JPWO2012081114A1 - 仮想計算機管理方法、計算機システム及び計算機 - Google Patents
仮想計算機管理方法、計算機システム及び計算機 Download PDFInfo
- Publication number
- JPWO2012081114A1 JPWO2012081114A1 JP2012548591A JP2012548591A JPWO2012081114A1 JP WO2012081114 A1 JPWO2012081114 A1 JP WO2012081114A1 JP 2012548591 A JP2012548591 A JP 2012548591A JP 2012548591 A JP2012548591 A JP 2012548591A JP WO2012081114 A1 JPWO2012081114 A1 JP WO2012081114A1
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- activation
- information
- identification information
- storage area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
悪意ある管理者等が仮想計算機の実行イメージを取得して、他の計算機上で実行することを抑止できない。そのため、データが容易に取得された、仮想サーバを乗っ取られるという問題がある。複数の計算機を備える計算機システムにおける仮想計算機管理方法であって、計算機は、仮想計算機を管理する仮想化管理部を実現するためのプログラムを格納し、仮想管理部のみがアクセス可能な管理記憶領域を含み、管理記憶領域は仮想計算機の識別情報と、業務プログラムが格納された論理記憶領域の識別情報と、仮想計算機を起動させるための起動認証情報との対応関係を示す起動管理情報を格納し、仮想化管理部が、起動要求を受信した場合、起動管理情報を参照し、仮想計算機に対応する起動認証情報が存在するか否かを判定するステップと、対応する起動認証情報が存在する場合、論理記憶領域から業務プログラムを読み出し、業務プログラムを実行するステップとを含む。
Description
物理計算機上で稼動する仮想計算機の管理方法に関する。特に、仮想計算機の起動処理に関する。
クラウドコンピューティングの普及によって、ユーザは、クラウドサービスを提供するデータセンタに備わる複数の物理計算機(リソース)を利用して業務を実行できる。データセンタでは、一つの物理計算機(リソース)を用いて複数の仮想計算機を構成することができる。
仮想計算機上ではユーザの業務等を実行するOSが稼動する。仮想計算機は物理計算機のHDD等の記憶媒体にイメージファイルとして格納され、当該HDDの入替え、他の物理計算機へのイメージファイルの移行などによって、当該仮想サーバを他の物理計算機に移動することができる。
したがって、データセンタの管理者等であれば、仮想計算機を別の物理計算機に移動し、当該仮想計算機を起動することができる。
従来の管理方法では、悪意のある管理者等が仮想計算機のイメージファイルを取得して、他の物理計算機上で起動させることができる。すなわち、データ取得、仮想サーバの乗っ取り等が容易にできるという問題がある。
ユーザが意図しないタイミングで仮想計算機が起動するのを抑止する方法として、仮想計算機に割り当てた仮想HBAに対応するWWNが、起動抑止を意味する値である場合には仮想計算機の起動を抑止する方法が知られている(例えば、特許文献1参照)。
しかし、特許文献1に記載の発明は、同一の物理計算機内における仮想計算機の起動を抑止するものであって、他の物理計算機上に移行された場合等に仮想計算機を抑止するものではない。すなわち、仮想計算機の実行イメージを特定の物理計算機上でのみ実行可能とするものではない。
また、データセンタを管理する管理計算機と物理計算機との間の認証処理では、悪意ある管理者等による仮想計算機の起動を抑止することができない。
本発明は、特定の物理計算機上においてのみ仮想計算機を起動可能にし、他の物理計算機上における仮想計算機の起動を抑止することを目的とする。
本発明の代表的な一例を示せば以下の通りである。すなわち、複数の計算機を備える計算機システムにおける仮想計算機管理方法であって、前記複数の計算機は、第1の計算機を含み、前記第1の計算機は、第1のプロセッサと、前記第1のプロセッサに接続される第1のメモリと、前記第1のプロセッサに接続される第1のネットワークインタフェースと、前記第1のプロセッサに接続される第1の記憶媒体とを備え、前記第1のメモリは、前記計算機が備える計算機資源を分割することによって一以上の仮想計算機を生成し、前記仮想計算機を管理する第1の仮想化管理部を実現するためのプログラムを格納し、前記第1の仮想管理部のみがアクセス可能な第1の管理記憶領域を含み、前記第1の記憶媒体は、前記第1の記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、前記論理記憶領域は、前記仮想計算機上で業務を実行するための業務プログラムを格納し、前記第1の管理記憶領域は、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第1の起動管理情報を格納し、前記第1の計算機上では、第1の業務プログラムを実行する第1の仮想計算機が生成され、前記方法は、前記第1の仮想化管理部が、前記第1の仮想計算機を起動させるための起動認証情報の生成命令を受信した場合、第1の起動認証情報を生成する第1のステップと、前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域の識別情報と、前記生成された第1の起動認証情報との対応関係を前記第1の起動管理情報に格納する第2のステップと、前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報を含む前記第1の仮想計算機の起動要求を受信した場合、前記第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照し、前記第1の仮想計算機に対応する前記第1の起動認証情報が存在するか否かを判定する第3のステップと、前記第1の仮想化管理部が、前記第1の仮想計算機に対応する前記第1の起動認証情報が前記第1の起動管理情報に存在すると判定された場合、前記第1の記憶媒体の前記論理記憶領域から前記第1の業務プログラムを読み出す第4のステップと、前記第1の仮想化管理部が、前記読み出された第1の業務プログラムを実行することによって前記第1の仮想計算機を起動させる第5のステップと、を含むことを特徴とする。
本発明によれば、起動管理情報に、仮想計算機に対応する起動認証情報が存在しない場合には、仮想計算機は起動されない。したがって、悪意ある管理者によって、仮想計算機の実行イメージ等を含む業務プログラムが取得された場合であっても、他の計算機上で当該仮想計算機が起動されないため、セキュリティを向上することができる。
以下、図面に基づいて、本発明の実施形態について説明する。なお、同一の符号を付した場合には、同一の構成又は同一の機能であることを示す。
[第1の実施形態]
図1は、本発明の第1の実施形態の計算機システムの一例を示すブロック図である。
本実施形態の計算機システムは、複数の物理サーバ100、管理サーバ120及びストレージ装置130から構成される。
各物理サーバ100は、ネットワーク140を介して管理サーバ120と接続される。ネットワーク140は、どのような接続方式のネットワークでもよく、例えば、IPネットワーク、WAN、LAN等が考えられる。なお、物理サーバ100と管理サーバ120とが直接接続されもよい。
また、物理サーバ100は、SAN等を介して、又は、直接、ストレージ装置130と接続される。なお、一つの物理サーバ100が一つのストレージ装置130と接続されてもよいし、複数の物理サーバ100が一つ又は複数のストレージ装置130と接続されてもよい。
管理サーバ120は、計算機システム内の物理サーバ100を管理する。管理サーバ120は、少なくとも、プロセッサ(図示省略)、メモリ(図示省略)、記憶媒体(図示省略)、及びネットワークインタフェース(図示省略)を備える。
メモリ(図示省略)上には、仮想サーバ起動管理部121及び仮想サーバ移行管理部122を実現するためのプログラムが読み出され、プロセッサ(図示省略)によって実行される。
仮想サーバ起動管理部121は、仮想サーバ117の起動に必要な情報を入力するインタフェースを提供し、また、当該インタフェースに入力された情報を各物理サーバ100に送信する。
仮想サーバ移行管理部122は、仮想サーバ117の移行に必要な情報を入力するインタフェースを提供し、また、当該インタフェースに入力された情報を各物理サーバ100に送信する。
ストレージ装置130は、物理サーバ100の情報を格納する。ストレージ装置130は、複数の記憶媒体131を備える。なお、ストレージ装置130は、複数の記憶媒体131からディスクアレイを構成し、ディスクアレイによって構成される論理的な記憶領域を物理サーバ100に提供してもよい。
物理サーバ100は、プロセッサ101、メモリ102、ネットワークインタフェース103及びディスクインタフェース104を備える。
プロセッサ101は、メモリ102上に格納されたプログラムを実行する。これによって、物理サーバ100が備える機能を実現できる。
メモリ102は、プロセッサ101によって実行されるプログラム及び当該プログラムを実行するために必要な情報を格納する。具体的には、メモリ102上には、仮想化管理部110を実現するためのプログラムが格納される。
仮想化管理部110は、仮想サーバ117を生成し、また生成された仮想サーバ117を管理する。仮想サーバ117上ではゲストOS301(図3参照)が実行される。
