JP4856864B2 - クラスタ型ストレージエリアネットワークの論理ユニットセキュリティ - Google Patents

クラスタ型ストレージエリアネットワークの論理ユニットセキュリティ Download PDF

Info

Publication number
JP4856864B2
JP4856864B2 JP2004280830A JP2004280830A JP4856864B2 JP 4856864 B2 JP4856864 B2 JP 4856864B2 JP 2004280830 A JP2004280830 A JP 2004280830A JP 2004280830 A JP2004280830 A JP 2004280830A JP 4856864 B2 JP4856864 B2 JP 4856864B2
Authority
JP
Japan
Prior art keywords
host computer
logical unit
access
host
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004280830A
Other languages
English (en)
Other versions
JP2005276160A (ja
JP2005276160A5 (ja
Inventor
雄一 田口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JP2005276160A publication Critical patent/JP2005276160A/ja
Publication of JP2005276160A5 publication Critical patent/JP2005276160A5/ja
Application granted granted Critical
Publication of JP4856864B2 publication Critical patent/JP4856864B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明はストレージエリアネットワークに関し、特にストレージエリアネットワークのデータのセキュリティに関する。
ストレージエリアネットワーク(SAN)は現在全世界に展開され、コンピュータ環境にストレージ設備を提供している。ストレージを大規模な設備に組み込むことにより、より効率的な運用と管理が容易になり、きわめて信頼度の高いバックアップと冗長度のあるシステムを提供することが可能となり、システム障害あるいは自然災害によるデータの喪失が顕著に抑制される。このような記憶装置の利点により全世界に記憶装置の使用が劇的に増加した。
ストレージエリアネットワークは、データが別々のプロセッサーの制御下に別々の場所から確実に再生され保存されるように、別々の多くのホストシステムからアクセス可能に設計されている。これらの保存と再生は、多くの場合インターネットなどの公衆ネットワーク上で行われる。
ストレージシステムへのアクセスをより効率的に可能とするため、通常ストレージシステムは別々のプロセッサーあるいは他のストレージを必要とするリソースに割り当てられた小部分に構成される。例えば、従来のストレージシステムでは多数のハードディスクドライブを有しており、各ハードディスクドライブ自体が何ギガバイトもの容量を有している。ストレージリソースを小部分に分ける1つの方法は、固有の論理ユニット番号を割り当てられた論理ユニット(LU)を生成することである。各LU自体が数値アドレスで構成されており、これにより大容量ストレージシステムはアクセスするホストコンピュータには多くの小ストレージユニットに見え、より効率的な運用が可能となる。
ストレージシステムの特定の部分にアクセスすることを“許可された”特定のホストのみが特定のLUにアクセス可能とするために、通常LUはホストに割り当てられる。ストレージシステムへのアクセスを制御するソフトウェアが前もって決められたホストからのアクセスのみを許可するので、これによりセキュリティが強化される。指定されたLUに対していくつのホストからのアクセスを許可するかは基本的には任意であるが、従来は指定されたLUに対して指定された時間にアクセス権限を持つホストは1つのみである。この方式では、LUのデータは既に指定されたホスト以外のホストあるいはサーバーからアクセスされることがなく、ゆえにデータのセキュリティが強化される。
SAN自体が通常1つあるいはそれ以上のディスクアレイ装置からなっており、例えば選択されたRAIDプロトコルの下で、ファイバーチャネルスィッチネットワーク装置あるいは他の公知の手段でストレージエリアネットワークに接続された複数のホスト装置での構成となっている。アーキテクチャの中で、ホストコンピュータはクラスタ管理ソフトウェアを走らせ、お互いに協議して、どのホストがどのストレージの部分すなわちLUを“所有するか”を決定する。公知の“フェイルオーバー”機能によりSANのクラスタ型アーキテクチャの可用性が高度なものとなる。フェイルオーバー状態では、障害が発生しても、1つのノード上で走っていたオペレーションをノードのクラスタ内の他の1つまたは複数のノードに移行することにより、システムのユーザーからは比較的見えにくいものとなっている。
