JP2013187707A - ホスト提供システム及び通信制御方法 - Google Patents

ホスト提供システム及び通信制御方法 Download PDF

Info

Publication number
JP2013187707A
JP2013187707A JP2012050696A JP2012050696A JP2013187707A JP 2013187707 A JP2013187707 A JP 2013187707A JP 2012050696 A JP2012050696 A JP 2012050696A JP 2012050696 A JP2012050696 A JP 2012050696A JP 2013187707 A JP2013187707 A JP 2013187707A
Authority
JP
Japan
Prior art keywords
storage
communication data
communication
access
instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012050696A
Other languages
English (en)
Other versions
JP5466723B2 (ja
Inventor
Takeshi Igarashi
健 五十嵐
Mana KANEKO
真菜 金子
Makoto Sasaki
誠 佐々木
Satoshi Imai
識 今井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2012050696A priority Critical patent/JP5466723B2/ja
Priority to US14/383,375 priority patent/US9584481B2/en
Priority to EP13757511.4A priority patent/EP2824872B1/en
Priority to PCT/JP2013/051429 priority patent/WO2013132909A1/ja
Publication of JP2013187707A publication Critical patent/JP2013187707A/ja
Application granted granted Critical
Publication of JP5466723B2 publication Critical patent/JP5466723B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークを介して一の物理サーバに単独で構成される物理インスタンスを提供するシステムにおいて、物理インスタンスからの通信を適切に制御することによりセキュリティを担保する。
【解決手段】ホスト提供システム1は、物理インスタンス71からの通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定し、判定結果に基づき通信データを制御する物理ホストネットワークスイッチ9を含む。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。
【選択図】図2