例えば、仮想化管理部110は、物理サーバ100が備える計算機資源(プロセッサ101、メモリ102等)を分割し、分割された計算機資源を仮想サーバ117に割り当てることによって、仮想サーバ117を生成する。なお、仮想サーバ117上で実行されるゲストOS301(図3参照)等は、仮想サーバ117の実行イメージとしてストレージ装置130に格納される。
以下、計算機資源を割り当てることを「仮想サーバ117の生成」と記載する。
仮想化管理部110は、起動キー処理部111、仮想サーバ起動部112、仮想サーバ移行部113、起動キー管理テーブル114、LU管理テーブル115及びデコーダ116を含む。
起動キー処理部111は、起動キーに関する処理を実行する。具体的には、起動キー処理部111は、起動キーを生成し、また、起動キーを削除する。ここで、起動キーは、仮想サーバ117の起動処理に必要な認証情報である。
仮想サーバ起動部112は、仮想サーバ117の起動処理を実行する。
仮想サーバ移行部113は、物理サーバ100間で仮想サーバ117を移動させるための移行(マイグレーション)処理を実行する。
起動キー管理テーブル114は、起動キーと仮想サーバ117との対応関係を格納する。起動キー管理テーブル114の詳細については図4を用いて後述する。
LU管理テーブル115は、仮想サーバ117及び当該仮想サーバ117の実行イメージが格納される記憶領域に関する情報を格納する。LU管理テーブル115の詳細については図5を用いて後述する。
デコーダ116は、暗号化された情報を復号化する。本実施形態では、デコーダ116は、暗号化された起動キーを復号化する。
ネットワークインタフェース103は、ネットワーク140を介して管理サーバ120と接続するためのインタフェースである。
ディスクインタフェース104は、ストレージ装置130と接続するためのインタフェースである。
図2は、本発明の第1の実施形態の仮想化管理部110の詳細を示すブロック図である。
起動キー処理部111は、起動キー生成部201及び起動キー削除部202を備える。
起動キー生成部201は、起動キーを生成するための生成処理を実行する。起動キーの生成処理については、図7及び図8を用いて後述する。
起動キー削除部202は、起動キーを削除するための削除処理を実行する。起動キーの削除処理については、図9及び図10を用いて後述する。
なお、起動キー処理部111は、起動キー生成部201及び起動キー削除部202を一つの構成として保持してもよい。
仮想サーバ起動部112は、起動キー認証部211、LU認証部212、及び起動処理部213を備える。
起動キー認証部211は、起動処理時に起動キーに基づいて、仮想サーバ117の認証処理を実行する。起動キーの認証処理については、図11A、図11B及び図12を用いて後述する。
LU認証部212は、対象となる仮想サーバ117の実行イメージが格納された記憶領域の認証処理を実行する。記憶領域の認証処理については、図11A、図11B及び図13を用いて後述する。
起動処理部213は、仮想サーバ117の起動処理を実行する。
なお、仮想サーバ起動部112は、起動キー認証部211、LU認証部212、及び起動処理部213を一つに構成として保持してもよい。
仮想サーバ移行部113は、起動キー送信部221、起動キー受信部222、及び移行処理部223を備える。
起動キー送信部221は、移行処理時に、移行先の物理サーバ100に起動キーを送信する。
起動キー受信部222は、移行元の物理サーバ100から送信された起動キーを受信する。
移行処理部223は、移行元の物理サーバ100上において稼動する仮想サーバ117を移行先の物理サーバ100に移行する。
起動キー管理テーブル114、LU管理テーブル115、及びデコーダ116は、図1と同一の構成であるため説明を省略する。
図3は、本発明の第1の実施形態の計算機システムにおける論理的な構成を説明するブロック図である。
物理サーバ100のメモリ102上では仮想化管理部110が実行される。仮想化管理部110上では、複数の仮想サーバ117が稼動する。さらに、各仮想サーバ117上では、ゲストOS301が実行される。これによって、ユーザの業務を実行できる。
ストレージ装置130は、複数の記憶媒体131から構成されるディスクアレイの記憶領域310を論理的に分割して複数のLU311を生成する。また、ストレージ装置130は、LU311を仮想サーバ117に提供する。各LU311には、LU311を一意に識別するためのLUID312が付与される。
本実施形態では、一つの仮想サーバ117に一つのLU311が割り当てられているものとする。すなわち、ゲストOS301を含む仮想サーバ117の実行イメージが、一つのLU311に格納される。
仮想化管理部110は、起動処理時に、LU311から仮想サーバ117の実行イメージを読み出し、読み出された実行イメージを実行することによって仮想サーバ117を起動する。
図4は、本発明の第1の実施形態の起動キー管理テーブル114の詳細を示す説明図である。
起動キー管理テーブル114は、仮想サーバID401及び起動キー402を含む。
仮想サーバID401は、物理サーバ100上で実行される仮想サーバ117を一意に識別するための識別子である。
起動キー402は、仮想サーバID401に対応する仮想サーバ117の起動キーを格納する。
本実施形態における起動キーは、仮想化管理部110固有の情報を用いて生成される。例えば、仮想化管理部110が稼動する物理サーバ100のハードウェア情報に基づいて生成される。これによって、他の仮想化管理部110上で、仮想サーバ117が起動できないようにできる。
本実施形態では、起動キー管理テーブル114は、仮想化管理部110のみがアクセス可能な記憶領域に格納される。すなわち、管理サーバ120、他の物理サーバ100又はゲストOS301からは、起動キー管理テーブル114にアクセスできない。
図5は、本発明の第1の実施形態のLU管理テーブル115の詳細を示す説明図である。
LU管理テーブル115は、仮想サーバID501及びLUID502を含む。
仮想サーバID501は、物理サーバ100上で稼動する仮想サーバ117を一意に識別するための識別子であり、仮想サーバID401と同一の情報である。
LUID502は、LU311を一意に識別するための識別子である。
なお、仮想化管理部110は、起動キー管理テーブル114とLU管理テーブル115とを組み合わせて一つのテーブルとして情報を保持してもよい。
図6は、本発明の第1の実施形態の仮想化管理部110がユーザ要求を受信した場合に実行する処理の概要を説明するフローチャートである。
仮想化管理部110は、管理サーバ120から送信されたユーザ要求を受信する(ステップ601)。
仮想化管理部110は、受信したユーザ要求が起動キーの生成要求であるか否かを判定する(ステップ602)。
受信したユーザ要求が起動キーの生成要求であると判定された場合、仮想化管理部110は、起動キーの生成処理を実行する(ステップ606)。なお、起動キーの生成処理の詳細は、図7及び図8を用いて後述する。
受信したユーザ要求が起動キーの生成要求でないと判定された場合、仮想化管理部110は、受信したユーザ要求が起動キーの削除要求であるか否かを判定する(ステップ603)。
受信したユーザ要求が起動キーの削除要求であると判定された場合、仮想化管理部110は、起動キーの削除処理を実行する(ステップ607)。なお、起動キーの削除処理の詳細は、図9及び図10を用いて後述する。
受信したユーザ要求が起動キーの削除要求でないと判定された場合、仮想化管理部110は、受信したユーザ要求が仮想サーバ117の起動要求であるか否かを判定する(ステップ604)。
受信したユーザ要求が仮想サーバ117の起動要求であると判定された場合、仮想化管理部110は、仮想サーバ117の起動処理を実行する(ステップ608)。なお、仮想サーバ117の起動処理の詳細は、図11A、図11B、図12及び図13を用いて後述する。
受信したユーザ要求が仮想サーバ117の起動要求でないと判定された場合、仮想化管理部110は、受信したユーザ要求が仮想サーバ117の移行要求であるか否かを判定する(ステップ605)。
受信したユーザ要求が仮想サーバ117の移行要求であると判定された場合、仮想化管理部110は、仮想サーバ117の移行処理を実行する(ステップ609)。なお、仮想サーバ117の移行処理の詳細は、図14、図15及び図16を用いて後述する。
受信したユーザ要求が仮想サーバ117の移行要求でないと判定された場合、仮想化管理部110は、処理を終了する。なお、仮想化管理部110は、受信したユーザ要求に応じた他の処理を実行してもよい。
以下、ユーザ要求に対応する処理の詳細について説明する。まず、起動キーの生成処理について説明する。
図7は、本発明の第1の実施形態における起動キーの生成処理の流れを説明するシーケンス図である。
管理者又はユーザが、起動キーの生成要求を管理サーバ120に入力する(ステップ701)。なお、当該生成要求には、仮想サーバIDが含まれる。
なお、起動キーの生成要求を入力する契機としては、ユーザに新たに仮想サーバ117を割り当てる場合、又は、すでにユーザに割り当てられている仮想サーバ117に対して起動キーを新たに生成する場合等が考えられる。
管理サーバ120は、仮想サーバIDが含まれる起動キーの生成要求を仮想化管理部110に送信する。なお、管理サーバ120は、各物理サーバ100上で稼動する仮想サーバ117に関する情報を格納するテーブル(図示省略)を保持しており、当該テーブルを参照することによって、起動キーの生成要求を送信する物理サーバ100を特定できる。
仮想化管理部110は、管理サーバ120から起動キーの生成要求を受信すると(ステップ702)、起動キーを生成する(ステップ703)。
