アクセス制御情報管理方法、計算機システム及びプログラム
【課題】クラウドコンピューティングを提供する計算機システム、アクセス制御を効率よく管理する。
【解決手段】クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する。
【解決手段】クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御情報管理方法、計算機システム及びプログラムに係り、特に、クラウドコンピューティングを提供する計算機システムを構成する複数の計算機のアクセス制御情報管理方法、計算機システム及びプログラムに関する。
【背景技術】
【0002】
クラウドコンピューティングは、通常複数の物理計算機をネットワークで接続した計算機システムから提供される。近年では、サーバ仮想化技術の進展により、1台の物理計算機上で複数の論理計算機を構築することができ、より大規模なクラウドコンピューティングを提供することができるようになってきている。
【0003】
従来から大規模計算機システムをより柔軟に運用するために、各計算機が所定のリソースにアクセスする為のアクセス制御情報を管理する手法が知られている。例えば、ネットワークを介して各計算機とアクセス制御管理サーバを接続し、このアクセス制御管理サーバが、直接的に各計算機のアクセス制御を実行する技術等である。
【0004】
特許文献1には、このようなアクセス制御情報を管理する技術として、複数のアクセス制御規則が設定された計算機システムにおいて、所定のアクセス制御を条件付で設定可能とする技術が開示されている。この技術では、アクセス制御の値として、「0:許可」と「1:不許可」以外に、連続した値を設定可能とし、一部アクセス可能という中間的なアクセスを可能にしている。
【0005】
一方、クラウドコンピューティングでは、セキュリティの向上が要求されている。このセキュリティを確保することを目的として、アクセス制御の管理を利用することができる。例えば、アプリケーションプログラム、OS及びVM(仮想マシン)に、それぞれリソースへのアクセス権限を設定し、セキュリティを向上させる手法等がある。
【0006】
例えば、非特許文献2には、仮想化技術を実現するハイパーバイザといった仮想化ソフトのセキュリティレベルを課題として、アイデンティティ管理やサービスにおけるアクセス制御をクラウドサービスとして提供する技術が開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特願2007−311726号公報
【非特許文献】
【0008】
【非特許文献1】浦本直彦,「特集クラウドコンピューティング 8.クラウドコンピューティングにおけるセキュリティとコンプライアンス」,情報処理(2009年11月号),Vol.50,No.11,社団法人情報処理学会,p.1099−1105
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、上述のように、クラウドコンピューティングは、多数の計算機から構成されるため、従来のアクセス制御の設定方法のように、1台のアクセス制御管理サーバが他の全てのサーバの管理が困難であり、アクセス制御を効率よく設定できないという問題がある。特に、このような問題は、一つの物理計算機上に論理計算機を複数構築することのできる仮想化技術を適用した計算機システムでは、より顕著な問題となる。更に、クラウドコンピューティングでは、計算機の追加・削除、システム構成の変更が比較的頻繁に行われるという事情もある。この問題は、物理計算機を始め、論理計算機を利用するクラウドコンピューティングでは、ノードの追加、削除等がより頻繁に行われ、顕著となる。
本発明は、クラウドコンピューティングにおいて、アクセス制御を効率よく管理することを目的とする。
【課題を解決するための手段】
【0010】
上述の課題を解決するに、本発明の一側面は、クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する
更に、本発明の他の側面は、前記アクセス制御管理サーバは、更に、前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築する。
【発明の効果】
【0011】
本発明によれば、複数の計算機から構成されるクラウドコンピューティング構成において、共通のアクセス制御情報に基づいて階層的に管理することにより、アクセス制御を効率よく管理できるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態におけるクラウドコンピューティングを提供する計算機システムの構成図である。
【図2】本発明の実施形態における物理計算機の構成図である。
【図3】本発明の実施形態におけるクラウドコンピューティングシステムを階層的に示した模式図である。
【図4】図4aは、本発明の実施形態における第2レイヤのアクセス制御用のネットワークの構成図である。図4bは、本発明の実施形態における第3レイヤのアクセス制御用のネットワークの構成図である。
【図5】本発明の実施形態における各論理計算機のアクセス種別を示す図である。
【図6】本発明の実施形態における各論理計算機とそれらの初期設定の値を示す図である。
【図7】本発明の実施形態におけるアクセス制御の初期設定の処理手順を示す図である。
【図8】本発明の実施形態における論理計算機の初期設定の設定結果を示す図である。
【図9】本発明の実施形態における追加する論理計算機のアクセス制御情報を示す図である。
【図10】本発明の実施形態における論理計算機の追加処理手順を示す図である。
【図11】本発明の実施形態における論理計算機を追加した結果を示す図である。
【図12】本発明の実施形態における論理計算機の削除処理手順を示す図である。
【図13】本発明の実施形態における論理計算機を削除した結果を示す図である。
【図14】本発明の実施形態におけるアクセス制御のチェック機能の処理手順を示す図である。
【発明を実施するための形態】
【0013】
以下に、図を用いて、本発明を実施するための形態を詳細に説明する。
図1に、本発明を適用した一実施の形態であるクラウドコンピューティングを提供する計算機システムの構成を示す。計算機システムは、アクセス制御管理サーバ1、ディスク装置A3、ディスク装置B4、ディスク装置C5及び複数の物理計算機11〜15がネットワーク2と通信可能に接続されてなる。このような計算機システムに、複数のクライアント20a〜cがアクセスし、クラウドコンピューティングを提供する。
アクセス制御管理サーバ1は、リソースへのアクセスを制御するアクセス制御情報を管理する。本実施形態では、計算機システムを構成する物理計算機及び論理計算機がリソースにアクセスするためのアクセス制御情報(アクセスパスやそのリソースに対するリード/ライト処理といったアクセス種別を含む。)に基づいて、計算機を階層的に分類し、アクセスを管理するように構成されている。
物理計算機11〜15の夫々は、例えば、ハイパーバイザ等の仮想化ソフトウェアを利用したサーバ仮想化機構を有しており、内部に複数の論理計算機を構築することができように構成されている。図1の物理計算機11を代表して説明すると、論理計算機11a、11b及び11cという3つの仮想計算機が構築されている。なお、システムを構成する物理計算機の数及び1つの物理計算機に構築することのできる論理計算機の数は、システム要件、物理計算機の性能及び各種設定により適宜変更可能である。また、物理計算機のハードウェア及びソフトウェアの構成も適宜変更可能であるが、説明の便宜上、本実施形態では同じであるものとして説明をする。
ディスク装置A3〜C5は、論理計算機11〜15上で稼動するアプリケーションソフトウェアで利用する各種のデータをディレクトリ単位で格納するHDDやSSD等の各種記録媒体を適用可能なストレージ装置である。本実施形態では、ディスク装置3〜5は、論理計算機からアクセスされるリソースの例として説明する。
【0014】
図2は、物理計算機11〜15の構成図である。本実施形態の物理計算機11〜15は、機能面で同等の構成を有する。以下、物理計算機11を代表してそのハードウェア構成及びソフトウェア構成を説明する。物理計算機は、汎用のサーバ装置等であり、そのハードウェア構成として、CPU700、メモリ701、IOP(Input Output Processor)702、NIC703、ディスクコントローラ704及びディスク装置705a並びに705bから構成される。ディスク装置705a及び705bは、図1で説明したディスク装置A3〜C5のように、物理計算機や論理計算機上で稼動するアプリケーションソフトウェアで利用する各種データを格納することもできるが、本実施の形態では、そのようなアプリケーションソフトウェアや各種の構成情報を格納するシステムディスクとしての機能も有するものとする。
【0015】
物理計算機11のソフトウェア構成は、メモリ501上に、仮想化ソフト600、複数のOS601a、601b並びに601c、ポリシーファイル602a、602b並びに602c及びアプリケーションプログラム(以下、「AP」という。)603a、603b並びに604cを展開し、CPU500との協働により各種処理を行うように構成される。
【0016】
仮想化ソフト600は、例えば、ハイパーバイザ等からなり、物理計算機11に複数のOSを展開することで、論理計算機11a、11b及び11cに分割して運用することができるようになっている。
【0017】
ポリシーファイル602a、602b並びに602cは、論理計算機11a等のシステム管理に関する種々のポリシー情報を保持するものである。システム管理に関する情報としては、システムに含まれるディスク装置3等のリソースに関するアクセスや、そのようなアクセス情報を管理する後述する論理計算機の階層化に関する情報といったアクセス情報が含まれる。
【0018】
また、AP603a、603b及び604cは、種々の業務を提供するソフトウェアが適用され、ネットワーク2を介して、クライアント20a〜20c等からの処理要求等に応じて所定の業務を提供する。
【0019】
次いで、図3と図4を用いて、計算機システムのアクセス制御を実現する階層構造の構成について説明する。
図3は、クラウドコンピューティングを提供する計算機システムを、階層化した構成図である。本実施形態の計算機システムでは、システム全体としてのクラウドコンピューティングをドメイン及びサブドメインに分割し、それらを階層化して管理するようになっている。クラウドコンピューティング全体を第1レイヤ30と、ドメインを第2レイヤ31と、サブドメインを第3レイヤ32とする。
【0020】
即ちクラウドコンピューティング全体を、ドメインAに同一のアクセス制御が属するように又ドメインBに同一のアクセス制御が属するように分割する。同様に、ドメインAは、サブドメインAAに同一のアクセス制御が属するように又サブドメインABに同一のアクセス制御が属するように分割する。即ち計算機システムは、クラウドコンピューティング全体を階層化して、共通のアクセス制御というアクセス制御情報をまとめて管理するようになっている。
【0021】
また、各階層を構成するドメインとサブドメインには、1台の主の論理計算機と1台以上の副の論理計算機を設定し、階層毎のアクセス制御を管理する論理計算機を冗長させる構成となっている。
なお、主の論理計算機と副の論理計算機以外の論理計算機を一般論理計算機という。
【0022】
図4は、アクセス制御用のネットワーク(以下、「制御ネットワーク」)の構成を示す図である。このアクセス制御ネットワークは、自身のレイヤの主と副の論理計算機、上位レイヤの主と副の論理計算機および下位レイヤの主と副の論理計算機から構成される。
【0023】
図4(a)は、第2レイヤのアクセス制御ネットワークを示すものであり、上位階層であるクラウドコンピューティングと、下位階層であるドメインAとの関係を表す。制御ネットワークとして、上位と下位のレイヤの主の論理計算機と副の論理計算機を接続する。アクセス制御管理サーバ1では、ドメイン、サブドメインを経由しながら、アクセス制御情報をレイヤ毎に設定する。同一階層内とその上位と下位の主と副の論理計算機、制御ネットワークを構成する。本例では、クラウドの主と副の論理計算機、ドメインAの主と副の論理計算機、ドメインBの主と副の論理計算機から構成される。
【0024】
図4(b)は、第3レイヤのアクセス制御ネットワークを示すものであり、上位階層のドメインAと、下位階層のサブドメインAAとの関係を表す。ドメインAの場合、ドメインAの主の論理計算機並びに副の論理計算機、サブドメインAAの主の論理計算機並びに副の論理計算機及びドメインABの主の論理計算機並びに副の論理計算機から構成される。この制御ネットワークを介して、アクセス制御情報が送受信されるようになっている。
【0025】
図5は、各論理計算機のアクセス種別を示す図である。同図に示すように、計算機システムを構成する各論理計算機がアクセスするリソース1及び2の具体的位置(又は名称)及びそのリソースに対するアクセスの種別を対応付けて管理するようになっている。例えば、ディスクAの中に、ディレクトリAAと、ディレクトリABとを設け、それぞれ別々のアクセス制御を設定する。即ち論理計算機11aでは、AP603aが実行されるが、この時のリソースに対するアクセス種別は、ディスクAにはリード/ライト(rw)可能であり、ディレクトリAAに対してもリード/ライト(rw)可能となっている。同様に、図5では、論理計算機11bから論理計算機14cのアクセス種別を示している。
【0026】
アクセス制御管理サーバ1は、図5に示すアクセス種別に基づいて、共通のアクセス制御を探す。例えば、リソース1のアクセス種別として、ディスクA(rw)と、ディスクB(rw)とに分類する。リソース2のアクセス種別として、ディスクA(rw)は、ディレクトリAA(rw)と、ディレクトリAB(r)に分類する。
【0027】
[初期設定処理]
まず、図6から図8を用いて、アクセス制御情報の初期設定の処理を説明する。
図6は、各論理計算機とそれらの初期設定の値を示す図である。ここでは、アクセス制御の値、リソース1とリソース2の値及びそれをベースとしたドメインとサブドメインを指定する。
【0028】
論理計算機11aは、第1レイヤのクラウドでは主の論理計算機、第2レイヤはドメインA、第3レイヤはサブドメインAAと指定する。更に、アクセス種別として、リソース1は、ディスクA(rw)、リソース2は、ディレクトリAA(rw)と指定する。以下、同様にして、論理計算機11bから論理計算機14cのアクセス種別及び各レイヤの主と副の論理計算機を指定する。
【0029】
図7は、アクセス制御の初期設定の処理手順を示す図である。ここでは、サブドメインAAへのアクセス制御情報の設定を例にして、説明する。サブドメインAAへのアクセス制御は、ディレクトリAAへのリード/ライトが可能である。このアクセス制御情報を、論理計算機11a、論理計算機11c、論理計算機12a、論理計算機13a及び論理計算機14bの5台の論理計算機に設定するものとして説明する。
【0030】
まず、アクセス制御管理サーバ1は、論理計算機11aに、これら5台分の論理計算機のアクセス制御情報を送信し、論理計算機11aは5台分のアクセス制御情報を受信し(ステップS100)、解析する(ステップS101)。
【0031】
次いで、論理計算機11aは、受信したアクセス制御情報に、該当するドメインがあるか否かを判断する(ステップS102)。該当するドメインがない場合(ステップS110:NO)には、ドメインを作成する。本例では、ドメインAを生成する(ステップS111)。逆に、該当するドメインがある場合(ステップS110:Yes)は、ステップS115の処理に進む。
【0032】
論理計算機11aは、該当するサブドメインがあるか否かを判断する(ステップS115)。該当するサブドメインがない場合(ステップS115:NO)には、サブドメインを作成する(ステップS116)。本例では、サブドメインAAを生成する(ステップS116)。逆に、該当するサブドメインがある場合(ステップS115:Yes)は、ステップS117の処理に進む。その後、論理計算機11aは、論理計算機にアクセス制御情報を設定する(ステップS117)。
【0033】
論理計算機11aは、ステップS100で受信したアクセス制御情報に示された全ての論理計算機に対して、アクセス制御情報の設定が完了したか否かを判断し(ステップS120)、完了したと判断する場合(S120:Yes)、制御ネットワークの生成処理(S121)に進み。完了していないと判断する場合(S120:No)、S101に戻る。
S121で、論理計算機11aは、制御ネットワークを構築する。本例では、ドメインAとサブドメインAAの制御ネットワークを構築する。
【0034】
図8は、論理計算機の初期設定の設定結果を示す図である。
このようにして、各レイヤで主と副の論理計算機を指定しながら、各論理計算機のアクセス制御情報を設定する。その際、同一のアクセス制御は、同一のドメインあるいはサブドメインに指定すし、また、制御ネットワークを構築する。
この結果、第2レイヤ31では、共通のアクセス制御がディスクBへのリード/ライトであるドメインBを、第3レイヤ32では、ディレクトリAAへのリード/ライトであるサブドメインAA及びディレクトリABへのリードであるサブドメインABを階層化することになる。
以上が初期設定に関する説明である。
【0035】
[アクセス制御情報の追加処理]
次に、図9から図11までを用いて、計算機システムに新たに物理計算機15を追加する場合のアクセス制御情報の設定処理について説明する。ここでは、3つの論理計算機15a、15b及び15cが構築された1台の物理計算機15が追加され、それらに対してアクセス制御情報を設定する場合を例として説明する。
【0036】
図9に、追加する物理計算機15及びそれに構築されている3つの論理計算機15a等のアクセス制御情報を示す。ここで、論理計算機15aは、ディスクAに対してリード/ライト可能であり、ディレクトリAAに対してもリード/ライト可能である。また、論理計算機15bは、ディスクCに対してリード/ライト可能であり、論理計算機15cは、ディスクCに対してリード/ライト可能であり、何れもリソース2のアクセス制御は有していない。
【0037】
以上のアクセス制御情報を前提として、物理計算機15(論理計算機15a等を含む。)を計算機システムに追加する場合、アクセス制御管理サーバ1は、物理計算機15に構築されている論理計算機15にa等に対し、各レイヤで指定(設定)されているレイヤ(クラウド、ドメイン、サブドメイン)に基づいて、追加する論理計算機15a、15b及び15cのアクセス制御を設定する。例えば、論理計算機15aのアクセス制御は、図9に示すように、サブドメイン(AA)までが指定(設定)されている。従って、論理計算機15aは、サブドメインAAに属するものとしてアクセス制御情報を設定する。他方、論理計算機15bと15cのアクセス制御は、まだ設定されていない。従って、新たに下位レイヤである第2レイヤに、ドメインCを設けて、アクセス制御情報を設定することとなる。
【0038】
以下、図10を用いて、この追加処理手順について詳細に説明する。
まず、アクセス制御管理サーバ1は、最上位レイヤである第1レイヤ(クラウド)の主の論理計算機11aと、副の論理計算機12aとのそれぞれに、図9に示す論理計算機15a、15b及び15cのアクセス制御情報を送信する(ステップS200)。
【0039】
第1レイヤの主の論理計算機11aと副の論理計算機12aとは、これらのアクセス制御情報を受信し(ステップS210、S211)、主の論理計算機11aは、受信したアクセス制御情報を解析する(ステップS212)。なお、副の論理計算機12aは、主の論理計算機11aが正常に稼動しているため、処理を待機する。
【0040】
次いで、主の論理計算機11aは、各論理計算機について、アクセス制御情報のドメインの指定があるか否かを判断する(ステップS213)。この判断で、ドメインの指定があると判断する場合(ステップS213:Yes)、主の論理計算機11aは、ステップS215に進み、指定されたドメインの主の論理計算機11c及び14bに、制御ネットワークが構築されているか否かを判断する(ステップS215)。逆に、ステプS213の判断で、ドメインの指定が無いと判断する場合(ステップS213:No)、ドメインを作成し、そのドメインでの主の論理計算機及び副の論理計算機を指定し(ステップS214)、その後、ステップS215の処理に進む。
【0041】
主の論理計算機11aは、ステップS215で、制御ネットワークが構築されていると判断する場合(ステップS215:YES)、主の論理計算機11aは、指定されたドメインの主の論理計算機11c及び14bに、その論理計算機のアクセス制御情報を送信する(ステップS217)。
逆に、指定されたドメインの主の論理計算機11c及び14bに、制御ネットワークが構築されていないと判断する場合(ステップS215:NO)、指定されたドメインの主の論理計算機11c及び14bとの制御ネットワークを構築し(ステップS216)、その後、アクセス制御情報を送信する(ステップS217)。
【0042】
さて、ステップS213において、第1レイヤの主の論理計算機11aが、追加する論理計算機について、アクセス制御情報で第2レイヤ(ドメイン)が設定されていないと判断した場合(ステップS213:NO)、主の論理計算機11aは、新たなドメインCを生成する処理を行う(ステップS214)。この処理では、主の論理計算機11aは、追加した論理計算機15bを主の論理計算機として指定し、追加した論理計算機15cを副の論理計算機として指定する。
【0043】
その後、ステップS215で、主の論理計算機11aは、新たに生成したドメインCの主の論理計算機15b及び副の論理計算機15cとの制御ネットワークの構築の要否を判断し、必要に応じて制御ネットワークを構築し(ステップS215:NO、S216)、アクセス制御情報で第2レイヤが指定されていない追加論理計算機15b及び15cのアクセス制御情報を、主の論理計算機15b及び副の論理計算機15cに送信する。
【0044】
以上の処理を、下位のレイヤ(第2及び第3レイヤ)の主の論理計算機(11c、13a)が、自階層に対応するアクセス制御情報に応じて順次実行することで、論理計算機を追加する場合のアクセス制御の設定を行うことができる。
【0045】
例えば、追加した論理計算機が、論理計算機15aである場合、アクセス制御情報の第2レイヤには、ドメインAが指定されている(図9参照)。よって、第1レイヤの論理計算機11aは、第2レイヤの主の論理計算機11cと、副の論理計算機14bとに、論理計算機15aのアクセス制御情報をまとめて送信することになる。
このアクセス制御情報を受信した、第2レイヤの主の論理計算機11cは、アクセス制御情報でサブドメインAAが指定されているため、第3レイヤの主の論理計算機13aと、副の論理計算機12aに、論理計算機15aのアクセス制御情報をまとめて送信する(ステップS222)。
このアクセス制御情報を受信した、論理計算機13cは(ステップS230)、その後、一般の計算機15aにアクセス制御情報を送信する(ステップS232)。論理計算機15aは、アクセス制御情報を受信し(ステップS233)、アクセス制御を設定する(ステップS234)。
【0046】
他方、論理計算機15bと15cのアクセス制御は、まだ設定されていないので、主の論理計算機11aは、新たにドメインCを設ける。主の論理計算機11aは、論理計算機15bと論理計算機15cを夫々主/副の論理計算機に指定し、必要であれば制御ネットワークを構築し、対応するアクセス制御情報を論理計算機15bと、論理計算機15cとに送信する。
【0047】
アクセス制御情報を受信した論理計算機15bと論理計算機15cは(ステップS240及びS245)、アクセス制御情報を設定する(ステップS241及びS246)。
【0048】
図11は、追加された論理計算機にアクセス制御情報を設定した結果を示す図である。論理計算機15aは、サブドメインAAに追加され、論理計算機15bと論理計算機15cは、ドメインCに追加される。
以上が、計算機システムに論理計算機を追加した場合のアクセス制御情報の設定処理手順である。
【0049】
[アクセス制御情報の削除処理]
次に、図12と図13を用いて、計算機システムから物理計算機(或いは論理計算機)に関するアクセス制御情報を削除する場合について説明する。以下の説明では、物理計算機14からアクセス制御情報を削除するものとして説明を行う。
また、物理計算機14は、3台の論理計算機(14a、14b、14c)から構成されため、これら論理計算機のアクセス制御を削除する必要がある。なお、論理計算機14aと論理計算機14cはサブドメインABに属し、論理計算機14bは、サブドメインAAに属している。
【0050】
図12は、論理計算機の削除処理手順を示す図である。第3レイヤのサブドメインAAの論理計算機14bで障害が発生すると、サブドメインAAの主の論理計算機13aがこの障害を検出し(S310)、これをドメインAの主の論理計算機11cに通知する(S311)。
【0051】
同様に、サブドメインABの論理計算機14aと論理計算機14cで障害が発生すると、副の論理計算機13bがこれらの障害を検出し(S320)、これをドメインAの主の論理計算機11cに通知する(S321)。
【0052】
第2レイヤのドメインAの主の論理計算機11cは、障害発生を受信する(S330)。ドメインAの主の論理計算機11cは、サブドメイン自体を削除するか否かの判断を行う(S331)。具体的には、主の論理計算機11cのポリシーファイルに保持したアクセス制御情報を参照し、同一サブドメインに属する論理計算機の全てが障害であるか否かを判断する。同一サブドメインに属する全ての論理計算機が障害である場合、そのサブドメインを削除し(S331)、S332の処理に進む。逆に、同一サブドメインに属する全ての論理計算機が障害でない場合、S333の処理に進む。
【0053】
第2レイヤの主の論理計算機11cは、障害の通知を受けた論理計算機が、サブドメインにおける主の論理計算機又は副の論理計算機であるかを判断し、障害の通知を受けた論理計算機が、サブドメインにおける主又は副の論理計算機である場合、当該サブドメインにおける主・副論理計算機の再指定を行い(S333)、S334の処理に進む。逆に、主又は副の論理計算機でない場合、そのままS334の処理に進む。
【0054】
本例の場合、サブドメインABでは、主の論理計算機14aで障害が発生したため、副の論理計算機13bを正の論理計算機とし、一般の論理計算機14cを副の論理計算機に再指定する。
【0055】
次いで、ドメインAの主の論理計算機11cは、物理計算機14の障害発生を第1レイヤの主の論理計算機11aと副の論理計算機12aに通知する(S334)。
【0056】
第1レイヤの主の論理計算機11aと副の論理計算機12aは、障害発生を受信(S339、S340)し、ドメインAの主の論理計算機11aは、ドメインAを削除するか否かを判断し、必要であれば削除する(S341)。具体的には、ドメインA以下に属する全ての論理計算機が障害である場合、ドメインAを削除してから、S342の処理に進む。逆に、ドメインA以下に属する全ての論理計算機が障害でない場合、そのままS343の処理に進む。
【0057】
第1レイヤの主の論理計算機11aは、障害の通知を受けた論理計算機が、ドメイン又はサブドメインにおける主の論理計算機或いは副の論理計算機であるか否かを判断し、ドメイン又はサブドメインにおける主又は副の論理計算機である場合には、新たな主又は副の論理計算機の再指定を行う(S343)。
【0058】
なお、本例では、ドメインAの副の論理計算機14bで障害が発生しているため、ドメインAの一般の論理計算機12bを副の論理計算機に指定する。
【0059】
最後に、主の論理計算機11aは、物理計算機12、14、論理計算機14a、論理計算機14bの障害発生をアクセス制御管理サーバ1に通知する(S344)。アクセス制御管理サーバ1は、S344の処理で受信した障害通知を受信し、アクセス制御管理サーバ1上のアクセス制御情報を更新する(S350)。
【0060】
図13に、論理計算機の削除処理の結果を示す。本例では、サブドメインABの主の論理計算機14aで障害が発生したため、主の論理計算機14aが削除されるとともに、副の論理計算機13bをサブドメインABの主の論理計算機とし、一般の論理計算機14cを副の論理計算機とする。また、サブドメインAAの一般計算機14bでも障害が発生しているため、サブドメインAAから一般計算機14bも削除されている。
【0061】
[アクセス制御情報のチェック処理]
次いで、図14を用いて、計算機システムにおけるアクセス制御のチェック機能の処理手順を説明する。この処理は、全ての論理計算機のアクセス制御が正常に動作していることをチェックする機能である。
【0062】
まず、ドメインAのアクセス制御のチェック機能について説明する。
アクセス制御管理サーバ1は、一定周期毎或いは管理者等からのチェック要求を受けて、第1レイヤの主の論理計算機11aと副の論理計算機12aにアクセス制御のチェックを要求する(S500、S501)。
主の論理計算機11a(1)は、ドメインAの主の論理計算機11c(3)と、副の論理計算機12b(5)とにアクセス制御のチェックを要求する(S510、S511)。
ドメインAの主の論理計算機11c(3)は、ドメインAに属する論理計算機(11a(1)、11c(3)、12a(4)、12b(5)、13a(7)、13b(8)、13c(9))に対して、アクセス制御情報を送信する。
【0063】
各論理計算機(11a(1)、11c(3)、12a(4)、12b(5)、13a(7)、13b(8)、13c(9))は、自己のポリシーファイルに保持したアクセス制御情報と、受信したアクセス制御情報とが一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【0064】
同様に、主の論理計算機11a(1)は、ドメインBの主の論理計算機11b(2)と副の論理計算機12c(6)にアクセス制御のチェックを要求する(S512、S513)。ドメインBに属する各論理計算機は、同様にアクセス制御情報が一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【0065】
次いで、主の論理計算機11a(1)は、ドメインCの主の論理計算機15b(14)と副の論理計算機15c(15)にアクセス制御のチェックを要求する(S514、S515)。ドメインCに属する各論理計算機は、同様にアクセス制御情報が一致するか判断し、一致しなければ、改ざん発生と判定する。
【0066】
サブドメインに属する論理計算機に対しても、ドメインの主の論理計算機11c(3)からサブドメインの各主の論理計算機等に対して、同様の処理を行うことで、サブドメインにおけるアクセス制御のチェックが行われる(S520、S522、S523、S524)。
【0067】
このようにして行われたアクセス制御のチェックにおいて、改ざんの発生と判定された場合、上述した削除処理での障害通知と同様に、同一レイヤの主の論理計算機、上位のレイヤの主の論理計算機に改ざんの通知がなされ、最終的に、アクセス制御管理サーバ1に改ざんが通知されることになる。
【0068】
以上のように、本実施形態によれば、クラウド環境を提供する計算機システムのアクセス制御の管理において、ドメイン等やアクセス種別により階層分けを行い、各階層のアクセス制御情報を管理する主の論理計算機を定め、その主の論理計算機間でアクセス制御情報の管理を伝播させることができる。これにより、アクセス制御管理サーバ1が一括してシステム内のアクセス制御情報を直接管理する場合に発生する負荷を防止することができ、アクセス制御情報の管理が効率的になるという効果がある。
【0069】
また、アクセス制御情報の設定、容易化 一括してアクセス制御が設定可能になり、効率よく運用できるという効果がある。
【0070】
更に、アクセス制御管理サーバ1で行う管理機能を、ドメインあるいはサブドメインの主の論理計算機や副の論理計算機に移行することにより、アクセス制御管理サーバの負荷を軽減でき、頻繁に発生する構成変更等に対して、柔軟に対応できるという効果がある。
【0071】
なお、ここでは、クラウド、ドメインとサブドメインの3階層に分けて説明したが、4階層以上に分割して管理することも当然に可能である。また、本実施形態は、所謂仮想計算機として論理計算機を適用した計算機システムで説明したが、本発明は、これに限定されるものではなく、仮想化ソフトを利用しない物理計算機のみで構成された計算機システムにも適用することができる。
【0072】
また、アクセス制御は、リソースをディスク装置とした例のみで解説しだが、ネットワークリソースに対しても適用することができる。
【符号の説明】
【0073】
1 アクセス制御管理サーバ
3、4、5 ディスク装置
10、11、12、13、14、15 物理計算機
11a、11b、11c、12a、12b、12c、13a、13b、13c、14a、14b、14c、15a、15b、15c 論理計算機
30 第1レイヤ(クラウド)
31 第2レイヤ(ドメイン)
32 第3レイヤ(サブドメイン)
600 仮想化ソフト
602a、602b、602c ポリシーファイル
【技術分野】
【0001】
本発明は、アクセス制御情報管理方法、計算機システム及びプログラムに係り、特に、クラウドコンピューティングを提供する計算機システムを構成する複数の計算機のアクセス制御情報管理方法、計算機システム及びプログラムに関する。
【背景技術】
【0002】
クラウドコンピューティングは、通常複数の物理計算機をネットワークで接続した計算機システムから提供される。近年では、サーバ仮想化技術の進展により、1台の物理計算機上で複数の論理計算機を構築することができ、より大規模なクラウドコンピューティングを提供することができるようになってきている。
【0003】
従来から大規模計算機システムをより柔軟に運用するために、各計算機が所定のリソースにアクセスする為のアクセス制御情報を管理する手法が知られている。例えば、ネットワークを介して各計算機とアクセス制御管理サーバを接続し、このアクセス制御管理サーバが、直接的に各計算機のアクセス制御を実行する技術等である。
【0004】
特許文献1には、このようなアクセス制御情報を管理する技術として、複数のアクセス制御規則が設定された計算機システムにおいて、所定のアクセス制御を条件付で設定可能とする技術が開示されている。この技術では、アクセス制御の値として、「0:許可」と「1:不許可」以外に、連続した値を設定可能とし、一部アクセス可能という中間的なアクセスを可能にしている。
【0005】
一方、クラウドコンピューティングでは、セキュリティの向上が要求されている。このセキュリティを確保することを目的として、アクセス制御の管理を利用することができる。例えば、アプリケーションプログラム、OS及びVM(仮想マシン)に、それぞれリソースへのアクセス権限を設定し、セキュリティを向上させる手法等がある。
【0006】
例えば、非特許文献2には、仮想化技術を実現するハイパーバイザといった仮想化ソフトのセキュリティレベルを課題として、アイデンティティ管理やサービスにおけるアクセス制御をクラウドサービスとして提供する技術が開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特願2007−311726号公報
【非特許文献】
【0008】
【非特許文献1】浦本直彦,「特集クラウドコンピューティング 8.クラウドコンピューティングにおけるセキュリティとコンプライアンス」,情報処理(2009年11月号),Vol.50,No.11,社団法人情報処理学会,p.1099−1105
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、上述のように、クラウドコンピューティングは、多数の計算機から構成されるため、従来のアクセス制御の設定方法のように、1台のアクセス制御管理サーバが他の全てのサーバの管理が困難であり、アクセス制御を効率よく設定できないという問題がある。特に、このような問題は、一つの物理計算機上に論理計算機を複数構築することのできる仮想化技術を適用した計算機システムでは、より顕著な問題となる。更に、クラウドコンピューティングでは、計算機の追加・削除、システム構成の変更が比較的頻繁に行われるという事情もある。この問題は、物理計算機を始め、論理計算機を利用するクラウドコンピューティングでは、ノードの追加、削除等がより頻繁に行われ、顕著となる。
本発明は、クラウドコンピューティングにおいて、アクセス制御を効率よく管理することを目的とする。
【課題を解決するための手段】
【0010】
上述の課題を解決するに、本発明の一側面は、クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する
更に、本発明の他の側面は、前記アクセス制御管理サーバは、更に、前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築する。
【発明の効果】
【0011】
本発明によれば、複数の計算機から構成されるクラウドコンピューティング構成において、共通のアクセス制御情報に基づいて階層的に管理することにより、アクセス制御を効率よく管理できるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態におけるクラウドコンピューティングを提供する計算機システムの構成図である。
【図2】本発明の実施形態における物理計算機の構成図である。
【図3】本発明の実施形態におけるクラウドコンピューティングシステムを階層的に示した模式図である。
【図4】図4aは、本発明の実施形態における第2レイヤのアクセス制御用のネットワークの構成図である。図4bは、本発明の実施形態における第3レイヤのアクセス制御用のネットワークの構成図である。
【図5】本発明の実施形態における各論理計算機のアクセス種別を示す図である。
【図6】本発明の実施形態における各論理計算機とそれらの初期設定の値を示す図である。
【図7】本発明の実施形態におけるアクセス制御の初期設定の処理手順を示す図である。
【図8】本発明の実施形態における論理計算機の初期設定の設定結果を示す図である。
【図9】本発明の実施形態における追加する論理計算機のアクセス制御情報を示す図である。
【図10】本発明の実施形態における論理計算機の追加処理手順を示す図である。
【図11】本発明の実施形態における論理計算機を追加した結果を示す図である。
【図12】本発明の実施形態における論理計算機の削除処理手順を示す図である。
【図13】本発明の実施形態における論理計算機を削除した結果を示す図である。
【図14】本発明の実施形態におけるアクセス制御のチェック機能の処理手順を示す図である。
【発明を実施するための形態】
【0013】
以下に、図を用いて、本発明を実施するための形態を詳細に説明する。
図1に、本発明を適用した一実施の形態であるクラウドコンピューティングを提供する計算機システムの構成を示す。計算機システムは、アクセス制御管理サーバ1、ディスク装置A3、ディスク装置B4、ディスク装置C5及び複数の物理計算機11〜15がネットワーク2と通信可能に接続されてなる。このような計算機システムに、複数のクライアント20a〜cがアクセスし、クラウドコンピューティングを提供する。
アクセス制御管理サーバ1は、リソースへのアクセスを制御するアクセス制御情報を管理する。本実施形態では、計算機システムを構成する物理計算機及び論理計算機がリソースにアクセスするためのアクセス制御情報(アクセスパスやそのリソースに対するリード/ライト処理といったアクセス種別を含む。)に基づいて、計算機を階層的に分類し、アクセスを管理するように構成されている。
物理計算機11〜15の夫々は、例えば、ハイパーバイザ等の仮想化ソフトウェアを利用したサーバ仮想化機構を有しており、内部に複数の論理計算機を構築することができように構成されている。図1の物理計算機11を代表して説明すると、論理計算機11a、11b及び11cという3つの仮想計算機が構築されている。なお、システムを構成する物理計算機の数及び1つの物理計算機に構築することのできる論理計算機の数は、システム要件、物理計算機の性能及び各種設定により適宜変更可能である。また、物理計算機のハードウェア及びソフトウェアの構成も適宜変更可能であるが、説明の便宜上、本実施形態では同じであるものとして説明をする。
ディスク装置A3〜C5は、論理計算機11〜15上で稼動するアプリケーションソフトウェアで利用する各種のデータをディレクトリ単位で格納するHDDやSSD等の各種記録媒体を適用可能なストレージ装置である。本実施形態では、ディスク装置3〜5は、論理計算機からアクセスされるリソースの例として説明する。
【0014】
図2は、物理計算機11〜15の構成図である。本実施形態の物理計算機11〜15は、機能面で同等の構成を有する。以下、物理計算機11を代表してそのハードウェア構成及びソフトウェア構成を説明する。物理計算機は、汎用のサーバ装置等であり、そのハードウェア構成として、CPU700、メモリ701、IOP(Input Output Processor)702、NIC703、ディスクコントローラ704及びディスク装置705a並びに705bから構成される。ディスク装置705a及び705bは、図1で説明したディスク装置A3〜C5のように、物理計算機や論理計算機上で稼動するアプリケーションソフトウェアで利用する各種データを格納することもできるが、本実施の形態では、そのようなアプリケーションソフトウェアや各種の構成情報を格納するシステムディスクとしての機能も有するものとする。
【0015】
物理計算機11のソフトウェア構成は、メモリ501上に、仮想化ソフト600、複数のOS601a、601b並びに601c、ポリシーファイル602a、602b並びに602c及びアプリケーションプログラム(以下、「AP」という。)603a、603b並びに604cを展開し、CPU500との協働により各種処理を行うように構成される。
【0016】
仮想化ソフト600は、例えば、ハイパーバイザ等からなり、物理計算機11に複数のOSを展開することで、論理計算機11a、11b及び11cに分割して運用することができるようになっている。
【0017】
ポリシーファイル602a、602b並びに602cは、論理計算機11a等のシステム管理に関する種々のポリシー情報を保持するものである。システム管理に関する情報としては、システムに含まれるディスク装置3等のリソースに関するアクセスや、そのようなアクセス情報を管理する後述する論理計算機の階層化に関する情報といったアクセス情報が含まれる。
【0018】
また、AP603a、603b及び604cは、種々の業務を提供するソフトウェアが適用され、ネットワーク2を介して、クライアント20a〜20c等からの処理要求等に応じて所定の業務を提供する。
【0019】
次いで、図3と図4を用いて、計算機システムのアクセス制御を実現する階層構造の構成について説明する。
図3は、クラウドコンピューティングを提供する計算機システムを、階層化した構成図である。本実施形態の計算機システムでは、システム全体としてのクラウドコンピューティングをドメイン及びサブドメインに分割し、それらを階層化して管理するようになっている。クラウドコンピューティング全体を第1レイヤ30と、ドメインを第2レイヤ31と、サブドメインを第3レイヤ32とする。
【0020】
即ちクラウドコンピューティング全体を、ドメインAに同一のアクセス制御が属するように又ドメインBに同一のアクセス制御が属するように分割する。同様に、ドメインAは、サブドメインAAに同一のアクセス制御が属するように又サブドメインABに同一のアクセス制御が属するように分割する。即ち計算機システムは、クラウドコンピューティング全体を階層化して、共通のアクセス制御というアクセス制御情報をまとめて管理するようになっている。
【0021】
また、各階層を構成するドメインとサブドメインには、1台の主の論理計算機と1台以上の副の論理計算機を設定し、階層毎のアクセス制御を管理する論理計算機を冗長させる構成となっている。
なお、主の論理計算機と副の論理計算機以外の論理計算機を一般論理計算機という。
【0022】
図4は、アクセス制御用のネットワーク(以下、「制御ネットワーク」)の構成を示す図である。このアクセス制御ネットワークは、自身のレイヤの主と副の論理計算機、上位レイヤの主と副の論理計算機および下位レイヤの主と副の論理計算機から構成される。
【0023】
図4(a)は、第2レイヤのアクセス制御ネットワークを示すものであり、上位階層であるクラウドコンピューティングと、下位階層であるドメインAとの関係を表す。制御ネットワークとして、上位と下位のレイヤの主の論理計算機と副の論理計算機を接続する。アクセス制御管理サーバ1では、ドメイン、サブドメインを経由しながら、アクセス制御情報をレイヤ毎に設定する。同一階層内とその上位と下位の主と副の論理計算機、制御ネットワークを構成する。本例では、クラウドの主と副の論理計算機、ドメインAの主と副の論理計算機、ドメインBの主と副の論理計算機から構成される。
【0024】
図4(b)は、第3レイヤのアクセス制御ネットワークを示すものであり、上位階層のドメインAと、下位階層のサブドメインAAとの関係を表す。ドメインAの場合、ドメインAの主の論理計算機並びに副の論理計算機、サブドメインAAの主の論理計算機並びに副の論理計算機及びドメインABの主の論理計算機並びに副の論理計算機から構成される。この制御ネットワークを介して、アクセス制御情報が送受信されるようになっている。
【0025】
図5は、各論理計算機のアクセス種別を示す図である。同図に示すように、計算機システムを構成する各論理計算機がアクセスするリソース1及び2の具体的位置(又は名称)及びそのリソースに対するアクセスの種別を対応付けて管理するようになっている。例えば、ディスクAの中に、ディレクトリAAと、ディレクトリABとを設け、それぞれ別々のアクセス制御を設定する。即ち論理計算機11aでは、AP603aが実行されるが、この時のリソースに対するアクセス種別は、ディスクAにはリード/ライト(rw)可能であり、ディレクトリAAに対してもリード/ライト(rw)可能となっている。同様に、図5では、論理計算機11bから論理計算機14cのアクセス種別を示している。
【0026】
アクセス制御管理サーバ1は、図5に示すアクセス種別に基づいて、共通のアクセス制御を探す。例えば、リソース1のアクセス種別として、ディスクA(rw)と、ディスクB(rw)とに分類する。リソース2のアクセス種別として、ディスクA(rw)は、ディレクトリAA(rw)と、ディレクトリAB(r)に分類する。
【0027】
[初期設定処理]
まず、図6から図8を用いて、アクセス制御情報の初期設定の処理を説明する。
図6は、各論理計算機とそれらの初期設定の値を示す図である。ここでは、アクセス制御の値、リソース1とリソース2の値及びそれをベースとしたドメインとサブドメインを指定する。
【0028】
論理計算機11aは、第1レイヤのクラウドでは主の論理計算機、第2レイヤはドメインA、第3レイヤはサブドメインAAと指定する。更に、アクセス種別として、リソース1は、ディスクA(rw)、リソース2は、ディレクトリAA(rw)と指定する。以下、同様にして、論理計算機11bから論理計算機14cのアクセス種別及び各レイヤの主と副の論理計算機を指定する。
【0029】
図7は、アクセス制御の初期設定の処理手順を示す図である。ここでは、サブドメインAAへのアクセス制御情報の設定を例にして、説明する。サブドメインAAへのアクセス制御は、ディレクトリAAへのリード/ライトが可能である。このアクセス制御情報を、論理計算機11a、論理計算機11c、論理計算機12a、論理計算機13a及び論理計算機14bの5台の論理計算機に設定するものとして説明する。
【0030】
まず、アクセス制御管理サーバ1は、論理計算機11aに、これら5台分の論理計算機のアクセス制御情報を送信し、論理計算機11aは5台分のアクセス制御情報を受信し(ステップS100)、解析する(ステップS101)。
【0031】
次いで、論理計算機11aは、受信したアクセス制御情報に、該当するドメインがあるか否かを判断する(ステップS102)。該当するドメインがない場合(ステップS110:NO)には、ドメインを作成する。本例では、ドメインAを生成する(ステップS111)。逆に、該当するドメインがある場合(ステップS110:Yes)は、ステップS115の処理に進む。
【0032】
論理計算機11aは、該当するサブドメインがあるか否かを判断する(ステップS115)。該当するサブドメインがない場合(ステップS115:NO)には、サブドメインを作成する(ステップS116)。本例では、サブドメインAAを生成する(ステップS116)。逆に、該当するサブドメインがある場合(ステップS115:Yes)は、ステップS117の処理に進む。その後、論理計算機11aは、論理計算機にアクセス制御情報を設定する(ステップS117)。
【0033】
論理計算機11aは、ステップS100で受信したアクセス制御情報に示された全ての論理計算機に対して、アクセス制御情報の設定が完了したか否かを判断し(ステップS120)、完了したと判断する場合(S120:Yes)、制御ネットワークの生成処理(S121)に進み。完了していないと判断する場合(S120:No)、S101に戻る。
S121で、論理計算機11aは、制御ネットワークを構築する。本例では、ドメインAとサブドメインAAの制御ネットワークを構築する。
【0034】
図8は、論理計算機の初期設定の設定結果を示す図である。
このようにして、各レイヤで主と副の論理計算機を指定しながら、各論理計算機のアクセス制御情報を設定する。その際、同一のアクセス制御は、同一のドメインあるいはサブドメインに指定すし、また、制御ネットワークを構築する。
この結果、第2レイヤ31では、共通のアクセス制御がディスクBへのリード/ライトであるドメインBを、第3レイヤ32では、ディレクトリAAへのリード/ライトであるサブドメインAA及びディレクトリABへのリードであるサブドメインABを階層化することになる。
以上が初期設定に関する説明である。
【0035】
[アクセス制御情報の追加処理]
次に、図9から図11までを用いて、計算機システムに新たに物理計算機15を追加する場合のアクセス制御情報の設定処理について説明する。ここでは、3つの論理計算機15a、15b及び15cが構築された1台の物理計算機15が追加され、それらに対してアクセス制御情報を設定する場合を例として説明する。
【0036】
図9に、追加する物理計算機15及びそれに構築されている3つの論理計算機15a等のアクセス制御情報を示す。ここで、論理計算機15aは、ディスクAに対してリード/ライト可能であり、ディレクトリAAに対してもリード/ライト可能である。また、論理計算機15bは、ディスクCに対してリード/ライト可能であり、論理計算機15cは、ディスクCに対してリード/ライト可能であり、何れもリソース2のアクセス制御は有していない。
【0037】
以上のアクセス制御情報を前提として、物理計算機15(論理計算機15a等を含む。)を計算機システムに追加する場合、アクセス制御管理サーバ1は、物理計算機15に構築されている論理計算機15にa等に対し、各レイヤで指定(設定)されているレイヤ(クラウド、ドメイン、サブドメイン)に基づいて、追加する論理計算機15a、15b及び15cのアクセス制御を設定する。例えば、論理計算機15aのアクセス制御は、図9に示すように、サブドメイン(AA)までが指定(設定)されている。従って、論理計算機15aは、サブドメインAAに属するものとしてアクセス制御情報を設定する。他方、論理計算機15bと15cのアクセス制御は、まだ設定されていない。従って、新たに下位レイヤである第2レイヤに、ドメインCを設けて、アクセス制御情報を設定することとなる。
【0038】
以下、図10を用いて、この追加処理手順について詳細に説明する。
まず、アクセス制御管理サーバ1は、最上位レイヤである第1レイヤ(クラウド)の主の論理計算機11aと、副の論理計算機12aとのそれぞれに、図9に示す論理計算機15a、15b及び15cのアクセス制御情報を送信する(ステップS200)。
【0039】
第1レイヤの主の論理計算機11aと副の論理計算機12aとは、これらのアクセス制御情報を受信し(ステップS210、S211)、主の論理計算機11aは、受信したアクセス制御情報を解析する(ステップS212)。なお、副の論理計算機12aは、主の論理計算機11aが正常に稼動しているため、処理を待機する。
【0040】
次いで、主の論理計算機11aは、各論理計算機について、アクセス制御情報のドメインの指定があるか否かを判断する(ステップS213)。この判断で、ドメインの指定があると判断する場合(ステップS213:Yes)、主の論理計算機11aは、ステップS215に進み、指定されたドメインの主の論理計算機11c及び14bに、制御ネットワークが構築されているか否かを判断する(ステップS215)。逆に、ステプS213の判断で、ドメインの指定が無いと判断する場合(ステップS213:No)、ドメインを作成し、そのドメインでの主の論理計算機及び副の論理計算機を指定し(ステップS214)、その後、ステップS215の処理に進む。
【0041】
主の論理計算機11aは、ステップS215で、制御ネットワークが構築されていると判断する場合(ステップS215:YES)、主の論理計算機11aは、指定されたドメインの主の論理計算機11c及び14bに、その論理計算機のアクセス制御情報を送信する(ステップS217)。
逆に、指定されたドメインの主の論理計算機11c及び14bに、制御ネットワークが構築されていないと判断する場合(ステップS215:NO)、指定されたドメインの主の論理計算機11c及び14bとの制御ネットワークを構築し(ステップS216)、その後、アクセス制御情報を送信する(ステップS217)。
【0042】
さて、ステップS213において、第1レイヤの主の論理計算機11aが、追加する論理計算機について、アクセス制御情報で第2レイヤ(ドメイン)が設定されていないと判断した場合(ステップS213:NO)、主の論理計算機11aは、新たなドメインCを生成する処理を行う(ステップS214)。この処理では、主の論理計算機11aは、追加した論理計算機15bを主の論理計算機として指定し、追加した論理計算機15cを副の論理計算機として指定する。
【0043】
その後、ステップS215で、主の論理計算機11aは、新たに生成したドメインCの主の論理計算機15b及び副の論理計算機15cとの制御ネットワークの構築の要否を判断し、必要に応じて制御ネットワークを構築し(ステップS215:NO、S216)、アクセス制御情報で第2レイヤが指定されていない追加論理計算機15b及び15cのアクセス制御情報を、主の論理計算機15b及び副の論理計算機15cに送信する。
【0044】
以上の処理を、下位のレイヤ(第2及び第3レイヤ)の主の論理計算機(11c、13a)が、自階層に対応するアクセス制御情報に応じて順次実行することで、論理計算機を追加する場合のアクセス制御の設定を行うことができる。
【0045】
例えば、追加した論理計算機が、論理計算機15aである場合、アクセス制御情報の第2レイヤには、ドメインAが指定されている(図9参照)。よって、第1レイヤの論理計算機11aは、第2レイヤの主の論理計算機11cと、副の論理計算機14bとに、論理計算機15aのアクセス制御情報をまとめて送信することになる。
このアクセス制御情報を受信した、第2レイヤの主の論理計算機11cは、アクセス制御情報でサブドメインAAが指定されているため、第3レイヤの主の論理計算機13aと、副の論理計算機12aに、論理計算機15aのアクセス制御情報をまとめて送信する(ステップS222)。
このアクセス制御情報を受信した、論理計算機13cは(ステップS230)、その後、一般の計算機15aにアクセス制御情報を送信する(ステップS232)。論理計算機15aは、アクセス制御情報を受信し(ステップS233)、アクセス制御を設定する(ステップS234)。
【0046】
他方、論理計算機15bと15cのアクセス制御は、まだ設定されていないので、主の論理計算機11aは、新たにドメインCを設ける。主の論理計算機11aは、論理計算機15bと論理計算機15cを夫々主/副の論理計算機に指定し、必要であれば制御ネットワークを構築し、対応するアクセス制御情報を論理計算機15bと、論理計算機15cとに送信する。
【0047】
アクセス制御情報を受信した論理計算機15bと論理計算機15cは(ステップS240及びS245)、アクセス制御情報を設定する(ステップS241及びS246)。
【0048】
図11は、追加された論理計算機にアクセス制御情報を設定した結果を示す図である。論理計算機15aは、サブドメインAAに追加され、論理計算機15bと論理計算機15cは、ドメインCに追加される。
以上が、計算機システムに論理計算機を追加した場合のアクセス制御情報の設定処理手順である。
【0049】
[アクセス制御情報の削除処理]
次に、図12と図13を用いて、計算機システムから物理計算機(或いは論理計算機)に関するアクセス制御情報を削除する場合について説明する。以下の説明では、物理計算機14からアクセス制御情報を削除するものとして説明を行う。
また、物理計算機14は、3台の論理計算機(14a、14b、14c)から構成されため、これら論理計算機のアクセス制御を削除する必要がある。なお、論理計算機14aと論理計算機14cはサブドメインABに属し、論理計算機14bは、サブドメインAAに属している。
【0050】
図12は、論理計算機の削除処理手順を示す図である。第3レイヤのサブドメインAAの論理計算機14bで障害が発生すると、サブドメインAAの主の論理計算機13aがこの障害を検出し(S310)、これをドメインAの主の論理計算機11cに通知する(S311)。
【0051】
同様に、サブドメインABの論理計算機14aと論理計算機14cで障害が発生すると、副の論理計算機13bがこれらの障害を検出し(S320)、これをドメインAの主の論理計算機11cに通知する(S321)。
【0052】
第2レイヤのドメインAの主の論理計算機11cは、障害発生を受信する(S330)。ドメインAの主の論理計算機11cは、サブドメイン自体を削除するか否かの判断を行う(S331)。具体的には、主の論理計算機11cのポリシーファイルに保持したアクセス制御情報を参照し、同一サブドメインに属する論理計算機の全てが障害であるか否かを判断する。同一サブドメインに属する全ての論理計算機が障害である場合、そのサブドメインを削除し(S331)、S332の処理に進む。逆に、同一サブドメインに属する全ての論理計算機が障害でない場合、S333の処理に進む。
【0053】
第2レイヤの主の論理計算機11cは、障害の通知を受けた論理計算機が、サブドメインにおける主の論理計算機又は副の論理計算機であるかを判断し、障害の通知を受けた論理計算機が、サブドメインにおける主又は副の論理計算機である場合、当該サブドメインにおける主・副論理計算機の再指定を行い(S333)、S334の処理に進む。逆に、主又は副の論理計算機でない場合、そのままS334の処理に進む。
【0054】
本例の場合、サブドメインABでは、主の論理計算機14aで障害が発生したため、副の論理計算機13bを正の論理計算機とし、一般の論理計算機14cを副の論理計算機に再指定する。
【0055】
次いで、ドメインAの主の論理計算機11cは、物理計算機14の障害発生を第1レイヤの主の論理計算機11aと副の論理計算機12aに通知する(S334)。
【0056】
第1レイヤの主の論理計算機11aと副の論理計算機12aは、障害発生を受信(S339、S340)し、ドメインAの主の論理計算機11aは、ドメインAを削除するか否かを判断し、必要であれば削除する(S341)。具体的には、ドメインA以下に属する全ての論理計算機が障害である場合、ドメインAを削除してから、S342の処理に進む。逆に、ドメインA以下に属する全ての論理計算機が障害でない場合、そのままS343の処理に進む。
【0057】
第1レイヤの主の論理計算機11aは、障害の通知を受けた論理計算機が、ドメイン又はサブドメインにおける主の論理計算機或いは副の論理計算機であるか否かを判断し、ドメイン又はサブドメインにおける主又は副の論理計算機である場合には、新たな主又は副の論理計算機の再指定を行う(S343)。
【0058】
なお、本例では、ドメインAの副の論理計算機14bで障害が発生しているため、ドメインAの一般の論理計算機12bを副の論理計算機に指定する。
【0059】
最後に、主の論理計算機11aは、物理計算機12、14、論理計算機14a、論理計算機14bの障害発生をアクセス制御管理サーバ1に通知する(S344)。アクセス制御管理サーバ1は、S344の処理で受信した障害通知を受信し、アクセス制御管理サーバ1上のアクセス制御情報を更新する(S350)。
【0060】
図13に、論理計算機の削除処理の結果を示す。本例では、サブドメインABの主の論理計算機14aで障害が発生したため、主の論理計算機14aが削除されるとともに、副の論理計算機13bをサブドメインABの主の論理計算機とし、一般の論理計算機14cを副の論理計算機とする。また、サブドメインAAの一般計算機14bでも障害が発生しているため、サブドメインAAから一般計算機14bも削除されている。
【0061】
[アクセス制御情報のチェック処理]
次いで、図14を用いて、計算機システムにおけるアクセス制御のチェック機能の処理手順を説明する。この処理は、全ての論理計算機のアクセス制御が正常に動作していることをチェックする機能である。
【0062】
まず、ドメインAのアクセス制御のチェック機能について説明する。
アクセス制御管理サーバ1は、一定周期毎或いは管理者等からのチェック要求を受けて、第1レイヤの主の論理計算機11aと副の論理計算機12aにアクセス制御のチェックを要求する(S500、S501)。
主の論理計算機11a(1)は、ドメインAの主の論理計算機11c(3)と、副の論理計算機12b(5)とにアクセス制御のチェックを要求する(S510、S511)。
ドメインAの主の論理計算機11c(3)は、ドメインAに属する論理計算機(11a(1)、11c(3)、12a(4)、12b(5)、13a(7)、13b(8)、13c(9))に対して、アクセス制御情報を送信する。
【0063】
各論理計算機(11a(1)、11c(3)、12a(4)、12b(5)、13a(7)、13b(8)、13c(9))は、自己のポリシーファイルに保持したアクセス制御情報と、受信したアクセス制御情報とが一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【0064】
同様に、主の論理計算機11a(1)は、ドメインBの主の論理計算機11b(2)と副の論理計算機12c(6)にアクセス制御のチェックを要求する(S512、S513)。ドメインBに属する各論理計算機は、同様にアクセス制御情報が一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【0065】
次いで、主の論理計算機11a(1)は、ドメインCの主の論理計算機15b(14)と副の論理計算機15c(15)にアクセス制御のチェックを要求する(S514、S515)。ドメインCに属する各論理計算機は、同様にアクセス制御情報が一致するか判断し、一致しなければ、改ざん発生と判定する。
【0066】
サブドメインに属する論理計算機に対しても、ドメインの主の論理計算機11c(3)からサブドメインの各主の論理計算機等に対して、同様の処理を行うことで、サブドメインにおけるアクセス制御のチェックが行われる(S520、S522、S523、S524)。
【0067】
このようにして行われたアクセス制御のチェックにおいて、改ざんの発生と判定された場合、上述した削除処理での障害通知と同様に、同一レイヤの主の論理計算機、上位のレイヤの主の論理計算機に改ざんの通知がなされ、最終的に、アクセス制御管理サーバ1に改ざんが通知されることになる。
【0068】
以上のように、本実施形態によれば、クラウド環境を提供する計算機システムのアクセス制御の管理において、ドメイン等やアクセス種別により階層分けを行い、各階層のアクセス制御情報を管理する主の論理計算機を定め、その主の論理計算機間でアクセス制御情報の管理を伝播させることができる。これにより、アクセス制御管理サーバ1が一括してシステム内のアクセス制御情報を直接管理する場合に発生する負荷を防止することができ、アクセス制御情報の管理が効率的になるという効果がある。
【0069】
また、アクセス制御情報の設定、容易化 一括してアクセス制御が設定可能になり、効率よく運用できるという効果がある。
【0070】
更に、アクセス制御管理サーバ1で行う管理機能を、ドメインあるいはサブドメインの主の論理計算機や副の論理計算機に移行することにより、アクセス制御管理サーバの負荷を軽減でき、頻繁に発生する構成変更等に対して、柔軟に対応できるという効果がある。
【0071】
なお、ここでは、クラウド、ドメインとサブドメインの3階層に分けて説明したが、4階層以上に分割して管理することも当然に可能である。また、本実施形態は、所謂仮想計算機として論理計算機を適用した計算機システムで説明したが、本発明は、これに限定されるものではなく、仮想化ソフトを利用しない物理計算機のみで構成された計算機システムにも適用することができる。
【0072】
また、アクセス制御は、リソースをディスク装置とした例のみで解説しだが、ネットワークリソースに対しても適用することができる。
【符号の説明】
【0073】
1 アクセス制御管理サーバ
3、4、5 ディスク装置
10、11、12、13、14、15 物理計算機
11a、11b、11c、12a、12b、12c、13a、13b、13c、14a、14b、14c、15a、15b、15c 論理計算機
30 第1レイヤ(クラウド)
31 第2レイヤ(ドメイン)
32 第3レイヤ(サブドメイン)
600 仮想化ソフト
602a、602b、602c ポリシーファイル
【特許請求の範囲】
【請求項1】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とするアクセス制御情報管理方法。
【請求項2】
請求項1に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、
前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築するアクセス制御情報管理方法。
【請求項3】
請求項2に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記主計算機と同一のドメイン又はサブドメインに属する他の計算機をして、前記主計算機を冗長構成にすることを特徴とするアクセス制御情報管理方法。
【請求項4】
請求項1〜3の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
新たな計算機を追加する場合、当該計算機のアクセス制御情報に前記ドメインに対応する情報があるか否かを判定し、
前記ドメインに対応する情報がある場合、当該ドメイン内の計算機として管理し、
前記ドメインに対応する情報がない場合は、新たにドメインを作成し、該新たに作成したドメインに対応する制御ネットワークを構築する
ことを特徴とするアクセス制御情報管理方法。
【請求項5】
請求項1〜4の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
所定の計算機に関するアクセス制御情報を削除する際、当該所定の計算機が属するドメイン及びそのサブドメインに属する他の計算機が無い場合、当該ドメインを削除する
ことを特徴とするアクセス制御情報管理方法。
【請求項6】
請求項2〜5のいずれか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記計算機が保持するアクセス制御情報の改ざんをチェックする際、前記ドメインの主計算機に、前記アクセス制御管理サーバが保持するアクセス制御情報を送信し、前記ドメインに属する計算機が保持するアクセス制御情報のチェックを要求して、アクセス制御が一致しているかどうかチェックさせることを特徴とするアクセス制御情報管理方法。
【請求項7】
請求項1〜6の何れか一項に記載のアクセス制御情報管理方法であって、
前記計算機には、論理計算機を含むことを特徴とするアクセス制御情報管理方法。
【請求項8】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムであって、
前記アクセス制御管理サーバが、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とする計算機システム。
【請求項9】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムにおいて、
前記アクセス制御管理サーバに、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類する機能と、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類する機能と、
前記複数の計算機を階層的に管理する機能と、
を実現させることを特徴とするプログラム。
【請求項1】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とするアクセス制御情報管理方法。
【請求項2】
請求項1に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、
前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築するアクセス制御情報管理方法。
【請求項3】
請求項2に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記主計算機と同一のドメイン又はサブドメインに属する他の計算機をして、前記主計算機を冗長構成にすることを特徴とするアクセス制御情報管理方法。
【請求項4】
請求項1〜3の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
新たな計算機を追加する場合、当該計算機のアクセス制御情報に前記ドメインに対応する情報があるか否かを判定し、
前記ドメインに対応する情報がある場合、当該ドメイン内の計算機として管理し、
前記ドメインに対応する情報がない場合は、新たにドメインを作成し、該新たに作成したドメインに対応する制御ネットワークを構築する
ことを特徴とするアクセス制御情報管理方法。
【請求項5】
請求項1〜4の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
所定の計算機に関するアクセス制御情報を削除する際、当該所定の計算機が属するドメイン及びそのサブドメインに属する他の計算機が無い場合、当該ドメインを削除する
ことを特徴とするアクセス制御情報管理方法。
【請求項6】
請求項2〜5のいずれか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記計算機が保持するアクセス制御情報の改ざんをチェックする際、前記ドメインの主計算機に、前記アクセス制御管理サーバが保持するアクセス制御情報を送信し、前記ドメインに属する計算機が保持するアクセス制御情報のチェックを要求して、アクセス制御が一致しているかどうかチェックさせることを特徴とするアクセス制御情報管理方法。
【請求項7】
請求項1〜6の何れか一項に記載のアクセス制御情報管理方法であって、
前記計算機には、論理計算機を含むことを特徴とするアクセス制御情報管理方法。
【請求項8】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムであって、
前記アクセス制御管理サーバが、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とする計算機システム。
【請求項9】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムにおいて、
前記アクセス制御管理サーバに、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類する機能と、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類する機能と、
前記複数の計算機を階層的に管理する機能と、
を実現させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−232840(P2011−232840A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−100483(P2010−100483)
【出願日】平成22年4月26日(2010.4.26)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年4月26日(2010.4.26)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]