Description

本発明は、ホスト提供システム及び通信制御方法に関する。
近年において、情報システムの構築及び稼働に必要なリソースを、インターネットを介して提供するサービスが行われている。このようなサービスは、例えば、Iaas(Infrastructure as a Service)と称される。1台の物理サーバに複数の仮想インスタンスを構成し、仮想インスタンスを仮想ホストコンピュータとしてユーザに提供する技術が知られている(例えば、非特許文献1参照)。この技術では、ユーザからの要求に応じた性能を有する仮想インスタンスを選択、起動及び管理するための機能が、物理サーバごとに設けられている。また、この技術では、仮想インスタンス間のデータ通信を制御する制御機能が物理サーバに設けられる。この制御機能は、互いに異なるユーザに提供された仮想インスタンス間のデータ通信を遮断したり、他のユーザに提供された仮想インスタンスに割り当てられたストレージへのアクセスを遮断したりする。なお、インスタンスは、例えば、CPU、メモリ及びストレージといったリソースのまとまりを称するものである。
"open stack"、[online]、[2012年2月17日検索]、インターネット<URL: http://openstack.org/>
上述した技術において扱うことができるインスタンスは、仮想インスタンスのみである。仮想インスタンスでは、インスタンスを仮想化して構成したことに起因するオーバーヘッドが発生する。ユーザにより使用されるアプリケーションの種類によっては、このオーバーヘッドに起因した性能劣化が生じる。このため、仮想インスタンスでは性能劣化を生じてしまうようなアプリケーションをIaasといったサービスにおいて稼働させるために、物理インスタンスの提供に関する要請があった。物理インスタンスは、一の物理サーバに単独で構成されるインスタンスである。物理インスタンスは、インスタンス間の通信のためのネットワークに直接に接続されるので、物理インスタンスからの通信を適切な管理及び制御が実施されない場合には、悪意ある物理インスタンスのユーザは、当該物理インスタンス及びネットワークを介して、他のユーザの物理インスタンスや、その物理インスタンスに割り当てられたストレージに対してアクセスすることができてしまい、セキュリティが担保されない。従って、物理インスタンス間の通信及びストレージへのアクセスを適切に制御することによりセキュリティを担保するための技術が求められていた。
そこで、本発明は、上記問題点に鑑みてなされたものであり、ネットワークを介して一の物理サーバに単独で構成される物理インスタンスを提供するシステムにおいて、物理インスタンスからの通信を適切に制御することによりセキュリティを担保可能なホスト提供システム及び通信制御方法を提供することを目的とする。
上記課題を解決するために、本発明のホスト提供システムは、ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムであって、一の物理インスタンスから、他のインスタンスを送信先とする通信データを第2のネットワークを介して受け付ける通信データ受付手段と、通信データ受付手段により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定手段と、判定手段により通信許可判定された場合には、送信先に対する通信を許可すると共に送信先に通信データを送出し、通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しない、通信データ制御手段と、を備える。
また、上記課題を解決するために、本発明の通信制御方法は、ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムにおける、インスタンス間の通信を制御する通信制御方法であって、一の物理インスタンスから、他のインスタンスを送信先とする通信データを第2のネットワークを介して受け付ける通信データ受付ステップと、通信データ受付ステップにおいて受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定ステップと、判定ステップにおいて通信許可判定された場合には、送信先に対する通信を許可すると共に送信先に通信データを送出し、通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しない、通信データ制御ステップと、を有する。
本発明によれば、物理インスタンスからの通信データに含まれる送信元を示す情報及び送信先を示す情報に対応付けられるユーザを示す情報が一致するか否かにより通信可否が判定され、判定結果に基づき通信データが制御される。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。
また、本発明のホスト提供システムでは、判定手段は、送信元又は送信先を示す情報に、当該通信データを受け付けるポートのポート識別情報及びユーザのユーザ識別情報が対応付けられたテーブルを参照し、送信元を示す情報に対応付けられたポートの識別情報を第1のポート識別情報として抽出し、該第1のポート識別情報に対応付けられたユーザ識別情報を第1のユーザ識別情報として抽出し、送信先を示す情報に対応付けられたポートの識別情報を第2のポート識別情報として抽出し、該第2のポート識別情報に対応付けられたユーザ識別情報を第2のユーザ識別情報として抽出し、第1のユーザ情報と第2のユーザ情報とが一致するか否かにより通信可否を判定する。
上記構成によれば、受け付けられた通信データが同一ユーザの物理インスタンス間の通信データであるか否かが適切に判定される。
また、本発明のホスト提供システムでは、判定手段は、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定する。
また、本発明の通信制御方法では、判定ステップは、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定する。
上記構成によれば、物理インスタンスからの通信データに含まれる送信元を示す情報及び送信先を示す情報のうちの少なくとも一つが所定の認証ルールに適合するか否かが判定され、判定結果に基づき通信データが制御される。通信の許可に必要な条件を認証ルールとして設定できるので、通信を許可すべき通信データのみが通信を許可され通信先に送出され、通信を許可すべきでない通信データは、通信先に送出されない。これにより、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。
また、本発明のホスト提供システムでは、複数の仮想インスタンスを仮想的に構成可能であって該仮想インスタンスを仮想ホストとして第1のネットワークを介してユーザ端末に提供可能であって、第2のネットワークを介して他のサーバと通信可能な仮想インスタンス用サーバを1以上含み、通信データ制御部は、第2のネットワークにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別する仮想ネットワーク識別子を通信データに付加する。
上記構成によれば、当該システムが複数の仮想インスタンスが構成されたサーバを含む場合において、一のユーザのための仮想的に構成された仮想ネットワークを識別する仮想ネットワーク識別子が物理インスタンスからの通信データに付加されるので、物理インスタンスから仮想インスタンスへの通信を当該システムにおいて適切に制御できる。
また、本発明のホスト提供システムは、各インスタンスに対応付けられた複数のストレージからなり、第2のネットワークを介してアクセス可能なストレージ群と、インスタンスからストレージに対するアクセスであって、インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付手段と、ストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、アクセス受付手段により受け付けられたアクセスに含まれるIPアドレスが、ストレージ属性記憶手段においてアクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定手段と、アクセス可否判定手段により、アクセスに含まれるIPアドレスが、ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを該ストレージに送出し、アクセスに含まれるIPアドレスが、ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御手段と、を更に含む。
また、本発明の通信制御方法では、ホスト提供システムは、各インスタンスに対応付けられた複数のストレージからなり、第2のネットワークを介してアクセス可能なストレージ群と、ストレージを識別するストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、を含み、当該通信制御方法は、インスタンスからストレージに対するアクセスであって、インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付ステップと、アクセス受付ステップにおいて受け付けられたアクセスに含まれるIPアドレスが、ストレージ属性記憶手段においてアクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定ステップと、アクセス可否判定ステップにおいて、アクセスに含まれるIPアドレスが、ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを該ストレージに送出し、アクセスに含まれるIPアドレスが、ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御ステップと、を更に有する。