仮想化管理部110は、生成された起動キーに基づいて、起動キー管理テーブル114に更新する(ステップ704)。
仮想化管理部110は、起動キーの生成処理が完了した旨を示す完了通知を管理サーバ120に送信する(ステップ705)。
当該完了通知は、管理サーバ120によって管理者又はユーザに通知される。
図8は、本発明の第1の実施形態における起動キーの生成処理の詳細を説明するフローチャートである。
仮想化管理部110は、管理サーバ120から起動キーの生成要求を受信すると(ステップ801)、起動キー処理部111を呼び出す。呼び出された起動キー処理部111は起動キー生成部201を実行する。以下の処理は、起動キー生成部201によって実行される。
まず、起動キー生成部201は、起動キーを生成する(ステップ802)。
起動キーの生成方法は、例えば、仮想化管理部110固有の情報からハッシュ値を取得し、当該ハッシュ値に基づいて起動キーを生成する方法が考えられる。なお、本発明は、起動キーの生成方法に限定されず、どのような方法を用いてもよい。
次に、起動キー生成部201は、生成された起動キーを暗号化する(ステップ803)。本実施形態では、起動キーは、仮想化管理部110固有の情報を用いて暗号化される。
暗号化方法は、RSA暗号等の公開鍵暗号方式を用いる方法が考えられる。なお、本発明は、暗号化の方法に限定されない。
起動キー生成部201は、暗号化された起動キーに基づいて起動キー管理テーブル114に更新する(ステップ804)。
具体的には、起動キーの生成要求に含まれる仮想サーバIDに対応するエントリが起動キー管理テーブル114に存在する場合には、起動キー生成部201は、当該エントリの起動キー402のカラムを更新する。また、起動キーの生成要求に含まれる仮想サーバIDに対応するエントリが起動キー管理テーブル114存在しない場合には、新たにエントリを追加する。
起動キー生成部201は、起動キーの生成処理の完了通知を管理サーバ120に送信し(ステップ805)、処理を終了する。
本発明では、仮想化管理部110固有の情報を用いて、起動キーが生成され、さらに、当該起動キーが暗号化される。これによって、仮想サーバ117の実行イメージが不正に取得された場合であっても、他の仮想化管理部110では、起動キーを復号化できず、さらに、起動キーが異なるため仮想サーバ117を起動できない。したがって、セキュリティを高めることができる。
次に、起動キーの削除処理について説明する。
図9は、本発明の第1の実施形態における起動キーの削除処理の流れを説明するシーケンス図である。
管理者又はユーザが、起動キーの削除要求を管理サーバ120に入力する(ステップ901)。なお、当該削除要求には、仮想サーバIDが含まれる。
起動キーの削除要求を入力する契機としては、ユーザに割り当てられている仮想サーバ117を削除する場合等が考えられる。
管理サーバ120は、仮想サーバIDが含まれる起動キーの削除要求を仮想化管理部110に送信する。なお、管理サーバ120は、各物理サーバ100上で稼動する仮想サーバ117に関する情報を格納するテーブル(図示省略)を保持しており、当該テーブルを参照することによって、起動キーの削除要求を送信する物理サーバ100を特定できる。
仮想化管理部110は、管理サーバ120から起動キーの削除要求を受信すると(ステップ902)、起動キーを検索する(ステップ903)。
仮想化管理部110は、検索された起動キーに対応する情報を起動キー管理テーブル114から削除する(ステップ904)。
仮想化管理部110は、起動キーの削除が完了した旨を示す完了通知を管理サーバ120に送信する(ステップ905)。
当該完了通知は、管理サーバ120によって管理者又はユーザに通知される。
図10は、本発明の第1の実施形態における起動キーの削除処理の詳細を説明するフローチャートである。
仮想化管理部110は、管理サーバ120から起動キーの削除要求を受信すると(ステップ1001)、起動キー処理部111を呼び出す。呼び出された起動キー処理部111は起動キー削除部202を実行する。以下の処理は、起動キー削除部202によって実行される。
まず、起動キー削除部202は、受信した起動キーの削除要求に含まれる仮想サーバIDに基づいて、起動キー管理テーブル114から起動キーを検索する(ステップ1002)。具体的には、起動キー削除部202は、起動キー管理テーブル114から、起動キーの削除要求に含まれる仮想サーバIDと一致するエントリを検索する。
起動キー削除部202は、検索された起動キーを起動キー管理テーブル114から削除する(ステップ1003)。具体的には、起動キー削除部202は、起動キーの削除要求に含まれる仮想サーバIDと一致するエントリを起動キー管理テーブル114から削除する。
起動キー削除部202は、起動キーの削除処理の完了通知を管理サーバ120に送信し(ステップ1004)、処理を終了する。
次に、仮想サーバの起動処理について説明する。
図11Aは、本発明の第1の実施形態における仮想サーバの起動処理の流れについて説明するシーケンス図である。
管理者又はユーザが、仮想サーバ117の起動要求を管理サーバ120に入力する(ステップ1101)。なお、当該起動要求には、仮想サーバIDが含まれる。
以下、起動させる仮想サーバ117を対象仮想サーバ117とも記載する。
管理サーバ120は、仮想サーバIDが含まれる仮想サーバの起動要求を仮想化管理部110に送信する。なお、管理サーバ120は、各物理サーバ100上で稼動する仮想サーバ117に関する情報を格納するテーブル(図示省略)を保持しており、当該テーブルを参照することによって、仮想サーバ117の起動要求を送信する物理サーバ100を特定できる。
仮想化管理部110は、管理サーバ120から仮想サーバ117の起動要求を受信すると(ステップ1102)、該当する起動キーが存在するか否かを検索する(ステップ1103)。すなわち、起動キーの認証処理が実行される。
次に、仮想化管理部110は、該当するLUが存在するか否かを検索する(ステップ1104)。すなわち、LUの認証処理が実行される。
仮想化管理部110は、仮想サーバ117の起動要求に含まれる仮想サーバIDに対応する対象仮想サーバ117を起動する(ステップ1105)。
具体的には、LUの認証処理が完了した後、仮想化管理部110は、LU311から仮想サーバ117の実行イメージを読み出し、読み出された仮想サーバ117の実行イメージを実行する。
仮想化管理部110は、仮想サーバの起動処理が完了した旨を示す完了通知を管理サーバ120に送信する(ステップ1106)。
当該完了通知は、管理サーバ120によって管理者又はユーザに通知される。
図11Bは、本発明の第1の実施形態における仮想サーバ117の起動キーを用いない場合の起動処理の流れについて説明するシーケンス図である。
図11Bに示すように、起動キーを用いない場合は、ステップ1103の起動キーの認証処理が実行されない。
他の処理については同一であるため説明を省略する。
図12は、本発明の第1の実施形態における起動キーの認証処理の詳細を説明するフローチャートである。
仮想化管理部110は、管理サーバ120から起動キーの起動要求を受信すると仮想サーバ起動部112を呼び出す。呼び出された仮想サーバ起動部112は、起動キー認証部211を実行する。以下の処理は、起動キー認証部211によって実行される。
起動キー認証部211は、受信した仮想サーバの起動要求から仮想サーバIDを抽出する(ステップ1201)。
起動キー認証部211は、抽出された仮想サーバIDに基づいて起動キー管理テーブル114を参照し、起動キーを検索する(ステップ1202)。具体的には、起動キー認証部211は、起動キー管理テーブル114から、抽出された仮想サーバIDと一致するエントリを検索する。
起動キー認証部211は、検索の結果、抽出された仮想サーバIDに対応する起動キーが存在するか否かを判定する(ステップ1203)。すなわち、起動キー管理テーブル114に、抽出された仮想サーバIDと一致するエントリが存在するか否かが判定される。
抽出された仮想サーバIDに対応する起動キーが存在しないと判定された場合、起動キー認証部211は、仮想サーバ起動部112に認証が失敗した旨を通知し(ステップ1206)、処理を終了する。すなわち、仮想サーバ117は起動されない。
抽出された仮想サーバIDに対応する起動キーが存在すると判定された場合、起動キー認証部211は、起動キー管理テーブル114から起動キーを読み出し、読み出された起動キーが復号化できるか否かを判定する(ステップ1207)。
具体的には、デコーダ116が実行され、読み出された起動キーが復号化できるか否かが判定される。
ここで、起動キーは仮想化管理部110固有の情報に基づいて暗号化されているため、仮想化管理部110が異なると起動キーを復号化することできない。すなわち、起動キーが不正に取得された場合であっても、取得された起動キーが復号化できない場合には、仮想サーバ117の起動が抑止される。
読み出された起動キーが復号化できないと判定された場合、起動キー認証部211は、仮想サーバ起動部112に認証が失敗した旨を通知し(ステップ1206)、処理を終了する。すなわち、仮想サーバ117は起動されない。
読み出された起動キーが復号化できると判定された場合、起動キー認証部211は、仮想サーバ起動部112に起動キーの認証処理が完了した旨を通知し(ステップ1205)、処理を終了する。
以上のように、本実施形態では、仮想サーバ117に対応する起動キーが存在しない場合には、仮想サーバ117が起動されない。
図13は、本発明の第1の実施形態におけるLUの認証処理の詳細を説明するフローチャートである。
仮想サーバ起動部112は、起動キーの認証処理が完了した旨の通知を受信すると、LU認証部212を実行する。以下の処理は、LU認証部212によって実行される。
