layer L1 is provided with a CPU 41, a RAM 42, a storage 43, and an Ethernet 44.

カーネル層L2には、Linux共通部45と、IPパケットの送信フィルタ46と、NAPT(Network Address Port Translation)モジュール47と、Ethernet I/F48と、Ethernet I/F(VPN用)49とが設けられる。 The kernel layer L2 is provided with a Linux common section 45, an IP packet transmission filter 46, a NAPT (Network Address Port Translation) module 47, an Ethernet I/F 48, and an Ethernet I/F (for VPN) 49. .

IPパケットの送信フィルタ46は、IPヘッダの送信IPアドレスを用いてフィルタ処理を行うモジュールである。 The IP packet transmission filter 46 is a module that performs filter processing using the transmission IP address of the IP header.

NAPTモジュール47は、2つのネットワークをポートフォワードにより接続するモジュールである。 The NAPT module 47 is a module that connects two networks by port forwarding.

Ethernet I/F48は、H/W層L1のEthernetデバイス44に対して送受信を行うモジュールであり、Ethhernet I/F(VPN用)49は、VPNでカプセル化するための仮想的なEthernetモジュールである。 The Ethernet I/F 48 is a module that transmits and receives data to and from the Ethernet device 44 of the H/W layer L1, and the Ethernet I/F (for VPN) 49 is a virtual Ethernet module for encapsulation with the VPN. .

rootfs層L3には、Linux基本コマンド群50と、NAPT更新アプリ51と、VPN Clientアプリ52と、WebSocketモジュール53とが設けられる。 The rootfs layer L3 is provided with a Linux basic command group 50, a NAPT update application 51, a VPN Client application 52, and a WebSocket module 53.

NAPT更新アプリ51は、カーネル層L2のNAPTモジュール47に対して設定の変更を行うモジュールである。 The NAPT update application 51 is a module that changes settings for the NAPT module 47 of the kernel layer L2.

VPN Clientアプリ52は、WebSocketモジュール53を用いて、VPN接続を確立するモジュールである。 The VPN Client application 52 is a module that uses the WebSocket module 53 to establish a VPN connection.

図3を参照して本実施形態のネットワークシステム1の動作を説明する。図3は、NAPT設定の自動更新の流れを示す図である。図3には、実施形態に係るネットワークシステム1の主な構成が図示されている。以下、各ステップごとに説明する。 The operation of the network system 1 of this embodiment will be explained with reference to FIG. 3. FIG. 3 is a diagram showing the flow of automatic update of NAPT settings. FIG. 3 illustrates the main configuration of the network system 1 according to the embodiment. Each step will be explained below.

STEP1:
利用者Xは何らかのリモートサービス(本例ではロケーションフリーの印刷サービス)を利用するために、クラウドA上に構築されたサーバにアクセスする。
STEP1:
User X accesses a server built on cloud A in order to use some remote service (location-free printing service in this example).

STEP2:
AWSやAzureといった一般的にクラウドサービスA1は、一時窓口となるAPI Gateway21を備え、アクセスされたURLに応じて実際のデータ処理を行うサーバに転送する。このとき稼働率の低いサーバモジュール(以下「コンテナ」とも表記。AWSで例えるとAmazon Elastic Container ServiceやAmazon Elastic Compute Cloudで稼働するサーバモジュール)は停止させている場合があり、必要に応じて立ち上げ処理が行われる。図3の例では、クラウドサービス提供環境A1には、印刷クラウドサービスコンテナ22と、ストレージリモートアクセスサービスコンテナ23が例示され、API Gateway21は利用者Xからのアクセスを印刷クラウドサービスコンテナ22に転送している。
STEP2:
Generally, cloud services A1 such as AWS and Azure include an API Gateway 21 that serves as a temporary window, and transfers data to a server that performs actual data processing according to the accessed URL. At this time, server modules with low operating rates (hereinafter also referred to as "containers"; for example, in AWS, server modules running on Amazon Elastic Container Service or Amazon Elastic Compute Cloud) may be stopped and restarted as necessary. Processing takes place. In the example of FIG. 3, the cloud service provision environment A1 includes a printing cloud service container 22 and a storage remote access service container 23, and the API Gateway 21 transfers access from user X to the printing cloud service container 22. There is.

