WO2013132909A1

WO2013132909A1 - ホスト提供システム及び通信制御方法

Info

Publication number: WO2013132909A1
Application number: PCT/JP2013/051429
Authority: WO
Inventors: 五十嵐　健; 真菜金子; 佐々木　誠; 識今井
Original assignee: 株式会社エヌ・ティ・ティ・ドコモ
Priority date: 2012-03-07
Filing date: 2013-01-24
Publication date: 2013-09-12
Also published as: JP5466723B2; EP2824872A1; JP2013187707A; EP2824872B1; US20150026780A1; EP2824872A4; US9584481B2

Abstract

　ホスト提供システムは、物理インスタンス７１からの通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定し、判定結果に基づき通信データを制御する物理ホストネットワークスイッチを含む。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。

Description

ホスト提供システム及び通信制御方法

　本発明は、ホスト提供システム及び通信制御方法に関する。

　近年において、情報システムの構築及び稼働に必要なリソースを、インターネットを介して提供するサービスが行われている。このようなサービスは、例えば、Ｉａａｓ（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ　ａｓ　ａ　Ｓｅｒｖｉｃｅ）と称される。１台の物理サーバに複数の仮想インスタンスを構成し、仮想インスタンスを仮想ホストコンピュータとしてユーザに提供する技術が知られている（例えば、非特許文献１参照）。この技術では、ユーザからの要求に応じた性能を有する仮想インスタンスを選択、起動及び管理するための機能が、物理サーバごとに設けられている。また、この技術では、仮想インスタンス間のデータ通信を制御する制御機能が物理サーバに設けられる。この制御機能は、互いに異なるユーザに提供された仮想インスタンス間のデータ通信を遮断したり、他のユーザに提供された仮想インスタンスに割り当てられたストレージへのアクセスを遮断したりする。なお、インスタンスは、例えば、ＣＰＵ、メモリ及びストレージといったリソースのまとまりを称するものである。

"ｏｐｅｎ　ｓｔａｃｋ"、［ｏｎｌｉｎｅ］、［２０１２年２月１７日検索］、インターネット＜URL: http://openstack.org/＞

　上述した技術において扱うことができるインスタンスは、仮想インスタンスのみである。仮想インスタンスでは、インスタンスを仮想化して構成したことに起因するオーバーヘッドが発生する。ユーザにより使用されるアプリケーションの種類によっては、このオーバーヘッドに起因した性能劣化が生じる。このため、仮想インスタンスでは性能劣化を生じてしまうようなアプリケーションをＩａａｓといったサービスにおいて稼働させるために、物理インスタンスの提供に関する要請があった。物理インスタンスは、一の物理サーバに単独で構成されるインスタンスである。物理インスタンスは、インスタンス間の通信のためのネットワークに直接に接続されるので、物理インスタンスからの通信を適切な管理及び制御が実施されない場合には、悪意ある物理インスタンスのユーザは、当該物理インスタンス及びネットワークを介して、他のユーザの物理インスタンスや、その物理インスタンスに割り当てられたストレージに対してアクセスすることができてしまい、セキュリティが担保されない。従って、物理インスタンス間の通信及びストレージへのアクセスを適切に制御することによりセキュリティを担保するための技術が求められていた。

　そこで、本発明は、上記問題点に鑑みてなされたものであり、ネットワークを介して一の物理サーバに単独で構成される物理インスタンスを提供するシステムにおいて、物理インスタンスからの通信を適切に制御することによりセキュリティを担保可能なホスト提供システム及び通信制御方法を提供することを目的とする。

　上記課題を解決するために、本発明の一形態に係るホスト提供システムは、ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第１のネットワークを介して利用可能に提供し、第２のネットワークを介して互いに通信可能な複数の物理サーバを含み、物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムであって、一の物理インスタンスから、他のインスタンスを送信先とする通信データを第２のネットワークを介して受け付ける通信データ受付手段と、通信データ受付手段により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定手段と、判定手段により通信許可判定された場合には、送信先に対する通信を許可すると共に送信先に通信データを送出し、通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しない、通信データ制御手段と、を備える。

　また、上記課題を解決するために、本発明の一形態に係る通信制御方法は、ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第１のネットワークを介して利用可能に提供し、第２のネットワークを介して互いに通信可能な複数の物理サーバを含み、物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムにおける、インスタンス間の通信を制御する通信制御方法であって、一の物理インスタンスから、他のインスタンスを送信先とする通信データを第２のネットワークを介して受け付ける通信データ受付ステップと、通信データ受付ステップにおいて受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定ステップと、判定ステップにおいて通信許可判定された場合には、送信先に対する通信を許可すると共に送信先に通信データを送出し、通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しない、通信データ制御ステップと、を有する。

　上記形態によれば、物理インスタンスからの通信データに含まれる送信元を示す情報及び送信先を示す情報に対応付けられるユーザを示す情報が一致するか否かにより通信可否が判定され、判定結果に基づき通信データが制御される。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。

　別の形態に係るホスト提供システムでは、判定手段は、送信元又は送信先を示す情報に、当該通信データを受け付けるポートのポート識別情報及びユーザのユーザ識別情報が対応付けられたテーブルを参照し、送信元を示す情報に対応付けられたポートの識別情報を第１のポート識別情報として抽出し、該第１のポート識別情報に対応付けられたユーザ識別情報を第１のユーザ識別情報として抽出し、送信先を示す情報に対応付けられたポートの識別情報を第２のポート識別情報として抽出し、該第２のポート識別情報に対応付けられたユーザ識別情報を第２のユーザ識別情報として抽出し、第１のユーザ識別情報と第２のユーザ識別情報とが一致するか否かにより通信可否を判定してもよい。

　上記形態によれば、受け付けられた通信データが同一ユーザの物理インスタンス間の通信データであるか否かが適切に判定される。

　さらに別の形態に係るホスト提供システムでは、判定手段は、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定してもよい。

　さらに別の形態に係る通信制御方法では、判定ステップは、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定してもよい。

　上記形態によれば、物理インスタンスからの通信データに含まれる送信元を示す情報及び送信先を示す情報のうちの少なくとも一つが所定の認証ルールに適合するか否かが判定され、判定結果に基づき通信データが制御される。通信の許可に必要な条件を認証ルールとして設定できるので、通信を許可すべき通信データのみが通信を許可され通信先に送出され、通信を許可すべきでない通信データは、通信先に送出されない。これにより、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。

　さらに別の形態に係るホスト提供システムでは、複数の仮想インスタンスを仮想的に構成可能であって該仮想インスタンスを仮想ホストとして第１のネットワークを介してユーザ端末に提供可能であって、第２のネットワークを介して他のサーバと通信可能な仮想インスタンス用サーバを１以上含み、通信データ制御部は、第２のネットワークにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別する仮想ネットワーク識別子を通信データに付加してもよい。

　上記形態によれば、当該システムが複数の仮想インスタンスが構成されたサーバを含む場合において、一のユーザのための仮想的に構成された仮想ネットワークを識別する仮想ネットワーク識別子が物理インスタンスからの通信データに付加されるので、物理インスタンスから仮想インスタンスへの通信を当該システムにおいて適切に制御できる。

　さらに別の形態に係るホスト提供システムは、各インスタンスに対応付けられた複数のストレージからなり、第２のネットワークを介してアクセス可能なストレージ群と、インスタンスからストレージに対するアクセスであって、インスタンスを識別するＩＰアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付手段と、ストレージ識別子に、当該ストレージを割り当てられたインスタンスのＩＰアドレスを対応付けて記憶しているストレージ属性記憶手段と、アクセス受付手段により受け付けられたアクセスに含まれるＩＰアドレスが、ストレージ属性記憶手段においてアクセスの対象のストレージのストレージ識別子に対応付けられたＩＰアドレスに該当するか否かを判定するアクセス可否判定手段と、アクセス可否判定手段により、アクセスに含まれるＩＰアドレスが、ストレージ識別子に対応付けられたＩＰアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを該ストレージに送出し、アクセスに含まれるＩＰアドレスが、ストレージ識別子に対応付けられたＩＰアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御手段と、を更に含むこととしてもよい。

　さらに別の形態に係る通信制御方法では、ホスト提供システムは、各インスタンスに対応付けられた複数のストレージからなり、第２のネットワークを介してアクセス可能なストレージ群と、ストレージを識別するストレージ識別子に、当該ストレージを割り当てられたインスタンスのＩＰアドレスを対応付けて記憶しているストレージ属性記憶手段と、を含み、当該通信制御方法は、インスタンスからストレージに対するアクセスであって、インスタンスを識別するＩＰアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付ステップと、アクセス受付ステップにおいて受け付けられたアクセスに含まれるＩＰアドレスが、ストレージ属性記憶手段においてアクセスの対象のストレージのストレージ識別子に対応付けられたＩＰアドレスに該当するか否かを判定するアクセス可否判定ステップと、アクセス可否判定ステップにおいて、アクセスに含まれるＩＰアドレスが、ストレージ識別子に対応付けられたＩＰアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを該ストレージに送出し、アクセスに含まれるＩＰアドレスが、ストレージ識別子に対応付けられたＩＰアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御ステップと、を更に有することとしてもよい。

　上記形態によれば、物理インスタンスからストレージへのアクセスに含まれるＩＰアドレスが、当該ストレージを割り当てられた物理インスタンスのＩＰアドレスに該当する場合にのみアクセスが許可され、それ以外の場合にはアクセスが許可されない。これにより、当該ストレージを割り当てられた物理インスタンス以外のインスタンスからのアクセスが防止されるので、ストレージにおけるセキュリティが適切に担保される。

　さらに別の形態に係るホスト提供システムでは、認証ルールのうちの第１の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がＤＨＣＰプロトコルにおけるサーバを示す番号であって、送信先のポート番号がＤＨＣＰプロトコルにおけるクライアントを示す番号であること、であって、判定手段は、通信データが第１の認証ルールに該当する場合に、該通信データの通信を不可と判定することとしてもよい。

　上記形態によれば、通信データの送信元となる物理ホストがＤＨＣＰサーバになりすますことが適切に防止される。

　さらに別の形態に係るホスト提供システムでは、認証ルールのうちの第２の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がＤＨＣＰプロトコルにおけるクライアントを示す番号であって、送信先のポート番号がＤＨＣＰプロトコルにおけるサーバを示す番号であること、であって、判定手段は、通信データが第２の認証ルールに該当する場合に、該通信データの通信許可判定することとしてもよい。

　上記形態によれば、通信データの送信元となる物理インスタンスがＤＨＣＰサーバにＩＰアドレスを要求することが許可される。

　さらに別の形態に係るホスト提供システムでは、認証ルールのうちの第３の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のＭＡＣアドレス及び送信元のＩＰアドレスがそれぞれ、通信データを受け付けたポートに接続された物理インスタンスのＭＡＣアドレス及びＩＰアドレスに該当すること、であって、判定手段は、通信データが第３の認証ルールに該当する場合に、該通信データの通信許可判定することとしてもよい。

　この形態では、通信データを受け付けたポートに接続された物理インスタンスから他のインスタンスへの通信において、送信元の物理インスタンスの正当性が適切に判定される。従って、例えば、偽装された送信元ＩＰアドレスによる通信が防止される。

　本発明の一側面によれば、ネットワークを介して一の物理サーバに単独で構成される物理インスタンスを提供するシステムにおいて、物理インスタンスからの通信を適切に制御することによりセキュリティを担保することが可能となる。

ホスト提供システムの全体構成を示すブロック図である。管理用ネットワークを介して互いに接続された複数の第１のサーバ７を模式的に示す図である。物理ホストネットワークスイッチの機能的構成を示すブロック図である。認証ルールの生成に用いられる物理インスタンス情報テーブルを模式的に示す図である。ＶＬＡＮ情報テーブルを模式的に示す図である。認証ルール記憶部の構成及び記憶されているデータの例を模式的に示す図である。物理ホストネットワークスイッチのハードウエア構成図である。通信制御方法におけるホスト提供システムの処理内容を示すフローチャートである。通信制御方法におけるホスト提供システムの処理内容を示すフローチャートである。管理用ネットワークにおける物理インスタンスとネットワークストレージ群との接続関係を示す図である。ストレージアクセス管理部の機能的構成を示すブロック図である。ストレージ属性記憶部の構成及び記憶されているデータの例を示す図である。ホスト提供システムにおけるストレージに対するアクセスの制御方法において実施される処理内容を示すフローチャートである。

　本発明に係るホスト提供システム及び通信制御方法の実施形態について図面を参照して説明する。なお、可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。

　図１は、ホスト提供システム１の全体構成を示すブロック図である。ホスト提供システム１は、ユーザ端末Ｔ_Ｕからの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末Ｔ_ＵにパブリックネットワークＮ_Ｐ（第１のネットワーク）を介して利用可能に提供するシステムである。また、ホスト提供システム１は、管理用ネットワークＮ_Ｃ（第２のネットワーク）を介して互いに通信可能な複数の第１のサーバ（物理サーバ）を含み、第１のサーバに単独で物理的に構成される物理インスタンスを物理ホストとしてユーザ端末Ｔ_Ｕに提供できる。

　ホスト提供システム１は、リクエスト受付ノード２、ホスト選択ノード３、ホスト情報集約ノード４、物理ホスト管理ノード５、ＮＷストレージ群６、第１のサーバ７及び第２のサーバ８（仮想インスタンス用サーバ）を備える。これらのノードおよびサーバは、管理用ネットワークＮ_Ｃを介して互いに通信可能である。

　管理用ネットワークＮ_Ｃには保守者端末Ｔ_Ｓが通信可能に接続されており、システムの保守者は、保守者端末Ｔ_Ｓを介して各種ノード及びサーバにアクセスすることにより、システムの保守及び管理を実施できる。

