WO2018173698A1

WO2018173698A1 - 監視システム、コンピュータ可読記憶媒体および監視方法

Info

Publication number: WO2018173698A1
Application number: PCT/JP2018/008031
Authority: WO
Inventors: 朝信丹羽; 雅典宮澤; 林　通秋
Original assignee: Kddi株式会社
Priority date: 2017-03-22
Filing date: 2018-03-02
Publication date: 2018-09-27
Also published as: JP6775452B2; JP2018160020A

Abstract

物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視する監視システムは、前記各コンポーネントのシステム資源情報および前記各コンポーネント間の通信資源情報を取得し、前記各コンポーネントのシステム資源情報に基づく値および前記各コンポーネント間の通信資源情報に基づく値を用い、一定の時間間隔で、前記各コンポーネントをノードとし、前記各コンポーネント間の相関関係をエッジとしたグラフを作成するグラフ生成手段と、特定のノードおよび前記特定のノードからの距離が所定値以下である他のノード並びに前記特定のノードと前記他のノードとを接続するエッジに対して異常検知アルゴリズムを適用し、前記グラフの時系列的な変化を検出するグラフ解析手段と、を備えている。

Description

監視システム、コンピュータ可読記憶媒体および監視方法

　本発明は、物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視する技術に関する。

　従来から、クラウドコンピューティングと呼ばれる技術が知られている。この技術は、物理計算機（物理マシンまたは物理サーバ）に仮想化技術を適用することで仮想化基盤（クラウド基盤）を構築し、この仮想化基盤上に仮想計算機（仮想マシンまたは仮想サーバ）を動作させる。そして、この仮想計算機上でアプリケーションを実行することでサービスを提供する。

　このようなクラウドコンピューティングでは、動的に仮想計算機を作成し、破棄し、移動することができるため、仮想計算機上で実行されるサービスの利用形態に応じて、コンピューティング、ストレージ、ネットワーク等のリソースを、仮想計算機に柔軟に割り当てすることができる。さらに、物理計算機の異常や障害の発生時には、物理計算機上で動作している仮想計算機を、別の健全な物理計算機に移動させることも容易であるため、高い可用性を担保できるという特徴もある。

　仮想化基盤は、種々の機能が連携することでクラウドコンピューティングサービスを実現する。例えば、仮想基盤操作へのアクセス権限を管理する認証機能、仮想計算機の作成、破棄を管理するコンピュート機能、仮想計算機の起動イメージを管理するイメージ管理機能、仮想計算機にストレージを提供するストレージ機能、仮想計算機にネットワークを提供するネットワーキング機能、仮想化基盤制御システムにおけるウェブインターフェースを提供するダッシュボード機能等である。さらに、このような各機能は、データベース、メッセージキュー、ＨＴＴＰサービス、ＮＴＰサービス等を提供するミドルウェアと相互に連携し、動作する。

　図６は、仮想化基盤の構成の一例を示す図である。図６では、仮想計算機を実行する仮想化基盤を「コンピュートノード」、コンピュートノードをコントロールする仮想化基盤を「コントローラノード」とし、それぞれの機能やミドルウェアが連携する様子を示している。以下、仮想化基盤を構成する各機能と、各機能と連携する各ミドルウェアを総称して、「仮想化基盤の構成要素」、「コンポーネント」と呼ぶ。

　安定したクラウドコンピューティングサービスを提供するには、仮想化基盤には高い耐障害性が求められ、特に仮想化基盤の異常や障害を迅速に発見することは、クラウドコンピューティングサービスの品質を向上させる上で重要である。直接的な手段としては、仮想化基盤の異常や障害の発生時に、管理者が各コンポーネントのログを解析し、解析結果に応じて対策が講じられている。

　特許文献１および２には、各コンポーネントの異常や障害を検出する技術が開示されている。特許文献１に記載されている技術では、アプリケーションのログを監視し続け、所定のログメッセージの出現頻度が所定回数以上であった場合や、ログ更新が所定時間間隔以上行なわれなかった場合を障害としてみなしている。

　特許文献２に記載されている技術では、アプリケーションが自発的に発生させたコンテキストスイッチ回数とオペレーションシステムがアプリケーションを制御するために発生させたコンテキストスイッチ回数を監視し、これらコンテキストスイッチ回数の変化度合と、アプリケーションのプロセス状態を関連づけることで、アプリケーションの異常を検出する。

　特許文献３および非特許文献１には、仮想化基盤の異常や障害を検出する技術が開示されている。特許文献３に記載されている技術では、仮想化基盤のＣＰＵ使用率やメモリ使用率等の性能情報を収集し、クラスタリングアルゴリズムを用いて正常な状態との乖離を検出することで、仮想化基盤の異常を検出する。

　非特許文献１に記載されている技術では、仮想化基盤のオープンソース実装である「OpenStack」に焦点を当て、障害を意図的に挿入することで、予めバグや障害要因を特定する。

特許第４２３０９４６号明細書特許第４５６２５６８号明細書特開２０１５－０７０５２８号公報

Xiaoen Ju et al., On Fault Resilience of OpenStack, SOCC 2013, DOI:10.1145/2523616.2523622

　しかしながら、仮想化基盤の異常や障害の発生時に、管理者が各コンポーネントのログを解析し、解析結果に応じて対策を講じる手法では、各コンポーネントに対する十分な知見が求められる。このため、各コンポーネントが複雑に連携している状況下においては、一般的に、管理者が異常や障害の原因を早期に特定することは困難である。

　特許文献１に記載されている技術では、管理者が障害時にアプリケーションがどのようなログを出力するかを予め把握するか、アプリケーションが所定のログを出力するようにアプリケーションのソースコードを改修する必要がある。このように、特許文献１では、コンポーネントのログを解析することで障害の検出を試みるが、仮想化基盤の挙動に対して深い知見が要求される。また、例えば、仮想化基盤のバージョンアップ等ログの仕様が変更される度に監視システムの改修が必要となる。

　また、特許文献２に記載されている技術は、アプリケーションがＣＰＵを使用し続ける無限ループや、アプリケーションが「Ｉ／Ｏ待ち」や「ＣＰＵ待ち」で停止するといった単純な異常事象に対しては有効である。しかしながら、特許文献２に記載されている技術では、メモリリーク等のコンテキストスイッチが関与しない異常を検出できない。すなわち、検出できる障害が限定的である。

　また、特許文献３に記載されている技術では、物理計算機や仮想計算機の異常を検出することはできる。しかしながら、コンポーネントの異常や障害そのものを検出するわけではないため、根本原因となるコンポーネントを特定することができず、異常や障害の切り分け、対応には適用することができない。

　また、非特許文献１に記載されている技術では、ログ解析が必要とされるため、各コンポーネントについて深い知識が要求される。また、障害を挿入するという性質上、稼働中の仮想化基盤には適用できず、障害発生時に即座に障害を検出できない。

　このように、従来から種々の技術が提案されてきたが、仮想化基盤は複数のコンポーネントから構成されており、これらコンポーネントが複雑に連携していることから、依然として、異常や障害の早期検出、特定が容易ではない。

　本発明の一態様によると、物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視する監視システムは、前記各コンポーネントのシステム資源情報および前記各コンポーネント間の通信資源情報を取得し、前記各コンポーネントのシステム資源情報に基づく値および前記各コンポーネント間の通信資源情報に基づく値を用い、一定の時間間隔で、前記各コンポーネントをノードとし、前記各コンポーネント間の相関関係をエッジとしたグラフを作成するグラフ生成手段と、特定のノードおよび前記特定のノードからの距離が所定値以下である他のノード並びに前記特定のノードと前記他のノードとを接続するエッジに対して異常検知アルゴリズムを適用し、前記グラフの時系列的な変化を検出するグラフ解析手段と、を備えている。

　本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。

本実施形態に係る仮想化基盤の監視システムの概略構成を示す図である。グラフ生成部が作成したグラフの一例を示す図である。時刻ｔ０、ｔ１、ｔ２にグラフが生成され、時々刻々とグラフ構造が変化している様子を示す図である。特定のノードＣとの隣接距離がＮ＝１であるノードＢ、ノードＤ、ノードＥと、それらを接続するエッジを表す図である。時刻ｔ０～ｔ９の時系列グラフをクラスタリングし、異常を検出した例を示す。仮想化基盤の構成の一例を示す図である。

　本発明者らは、仮想化基盤が複数のコンポーネントから構成されており、これらのコンポーネントが複雑に連携しているため、異常や障害の早期検出や特定が容易ではないことに着目し、仮想化基盤を構成するコンポーネントとコンポーネントの相関関係をグラフ化し、グラフ構造の時系列変化の異常を検出することによって、仮想化基盤の管理者が、仮想化基盤を構成する各コンポーネントに対して十分な知見を有していない場合においても、仮想化基盤やコンポーネントの異常を把握できることを見出し、本発明に至った。

　本実施形態では、仮想化基盤を構成するコンポーネントをノード、コンポーネントの相関をエッジと見立てたグラフを時系列毎に作成する。グラフの構成要素であるノードは、コンポーネントの使用するシステム資源情報（CPU使用時間、メモリ使用量、I/O情報等）、またはシステム資源情報から導出される情報を属性として有する。グラフの構成要素であるエッジは、コンポーネント間で送受信される通信資源情報（トラフィック量、パケット数、ソケットの再起動回数等）、または通信資源情報から導出される情報を属性として有する。そして、ある時間区間における属性から定まるグラフ構造を取得し、グラフ構造の時系列変化を監視し、グラフ構造の異常を検出する。これにより、仮想化基盤システムの異常を検出する。

　図１は、本実施形態に係る仮想化基盤の監視システムの概略構成を示す図である。この仮想化基盤の監視システムは、物理計算機上に構成された仮想化基盤解析システム１と、複数の物理計算機１０－１～１０－ｎ上に構成された複数の仮想化基盤２０－１～２０－ｎから構成されている。前提として、図１に示す各仮想化基盤２０－１～２０－ｎにおいて、仮想化基盤を構成する各機能および各機能と連携する各ミドルウェアとしてのコンポーネントが設けられているが、ここでは図示していない。また、図１では、仮想化基盤解析システム１と、複数の物理計算機１０－１～１０－ｎ上に構成された複数の仮想化基盤２０－１～２０－ｎを示したが、本発明は、これに限定されるわけではなく、同一の物理計算機上に仮想化基盤解析システム１および複数の仮想化基盤２０－１～２０－ｎを構成することもできるし、単一の物理計算機上に仮想化基盤解析システム１を構成し、他の単一の物理計算機上に複数の仮想化基盤２０－１～２０－ｎを構成することも可能である。

　図１に示す各仮想化基盤２０－１～２０－ｎにおいて、システム資源情報収集部２２は、各コンポーネントが使用するシステム資源情報２１を一定時間間隔で収集する。ここで、使用するシステム資源情報とは、例えば、ユーザＣＰＵ使用時間、システムＣＰＵ使用時間、メモリ使用量、スワップ量、ページフォールト数、ディスクアクセス数、ディスク書き込み数等である。Ｌｉｎｕｘ（登録商標）では、ｐｒｏｃファイルシステム（/proc配下のファイル）のファイルの参照、あるいはコマンドを実行することで情報を取得可能である。システム資源情報加工部２３は、システム資源情報収集部２２が取得した情報に対して、統計的処理（前回取得した値との差分や平均値からの乖離の算出等）や規格化（パーセンテージ化や正規化等）をする。

　通信資源情報収集部２５は、各コンポーネントが使用する通信資源情報２４を一定時間間隔で収集する。使用する通信資源情報とは、例えば、プロトコル、パケットサイズ、パケット数、使用しているソケットの数等である。Ｌｉｎｕｘ（登録商標）では、パケットキャプチャ情報と、各コンポーネントが使用するソケット情報とを紐付けることで情報を取得可能である。通信資源情報加工部２６は、通信資源情報収集部２５が取得した情報に対して、統計的処理（前回取得した値との差分や平均値からの乖離の算出等）や規格化（パーセンテージ化や正規化等）をする。

　送信部２７は、加工したシステム資源情報や加工した通信資源情報（以下、「資源情報」と呼称する。）を仮想化基盤解析システム１に送信する。

　一方、仮想化基盤解析システム１において、受信部２は、複数の物理計算機１０－１～１０－ｎの送信部２７から送信された資源情報を受信し、資源情報保存部３に保存する。グラフ生成部４は、資源情報保存部３内の資源情報をもとに、コンポーネントを「ノード」、コンポーネントの相関を「エッジ」としたグラフを生成し、グラフ保存部５に保存する。ここで、ノードやエッジは、資源情報や資源情報から計算される変換値を有する。

　グラフ解析部６は、グラフ生成部４が生成した現時刻のグラフと、グラフ保存部５に保存された過去のグラフとを比較し、グラフ構造の時系列変動を検証する。グラフ構造の時系列変動が正常と異なれば、仮想化基盤に障害が発生したと判定する。グラフ表示部７は、仮想化基盤の管理者にグラフを表示するインターフェースを提供する。解析結果送信部８は、グラフ解析結果を外部監視システムに送信する。

　次に、本実施形態に係るグラフ生成部４について説明する。グラフ生成部４では、コンポーネントをノード、コンポーネントの相関をエッジとしたグラフを生成する。図２は、グラフ生成部４が作成したグラフの一例を示す図である。図２では、２つの物理計算機（ホスト＿１とホスト＿２）上で動作するコンポーネントから成るグラフの例を示している。ノードは、ホスト名とコンポーネント名（あるいはコンポーネントを実行するプロセス名）の組を識別子として、各コンポーネントが使用するシステム資源情報（例えば、CPU使用時間、メモリ使用量、ディスクI/O量等）、またはシステム資源情報を元に計算される値を属性に持つ。エッジは、通信をする送信ノードと受信ノードの組を識別子として、各エッジは通信資源情報（例えば、トラフィック量、パケット数、使用ソケット数等）、または通信資源情報を元に計算される値を属性に持つ。グラフ生成部４は、一定の時間間隔でグラフを生成し、生成したグラフをグラフ保存部５に格納する。

　図３は、時刻ｔ０、ｔ１、ｔ２にグラフが生成され、時々刻々とグラフ構造が変化している様子を示す図である。図３では、各コンポーネントと各コンポーネント間の相関は、マトリクスとしてデータを保持できる。図３の例では、時刻ｔ２ではノードＡは２０の属性を持ち、ノードＡからノードＢに接続するエッジは９２の属性を持つ。時刻ｔ０ではノードＡは１８の属性を持ち、ノードＡからノードＢに接続するエッジは８９の属性を持つ。ノードやエッジは、ＣＰＵ使用時間やメモリ使用量等の複数の属性値を持つ。この例では、属性値を簡易的にシステム資源情報や通信資源情報を表す単一の数値で示したが、属性値を各要素に持つベクトル値として保持しても良いし、複数の属性値から計算される変換値として保持しても良い。

　次に、本実施形態に係るグラフ解析部６について説明する。グラフの解析については、一般的な手法として、時系列データからノードの相関関係を抽出することで、グラフ全体、あるいは相関性が強いノードで構成された部分グラフに対して、異常検知を適用する手法が考えられる。しかし、本実施形態では、パケットのヘッダを解析するためコンポーネント間の接続関係は明示的であり、さらに、あるコンポーネントが送信する通信が複数のコンポーネントを経由するケースは少ない。本実施形態における異常検知の目的は、どのホストのどのコンポーネントが異常要因となっているかを検出することにあり、ノードの連なりを解析し、ネットワークとしての異常検知を適用することは計算量の観点からも望ましくない。一方で、ノードやエッジ単体での異常検知を実施した場合、異常の根本原因の追求は容易となるものの、コンポーネント間の通信は０（通信は発生していない）が支配的なノード、エッジも多く、属性値の情報量が少ない場合には、特徴量の抽出が困難であり、異常検知の精度が課題となる。

　そこで、本実施形態では、各ノードを基準として解析を行なう。すなわち、ノードと、ノードからの隣接距離がＮ以下となるノードと、ノードと隣接距離がＮ以下となるノードとを接続するエッジのデータを基に異常検知を適用する。

　図４は、特定のノードＣとの隣接距離がＮ＝１であるノードＢ、ノードＤ、ノードＥと、それらを接続するエッジを表す図である。すなわち、図４では、ノードＣを基準として、ある一定時間内においてノードＣに隣接関係にあるノード群（ノードＢ、ノードＤ、ノードＥ）と関連するエッジを異常検知対象としている。図４の紙面に対して右側のマトリクスにおいては斜線で塗りつぶした数値を対象としている。異常検知には、既存の異常検知アルゴリズムが適用できる。例えば、Ｋ近傍法等のクラスタリングアルゴリズムを適用し、外れ値を検知することで、グラフの異常を検出する。図５は、図４の時刻ｔ０～ｔ９の時系列グラフをクラスタリングし、異常を検出した例を示す。ここでは、各時系列グラフにおいて、最も近い距離と閾値とを比較し、閾値よりも大きい場合に外れ値と判定した例を示している。図４は、ノードＣを基準としたものであるため、図５によると、時刻ｔ０におけるノードＣの異常が検出されている。このように、各ノードについて、ノードと、前記ノードからの隣接距離がＮ以下となるノードと、ノードと隣接距離がＮ以下となるノードを接続するエッジとに異常検知アルゴリズムを適用することで、コンポーネントの異常を検出できる。

　以上説明したように、本実施形態によれば、仮想化基盤の管理者が、仮想化基盤を構成する各コンポーネントに対して十分な知見を有していない場合であっても、仮想化基盤を構成するコンポーネントとその相関から、仮想化基盤やコンポーネントの異常を検出することが可能となる。

　本発明は、コンピュータの１つ以上のプロセッサで実行されると、当該コンピュータを上記監視システムとして動作させるコンピュータプログラムにより実現することができる。これらコンピュータプログラムは、コンピュータが読み取り可能な記憶媒体に記憶されて、又は、ネットワーク経由で配布が可能である。

　本発明は上記実施の形態に制限されるものではなく、本発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、本発明の範囲を公にするために、以下の請求項を添付する。

　本願は、２０１７年３月２２日提出の日本国特許出願特願２０１７－０５５８８２を基礎として優先権を主張するものであり、その記載内容の全てを、ここに援用する。

Claims

　物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視する監視システムであって、
　前記各コンポーネントのシステム資源情報および前記各コンポーネント間の通信資源情報を取得し、前記各コンポーネントのシステム資源情報に基づく値および前記各コンポーネント間の通信資源情報に基づく値を用い、一定の時間間隔で、前記各コンポーネントをノードとし、前記各コンポーネント間の相関関係をエッジとしたグラフを作成するグラフ生成手段と、
　特定のノードおよび前記特定のノードからの距離が所定値以下である他のノード並びに前記特定のノードと前記他のノードとを接続するエッジに対して異常検知アルゴリズムを適用し、前記グラフの時系列的な変化を検出するグラフ解析手段と、
を備える監視システム。
　前記グラフ生成手段および前記グラフ解析手段は、物理計算機の仮想化基板解析システム上に構成され、
　前記各コンポーネントは、物理計算機の仮想化基盤上に構成される、請求項１記載の監視システム。
　一定の時間間隔で生成された前記グラフ、並びに前記各ノードの属性を示す情報および前記エッジを示す情報を含むマトリクスを保存するグラフ保存手段をさらに備える、請求項１または請求項２記載の監視システム。
　物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視するためのコンピュータプログラムを格納するコンピュータ可読記憶媒体であって、
　前記コンピュータプログラムは、コンピュータの１つ以上のプロセッサで実行されると、前記コンピュータに、
　前記各コンポーネントのシステム資源情報および前記各コンポーネント間の通信資源情報を取得することと、
　前記各コンポーネントのシステム資源情報に基づく値および前記各コンポーネント間の通信資源情報に基づく値を用い、一定の時間間隔で、前記各コンポーネントをノードとし、前記各コンポーネント間の相関関係をエッジとしたグラフを作成することと、
　特定のノードおよび前記特定のノードからの距離が所定値以下である他のノード並びに前記特定のノードと前記他のノードとを接続するエッジに対して異常検知アルゴリズムを適用し、前記グラフの時系列的な変化を検出することと、
を実行させる、コンピュータ可読記憶媒体。
　物理計算機上に構成された複数のコンポーネントおよび各コンポーネント間の相関関係を監視する監視方法であって、
　前記各コンポーネントのシステム資源情報および前記各コンポーネント間の通信資源情報を取得することと、
　前記各コンポーネントのシステム資源情報に基づく値および前記各コンポーネント間の通信資源情報に基づく値を用い、一定の時間間隔で、前記各コンポーネントをノードとし、前記各コンポーネント間の相関関係をエッジとしたグラフを作成することと、
　特定のノードおよび前記特定のノードからの距離が所定値以下である他のノード並びに前記特定のノードと前記他のノードとを接続するエッジに対して異常検知アルゴリズムを適用し、前記グラフの時系列的な変化を検出することと、
を少なくとも含む、監視方法。