LU認証部212は、受信した仮想サーバの起動要求から仮想サーバIDを抽出する(ステップ1301)。
LU認証部212は、抽出された仮想サーバIDに基づいてLU管理テーブル115を参照し、抽出された仮想サーバIDに対応するLU311を検索する(ステップ1302)。具体的には、LU認証部212は、LU管理テーブル115から、抽出された仮想サーバIDに一致するエントリを検索する。
LU認証部212は、検索の結果、抽出された仮想サーバIDに対応するLU311が存在するか否かを判定する(ステップ1303)。すなわち、LU管理テーブル115に、抽出された仮想サーバIDと一致するエントリが存在するか否かが判定される。
抽出された仮想サーバIDに対応するLU311が存在しないと判定された場合、LU認証部212は、仮想サーバ起動部112に認証が失敗した旨を通知し(ステップ1306)、処理を終了する。すなわち、仮想サーバ117は起動されない。
抽出された仮想サーバIDに対応するLU311が存在すると判定された場合、LU認証部212は、仮想サーバ起動部112にLUの認証処理が完了した旨を通知し(ステップ1305)、処理を終了する。
次に、仮想サーバの移行処理について説明する。
図14は、本発明の第1の実施形態における仮想サーバ117の移行処理の流れについて説明するシーケンス図である。
仮想サーバの移行処理では、移行元の物理サーバ100の仮想化管理部110と、移行先の物理サーバ100の仮想化管理部110とが連携して処理を実行する。
以下、移行元の物理サーバ100の仮想化管理部110を仮想化管理部110−1と、移行先の物理サーバ100の仮想化管理部110を仮想化管理部110−2と記載する。
管理者又はユーザが、仮想サーバID及び移行先の物理サーバ100の識別情報を管理サーバ120に入力して、仮想サーバ117の移行要求の送信する(ステップ1401)。
なお、仮想サーバ117の移行要求を入力する契機としては、計画的移行、障害発生などが考えられる。
管理サーバ120は、仮想サーバ117の移行要求を、仮想化管理部110−1及び仮想化管理部110−2に送信する。
なお、管理サーバ120は、各物理サーバ100上で稼動する仮想サーバ117に関する情報を格納するテーブル(図示省略)を保持しており、当該テーブルを参照することによって、仮想サーバ117の移行要求を送信する物理サーバ100を特定できる。また、管理サーバ120は、物理サーバ100の識別情報を管理するテーブル(図示省略)を保持しており、当該テーブルを参照することによって仮想サーバ117の移行要求を送信する物理サーバ100を特定できる。
なお、仮想化管理部110−1と仮想化管理部110−2との間の通信方法は以下のようなものが考えられる。
例えば、管理サーバ120は、仮想化管理部110−1と仮想化管理部110−2との間を接続する通信経路を生成し、当該通信経路を用いて、仮想化管理部110−1と仮想化管理部110−2とが互いに情報を送受信する方法が考えられる。
また、管理サーバ120を経由して、仮想化管理部110−1と仮想化管理部110−2とが情報を送受信してもよい。この場合、仮想化管理部110−1と仮想化管理部110−2との間で送受信する情報は暗号化することが望ましい。
図14の説明に戻る。
仮想化管理部110−1は、管理サーバ120から仮想サーバ117の移行要求を受信すると(ステップ1402)、移行する仮想サーバ117に関連する情報を、移行先の仮想化管理部110−2に送信する(ステップ1404)。
以下、移行する仮想サーバ117に関連する情報を移行情報と記載する。移行情報には、移行する仮想サーバ117の構成情報、及び移行する仮想サーバ117の実行イメージ等が含まれる。なお、移行情報には、他の情報が含まれてもよい。
仮想化管理部110−2は、管理サーバ120から仮想サーバ117の移行要求を受信する(ステップ1403)。また、仮想化管理部110−2は、仮想化管理部110−1から移行情報を受信する(ステップ1405)。
仮想化管理部110−2は、受信した移行情報に基づいて、仮想サーバ117を生成する。また、仮想化管理部110−2は、仮想サーバ117の実行イメージをLU311に格納する。
なお、移行先の物理サーバ100に移行元の仮想サーバ117と同一構成の仮想サーバ117が生成されている場合には、新たに仮想サーバ117を生成しなくともよい。この場合、移行先の物理サーバ100上に生成された仮想サーバ117と仮想サーバIDとを対応づければよい。
次に、仮想化管理部110−1は、移行する仮想サーバ117に対応する起動キーを起動キー管理テーブル114から読み出し、読み出された起動キーを仮想化管理部110−2に送信する(ステップ1406)。
仮想化管理部110−1は、起動キーの送信後、起動キー管理テーブル114及びLU管理テーブル115を更新する(ステップ1408)。具体的には、仮想化管理部110−1は、起動キー管理テーブル114及びLU管理テーブル115から移行した仮想サーバ117に対応するエントリを削除する。
仮想化管理部110−2は、起動キーを受信すると(ステップ1407)、起動キー管理テーブル114及びLU管理テーブル115を更新する(ステップ1409)。具体的には、起動キー管理テーブル114及びLU管理テーブル115に、移行された仮想サーバ117に対応するエントリを追加する。
仮想化管理部110−1は、仮想サーバ117の移行処理が完了した旨を示す完了通知を管理サーバ120に送信する(ステップ1410)。
なお、当該完了通知を送信するタイミングとしては、仮想化管理部110−2から仮想サーバ117の設定が完了した旨を受信した後に送信する。また、仮想化管理部110−2が、当該完了通知を管理サーバ120に送信してもよい。
当該完了通知は、管理サーバ120によって管理者又はユーザに通知される。
図15は、本発明の第1の実施形態の移行元の仮想化管理部110−1が実行する処理の詳細を説明するフローチャートである。
仮想化管理部110−1は、管理サーバ120から、仮想サーバIDを含む仮想サーバ117の移行要求を受信すると(ステップ1501)、仮想サーバ移行部113を起動する。以下の処理は、仮想サーバ移行部113によって実行される。
まず、仮想サーバ移行部113は、移行処理部223を実行する。
移行処理部223は、移行する仮想サーバ117の実行イメージが格納されるLU311を検索する(ステップ1502)。
具体的には、移行処理部223は、仮想サーバ117の移行要求から仮想サーバIDを抽出する。移行処理部223は、抽出された仮想サーバIDに基づいてLU管理テーブル115を参照し、抽出された仮想サーバIDと一致するエントリを検索する。
また、移行処理部223は、移行する仮想サーバ117の構成情報も取得する。
次に、移行処理部223は、検索されたLU311に格納される仮想サーバ117の実行イメージを読み出し、移行先の仮想化管理部110−2に当該読み出された仮想サーバ117の実行イメージを含む移行情報を送信する(ステップ1503)。
以上の処理が完了すると、仮想サーバ移行部113は、次に、起動キー送信部221を実行する。
まず、起動キー送信部221は、移行する仮想サーバ117に対応する起動キーを検索する(ステップ1504)。
具体的には、起動キー送信部221は、仮想サーバ117の移行要求から仮想サーバIDを抽出する。起動キー送信部221は、抽出された仮想サーバIDに基づいて起動キー管理テーブル114を参照し、抽出された仮想サーバIDと一致するエントリを検索する。
起動キー送信部221は、起動キー管理テーブル114から起動キーを読み出し、読み出された起動キーを復号化する(ステップ1505)。なお、復号化にはデコーダ116が用いられる。
起動キー送信部221は、復号化された起動キーを移行先の仮想化管理部110−2に送信する(ステップ1506)。
以上の処理が完了すると、仮想サーバ移行部113は、LU管理テーブル1507から移行した仮想サーバ117に対応するエントリを削除し(ステップ1507)、また、起動キー管理テーブル114から移行した仮想サーバ117に対応するエントリを削除する(ステップ1508)。
仮想サーバ移行部113は、仮想サーバ117の移行処理の完了通知を管理サーバ120に送信し(ステップ1509)、処理を終了する。
図16は、本発明の第1の実施形態の移行先の仮想化管理部110−2が実行する処理の詳細を説明するフローチャートである。
移行先の仮想化管理部110−2は、管理サーバ120から、仮想サーバIDを含む仮想サーバ117の移行要求を受信すると(ステップ1601)、仮想サーバ移行部113を実行する。以下の処理は、仮想サーバ移行部113によって実行される。
仮想サーバ移行部113は、移行元の仮想化管理部110−1から仮想サーバ117の実行イメージを含む移行情報を受信すると(ステップ1602)、移行処理部223を実行する。移行処理部223は、受信した移行情報に含まれる仮想サーバ117の実行イメージをLU311に格納する。
移行処理部223は、仮想サーバ117の移行要求に含まれる仮想サーバIDと、仮想サーバ117の実行イメージが格納されるLU311のLUIDとを対応づけて、LU管理テーブル115に登録する(ステップ1603)。
次に、仮想サーバ移行部113は、起動キー受信部222を実行することによって、仮想化管理部110−1から移行する仮想サーバ117の起動キーを受信する(ステップ1604)。なお、受信した起動キーは復号化された起動キーである。
仮想サーバ移行部113は、起動キーを暗号化する(ステップ1605)。暗号化の方法は、ステップ803と同一の方法も用いることが考えられる。
仮想サーバ移行部113は、仮想サーバ117の移行要求に含まれる仮想サーバIDと、暗号化された起動キーとを対応づけて起動キー管理テーブル114に登録する(ステップ1606)。