ホストとSANはクラスタ環境に設定されており、そこでは指定されたSANに対して2つ以上のホストがアクセス権を持っている。ホストは通常はコンピュータであり、例えばアプリケーションサーバーあるいはデータベースサーバーである。従来のクラスタソフトウェアでは、ストレージの一部分、例えばLU番号はクラスタ内の全ホストノードからのI/Oアクセスを許すように設定されていなければならないという制約をもっている。例えば、ホストノードAがアプリケーションXを実行しており、それらが同じクラスタにあるとして、もしホストAが障害となったときアプリケーションXのタスクは他のホストBに引き継がれるのが望ましい。このとき、アプリケーションに対するLUのセキュリティはホストAとBの両方からのI/Oアクセスを許すように設定されていなければならない。しかしながら、この種のマルチアクセスがシステム起動時のセットアッププログラムで定常的に設定されているのであるなら、データへの誤アクセスによるデータ破壊の原因となりうるものである。
本発明は、LUのセキュリティを動的に変更可能とすることにより、そのストレージの特定の部分に、障害発生前にはアクセスできなかった別のホストが障害発生後にアクセス可能とすることにより、前記環境における改善されたセキュリティの方法及びシステムを提供するものである。
本発明によるシステムは、クラスタシステムに設定されたホストノードに特に適用可能である。この種のシステムの初期化時に、ホストコンピュータは協議して、LU(あるいはボリューム、あるいは他の単位)ベースに分割されたデータストレージリソースへのアクセス権を獲得する。各LUは通常、ホストからのI/Oアクセスを、ホストに割り当てられたWWN、ポートIDなどのIDに基づいて許可し拒否するように設定される。初期セキュリティ設定では、1つのLUは1つのホストからのアクセスのみ許可するように設定されている。
本発明では、プライマリホストグループ(特定のLUに割り当てられている)に問題が発生すると、別のホストグループがプロセスの実行を引き継いでシステム動作を続ける。この時、ホスト上で走っているクラスタ管理ソフトウェアが権限の変更を検出し、ストレージ装置にLUに対する権限が変わったことを通知する。ストレージ装置のLUセキュリティ機能は、新しいホストからのI/Oアクセスを許可するようにセキュリティ構成を動的に変更する。この結果として、本発明によりセキュリティの改善が提供される。アプリケーションを実行するクラスタ内のセカンダリホストは、通常プライマリホストの障害などの結果によりLUにアクセスする権限を獲得するまでは、当該LUにアクセスすることが許されない。このような運用により、LUレベルのデータ破壊は大幅に減少し、許可されていないアプリケーションからのデータへのアクセスは基本的に防止される。
第一のホストコンピュータ、第二のホストコンピュータおよびストレージを有し、第一のホストによるストレージへのアクセスを許可し第二のホストによるストレージへのアクセスを拒否することによりストレージの少なくとも一部に対するアクセスが管理されるシステムにおける1つの実施例において、ストレージへのアクセス権限を変更する方法が、ホスト間の協議についてセキュリティシステムに報告するステップとその部分へのアクセスを協議においてアクセス権を獲得したホストに制限するステップを含んでいる。
図1はストレージエリアネットワークの代表的なシステム構成を示すブロック図である。図示するように、システム全体では、第一のホスト装置108Aと第二のホスト装置108Bを有している。これらホスト装置は通常公知の設計のコンピュータあるいはアプリケーションサーバーである。ホスト装置は、例えばRAIDプロトコルに則して構成されたディスクアレイによって通常成る、ストレージシステム109と接続されている。ディスクアレイ109は通常多数のディスクドライブ106を有しており、このうち1つを図示している。ディスク106は、2つのボリューム105Aと105Bを有する構成となっている。
ホスト108とストレージシステム109は、互いにデータ交換をするのに適した手段により結合されている。図1にはデータリンク110が示されている。データリンク110は、例えばファイバーチャネルネットワーク、ローカルエリアネットワーク、インターネット、プライベートなネットワーク、ネットワークスィッチ装置あるいはその他の接続手段など、適当であればどのような形式でもとることができる。