STEP3:
起動したサービスコンテナ(図3の例では印刷クラウドサービスコンテナ22)は、VPN接続を管理するVPNクラウド統括システムA2上のサービスリスト24(リスト)の有効/無効の情報を更新する。サービスリスト24はyaml形式やINF形式でkey、valueでパラメータをファイルとして保持する。サービスリスト24のyaml形式のフォーマット例を図4に示す。
STEP3:
The activated service container (print cloud service container 22 in the example of FIG. 3) updates the valid/invalid information in the service list 24 (list) on the VPN cloud management system A2 that manages VPN connections. The service list 24 holds parameters with keys and values as files in yaml format or INF format. An example of the yaml format of the service list 24 is shown in FIG.

STEP4:
STEP3にて更新されたサービスリスト24に従い、VPNクラウド総括システムA2上のNAPT管理モジュール25(更新部)は、オンプレミスB上に配置される仮想N/Wアプライアンス4(図3中の「VPN Box」)のNAPT設定を更新する。例えば、仮想N/Wアプライアンス4内のNAPT更新アプリ51が、NAPTモジュール47に対して設定の変更を行う。
STEP4:
According to the service list 24 updated in STEP 3, the NAPT management module 25 (update unit) on the VPN cloud general system A2 updates the virtual N/W appliance 4 ("VPN Box" in FIG. 3) located on the on-premises B. ) to update the NAPT settings. For example, the NAPT update application 51 in the virtual N/W appliance 4 changes the settings of the NAPT module 47.

STEP5:
本例では、オンプレミスB上に配置されるプリンタ3が、アクセス禁止エリアから共有エリアに推移することになり、クラウドA上の印刷クラウドサービスコンテナ22からオンプレミスB上のプリンタ3へPush通信による印刷ジョブの送信が可能となる。
STEP 5:
In this example, the printer 3 located on on-premises B will move from the access-prohibited area to the shared area, and a print job will be sent from the print cloud service container 22 on cloud A to the printer 3 on on-premises B by push communication. transmission becomes possible.

なお、図3に示したAPI Gateway21と、印刷クラウドサービスコンテナ22と、ストレージリモートアクセスサービスコンテナ23と、サービスリスト24及びNAPT管理モジュール25を有するVPNサーバ26と、VPNクラウドルーティングサービスA3のリレーサーバ27は、図1に示したクラウドサーバ2に含まれる。 Note that the API Gateway 21 shown in FIG. 3, the print cloud service container 22, the storage remote access service container 23, the VPN server 26 having the service list 24 and the NAPT management module 25, and the relay server 27 of the VPN cloud routing service A3 is included in the cloud server 2 shown in FIG.

以上の仕組みにより、以下のメリットを得られる。
(1)リモートからの不正な印刷ジョブを投入されるリスクを減らすことができる。
(2)印刷クラウドサービスコンテナ22を必要なタイミングのみ起動しておけばよく、クラウドサービス利用の経費を削減できる。
The above mechanism provides the following benefits.
(1) The risk of receiving an unauthorized print job from a remote location can be reduced.
(2) It is sufficient to start the printing cloud service container 22 only when necessary, which reduces the cost of using cloud services.

本実施形態の適用先は、例えば大学が考えられる。図5は、実施形態に係るネットワークシステム1の大学への適用イメージである。 This embodiment may be applied to, for example, universities. FIG. 5 is an image of the application of the network system 1 according to the embodiment to a university.

図5に示すように、本実施形態の適用により、大学内の構内網(オンプレミスB)において、基幹側B1に影響を与えずに、ある教室B2の印刷サーバ3のみを利用できる構成となる。例えば、自宅や屋外の利用者Xがスマートフォンなどの端末7からの印刷要求を送信すると、クラウドA上のWebアップロードサーバ2、オンプレミスB上の仮想N/Wアプライアンス4を介して、大学内の構内網Bのうち、ある教室B2の印刷サーバ3のみに転送できる。 As shown in FIG. 5, by applying this embodiment, it becomes possible to use only the print server 3 of a certain classroom B2 in the campus network (on-premise B) without affecting the core side B1. For example, when a user Of network B, the data can be transferred only to the print server 3 of a certain classroom B2.