仮想サーバ移行部113は、移行完了を仮想化管理部110−1に通知し(ステップ1607)、処理を終了する。
以上のように、移行先の仮想化管理部110においても、起動キーは暗号化される。したがって、他の仮想化管理部110は、当該起動キーを復号化できないため、仮想サーバ117を起動できない。
本発明の第1の実施形態によれば、仮想化管理部110は、仮想サーバ117の起動に必要な起動キーを保持するときのみ、当該仮想サーバ117を起動できる。これによって、対応する起動キーを保持しない仮想化管理部110上における仮想サーバ117の起動が抑止される。したがって、悪意のある管理者等が他の物理サーバ100上で仮想サーバ117の実行イメージを起動することを抑止できる。
また、起動キーは、仮想化管理部110のみがアクセス可能な記憶領域に格納されるため、管理サーバ120等の外部から取得できない。
さらに、仮想化管理部110が起動キーを保持していても、復号化できない場合には、仮想サーバ117の起動が抑止される。これによって、よりセキュリティを向上できる。
[第2の実施形態]
第2の実施形態では、起動キーを用いてさらにLUに格納された仮想サーバ117の実行イメージを暗号化する点が異なる。以下第1の実施形態との差異を中心に説明する。
第2の実施形態の計算機システム、物理サーバ100、管理サーバ120及びストレージ装置130の構成は、第1の実施形態と同一であるため説明を省略する。
第2の実施形態では、起動キーの生成処理、起動キーの認証処理及びLUの認証処理が異なる。
図17は、本発明の第2の実施形態における起動キーの生成処理の詳細を説明するフローチャートである。
ステップ801〜ステップ805は、第1の実施形態と同一の処理であるため説明を省略する。第2の実施形態では、ステップ802の後に新たな処理が実行される。
起動キー生成部201によって起動キーが生成された後、起動キー処理部111は、生成された起動キーを用いて、仮想サーバ117の実行イメージが格納されるLU311を暗号化する(ステップ1701)。例えば、起動キーを暗号鍵としてLU311を暗号化する方法が考えられる。
その後、起動キー生成部201が処理を継続する。
図18は、本発明の第2の実施形態におけるLUの認証処理の詳細を説明するフローチャートである。
ステップ1301〜ステップ1305は、第1の実施形態と同一の処理であるため説明を省略する。第2の実施形態では、ステップ1303の後に新たな処理が実行される。
ステップ1303において、抽出された仮想サーバIDに対応するLU311が存在すると判定された場合、LU認証部212は、起動キー管理テーブル114から起動キーを読み出し、読み出された起動キーを用いて対応するLU311を復号化する(ステップ1801)。
図19は、本発明の第2の実施形態の移行元の仮想化管理部110−1が実行する処理の詳細を説明するフローチャートである。
ステップ1501〜ステップ1502、及びステップ1504〜ステップ1509の処理は、第1の実施形態と同一であるため説明を省略する。
第2の実施形態では、LU311が検索された後(ステップ1502)、起動キーが検索される(ステップ1504)。これは、暗号化されたLU311を復号化するためである。
ステップ1505の後、移行処理部223は、復号化された起動キーを用いて、移行する仮想サーバ117の実行イメージが格納されたLU311を復号化する(ステップ1901)。
移行処理部223は、復号化されたLU311に格納される仮想サーバ117の実行イメージを読み出し、読み出された仮想サーバ117の実行イメージを含む移行情報を移行先の仮想化管理部110−2に送信する(ステップ1902)。
なお、移行処理部223は、暗号化された仮想サーバ117の実行イメージそのものを移行先の仮想化管理部110−2に送信してもよい。
図20は、本発明の第2の実施形態の移行先の仮想化管理部110−2が実行する処理の詳細を説明するフローチャートである。
ステップ1601、ステップ1602、ステップ1604、及びステップ1605〜ステップ1607の処理は、第1の実施形態と同一であるため説明を省略する。
移行処理部223は、仮想サーバ117の実行イメージ、復号化された起動キーを受信した後(ステップ1602、ステップ1604)、受信した起動キーを用いて、仮想サーバ117の実行イメージが格納されたLU311を暗号化する(ステップ2001)。
移行処理部223は、仮想サーバ117の移行要求に含まれる仮想サーバIDと、仮想サーバ117の実行イメージが格納されるLU311のLUIDとを対応づけて、LU管理テーブル115に登録する(ステップ2002)。
第2の実施形態によれば、仮想化管理部110が起動キーを用いて仮想サーバ117の実行イメージそのもの暗号化することによって、さらにセキュリティを向上させることができる。
[第3の実施形態]
第3の実施形態では、移行処理において、移行元の仮想化管理部110が、移行先の仮想化管理部110に起動キーの生成命令を送信する点が異なる。すなわち、移行処理時に、移行先の仮想化管理部110に起動キーは送信されず、当該移行先の仮想化管理部110が新たに起動キーを生成する。以下、第1の実施形態との差異を中心に説明する。
第3の実施形態の計算機システム、物理サーバ100、管理サーバ120及びストレージ装置130の構成は、第1の実施形態と同一であるため説明を省略する。
図21は、本発明の第3の実施形態の移行元の仮想化管理部110−1が実行する処理の詳細を説明するフローチャートである。
ステップ1501〜ステップ1503、及び、ステップ1507〜ステップ1509は第1の実施形態と同一の処理であるため説明を省略する。
仮想サーバ117の実行イメージが送信された後(ステップ1503)、起動キー送信部221は、仮想化管理部110−2に起動キーの生成命令を送信する(ステップ2101)。なお、当該生成命令には、起動キーを生成するための情報が含まれてもよい。
図22は、本発明の第3の実施形態の移行先の仮想化管理部110−2が実行する処理の詳細を説明するフローチャートである。
ステップ1601〜ステップ1603、及び、ステップ1605〜ステップ1607は、第1の実施形態と同一の処理であるため説明を省略する。
仮想サーバ移行部113は、起動キー受信部222を実行することによって、起動キーの生成要求を受信すると(ステップ2201)、起動キー処理部111を呼び出し、起動キーの生成を要求する。
呼び出された起動キー処理部111は、起動キー生成部201を実行することによって、起動キーを生成する(ステップ2202)。なお、起動キーの生成方法は、ステップ802と同一の方法を用いる。
起動キー処理部111は、生成された起動キーと共に、起動キーの生成が完了した旨を仮想サーバ移行部113に通知する。当該通知を受信した仮想サーバ移行部113は、処理を再開する。
本発明の第3の実施形態によれば、移行処理時に起動キーが送信されないため、通信傍受等の方法を用いて起動キーが取得される危険性がなくなり、よりセキュリティを向上できる。
なお、本発明は、第1の実施形態、第2の実施形態、及び第3の実施形態を組み合わせてもよい。
以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。
Claims (19)
- 複数の計算機を備える計算機システムにおける仮想計算機管理方法であって、
前記複数の計算機は、第1の計算機を含み、
前記第1の計算機は、第1のプロセッサと、前記第1のプロセッサに接続される第1のメモリと、前記第1のプロセッサに接続される第1のネットワークインタフェースと、前記第1のプロセッサに接続される第1の記憶媒体とを備え、
前記第1のメモリは、
前記計算機が備える計算機資源を分割することによって一以上の仮想計算機を生成し、前記仮想計算機を管理する第1の仮想化管理部を実現するためのプログラムを格納し、
前記第1の仮想管理部のみがアクセス可能な第1の管理記憶領域を含み、
前記第1の記憶媒体は、前記第1の記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、
前記論理記憶領域は、前記仮想計算機上で業務を実行するための業務プログラムを格納し、
前記第1の管理記憶領域は、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第1の起動管理情報を格納し、
前記第1の計算機上では、第1の業務プログラムを実行する第1の仮想計算機が生成され、
前記方法は、
前記第1の仮想化管理部が、前記第1の仮想計算機を起動させるための起動認証情報の生成命令を受信した場合、第1の起動認証情報を生成する第1のステップと、
前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域の識別情報と、前記生成された第1の起動認証情報との対応関係を前記第1の起動管理情報に格納する第2のステップと、
前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報を含む前記第1の仮想計算機の起動要求を受信した場合、前記第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照し、前記第1の仮想計算機に対応する前記第1の起動認証情報が存在するか否かを判定する第3のステップと、
前記第1の仮想化管理部が、前記第1の仮想計算機に対応する前記第1の起動認証情報が前記第1の起動管理情報に存在すると判定された場合、前記第1の記憶媒体の前記論理記憶領域から前記第1の業務プログラムを読み出す第4のステップと、
前記第1の仮想化管理部が、前記読み出された第1の業務プログラムを実行することによって前記第1の仮想計算機を起動させる第5のステップと、
を含むことを特徴とする仮想計算機管理方法。 - 前記第1のステップは、さらに、前記生成された第1の起動認証情報を暗号化するステップを含み、
前記第2のステップでは、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を前記第1の起動管理情報に格納することを特徴とする請求項1に記載の仮想計算機管理方法。 - 前記第3のステップは、前記第1の仮想計算機に対応する前記暗号化された第1の起動認証情報が存在するか否かを判定するステップを含み、
前記第4のステップは、
前記第1の仮想計算機に対応する前記暗号化された第1の起動認証情報が存在すると判定された場合に、前記暗号化された第1の起動認証情報を復号化できるか否かを判定するステップと、
前記暗号化された第1の起動認証情報を復号化できると判定された場合、前記第1の記憶媒体の前記論理記憶領域から前記第1の業務プログラムを読み出すステップと、を含むことを特徴とする請求項2に記載の仮想計算機管理方法。 - 前記複数の計算機は、第2の計算機を含み、
前記第2の計算機は、第2のプロセッサと、前記第2のプロセッサに接続される第2のメモリと、前記第2のプロセッサに接続される第2のネットワークインタフェースと、前記第2のプロセッサに接続される第2の記憶媒体とを備え、
前記第2のメモリは、
前記仮想計算機を生成し、生成された前記仮想計算機を管理する第2の仮想化管理部を実現するためのプログラムを格納し、
前記第2の仮想管理部のみがアクセスでき、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記第2の記憶媒体の前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第2の起動管理情報を格納する第2の管理記憶領域を含み、
前記第2の記憶媒体は、前記第2の記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、
前記方法は、さらに、
前記第1の仮想化管理部が、前記第1の仮想計算機を前記第2の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記第1の仮想計算機の識別情報を抽出する第6のステップと、
前記第1の仮想化管理部が、前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照して、前記第1の記憶媒体の前記論理記憶領域から、前記第1の業務プログラムから読み出す第7のステップと、
前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報、及び、前記読み出された第1の業務プログラムを前記第2の計算機に送信する第8のステップと、
前記第1の仮想化管理部が、前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報から、前記暗号化された第1の起動認証情報を取得する第9のステップと、
前記第1の仮想化管理部が、前記暗号化された第1の起動認証情報を復号化し、前記復号化された第1の起動認証情報を前記第2の計算機に送信する第10のステップと、
前記第1の仮想化管理部が、前記第1の起動管理情報から、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を削除する第11のステップと、
前記第2の仮想化管理部が、前記第1の仮想計算機の識別情報、前記第1の業務プログラム、及び、前記復号化された第1の起動認証情報を受信した場合に、前記第1の業務プログラムを前記第2の記憶媒体の前記論理記憶領域に格納し、前記復号化された第1の起動認証情報を暗号化する第12のステップと、
前記第2の仮想化管理部が、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を第2の起動管理情報に格納する第13のステップと、
を含むことを特徴とする請求項2に記載の仮想計算管理方法。 - 前記複数の計算機は、第2の計算機を含み、
前記第2の計算機は、第2のプロセッサと、前記第2のプロセッサに接続される第2のメモリと、前記第2のプロセッサに接続される第2のネットワークインタフェースと、前記第2のプロセッサに接続される第2の記憶媒体とを備え、
前記第2のメモリは、
前記仮想計算機を生成し、前記生成された仮想計算機を管理する第2の仮想化管理部を実現するためのプログラムを格納し、
前記第2の仮想管理部のみがアクセスでき、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記第2の記憶媒体の前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第2の起動管理情報を格納する第2の管理記憶領域を含み、
前記方法は、さらに、
前記第1の仮想化管理部が、前記第1の仮想計算機を前記第2の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記第1の仮想計算機の識別情報を抽出する第14のステップと、
前記第1の仮想化管理部が、前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照して、前記第1の記憶媒体の前記論理記憶領域から、前記第1の業務プログラムを読み出す第15のステップと、
前記第1の仮想化管理部が、前記第1の仮想計算機の識別情報、及び、前記読み出された第1の業務プログラムを前記第2の計算機に送信する第16のステップと、
前記第1の仮想化管理部が、前記第1の起動管理情報から、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を削除する第17のステップと、
前記第2の仮想化管理部が、前記第1の仮想計算機の識別情報、及び前記第1の業務プログラムを受信した場合に、前記第1の業務プログラムを前記第2の記憶媒体の前記論理記憶領域に格納し、前記第1の仮想計算機を起動させるための第2の起動認証情報を生成する第18のステップと、
前記第2の仮想化管理部が、前記第1の仮想計算機の識別情報、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記生成された第2の起動認証情報との対応関係を前記第2の起動管理情報に格納する第19のステップと、を含むことを特徴とする請求項2に記載の仮想計算管理方法。 - 前記第1のステップでは、前記第1の仮想化管理部の識別情報を用いて、前記第1の起動認証情報を生成することを特徴とする請求項1に記載の仮想計算機管理方法。
- 第1のステップは、さらに、前記生成された第1の起動認証情報を用いて前記第1の業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域を暗号化するステップを含むことを特徴とする請求項1に記載の仮想計算機管理方法。
- 複数の計算機を備える計算機システムであって、
前記複数の計算機は、第1の計算機を含み、
前記第1の計算機は、第1のプロセッサと、前記第1のプロセッサに接続される第1のメモリと、前記第1のプロセッサに接続される第1のネットワークインタフェースと、前記第1のプロセッサに接続される第1の記憶媒体とを備え、
前記第1のメモリは、
前記計算機が備える計算機資源を分割することによって一以上の仮想計算機を生成し、前記仮想計算機を管理する第1の仮想化管理部を実現するためのプログラムを格納し、
前記第1の仮想管理部のみがアクセス可能な第1の管理記憶領域を含み、
前記第1の記憶媒体は、前記第1の記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、
前記論理記憶領域は、前記仮想計算機上で業務を実行するための業務プログラムを格納し、
前記第1の管理記憶領域は、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第1の起動管理情報を格納し、
前記第1の計算機上では、第1の業務プログラムを実行する第1の仮想計算機が生成され、
前記第1の計算機は、
前記第1の仮想計算機を起動させるための起動認証情報の生成命令を受信した場合、第1の起動認証情報を生成し、
前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域の識別情報と、前記生成された第1の起動認証情報との対応関係を前記第1の起動管理情報に格納し、
前記第1の仮想計算機の識別情報を含む前記第1の仮想計算機の起動要求を受信した場合、前記第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照し、前記第1の仮想計算機に対応する前記第1の起動認証情報が存在するか否かを判定し、
前記第1の仮想計算機に対応する前記第1の起動認証情報が前記第1の起動管理情報に存在すると判定された場合、前記第1の記憶媒体の前記論理記憶領域から前記第1の業務プログラムを読み出し、
前記読み出された第1の業務プログラムを実行することによって前記第1の仮想計算機を起動することを特徴とする計算機システム。 - 前記第1の起動認証情報を生成する場合に、さらに、前記生成された第1の起動認証情報を暗号化し、
前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を前記第1の起動管理情報に格納することを特徴とする請求項8に記載の計算機システム。 - 前記第1の仮想計算機に対応する前記第1の起動認証情報が存在するか否かを判定する場合に、前記第1の仮想計算機に対応する前記暗号化された第1の起動認証情報が存在するか否かを判定し、
前記第1の仮想計算機に対応する前記暗号化された第1の起動認証情報が存在すると判定された場合に、前記暗号化された第1の起動認証情報を復号化できるか否かを判定し、