この構成によれば、物理インスタンスからストレージへのアクセスに含まれるIPアドレスが、当該ストレージを割り当てられた物理インスタンスのIPアドレスに該当する場合にのみアクセスが許可され、それ以外の場合にはアクセスが許可されない。これにより、当該ストレージを割り当てられた物理インスタンス以外のインスタンスからのアクセスが防止されるので、ストレージにおけるセキュリティが適切に担保される。
また、本発明のホスト提供システムでは、認証ルールのうちの第1の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるサーバを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるクライアントを示す番号であること、であって、判定手段は、通信データが第1の認証ルールに該当する場合に、該通信データの通信を不可と判定する。
この場合には、通信データの送信元となる物理ホストがDHCPサーバになりすますことが適切に防止される。
また、本発明のホスト提供システムでは、認証ルールのうちの第2の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるクライアントを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるサーバを示す番号であること、であって、判定手段は、通信データが第2の認証ルールに該当する場合に、該通信データの通信許可判定する。
この場合には、通信データの送信元となる物理インスタンスがDHCPサーバにIPアドレスを要求することが許可される。
また、本発明のホスト提供システムでは、認証ルールのうちの第3の認証ルールは、通信データ受付手段により受け付けられた通信データに含まれる、送信元のMACアドレス及び送信元のIPアドレスがそれぞれ、通信データを受け付けたポートに接続された物理インスタンスのMACアドレス及びIPアドレスに該当すること、であって、判定手段は、通信データが第3の認証ルールに該当する場合に、該通信データの通信許可判定する。
この場合には、通信データを受け付けたポートに接続された物理インスタンスから他のインスタンスへの通信において、送信元の物理インスタンスの正当性が適切に判定される。従って、例えば、偽装された送信元IPアドレスによる通信が防止される。
ネットワークを介して一の物理サーバに単独で構成される物理インスタンスを提供するシステムにおいて、物理インスタンスからの通信を適切に制御することによりセキュリティを担保することが可能となる。
ホスト提供システムの全体構成を示すブロック図である。 管理用ネットワークを介して互いに接続された複数の第1のサーバ7を模式的に示す図である。 物理ホストネットワークスイッチの機能的構成を示すブロック図である。 認証ルールの生成に用いられる物理インスタンス情報テーブルを模式的に示す図である。 VLAN情報テーブルを模式的に示す図である。 認証ルール記憶部の構成及び記憶されているデータの例を模式的に示す図である。 物理ホストネットワークスイッチのハードウエア構成図である。 通信制御方法におけるホスト提供システムの処理内容を示すフローチャートである。 通信制御方法におけるホスト提供システムの処理内容を示すフローチャートである。 管理用ネットワークにおける物理インスタンスとネットワークストレージ群との接続関係を示す図である。 ストレージアクセス管理部の機能的構成を示すブロック図である。 ストレージ属性記憶部の構成及び記憶されているデータの例を示す図である。 ホスト提供システムにおけるストレージに対するアクセスの制御方法において実施される処理内容を示すフローチャートである。
本発明に係るホスト提供システム及び通信制御方法の実施形態について図面を参照して説明する。なお、可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。
図1は、ホスト提供システム1の全体構成を示すブロック図である。ホスト提供システム1は、ユーザ端末Tからの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末TにパブリックネットワークN(第1のネットワーク)を介して利用可能に提供するシステムである。また、ホスト提供システム1は、管理用ネットワークN(第2のネットワーク)を介して互いに通信可能な複数の第1のサーバ(物理サーバ)を含み、第1のサーバに単独で物理的に構成される物理インスタンスを物理ホストとしてユーザ端末Tに提供できる。
ホスト提供システム1は、リクエスト受付ノード2、ホスト選択ノード3、ホスト情報集約ノード4、物理ホスト管理ノード5、NWストレージ群6、第1のサーバ7及び第2のサーバ8(仮想インスタンス用サーバ)を備える。これらのノードおよびサーバは、管理用ネットワークNを介して互いに通信可能である。
管理用ネットワークNには保守者端末Tが通信可能に接続されており、システムの保守者は、保守者端末Tを介して各種ノード及びサーバにアクセスすることにより、システムの保守及び管理を実施できる。
また、第1のサーバ7及び第2のサーバ8は、パブリックネットワークNに通信可能に接続されている。パブリックネットワークNには、ユーザ端末Tが通信可能に接続されており、インスタンス使用者であるユーザは、ユーザ端末Tを介して第1のサーバ7及び第2のサーバ8に構成されたインスタンスにアクセスできる。これにより、ユーザ端末Tは、インスタンスをホストコンピュータとして利用できる。
各種ノードの説明に先立って、第1のサーバ7及び第2のサーバ8並びにNWストレージ群6を説明する。第1のサーバ7は、当該第1のサーバ7に単独で物理インスタンス71を構成するための物理サーバである。一の第1のサーバ7は、一の物理インスタンス71を物理ホストとしてユーザ端末Tに提供できる。物理インスタンス71は、ハードウエア72、OS73、ミドルウエア74、アプリケーション75を含んで構成される。
第2のサーバ8は、複数の仮想インスタンス85を当該第2のサーバ8に仮想的に構成する物理サーバであって、複数の仮想インスタンス85を仮想ホストとしてユーザ端末Tに提供できる。仮想インスタンス85は、OS86,ミドルウエア87、アプリケーション88を含んで構成される。第2のサーバ8は、仮想ホスト管理ノード81、ハードウエア82、ホストOS83及びハイパーバイザ84をさらに含む。
仮想ホスト管理ノード81は、複数の仮想ホストを管理するノードであって、仮想ホストの使用状態を示す情報を含む仮想ホスト情報をホスト情報集約ノード4に記憶させる。また、仮想ホスト管理ノード81は、ホスト選択ノード3からインスタンス起動要求を取得すると、ハイパーバイザ84に複数の仮想インスタンス85のいずれかを仮想ホストとして起動させる。ハイパーバイザ84は、仮想ホストとして提供するための仮想インスタンス85の選択、管理及び起動等を行う機能部である。また、ハイパーバイザ84は、互いに異なるユーザに提供された仮想インスタンス85間のデータ通信を遮断したり、他のユーザに提供された仮想インスタンスに割り当てられたストレージへのアクセスを遮断したりする。
NWストレージ群6は、ユーザ端末Tに対してホストと共に提供される記憶装置の集合であって、物理ホスト71及び仮想ホスト85によりデータのリード及びライトのためにアクセスされる。
なお、図1では、各種ノード2〜5の各々は、管理用ネットワークNに分散してそれぞれ単独の装置として構成されているが、複数のノードが1の装置にまとめて構成されることとしてもよい。また、図1では、2つの第1のサーバ7が一の物理ホスト管理ノード5に管理される態様で示されているが、第1のサーバ7の数及びそれを管理する物理ホスト管理ノード5の数は、図1に示した数に限定されず任意である。
リクエスト受付ノード2は、ユーザ端末Tからのインスタンス起動要求をユーザ端末Tから受け付け、受け付けられたインスタンス起動要求をホスト選択ノード3に送出するノードである。インスタンス起動要求は、当該起動要求に係るインスタンスが仮想インスタンス及び物理インスタンスのいずれであるかを示すインスタンス種別情報、並びにCPU数、メモリ容量及びディスク容量といった、インスタンスに対して要求されるハードウエアの性能を示す要求性能情報を含む。
ホスト選択ノード3は、リクエスト受付ノード2から取得したインスタンス起動要求に含まれるインスタンス種別情報及び要求性能情報に応じて、ホストとして提供するインスタンス71,85の選択及び選択したインスタンスを管理するホスト管理ノード5,81を選択する。そして、ホスト選択ノード3は、選択したインスタンス71,85をホストコンピュータとして起動するための起動リクエストをホスト管理ノード5,81に送出する。
ホスト情報集約ノード4は、ホストの状態に関するホスト情報を受信し、受信したホスト情報を所定の記憶手段に記憶させる。ホスト情報は、物理ホスト管理ノード5からの物理ホスト情報及び仮想ホスト管理ノード81からの仮想ホスト情報を含み、ホストの使用状態を示す使用状態情報、インスタンスの種別、ホストが使用中であるか否かを示す情報、ホストの性能を示すスペックに関する情報を含むことができる。
物理ホスト管理ノード5は、制御下の物理ホスト(物理インスタンス71)の状態を示すホスト情報をホスト情報集約ノード4に通知する。また、物理ホスト管理ノード5は、ホスト選択ノード3から送出されたインスタンス起動要求に基づき、ホスト選択ノード3により選択された物理ホスト(物理インスタンス7)を起動する。
次に、図2を参照して、物理インスタンスからの通信を制御するための機能部について説明する。図2は、管理用ネットワークNを介して互いに接続された複数の第1のサーバ7を模式的に示す図である。図2に示すように、管理用ネットワークNは、物理ホストネットワークスイッチ9(第2のネットワーク)を含む。図2に示す例では、3台の第1のサーバ7A1,7A2,7が物理ホストネットワークスイッチ9を介して管理用ネットワークNに接続されている。
第1のサーバ7A1は、ユーザAのユーザ端末TUAに物理インスタンス71A1を物理ホストとして提供しており、物理ホストネットワークスイッチ9のポート#Port1001に接続されている。物理インスタンス71A1は、IPアドレス「IP−A1」及びMACアドレス「MAC−A1」を有する。
第1のサーバ7A2は、ユーザAのユーザ端末TUAに物理インスタンス71A2を物理ホストとして提供しており、物理ホストネットワークスイッチ9のポート#Port1002に接続されている。物理インスタンス71A2は、IPアドレス「IP−A2」及びMACアドレス「MAC−A2」を有する。
第1のサーバ7は、ユーザBのユーザ端末TUBに物理インスタンス71を物理ホストとして提供しており、物理ホストネットワークスイッチ9のポート#Port1003に接続されている。物理インスタンス71は、IPアドレス「IP−B1」及びMACアドレス「MAC−B1」を有する。
なお、図2では、物理ホストネットワークスイッチ9は1台の装置として示されているが、図2において破線で示すように、ポートごとに設けられた3台のネットワークスイッチとして構成されてもよい。
図3は、物理ホストネットワークスイッチ9の機能的構成を示すブロック図である。図3に示すように、物理ホストネットワークスイッチ9は、通信データ受付部91(通信データ受付手段)、認証ルール記憶部92、判定部93(判定手段)及び通信データ制御部94(通信データ制御手段)を備える。
通信データ受付部91は、一の物理インスタンス71から、他のインスタンスを送信先とする通信データを、管理用ネットワークNを介して受け付ける部分である。通信データは、当該通信データの送信元を示すMACアドレス及びIPアドレス並びに送信先を示すIPアドレスのうちの少なくとも一つを含む。通信データ受付部91は、受け付けた通信データを判定部93に送出する。
認証ルール記憶部92は、通信を許可すべき通信データに関する認証ルールを記憶している部分である。図4は、認証ルールの生成に用いられる物理インスタンス情報テーブルを模式的に示す図である。物理インスタンス情報テーブルは、物理インスタンスに関する各種情報を記憶しており、例えば、図1に示される物理ホスト管理ノード5に備えられる。また、物理インスタンス情報テーブルは、その他いずれかのノード2,3,4又は図示されないその他のノードに備えられることとしてもよい。なお、物理インスタンス情報テーブルは、判定部93における判定処理においても直接に参照される。
図4に示すように、物理インスタンス情報テーブルは、物理インスタンス71を識別するインスタンスIDに対応付けて、インターフェースID、データパスID、ポートID(ポート識別情報)、当該物理インスタンスが提供されるユーザ端末TのユーザID、IPアドレス及びMACアドレスを記憶している。インターフェースIDは、物理インスタンスに固有のIDである。データパスIDは、当該物理インスタンスが構成される物理サーバが接続されているスイッチのIDである。ポートIDは、スイッチのポートIDである。物理インスタンス情報テーブルの各レコードは、例えば、物理ホスト管理ノード5により、物理ホストとしてユーザ端末Tに提供するために当該物理インスタンス71が起動されたときに設定されてもよい。物理インスタンス情報テーブルに記憶されたデータは、認証ルール記憶部92における認証ルールの設定に用いられることができる。
図5は、物理インスタンス情報テーブルに併せて物理ホスト管理ノード5又はその他のいずれかのノードに記憶されているVLAN情報テーブルである。VLAN情報テーブルは、ユーザIDに対応付けてVLANID(仮想ネットワーク識別子)を記憶している。
VLAN IDは、物理的には一のネットワークである管理用ネットワークNにおいて、ユーザごとに論理的に分離されたネットワークを仮想的に構成するために、仮想ネットワークを識別する識別子である。ユーザごとに割り当てられたVLAN IDが通信データに付されることにより、その通信データは、当該ユーザに固有に構成された仮想ネットワーク内において通信されるように振る舞う。
図6は、認証ルール記憶部92の構成及び記憶されているデータの例を模式的に示す図である。図6に示すように、認証ルール記憶部92は、通信データを受け付けるポートのポートIDごとに、当該ポートに接続された物理インスタンス71を提供されたユーザ端末Tのユーザ、認証ルール及び通信データが当該認証ルールに該当した場合の処理内容を対応付けて記憶している。
認証ルールは、参照順位が付されて記憶されている。後述する判定部93は、上位に設定された認証ルールから順に参照しながら、通信データの通信可否を判定する。なお、認証ルールに基づく具体的な判定処理については後述する。
第2のサーバ8(仮想インスタンス用サーバ)において複数の仮想インスタンスのみを扱う従来のシステムでは、ハイパーバイザ84がデータ送信時においてユーザごとに割り当てられたVLANIDを通信データに付すことにより、仮想インスタンス85間のデータ通信を管理していた。本実施形態では、物理インスタンス71からの通信データにVLAN IDを付加することにより、物理インスタンス71と仮想インスタンス85との間のデータ通信が可能となる。なお、このように、論理的に複数に分離された仮想ネットワークを一の物理ネットワークに構成する方式は、いわゆるタグVLAM方式と称される。
判定部93は、通信データ受付部91により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する部分である。具体的には、判定部93は、送信元又は送信先を示す情報(IPアドレス、MACアドレス)に当該通信データを受け付けるポートのポートID及びユーザIDが対応付けられた物理インスタンス情報テーブルを参照し、送信元を示す情報に対応付けられたポートIDを第1のポートIDとして抽出し、第1のポートIDに対応付けられたユーザIDを第1のユーザIDとして抽出し、送信先を示す情報に対応付けられたポートIDを第2のポートIDとして抽出し、第2のポートIDに対応付けられたユーザIDを第2のユーザIDとして抽出し、第1のユーザIDと第2のユーザIDとが一致するか否かにより通信可否を判定する。なお、ポートID同士のユーザ認証は仮想・物理間でも同様に行われることとする。
また、判定部93は、当該ポートに接続された物理インスタンスからのデータ送信時において、通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、通信データの通信可否を判定する。判定方法としては、通信データの送信元及び送信先を示す情報等を認証ルールの優先度「10040」から降順に照会する。ルールと合致した場合はルールに対する処理が実行される。ルールと合致しない場合は次の優先度の認証ルールとの照会を行う。
通信データ制御部94は、判定部93により通信データに対して通信許可判定された場合には、当該通信データの送信先に対する通信を許可すると共に通信先に通信データを送出する部分である。例えば、ポート9A1において、物理インスタンス71A1から物理インスタンス71A2への通信データが通信許可判定された場合には、ポート9A1において受信した通信データをポート9A2を介して物理インスタンス71A2に送出する。一方、通信データ制御部94は、判定部93により通信データが通信許可判定されなかった場合には、送信先に対する通信を不許可として送信先に通信データを送出しないよう制御を実施する。
続いて、図2、図4及び図6を参照しながら判定部93及び通信データ制御部94における処理の例を具体的に説明する。
まず、第1の例を説明する。第1の例では、物理インスタンス71A1から物理インスタンス71A2への通信が行われる。まず、物理インスタンス71A1からの通信データが通信データ受付部91により受け付けられると、ポート9A1(ポートID:#Port1001)における判定部93は、通信データから、送信元のMACアドレス「MAC−A1」及びIPアドレス「IP−A1」並びに送信先のMACアドレス「MAC−A2」及びIPアドレス「IP−A2」を抽出する。続いて、判定部93は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートID「Port1001」を抽出し、このポートIDに対応付けられたユーザID「A」を抽出し、送信先のアドレスに対応付けられたポートID「Port1002」を抽出し、このポートIDに対応付けられたユーザID「A」を抽出する。そして、抽出した両ユーザIDが一致するので、判定部93は、当該通信データに対して通信許可判定をする。
次に、判定部93は、認証ルール記憶部92においてポートID:#Port1001に対応付けて設定された認証ルールを優先度「10040」から降順に参照する。そして、通信データから抽出したMACアドレス及びIPアドレスが、参照した認証ルール「10020」の「送信元MACアドレス:MAC−A1且つ送信元IPアドレス:IP−A1」に合致するので、判定部93は、当該通信データに係る通信は認証ルールに該当すると判定する。そして、通信データ制御部94は、当該通信データの物理インスタンス71A2への通信を許可し、当該通信データを、ポート9A2(ポートID:#Port1002)に送出する。
次に、ポート9A2(ポートID:#Port1002)における通信データ受付部91において通信データを受け付けると、判定部93は、通信データから、送信元のMACアドレス「MAC−A1」及びIPアドレス「IP−A1」並びに送信先のMACアドレス「MAC−A2」及びIPアドレス「IP−A2」を抽出し、物理インスタンス情報テーブルにおいて送信元のアドレスに対応付けられたポートID「Port1001」及びこのポートIDに対応付けられたユーザID「A」並びに送信先のアドレスに対応付けられたポートID「Port1002」及びこのポートIDに対応付けられたユーザID「A」を抽出する。そして、抽出した両ユーザIDの一致により、判定部93は、当該通信データに対して物理インスタンス71A2への通信許可判定をする。
かかる判定では、送信元及び送信先の物理インスタンス71のユーザが一致する場合にのみ通信データが許可され、かつ送信元のアドレスに対する判定により送信元の正当性が適切に判定される。従って、例えば、偽装された送信元IPアドレスによる通信が防止される。
次に、第2の例を説明する。第2の例では、物理インスタンス71から物理インスタンス71A1への通信が試みられる。まず、物理インスタンス71からの通信データが通信データ受付部91により受け付けられると、ポート9(ポートID:#Port1003)における判定部93は、通信データから、送信元のMACアドレス「MAC−B1」及びIPアドレス「IP−B1」並びに送信先のMACアドレス「MAC−A1」及びIPアドレス「IP−A1」を抽出する。続いて、判定部93は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートID「Port1003」を抽出し、このポートIDに対応付けられたユーザID「B」を抽出し、送信先のアドレスに対応付けられたポートID「Port1001」を抽出し、このポートIDに対応付けられたユーザID「A」を抽出する。そして、抽出した両ユーザIDが相違するので、判定部93は、当該通信データに対して通信許可判定をしない。そして、通信データ制御部94は、当該通信データの物理インスタンス71A1への通信を許可せずに、当該通信データを、ポート9A1(ポートID:#Port1001)に送出しない。かかる判定では、通信データを受け付けたポートに接続された物理インスタンス71から他のインスタンスへの通信において、当該物理インスタンスを提供されたユーザが提供された他のインスタンスへの通信のみが許可されることとなる。従って、当該物理インスタンスを提供されたユーザ以外の他のユーザに割り当てられたインスタンスに対する通信が防止される。
次に、第3の例を説明する。第3の例では、物理インスタンス71から物理インスタンス71A1への通信が試みられる。さらに、この通信では、ユーザBが、ユーザAの物理インスタンス71A2のIPアドレス及びMACアドレスを偽装しているものとする。この場合には、まず、物理インスタンス71からの通信データが通信データ受付部91により受け付けられると、ポート9(ポートID:#Port1003)における判定部93は、通信データから、偽装された送信元のMACアドレス「MAC−A2」及びIPアドレス「IP−A2」並びに送信先のMACアドレス「MAC−A1」及びIPアドレス「IP−A1」を抽出する。続いて、判定部93は、物理インスタンス情報テーブルを参照し、送信元のアドレスに対応付けられたポートID「Port1002」を抽出し、このポートIDに対応付けられたユーザID「A」を抽出し、送信先のアドレスに対応付けられたポートID「Port1001」を抽出し、このポートIDに対応付けられたユーザID「A」を抽出する。そして、抽出した両ユーザIDが一致するので、判定部93は、当該通信データに対して通信許可判定をする。
次に、判定部93は、認証ルール記憶部92においてポートID:#Port1003に対応付けて設定された認証ルールを優先度「10040」から降順に参照する。そして、当該通信データは、優先度「10040」及び「10030」のルールに該当せず、さらに、通信データから抽出したMACアドレス及びIPアドレスが、優先度「10020」の認証ルール「送信元MACアドレス:MAC−B1且つ送信元IPアドレス:IP−B1」にも該当しないので、最も優先度の低い優先度「10010」の通信不許可が適用され、判定部93は、当該通信データの通信に対して許可判定をしない。そして、通信データ制御部94は、当該通信データの物理インスタンス71A1への通信を許可せずに、当該通信データを、ポート9A1(ポートID:#Port1001)に送出しない。かかる判定では、IPアドレスやMACアドレスを偽装したなりすましによる通信が適切に防止される。
次に、第4の例を説明する。第4の例では、物理インスタンス71A1からDHCPサーバに対して、IPアドレスの払い出し要求が行われる。この場合には、まず、物理インスタンス71A1からの通信データが通信データ受付部91により受け付けられると、第1の例と同様に、判定部93は、当該通信データに対して通信許可判定をする。
次に、判定部93は、認証ルール記憶部92においてポートID:#Port1001に対応付けて設定された認証ルールを優先度「10040」から降順に参照する。そして、当該通信データは、優先度「10040」のルールに該当せず、優先度「10030」の認証ルール「送信元L4ポート番号68且つ送信先L4ポート番号67」に該当するので、判定部93は、当該通信データの通信許可判定をする。なお、送信元L4ポート番号の「68」は、DHCPプロトコルにおけるクライアントであり、送信元L4ポート番号の「67」は、DHCPプロトコルにおけるサーバである。これにより、物理インスタンス71A1は、IPアドレスの払い出し要求を実施できる。
ここで、送信元の物理インスタンスがDHCPサーバになりすますために、「送信元L4ポート番号67且つ送信先L4ポート番号68」の通信データを送出した場合には、優先度「10040」の認証ルールに該当することとなり、判定部93は、当該通信データの通信を不許可とする。
また、通信データ制御部94は、管理用ネットワークNにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別するVLANID(仮想ネットワーク識別子)を通信データに付加する。例えば、物理インスタンス71A1からポート9A1を介して第2のサーバ8に構成された仮想インスタンス85に通信データが送出される場合には、ポート9A1における通信データ制御部94は、VLAN情報テーブル(図5参照)においてユーザID「A」に対応付けられているVLANIDの「VID」を当該通信データに付与する。これにより、前述のとおり、物理インスタンス71と仮想インスタンスとの間のデータ通信が可能となる。また、仮想インスタンス85から物理インスタンス71への通信において、判定部93は、当該物理インスタンスのユーザに割り当てられたVLAN IDが通信データに含まれていることを認証ルールとして採用することとしてもよい。
図2に示した物理ホストネットワークスイッチ9は、例えば、1つまたは複数のコンピュータにより構成できる。図7は、物理ホストネットワークスイッチ9のハードウエア構成図である。物理ホストネットワークスイッチ9を構成するコンピュータは、物理的には、図7に示すように、CPU101、主記憶装置であるRAM102及びROM103、データ送受信デバイスである通信モジュール104、ハードディスク、フラッシュメモリ等の補助記憶装置105、入力デバイスであるキーボード等の入力装置106、ディスプレイ等の出力装置107などを含むコンピュータシステムとして構成されている。図3に示した各機能は、図7に示すCPU101、RAM102等のハードウエア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU101の制御のもとで通信モジュール104、入力装置106、出力装置107を動作させるとともに、RAM102や補助記憶装置105におけるデータの読み出し及び書き込みを行うことで実現される。また、図8及び図9を参照して後述するストレージアクセス管理部60も、物理ホストネットワークスイッチ9と同様のハードウエア構成を有する。
次に、図8,9を参照して、ホスト提供システム1における通信制御方法において実施される処理内容を説明する。
まず、通信データ受付部91は、一の物理インスタンス71から、他のインスタンスを送信先とする通信データを、管理用ネットワークNを介して受け付ける(S1)。続いて、判定部93は、物理インスタンス情報テーブルを参照し、送信元を示す情報(IPアドレス、MACアドレス)に対応付けられたポートIDを第1のポートIDとして抽出し、第1のポートIDに対応付けられたユーザIDを第1のユーザIDとして抽出し、送信先を示す情報に対応付けられたポートIDを第2のポートIDとして抽出し、第2のポートIDに対応付けられたユーザIDを第2のユーザIDとして抽出する(S2)。
次に、判定部93は、第1のユーザIDと第2のユーザIDとが一致するか否かを判定する(S3)。第1のユーザIDと第2のユーザIDとが一致すると判定された場合には、処理手順はステップS4に進められる。一方、第1のユーザIDと第2のユーザIDとが一致すると判定されなかった場合には、処理手順はステップS5に進められる。
ステップS4において、通信データ制御部94は、当該通信データの送信先に対する通信を許可する(S4)。一方、ステップS5では、通信データ制御部94は、当該通信データの送信先に対する通信を不許可とする(S5)。
図8に示した判定処理は、各ポート9において、通信データの送信時及び受信時のいずれにおいても実施される。通信データの送信時には、更に、図9に示す処理により各ポート9において通信の可否が判定される。即ち、データの送信時には、図8に示した判定処理及び図9に示した判定処理の両方において、通信許可判定されることにより、通信データの通信が実施される。一方、データの受信時には、図8に示した判定処理において通信許可判定がされた場合に、データの通信が実施される。以下、図9を参照して、データの送信時に実施される判定処理内容を説明する。
まず、通信データ受付部91は、一の物理インスタンス71からの通信データを受け付ける(S6)。続いて、判定部93は、通信データから、送信元のIPアドレス、MACアドレス及びL4ポート番号並びに送信先のL4ポート番号を抽出する(S7)。
次に、判定部は、ステップS7において抽出された送信元のIPアドレス、MACアドレス及びL4ポート番号並びに送信先のL4ポート番号に基づいて、認証ルール記憶部92に記憶された認証ルールに適合するか否かを判定する(S8)。ここで、認証ルールに適合すると判定された場合には(S9)、処理手順はステップS10に進められる。一方、認証ルールに適合しないと判定された場合には(S4)、処理手順はステップS11に進められる。ステップS10において、通信データ制御部94は、当該通信データの送信先に対する通信を許可する。一方、ステップS11において、通信データ制御部94は、送信先に対する通信を不許可として送信先に通信データを送出しないよう制御を実施する(S11)。
ステップS12において、通信データ制御部94は、VLAN情報テーブルを参照して、送信元のユーザIDに対応付けられたVLANIDを抽出する(S12)。そして、通信データ制御部94は、抽出したVLANIDを通信データに付加して、送信先のポート9に通信データを送出する(S13)。
次に、図10〜12を参照して、ネットワークストレージ群6のストレージに対するアクセスを管理するためのストレージアクセス管理部60の機能について説明する。
図10に示すように、ホスト提供システム1は、各インスタンスから管理用ネットワークNを介してアクセス可能な複数のストレージの集合であるネットワークストレージ群6を有する。ネットワークストレージ群6は、ストレージに対するアクセスを管理するためのストレージアクセス管理部60を含む。
図11は、ストレージアクセス管理部60の機能的構成を示すブロック図である。図11に示すように、ストレージアクセス管理部60は、アクセス受付部61(アクセス受付手段)、ストレージ属性記憶部62(ストレージ属性記憶手段)、アクセス可否判定部63(アクセス可否判定手段)及びアクセス制御部64(アクセス制御手段)を備える。
アクセス受付部61は、インスタンスからストレージに対するアクセスを受け付ける部分である。このアクセスは、アクセスの送信元のインスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージID(ストレージ識別子)を含む。
ストレージ属性記憶部62は、ストレージIDに、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶している部分である。本実施形態では、一のインスタンスごとに一のストレージが割り当てられる。すなわち、一のストレージに対してアクセスできるインスタンスは一つに限られることとなる。図12は、ストレージ属性記憶部62の構成及び記憶されているデータの例を示す図である。図12に示すように、ストレージ属性記憶部62は、ストレージIDに対応付けて、当該ストレージに割り当てられたインスタンスのIPアドレスを記憶している。また、ストレージ属性記憶部62は、ユーザ、アクセス元のインスタンスのタイプ(物理インスタンス又は仮想インスタンス)を更に対応付けて記憶していることとしてもよい。例えば、ストレージID「IA1」のストレージ属性としてIPアドレス「IP−A1」、ユーザ「A」及びインスタンスタイプ「物理」といったデータが記憶されている。このストレージ属性に関する情報を用いた判定処理については後述する。
アクセス可否判定部63は、アクセス受付部61により受け付けられたアクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてアクセスの対象のストレージのストレージIDに対応付けられたIPアドレスに該当するか否かを判定する部分である。
アクセス制御部64は、アクセス可否判定部63により、アクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてストレージIDに対応付けられたIPアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスを当該ストレージに送出する。また、アクセス制御部64は、アクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてストレージIDに対応付けられたIPアドレスに該当しないと判定された場合には、当該ストレージに対するアクセスを不許可としてそのアクセスをストレージに送出しないように制御する。
アクセス可否判定部63による判定処理及びアクセス制御部64による制御処理を具体例により説明する。
まず、第1の例を説明する。第1の例では、ユーザAに提供された物理インスタンス71A1からのストレージID「IA1」に対するアクセスがストレージアクセス管理部60により受け付けられる。このアクセスは、送信元のMACアドレス「MAC−A1」及びIPアドレス「IP−A1」並びにアクセス対象のストレージのストレージID「IA1」を含む。このようなアクセスが受け付けられると、アクセス可否判定部63は、ストレージ属性記憶部62においてストレージID「IA1」に対応付けられているIPアドレス「IP−A1」を抽出する。そして、アクセス可否判定部63は、アクセスに含まれる送信元のIPアドレス「IP−A1」が、ストレージ属性記憶部62から抽出したIPアドレスに該当すると判定する。従って、アクセス制御部64は、ストレージID「IA1」により識別されるストレージに対するアクセスを許可し、アクセスに係るデータを送出する。
次に、第2の例を説明する。第2の例では、ユーザBに提供された物理インスタンス71からのストレージID「IA1」に対するアクセスがストレージアクセス管理部60により受け付けられる。このアクセスは、送信元のMACアドレス「MAC−B1」及びIPアドレス「IP−B1」並びにアクセス対象のストレージのストレージID「IA1」を含む。このようなアクセスが受け付けられると、アクセス可否判定部63は、ストレージ属性記憶部62においてストレージID「IA1」に対応付けられているIPアドレス「IP−A1」を抽出する。そして、アクセス可否判定部63は、アクセスに含まれる送信元のIPアドレス「IP−B1」が、ストレージ属性記憶部62から抽出したIPアドレスに該当しないと判定する。従って、アクセス制御部64は、ストレージID「IA1」により識別されるストレージに対する物理インスタンス71からのアクセスを許可せず、そのアクセスに係るデータがストレージに対して送出されないよう制御する。
次に、第3の例を説明する。第3の例では、ユーザBに提供された物理インスタンス71から、送信元のIPアドレスがユーザAのIPアドレス「IP−A1」に偽装されたストレージID「IA1」に対するアクセスが受け付けられる。この場合には、当該アクセスは、ストレージアクセス管理部60に到達する以前に、優先度「10020」の送信元IPアドレスに関する認証ルール(図6参照)に対する不適合により、物理ホストネットワークスイッチ9により遮断される。
次に、図13を参照して、ホスト提供システム1におけるストレージに対するアクセスの制御方法において実施される処理内容を説明する。
ステップS20の処理は、図8,9を参照して説明した判定処理である。なお、ストレージは全てのユーザと通信できるように設定しておくことで図8におけるポート同士のユーザ認証で通信を許可するとこができる。続くステップS21において、アクセス受付部61は、インスタンスからストレージに対するアクセスを受け付ける(S21)。続いて、アクセス可否判定部63は、受け付けたアクセスから、送信元IPアドレス及びアクセス対象のストレージのストレージID等を抽出する(S22)。そして、アクセス可否判定部63は、アクセス受付部61により受け付けられたアクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてアクセスの対象のストレージのストレージIDに対応付けられたIPアドレスに該当するか否かを判定する(S23)。ここで、アクセスに含まれるIPアドレスがストレージ属性記憶部62から抽出したIPアドレスに適合すると判定された場合には(S24)、処理手順はステップS25に進められる。一方、適合しないと判定された場合には(S24)、処理手順はステップS26に進められる。
ステップS25において、アクセス制御部64は、アクセス可否判定部63により、アクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてストレージIDに対応付けられたIPアドレスに該当すると判定された場合には、ストレージに対するアクセスを許可すると共にアクセスに係るデータを当該ストレージに送出する(S25)。
一方、ステップS26において、アクセス制御部64は、アクセス可否判定部63により、アクセスに含まれるIPアドレスが、ストレージ属性記憶部62においてストレージIDに対応付けられたIPアドレスに該当しないと判定された場合には、当該ストレージに対するアクセスを不許可としてそのアクセスをストレージに送出しないように制御する(S26)。
本実施形態のホスト提供システム1及び通信制御方法によれば、物理インスタンス71からの通信データに含まれる送信元を示す情報及び送信先を示す情報に対応付けられるユーザを示す情報が一致するか否かにより通信可否が判定され、判定結果に基づき通信データが制御される。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。
また、物理インスタンス71からストレージへのアクセスに含まれるIPアドレスが、当該ストレージを割り当てられた物理インスタンス71のIPアドレスに該当する場合にのみアクセスが許可され、それ以外の場合にはアクセスが許可されない。これにより、当該ストレージを割り当てられた物理インスタンス71以外のインスタンスからのアクセスが防止されるので、ストレージにおけるセキュリティが適切に担保される。
以上、本発明をその実施形態に基づいて詳細に説明した。しかし、本発明は上記実施形態に限定されるものではない。本発明は、その要旨を逸脱しない範囲で様々な変形が可能である。
1…ホスト提供システム、2…リクエスト受付ノード、3…ホスト選択ノード、4…ホスト情報集約ノード、5…物理ホスト管理ノード、6…ネットワークストレージ群、7,7A1,7A2,7…第1のサーバ、8…第2のサーバ、9…物理ホストネットワークスイッチ、9A1,9A2,9…ポート、60…ストレージアクセス管理部、61…アクセス受付部、62…ストレージ属性記憶部、63…アクセス可否判定部、64…アクセス制御部、71,71A1,71A2,71…物理インスタンス、81…仮想ホスト管理ノード、84…ハイパーバイザ、85…仮想インスタンス、91…通信データ受付部、92…認証ルール記憶部、93…判定部、94…通信データ制御部、N…管理用ネットワーク、N…パブリックネットワーク、T,TUA,TUB…ユーザ端末。

Claims (11)

  1. ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムであって、
    一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第2のネットワークを介して受け付ける通信データ受付手段と、
    前記通信データ受付手段により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定手段と、
    前記判定手段により通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御手段と、
    を備えるホスト提供システム。
  2. 前記判定手段は、
    送信元又は送信先を示す情報に、当該通信データを受け付けるポートのポート識別情報及びユーザのユーザ識別情報が対応付けられたテーブルを参照し、
    前記送信元を示す情報に対応付けられたポートの識別情報を第1のポート識別情報として抽出し、該第1のポート識別情報に対応付けられたユーザ識別情報を第1のユーザ識別情報として抽出し、
    前記送信先を示す情報に対応付けられたポートの識別情報を第2のポート識別情報として抽出し、該第2のポート識別情報に対応付けられたユーザ識別情報を第2のユーザ識別情報として抽出し、
    前記第1のユーザ情報と前記第2のユーザ情報とが一致するか否かにより通信可否を判定する、
    請求項1に記載のホスト提供システム。
  3. 前記判定手段は、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
    請求項1または2に記載のホスト提供システム。
  4. 複数の仮想インスタンスを仮想的に構成可能であって該仮想インスタンスを仮想ホストとして前記第1のネットワークを介してユーザ端末に提供可能であって、前記第2のネットワークを介して他のサーバと通信可能な仮想インスタンス用サーバを1以上含み、
    前記通信データ制御手段は、前記第2のネットワークにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別する仮想ネットワーク識別子を前記通信データに付加する、
    請求項1〜3のいずれか1項に記載のホスト提供システム。
  5. 各インスタンスに対応付けられた複数のストレージからなり、前記第2のネットワークを介してアクセス可能なストレージ群と、
    前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付手段と、
    前記ストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、
    前記アクセス受付手段により受け付けられたアクセスに含まれるIPアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定手段と、
    前記アクセス可否判定手段により、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御手段と、
    を更に含む請求項1〜4のいずれか1項に記載のホスト提供システム。
  6. 前記認証ルールのうちの第1の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるサーバを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるクライアントを示す番号であること、であって、
    前記判定手段は、前記通信データが前記第1の認証ルールに該当する場合に、該通信データの通信を不可と判定する、
    請求項1〜5のいずれか1項に記載のホスト提供システム。
  7. 前記認証ルールのうちの第2の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるクライアントを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるサーバを示す番号であること、であって、
    前記判定手段は、前記通信データが前記第2の認証ルールに該当する場合に、該通信データの通信許可判定する、
    請求項1〜6のいずれか1項に記載のホスト提供システム。
  8. 前記認証ルールのうちの第3の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のMACアドレス及び送信元のIPアドレスがそれぞれ、前記通信データを受け付けたポートに接続された物理インスタンスのMACアドレス及びIPアドレスに該当すること、であって、
    前記判定手段は、前記通信データが前記第3の認証ルールに該当する場合に、該通信データの通信許可判定する、
    請求項1〜7のいずれか1項に記載のホスト提供システム。
  9. ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムにおける、前記インスタンス間の通信を制御する通信制御方法であって、
    一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第2のネットワークを介して受け付ける通信データ受付ステップと、
    前記通信データ受付ステップにおいて受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定ステップと、
    前記判定ステップにおいて通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御ステップと、
    を有する通信制御方法。
  10. 前記判定ステップは、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
    請求項9に記載の通信制御方法。
  11. 前記ホスト提供システムは、
    各インスタンスに対応付けられた複数のストレージからなり、前記第2のネットワークを介してアクセス可能なストレージ群と、
    前記ストレージを識別するストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、を含み、
    当該通信制御方法は、
    前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付ステップと、
    前記アクセス受付ステップにおいて受け付けられたアクセスに含まれるIPアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定ステップと、
    前記アクセス可否判定ステップにおいて、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御ステップと、
    を更に有する請求項9または10に記載の通信制御方法。

JP2012050696A 2012-03-07 2012-03-07 ホスト提供システム及び通信制御方法 Active JP5466723B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2012050696A JP5466723B2 (ja) 2012-03-07 2012-03-07 ホスト提供システム及び通信制御方法
US14/383,375 US9584481B2 (en) 2012-03-07 2013-01-24 Host providing system and communication control method
EP13757511.4A EP2824872B1 (en) 2012-03-07 2013-01-24 Host providing system and communication control method
PCT/JP2013/051429 WO2013132909A1 (ja) 2012-03-07 2013-01-24 ホスト提供システム及び通信制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012050696A JP5466723B2 (ja) 2012-03-07 2012-03-07 ホスト提供システム及び通信制御方法

Publications (2)

Publication Number Publication Date
JP2013187707A true JP2013187707A (ja) 2013-09-19
JP5466723B2 JP5466723B2 (ja) 2014-04-09

Family

ID=49116396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012050696A Active JP5466723B2 (ja) 2012-03-07 2012-03-07 ホスト提供システム及び通信制御方法

Country Status (4)

Country Link
US (1) US9584481B2 (ja)
EP (1) EP2824872B1 (ja)
JP (1) JP5466723B2 (ja)
WO (1) WO2013132909A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020099058A (ja) * 2015-09-15 2020-06-25 グーグル エルエルシー コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3214805B1 (en) * 2014-11-28 2020-09-02 Huawei Technologies Co., Ltd. Method and device for transmitting control signalling
WO2016138612A1 (en) * 2015-03-02 2016-09-09 Microsoft Technology Licensing, Llc Proxy service for uploading data from a source to a destination
JP2017143497A (ja) * 2016-02-12 2017-08-17 富士通株式会社 パケット転送装置及びパケット転送方法
US10404702B1 (en) * 2016-03-30 2019-09-03 EMC IP Holding Company LLC System and method for tenant network identity-based authentication and authorization for administrative access in a protection storage system
CN107579948B (zh) * 2016-07-05 2022-05-10 华为技术有限公司 一种网络安全的管理***、方法及装置
CN106911697B (zh) * 2017-02-28 2018-06-01 北京百度网讯科技有限公司 访问权限设置方法、装置、服务器及存储介质
WO2018161010A1 (en) 2017-03-03 2018-09-07 Gentherm Incorporated Dual voltage battery system for a vehicle
CN110198202B (zh) * 2019-06-03 2022-01-28 北京润科通用技术有限公司 一种afdx总线消息数据源的校验方法及装置
CN114911725A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 通信方法、装置及***
CN115085998A (zh) * 2022-06-09 2022-09-20 陈敏琴 一种基于大数据的安全访问控制***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032205A (ja) * 2002-06-24 2004-01-29 Fujitsu Ltd Ip電話システム
JP2005175635A (ja) * 2003-12-08 2005-06-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間接続制御方法及びシステム装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3996288B2 (ja) * 1998-12-07 2007-10-24 株式会社日立製作所 通信ネットワークシステムの管理方法および情報中継装置
US20050182966A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure interprocess communications binding system and methods
US7443860B2 (en) * 2004-06-08 2008-10-28 Sun Microsystems, Inc. Method and apparatus for source authentication in a communications network
US8407366B2 (en) 2010-05-14 2013-03-26 Microsoft Corporation Interconnecting members of a virtual network
US8880657B1 (en) * 2011-06-28 2014-11-04 Gogrid, LLC System and method for configuring and managing virtual grids
WO2013147053A1 (ja) * 2012-03-30 2013-10-03 日本電気株式会社 制御装置、通信装置、通信方法及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032205A (ja) * 2002-06-24 2004-01-29 Fujitsu Ltd Ip電話システム
JP2005175635A (ja) * 2003-12-08 2005-06-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間接続制御方法及びシステム装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020099058A (ja) * 2015-09-15 2020-06-25 グーグル エルエルシー コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法

Also Published As

Publication number Publication date
JP5466723B2 (ja) 2014-04-09
WO2013132909A1 (ja) 2013-09-12
EP2824872A4 (en) 2015-12-02
EP2824872B1 (en) 2019-01-02
US20150026780A1 (en) 2015-01-22
EP2824872A1 (en) 2015-01-14
US9584481B2 (en) 2017-02-28

Similar Documents

Publication Publication Date Title
JP5466723B2 (ja) ホスト提供システム及び通信制御方法
US11088903B2 (en) Hybrid cloud network configuration management
CN107690800B (zh) 管理动态ip地址分配
US8510447B2 (en) Direct addressability and direct server return
US9509615B2 (en) Managing link aggregation traffic in a virtual environment
US8767737B2 (en) Data center network system and packet forwarding method thereof
US9756010B2 (en) Resolving network address conflicts
US8948399B2 (en) Dynamic key management
JP6940240B2 (ja) 証明書取得方法、認証方法及びネットワークデバイス
US10447703B2 (en) VNF package operation method and apparatus
US9350666B2 (en) Managing link aggregation traffic in a virtual environment
JP2009540408A (ja) 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム
CN106878084B (zh) 一种权限控制方法和装置
WO2014190791A1 (zh) 一种网关设备身份设置的方法及管理网关设备
US20190020656A1 (en) Virtual address for controller in a controller cluster
US20170279689A1 (en) Software defined network controller for implementing tenant specific policy
JP5503678B2 (ja) ホスト提供システム及びホスト提供方法
US10104015B2 (en) Gateway/standalone fibre channel switch system
US10567492B1 (en) Methods for load balancing in a federated identity environment and devices thereof
US9479490B2 (en) Methods and systems for single sign-on while protecting user privacy
US20150244824A1 (en) Control Method, Control Device, and Processor in Software Defined Network
JP2016116184A (ja) 網監視装置および仮想ネットワーク管理方法
CN108462683B (zh) 认证方法和装置
JP2016144186A (ja) 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム
CN112583655A (zh) 数据传输方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140124

R150 Certificate of patent or registration of utility model

Ref document number: 5466723

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250