代表的なストレージシステム109は、105A、105Bのような多数のストレージボリュームを備えている。ストレージボリューム105自体あるいはその部分までもが、自身を識別し、及び/またはストレージボリュームに記憶しストレージボリュームから再生する情報をアドレス指定するためのアドレス情報を提供するために、LU番号(LUN)あるいは他の識別コードを与えられている。ストレージシステム109およびホスト108はそれぞれネットワークに対するインタフェースを提供するインタフェース107を有している。インタフェース107は、従来はホストバスアダプター(HBA)、ギガビットイーサネットカード、(イーサネットは登録商標です)あるいは他の公知のインタフェースを用いて備えられている。特定のどのインタフェースを選択するにしても、基本的には選択は結合するデータリンク110の構成にかかっている。
各々のホストは、ホスト上で動作するクラスタ管理ソフトウェア102を有している。各ホストのクラスタ管理ソフトウェアは、他のホストの同様なソフトウェアと接続している。例えば図1に示すように、ホスト装置108A上で動作しているクラスタ管理ソフトウェア102Aは、ホスト装置108B上で動作しているクラスタ管理ソフトウェア102Bと接続し通信する。クラスタ管理ソフトウェアは他のホスト上の対応するソフトウェアと通信して、特定のホストのストレージボリューム105に対する所有権を決定する。各ストレージボリューム105は、ボリュームに対する所有権を有する1つ以上のコンピュータからアクセスすることができる。システムの初期設定中に、ホストはLUNを受信し、独立にあるいはシステムオペレータの支援により各ホストとどのLUNが連携するかを決定する。この決定後、ボリュームセキュリティ管理ソフトウェア101は、ストレージ装置109に対して、指定されたボリューム105に対する前記ホストからのI/Oアクセスを許可するよう要求する。一旦システムが適切に初期設定されると、ストレージシステム109のセキュリティ管理プログラム103がストレージボリューム105へのアクセスを管理する。セキュリティ管理プログラムはセキュリティ構成情報104を後で使用するために保護領域内に保存する。
図1に示すシステムは多くの場合“インバンド”制御システムと呼ばれる。図2は“アウトオブバンド”制御システムと呼ばれる、別の制御システムを示す。図2のストレージシステム109は図1に示すものと同じである。しかしながら、対照的に、図2に示すシステムの機能構造では、ボリュームセキュリティ管理の責任をストレージマネジャ112に負わせている。ストレージマネジャ112はホストの各々と接続して、ボリュームセキュリティ管理ソフトウェア101の責任を負っている。本ソフトウェアは、図1のシステム構成で備えているボリュームセキュリティ管理ソフトウェア101と同じ機能を提供する。ストレージマネジャ112上で走っているボリュームセキュリティ管理ソフトウェア101は、ボリュームセキュリティの管理を調整する。ボリュームセキュリティ管理ソフトウェア101はまたストレージシステムを監視し、ストレージシステムの構成に関する情報などをローカルストレージ111に保存する。
図3はストレージ構成情報111(図2に示す)のデータ構造を示すテーブルである。ストレージの様々な部分へのアクセスがどのように制御されるかがテーブルに示されている。一例を示すための図3では、“ボリュームID”の列にボリューム2、3および4が示されている。各ボリュームは、活性化されるように1つ以上のポートに割り当てられている。テーブルに示すように、ボリューム2および3はポート0に割り当てられており、ボリューム4はポート1に割り当てられている。図3のストレージIDはストレージ識別パラメータである。本パラメータは通常、通し番号、ノードワールドワイドネーム(WWN)、あるいはメーカーの固有識別番号でストレージ資産を識別する。ノードワールドワイドネーム(WWN)はディスクアレイ装置109に割り当てられた固有の固定のアドレスである。図3において、ストレージIDは“アレイ#0”と示されており、ストレージ製品と対応付けられた第一のディスクアレイを示す。インタフェース識別番号(ポート0またはポート1)は、指定のネットワークインタフェースに対応付けられた固有の識別を示す。あるいは、ポートWWN、または各ポートに割り当てられたポートIDを用いてこの情報を提供することも可能である。ポートWWNは各ポートに割り当てられた固定の固有のアドレスである。ポートIDは各ネットワークインタフェースハードウェアに割り当てられた固有の識別子である。インタフェース107がイーサネットカードであるならば、IPアドレスあるいはMACアドレスもまた使うことができる。
ホスト識別(図3の“ホストID”)は特定の指定されたボリューム(テーブルの行)へのアクセスが許可されたあるいは制限されたホストを指定する識別子を表す。LUNセキュリティ機能は、ホストのノードWWN、HBAのポートWWN、あるいはホストに設置されたネットワークカードのMACアドレスを使用して、識別パラメータを提供する。この動作を説明するために、図3では仮想的な例を示しており、アレイ0のポート0のボリューム3はホスト8及び9からアクセス可能であり、ホスト12からはアクセスできないことになっている。
