WO2015104833A1

WO2015104833A1 - 情報システム及びｉ／ｏ処理方法

Info

Publication number: WO2015104833A1
Application number: PCT/JP2014/050316
Authority: WO
Inventors: 直人錦戸; 永田　幸司; 貴仁佐藤
Original assignee: 株式会社日立製作所
Priority date: 2014-01-10
Filing date: 2014-01-10
Publication date: 2015-07-16
Also published as: US9395922B2; US20160026397A1

Abstract

　データを相手のストレージ装置へ同期コピーする第１及び第２ストレージ装置と、第１及び第２ストレージ装置に接続された第１クォーラム装置と、第１及び第２ストレージ装置に接続された第２クォーラム装置とを備えた情報システムにおいて、第１及び第２ストレージ装置の各々は、実行可否設定に従い、Ｉ／Ｏ要求を実行するか否かを制御し、繰り返し実行される処理であるヘルスチェック処理において、自分のストレージ装置の生存情報を第１及び第２クォーラム装置に格納し、第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否かをチェックし、自分のストレージ装置の実行可否設定を、第１及び第２クォーラム装置の一方又は両方に生存情報を格納可能か否か、及び、第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否か、のうちの少なくとも一つに基づいて設定する。

Description

情報システム及びＩ／Ｏ処理方法

　本発明は、情報システム及びＩ／Ｏ（Ｉｎｐｕｔ／Ｏｕｔｐｕｔ）処理方法の技術に関する。

　所定の通信パスを通じてコピーペアを組んでいる二台のストレージ装置と、その二台のストレージ装置が共通にアクセス可能な障害検出用の一台のクォーラム装置と、その二台のストレージ装置に交代パスで接続されているホスト計算機と、を備える情報システムが知られている（特許文献１）。

特開２００９－２６６１２０号公報

　クォーラム装置が存在しない状態でストレージ装置間の通信パスに障害が発生した場合、一方のストレージ装置をホスト計算機からアクセス不可としないと、それぞれのストレージ装置にホスト計算機がアクセス可能となり、ホスト計算機に対して不正なデータを提供してしまう可能性がある。このため、特許文献１の示す情報システムは、クォーラム装置に障害が発生すると、二台のストレージ装置及びストレージ装置間の通信パスに障害が発生していない場合であっても、ストレージ装置間の通信パスの障害に備えて、一方のストレージ装置をＩ／Ｏ要求実行不可とする。つまり、この情報システムは、クォーラム装置に障害が発生すると、二重化構成を維持できない。

　そこで、本発明の目的は、二重化構成をより維持可能な情報システム及びＩ／Ｏ処理方法を提供することにある。

　本発明の一実施形態に係る情報システムは、第１及び第２ストレージ装置と、第１及び第２クォーラム装置とを備える。第１及び第２ストレージ装置は、ライト要求又はリード要求であるＩ／Ｏ要求を送信するホスト計算機に接続され、且つ、ライト要求を受信した場合に受信したライト要求に従うデータを相手のストレージ装置へ同期コピーするように接続されている。第１クォーラム装置は、第１及び第２ストレージ装置と接続されている。第２クォーラム装置は、第１及び第２ストレージ装置と接続されている。第１及び第２ストレージ装置の各々は、Ｉ／Ｏ要求を実行するか否かの設定である実行可否設定に従い、Ｉ／Ｏ要求を実行するか否かを制御するようになっている。第１及び第２ストレージ装置の各々は、繰り返し実行される処理であるヘルスチェック処理において、自分のストレージ装置が生存中である旨を示す生存情報を第１及び第２クォーラム装置に格納し、第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否かをチェックし、自分のストレージ装置の実行可否設定を、第１及び第２クォーラム装置の一方又は両方に生存情報を格納可能か否か、及び、第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否か、のうちの少なくとも一つに基づく設定とする。

　本発明によれば、情報システムの二重化構成をより維持することができるため、情報システムの可用性をより高めることができる。

実施例に係る情報システムの全体構成の概要を示す。ホスト計算機に対して提供されるＬＤＥＶを示す。ストレージ装置の内部構成の一例を示す。ストレージ保持テーブルの構成例を示す。クォーラム保持テーブルの構成例を示す。アクティブ属性の第１クォーラム装置に障害が発生した場合の情報システムの動作例を説明する。ストレージ間通信パスに障害が発生した場合の情報システムの動作例を説明する。第１ストレージ装置と第２クォーラム装置との間の通信パスに障害発生し、第２ストレージ装置と第１クォーラム装置との間の通信パスに障害が発生した場合の情報システムの動作例を示す。第１ストレージ装置に障害が発生し、且つ、アクティブ属性の第１クォーラム装置にも障害が発生した場合における情報システムの動作例を示す。各ストレージ装置で繰り返し実行されるヘルスチェック処理のフローチャート例を示す。Ｉ／Ｏ要求の受信時に実行されるＩ／Ｏ要求処理のフローチャート例を示す。ストレージ装置のヘルスチェック処理時におけるストレージ装置のＩ／Ｏ要求の実行可否の変更例を示す。ストレージ装置のＩ／Ｏ要求処理時におけるストレージ装置のＩ／Ｏ要求の実行可否の変更例を示す。

　以下、一実施例を説明する。
　本実施例において、「クォーラム装置」は、複数のクラスタノードに共有され、それら複数のクラスタノードの各々によって更新される情報を記憶するストレージ装置である。クォーラム装置が有する記憶デバイスは、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等のディスクデバイスであってもよいし、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等のデバイスであってもよい。また、「クラスタノード」は、クラスタの構成要素としてのノードであり、本実施例では、ホスト計算機からアクセスされるＬＤＥＶ（Ｌｏｇｉｃａｌ　Ｄｅｖｉｃｅ）を提供するストレージ装置である。「ＬＤＥＶ」は、論理的な記憶デバイスであり、論理ボリュームと呼ばれてもよい。ＬＤＥＶは、１以上の物理的な記憶デバイス（例えばＲＡＩＤ（Ｒｅｄｕｎｄａｎｔ　Ａｒｒａｙｓ　ｏｆ　Ｉｎｅｘｐｅｎｓｉｖｅ（ｏｒ　Ｉｎｄｅｐｅｎｄｅｎｔ　Ｄｉｓｋｓ）グループ）に基づく実体的なＬＤＥＶでもよいし、ストレージ仮想化技術又は容量拡張技術（例えばＴｈｉｎ　Ｐｒｏｖｉｓｉｏｎｉｎｇ）に従う仮想的なＬＤＥＶでもよい。

　また、以下の説明では、「ｘｘｘテーブル」の表現にて各種情報を説明することがあるが、各種情報は、テーブル以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「ｘｘｘテーブル」を「ｘｘｘ情報」と呼ぶことができる。また、以下の説明では、「Ｉ／Ｏ要求」は、ライト要求又はリード要求であることを意味する。

　以下、図１を参照しながら、実施例に係る情報システムの全体構成の概要を説明する。

　情報システム１は、ホスト計算機３と、第１ストレージ装置１０ａと、第２ストレージ装置１０ｂと、第１クォーラム装置５０ａと、第２クォーラム装置５０ｂとを備える。

　第１ストレージ装置１０ａと第２ストレージ装置１０ｂとは、クラスタを構成し、ストレージ間通信パス７を通じて接続されている。第１ストレージ装置１０ａと第１クォーラム装置５０ａとは、通信パス１１１を通じて接続されている。第１ストレージ装置１０ａと第２クォーラム装置５０ｂとは、通信パス１２１を通じて接続されている。第２ストレージ装置１０ｂと第１クォーラム装置５０ａとは、通信パス１１２を通じて接続されている。第２ストレージ装置１０ｂと第２クォーラム装置５０ｂとは、通信パス１２２を通じて接続されている。

　ホスト計算機３は、通信パス５ａを通じて第１ストレージ装置１０ａに接続されており、通信パス５ｂを通じて第２ストレージ装置１０ｂに接続されている。これらの通信パス５ａ、５ｂ、７、１１１、１２１、１１２、１２２は、物理的なケーブルによって直接的に接続された通信パスであっても良いし、ＳＡＮ（Ｓｔｏｒａｇｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）及び／又はインターネット網上に構成される論理的な通信パスであっても良い。また、これらの通信パス５ａ、５ｂ、７、１１１、１２１、１２２、１２１は、途中にスイッチやルータなどが接続されていても良い。

　第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂはそれぞれ第１ＬＤＥＶ１１ａ及び第２ＬＤＥＶ１１ｂを有する。ストレージ装置１０ａ、１０ｂは、ホスト計算機３から送信されたＩ／Ｏ要求に従って、自分のＬＤＥＶ１１ａ、１１ｂに対してデータのリード及びライト等を実行する。

　第１ストレージ装置１０ａの有する第１ＬＤＥＶ１１ａと第２ストレージ装置１０ｂの有する第２ＬＤＥＶ１１ｂとは、同期リモートコピーのペアを形成する。第１ＬＤＥＶ１１ａに格納されたデータは、ストレージ間通信パス７を通じて、第２ＬＤＥＶ１１ｂへコピーされる。つまり、正常時、第１ＬＤＥＶ１１ａと第２ＬＤＥＶ１１ｂのデータは同期される。

　各ストレージ装置１０ａ、１０ｂは、繰り返し（例えば、所定周期で）、自ストレージ装置が生存している旨を示す生存情報をクォーラム装置にライトする。各ストレージ装置１０ａ、１０ｂは、ストレージ間通信パス７を通じて相手ストレージ装置に同期コピーができない場合、クォーラム装置を参照して、相手ストレージ装置が生存しているか否かを確認する。情報システム１は、相手ストレージ装置が生存している場合、一方のストレージ装置（例えば、第１ストレージ装置１０ａ）をＩ／Ｏ要求実行可とし、他方のストレージ装置（例えば、第２ストレージ装置１０ｂ）をＩ／Ｏ要求実行不可とする。情報システム１は、相手ストレージ装置が生存してない場合、生存しているストレージ装置をＩ／Ｏ要求実行可とする。ここで、ストレージ装置の生存とは、ストレージ装置が正常に稼働しており、ホスト計算機３からのＩ／Ｏ要求を実行可能であることをいう。

　ここで、一比較例として、クォーラム装置が一つだけであり、且つ、そのクォーラム装置に障害が発生した場合、一方のストレージ装置がＩ／Ｏ要求実行可とし、他方のストレージ装置がＩ／Ｏ要求実行不可とする。つまり、この場合、ストレージ装置の二重化構成が解除される。なぜなら、このような状況で障害が発生しストレージ間通信が不可能となると、各ストレージ装置は、相手ストレージ装置が生存しているか否かを確認することができなくなり、何れのストレージ装置をＩ／Ｏ要求実行可とすれば良いか判定できなくなってしまうからである。例えば、上記の状況で、両方のストレージ装置をＩ／Ｏ要求実行可とすると、それぞれに異なるデータが書き込まれる可能性があり、コピーペアを構成しているボリューム間でデータの不整合が発生する。

　これに対して、本実施例に係る情報システム１は、図１に示すように二つのクォーラム装置５０ａ、５０ｂを備える。第１及び第２クォーラム装置のうちの少なくとも一つについて、第１クォーラム装置５０ａ内の情報を更新する周期と、第２クォーラム装置５０ｂ内の情報を更新する周期とは、同じあっても異なっていてもよい。情報システム１は、二つのクォーラム装置５０ａ、５０ｂを有することにより、仮に一つのクォーラム装置に障害が発生しても、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂによる二重化構成を維持することができる。

　また、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂはそれぞれ異なる属性を有する。例えば、第１クォーラム装置５０ａが第１属性の一種であるアクティブ属性を有し、第２クォーラム装置５０ｂが第２属性の一種であるスタンバイ属性を有する。これにより、所定の障害が発生した場合、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、後述するように、自ストレージ装置がアクセス可能なクォーラム装置の属性に基づいて、ホスト計算機３から送信されるＩ／Ｏ要求を実行可に設定すべきか、実行不可に設定すべきかを決定することができる。すなわち、所定の障害が発生した場合に、情報システム１が、ホスト計算機３に対して不正なデータを提供することを防止することができる。なお、例えば、第１及び第２クォーラム装置のうちの少なくとも一つについて、アクティブ属性のクォーラム装置の更新周期は、スタンバイ属性のクォーラム装置の更新周期よりも短くてもよい。

　次に、図２を参照しながら、ホスト計算機３に対して提供されるＬＤＥＶについて説明する。

　ホスト計算機３に２台のストレージ装置１０ａ、１０ｂを同一のストレージ装置と認識させるために、各ストレージ装置に同一の仮想ストレージＩＤが対応付けられる。ホスト計算機３は仮想ストレージＩＤを認識する。

　また、各ストレージ装置１０ａ、１０ｂのＬＤＥＶ１１ａ、１１ｂには、各ストレージ装置内では一意に識別されるＬＤＥＶ　ＩＤが付与される。さらに、同一のコピーペアを構成する各ＬＤＥＶには、同一の仮想ＬＤＥＶ　ＩＤが付与される。つまり、コピーペアを構成する各ＬＤＥＶには、ＬＤＥＶ　ＩＤと、仮想ＬＤＥＶ　ＩＤとが付与される。ホスト計算機３は、仮想ＬＤＥＶ　ＩＤを認識する。

　仮想ストレージＩＤおよび仮想ＬＤＥＶ　ＩＤが設定されることで、ホスト計算機３は、異なるストレージ装置の異なるＬＤＥＶを、同一のストレージ装置の同一のＬＤＥＶと認識することができる。ホスト計算機３は、１つのＬＤＥＶに２本の交替パス（通信パス５ａ、５ｂ）が設定されているものと認識し、Ｉ／Ｏ要求を発行する。

　ストレージ装置側は、一方のストレージ装置が受信したライトデータを同期リモートコピーによって他方のストレージ装置に転送し、そのライトデータを二重化する。２台のストレージ装置は、１つのＬＤＥＶと認識されている２つのＬＤＥＶ内のデータの不整合が発生しないように二重化の状態を維持する必要がある。

　本実施例におけるホスト計算機３は、第１ストレージ装置１０ａに優先的にＩ／Ｏ要求を送信し、そのＩ／Ｏ要求が失敗した場合に、第２ストレージ装置１０ｂにそのＩ／Ｏ要求を送信する。ホスト計算機３は、Ｉ／Ｏ要求に対する失敗応答を受信した場合、またはＩ／Ｏ要求に対する応答がタイムアウトになった場合などに、そのＩ／Ｏ要求が失敗したと判定する。第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの同期コピーペアのＬＤＥＶには同じデータが格納されているので、ホスト計算機３は、第１ストレージ装置１０ａに対するＩ／Ｏ要求が失敗しても、第２ストレージ装置１０ｂにＩ／Ｏ要求を再送することで処理を継続することができる。

　上述のとおり、二台のストレージ装置１０ａ、１０ｂは、ホスト計算機３に対して異なる二つのＬＤＥＶを同じＬＤＥＶと認識させるために、データの不整合が発生しないようにする必要がある。したがって、ストレージ間通信パス７に障害が発生し、且つ、二台のストレージ装置が何れも生存している場合は、何れか一方のストレージ装置をＩ／Ｏ要求実行可とし、他方のストレージ装置をＩ／Ｏ要求実行不可とする必要がある。さもなければ、ホスト計算機３が一方のストレージ装置のＬＤＥＶにデータをライトし、次に他方のストレージ装置のＬＤＥＶを参照した場合に、そのライトデータが格納されてないことになるなど、ホスト計算機３に対して不正なデータを提供してしまう可能性があるからである。しかしその一方、何れか一方のストレージ装置が生存していない場合、他方のストレージ装置をＩ／Ｏ要求実行可とする必要がある。

　以下、図３を参照しながら、ストレージの内部構成の一例を説明する。第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂとも同様の構成であるので、ここでは第１ストレージ装置１０ａを説明する。

　第１ストレージ装置１０ａは、ストレージコントローラ３０と、ディスクユニット４０とを備える。

　ディスクユニット４０は、複数の記憶デバイス４１～４３を有する。ディスクユニット４０は、同種の複数の記憶デバイスを有してもよいし、異種の複数の記憶デバイスを有してもよい。記憶デバイスは、ＳＳＤ、ＳＡＳ（Ｓｅｒｉａｌ　Ａｔｔａｃｈｅｄ　ＳＣＳＩ）－ＨＤＤ及び／又はＳＡＴＡ（Ｓｅｒｉａｌ　ＡＴＡ）－ＨＤＤなどであってよい。

　ストレージコントローラ３０は、ディスクユニット４０が有する複数の記憶デバイス４１～４３をコントロールする。ストレージコントローラ３０は、ホストアダプタ３１と、プロセッサ３２と、メモリ３３と、外部ディスクアダプタ３４と、ストレージ間通信アダプタ３５と、内部ディスクアダプタ３６とを有し、それらの要素は双方向に通信可能なバス３９で接続されている。

　内部ディスクアダプタ３６は、記憶デバイス４１～４３をストレージコントローラ３０に接続するための装置である。内部ディスクアダプタ３６は、ＳＡＴＡアダプタ、ＳＣＳＩアダプタ、ＰＣＩｅ（ＰＣＩ　Ｅｘｐｒｅｓｓ（登録商標））アダプタ、ＦｉｂｒｅＣｈａｎｎｅｌアダプタ、又はＥｔｈｅｒｎｅｔ（登録商標）アダプタなどであってよい。

　ホストアダプタ３１は、ストレージコントローラ３０をホスト計算機３に係る通信パス５ａに接続するための装置である。ホストアダプタ３１は、ＳＡＴＡアダプタ、ＳＣＳＩアダプタ、ＰＣＩｅアダプタ、ＦｉｂｒｅＣｈａｎｎｅｌアダプタ、又はＥｔｈｅｒｎｅｔアダプタなどであってよい。

　外部ディスクアダプタ３４は、ストレージコントローラ３０をクォーラム装置５０ａ、５０ｂに係る通信パス１１１、１２１に接続するための装置である。外部ディスクアダプタ３４は、ＳＡＴＡアダプタ、ＳＣＳＩアダプタ、ＰＣＩｅアダプタ、又はＦｉｂｒｅＣｈａｎｎｅｌアダプタ、Ｅｔｈｅｒｎｅｔアダプタなどであってよい。

　ストレージ間通信アダプタ３５は、ストレージコントローラ３０を第２ストレージ装置１０ｂに係るストレージ間通信パス７に接続するための装置である。ストレージ間通信アダプタ３５は、ＳＡＴＡアダプタ、ＳＣＳＩアダプタ、ＰＣＩｅアダプタ、ＦｉｂｒｅＣｈａｎｎｅｌアダプタ、又はＥｔｈｅｒｎｅｔアダプタなどであってよい。

　メモリ３３には、プロセッサ３２に実行されるコンピュータプログラム及びデータなどが格納される。メモリ３３には、バス３９を通じて送受信されるデータが一時的に格納（キャッシュ）される。メモリ３３は、少なくとも主記憶メモリを含み、主記憶メモリは、典型的には揮発メモリであるが、不揮発メモリでもよい。メモリ３３は、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＭＲＡＭ（Ｍａｇｎｅｔｏｒｅｓｉｓｔｉｖｅ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＦｅＲＡＭ（Ｆｅｒｒｏｅｌｅｃｔｒｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、又はＳＳＤなどで構成されてよい。

　プロセッサ３２は、所定のコンピュータプログラムを実行することにより、ストレージ装置の有する様々な機能を実現する。プロセッサ３２は、所定の処理を実行可能なＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）を含んでもよい。

　第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、自ストレージ装置内にストレージ保持テーブル３００（後述）を有する。第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂの各々は、自ストレージ装置内にクォーラム保持テーブル４００（後述）を有する。ストレージ保持テーブル３００及びクォーラム保持テーブル４００は何れも、ストレージ装置が生存しているか否か、及びストレージ装置がＩ／Ｏ要求実行可能か否かなどの情報を管理する。

　なお、本実施例では、第１ストレージ装置１０ａが有するストレージ保持テーブルを第１ストレージ保持テーブル、第２ストレージ装置１０ｂが有するストレージ保持テーブルを第２ストレージ保持テーブルという場合がある。また、本実施例では、アクティブ属性のクォーラム装置を「アクティブクォーラム」といい、スタンバイ属性のクォーラムを「スタンバイクォーラム」という場合がある。また、本実施例では、アクティブクォーラムが有するクォーラム保持テーブルをアクティブクォーラム保持テーブル、スタンバイクォーラムが有するクォーラム保持テーブルをスタンバイクォーラム保持テーブルという場合がある。

　以下、図４を参照しながら、ストレージ保持テーブル３００について説明する。

　ストレージ保持テーブル３００は、項目として、自ホストアクセス可否３１１と、自クォーラム属性３１２と、自クォーラム更新時刻３１３と、自スタンバイフラグ３１４と、他ホストアクセス可否３１５と、他クォーラム属性３１６と、他クォーラム更新時刻３１７と、他スタンバイフラグ３１８とを有し、これらの項目３１１～３１８のそれぞれに対応する値を有する。

　自ストレージのＩ／Ｏ可否３１１は、このストレージ保持テーブル３００を有する自ストレージ装置がＩ／Ｏ要求を実行可または実行不可の何れの設定であるかを示す値を有する。例えば、自ストレージ装置がＩ／Ｏ要求を実行可の場合、この値は「可」となり、Ｉ／Ｏ要求を実行不可の場合、この値は「不可」となる。なお、他ストレージのＩ／Ｏ可否３１５は、相手ストレージ装置がＩ／Ｏ要求を実行可または不可の何れの設定であるかを示す値を有する。

　自ストレージのクォーラム属性３１２は、このストレージ保持テーブル３００を有する自ストレージ装置がアクティブクォーラム及びスタンバイクォーラムの何れにアクセス可能であるかを示す値を有する。例えば、自ストレージ装置が、アクティブクォーラムにアクセス可能な場合、この値は「アクティブ」となり、アクティブクォーラムにアクセス不可能でありスタンバイクォーラムにアクセス可能な場合、この値は「スタンバイ」となり、何れのクォーラム装置にもアクセス不可能な場合、この値は「なし」となる。なお、他ストレージのクォーラム属性３１６は、相手ストレージ装置がアクティブ属性又はスタンバイ属性の何れのクォーラム装置にアクセス可能であるかを示す値を有する。

　自ストレージのクォーラム更新時刻３１３は、このストレージ保持テーブル３００を有する自ストレージ装置が、自ストレージのクォーラム属性３１２の値が示すクォーラム装置に最後にアクセスした時刻を値として有する。この値を「アクセス時刻」という。例えば、自ストレージ装置が、アクティブ属性のクォーラム装置に「２０１３年１２月１日９時７分３５秒」にアクセスした場合、この値は「２０１３１２０１０９０７３５」となる。なお、他ストレージのクォーラム更新時刻３１７は、相手ストレージ装置が、他ストレージのクォーラム属性３１６の値が示すクォーラム装置に最後にアクセスした時刻を値として有する。

　自ストレージのスタンバイフラグ３１４は、このストレージ保持テーブル３００を有する自ストレージ装置が、スタンバイクォーラムについて、２回目の確認であるか否かをチェックするための値を有する。この値は、初期状態で「オフ」であり、１回目の確認後に「オン」となる。よって、自ストレージ装置は、この値が「オン」の場合、２回目の確認であると認識できる。この値は、後述のヘルスチェック処理（図８のＳ１３１）及びＩ／Ｏ要求実行処理（図９のＳ２４１）において用いられる。なお、他スタンバイフラグは、相手ストレージ装置が、スタンバイクォーラム５０ｂについて、２回目の確認であるか否かをチェックするための値を有する。

　以下、図５を参照しながら、クォーラム保持テーブル４００について説明する。

　クォーラム保持テーブル４００は、項目として、第１のＩ／Ｏ可否４１１と、第１のクォーラム属性４１２と、第１のクォーラム更新時刻４１３と、第１のスタンバイフラグ４１４と、第２のＩ／Ｏ可否４１５と、第２のクォーラム属性４１６と、第２のクォーラム更新時刻４１７と、第２のスタンバイフラグ４１８とを有し、これらの項目４１１～４１８のそれぞれに対応する値を有する。

　第１のＩ／Ｏ可否４１１は、第１ストレージ装置１０ａがＩ／Ｏ要求を実行可または実行不可の何れの設定であるかを示す値を有する。例えば、第１ストレージ装置１０ａが、Ｉ／Ｏ要求を実行可の場合、この値は「可」となり、Ｉ／Ｏ要求を実行不可の場合、この値は「不可」となる。なお、第２のＩ／Ｏ可否４１５は、第２ストレージ装置１０ｂがＩ／Ｏ要求を実行可または不可の何れの設定であるかを示す値を有する。

　第１のＩ／Ｏ可否４１１の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の自ストレージのＩ／Ｏ可否３１１の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の他ストレージのＩ／Ｏ可否３１５の値と、連動する。第２のＩ／Ｏ可否４１５の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の他ストレージのＩ／Ｏ可否３１５の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の自ストレージのＩ／Ｏ可否３１の値と、連動する。

　第１のクォーラム属性４１２は、第１ストレージ装置１０ａがアクティブ属性又はスタンバイ属性の何れのクォーラム装置にアクセス可能であるかを示す値を有する。例えば、第１ストレージ装置１０ａがアクティブ属性のクォーラム装置にアクセス可能な場合、この値は「アクティブ」となり、スタンバイ属性のクォーラム装置にのみアクセス可能な場合、この値は「スタンバイ」となり、何れのクォーラム装置にもアクセス不可能な場合、この値は「なし」となる。なお、第２のクォーラム属性４１６は、第２ストレージ装置１０ｂがアクティブ属性又はスタンバイ属性の何れのクォーラム装置にアクセス可能であるかを示す値を有する。

　第１のクォーラム属性４１２の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の自ストレージのクォーラム属性３１２の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の他ストレージのクォーラム属性３１６の値と、連動する。第２のクォーラム属性４１６の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の他ストレージのクォーラム属性３１６の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の自ストレージのクォーラム属性３１２の値と、連動する。

　第１のクォーラム更新時刻４１３は、第１ストレージ装置１０ａがこのクォーラム保持テーブル４００を有するクォーラム装置に最後にアクセスした時刻（アクセス時刻）を値として有する。第１ストレージ装置１０ａは、生存している間、繰り返し（所定周期で）、第１のクォーラム更新時刻４１３の値（アクセス時刻）を更新する。すなわち、この第１のクォーラム更新時刻４１３の値が、所定周期よりも長く更新されない場合、第２ストレージ装置１０ｂは、第１ストレージ装置１０ａが生存していない又は第１ストレージ装置１０ａがこのクォーラム装置にアクセスできない可能性があると判定することができる。なお、第２のクォーラム更新時刻４１７は、第２ストレージ装置１０ｂがこのクォーラム装置に最後にした時刻を値として有する。

　第１のクォーラム更新時刻４１３の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の自ストレージのクォーラム更新時刻３１３の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の他ストレージのクォーラム更新時刻３１７の値と、連動する。第２のクォーラム更新時刻４１７の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の他ストレージのクォーラム更新時刻３１７の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の自ストレージのクォーラム更新時刻３１３の値と、連動する。

　第１のスタンバイフラグ４１４は、第１ストレージ装置１０ａが、スタンバイ属性のクォーラム装置について、２回目の確認であるか否かをチェックするための値を有する。この値は、初期状態で「オフ」であり、１回目の確認後に「オン」となる。よって、第１ストレージ装置は、この値が「オン」の場合、２回目の確認であると認識できる。この値は、後述のヘルスチェック処理（図８のＳ１３１）及びＩ／Ｏ要求実行処理（図９のＳ２４１）において用いられる。なお、第２のスタンバイフラグ４１８は、第２ストレージ装置１０ｂが、スタンバイ属性のクォーラム装置にについて、２回目の確認であるか否かをチェックするための値を有する。

　第１のスタンバイフラグ１４４の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の自ストレージのスタンバイフラグ３１４の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の他ストレージのスタンバイフラグ３１８の値と、連動する。第２のスタンバイフラグ４１８の値は、第１ストレージ装置１０ａの有するストレージ保持テーブル３００の他ストレージのスタンバイフラグ３１８の値と、第２ストレージ装置１０ｂの有するストレージ保持テーブル３００の自ストレージのスタンバイフラグ３１４の値と、連動する。

　次に、図６を参照しながら、アクティブ属性の第１クォーラム装置５０ａに障害１３０が発生した場合の情報システム１の動作例を説明する。

　第１ストレージ装置１０ａは、所定周期で実行されるヘルスチェック処理において、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂの第１のクォーラム更新時刻４１３の値を、今回のアクセス時刻に更新する。第２ストレージ装置１０ｂも同様に、所定周期で実行されるヘルスチェック処理において、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂにおける第２のクォーラム更新時刻４１７の値を、今回のアクセス時刻に更新する。第１ストレージ装置１０ａは、第１クォーラム装置５０ａ又は第２クォーラム装置５０ｂにおける第２のクォーラム更新時刻４１７の値が所定周期で更新されている場合、第２ストレージ装置１０ｂが生存中であると判定できる。第１ストレージ１０ａは、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂにおける第２のクォーラム更新時刻４１７の値が所定周期よりも長い時間更新されていない場合、第２ストレージ装置１０ｂが生存していない可能性があると判定できる。第２ストレージ装置１０ｂについても同様である。つまり、クォーラム保持テーブル４００の第１のクォーラム更新時刻４１３及び第２のクォーラム更新時刻４１７の値（つまり、アクセス時刻）は、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの生存可否を判定するために用いられる生存情報であり、生存可否を知らしめるために更新可能な情報であれば、アクセス時刻以外の情報、例えばカウント値であってもよい。

　なお、本実施例において、「相手ストレージ装置のアクセス時刻が所定周期で更新されている場合」とは、相手ストレージ装置のアクセス時刻を確認したときの時刻と、相手ストレージ装置の確認されたアクセス時刻との差分が閾値（例えば、所定周期、又は、所定周期＋所定時間）未満である場合でよい。「相手ストレージ装置のアクセス時刻が所定周期よりも長い時間更新されていない場合」とは、相手ストレージ装置のアクセス時刻をチェックしたときの時刻と、相手ストレージ装置のチェックされたアクセス時刻との差分が上記閾値以上である場合でよい。また、記録されるアクセス時刻は、ヘルスチェック処理の開始時刻であってもよい。また、生存情報を格納するとは、クォーラム装置内の情報を更新することであってもよいし、クォーラム装置内に情報を追記することでもよい。実施例では、生存情報の格納は、クォーラム装置内の情報（具体的にはアクセス時刻）の更新である。

　ここで、アクティブ属性の第１クォーラム装置５０ａに障害１３０が発生したとする。この場合、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、スタンバイ属性の第２クォーラム装置５０ｂをアクティブ属性に変更する。この状態で仮にストレージ間通信パス７に障害が発生したとしても、第１ストレージ装置１０ａは、このアクティブ属性に変更された第２クォーラム装置５０ｂの有するクォーラム保持テーブル４００の第２のクォーラム更新時刻４１７の値を確認することで、第２ストレージ装置１０ｂが生存しているか否かを判定することができる。第２ストレージ装置１０ｂも同様に、第１ストレージ装置１０ａの生存可否を判定できる。すなわち、一つのクォーラム装置に障害が発生したとしても、本情報システム１は、クォーラム装置が一つの場合のようにストレージ間通信パス７の障害に備えて二重化を解除することなく、二重化を維持することができる。

　次に、図７を参照しながら、ストレージ間通信パス７に障害１３１が発生した場合の情報システム１の動作例を説明する。

　ストレージ間通信パス７に障害１３１が発生した場合、第１ストレージ装置１０ａと第２ストレージ装置１０ｂとの間で同期リモートコピーをすることができない。よって、情報システム１は、ホスト計算機３への不正なデータの提供を防ぐため、一方のストレージ装置のみをＩ／Ｏ要求実行可とし、他方のストレージ装置をＩ／Ｏ要求実行不可とする。以下、具体的な動作の一例を述べる。

　図７の状況において、ホスト計算機３が第１ストレージ装置１０ａへＩ／Ｏ要求を送信すると、そのＩ／Ｏ要求を受信した第１ストレージ装置１０ａは、ストレージ間通信が可能か否かを判定する。ここでは、ストレージ間通信パス７に障害１３１があり、ストレージ間通信が不可能なため、第１ストレージ装置１０ａは、次の処理を実行する。

　すなわち、第１ストレージ装置１０ａは、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂにおける第１のクォーラム更新時刻４１３の値を今回のアクセス時刻に更新する。そして、第１ストレージ装置１０ａは、アクティブ属性である第１クォーラム装置５０ａにおける第２のクォーラム更新時刻４１７の値を参照し、ストレージ間通信パス７の障害を検知した時刻（「障害検知時刻」という）よりも後において、第２ストレージ装置１０ｂが第１ストレージ装置１０ａよりも先に第１クォーラム装置５０ａにアクセス済みであるか否かを判定する。例えば、第１ストレージ装置１０ａは、第１クォーラム装置５０ａにおける第２のクォーラム更新時刻４１７の値が、ストレージ間通信パス７の障害検知時刻よりも後であって、且つ、第１ストレージ装置１０ａの今回のアクセス時刻よりも前である場合、第２ストレージ装置１０ｂが先に第１クォーラム装置５０ａにアクセス済みであると判定する。

　第２ストレージ装置１０ｂが未だ第１クォーラム装置５０ａにアクセスしていない場合、又は第２のＩ／Ｏ可否４１５の値が「不可」に設定されている場合、第１ストレージ装置１０ａは、第１ストレージ装置１０ａをＩ／Ｏ要求実行可に設定する。つまり、第１ストレージ装置１０ａは、クォーラム保持テーブル４００の第１のＩ／Ｏ可否４１１の値４０３を「可」に設定（維持）する。そして、第１ストレージ装置１０ａは、その受信したＩ／Ｏ要求を処理すると共にホスト計算機３に対して成功応答を返す。

　一方、第２ストレージ装置１０ｂは、所定周期で実行されるヘルスチェック処理において、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂにおける第２のクォーラム更新時刻４１７の値を今回のアクセス時刻に更新する。

　そして、第２ストレージ装置１０ｂは、アクティブ属性である第１クォーラム装置５０ａを参照し、ストレージ間通信パス７の障害検知時刻よりも後において、第１ストレージ装置１０ａが第２ストレージ装置１０ｂよりも先に第１クォーラム装置５０ａにアクセス済みであるか否かを判定する。

　第１ストレージ装置１０ａが先に第１クォーラム装置５０ａにアクセス済みである場合、第２ストレージ装置１０ｂは、第２ストレージ装置１０ｂをＩ／Ｏ要求実行不可に設定する。つまり、第２ストレージ装置１０ｂは、クォーラム保持テーブル４００の第２のＩ／Ｏ可否４１５の値を「不可」に設定（変更）する。

　なお、ストレージ間通信パス７の障害検知時刻よりも以後において、第２ストレージ装置１０ｂが第１ストレージ装置１０ａよりも先にアクティブ属性である第１クォーラム装置５０ａにアクセス済みであった場合は、第２ストレージ装置１０ｂがＩ／Ｏ要求実行可となり、第１ストレージ装置１０ａがＩ／Ｏ要求実行不可となる。

　このように、情報システム１は、ストレージ間通信パス７に障害が発生した場合、一方のストレージ装置のみをＩ／Ｏ要求実行可とし、他方のストレージ装置をＩ／Ｏ要求実行不可とする。これにより、情報システム１は、ホスト計算機３への不正なデータの提供を防止することができる。なお、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂは、ストレージ間通信パス７の障害を検知した場合、障害検知時刻を、例えば、第１クォーラム装置５０ａ及び第２クォーラム装置５０ｂの少なくとも一つに記録しても良い。

　次に、図８を参照しながら、第１ストレージ装置１０ａと第２クォーラム装置５０ｂとの間の通信パス１２１に障害１３３が発生し、第２ストレージ装置１０ｂと第１クォーラム装置５０ａとの間の通信パス１１２に障害１３２が発生した場合の動作例について説明する。

　この場合、第１ストレージ装置１０ａと第２ストレージ装置１０ｂとが共有できるクォーラム装置が存在しない。つまり、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々が、クォーラム装置を用いて相手ストレージ装置の生存を確認することができない。よって、情報システム１は、ストレージ間通信パス７の障害に備えて、一方のストレージ装置をＩ／Ｏ要求実行可とし、他方のストレージ装置をＩ／Ｏ要求実行不可とする必要がある。そこで、情報システム１は、アクティブクォーラムにアクセスできるストレージ装置をＩ／Ｏ要求実行可とし、アクティブクォーラムにアクセスできないストレージ装置をＩ／Ｏ要求実行不可とする。以下、具体的な動作の一例を述べる。

　第１ストレージ装置１０ａは、所定周期で実行されるヘルスチェック処理において、アクティブ属性の第１クォーラム装置５０ａにはアクセスできるが、スタンバイ属性の第２クォーラム装置５０ｂにはアクセスできないことを認識する。第１ストレージ装置１０ａは、アクティブ属性の第１クォーラム装置５０ａにアクセスできるので、Ｉ／Ｏ要求実行可となる。

　一方、第２ストレージ装置１０ｂは、所定周期で実行されるヘルスチェック処理において、スタンバイ属性の第２クォーラム装置５０ｂにはアクセスできるが、アクティブ属性の第１クォーラム装置５０ａにはアクセスできないことを認識する。第２ストレージ装置１０ｂは、アクティブ属性の第１クォーラム装置５０ａにアクセスできないので、Ｉ／Ｏ要求実行不可となる。

　このように、情報システム１は、第１ストレージ装置１０ａと第２ストレージ装置１０ｂとが共有できるクォーラム装置が存在しない場合、ストレージ間通信パス７の障害に備えて、アクティブ属性のクォーラム装置にアクセスできるストレージ装置をＩ／Ｏ要求実行可とし、アクティブ属性のクォーラム装置にアクセスできないストレージ装置をＩ／Ｏ要求実行不可とする。これにより、情報システム１は、ホスト計算機３への不正なデータの提供を防止することができる。

　次に、図９を参照しながら、第１ストレージ装置１０ａに障害１３５が発生し、且つ、アクティブ属性の第１クォーラム装置５０ａにも障害１３４が発生した場合の情報システム１の動作例について説明する。

　この場合、第１ストレージ装置１０ａは、障害１３５により、Ｉ／Ｏ要求実行不可である。第２ストレージ装置１０ｂは、上記のとおり、アクティブ属性の第１クォーラム装置５０ａにアクセスできないので、第２ストレージ装置１０ｂはＩ／Ｏ要求実行不可となる。すなわち、システム全体がＩ／Ｏ要求実行不可となる。これは、以下の理由による。

　仮に第１ストレージ装置１０ａがホスト計算機３から受信したライト要求に係るデータをライトした後、そのデータが第２ストレージ装置１０ｂと同期される前に、第１ストレージ装置１０ａに障害が発生したとする。このような状態で仮に第２ストレージ装置１０ｂがホスト計算機３からそのライトデータのリード要求を処理してしまうと、第２ストレージ装置１０ｂは、ホスト計算機３が期待するデータとは異なる不正なデータを提供してしまう。

　つまり、このような不正なデータをホスト計算機３に提供してしまうことを防止するために、情報システム１は、上述のように第２ストレージ装置１０ｂをＩ／Ｏ要求実行不可とするのである。

　以下、図１０のフローチャートを参照しながら、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂのぞれぞれで実行されるヘルスチェック処理について説明する。第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、所定の周期で以下のヘルスチェック処理を実行する。

　ストレージ装置は、アクティブクォーラムにアクセス可能か否かを判定する（Ｓ１０１）。

　以下、ストレージ装置がアクティブクォーラムにアクセス可能な場合（Ｓ１０１：ＹＥＳ）について説明する。ストレージ装置は、自ストレージ装置によるアクティブクォーラムへのアクセス時刻によって、このアクティブクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新する（Ｓ１０２）。次に、ストレージ装置は、ストレージ間通信が可能か否かを判定する（Ｓ１０３）。

　ストレージ間通信が不可能な場合（Ｓ１０３：ＮＯ）、ストレージ装置は、ストレージ間通信パス７の障害検知時刻よりも以降に、先に相手ストレージ装置がアクティブクォーラムにアクセス済みであるか否かを判定する（Ｓ１０４）。

　先に相手ストレージ装置がアクティブクォーラムにアクセス済みである場合（Ｓ１０４：ＹＥＳ）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行「不可」に設定し、Ｓ１０６へ進む。相手ストレージ装置が未だアクティブクォーラムにアクセスしていない場合（Ｓ１０４：ＮＯ）、ストレージ装置は、そのままＳ１０６へ進む。

　ストレージ装置は、スタンバイクォーラムにアクセス可能か否かを判定する（Ｓ１０６）。スタンバイクォーラムにアクセス可能な場合（Ｓ１０６：ＹＥＳ）、ストレージ装置は、自ストレージ装置によるスタンバイクォーラムへのアクセス時刻によって、このスタンバイクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新し（Ｓ１０７）、当該処理を終了する（終了）。スタンバイクォーラムにアクセス不可能な場合（Ｓ１０６：ＮＯ）、ストレージ装置は、そのまま当該処理を終了する（終了）。

　以下、ストレージ装置がアクティブクォーラムにアクセス不可能な場合（Ｓ１０１：ＮＯ）について説明する。ストレージ装置は、ストレージ間通信が可能か否かを判定する（Ｓ１１１）。

　以下、ストレージ間通信が可能な場合（Ｓ１１１：ＹＥＳ）について説明する。ストレージ装置は、スタンバイクォーラムにアクセス可能か否かを判定する（Ｓ１１２）。スタンバイクォーラムにアクセス不可能な場合（Ｓ１１２：ＮＯ）、ストレージ装置は、第２ストレージ装置１０ｂをＩ／Ｏ要求実行不可に設定し（Ｓ１１３）、当該処理を終了する（終了）。つまり、アクティブ属性及びスタンバイ属性の何れのクォーラム装置にもアクセス不可であり、且つ、ストレージ間通信が可能な場合は、ホスト計算機３から優先的にアクセスされる第１ストレージ装置１０ａのみをＩ／Ｏ要求実行可とし、第２ストレージ装置１０ｂをＩ／Ｏ要求実行不可とする。

　スタンバイクォーラムにアクセス可能な場合（Ｓ１１２：ＹＥＳ）、ストレージ装置は、このスタンバイクォーラムの属性をアクティブ属性に変更する（Ｓ１１４）。そして、ストレージ装置は、このアクティブ属性に変更されたクォーラム装置の有するクォーラム更新時刻（３１３または３１７）の値を更新し（Ｓ１１５）、当該処理を終了する（終了）。

　以下、ストレージ間通信が不可能な場合（Ｓ１１１：ＮＯ）について説明する。ストレージ装置は、スタンバイクォーラムにアクセス可能か否かを判定する（Ｓ１２１）。

　スタンバイクォーラムにアクセス不可能な場合（Ｓ１２１：ＮＯ）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定し（Ｓ１４０）、当該処理を終了する（終了）。すなわち、アクティブ属性及びスタンバイ属性の何れのクォーラム装置にもアクセスできず、且つ、ストレージ間通信も不可能なストレージ装置は、Ｉ／Ｏ要求実行不可となる。

　スタンバイクォーラムにアクセス可能な場合（Ｓ１２１：ＹＥＳ）、ストレージ装置は、相手ストレージ装置が先にスタンバイクォーラムにアクセス済みであるか否かを確認する（Ｓ１２２）。

　相手ストレージ装置が先にスタンバイクォーラムにアクセス済みである場合（Ｓ１２２：ＹＥＳ）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定し（Ｓ１２３）、当該処理を終了する（終了）。

　相手ストレージ装置が未だスタンバイクォーラムにアクセスしていない場合（Ｓ１２２：ＮＯ）、ストレージ装置は、スタンバイフラグ（４１４または４１８）の値を参照し、これが１回目の確認であるか否かを判定する（Ｓ１３１）。

　これが１回目の確認である場合（Ｓ１３１：１回目）、ストレージ装置は、自ストレージ装置によるアクセス時刻によって、スタンバイクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新し（Ｓ１３２）、いったん当該処理を終了する（終了）。その後、ストレージ装置は、次回のヘルスチェック処理において以下の「２回目」の処理を実行する。

　これが２回目の確認である場合（Ｓ１３１：２回目）、ストレージ装置は、スタンバイクォーラムのＩ／Ｏ可否（４１１または４１５）を参照し、相手ストレージ装置がＩ／Ｏ要求実行不可の設定であるか否かを判定する（Ｓ１３３）。

　相手ストレージ装置がＩ／Ｏ要求実行不可の設定である場合（Ｓ１３３：不可）、ストレージ装置は、Ｉ／Ｏ要求実行可のまま当該処理を終了する（終了）。なぜなら、相手ストレージ装置は、生存しているものの何らかの理由によりＩ／Ｏ要求実行不可となったのだから、自ストレージ装置がＩ／Ｏ要求実行可である必要がある。

　相手ストレージ装置がＩ／Ｏ要求実行可のままである場合（Ｓ１３３：可）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定し（Ｓ１４０）、当該処理を終了する（終了）。なぜなら、この場合、相手ストレージ装置の生存を確認できていないので、自ストレージ装置もＩ／Ｏ要求実行不可となり、ホスト計算機３に対して不正なデータを提供することを防止する必要があるためである。

　以下、図１１のフローチャートを参照しながら、Ｉ／Ｏ要求処理について説明する。第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、ホスト計算機３からＩ／Ｏ要求を受信した場合に、以下のＩ／Ｏ要求処理を実行する。なお、本実施例のホスト計算機３は、先に第１ストレージ装置１０ａにＩ／Ｏ要求を送信し、これに失敗した場合、第２ストレージ装置１０ｂにこのＩ／Ｏ要求を送信する。

　ストレージ装置は、ホスト計算機３からＩ／Ｏ要求を受信すると、ストレージ間通信が可能な否かを判定する（Ｓ２０１）。

　ストレージ間通信が可能な場合（Ｓ２０１：ＹＥＳ）、ストレージ装置は、Ｉ／Ｏ要求を実行し（Ｓ２０３）、当該処理を終了する（終了）。なお、ホスト計算機３からのＩ／Ｏ要求がライト要求であった場合、ストレージ装置は、そのライトデータを、ストレージ間通信パス７を通じて、相手ストレージ装置に同期リモートコピーする。ストレージ間でデータの整合性を保つためである。

　次に、ストレージ装置が、ストレージ間通信が不可能な場合（Ｓ２０１：ＮＯ）について説明する。この場合、ストレージ装置は、アクティブクォーラムにアクセス可能か否かを判定する（Ｓ２１１）。

　以下、ストレージ装置が、アクティブクォーラムにアクセス可能な場合（Ｓ２１１：ＹＥＳ）について説明する。この場合、ストレージ装置は、自ストレージ装置によるアクセス時刻によって、アクティブクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新する（Ｓ２１２）。そして、ストレージ装置は、スタンバイクォーラムにアクセス可能か否かを判定する（Ｓ２１３）。ストレージ装置は、スタンバイクォーラムにアクセス可能な場合（Ｓ２１３：ＹＥＳ）、自ストレージ装置によるアクセス時刻によって、スタンバイクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新し（Ｓ２１４）、Ｓ２０３へ進む。ストレージ装置は、スタンバイクォーラムにアクセス不可能な場合（Ｓ２１３：ＮＯ）、そのままＳ２０３へ進む。

　Ｓ２０３において、ストレージ装置は、Ｉ／Ｏ要求を実行し（Ｓ２０３）、当該処理を終了する（終了）。例えば、第１ストレージ装置１０ａがアクティブクォーラムにアクセス可能な場合は、第１ストレージ装置１０ａがＩ／Ｏ要求を実行するので、第２ストレージ装置１０ｂは、ホスト計算機３からＩ／Ｏ要求を受信しない。よって、ストレージ間通信が不可能な場合であっても、情報システム１は、ホスト計算機３に対して不正なデータを提供しない。

　以下、ストレージ装置が、アクティブクォーラムにアクセス不可能な場合（Ｓ２１１：ＮＯ）について説明する。この場合、ストレージ装置は、スタンバイクォーラムにアクセス可能か否かを判定する（Ｓ２２１）。スタンバイクォーラムにアクセス不可能な場合（Ｓ２２１：ＮＯ）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定する（Ｓ２６０）と共にホスト計算機３に対してＩ／Ｏ失敗応答を返し（Ｓ２６１）、当該処理を終了する（終了）。すなわち、アクティブ属性及びスタンバイ属性の何れのクォーラム装置にもアクセス不可能であり、且つ、ストレージ間通信が不可能なストレージ装置は、Ｉ／Ｏ要求を実行しない。なぜなら、このようなストレージ装置にデータがライトされると、ストレージ間でデータの不整合が生じるおそれがあるためである。例えば、第１ストレージ装置１０ａがＩ／Ｏ失敗応答を返すと、ホスト計算機３は、次に第２ストレージ装置１０ｂにＩ／Ｏ要求を送信する。

　スタンバイクォーラムにアクセス可能な場合（Ｓ２２１：ＹＥＳ）、ストレージ装置は、ストレージ間通信パス７の障害検知時刻よりも以降に、先に相手ストレージ装置がそのスタンバイクォーラムにアクセス済みであるか否かを確認する（Ｓ２２２）。

　先に相手ストレージ装置がスタンバイクォーラムにアクセス済みである場合（Ｓ２２２：ＹＥＳ）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定する（Ｓ２２３）。そして、ストレージ装置は、ホスト計算機３に対してＩ／Ｏ失敗応答を返し（Ｓ２２４）、当該処理を終了する（終了）。なぜなら、先に相手ストレージ装置がスタンバイアクセスにアクセス済みであるということは、相手ストレージ装置が生存していることも意味するからである。

　相手ストレージ装置が未だスタンバイクォーラムにアクセスしていない場合（Ｓ２２２：ＮＯ）、ストレージ装置は、スタンバイフラグ（４１４または４１８）の値を参照し、これが１回目の確認であるか否かを判定する（Ｓ２３１）。

　これが１回目の確認である場合（Ｓ２３１：１回目）、ストレージ装置は、自ストレージ装置によるアクセス時刻によって、スタンバイクォーラムの有するクォーラム更新時刻（３１３または３１７）の値を更新する（Ｓ２３２）。そして、ストレージ装置は、ヘルスチェック処理の所定周期よりも長い時間待機した後（Ｓ２３３）、Ｓ２０１の処理へ戻る。そして、ストレージ装置は、２回目の確認において（Ｓ２３１：２回目）、以下の処理を実行する。

　ストレージ装置は、スタンバイクォーラムのＩ／Ｏ可否（４１１または４１５）を参照し、相手ストレージ装置がＩ／Ｏ要求実行不可であるか否かを判定する（Ｓ２４１）。

　相手ストレージ装置がＩ／Ｏ要求実行不可である場合（Ｓ２４１：不可）、ストレージ装置は、Ｉ／Ｏ要求実行可の設定を維持し、Ｉ／Ｏ要求を実行し（Ｓ２０３）、当該処理を終了する（終了）。相手ストレージ装置が、Ｉ／Ｏ要求実行可の設定である場合（Ｓ２４１：可）、ストレージ装置は、自ストレージ装置をＩ／Ｏ要求実行不可に設定（変更）する（Ｓ２６０）。そして、ストレージ装置は、ホスト計算機３に対してＩ／Ｏ失敗応答を返し（Ｓ２６１）、当該処理を終了する（終了）。なぜなら、この場合、相手ストレージ装置の生存を確認できていないので、自ストレージ装置もＩ／Ｏ要求実行不可となり、ホスト計算機３に対して不正なデータを提供することを防止する必要があるためである。

　以下、図１２の表５００を参照しながら、上述のヘルスチェック処理時におけるストレージ装置のＩ／Ｏ要求の実行可否の変更を整理する。

（１）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラム及びスタンバイクォーラムへアクセス可能な場合、Ｉ／Ｏ要求実行可の設定を維持する（５１１）。
（２）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラムへアクセス可能であり、スタンバイクォーラムへアクセス不可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５１２）。
（３）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス可能である場合、スタンバイクォーラムの属性を「アクティブ」に変更し、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５１３）。
（４）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラム及びスタンバイクォーラムにアクセス不可能である場合、第２ストレージ装置をＩ／Ｏ要求実行不可に設定し、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５１４）。
（５）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラム及びスタンバイクォーラムにアクセス可能である場合、相手ストレージ装置が先にアクティブクォーラムにアクセス済みであるならば、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更し、自ストレージ装置が先にアクティブクォーラムへアクセスしたならば、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５１５）。
（６）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス可能であり、スタンバイクォーラムへアクセス不可能である場合、相手ストレージ装置が先にアクティブクォーラムにアクセス済みであるならば、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更し、自ストレージ装置が先にアクティブクォーラムへアクセスしたならば、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５１６）。
（７）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス可能である場合、相手ストレージ装置が先にスタンバイクォーラムへアクセス済みであるならば、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更し、自ストレージ装置が先にスタンバイクォーラムへアクセスしたならば、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５１７）。
（８）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス不可能である場合、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更する（５１８）。
　なお、図９に示すように、一方のストレージ装置に障害が発生した場合については、他方の正常なストレージ装置からはストレージ間通信に障害が発生した場合と同じように見えるので、上記（５）～（８）のパターンに該当することとなる。これは、次の図１３においても同様である。

　以下、図１３の表５２０を参照しながら、上述のＩ／Ｏ要求処理時におけるストレージ装置のＩ／Ｏ要求の実行可否の変更を整理する。

（１）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラム及びスタンバイクォーラムへアクセス可能な場合、Ｉ／Ｏ要求実行可の設定を維持する（５３１）。
（２）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラムへアクセス可能であるが、スタンバイクォーラムへアクセス不可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５３２）。
（３）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５３３）。
（４）ストレージ装置は、ストレージ間通信が可能であり、アクティブクォーラム及びスタンバイクォーラムにアクセス不可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５３４）。
（５）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラム及びスタンバイクォーラムにアクセス可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５３５）。
（６）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス可能であり、スタンバイクォーラムへアクセス不可能である場合、Ｉ／Ｏ要求実行可の設定を維持する（５３６）。
（７）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス可能である場合、相手ストレージ装置が先にスタンバイクォーラムへアクセス済みであるならば、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更し、自ストレージ装置が先にスタンバイクォーラムへアクセスしたならば、自ストレージ装置のＩ／Ｏ要求実行可の設定を維持する（５３７）。
（８）ストレージ装置は、ストレージ間通信が不可能であり、アクティブクォーラムへアクセス不可能であり、スタンバイクォーラムへアクセス不可能である場合、自ストレージ装置の設定をＩ／Ｏ要求実行不可に変更する（５３８）。

　なお、上述の説明において、ヘルスチェック処理およびＩ／Ｏ要求実行処理は「ストレージ装置」により行われるが、詳細には、ストレージコントローラにより行われる。

　上述した本発明の実施例は、本発明の説明のための例示であり、本発明の範囲をその実施例にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。

　例えば、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、自分のストレージ装置がＩ／Ｏ要求実行不可の設定となった場合、その旨をホスト計算機３に通知しても良い。そして、ホスト計算機３は、その通知を受信した場合、それ以降、その通知の送信元のストレージ装置にはＩ／Ｏ要求を送信しない設定としても良い。

　また、例えば、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、それらのストレージ装置１０ａ及び１０ｂを管理する管理計算機（図示せず）に、検出結果（例えば、ストレージ間通信が不可能又は可能となった、第１クォーラム装置５０ａにアクセス不可能又は可能となった、第２クォーラム装置５０ｂにアクセス不可能又は可能となった等）を通知し、管理計算機が、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々からの通知（検出結果）を基に、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々に対して、設定（Ｉ／Ｏ要求実行可又はＩ／Ｏ要求実行不可）の変更を要求してもよく、第１ストレージ装置１０ａ及び第２ストレージ装置１０ｂの各々は、管理計算機からの要求に応答して、設定を変更してもよい。また、クォーラム装置の属性の変更も、管理計算機からの要求に応答して行われてもよい。

　１…情報システム　１０ａ…第１ストレージ装置　１０ｂ…第２ストレージ装置　５０ａ…第１クォーラム装置　５０ｂ…第２クォーラム装置　７…ストレージ間通信パス

Claims

　ライト要求又はリード要求であるＩ／Ｏ要求を送信するホスト計算機に接続され且つライト要求を受信した場合に前記受信したライト要求に従うデータを相手のストレージ装置へコピーするようにそれぞれがなっている第１及び第２ストレージ装置と、
　前記第１及び第２ストレージ装置に接続された第１クォーラム装置と、
　前記第１及び第２ストレージ装置に接続された第２クォーラム装置と
を備え、
　前記第１及び第２ストレージ装置の各々は、Ｉ／Ｏ要求を実行するか否かの設定である実行可否設定に従い、Ｉ／Ｏ要求を実行するか否かを制御するようになっており、
　前記第１及び第２ストレージ装置の各々は、繰り返し実行される処理であるヘルスチェック処理において、
　　自分のストレージ装置が生存中である旨を示す生存情報を前記第１及び第２クォーラム装置に格納し、
　　前記第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否かをチェックし、
　　自分のストレージ装置の前記実行可否設定を、前記第１及び第２クォーラム装置の一方又は両方に生存情報を格納可能か否か、及び、前記第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否か、のうちの少なくとも一つに基づく設定とする、
情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、同期コピーが可能であり、且つ、前記第１及び第２クォーラム装置のうち少なくとも一つに自分のストレージ装置と相手のストレージ装置との両方が生存情報を格納可能な場合、前記実行可否設定を、Ｉ／Ｏ要求を実行可能な設定とする
請求項１に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記第１及び第２クォーラム装置の一方について属性を第１属性と設定し他方について属性を第２属性と設定し、
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、第１属性のクォーラム装置から相手のストレージ装置の生存情報を確認できない場合に、第２属性のクォーラム装置から相手のストレージ装置の生存情報を確認する
請求項２に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、同期コピーが可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置にも生存情報を格納不可能である場合、前記第１及び第２ストレージ装置のうちの一方が、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とする
請求項３に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、同期コピーが可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置についての属性の設定を第１属性に変更する
請求項４に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも後であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とする
請求項３に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも先であり、且つ、相手のストレージ装置の前記実行可否設定がＩ／Ｏ要求を実行不可能な設定であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行可能な設定とする
請求項６に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ホスト計算機から受信したＩ／Ｏ要求の処理において、同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置にも生存情報を格納不可能である場合、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とし、且つ、前記受信したＩ／Ｏ要求に対する失敗応答を前記ホスト計算機に送信する
請求項３に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ホスト計算機から受信したＩ／Ｏ要求の処理において、同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも後であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とし、且つ、前記受信したＩ／Ｏ要求に対する失敗応答をホスト計算機に送信する
請求項８に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ヘルスチェック処理において、
　　同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも後であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とし、
　　同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも先であり、且つ、相手のストレージ装置がＩ／Ｏ要求を実行不可能な設定であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行可能な設定とする
請求項５に記載の情報システム。
　前記第１及び第２ストレージ装置の各々は、前記ホスト計算機から受信したＩ／Ｏ要求の処理において、
　　同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置にも生存情報を格納不可能である場合、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とし、且つ、前記受信したＩ／Ｏ要求に対する失敗応答を前記ホスト計算機に送信し、
　　同期コピーが不可能であり、前記第１属性のクォーラム装置に生存情報を格納不可能であり、且つ、前記第２属性のクォーラム装置に生存情報を格納可能である場合、前記第２属性のクォーラム装置への自分のストレージ装置による生存情報の格納が、同期コピーが不可能となった後における相手のストレージ装置による生存情報の格納よりも後であるならば、自分のストレージ装置の前記実行可否設定を、Ｉ／Ｏ要求を実行不可能な設定とし、且つ、前記受信したＩ／Ｏ要求に対する失敗応答をホスト計算機に送信する
請求項３に記載の情報システム。
　ライト要求又はリード要求であるＩ／Ｏ要求を送信するホスト計算機にそれぞれ接続されライト要求を受信した場合に前記受信したライト要求に従うデータを相手のストレージ装置へ同期コピーするようにそれぞれがなっている第１及び第２ストレージ装置を含み、前記第１及び第２ストレージ装置の各々が、Ｉ／Ｏ要求を実行するか否かの設定である実行可否設定に従いＩ／Ｏ要求を実行するか否かを制御するようになっているシステム、において実行されるＩ／Ｏ処理方法であって、
　前記第１及び第２ストレージ装置の各々は、繰り返し実行される処理であるヘルスチェック処理において、
　　自分のストレージ装置が生存中である旨を示す生存情報を、前記第１及び第２ストレージ装置の各々に接続されている第１及び第２クォーラム装置に格納し、
　　前記第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否かをチェックし、
　　自分のストレージ装置の前記実行可否設定を、前記第１及び第２クォーラム装置の一方又は両方に生存情報を格納可能か否か、及び、前記第１及び第２クォーラム装置の何れかから相手のストレージ装置の生存情報を確認できるか否か、のうちの少なくとも一つに基づく設定とする
Ｉ／Ｏ処理方法。