　また、第１のサーバ７及び第２のサーバ８は、パブリックネットワークＮ_Ｐに通信可能に接続されている。パブリックネットワークＮ_Ｐには、ユーザ端末Ｔ_Ｕが通信可能に接続されており、インスタンス使用者であるユーザは、ユーザ端末Ｔ_Ｕを介して第１のサーバ７及び第２のサーバ８に構成されたインスタンスにアクセスできる。これにより、ユーザ端末Ｔ_Ｕは、インスタンスをホストコンピュータとして利用できる。

　各種ノードの説明に先立って、第１のサーバ７及び第２のサーバ８並びにＮＷストレージ群６を説明する。第１のサーバ７は、当該第１のサーバ７に単独で物理インスタンス７１を構成するための物理サーバである。一の第１のサーバ７は、一の物理インスタンス７１を物理ホストとしてユーザ端末Ｔ_Ｕに提供できる。物理インスタンス７１は、ハードウエア７２、ＯＳ７３、ミドルウエア７４、アプリケーション７５を含んで構成される。

　第２のサーバ８は、複数の仮想インスタンス８５を当該第２のサーバ８に仮想的に構成する物理サーバであって、複数の仮想インスタンス８５を仮想ホストとしてユーザ端末Ｔ_Ｕに提供できる。仮想インスタンス８５は、ＯＳ８６，ミドルウエア８７、アプリケーション８８を含んで構成される。第２のサーバ８は、仮想ホスト管理ノード８１、ハードウエア８２、ホストＯＳ８３及びハイパーバイザ８４をさらに含む。

　仮想ホスト管理ノード８１は、複数の仮想ホストを管理するノードであって、仮想ホストの使用状態を示す情報を含む仮想ホスト情報をホスト情報集約ノード４に記憶させる。また、仮想ホスト管理ノード８１は、ホスト選択ノード３からインスタンス起動要求を取得すると、ハイパーバイザ８４に複数の仮想インスタンス８５のいずれかを仮想ホストとして起動させる。ハイパーバイザ８４は、仮想ホストとして提供するための仮想インスタンス８５の選択、管理及び起動等を行う機能部である。また、ハイパーバイザ８４は、互いに異なるユーザに提供された仮想インスタンス８５間のデータ通信を遮断したり、他のユーザに提供された仮想インスタンスに割り当てられたストレージへのアクセスを遮断したりする。

　ＮＷストレージ群６は、ユーザ端末Ｔ_Ｕに対してホストと共に提供される記憶装置の集合であって、物理ホスト７１及び仮想ホスト８５によりデータのリード及びライトのためにアクセスされる。

　なお、図１では、各種ノード２～５の各々は、管理用ネットワークＮ_Ｃに分散してそれぞれ単独の装置として構成されているが、複数のノードが１の装置にまとめて構成されることとしてもよい。また、図１では、２つの第１のサーバ７が一の物理ホスト管理ノード５に管理される態様で示されているが、第１のサーバ７の数及びそれを管理する物理ホスト管理ノード５の数は、図１に示した数に限定されず任意である。

　リクエスト受付ノード２は、ユーザ端末Ｔ_Ｕからのインスタンス起動要求をユーザ端末Ｔ_Ｕから受け付け、受け付けられたインスタンス起動要求をホスト選択ノード３に送出するノードである。インスタンス起動要求は、当該起動要求に係るインスタンスが仮想インスタンス及び物理インスタンスのいずれであるかを示すインスタンス種別情報、並びにＣＰＵ数、メモリ容量及びディスク容量といった、インスタンスに対して要求されるハードウエアの性能を示す要求性能情報を含む。

　ホスト選択ノード３は、リクエスト受付ノード２から取得したインスタンス起動要求に含まれるインスタンス種別情報及び要求性能情報に応じて、ホストとして提供するインスタンス７１，８５の選択及び選択したインスタンスを管理するホスト管理ノード５，８１を選択する。そして、ホスト選択ノード３は、選択したインスタンス７１，８５をホストコンピュータとして起動するための起動リクエストをホスト管理ノード５，８１に送出する。

　ホスト情報集約ノード４は、ホストの状態に関するホスト情報を受信し、受信したホスト情報を所定の記憶手段に記憶させる。ホスト情報は、物理ホスト管理ノード５からの物理ホスト情報及び仮想ホスト管理ノード８１からの仮想ホスト情報を含み、ホストの使用状態を示す使用状態情報、インスタンスの種別、ホストが使用中であるか否かを示す情報、ホストの性能を示すスペックに関する情報を含むことができる。

　物理ホスト管理ノード５は、制御下の物理ホスト（物理インスタンス７１）の状態を示すホスト情報をホスト情報集約ノード４に通知する。また、物理ホスト管理ノード５は、ホスト選択ノード３から送出されたインスタンス起動要求に基づき、ホスト選択ノード３により選択された物理ホスト（物理インスタンス７）を起動する。

　次に、図２を参照して、物理インスタンスからの通信を制御するための機能部について説明する。図２は、管理用ネットワークＮ_Ｃを介して互いに接続された複数の第１のサーバ７を模式的に示す図である。図２に示すように、管理用ネットワークＮ_Ｃは、物理ホストネットワークスイッチ９（第２のネットワーク）を含む。図２に示す例では、３台の第１のサーバ７_Ａ１，７_Ａ２，７_Ｂが物理ホストネットワークスイッチ９を介して管理用ネットワークＮ_Ｃに接続されている。

　第１のサーバ７_Ａ１は、ユーザＡのユーザ端末Ｔ_ＵＡに物理インスタンス７１_Ａ１を物理ホストとして提供しており、物理ホストネットワークスイッチ９のポート＃Ｐｏｒｔ１００１に接続されている。物理インスタンス７１_Ａ１は、ＩＰアドレス「ＩＰ－Ａ１」及びＭＡＣアドレス「ＭＡＣ－Ａ１」を有する。

　第１のサーバ７_Ａ２は、ユーザＡのユーザ端末Ｔ_ＵＡに物理インスタンス７１_Ａ２を物理ホストとして提供しており、物理ホストネットワークスイッチ９のポート＃Ｐｏｒｔ１００２に接続されている。物理インスタンス７１_Ａ２は、ＩＰアドレス「ＩＰ－Ａ２」及びＭＡＣアドレス「ＭＡＣ－Ａ２」を有する。

　第１のサーバ７_Ｂは、ユーザＢのユーザ端末Ｔ_ＵＢに物理インスタンス７１_Ｂを物理ホストとして提供しており、物理ホストネットワークスイッチ９のポート＃Ｐｏｒｔ１００３に接続されている。物理インスタンス７１_Ｂは、ＩＰアドレス「ＩＰ－Ｂ１」及びＭＡＣアドレス「ＭＡＣ－Ｂ１」を有する。

　なお、図２では、物理ホストネットワークスイッチ９は１台の装置として示されているが、図２において破線で示すように、ポートごとに設けられた３台のネットワークスイッチとして構成されてもよい。

　図３は、物理ホストネットワークスイッチ９の機能的構成を示すブロック図である。図３に示すように、物理ホストネットワークスイッチ９は、通信データ受付部９１（通信データ受付手段）、認証ルール記憶部９２、判定部９３（判定手段）及び通信データ制御部９４（通信データ制御手段）を備える。

　通信データ受付部９１は、一の物理インスタンス７１から、他のインスタンスを送信先とする通信データを、管理用ネットワークＮ_Ｃを介して受け付ける部分である。通信データは、当該通信データの送信元を示すＭＡＣアドレス及びＩＰアドレス並びに送信先を示すＩＰアドレスのうちの少なくとも一つを含む。通信データ受付部９１は、受け付けた通信データを判定部９３に送出する。

　認証ルール記憶部９２は、通信を許可すべき通信データに関する認証ルールを記憶している部分である。図４は、認証ルールの生成に用いられる物理インスタンス情報テーブルを模式的に示す図である。物理インスタンス情報テーブルは、物理インスタンスに関する各種情報を記憶しており、例えば、図１に示される物理ホスト管理ノード５に備えられる。また、物理インスタンス情報テーブルは、その他いずれかのノード２，３，４又は図示されないその他のノードに備えられることとしてもよい。なお、物理インスタンス情報テーブルは、判定部９３における判定処理においても直接に参照される。

　図４に示すように、物理インスタンス情報テーブルは、物理インスタンス７１を識別するインスタンスＩＤに対応付けて、インターフェースＩＤ、データパスＩＤ、ポートＩＤ（ポート識別情報）、当該物理インスタンスが提供されるユーザ端末Ｔ_ＵのユーザＩＤ、ＩＰアドレス及びＭＡＣアドレスを記憶している。インターフェースＩＤは、物理インスタンスに固有のＩＤである。データパスＩＤは、当該物理インスタンスが構成される物理サーバが接続されているスイッチのＩＤである。ポートＩＤは、スイッチのポートＩＤである。物理インスタンス情報テーブルの各レコードは、例えば、物理ホスト管理ノード５により、物理ホストとしてユーザ端末Ｔ_Ｕに提供するために当該物理インスタンス７１が起動されたときに設定されてもよい。物理インスタンス情報テーブルに記憶されたデータは、認証ルール記憶部９２における認証ルールの設定に用いられることができる。

　図５は、物理インスタンス情報テーブルに併せて物理ホスト管理ノード５又はその他のいずれかのノードに記憶されているＶＬＡＮ情報テーブルである。ＶＬＡＮ情報テーブルは、ユーザＩＤに対応付けてＶＬＡＮＩＤ（仮想ネットワーク識別子）を記憶している。

　ＶＬＡＮ　ＩＤは、物理的には一のネットワークである管理用ネットワークＮ_Ｃにおいて、ユーザごとに論理的に分離されたネットワークを仮想的に構成するために、仮想ネットワークを識別する識別子である。ユーザごとに割り当てられたＶＬＡＮ　ＩＤが通信データに付されることにより、その通信データは、当該ユーザに固有に構成された仮想ネットワーク内において通信されるように振る舞う。

　図６は、認証ルール記憶部９２の構成及び記憶されているデータの例を模式的に示す図である。図６に示すように、認証ルール記憶部９２は、通信データを受け付けるポートのポートＩＤごとに、当該ポートに接続された物理インスタンス７１を提供されたユーザ端末Ｔ_Ｕのユーザ、認証ルール及び通信データが当該認証ルールに該当した場合の処理内容を対応付けて記憶している。

　認証ルールは、参照順位が付されて記憶されている。後述する判定部９３は、上位に設定された認証ルールから順に参照しながら、通信データの通信可否を判定する。なお、認証ルールに基づく具体的な判定処理については後述する。

　第２のサーバ８（仮想インスタンス用サーバ）において複数の仮想インスタンスのみを扱う従来のシステムでは、ハイパーバイザ８４がデータ送信時においてユーザごとに割り当てられたＶＬＡＮＩＤを通信データに付すことにより、仮想インスタンス８５間のデータ通信を管理していた。本実施形態では、物理インスタンス７１からの通信データにＶＬＡＮ　ＩＤを付加することにより、物理インスタンス７１と仮想インスタンス８５との間のデータ通信が可能となる。なお、このように、論理的に複数に分離された仮想ネットワークを一の物理ネットワークに構成する方式は、いわゆるタグＶＬＡＭ方式と称される。

　判定部９３は、通信データ受付部９１により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する部分である。具体的には、判定部９３は、送信元又は送信先を示す情報（ＩＰアドレス、ＭＡＣアドレス）に当該通信データを受け付けるポートのポートＩＤ及びユーザＩＤが対応付けられた物理インスタンス情報テーブルを参照し、送信元を示す情報に対応付けられたポートＩＤを第１のポートＩＤとして抽出し、第１のポートＩＤに対応付けられたユーザＩＤを第１のユーザＩＤとして抽出し、送信先を示す情報に対応付けられたポートＩＤを第２のポートＩＤとして抽出し、第２のポートＩＤに対応付けられたユーザＩＤを第２のユーザＩＤとして抽出し、第１のユーザＩＤと第２のユーザＩＤとが一致するか否かにより通信可否を判定する。なお、ポートＩＤ同士のユーザ認証は仮想・物理間でも同様に行われることとする。

　また、判定部９３は、当該ポートに接続された物理インスタンスからのデータ送信時において、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定する。判定方法としては、通信データの送信元及び送信先を示す情報等を認証ルールの優先度「１００４０」から降順に照会する。ルールと合致した場合はルールに対する処理が実行される。ルールと合致しない場合は次の優先度の認証ルールとの照会を行う。

　通信データ制御部９４は、判定部９３により通信データに対して通信許可判定された場合には、当該通信データの送信先に対する通信を許可すると共に通信先に通信データを送出する部分である。例えば、ポート９_Ａ１において、物理インスタンス７１_Ａ１から物理インスタンス７１_Ａ２への通信データが通信許可判定された場合には、ポート９_Ａ１において受信した通信データをポート９_Ａ２を介して物理インスタンス７１_Ａ２に送出する。一方、通信データ制御部９４は、判定部９３により通信データが通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しないよう制御を実施する。

　続いて、図２、図４及び図６を参照しながら判定部９３及び通信データ制御部９４における処理の例を具体的に説明する。

　まず、第１の例を説明する。第１の例では、物理インスタンス７１_Ａ１から物理インスタンス７１_Ａ２への通信が行われる。まず、物理インスタンス７１_Ａ１からの通信データが通信データ受付部９１により受け付けられると、ポート９_Ａ１（ポートＩＤ：＃Ｐｏｒｔ１００１）における判定部９３は、通信データから、送信元のＭＡＣアドレス「ＭＡＣ－Ａ１」及びＩＰアドレス「ＩＰ－Ａ１」並びに送信先のＭＡＣアドレス「ＭＡＣ－Ａ２」及びＩＰアドレス「ＩＰ－Ａ２」を抽出する。続いて、判定部９３は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００１」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出し、送信先のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００２」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出する。そして、抽出した両ユーザＩＤが一致するので、判定部９３は、当該通信データに対して通信許可判定をする。