前記暗号化された第1の起動認証情報を復号化できると判定された場合、前記第1の記憶媒体の前記論理記憶領域から前記第1の業務プログラムを読み出すことを特徴とする請求項9に記載の計算機システム。 - 前記複数の計算機は、第2の計算機を含み、
前記第2の計算機は、第2のプロセッサと、前記第2のプロセッサに接続される第2のメモリと、前記第2のプロセッサに接続される第2のネットワークインタフェースと、前記第2のプロセッサに接続される第2の記憶媒体とを備え、
前記第2のメモリは、
前記仮想計算機を生成し、生成された前記仮想計算機を管理する第2の仮想化管理部を実現するためのプログラムを格納し、
前記第2の仮想管理部のみがアクセスでき、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第2の起動管理情報を格納する第2の管理記憶領域を含み、
前記第2の記憶媒体は、前記第2の記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、
前記第1の計算機は、
前記第1の仮想計算機を前記第2の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記第1の仮想計算機の識別情報を抽出し、
前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照して、前記第1の記憶媒体の前記論理記憶領域から、前記第1の業務プログラムから読み出し、
前記第1の仮想計算機の識別情報、及び、前記読み出された第1の業務プログラムを前記第2の計算機に送信し、
前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報から前記暗号化された第1の起動認証情報を取得し、
前記暗号化された第1の起動認証情報を復号化し、前記復号化された第1の起動認証情報を前記第2の計算機に送信し、
前記第1の起動管理情報から、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を削除し、
前記第2の計算機は、
前記第1の仮想計算機の識別情報、前記第1の業務プログラム、及び、前記復号化された第1の起動認証情報を受信した場合に、前記第1の業務プログラムを前記第2の記憶媒体の前記論理記憶領域に格納し、前記復号化された第1の起動認証情報を暗号化し、
前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を第2の起動管理情報に格納することを特徴とする請求項9に記載の計算機システム。 - 前記複数の計算機は、第2の計算機を含み、
前記第2の計算機は、第2のプロセッサと、前記第2のプロセッサに接続される第2のメモリと、前記第2のプロセッサに接続される第2のネットワークインタフェースと、前記第2のプロセッサに接続される第2の記憶媒体とを備え、
前記第2のメモリは、
前記仮想計算機を生成し、前記生成された仮想計算機を管理する第2の仮想化管理部を実現するためのプログラムを格納し、
前記第2の仮想管理部のみがアクセスでき、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す第2の起動管理情報を格納する第2の管理記憶領域を含み、
前記第1の計算機は、
前記第1の仮想計算機を前記第2の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記第1の仮想計算機の識別情報を抽出し、
前記抽出された第1の仮想計算機の識別情報に基づいて前記第1の起動管理情報を参照して、前記第1の記憶媒体の前記論理記憶領域から、前記第1の業務プログラムを読み出し、
前記第1の仮想計算機の識別情報、及び、前記読み出された第1の業務プログラムを前記第2の計算機に送信し、
前記第1の起動管理情報から、前記第1の仮想計算機の識別情報と、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された第1の起動認証情報との対応関係を削除し、
前記第2の計算機は、
前記第1の仮想計算機の識別情報、及び前記第1の業務プログラムを受信した場合に、前記第1の業務プログラムを前記第2の記憶媒体の前記論理記憶領域に格納し、前記第1の仮想計算機を起動させるための第2の起動認証情報を生成し、
前記第1の仮想計算機の識別情報、前記第1の業務プログラムが格納された前記論理記憶領域の識別情報と、前記生成された第2の起動認証情報との対応関係を前記第2の起動管理情報に格納することを特徴とする請求項9に記載の計算機システム。 - 前記第1の起動認証情報を生成する場合に、前記第1の計算機は、さらに、前記第1の仮想化管理部の識別情報を用いて、前記第1の起動認証情報を生成することを特徴とする請求項8に記載の計算機システム。
- 前記第1の起動認証情報を生成する場合に、前記第1の計算機は、さらに、前記生成された第1の起動認証情報を用いて、前記第1の業務プログラムが格納された前記第1の記憶媒体の前記論理記憶領域を暗号化することを特徴とする請求項8に記載の計算機システム。
- プロセッサと、前記プロセッサに接続されるメモリと、前記プロセッサに接続されるネットワークインタフェースと、前記プロセッサに接続される記憶媒体とを備える計算機であって、
前記メモリは、
前記計算機が備える計算機資源を分割することによって一以上の仮想計算機を生成し、前記仮想計算機を管理する仮想化管理部を実現するためのプログラムを格納し、
前記仮想管理部のみがアクセス可能な管理記憶領域を含み、
前記記憶媒体は、前記記憶媒体の記憶領域を論理的に分割した論理記憶領域を含み、
前記論理記憶領域は、前記仮想計算機上で業務を実行するための業務プログラムを格納し、
前記管理記憶領域は、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記仮想計算機を起動させるための起動認証情報との対応関係を示す起動管理情報を格納し、
前記計算機は、
前記仮想計算機を起動させるための起動認証情報の生成命令を受信した場合、前記起動認証情報を生成し、
前記仮想計算機の識別情報と、前記業務プログラムが格納された前記記憶媒体の前記論理記憶領域の識別情報と、前記生成された起動認証情報との対応関係を前記第1の起動管理情報に格納し、
前記仮想計算機の識別情報を含む前記仮想計算機の起動要求を受信した場合、前記仮想計算機の識別情報に基づいて前記起動管理情報を参照し、前記仮想計算機に対応する前記起動認証情報が存在するか否かを判定し、
前記起動管理情報に、前記仮想計算機に対応する前記起動認証情報が存在すると判定された場合、前記記憶媒体の前記論理記憶領域から前記業務プログラムを読み出し、
前記読み出された業務プログラムを実行することによって前記仮想計算機を起動することを特徴とする計算機。 - 前記起動認証情報を生成する場合に、さらに、前記生成された起動認証情報を暗号化し、
前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された起動認証情報との対応関係を前記起動管理情報に格納することを特徴とする請求項15に記載の計算機。 - 前記仮想計算機に対応する前記起動認証情報が存在するか否かを判定する場合に、前記仮想計算機に対応する前記暗号化された起動認証情報が存在するか否かを判定し、
前記仮想計算機に対応する前記暗号化された起動認証情報が存在すると判定された場合に、前記暗号化された起動認証情報を復号化できるか否かを判定し、
前記暗号化された起動認証情報を復号化できると判定された場合、前記記憶媒体の前記論理記憶領域から前記業務プログラムを読み出すことを特徴とする請求項16に記載の計算機。 - 前記計算機は、
前記仮想計算機を他の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記仮想計算機の識別情報を抽出し、
前記抽出された仮想計算機の識別情報に基づいて前記起動管理情報を参照して、前記記憶媒体の前記論理記憶領域から、前記業務プログラムから読み出し、
前記仮想計算機の識別情報、及び、前記読み出された業務プログラムを移行先の計算機に送信し、
前記抽出された仮想計算機の識別情報に基づいて前記起動管理情報を参照して、前記暗号化された起動認証情報を取得し、
前記暗号化された起動認証情報を復号化し、前記復号化された起動認証情報を前記移行先の計算機に送信し、
前記起動管理情報から、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された起動認証情報との対応関係を削除し、
前記他の計算機から、前記仮想計算機の識別情報、前記業務プログラム、及び、前記復号化された起動認証情報を受信した場合に、前記業務プログラムを前記記憶媒体の前記論理記憶領域に格納し、前記復号化された起動認証情報を暗号化し、
前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された起動認証情報との対応関係を前記起動管理情報に格納することを特徴とする請求項16に記載の計算機。 - 前記計算機は、
前記仮想計算機を他の計算機へ移行させるための移行要求を受信した場合に、前記移行要求に含まれる前記仮想計算機の識別情報を抽出し、
前記抽出された仮想計算機の識別情報に基づいて前記起動管理情報を参照して、前記記憶媒体の前記論理記憶領域から、前記業務プログラムを読み出し、
前記仮想計算機の識別情報、及び、前記読み出された業務プログラムを移行先の計算機に送信し、
前記起動管理情報から、前記仮想計算機の識別情報と、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記暗号化された起動認証情報との対応関係を削除し、
前記他の計算機から、前記仮想計算機の識別情報、及び前記業務プログラムを受信した場合に、前記業務プログラムを前記記憶媒体の前記論理記憶領域に格納し、前記仮想計算機を起動させるための前記起動認証情報を生成し、
前記仮想計算機の識別情報、前記業務プログラムが格納された前記論理記憶領域の識別情報と、前記生成された起動認証情報との対応関係を前記起動管理情報に格納することを特徴とする請求項16に記載の計算機。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2010/072698 WO2012081114A1 (ja) | 2010-12-16 | 2010-12-16 | 仮想計算機管理方法、計算機システム及び計算機 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2012081114A1 true JPWO2012081114A1 (ja) | 2014-05-22 |
JP5524355B2 JP5524355B2 (ja) | 2014-06-18 |
Family
ID=46244241
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012548591A Active JP5524355B2 (ja) | 2010-12-16 | 2010-12-16 | 仮想計算機管理方法、計算機システム及び計算機 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9087181B2 (ja) |
JP (1) | JP5524355B2 (ja) |
WO (1) | WO2012081114A1 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5945512B2 (ja) * | 2013-02-13 | 2016-07-05 | 株式会社日立製作所 | 計算機システム、及び仮想計算機管理方法 |
JP6175679B2 (ja) * | 2013-10-16 | 2017-08-09 | 株式会社 日立産業制御ソリューションズ | 業務管理システム |
US9652631B2 (en) | 2014-05-05 | 2017-05-16 | Microsoft Technology Licensing, Llc | Secure transport of encrypted virtual machines with continuous owner access |
WO2017129659A1 (en) * | 2016-01-29 | 2017-08-03 | British Telecommunications Public Limited Company | Disk encryption |
US10990690B2 (en) | 2016-01-29 | 2021-04-27 | British Telecommunications Public Limited Company | Disk encryption |
EP3408778B1 (en) | 2016-01-29 | 2020-08-19 | British Telecommunications public limited company | Disk encryption |
CN111708606A (zh) * | 2020-06-16 | 2020-09-25 | 杨海朝 | 一种虚拟计算机存储服务系统及其使用方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6915375B2 (en) | 1998-08-31 | 2005-07-05 | Sony Corporation | Memory apparatus and a data-processing apparatus, and method for using the memory apparatus |
JP2003005859A (ja) * | 2001-04-16 | 2003-01-08 | Yuichi Sumiya | プログラムやデータの管理方法とコンピュータ |
CN101953112A (zh) * | 2008-02-25 | 2011-01-19 | 松下电器产业株式会社 | 信息安全装置及信息安全系统 |
JP5149732B2 (ja) | 2008-07-30 | 2013-02-20 | 株式会社日立製作所 | 仮想計算機システム |
US8621460B2 (en) * | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
-
2010
- 2010-12-16 US US13/993,094 patent/US9087181B2/en not_active Expired - Fee Related
- 2010-12-16 WO PCT/JP2010/072698 patent/WO2012081114A1/ja active Application Filing
- 2010-12-16 JP JP2012548591A patent/JP5524355B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20130283367A1 (en) | 2013-10-24 |
US9087181B2 (en) | 2015-07-21 |
WO2012081114A1 (ja) | 2012-06-21 |
JP5524355B2 (ja) | 2014-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11200327B1 (en) | Protecting virtual machine data in cloud environments | |
EP3376378B1 (en) | Container license management method, and apparatus | |
US20190238323A1 (en) | Key managers for distributed computing systems using key sharing techniques | |
US10409990B2 (en) | Encryption and decryption method and apparatus in virtualization system, and system | |
JP5524355B2 (ja) | 仮想計算機管理方法、計算機システム及び計算機 | |
US10841089B2 (en) | Key managers for distributed computing systems | |
EP3120291B1 (en) | Rapid data protection for storage devices | |
US10262130B2 (en) | System and method for providing cryptographic operation service in virtualization environment | |
US8621196B2 (en) | Booting from an encrypted ISO image | |
WO2019020034A1 (zh) | 虚拟机密码重置方法、装置和系统 | |
US8745371B2 (en) | Unified network architecture having storage devices with secure boot devices | |
US20130173903A1 (en) | Unified network architecture having storage devices with secure boot devices | |
KR20130107298A (ko) | 가상 머신을 이용한 공유 데이터 관리 | |
US9582676B2 (en) | Adding or replacing disks with re-key processing | |
US20230379158A1 (en) | Snapshot transfer for cloud-based storage across accounts | |
JP2013131158A (ja) | 自動仮想化プログラム、自動仮想化方法及び情報処理装置 | |
CN112416526B (zh) | 一种直接存储访问方法、装置及相关设备 | |
US20130173906A1 (en) | Cloning storage devices through secure communications links | |
JP4738175B2 (ja) | サーバ装置、サーバ融通方法およびサーバ融通プログラム | |
NZ627032B2 (en) | Secure data communications with network back end devices | |
WO2013103555A1 (en) | Providing cluster storage with fibre channel over ethernet and multipath input/output |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140409 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5524355 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |