JP2005202919A - ストレージシステムへのアクセスを制限する方法と装置 - Google Patents

ストレージシステムへのアクセスを制限する方法と装置 Download PDF

Info

Publication number
JP2005202919A
JP2005202919A JP2004244544A JP2004244544A JP2005202919A JP 2005202919 A JP2005202919 A JP 2005202919A JP 2004244544 A JP2004244544 A JP 2004244544A JP 2004244544 A JP2004244544 A JP 2004244544A JP 2005202919 A JP2005202919 A JP 2005202919A
Authority
JP
Japan
Prior art keywords
storage network
network device
disk system
switch
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004244544A
Other languages
English (en)
Inventor
Kenji Yamakami
憲司 山神
Akira Fujibayashi
昭 藤林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JP2005202919A publication Critical patent/JP2005202919A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】
ストレージネットワークデバイスは、他のストレージネットワークデバイスからの接続要求に対して、ベンダ又は製造業者関連情報に基づいて、肯定又は否定の様式で応答する。
この方法により、引き続く交信を阻止することができる。
【解決手段】
これによりデバイス毎のアクセス要求の実行を、適正に検証され又は十分にテストされたデバイスのみに制限でき、信頼性と性能を向上するのに有益である。
【選択図】 図1A

Description

本発明はコンピュータストレージに関連し、具体的にはコンピュータストレージシステムでのアクセスを制限することに関連する。
FCP(Fiber Channel Protocol)、SCSI(Small Computer Systems Interface)、やFICONのようなストレージアクセスプロトコルはオープンなプロトコルで、これらのプロトコルの仕様は公開されている。これにより、ストレージシステムベンダのSAN(Storage Area Network)市場への参入が大いに促されてきた。
競争の拡大はユーザーにとって、一般的には有益であるものの、製品の増殖は有益な事ばかりではない事が判明してきた。NAS(Network Attached Storage)システムやSAN用のデバイス数が増大するに従って、各装置と他のデバイス間の互換性をテストすることが重荷になってきた。各装置の様々な組み合わせに対してテストし、保証し、更にサポートをする為に、より多くの時間が必要になってきた。例えば、スイッチ装置の製造業者は他のスイッチ、HBA(Host Bus Adapter)、ストレージサブシステム等と、自装置との接続性を保証する必要が生じてきた。あるベンダはテストを短縮するか又は単純に省略してしまい、エンドユーザーはいつの間にか未保証又は未テスト装置を掴んでしまうリスクを背負い込む事になる。この為に、デバイス間の非互換な動作、不適切なハードウェアやソフトウェアバージョンなどの原因で接続上の問題が発生する可能性がある。
この問題を回避する為に、多くのベンダはサポート済ベンダとファームウェアバージョンのリストを公表している。例えば、ストレージシステムのベンダは、自社がサポートするHBAとファイバーチャネルスイッチをそのファームウェアバージョンと共に公表している。ユーザー又はシステムエンジニアは、所定の装置がサポート済か否かを判定する為に、リストを単純にチェックしている。これは管理者から見ると時間消費の仕事である。
更に、急速に変動するビジネス環境に於いては、会社は時において、お互いに製品を補完する為に他社と提携するようになって来た。会社が、戦略的なパートナーのみに自らのネットワークに接続することを認めることが、非常に一般的なビジネス戦略になってきた。そのような戦略では、戦略的なパートナーのみにネットワーク接続を限定する為のテクノロジーが必要となる。ネットワークをこのような観点で再構成することは、多大な時間を消費し又エラーが起こり易い仕事でもある。更に悪い事に、不適切な装置が誤って接続されれば、システム全体が停止し又は最悪の場合にはデータが破損する可能性がある。
本発明の一態様では、ストレージネットワークデバイスは、別のストレージネットワークデバイスからの接続要求に、ベンダ又は製造業者関連の情報に基づいて、肯定又は否定の様式で応答する。
この方法により、ストレージネットワークデバイスとの引き続く交信は、適切に検証されたか又は十分にテストされたデバイスに制限することが可能になる。
本発明の態様、利点、及び新規な機能は、付随図面と共になされる以下の記述により明らかになる。
ワークステーションやサーバをストレージネットワークのストレージデバイスに接続するハードウェアは、“ファブリック”又は“スイッチファブリック”と一般に呼ばれている。このファブリックは、ファイバーチャネルスイッチテクノロジーを使用して如何なるサーバと如何なるストレージデバイスとの接続でも可能にする。ここで開示する本発明の実施例の説明では、ファイバーチャネルテクノロジーによる実装を対象とする。しかしながら、他のストレージネットワークテクノロジーも本発明の態様に適応できることは容易に理解できるであろう。
図1Aでは、本発明の一実施例でのストレージネットワークデバイスの典型的な構成をハイレベルブロック図により示す。ディスクシステム100はプロセッサ101a、101bを装備する。メモリ要素102は、ディスクシステムを操作する為の制御プログラムを格納する。このメモリ要素は更に、ディスクシステムのストレージ要素である複数ディスク105のキャッシュデータの保存にも使用される。プロセッサ101aは通信ポート103aを経由して外部デバイスと交信し、同様に、プロセッサ101bはポート103bを経由して交信する。
図1Aは又複数のスイッチ120a、120bを示す。2台を示しているが、ホスト110aとディスクシステム100との間には多くのスイッチを置くことができる。スイッチはホスト110aとディスクシステム100間のデータ又は情報経路を定める。多くの種類のスイッチが知られている。例えば、ファイバーチャネルスイッチ、InfiniBand(R)スイッチ、及びネットワーク又はファイバチャネルのハブ又はルータ、はスイッチの例の一部である。
ユーザーのアプリケーションが動作するホスト110aは慣用的に処理要素、メモリ等(図示されていない)を装備する。ホストは更にHBA(Host Bus Adapter)を有する。図1Aの説明例では、ホスト110a内にHBA115a、115bを、ホスト110b内にはHBA115c、115dを装備する。HBAはホストをスイッチなどの外部デバイスに接続する。HBAはホストをディスクシステム又は別のホストに直接接続することもできる。HBAの例としては、ファイバチャネルHBAやネットワークカードがある。ディスクシステム100に格納されているアプリケーションデータは、HBAとネットワーク130経由でアクセス可能である。ネットワーク130の実例としては、ファイバチャネル、ESCON、FICON、TCP/IP、及びSCSIがある。
図1Bは、本発明の別の実施例のハイレベルブロック図である。この構成は二式のディスクシステム100a、100bを示し、ディスクシステム100aと100bはデータ交信の為に接続されている。ホスト110aは、ディスクシステム100aとデータ交信中である。図1Bに示す例に於いては、ホスト110aはHBA115aを経由してディスクシステムと直接接続されている。ホスト110bはスイッチ120’と接続されている。このスイッチは第二のスイッチ120に接続され、この第二のスイッチがディスクシステム100bに結合している。図1Bは、複数のスイッチを、例えばホストやストレージ等の末端ノード間に配置できることを示す。
慣用的構成としては、ディスクシステム100bはディスクシステム100aにアクセス可能である。ホスト110bの観点からは、このホストはディスクシステム100bのみが“見える”。ディスクシステム100bは、ホスト110bがアクセス可能な論理ドライブをディスクシステム100a内の物理ドライブに内部的にマップすることができ、この結果、ホスト110bはディスクシステム100aの存在を知る必要はない。従って、ホスト110bがこの論理ドライブにアクセスするコマンドを発行すれば、ディスクシステム100bはこのコマンドを受け取り、要求を果たす為にディスクシステム100aに転送する。
ここで、アクセスコントロールテーブル(以降ACTと呼ぶ)200を議論する為に図2を参照する。ACTは、対象デバイスへのアクセス権限を与えられたデバイスのベンダとバージョン番号を示す情報を有する。図1Aで示す事例では、対象デバイスはディスクシステム100である。従って、ACT200は図示される様に、メモリ要素102に保存される。プロセッサ101a、101bはこのテーブルにアクセスし或いは更新することができる。図1Bに示す例では、対象デバイスはディスクシステム100aである。
このテーブルはベンダフィールド210、デバイスタイプフィールド220、及びバージョンフィールド230により構成される。ベンダフィールド210はベンダ又は各装置を識別する。ベンダフィールドの情報は、当該装置ベンダの会社名などの英数字で表される。この情報は、例えばOUI(Organizationally Unique Identifier)のように、特定のベンダに対応してコード化されたものであり得る。
デバイスタイプフィールド220は、装置タイプを識別する情報を含む。図2では、例として、テーブルの第一のエントリは会社AAAから供給されたHBAデバイスを示し、第二のエントリは会社BBBから供給されたスイッチを示す。必要なら、デバイスタイプフィールドは、ベンダから供給された対象デバイスをモデル別に、より具体的に判別できるように拡張できることを理解願いたい。例えば、ベンダAAAは多数のHBAモデルを持っていることもあり得る。デバイスタイプフィールドは、異なったHBAを収容するように拡張しても良いし、このACT200に追加のフィールドを与えても良い。
バージョンフィールド230は、当該デバイスに対応するバージョン情報を表示する。必要ならば、このフィールドは、当該デバイスの構成要素のバージョン情報を含むように拡張できることを理解願いたい。例えば、スイッチはスイッチ全体を示す単一のバージョン番号を持つことも出来るが、ベンダによっては、当該スイッチのソフトウェアバージョンとハードウェアバージョンを別々に用意することもあり得る。このACT200は、このような製造業者関連の情報の何れをも収容するように拡張する事ができる。
図3は、図1Aに関連して本発明に従うデバイスの処理を示すフローチャートである。説明目的の為に、図1Aに示す具体的構成例では、スイッチ120aはディスクシステム100では未サポートである(例えば、このスイッチはディスクシステム100と連動して動作できる保証がなされていない)と仮定する。このフローチャートはディスクシステム100で行われる処理を示す。然しながら、図3のフローチャートで示すプロセスは、ストレージネットワークのどのデバイス、例えばHBA、スイッチ、他のディスクシステムにも適用できる事を、図1A及び図1Bから理解願いたい。図1A及び図1Bはこのことを示す。これらの図は、ストレージネットワーク内の他のデバイスも本発明に従って構成できることを示す。かくして、図1Aのスイッチ120bもACT(点線で示す)を持つことが出来、図1Bのスイッチ120も同様である。
かくして、この手続は接続要求をデバイスが受信した時に開始する。例えば、図1Aでは、スイッチ120aはHBA115aから接続要求を受信することができる。又は、スイッチ120bはディスクシステム100に接続要求を行うことができる。本発明の実施例に於いては、ストレージネットワーク内の二つのノード間の接続要求は、一般的にFLOGI(Fabric Login)と呼ばれる。この二つのノードが末端(例えば、ディスクシステムへのHBA)の場合には、接続要求はPLOGI(Port Login)と呼ばれる。
ステップ300に於いて、接続要求を受信したデバイスはこの要求に関連した情報を取得する。例えば、スイッチ120a又は120bが、接続要求をディスクシステム100に送信するときには、この要求はこのスイッチに関するベンダ、デバイスタイプ及びバージョン情報を含むことができる。ファイバチャネルの場合には、送信デバイス(例えば、スイッチ120a、又は120b)がディスクシステム100に接続要求(即ちFLOGI)を送る時には、ディスクシステムはこのFLOGI要求からログインパラメーターを取得できる。典型的な情報は、デバイスのベンダ名(例えば、OUI)を表示するWWN(World Wide Name)、ログインのタイプ(FLOGI、PLOGI)、ベンダバージョンレベル情報などを含む。例えば、要求スイッチのベンダ情報は接続要求から取得できる。
ステップ310にて、ステップ300に於いて得られた製造業者関連の情報を、ACT200に含まれる該当情報と比較する。この接続要求を受信し処理するデバイス(例えば、ディスクシステム100)が、送信デバイス(例えば、スイッチ120b)に対するテーブルで十分な適合が確認できたら、その内部状態を、送信デバイスを承認しアクセスを許可する状態にセットする(ステップ320)。例えば、このプロセスでは、デバイスのベンダ識別表示が一致するエントリを検出すべくACTを検索する。このバージョン(例えば、ソフトウェアリリース、ハードウェアバージョンなど)が受信デバイスのバージョンと互換であることをチェックする為に、比較が行われる。
受信デバイスは、接続要求が受理された事を送信デバイスに表示する為に、接続要求のプロトコルの仕様に対応して、適切な肯定応答を返す必要があり得る。例えば、FLOGlコマンドシーケンスに対しては、ディスクシステムがログイン要求を受理したら、送信デバイスに承認(ACC)フレームを返信する。
送信デバイス(例えば、スイッチ120a)がACTに登録されていないと判断されたら、この接続要求を処理する受信デバイス(例えば、ディスクシステム100)は、送信デバイスからの要求は受理できなかったことを示す内部状態をセットする(ステップ330)。接続要求のプロトコルの詳細に対応した適切な否定応答が必要になる。送信デバイス(例えば、スイッチ120a)は否定応答を検出し、以降この受信デバイス(例えば、ディスクシステム100)へのアクセスを行わない。
ACT200に於いては、“関係なし”状態を表示する為にある表記を用いる事が出来る。例えば、図2は会社AAAからのHBAデバイスにアスタリスク‘*’を表示している。約束事によってこの場合はバージョン番号は無関係であると判断され、このフィールドの照合は行われない。この機能は、当該フィールドの情報が接続要求で取得不可能な場合に有効である。その様なフィールドを“関係なし”と指定することによって、接続要求から得られる他の全ての情報に対して照合を継続する事が可能になる。
判定ステップ310では、送信デバイスがACTにリストされているか否かでアクセス可能性の判定を行う。このACTは、送信デバイスが、接続要求を受信するデバイスにアクセスするか否かを具体的に表示する情報を含んでも良いことを、理解願いたい。
前述の処理は如何なる二式のデバイス間でも実行できることを理解願いたい。かくして、HBAはディスクシステムに直接又はスイッチ経由で接続要求を発行しても良い。一つのスイッチは他のスイッチに接続要求を発行でき、又スイッチはディスクシステムに接続要求を発行できる。図1Bで分かるように、適切に構成されたストレージアーキテクチュアに於いては、ディスクシステムは他のディスクシステムに接続要求を送信できる。例えば、要求されたディスク(例えば、ディスクシステム100a)にとって、要求ディスク(例えば、ディスクシステム100b)は、接続要求を発行しているスイッチデバイスの様にも見える。
図1Bの議論を完成させると、図は、ディスクシステム100bがディスクシステム100aに接続要求を送信した事を示している。ディスクシステム100aは接続要求から情報を取得する(ステップ300)。ディスクシステム100aがACTをチェックする(ステップ310)と、ディスクシステム100bはこのテーブルにリストされていないことが分かる。従って、ディスクシステム100aはこの接続要求に否定応答を返送する(ステップ330)。この結果は、ディスクシステム100bはディスクシステム100aに対して見えないと言う事になる。同様に、ディスクシステム100bからはディスクシステム100aにはアクセス不能に見え、結果として、ディスクシステム100bはディスクシステム100aにアクセスしようとすることはない。
本発明の他の態様では、デバイスアクセスへの制限が、デバイスへのアクセスの完全な拒絶に代わる別案として提供される。デバイスに対する“タスクセット”と言う新規なアイデアをここで議論する。各デバイスは多様なサービスと機能を備えている。例えば、ディスクシステムは以下の機能を実行する。
・ディスクに対する読み書き
・スナップショット
・遠隔ミラーリング
・LU構成の変更(例えば、サイズの変更、アクセスパスとLU数の決定、など)
・内部性能と構成データの取得
・サブシステム動作モードの変更
デバイスに対するサービス又は機能は、ベンダ毎にも又ベンダのモデル毎にも変わるものである。典型的には、これらのサービスにアクセスするインタフェースはAPI(Application Programmer's Interface)、CLI(Command Line Interface)或いは、GUI(Graphical User Interface)の形で使用できる。これらのコマンドは、パス130を経由して伝えられる(例えば図1Aを参照)。これらのコマンドのデバイスに於ける内部実装はデバイス及びベンダに固有である。例えば、コマンドは特殊SCSIコマンド(SCSl標準の規定外のベンダ固有コマンド)にマップしてもよい。
本発明のこの態様の一実施例では、“タスクセット”は、デバイスが実行できるサービスと機能の全集合として定義される。例えば、下記のテーブルは、典型的ディスクシステム(例えば、図1Aのディスクシステム100)が実行可能なサービスと機能を一覧にしたものである。
Figure 2005202919
一つのタスクセットは、自分(例えば、ディスクシステム100)にアクセスするデバイスに許可するタスクのセットを指定する。例えば、図1Aに関して、スイッチ120bのタスクセットは、スイッチがディスクシステムでタスク1とタスク3を実行することを許可するように定義される。図1Bに関連して、ディスクシステム100aに含まれるタスクセットは、HBA115aがこのディスクシステムに於いてタスク3を実行することを許可するように定義される。一つのタスクセットは一つ以上のタスクを含むことができるということが分かる。
図4Aは、本発明のこの態様の実施例を説明するタスクセットテーブル400を示す。ACT200と同様に、タスクセットテーブルはストレージネットワークデバイスの何れにも適用できる。このタスクセットテーブルは、ソースアドレスフィールド410、ACTエントリフィールド420、及びタスクセットフィールド430で構成される。ソースアドレスフィールド410は、対象デバイスのソースアドレスに対応する。この情報は、典型的には、デバイスが最初にネットワークに接続されるときに、名前サーバによって与えられる。接続要求が成功裏に実行された後、引き続く交信にはサービス要求の送信デバイスのアドレスが典型的な場合には含まれるようになる。例えば、スイッチがディスクシステムにサービス要求を送信するときには、この要求にはこのスイッチを特定しこれに関連するソースアドレスが含まれる。かくして、ソースアドレスフィールドによりサービス要求の送信デバイスを特定する事ができる。
ACTエントリフィールド420は、ACT200のインデックス又はこれへのポインタである。このフィールドは、単なる数値であるソースアドレスをACTのエントリに関係づけ、このソースアドレスに関連するデバイスを識別する役割を果たす。このフィールドは、管理者が実行するこれらのテーブルのメンテナンス活動を容易にする為に使用される。
タスクセットフィールド430は、要求受信デバイス(例えば、ディスクシステム)が、送信デバイス(例えば、スイッチ、HBA)が実行することを許可する一つ以上のタスクを識別する。例えば、0x00241Fのソースアドレスを持つデバイスは、タスク1、2、及び4を実行することが許可され、0x120300のソースアドレスを持つデバイスは、タスク1及び2を実行することが許可される。
図4Bは、タスクセットテーブル400に関して行われる処理を説明するハイレベルのフローチャートである。説明目的の為に、ディスクシステム100(図1A)が、タスクセットテーブルを有し、このテーブルに基づいて送信デバイスのアクセスを制限する、と仮定する。然しながら、図4Bのフローチャートで説明したプロセスは他のデバイス(例えば、HBA、スイッチ)にも適用できることは、理解できるであろう。
ディスクシステム100がデバイス(例えば、スイッチ120b)からサービス要求を受け取ることによりこのプロセスが起動され、ステップ401にて、このサービスを実行すべきか否かを判定する。この為には、要求からソースアドレスを取得し、タスクセットテーブル内で、このソースアドレスにマッチするエントリを検出する。このアドレスが見つからなければ、この要求は拒絶される(ステップ402)。要求を“拒絶する”為の具体的レスポンスは、使われている個別の通信プロトコルに依存する。
ソースアドレスに対応するエントリが見つかれば、見つかったエントリのタスクセットフィールド430を調べる。このサービス要求は、タスクセットフィールド430に登録されている許可済みタスクのリストと比較される。このフィールドに当該要求がリストされていなければ、否定応答が生成される(ステップ402)。このフィールドに当該要求が見つかれば、このサービス要求は実行される(ステップ403)。この時、実際上、サービスとプロトコルに対応して応答を生成するか否かが決まる。
デバイスはテストされ検証されるので、ACT200は定期的に更新される必要がある。この為の一方法は、管理者がテーブルに対して必要な処理を実行できるように、デバイス上にインタフェースを用意することである。インタフェースは、APIの形かCLIやGUI等のユーザインターフェースである。例えば、ACTがディスクシステムに置かれている場合を考える。ホストデバイス内でAPIにアクセス可能なGUIを書けるようにすることができる。このAPlによって、ACTにアクセスし保守することが可能になる。以下のテーブルは、いくつかの典型的な管理機能を一覧にしたものである。
Figure 2005202919
ACTを手動で更新するのは、手間がかかり又誤り易い仕事である。スイッチ、HBA、及びディスクシステムを含む多数のデバイスが本発明に関係する場合には、特に退屈な仕事になる。従って、本発明のもう一つの態様として、Webサイトのようなセントラルロケーションが使用される。このセントラルロケーションでは、全ての必要なデバイスに対して全てのACTを用意する。本発明に従って構成されたデバイスは、このセントラルロケーションを定期的にチェックし、更新されていたら、この更新済ACTにアクセスする。
このセントラルロケーションは、ACTの更新を容易にする為に、下記の情報を含んでいる。
・ACT200のバージョン
・このバージョンは、ディスクシステム100が、Webサイトで更新されたACT200と比較するのに使用される。勿論、ディスクシステム100は、ACT200と共にACT200のバージョンをメモリ102に保存する。
・ACT200に適用されるデバイス
・ベンダが複数タイプのデバイス(例えば、ディスクシステム100とHBA115等)を供給するなら、デバイス毎に異なったACT200が必要であろう。
図5は、ACTを更新するフローチャートを示す。セントラルロケーションに接続がなされる(ステップ500)。本発明の一実施例では、Webサイトが使用され、その場合はWebサイトにアクセスすることが接続することになる。ACTが更新されるべきデバイス(例えば、ディスクシステム100)は、Webサイトが更新済みテーブルを持っているかをチェックする(ステップ510)。このことは、例えば、このテーブルをダウンロードして、これをディスクシステムが持つバージョンと比較する事によりなされる。もしこのテーブルが更新要と判断されたら、ステップ520で旧テーブルは新たにダウンロードされたテーブルと置き換えられる。
本発明の一実施例を示すストレージネットワークのハイレベルの一般化ブロック図。 は、本発明のもう一つの実施例であるもう一つのストレージネットワークに対するハイレベルの一般化ブロック図。 は、アクセスコントロールテーブル(ACT)の一例を示す。 は、本発明の一実施例に従う接続要求の処理を説明するフロー図。 は、タスクセットテーブルの一例を示す。 は、本発明の一実施例に従うサービス要求の処理を説明するフロー図。 は、アクセスコントロールテーブル(ACT)を更新するプロセスを説明するフロー図。
符号の説明
100・・・ディスクシステム、100a・・・ディスクシステム、100b・・・(未サポート)ディスクシステム、101a,101b・・・プロセッサ、102・・・メモリ、110a,110b・・・ホスト、120a・・・(未サポート)スイッチ、120b・・・(サポート済)スイッチ、
120,120’・・・スイッチ

Claims (33)

  1. ストレージネットワークの第一のデバイスに於いて、
    送信デバイスから接続要求を受信するステップと、
    前記送信デバイスに関する製造業者関連の情報を取得するステップと、
    前記製造業者関連の情報とアクセスコントロールテーブルに含まれる製造業者関連の情報との比較結果によって、前記送信デバイスに肯定又は否定の様式で応答するステップと、
    を含み、
    肯定の様式で応答する場合は、前記第一のデバイスと前記送信デバイスとの間の引き続くデータ交信を許可し、
    否定の様式で応答する場合は、前記第一のデバイスと前記送信デバイスとの間の引き続くデータ交信を拒絶する、
    ことを特徴とするサービス要求を処理する為の方法。
  2. 前記接続要求はファブリックログインであり、前記製造業者関連の情報は前記送信デバイスの製造業者を表示する情報を含むことを特徴とする請求項1の方法。
  3. 前記送信デバイスに応答するステップは、前記製造業者名が前記アクセスコントロールテーブルにリストされているか否かを判定するステップを含むことを特徴とする請求項2の方法。
  4. 前記製造業者関連の情報は更にバージョン情報を含み、前記送信デバイスに応答するステップは更に該バージョン情報を前記アクセスコントロールテーブルに登録されているバージョン情報と比較して判定するステップを含むことを特徴とする請求項3の方法。
  5. 前記アクセスコントロールテーブルは前記製造業者に関するアクセス許可情報を含み、前記送信デバイスに肯定又は否定の様式で応答するステップは該アクセス許可情報に基づくことを特徴とする請求項2の方法。
  6. 前記第一のデバイスはディスクシステムであることを特徴とする請求項1の方法。
  7. 前記送信デバイスはホストバスアダプタ(HBA)であることを特徴とする請求項6の方法。
  8. 前記送信デバイスはスイッチであることを特徴とする請求項6の方法。
  9. 前記送信デバイスは第二のディスクシステムであることを特徴とする請求項6の方法。
  10. 前記第一のデバイスはスイッチであり、前記送信デバイスはHBAであることを特徴とする請求項1の方法。
  11. 前記第一のデバイスは第一のスイッチであり、前記送信デバイスは第二のスイッチであることを特徴とする請求項1の方法。
  12. 前記第一のデバイスはHBAであることを特徴とする請求項1の方法。
  13. 複数のサービスを実行可能な第一のストレージネットワークデバイスに於いて、第二のストレージネットワークデバイスから送信されたサービス要求を受信するステップと、
    前記サービス要求から前記第二のストレージネットワークデバイスを特定する識別情報を取得するステップと、
    前記識別情報に基づいて前記第二のストレージネットワークデバイスに関するサービスを決定するステップと、
    前記サービス要求が前記第二のストレージネットワークデバイスに関するサービスに対してであれば、該サービス要求を実行するステップと、
    前記サービス要求が前記第二のストレージネットワークデバイスに関するサービスに対してでなければ、対応する否定応答を生成し、該第二のストレージネットワークデバイスに対して、該サービスは前記第一のストレージネットワークデバイスでは実行されない旨を表示するステップと、
    を含むことを特徴とするストレージネットワークにおけるアクセス方法。
  14. 前記第一のストレージネットワークデバイスはディスクシステムであることを特徴とする請求項13の方法。
  15. 前記識別情報は前記サービス要求に含まれるソースアドレスであることを特徴とする請求項14の方法。
  16. 前記第一のストレージネットワークデバイスはスイッチであることを特徴とする請求項13の方法。
  17. 前記第一のストレージネットワークデバイスはHBAであることを特徴とする請求項13の方法。
  18. 前記請求項13の方法のステップを実行するように構成されることを特徴とするストレージネットワークデバイス。
  19. 前記ストレージネットワークデバイスはディスクシステムであることを特徴とする請求項18のストレージネットワークデバイス。
  20. 前記ストレージネットワークデバイスはスイッチであることを特徴とする請求項18のストレージネットワークデバイス。
  21. 前記ストレージネットワークデバイスはHBAであることを特徴とする請求項18のストレージネットワークデバイス。
  22. 第一の複数のストレージネットワークデバイスに対する製造業者関連の情報を記録するアクセスコントロールテーブルを格納するメモリ要素を有するデータ処理要素と、
    前記データ処理要素とデータ交信を行い、第二のストレージネットワークデバイスと交信が可能な通信ポートと、
    を有するストレージネットワークデバイスにおいて、
    前記データ処理要素は、
    前記第二のストレージネットワークデバイスから送信された接続要求の受信を含めて、前記通信ポートを経由してデータを交換するステップと、
    前記接続要求に含まれる情報に基づいて前記第二のストレージネットワークデバイスに関する製造業者関連の情報を取得するステップと、
    前記第二のストレージネットワークデバイスに関する前記製造業者関連の情報と前記アクセスコントロールテーブル内の製造業者関連の情報を比較して、肯定又は否定の応答を生成するステップと、
    前記第二のストレージネットワークデバイスに前記応答を送信するために前記通信ポートを経由してデータを交換するステップと、
    を実行するように構成されることを特徴とするストレージネットワークデバイス。
  23. 前記接続要求は、ファブリックログインかポートログインの何れかであることを特徴とする請求項22のストレージネットワークデバイス。
  24. 前記比較は、前記第二のストレージネットワークデバイスに関するベンダ識別情報と前記アクセスコントロールテーブル内のベンダ識別リストとの間の比較を含むことを特徴とする請求項22のストレージネットワークデバイス。
  25. 前記比較は更に、前記第二のストレージネットワークデバイスに関するバージョン情報と前記アクセスコントロールテーブル内のバージョン情報との間の比較を含むことを特徴とする請求項24のストレージネットワークデバイス。
  26. 前記ストレージネットワークデバイスはディスクシステムであることを特徴とする請求項22のストレージネットワークデバイス。
  27. 前記第二のストレージネットワークデバイスはHBA、スイッチ、及び第二のディスクシステムの何れか一つであることを特徴とする請求項26のストレージネットワークデバイス。
  28. 前記接続要求はファブリックログインかポートログインの何れかであることを特徴とする請求項27のストレージネットワークデバイス。
  29. 前記比較は、前記第二のストレージネットワークデバイスに関するベンダ識別情報と前記アクセスコントロールテーブル内のベンダ識別リストとの間の比較を含むことを特徴とする請求項27のストレージネットワークデバイス。
  30. 前記ストレージネットワークデバイスはスイッチであることを特徴とする請求項22のストレージネットワークデバイス。
  31. 前記ストレージネットワークデバイスはHBAであることを特徴とする請求項22のストレージネットワークデバイス。
  32. データ処理要素と、
    前記データ処理要素と結合して稼動するデータストレージ要素と、
    第二のストレージネットワークデバイスと交信する為の通信ポートと、
    を有するストレージネットワークデバイスにおいて、
    前記データストレージ要素は、
    ファブリックログイン要求かポートログイン要求の何れかの接続要求を前記第二のストレージネットワークデバイスから受信するステップと、
    前記接続要求からベンダ識別情報を取得するステップと、
    前記ベンダ識別情報に基づいて応答を生成するステップと、
    前記第二のストレージネットワークデバイスに前記応答を送信するステップと、
    から成る方法のステップを実行可能であり、
    前記応答が肯定応答なら、前記ストレージネットワークデバイスと前記第二のストレージネットワークデバイスとの間の引き続く交信が可能であり、
    前記応答が否定応答なら、前記ストレージネットワークデバイスと前記第二のストレージネットワークデバイスとの間の引き続く交信は不能で、
    前記引き続く交信は、前記データストレージ要素にアクセスする為のストレージアクセス要求を含む、
    ことを特徴とするストレージネットワークデバイス。
  33. 前記第二のストレージネットワークデバイスはHBA、スイッチ、及びディスクシステムの何れか一つであることを特徴とする請求項32のストレージネットワークデバイス。
JP2004244544A 2004-01-16 2004-08-25 ストレージシステムへのアクセスを制限する方法と装置 Pending JP2005202919A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/759,581 US20050177641A1 (en) 2004-01-16 2004-01-16 Method and apparatus for limiting access to a storage system

Publications (1)

Publication Number Publication Date
JP2005202919A true JP2005202919A (ja) 2005-07-28

Family

ID=34826441

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004244544A Pending JP2005202919A (ja) 2004-01-16 2004-08-25 ストレージシステムへのアクセスを制限する方法と装置

Country Status (2)

Country Link
US (1) US20050177641A1 (ja)
JP (1) JP2005202919A (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7397768B1 (en) 2002-09-11 2008-07-08 Qlogic, Corporation Zone management in a multi-module fibre channel switch
US7646767B2 (en) 2003-07-21 2010-01-12 Qlogic, Corporation Method and system for programmable data dependant network routing
US7894348B2 (en) 2003-07-21 2011-02-22 Qlogic, Corporation Method and system for congestion control in a fibre channel switch
US7792115B2 (en) 2003-07-21 2010-09-07 Qlogic, Corporation Method and system for routing and filtering network data packets in fibre channel systems
US7684401B2 (en) 2003-07-21 2010-03-23 Qlogic, Corporation Method and system for using extended fabric features with fibre channel switch elements
JP2005293478A (ja) * 2004-04-05 2005-10-20 Hitachi Ltd 記憶制御システム、記憶制御システムに備えられるチャネル制御装置、データ転送装置
US7930377B2 (en) 2004-04-23 2011-04-19 Qlogic, Corporation Method and system for using boot servers in networks
US7340167B2 (en) * 2004-04-23 2008-03-04 Qlogic, Corporation Fibre channel transparent switch for mixed switch fabrics
US8295299B2 (en) 2004-10-01 2012-10-23 Qlogic, Corporation High speed fibre channel switch element
US7602751B2 (en) * 2005-12-12 2009-10-13 Motorola, Inc. Method and apparatus for transporting CDMA traffic over a UMTS-compatible CPRI interface
JP2009205189A (ja) * 2008-02-26 2009-09-10 Buffalo Inc フォルダ管理方法
US8863196B2 (en) * 2010-11-30 2014-10-14 Sony Corporation Enhanced information on mobile device for viewed program and control of internet TV device using mobile device
US9203876B2 (en) * 2011-03-16 2015-12-01 International Business Machines Corporation Automatic registration of devices

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5778068A (en) * 1995-02-13 1998-07-07 Eta Technologies Corporation Personal access management system
GB2312319B (en) * 1996-04-15 1998-12-09 Discreet Logic Inc Video storage
DE69830834T2 (de) * 1998-01-20 2006-01-26 Fujitsu Ltd., Kawasaki Datenspeicheranordnung und Steuerverfahren dafür
US7165152B2 (en) * 1998-06-30 2007-01-16 Emc Corporation Method and apparatus for managing access to storage devices in a storage system with access control
US6438648B1 (en) * 1999-12-22 2002-08-20 International Business Machines Corporation System apparatus and method for managing multiple host computer operating requirements in a data storage system
US6487646B1 (en) * 2000-02-29 2002-11-26 Maxtor Corporation Apparatus and method capable of restricting access to a data storage device
US6507849B1 (en) * 2000-03-15 2003-01-14 Cisco Techno-Ogy, Inc. Methods and apparatus for accessing a data storage system
JP2002091719A (ja) * 2000-07-11 2002-03-29 Ricoh Co Ltd 画像形成装置管理システムおよび画像形成装置管理方法とそれに使用する中央管理装置並びに画像形成装置
US20030028514A1 (en) * 2001-06-05 2003-02-06 Lord Stephen Philip Extended attribute caching in clustered filesystem
JP4223729B2 (ja) * 2002-02-28 2009-02-12 株式会社日立製作所 記憶システム
US7007046B2 (en) * 2002-03-19 2006-02-28 Network Appliance, Inc. Format for transmission file system information between a source and a destination
JP2003316522A (ja) * 2002-04-26 2003-11-07 Hitachi Ltd 計算機システムおよび計算機システムの制御方法
EP1367481A3 (en) * 2002-05-29 2008-04-09 Hitachi, Ltd. Centralized storage management method
US8839220B2 (en) * 2003-08-08 2014-09-16 Arris Enterprises, Inc. Method for remotely updating software for devices in a broadband network

Also Published As

Publication number Publication date
US20050177641A1 (en) 2005-08-11

Similar Documents

Publication Publication Date Title
US8924499B2 (en) Operating system migration with minimal storage area network reconfiguration
US7529816B2 (en) System for providing multi-path input/output in a clustered data storage network
JP4473153B2 (ja) ネットワーク構成のチェックおよび修理のための方法、システムおよびプログラム
JP4311637B2 (ja) 記憶制御装置
JP4718288B2 (ja) ディスクレス計算機の運用管理システム
US9654346B2 (en) System and method for automatically deploying a network design
US7694063B1 (en) System and method for dynamically loadable storage device I/O policy modules
US8341251B2 (en) Enabling storage area network component migration
US7930583B1 (en) System and method for domain failure analysis of a storage area network
US8095639B2 (en) Monitoring-target-apparatus management system, management server, and monitoring-target-apparatus management method
US20030154267A1 (en) Storage area network methods and apparatus for dynamically enabled storage device masking
US20020161596A1 (en) System and method for validation of storage device addresses
US8055736B2 (en) Maintaining storage area network (‘SAN’) access rights during migration of operating systems
US11507678B2 (en) Method for managing the access authority to cloud storage and the system therefor
JP2010510578A (ja) Sasゾーン・グループ・パーミッション・テーブルのバージョン識別子
JPH09502035A (ja) 信頼性がありかつ効率的なリムーバブルメディアサービスを備えたコンピュータネットワーク
JP2007087059A (ja) 記憶制御システム
JP2005202919A (ja) ストレージシステムへのアクセスを制限する方法と装置
CA2562607A1 (en) Systems and methods for providing a proxy for a shared file system
US8639908B2 (en) Dynamically managing available data storage within an automated data storage system
US8464238B1 (en) Method and system for managing storage area networks
US7359975B2 (en) Method, system, and program for performing a data transfer operation with respect to source and target storage devices in a network
US20190286585A1 (en) Adapter configuration for a storage area network
US8892750B1 (en) Transparent HBA replacement

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060424