　次に、判定部９３は、認証ルール記憶部９２においてポートＩＤ：＃Ｐｏｒｔ１００１に対応付けて設定された認証ルールを優先度「１００４０」から降順に参照する。そして、通信データから抽出したＭＡＣアドレス及びＩＰアドレスが、参照した認証ルール「１００２０」の「送信元ＭＡＣアドレス：ＭＡＣ－Ａ１且つ送信元ＩＰアドレス：ＩＰ－Ａ１」に合致するので、判定部９３は、当該通信データに係る通信は認証ルールに該当すると判定する。そして、通信データ制御部９４は、当該通信データの物理インスタンス７１_Ａ２への通信を許可し、当該通信データを、ポート９_Ａ２（ポートＩＤ：＃Ｐｏｒｔ１００２）に送出する。

　次に、ポート９_Ａ２（ポートＩＤ：＃Ｐｏｒｔ１００２）における通信データ受付部９１において通信データを受け付けると、判定部９３は、通信データから、送信元のＭＡＣアドレス「ＭＡＣ－Ａ１」及びＩＰアドレス「ＩＰ－Ａ１」並びに送信先のＭＡＣアドレス「ＭＡＣ－Ａ２」及びＩＰアドレス「ＩＰ－Ａ２」を抽出し、物理インスタンス情報テーブルにおいて送信元のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００１」及びこのポートＩＤに対応付けられたユーザＩＤ「Ａ」並びに送信先のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００２」及びこのポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出する。そして、抽出した両ユーザＩＤの一致により、判定部９３は、当該通信データに対して物理インスタンス７１_Ａ２への通信許可判定をする。

　かかる判定では、送信元及び送信先の物理インスタンス７１のユーザが一致する場合にのみ通信データが許可され、かつ送信元のアドレスに対する判定により送信元の正当性が適切に判定される。従って、例えば、偽装された送信元ＩＰアドレスによる通信が防止される。

　次に、第２の例を説明する。第２の例では、物理インスタンス７１_Ｂから物理インスタンス７１_Ａ１への通信が試みられる。まず、物理インスタンス７１_Ｂからの通信データが通信データ受付部９１により受け付けられると、ポート９_Ｂ（ポートＩＤ：＃Ｐｏｒｔ１００３）における判定部９３は、通信データから、送信元のＭＡＣアドレス「ＭＡＣ－Ｂ１」及びＩＰアドレス「ＩＰ－Ｂ１」並びに送信先のＭＡＣアドレス「ＭＡＣ－Ａ１」及びＩＰアドレス「ＩＰ－Ａ１」を抽出する。続いて、判定部９３は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００３」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ｂ」を抽出し、送信先のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００１」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出する。そして、抽出した両ユーザＩＤが相違するので、判定部９３は、当該通信データに対して通信許可判定をしない。そして、通信データ制御部９４は、当該通信データの物理インスタンス７１_Ａ１への通信を許可せずに、当該通信データを、ポート９_Ａ１（ポートＩＤ：＃Ｐｏｒｔ１００１）に送出しない。かかる判定では、通信データを受け付けたポートに接続された物理インスタンス７１から他のインスタンスへの通信において、当該物理インスタンスを提供されたユーザが提供された他のインスタンスへの通信のみが許可されることとなる。従って、当該物理インスタンスを提供されたユーザ以外の他のユーザに割り当てられたインスタンスに対する通信が防止される。

　次に、第３の例を説明する。第３の例では、物理インスタンス７１_Ｂから物理インスタンス７１_Ａ１への通信が試みられる。さらに、この通信では、ユーザＢが、ユーザＡの物理インスタンス７１_Ａ２のＩＰアドレス及びＭＡＣアドレスを偽装しているものとする。この場合には、まず、物理インスタンス７１_Ｂからの通信データが通信データ受付部９１により受け付けられると、ポート９_Ｂ（ポートＩＤ：＃Ｐｏｒｔ１００３）における判定部９３は、通信データから、偽装された送信元のＭＡＣアドレス「ＭＡＣ－Ａ２」及びＩＰアドレス「ＩＰ－Ａ２」並びに送信先のＭＡＣアドレス「ＭＡＣ－Ａ１」及びＩＰアドレス「ＩＰ－Ａ１」を抽出する。続いて、判定部９３は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００２」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出し、送信先のアドレスに対応付けられたポートＩＤ「Ｐｏｒｔ_１００１」を抽出し、このポートＩＤに対応付けられたユーザＩＤ「Ａ」を抽出する。そして、抽出した両ユーザＩＤが一致するので、判定部９３は、当該通信データに対して通信許可判定をする。

　次に、判定部９３は、認証ルール記憶部９２においてポートＩＤ：＃Ｐｏｒｔ１００３に対応付けて設定された認証ルールを優先度「１００４０」から降順に参照する。そして、当該通信データは、優先度「１００４０」及び「１００３０」のルールに該当せず、さらに、通信データから抽出したＭＡＣアドレス及びＩＰアドレスが、優先度「１００２０」の認証ルール「送信元ＭＡＣアドレス：ＭＡＣ－Ｂ１且つ送信元ＩＰアドレス：ＩＰ－Ｂ１」にも該当しないので、最も優先度の低い優先度「１００１０」の通信不許可が適用され、判定部９３は、当該通信データの通信に対して許可判定をしない。そして、通信データ制御部９４は、当該通信データの物理インスタンス７１_Ａ１への通信を許可せずに、当該通信データを、ポート９_Ａ１（ポートＩＤ：＃Ｐｏｒｔ１００１）に送出しない。かかる判定では、ＩＰアドレスやＭＡＣアドレスを偽装したなりすましによる通信が適切に防止される。

　次に、第４の例を説明する。第４の例では、物理インスタンス７１_Ａ１からＤＨＣＰサーバに対して、ＩＰアドレスの払い出し要求が行われる。この場合には、まず、物理インスタンス７１_Ａ１からの通信データが通信データ受付部９１により受け付けられると、第１の例と同様に、判定部９３は、当該通信データに対して通信許可判定をする。

　次に、判定部９３は、認証ルール記憶部９２においてポートＩＤ：＃Ｐｏｒｔ１００１に対応付けて設定された認証ルールを優先度「１００４０」から降順に参照する。そして、当該通信データは、優先度「１００４０」のルールに該当せず、優先度「１００３０」の認証ルール「送信元Ｌ４ポート番号６８且つ送信先Ｌ４ポート番号６７」に該当するので、判定部９３は、当該通信データの通信許可判定をする。なお、送信元Ｌ４ポート番号の「６８」は、ＤＨＣＰプロトコルにおけるクライアントであり、送信元Ｌ４ポート番号の「６７」は、ＤＨＣＰプロトコルにおけるサーバである。これにより、物理インスタンス７１_Ａ１は、ＩＰアドレスの払い出し要求を実施できる。

　ここで、送信元の物理インスタンスがＤＨＣＰサーバになりすますために、「送信元Ｌ４ポート番号６７且つ送信先Ｌ４ポート番号６８」の通信データを送出した場合には、優先度「１００４０」の認証ルールに該当することとなり、判定部９３は、当該通信データの通信を不許可とする。

　また、通信データ制御部９４は、管理用ネットワークＮ_Ｃにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別するＶＬＡＮＩＤ（仮想ネットワーク識別子）を通信データに付加する。例えば、物理インスタンス７１_Ａ１からポート９_Ａ１を介して第２のサーバ８に構成された仮想インスタンス８５に通信データが送出される場合には、ポート９_Ａ１における通信データ制御部９４は、ＶＬＡＮ情報テーブル（図５参照）においてユーザＩＤ「Ａ」に対応付けられているＶＬＡＮＩＤの「ＶＩＤ_Ａ」を当該通信データに付与する。これにより、前述のとおり、物理インスタンス７１と仮想インスタンスとの間のデータ通信が可能となる。また、仮想インスタンス８５から物理インスタンス７１への通信において、判定部９３は、当該物理インスタンスのユーザに割り当てられたＶＬＡＮ　ＩＤが通信データに含まれていることを認証ルールとして採用することとしてもよい。

　図２に示した物理ホストネットワークスイッチ９は、例えば、１つまたは複数のコンピュータにより構成できる。図７は、物理ホストネットワークスイッチ９のハードウエア構成図である。物理ホストネットワークスイッチ９を構成するコンピュータは、物理的には、図７に示すように、ＣＰＵ１０１、主記憶装置であるＲＡＭ１０２及びＲＯＭ１０３、データ送受信デバイスである通信モジュール１０４、ハードディスク、フラッシュメモリ等の補助記憶装置１０５、入力デバイスであるキーボード等の入力装置１０６、ディスプレイ等の出力装置１０７などを含むコンピュータシステムとして構成されている。図３に示した各機能は、図７に示すＣＰＵ１０１、ＲＡＭ１０２等のハードウエア上に所定のコンピュータソフトウェアを読み込ませることにより、ＣＰＵ１０１の制御のもとで通信モジュール１０４、入力装置１０６、出力装置１０７を動作させるとともに、ＲＡＭ１０２や補助記憶装置１０５におけるデータの読み出し及び書き込みを行うことで実現される。また、図８及び図９を参照して後述するストレージアクセス管理部６０も、物理ホストネットワークスイッチ９と同様のハードウエア構成を有する。

　次に、図８，９を参照して、ホスト提供システム１における通信制御方法において実施される処理内容を説明する。

　まず、通信データ受付部９１は、一の物理インスタンス７１から、他のインスタンスを送信先とする通信データを、管理用ネットワークＮ_Ｃを介して受け付ける（Ｓ１）。続いて、判定部９３は、物理インスタンス情報テーブルを参照し、送信元を示す情報（ＩＰアドレス、ＭＡＣアドレス）に対応付けられたポートＩＤを第１のポートＩＤとして抽出し、第１のポートＩＤに対応付けられたユーザＩＤを第１のユーザＩＤとして抽出し、送信先を示す情報に対応付けられたポートＩＤを第２のポートＩＤとして抽出し、第２のポートＩＤに対応付けられたユーザＩＤを第２のユーザＩＤとして抽出する（Ｓ２）。

　次に、判定部９３は、第１のユーザＩＤと第２のユーザＩＤとが一致するか否かを判定する（Ｓ３）。第１のユーザＩＤと第２のユーザＩＤとが一致すると判定された場合には、処理手順はステップＳ４に進められる。一方、第１のユーザＩＤと第２のユーザＩＤとが一致すると判定されなかった場合には、処理手順はステップＳ５に進められる。

　ステップＳ４において、通信データ制御部９４は、当該通信データの送信先に対する通信を許可する（Ｓ４）。一方、ステップＳ５では、通信データ制御部９４は、当該通信データの送信先に対する通信を不許可とする（Ｓ５）。

　図８に示した判定処理は、各ポート９において、通信データの送信時及び受信時のいずれにおいても実施される。通信データの送信時には、更に、図９に示す処理により各ポート９において通信の可否が判定される。即ち、データの送信時には、図８に示した判定処理及び図９に示した判定処理の両方において、通信許可判定されることにより、通信データの通信が実施される。一方、データの受信時には、図８に示した判定処理において通信許可判定がされた場合に、データの通信が実施される。以下、図９を参照して、データの送信時に実施される判定処理内容を説明する。

　まず、通信データ受付部９１は、一の物理インスタンス７１からの通信データを受け付ける（Ｓ６）。続いて、判定部９３は、通信データから、送信元のＩＰアドレス、ＭＡＣアドレス及びＬ４ポート番号並びに送信先のＬ４ポート番号を抽出する（Ｓ７）。

　次に、判定部は、ステップＳ７において抽出された送信元のＩＰアドレス、ＭＡＣアドレス及びＬ４ポート番号並びに送信先のＬ４ポート番号に基づいて、認証ルール記憶部９２に記憶された認証ルールに適合するか否かを判定する（Ｓ８）。ここで、認証ルールに適合すると判定された場合には（Ｓ９）、処理手順はステップＳ１０に進められる。一方、認証ルールに適合しないと判定された場合には（Ｓ４）、処理手順はステップＳ１１に進められる。ステップＳ１０において、通信データ制御部９４は、当該通信データの送信先に対する通信を許可する。一方、ステップＳ１１において、通信データ制御部９４は、送信先に対する通信を不許可として送信先に通信データを送出しないよう制御を実施する（Ｓ１１）。

　ステップＳ１２において、通信データ制御部９４は、ＶＬＡＮ情報テーブルを参照して、送信元のユーザＩＤに対応付けられたＶＬＡＮＩＤを抽出する（Ｓ１２）。そして、通信データ制御部９４は、抽出したＶＬＡＮＩＤを通信データに付加して、送信先のポート９に通信データを送出する（Ｓ１３）。

　次に、図１０～１２を参照して、ネットワークストレージ群６のストレージに対するアクセスを管理するためのストレージアクセス管理部６０の機能について説明する。

　図１０に示すように、ホスト提供システム１は、各インスタンスから管理用ネットワークＮ_Ｃを介してアクセス可能な複数のストレージの集合であるネットワークストレージ群６を有する。ネットワークストレージ群６は、ストレージに対するアクセスを管理するためのストレージアクセス管理部６０を含む。

　図１１は、ストレージアクセス管理部６０の機能的構成を示すブロック図である。図１１に示すように、ストレージアクセス管理部６０は、アクセス受付部６１（アクセス受付手段）、ストレージ属性記憶部６２（ストレージ属性記憶手段）、アクセス可否判定部６３（アクセス可否判定手段）及びアクセス制御部６４（アクセス制御手段）を備える。

　アクセス受付部６１は、インスタンスからストレージに対するアクセスを受け付ける部分である。このアクセスは、アクセスの送信元のインスタンスを識別するＩＰアドレス及びアクセス対象のストレージを識別するストレージＩＤ（ストレージ識別子）を含む。

　ストレージ属性記憶部６２は、ストレージＩＤに、当該ストレージを割り当てられたインスタンスのＩＰアドレスを対応付けて記憶している部分である。本実施形態では、一のインスタンスごとに一のストレージが割り当てられる。すなわち、一のストレージに対してアクセスできるインスタンスは一つに限られることとなる。図１２は、ストレージ属性記憶部６２の構成及び記憶されているデータの例を示す図である。図１２に示すように、ストレージ属性記憶部６２は、ストレージＩＤに対応付けて、当該ストレージに割り当てられたインスタンスのＩＰアドレスを記憶している。また、ストレージ属性記憶部６２は、ユーザ、アクセス元のインスタンスのタイプ（物理インスタンス又は仮想インスタンス）を更に対応付けて記憶していることとしてもよい。例えば、ストレージＩＤ「Ｉ_Ａ１」のストレージ属性としてＩＰアドレス「ＩＰ－Ａ１」、ユーザ「Ａ」及びインスタンスタイプ「物理」といったデータが記憶されている。このストレージ属性に関する情報を用いた判定処理については後述する。

　アクセス可否判定部６３は、アクセス受付部６１により受け付けられたアクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてアクセスの対象のストレージのストレージＩＤに対応付けられたＩＰアドレスに該当するか否かを判定する部分である。

　アクセス制御部６４は、アクセス可否判定部６３により、アクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてストレージＩＤに対応付けられたＩＰアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを当該ストレージに送出する。また、アクセス制御部６４は、アクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてストレージＩＤに対応付けられたＩＰアドレスに該当しないと判定された場合には、当該ストレージに対するアクセスを不許可としてそのアクセスをストレージに送出しないように制御する。

　アクセス可否判定部６３による判定処理及びアクセス制御部６４による制御処理を具体例により説明する。

　まず、第１の例を説明する。第１の例では、ユーザＡに提供された物理インスタンス７１_Ａ１からのストレージＩＤ「Ｉ_Ａ１」に対するアクセスがストレージアクセス管理部６０により受け付けられる。このアクセスは、送信元のＭＡＣアドレス「ＭＡＣ－Ａ１」及びＩＰアドレス「ＩＰ－Ａ１」並びにアクセス対象のストレージのストレージＩＤ「Ｉ_Ａ１」を含む。このようなアクセスが受け付けられると、アクセス可否判定部６３は、ストレージ属性記憶部６２においてストレージＩＤ「Ｉ_Ａ１」に対応付けられているＩＰアドレス「ＩＰ－Ａ１」を抽出する。そして、アクセス可否判定部６３は、アクセスに含まれる送信元のＩＰアドレス「ＩＰ－Ａ１」が、ストレージ属性記憶部６２から抽出したＩＰアドレスに該当すると判定する。従って、アクセス制御部６４は、ストレージＩＤ「Ｉ_Ａ１」により識別されるストレージに対するアクセスを許可し、アクセスに係るデータを送出する。

　次に、第２の例を説明する。第２の例では、ユーザＢに提供された物理インスタンス７１_ＢからのストレージＩＤ「Ｉ_Ａ１」に対するアクセスがストレージアクセス管理部６０により受け付けられる。このアクセスは、送信元のＭＡＣアドレス「ＭＡＣ－Ｂ１」及びＩＰアドレス「ＩＰ－Ｂ１」並びにアクセス対象のストレージのストレージＩＤ「Ｉ_Ａ１」を含む。このようなアクセスが受け付けられると、アクセス可否判定部６３は、ストレージ属性記憶部６２においてストレージＩＤ「Ｉ_Ａ１」に対応付けられているＩＰアドレス「ＩＰ－Ａ１」を抽出する。そして、アクセス可否判定部６３は、アクセスに含まれる送信元のＩＰアドレス「ＩＰ－Ｂ１」が、ストレージ属性記憶部６２から抽出したＩＰアドレスに該当しないと判定する。従って、アクセス制御部６４は、ストレージＩＤ「Ｉ_Ａ１」により識別されるストレージに対する物理インスタンス７１_Ｂからのアクセスを許可せず、そのアクセスに係るデータがストレージに対して送出されないよう制御する。

　次に、第３の例を説明する。第３の例では、ユーザＢに提供された物理インスタンス７１_Ｂから、送信元のＩＰアドレスがユーザＡのＩＰアドレス「ＩＰ－Ａ１」に偽装されたストレージＩＤ「Ｉ_Ａ１」に対するアクセスが受け付けられる。この場合には、当該アクセスは、ストレージアクセス管理部６０に到達する以前に、優先度「１００２０」の送信元ＩＰアドレスに関する認証ルール（図６参照）に対する不適合により、物理ホストネットワークスイッチ９により遮断される。

　次に、図１３を参照して、ホスト提供システム１におけるストレージに対するアクセスの制御方法において実施される処理内容を説明する。

　ステップＳ２０の処理は、図８，９を参照して説明した判定処理である。なお、ストレージは全てのユーザと通信できるように設定しておくことで図８におけるポート同士のユーザ認証で通信を許可するとこができる。続くステップＳ２１において、アクセス受付部６１は、インスタンスからストレージに対するアクセスを受け付ける（Ｓ２１）。続いて、アクセス可否判定部６３は、受け付けたアクセスから、送信元ＩＰアドレス及びアクセス対象のストレージのストレージＩＤ等を抽出する（Ｓ２２）。そして、アクセス可否判定部６３は、アクセス受付部６１により受け付けられたアクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてアクセスの対象のストレージのストレージＩＤに対応付けられたＩＰアドレスに該当するか否かを判定する（Ｓ２３）。ここで、アクセスに含まれるＩＰアドレスがストレージ属性記憶部６２から抽出したＩＰアドレスに適合すると判定された場合には（Ｓ２４）、処理手順はステップＳ２５に進められる。一方、適合しないと判定された場合には（Ｓ２４）、処理手順はステップＳ２６に進められる。

　ステップＳ２５において、アクセス制御部６４は、アクセス可否判定部６３により、アクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてストレージＩＤに対応付けられたＩＰアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスに係るデータを当該ストレージに送出する（Ｓ２５）。

　一方、ステップＳ２６において、アクセス制御部６４は、アクセス可否判定部６３により、アクセスに含まれるＩＰアドレスが、ストレージ属性記憶部６２においてストレージＩＤに対応付けられたＩＰアドレスに該当しないと判定された場合には、当該ストレージに対するアクセスを不許可としてそのアクセスをストレージに送出しないように制御する（Ｓ２６）。

　本実施形態のホスト提供システム１及び通信制御方法によれば、物理インスタンス７１からの通信データに含まれる送信元を示す情報及び送信先を示す情報に対応付けられるユーザを示す情報が一致するか否かにより通信可否が判定され、判定結果に基づき通信データが制御される。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。

　また、物理インスタンス７１からストレージへのアクセスに含まれるＩＰアドレスが、当該ストレージを割り当てられた物理インスタンス７１のＩＰアドレスに該当する場合にのみアクセスが許可され、それ以外の場合にはアクセスが許可されない。これにより、当該ストレージを割り当てられた物理インスタンス７１以外のインスタンスからのアクセスが防止されるので、ストレージにおけるセキュリティが適切に担保される。

　以上、本発明をその実施形態に基づいて詳細に説明した。しかし、本発明は上記実施形態に限定されるものではない。本発明は、その要旨を逸脱しない範囲で様々な変形が可能である。

　１…ホスト提供システム、２…リクエスト受付ノード、３…ホスト選択ノード、４…ホスト情報集約ノード、５…物理ホスト管理ノード、６…ネットワークストレージ群、７，７_Ａ１，７_Ａ２，７_Ｂ…第１のサーバ、８…第２のサーバ、９…物理ホストネットワークスイッチ、９_Ａ１，９_Ａ２，９_Ｂ…ポート、６０…ストレージアクセス管理部、６１…アクセス受付部、６２…ストレージ属性記憶部、６３…アクセス可否判定部、６４…アクセス制御部、７１，７１_Ａ１，７１_Ａ２，７１_Ｂ…物理インスタンス、８１…仮想ホスト管理ノード、８４…ハイパーバイザ、８５…仮想インスタンス、９１…通信データ受付部、９２…認証ルール記憶部、９３…判定部、９４…通信データ制御部、Ｎ_Ｃ…管理用ネットワーク、Ｎ_Ｐ…パブリックネットワーク、Ｔ_Ｕ，Ｔ_ＵＡ，Ｔ_ＵＢ…ユーザ端末。

Claims

　ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第１のネットワークを介して利用可能に提供し、第２のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムであって、
　一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第２のネットワークを介して受け付ける通信データ受付手段と、
　前記通信データ受付手段により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定手段と、
　前記判定手段により通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御手段と、
　を備えるホスト提供システム。
　前記判定手段は、
送信元又は送信先を示す情報に、当該通信データを受け付けるポートのポート識別情報及びユーザのユーザ識別情報が対応付けられたテーブルを参照し、
　前記送信元を示す情報に対応付けられたポートの識別情報を第１のポート識別情報として抽出し、該第１のポート識別情報に対応付けられたユーザ識別情報を第１のユーザ識別情報として抽出し、
　前記送信先を示す情報に対応付けられたポートの識別情報を第２のポート識別情報として抽出し、該第２のポート識別情報に対応付けられたユーザ識別情報を第２のユーザ識別情報として抽出し、
　前記第１のユーザ識別情報と前記第２のユーザ識別情報とが一致するか否かにより通信可否を判定する、
　請求項１に記載のホスト提供システム。
　前記判定手段は、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
　請求項１または２に記載のホスト提供システム。
　複数の仮想インスタンスを仮想的に構成可能であって該仮想インスタンスを仮想ホストとして前記第１のネットワークを介してユーザ端末に提供可能であって、前記第２のネットワークを介して他のサーバと通信可能な仮想インスタンス用サーバを１以上含み、
　前記通信データ制御手段は、前記第２のネットワークにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別する仮想ネットワーク識別子を前記通信データに付加する、
　請求項１～３のいずれか１項に記載のホスト提供システム。
　各インスタンスに対応付けられた複数のストレージからなり、前記第２のネットワークを介してアクセス可能なストレージ群と、
　前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するＩＰアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付手段と、
　前記ストレージ識別子に、当該ストレージを割り当てられたインスタンスのＩＰアドレスを対応付けて記憶しているストレージ属性記憶手段と、
　前記アクセス受付手段により受け付けられたアクセスに含まれるＩＰアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたＩＰアドレスに該当するか否かを判定するアクセス可否判定手段と、
　前記アクセス可否判定手段により、前記アクセスに含まれるＩＰアドレスが、前記ストレージ識別子に対応付けられたＩＰアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるＩＰアドレスが、前記ストレージ識別子に対応付けられたＩＰアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御手段と、
　を更に含む請求項１～４のいずれか１項に記載のホスト提供システム。
　前記認証ルールのうちの第１の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がＤＨＣＰプロトコルにおけるサーバを示す番号であって、送信先のポート番号がＤＨＣＰプロトコルにおけるクライアントを示す番号であること、であって、
　前記判定手段は、前記通信データが前記第１の認証ルールに該当する場合に、該通信データの通信を不可と判定する、
　請求項１～５のいずれか１項に記載のホスト提供システム。
　前記認証ルールのうちの第２の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がＤＨＣＰプロトコルにおけるクライアントを示す番号であって、送信先のポート番号がＤＨＣＰプロトコルにおけるサーバを示す番号であること、であって、
　前記判定手段は、前記通信データが前記第２の認証ルールに該当する場合に、該通信データの通信許可判定する、
　請求項１～６のいずれか１項に記載のホスト提供システム。
　前記認証ルールのうちの第３の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のＭＡＣアドレス及び送信元のＩＰアドレスがそれぞれ、前記通信データを受け付けたポートに接続された物理インスタンスのＭＡＣアドレス及びＩＰアドレスに該当すること、であって、
　前記判定手段は、前記通信データが前記第３の認証ルールに該当する場合に、該通信データの通信許可判定する、
　請求項１～７のいずれか１項に記載のホスト提供システム。
　ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第１のネットワークを介して利用可能に提供し、第２のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムにおける、前記インスタンス間の通信を制御する通信制御方法であって、
　一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第２のネットワークを介して受け付ける通信データ受付ステップと、
　前記通信データ受付ステップにおいて受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定ステップと、
　前記判定ステップにおいて通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御ステップと、
　を有する通信制御方法。
　前記判定ステップは、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
　請求項９に記載の通信制御方法。
　前記ホスト提供システムは、
　各インスタンスに対応付けられた複数のストレージからなり、前記第２のネットワークを介してアクセス可能なストレージ群と、
　前記ストレージを識別するストレージ識別子に、当該ストレージを割り当てられたインスタンスのＩＰアドレスを対応付けて記憶しているストレージ属性記憶手段と、を含み、
　当該通信制御方法は、
　前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するＩＰアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付ステップと、
　前記アクセス受付ステップにおいて受け付けられたアクセスに含まれるＩＰアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたＩＰアドレスに該当するか否かを判定するアクセス可否判定ステップと、
　前記アクセス可否判定ステップにおいて、前記アクセスに含まれるＩＰアドレスが、前記ストレージ識別子に対応付けられたＩＰアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるＩＰアドレスが、前記ストレージ識別子に対応付けられたＩＰアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御ステップと、
　を更に有する請求項９または１０に記載の通信制御方法。