図5に示すように、Websocketを利用することで、ルータの設定を変更せずにVPN構築が可能である(図中の1)。また、隔離N/W技術でクラウドAからの通信可能範囲を限定でき、これにより安全にクラウドサービスの利用環境を構築できる。(図中の2) As shown in FIG. 5, by using Websocket, it is possible to construct a VPN without changing the router settings (1 in the diagram). In addition, the isolated N/W technology can limit the communication range from cloud A, thereby making it possible to safely construct a cloud service usage environment. (2 in the diagram)

このように、本実施形態に係るネットワークシステム1では、仮想N/Wアプライアンス4がクラウドAからのデータをフィルタすることで、隔離ネットワークを実現し、クラウドA側からのアクセス範囲を隔離ネットワーク技術にて制限することで、安全性も確保している。この結果、本実施形態に係るネットワークシステム1は、セキュリティを確保しつつ、オンプレミスBとクラウド環境Aの接続環境を容易に構築することができる。また、オンプレミスB上のレガシーシステムを安全にクラウドA経由で利用可能となる。 In this way, in the network system 1 according to the present embodiment, the virtual N/W appliance 4 filters data from the cloud A, thereby realizing an isolated network, and changing the access range from the cloud A side to the isolated network technology. Safety is also ensured by limiting the number of As a result, the network system 1 according to the present embodiment can easily establish a connection environment between the on-premises B and the cloud environment A while ensuring security. Additionally, legacy systems on on-premises B can be safely used via cloud A.

上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。 Each function of the embodiments described above can be realized by one or more processing circuits. Here, the term "processing circuit" as used herein refers to a processor programmed to execute each function by software, such as a processor implemented by an electronic circuit, or a processor designed to execute each function explained above. This includes devices such as ASICs (Application Specific Integrated Circuits), DSPs (digital signal processors), FPGAs (field programmable gate arrays), and conventional circuit modules.

上記実施形態に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。 The devices described in the embodiments above are merely indicative of one of multiple computing environments for implementing the embodiments disclosed herein.

ある実施形態では、仮想N/Wアプライアンス4は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。同様に、クラウドサーバ2は、互いに通信するように構成された複数のコンピューティングデバイスを含むことができる。 In some embodiments, virtual N/W appliance 4 includes multiple computing devices such as server clusters. The plurality of computing devices are configured to communicate with each other via any type of communication link, including a network, shared memory, etc., to perform the processes disclosed herein. Similarly, cloud server 2 may include multiple computing devices configured to communicate with each other.

なお、仮想N/Wアプライアンス4は、通信機能を備えた装置であれば、図2に示したLinux Boxに限られない。情報処理装置10は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。 Note that the virtual N/W appliance 4 is not limited to the Linux Box shown in FIG. 2 as long as it is a device with a communication function. The information processing device 10 includes, for example, a PJ (Projector), an IWB (Interactive White Board: a whiteboard with an electronic blackboard function capable of mutual communication), an output device such as a digital signage, and a HUD (Head Up Display) device. , industrial machinery, imaging devices, sound collection devices, medical equipment, network home appliances, automobiles (Connected Cars), notebook PCs (Personal Computers), mobile phones, smartphones, tablet terminals, game consoles, PDAs (Personal Digital Assistants), digital cameras. , a wearable PC, a desktop PC, or the like.

例えば、仮想N/Wアプライアンス4は、図6に示すハードウェア構成を有する、PC9であってもよい。 For example, the virtual N/W appliance 4 may be a PC 9 having the hardware configuration shown in FIG.

図6は、PC(サーバ)のハードウェア構成図である。ここでは、サーバ9のハードウェア構成について説明する。 FIG. 6 is a hardware configuration diagram of a PC (server). Here, the hardware configuration of the server 9 will be explained.

図6に示されているように、サーバ9は、コンピュータによって構築されており、図6に示されているように、CPU901、ROM902、RAM903、HD904、HDD(Hard Disk Drive)コントローラ905、ディスプレイ906、外部機器接続I/F(Interface)908、ネットワークI/F909、データバス910、キーボード911、ポインティングデバイス912、DVD-RW(Digital Versatile Disk Rewritable)ドライブ914、メディアI/F916を備えている。 As shown in FIG. 6, the server 9 is constructed by a computer, and includes a CPU 901, ROM 902, RAM 903, HD 904, HDD (Hard Disk Drive) controller 905, and display 906. , an external device connection I/F (Interface) 908, a network I/F 909, a data bus 910, a keyboard 911, a pointing device 912, a DVD-RW (Digital Versatile Disk Rewritable) drive 914, and a media I/F 916.

これらのうち、CPU901は、サーバ9全体の動作を制御する。ROM902は、IPL等のCPU901の駆動に用いられるプログラムを記憶する。RAM903は、CPU901のワークエリアとして使用される。HD904は、プログラム等の各種データを記憶する。HDDコントローラ905は、CPU901の制御にしたがってHD904に対する各種データの読み出し又は書き込みを制御する。ディスプレイ906は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F908は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F909は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。バスライン910は、図6に示されているCPU901等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。 Among these, the CPU 901 controls the operation of the server 9 as a whole. The ROM 902 stores programs used to drive the CPU 901 such as IPL. RAM903 is used as a work area for CPU901. The HD 904 stores various data such as programs. The HDD controller 905 controls reading and writing of various data to the HD 904 under the control of the CPU 901. The display 906 displays various information such as a cursor, menu, window, characters, or images. External device connection I/F 908 is an interface for connecting various external devices. The external device in this case is, for example, a USB (Universal Serial Bus) memory, a printer, or the like. The network I/F 909 is an interface for data communication using the communication network 100. The bus line 910 is an address bus, a data bus, etc. for electrically connecting each component such as the CPU 901 shown in FIG. 6.

また、キーボード911は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス912は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ914は、着脱可能な記録媒体の一例としてのDVD-RW913に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F916は、フラッシュメモリ等の記録メディア915に対するデータの読み出し又は書き込み(記憶)を制御する。 Further, the keyboard 911 is a type of input means that includes a plurality of keys for inputting characters, numerical values, various instructions, and the like. The pointing device 912 is a type of input means for selecting and executing various instructions, selecting a processing target, moving a cursor, and the like. The DVD-RW drive 914 controls reading and writing of various data on a DVD-RW 913, which is an example of a removable recording medium. Note that it is not limited to DVD-RW, but may be DVD-R or the like. The media I/F 916 controls reading or writing (storage) of data to a recording medium 915 such as a flash memory.

以上、具体例を参照しつつ本実施形態について説明した。しかし、本開示はこれらの具体例に限定されるものではない。これら具体例に、当業者が適宜設計変更を加えたものも、本開示の特徴を備えている限り、本開示の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。前述した各具体例が備える各要素は、技術的な矛盾が生じない限り、適宜組み合わせを変えることができる。 The present embodiment has been described above with reference to specific examples. However, the present disclosure is not limited to these specific examples. Design changes made by those skilled in the art as appropriate to these specific examples are also included within the scope of the present disclosure as long as they have the characteristics of the present disclosure. The elements included in each of the specific examples described above, their arrangement, conditions, shapes, etc. are not limited to those illustrated, and can be changed as appropriate. The elements included in each of the specific examples described above can be appropriately combined as long as no technical contradiction occurs.

1 ネットワークシステム
2 クラウドサーバ(第1のサーバ)
3 印刷サーバ(第2のサーバ)
4 仮想N/Wアプライアンス(接続装置)
24 サービスリスト(リスト)
25 NAPT管理モジュール(更新部)
A クラウド
B オンプレミス
1 Network system 2 Cloud server (first server)
3 Print server (second server)
4 Virtual N/W appliance (connection device)
24 Service list (list)
25 NAPT management module (update section)
A Cloud B On-premises

特許第6449896号公報Patent No. 6449896

Claims (4)

クラウド上に配置される第1のサーバと、
オンプレミス上に配置される第2のサーバと、
VPN over Websocketを活用して前記第1のサーバとのVPN接続を確立して、前記第1のサーバとHTTPリクエストベースのVPNで接続する接続装置と、を備え、
前記接続装置は、前記オンプレミス上のローカルエリア向けにネットワークアドレスをNAT化し、
前記第1のサーバは、
前記クラウド上のコンテナの有効/無効情報を保持するリストと、
前記リストの有効/無効情報を前記第1のサーバの稼働状態に応じて更新する更新部と、を有し、
前記接続装置は、
前記クラウドと、前記オンプレミス内の共有エリアとをポートフォワードにより接続するNAPTモジュールを有し、
前記更新部により更新された前記リストに従って、前記NAPTモジュールの動作モード情報の設定の変更を行うことにより、前記第2のサーバを前記オンプレミス内のアクセス禁止エリアから前記共有エリアに推移して、前記第1のサーバから前記第2のサーバへデータ転送可能とする、
ネットワークシステム。
a first server located on the cloud;
a second server located on-premises;
a connection device that establishes a VPN connection with the first server using VPN over Websocket and connects to the first server with an HTTP request-based VPN;
The connection device NATs a network address for a local area on the on-premises,
The first server is:
a list that holds valid/invalid information of the containers on the cloud;
an updating unit that updates the valid/invalid information of the list according to the operating state of the first server,
The connection device is
comprising a NAPT module that connects the cloud and a shared area within the on-premises by port forwarding;
By changing the setting of the operation mode information of the NAPT module according to the list updated by the update unit , the second server is moved from the access-prohibited area in the on-premises to the shared area, and enabling data transfer from the first server to the second server ;
network system.
前記接続装置は、前記クラウド側からのアクセス範囲を制限する隔離ネットワークを構築する、
請求項1に記載のネットワークシステム。
The connection device constructs an isolated network that limits an access range from the cloud side.
The network system according to claim 1.
前記クラウド上の前記コンテナは、サービス利用が一定時間経過しても発生しない場合に停止する、
請求項1または2に記載のネットワークシステム。
The container on the cloud stops if service usage does not occur after a certain period of time;
The network system according to claim 1 or 2.
クラウド上に配置される第1のサーバと、
オンプレミス上に配置される第2のサーバと、
VPN over Websocketを活用して前記第1のサーバとのVPN接続を確立して、前記第1のサーバとHTTPリクエストベースのVPNで接続する接続装置と、を備え、前記接続装置が、前記クラウドと、前記オンプレミス内の共有エリアとをポートフォワードにより接続するNAPTモジュールを有するネットワークシステムの接続方法であって、
前記第1のサーバが、前記クラウド上のコンテナの有効/無効情報を保持するリストの有効/無効情報を前記第1のサーバの稼働状態に応じて更新する更新ステップと、
前記接続装置が、前記更新ステップにおいて更新された前記リストに従って、前記NAPTモジュールの動作モード情報の設定の変更を行うことにより、前記第2のサーバを前記オンプレミス内のアクセス禁止エリアから前記共有エリアに推移して、前記第1のサーバから前記第2のサーバへデータ転送可能とする自動更新ステップと、
を含む接続方法。
a first server located on the cloud;
a second server located on-premises;
a connection device that establishes a VPN connection with the first server by utilizing VPN over Websocket and connects the first server with an HTTP request-based VPN, the connection device configured to connect to the cloud. A method for connecting a network system having a NAPT module that connects a shared area in the on-premises and a shared area in the on-premises by port forwarding ,
an updating step in which the first server updates valid/invalid information in a list holding valid/invalid information of containers on the cloud according to an operating state of the first server;
The connection device changes the settings of the operation mode information of the NAPT module according to the list updated in the update step, thereby removing the second server from the access-prohibited area within the on-premises shared area. an automatic update step of changing the area to enable data transfer from the first server to the second server ;
Connection method including.
JP2019217168A 2019-11-29 2019-11-29 Network system and connection method Active JP7419771B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019217168A JP7419771B2 (en) 2019-11-29 2019-11-29 Network system and connection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019217168A JP7419771B2 (en) 2019-11-29 2019-11-29 Network system and connection method

Publications (2)

Publication Number Publication Date
JP2021087190A JP2021087190A (en) 2021-06-03
JP7419771B2 true JP7419771B2 (en) 2024-01-23

Family

ID=76086017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019217168A Active JP7419771B2 (en) 2019-11-29 2019-11-29 Network system and connection method

Country Status (1)

Country Link
JP (1) JP7419771B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12101257B2 (en) 2022-02-25 2024-09-24 Cisco Technology, Inc. Demand-based scaling of enterprise workloads into cloud networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016135884A1 (en) 2015-02-25 2016-09-01 三菱電機ビルテクノサービス株式会社 Network system, center-side router, base-side router, and napt table update method
JP2017506387A (en) 2014-02-07 2017-03-02 オラクル・インターナショナル・コーポレイション On-premise agent for mobile cloud services
WO2018003031A1 (en) 2016-06-29 2018-01-04 富士通株式会社 Virtualization management program, virtualization management device, and virtualization management method
JP2018148419A (en) 2017-03-06 2018-09-20 コニカミノルタ株式会社 Information processing system and data transmission/reception method
JP2019191740A (en) 2018-04-20 2019-10-31 コニカミノルタ株式会社 Service providing device and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017506387A (en) 2014-02-07 2017-03-02 オラクル・インターナショナル・コーポレイション On-premise agent for mobile cloud services
WO2016135884A1 (en) 2015-02-25 2016-09-01 三菱電機ビルテクノサービス株式会社 Network system, center-side router, base-side router, and napt table update method
WO2018003031A1 (en) 2016-06-29 2018-01-04 富士通株式会社 Virtualization management program, virtualization management device, and virtualization management method
JP2018148419A (en) 2017-03-06 2018-09-20 コニカミノルタ株式会社 Information processing system and data transmission/reception method
JP2019191740A (en) 2018-04-20 2019-10-31 コニカミノルタ株式会社 Service providing device and program

Also Published As

Publication number Publication date
JP2021087190A (en) 2021-06-03

Similar Documents

Publication Publication Date Title
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
EP4030286A1 (en) Distribution and management of services in virtual environments
US9934057B2 (en) Shadow VNICs for the control and observability of IO virtual functions
KR20150013860A (en) Clientless cloud computing
US20220116381A1 (en) Steering traffic on a flow-by-flow basis by a single sign-on service
WO2024188087A1 (en) Security management and control method for cloud desktop, and device, storage medium and system
JP2019160097A (en) Information processing system, information processing device, information processing method, and program
US9473451B2 (en) Methods, systems, and computer readable media for providing mapping information associated with port control protocol (PCP) in a test environment
US20070199065A1 (en) Information processing system
JP7419771B2 (en) Network system and connection method
WO2022067160A1 (en) Remote network and cloud infrastructure management
WO2010024403A1 (en) Relay device operation setting method, relay device, and storage medium containing program
JP2010239591A (en) Network system, relay device, and method of controlling network
CN110430478B (en) Networking communication method, device, terminal equipment and storage medium
JP2015153076A (en) Communication apparatus, method, and program
WO2017117583A1 (en) Direct network connections using cloud instance for multipoint meeting service
KR102595308B1 (en) Private network access control device for allowing user terminals of internet network to access private network to execute remote service and control method thereof
JP6958176B2 (en) Information processing equipment, information processing systems, control methods and programs
JP2022021595A (en) Communication device, program, network management method, and communication system
JP2009278317A (en) Network driver, computer incorporated with the network driver and server
JP4498984B2 (en) Service providing apparatus and communication control program
JP6422345B2 (en) Management device, management system, management method, and program
JP2020136804A (en) Network apparatus, system including network apparatus, and firmware update method
US20240340360A1 (en) Private network device manageability via smartphone gateway
US11316884B2 (en) Software defined network white box infection detection and isolation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230919

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231225

R151 Written notification of patent or utility model registration

Ref document number: 7419771

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151