図4はディスクアレイユニット109で見られるセキュリティ構成情報104のデータ構造の例を示すテーブルである。図4に示すように、このデータ構造はマネジャユニット112のストレージ構成情報111と同期し対応している。同じく図示されているように、ストレージIDは、ストレージユニット自体に保持されているので(図3に示すように)必要とされない。
図5は本発明の動作法の好適なる実施例を示すフローチャートである。図5に示す図は、ホスト内で発生する動作(図の左側)とディスクアレイ側で発生する動作(図の右側)の2つの部分に分割されている。プロセスはホスト内のステップ501で開始し、クラスタ管理ソフトウェアは協議してディスクリソースに対する所有権すなわち管理について決定する。図1に示すように、本ステップは、ホスト108Aのソフトウェア102Aがホスト108Bのソフトウェア102Bと協議して実行する。これらの協議では通常、公知であるSCSI−3のパーシスタントリザーブアルゴリズムあるいはSCSI−2のチャレンジ/ディフェンスプロトコルを使用する。プロセスの結論として、ホストコンピュータはディスクアレイ中の特定のLUN(またはボリューム)へのアクセス権を獲得することになる。
図5のステップ502にて、協議の結論が出て、クラスタ管理ソフトウェア102からボリュームセキュリティ管理ソフトウェア101に協議の結果を通知することが示されている。ボリュームセキュリティ管理ソフトウェア101は、図1と2に関連して説明したように、ホスト(図1)の各々かあるいはマネジャ(図2)のどちらかに常駐する。
図6にクラスタ管理ソフトウェア102がボリュームセキュリティ管理ソフトウェア101へ送った権限変更メッセージを示す。図6に示すように、仮想的なメッセージでは、ボリューム番号2がホスト番号8に取得され、ボリューム番号3はホスト番号8からは失われたことを示している。
図5に示すプロセスに戻って、メッセージを送った後、ボリュームセキュリティ管理ソフトウェア101は、ステップ503でディスクアレイ109にボリュームセキュリティ構成の変更を要求する。これは、ボリュームセキュリティ管理ソフトウェア101がディスクアレイ109中にあるセキュリティ管理プログラム103に要求メッセージを送ることで行われる。このメッセージはLUN(またはボリューム)セキュリティ構成の変更を要求する。
図7にボリュームセキュリティ管理ソフトウェア101がセキュリティ管理プログラム103へ送る代表的なメッセージを示す。図7に示すように、アクセス管理状態変更メッセージが送られ、ホスト番号8がボリューム番号2へのアクセスを許可され、ボリューム番号3へはアクセス許可されなくなったことを示す。
再び図5に戻る。セキュリティ管理プログラム103は図7のメッセージを受信すると、図5のステップ504を実行する。この時、セキュリティ管理プログラム103は、LUセキュリティ設定を再構成してセキュリティ構成情報104を更新する。その結果がセキュリティ構成情報テーブル(図4に示す)に新たに入力され、ボリューム番号2とホスト番号8の状態は“拒否”から“許可”に変わる。同様に、ボリューム番号3とホスト番号8の状態は“許可”から“拒否”に変わる。
ステップ504のディスクアレイ装置の動作に続いて、ホスト装置はステップ505を実行する。このステップでは、クラスタ管理ソフトウェアがディスクリソースの管理を維持し、矛盾が発生しないようチェックする。通常これは“ハートビート”通信プロトコルを用いて実行される。図5のステップ506に示すように、ハートビートが失われた場合、あるいは矛盾が検出された場合、クラスタ管理ソフトウェア102はシステムをリセットし、ディスクリソースをホストに配分するための協議プロセスを再スタートする。
以上は本発明の好適なる実施例の説明である。説明した特定の実施例から離れて、なおかつ本発明の範囲内に留まることが可能なことは容易に理解されるべきである。例えば、ストレージ装置のセキュリティを、LUあるいはボリューム以外に基づいて、代わりにアドレスあるいは他の指定法を用いて構築することが可能である。本発明の範囲は付随する請求項にて規定される。
図1は、インバンドシステムでの実施例を図示するブロック図である。 図2は、アウトオブバンドシステムでの実施例を図示するブロック図である。 図3はストレージ構成情報のデータ構造の例を示す。 図4はセキュリティ構成情報のデータ構造の例を示す。 図5は本発明の方法の1つの実施例のフローチャート図である。 図6は権限変更メッセージを示すテーブルである。 図7はアクセス制御状態変更メッセージを示すテーブルである。
符号の説明
108A ホスト装置
102A クラスタ管理ソフトウェア
101A ボリュームセキュリティ管理ソフトウェア
107A インタフェース
108B ホスト装置
102B クラスタ管理ソフトウェア
101B ボリュームセキュリティ管理ソフトウェア
107B インタフェース
110 データリンク
107C 107D インタフェース
103 セキュリティ管理プログラム
104 セキュリティ構成情報
105A 105B ボリュームディスクアレイ装置

Claims (5)

  1. 第1のホスト計算機と、
    第2のホスト計算機と、
    前記第1のホスト計算機及び前記第2のホスト計算機に接続される管理計算機と、
    前記第1のホスト計算機、前記第2のホスト計算機及び前記管理計算機とそれぞれ接続され、データを読み書きするための論理ユニットを管理する記憶装置と
    を備え、
    前記記憶装置は、前記第1のホスト計算機から前記論理ユニットへのアクセスを許可して前記第2のホスト計算機から前記論理ユニットへのアクセスを禁止することを示すセキュリティ情報を保持し、当該セキュリティ情報に従って、前記論理ユニットを前記第1のホスト計算機へアクセス可能に提供すると共に、当該論理ユニットに対する前記第2のホスト計算機からアクセスを制限し、
    前記第1のホスト計算機及び前記第2のホスト計算機は、前記第1のホスト計算機に障害が発生した場合に互いに通信を行って前記第1のホスト計算機の前記論理ユニットへのアクセス権を前記第2のホスト計算機が獲得する決定をし、当該決定をもとに前記管理計算機に対して前記論理ユニットへの前記アクセス権の設定変更の通知を発行し、
    前記管理計算機は、前記第1のホスト計算機又は前記第2のホスト計算機から与えられた当該通知の受領に応じて、前記第1のホスト計算機から前記論理ユニットへのアクセスを禁止して前記第2のホスト計算機から前記論理ユニットへのアクセスを許可する要求を前記記憶装置に発行し、
    前記記憶装置は、当該要求の受信に応じて、前記第1のホスト計算機から前記論理ユニットへのアクセスを禁止して前記第2のホスト計算機から前記論理ユニットへのアクセスを許可することを示すように前記セキュリティ情報を変更し、変更した前記セキュリティ情報に従って、前記論理ユニットに対する前記第1のホスト計算機からのアクセスを制限すると共に、当該論理ユニットを前記第2のホスト計算機へアクセス可能に提供する
    ことを特徴とする計算機システム。
  2. 前記管理計算機は、前記記憶装置に対応させて、前記第1のホスト計算機から前記論理ユニットへのアクセスを許可して前記第2のホスト計算機から前記論理ユニットへのアクセスを禁止することを示すストレージ構成管理情報を保持する
    ことを特徴とする請求項に記載の計算機システム。
  3. 前記管理計算機が保持する前記ストレージ構成管理情報と、前記記憶装置が保持する前記セキュリティ情報とが同期する
    ことを特徴とする請求項2に記載の計算機システム。
  4. 前記セキュリティ情報は、前記論理ユニットの識別情報と、前記論理ユニットに割り当てられた前記第1のホスト計算機及び前記第2のホスト計算機の識別情報と、前記第1のホスト計算機の前記論理ユニットに対するアクセス権限を表す第1のアクセス権限情報及び前記第2のホスト計算機の前記論理ユニットに対するアクセス権限を表す第2のアクセス権限情報とを含む
    ことを特徴とする請求項に記載の計算機システム。
  5. 前記記憶装置は、さらに前記第1のホスト計算機及び前記第2のホスト計算機に接続する複数のインターフェースを備え、
    前記セキュリティ情報は、前記論理ユニットに対応するインターフェースの識別情報を含む
    ことを特徴とする請求項に記載の計算機システム。
JP2004280830A 2004-02-25 2004-09-28 クラスタ型ストレージエリアネットワークの論理ユニットセキュリティ Expired - Fee Related JP4856864B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/787501 2004-02-25
US10/787,501 US7137031B2 (en) 2004-02-25 2004-02-25 Logical unit security for clustered storage area networks

Publications (3)

Publication Number Publication Date
JP2005276160A JP2005276160A (ja) 2005-10-06
JP2005276160A5 JP2005276160A5 (ja) 2007-09-20
JP4856864B2 true JP4856864B2 (ja) 2012-01-18

Family

ID=34861913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004280830A Expired - Fee Related JP4856864B2 (ja) 2004-02-25 2004-09-28 クラスタ型ストレージエリアネットワークの論理ユニットセキュリティ

Country Status (2)

Country Link
US (4) US7137031B2 (ja)
JP (1) JP4856864B2 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4719957B2 (ja) * 2000-05-24 2011-07-06 株式会社日立製作所 記憶制御装置及び記憶システム並びに記憶システムのセキュリティ設定方法
US7921250B2 (en) * 2004-07-29 2011-04-05 International Business Machines Corporation Method to switch the lock-bits combination used to lock a page table entry upon receiving system reset exceptions
US7593916B2 (en) * 2004-08-19 2009-09-22 Sap Ag Managing data administration
JP4896397B2 (ja) * 2004-12-28 2012-03-14 富士通株式会社 プログラム、制限方法及びコンピュータ
JP4588486B2 (ja) * 2005-02-24 2010-12-01 株式会社日立製作所 計算機システム及び管理計算機とホスト計算機並びにボリューム管理方法
JP2006301950A (ja) * 2005-04-20 2006-11-02 Fujitsu Ltd 記憶装置及びその管理モジュール
JP2008097214A (ja) * 2006-10-10 2008-04-24 Hitachi Ltd アクセス権管理方法、管理計算機、及び管理プログラム
JP2008102672A (ja) * 2006-10-18 2008-05-01 Hitachi Ltd 計算機システム、管理計算機、操作制御情報の設定方法
JP4949804B2 (ja) * 2006-11-07 2012-06-13 株式会社日立製作所 統合管理計算機と記憶装置管理方法および計算機システム
US7778157B1 (en) * 2007-03-30 2010-08-17 Symantec Operating Corporation Port identifier management for path failover in cluster environments
US8788750B2 (en) * 2007-04-27 2014-07-22 Hewlett-Packard Development Company, L.P. Managing resources in cluster storage systems
US7913033B2 (en) 2007-10-09 2011-03-22 Micron Technology, Inc. Non-volatile memory device having assignable network identification
US8276191B2 (en) * 2008-04-30 2012-09-25 Netapp, Inc. Provisioning data storage entities with authorization settings
US8271706B2 (en) * 2008-05-22 2012-09-18 International Business Machines Corporation Stabilization of host to storage subsystem ownership
JP2012058912A (ja) * 2010-09-07 2012-03-22 Nec Corp 論理ユニット番号管理装置及び論理ユニット番号管理方法並びにそのプログラム
WO2012035618A1 (ja) * 2010-09-14 2012-03-22 富士通株式会社 ストレージシステム、ストレージシステムのアクセス制御方法及びコンピュータシステム
US8533164B2 (en) 2010-12-09 2013-09-10 International Business Machines Corporation Method and tool to overcome VIOS configuration validation and restoration failure due to DRC name mismatch
US9232000B1 (en) 2012-12-21 2016-01-05 Emc Corporation Method and system for balancing load across target endpoints on a server and initiator endpoints accessing the server
US9647905B1 (en) 2012-12-21 2017-05-09 EMC IP Holding Company LLC System and method for optimized management of statistics counters, supporting lock-free updates, and queries for any to-the-present time interval
US9473589B1 (en) 2012-12-21 2016-10-18 Emc Corporation Server communication over fibre channel using a block device access model
US9270786B1 (en) * 2012-12-21 2016-02-23 Emc Corporation System and method for proxying TCP connections over a SCSI-based transport
US9514151B1 (en) 2012-12-21 2016-12-06 Emc Corporation System and method for simultaneous shared access to data buffers by two threads, in a connection-oriented data proxy service
US9531765B1 (en) 2012-12-21 2016-12-27 Emc Corporation System and method for maximizing system data cache efficiency in a connection-oriented data proxy service
US9509797B1 (en) 2012-12-21 2016-11-29 Emc Corporation Client communication over fibre channel using a block device access model
US9473591B1 (en) 2012-12-21 2016-10-18 Emc Corporation Reliable server transport over fibre channel using a block device access model
US9563423B1 (en) 2012-12-21 2017-02-07 EMC IP Holding Company LLC System and method for simultaneous shared access to data buffers by two threads, in a connection-oriented data proxy service
US9712427B1 (en) 2012-12-21 2017-07-18 EMC IP Holding Company LLC Dynamic server-driven path management for a connection-oriented transport using the SCSI block device model
US9237057B1 (en) 2012-12-21 2016-01-12 Emc Corporation Reassignment of a virtual connection from a busiest virtual connection or locality domain to a least busy virtual connection or locality domain
US10452284B2 (en) * 2013-02-05 2019-10-22 International Business Machines Corporation Storage system based host computer monitoring
US9331894B2 (en) * 2013-05-31 2016-05-03 International Business Machines Corporation Information exchange in data center systems
US9378154B2 (en) * 2014-05-02 2016-06-28 International Business Machines Corporation Secure reservation mode for logical unit numbers and persistent reservations
US11552844B1 (en) * 2022-04-11 2023-01-10 Target Brands, Inc. Persistent storage for server clusters

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63214842A (ja) * 1987-03-03 1988-09-07 Nec Corp ホツト待機系を含むシステム
JPH03164837A (ja) 1989-11-22 1991-07-16 Hitachi Ltd 通信制御処理装置の切替方法
JPH0628206A (ja) * 1992-07-07 1994-02-04 Nec Corp クラスタシステムのデータ処理ステーション障害時の復旧方式
JPH08129507A (ja) * 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US5860137A (en) * 1995-07-21 1999-01-12 Emc Corporation Dynamic load balancing
JP3628777B2 (ja) 1995-10-30 2005-03-16 株式会社日立製作所 外部記憶装置
JP2982702B2 (ja) 1996-08-30 1999-11-29 日本電気株式会社 ディスク装置
JP2830857B2 (ja) * 1996-09-09 1998-12-02 三菱電機株式会社 データストレージシステム及びデータストレージ管理方法
US6275953B1 (en) * 1997-09-26 2001-08-14 Emc Corporation Recovery from failure of a data processor in a network server
US6279032B1 (en) * 1997-11-03 2001-08-21 Microsoft Corporation Method and system for quorum resource arbitration in a server cluster
US6041381A (en) 1998-02-05 2000-03-21 Crossroads Systems, Inc. Fibre channel to SCSI addressing method and system
US6061750A (en) 1998-02-20 2000-05-09 International Business Machines Corporation Failover system for a DASD storage controller reconfiguring a first processor, a bridge, a second host adaptor, and a second device adaptor upon a second processor failure
JP2000020336A (ja) * 1998-06-29 2000-01-21 Nec Corp 二重化通信システム
JP4252139B2 (ja) 1998-12-16 2009-04-08 株式会社日立製作所 記憶装置システム
US6457098B1 (en) 1998-12-23 2002-09-24 Lsi Logic Corporation Methods and apparatus for coordinating shared multiple raid controller access to common storage devices
JP3853540B2 (ja) * 1999-06-30 2006-12-06 日本電気株式会社 ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置
US6553401B1 (en) * 1999-07-09 2003-04-22 Ncr Corporation System for implementing a high volume availability server cluster including both sharing volume of a mass storage on a local site and mirroring a shared volume on a remote site
JP3843713B2 (ja) * 1999-08-27 2006-11-08 株式会社日立製作所 計算機システム及びそのデバイスの割り当て方法
US6862613B1 (en) * 2000-01-10 2005-03-01 Sun Microsystems, Inc. Method and apparatus for managing operations of clustered computer systems
JP4598248B2 (ja) * 2000-01-14 2010-12-15 株式会社日立製作所 記憶サブシステムのセキュリティシステム
JP4651230B2 (ja) 2001-07-13 2011-03-16 株式会社日立製作所 記憶システム及び論理ユニットへのアクセス制御方法
US6684209B1 (en) * 2000-01-14 2004-01-27 Hitachi, Ltd. Security method and system for storage subsystem
US6622163B1 (en) * 2000-03-09 2003-09-16 Dell Products L.P. System and method for managing storage resources in a clustered computing environment
US6643795B1 (en) * 2000-03-30 2003-11-04 Hewlett-Packard Development Company, L.P. Controller-based bi-directional remote copy system with storage site failover capability
US7260636B2 (en) * 2000-12-22 2007-08-21 Emc Corporation Method and apparatus for preventing unauthorized access by a network device
US6871296B2 (en) * 2000-12-29 2005-03-22 International Business Machines Corporation Highly available TCP systems with fail over connections
US7275100B2 (en) * 2001-01-12 2007-09-25 Hitachi, Ltd. Failure notification method and system using remote mirroring for clustering systems
EP1442388A2 (en) * 2001-10-03 2004-08-04 Shield One, LLC Remotely controlled failsafe boot mechanism and remote manager for a network device
US7349961B2 (en) * 2001-12-07 2008-03-25 Hitachi, Ltd. Detecting configuration inconsistency in storage networks
US6986005B2 (en) 2001-12-31 2006-01-10 Hewlett-Packard Development Company, L.P. Low latency lock for multiprocessor computer system
JP2003203018A (ja) * 2002-01-07 2003-07-18 Mitsubishi Electric Corp Sanを用いた擬似クラスタシステム
US7251713B1 (en) * 2002-03-18 2007-07-31 Xiotech Corporation System and method to transport data snapshots
US7003642B2 (en) 2002-04-17 2006-02-21 Dell Products L.P. System and method for controlling access to storage in a distributed information handling system
JP4061960B2 (ja) * 2002-04-26 2008-03-19 株式会社日立製作所 コンピュータシステム
US7096333B2 (en) 2002-07-18 2006-08-22 International Business Machines Corporation Limited concurrent host access in a logical volume management data storage environment
US20040139196A1 (en) 2003-01-09 2004-07-15 Dell Products L.P. System and method for releasing device reservations
US6990560B2 (en) 2003-01-16 2006-01-24 International Business Machines Corporation Task synchronization mechanism and method

Also Published As

Publication number Publication date
US20080177967A1 (en) 2008-07-24
US20070028057A1 (en) 2007-02-01
US20060041728A1 (en) 2006-02-23
JP2005276160A (ja) 2005-10-06
US7134048B2 (en) 2006-11-07
US20050188161A1 (en) 2005-08-25
US7363535B2 (en) 2008-04-22
US7137031B2 (en) 2006-11-14
US8583876B2 (en) 2013-11-12

Similar Documents

Publication Publication Date Title
JP4856864B2 (ja) クラスタ型ストレージエリアネットワークの論理ユニットセキュリティ
US9647933B1 (en) Port identifier management for path failover in cluster environments
US6571354B1 (en) Method and apparatus for storage unit replacement according to array priority
US7272674B1 (en) System and method for storage device active path coordination among hosts
US7711979B2 (en) Method and apparatus for flexible access to storage facilities
US6295575B1 (en) Configuring vectors of logical storage units for data storage partitioning and sharing
US6799255B1 (en) Storage mapping and partitioning among multiple host processors
US6609213B1 (en) Cluster-based system and method of recovery from server failures
US6421711B1 (en) Virtual ports for data transferring of a data storage system
US6816917B2 (en) Storage system with LUN virtualization
US8271761B2 (en) Storage system and management method thereof
US6598174B1 (en) Method and apparatus for storage unit replacement in non-redundant array
US7406039B2 (en) System and method for a failover protocol in storage area network controllers
US8386830B2 (en) Server switching method and server system equipped therewith
EP1760591B1 (en) System and method of managing access path
US6999999B2 (en) System and method for securing fiber channel drive access in a partitioned data library
US7584340B1 (en) System and method for pre-provisioning storage in a networked environment
US7966449B2 (en) Distributed storage system with global replication
US20080215767A1 (en) Storage usage exclusive method
US20200068042A1 (en) Methods for managing workloads in a storage system and devices thereof
JP2004206221A (ja) 分割されたデータライブラリにおけるファイバチャネルドライブアクセスをセキュア化するシステム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070803

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070803

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070803

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070822

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111031

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141104

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees