サービスプロセッサゲートウェイシステム及び機器
コンピュータ、通信、及びネットワーキング設備においてサービスプロセッサ及び管理モジュールへのアクセスを物理的に統合し保証するために、データネットワークから管理ポートを切り離すシステムが設けられる。このシステムは、低レベルの管理プロトコルを、データネットワークを介する伝送を保証するのに適したより高レベルのネットワークプロトコルに変換する。このシステムは、共通のフォーマット管理データを暗号化することがある。このシステムはまた、管理インターフェースへのアクセスを試みるそれぞれのユーザを認証し得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワーク管理の分野に関し、より詳細には、埋め込みサービスプロセッサ及び/又は管理モジュールが装備された、コンピュータシステム、ネットワーキングシステム、及び通信システムにアクセスする及び管理するための方法に関する。
【背景技術】
【0002】
情報技術の専門家は、一般に、コンピュータサーバ、ネットワーク機器(appliances)、セキュリティ機器、記憶装置、及び通信設備(equipment)などのネットワークノードのオペレーションを監視する及び復元するために、ネットワーク管理ツールを使用する。これらの代表的なネットワーク管理ツールにより、ITの専門家は、ネットワークノードのオペレーションを遠隔で管理する及び復元することができる。通常、これらのネットワーク管理ツールは、2つのカテゴリ、即ち、帯域内(in-band)管理ツールと帯域外(out-of-band)管理ツールとに分けられる。帯域内管理ツールは、データネットワークに接続するノードによって利用されるのと同じネットワークインターフェースを使用して、管理対象ネットワークノードと通信する。帯域外管理ツールは、もっぱら管理用に使用される(シリアルコンソールポートなどの)別個のアクセス媒体を使用して、管理対象ネットワークノードと通信する。帯域外管理ツールにより、ネットワークノードがネットワーク接続性を失っている場合にも、監視者は、管理対象ネットワークノードにアクセスすることができる。
【0003】
帯域内管理ツールは、一般に大型ネットワークを管理するのに使用される、簡易型ネットワーク管理プロトコル(Simple Network Management Protocol: SNMP)などの、ネットワークプロトコルを使用する。ネットワークプロトコルを使用する、市販の帯域内管理ツールのいくつかの例に、ヒューレットパッカード社(HP(登録商標))のオープンビュー(OpenView)、IBM社(IBM(登録商標))のチボリ(Tivoli)、BMC社(BMC(登録商標))のパトロール(Patrol)、及びCA社(CA(登録商標))のユニセンター(Unicenter)などの製品がある。しかし、これらの帯域内ツールは、そのネットワークノードに関連付けられたデータネットワークが故障するたびに又は管理対象デバイスがネットワーク接続性を失うたびに、有効でなくなる。したがって、これらの帯域内ネットワーク管理ツールは、ネットワークアドミニストレータをデッドロック状態にする(in a deadlock position)(たとえば、デバイスが故障し、データネットワークがダウンし、ITの専門家がそのデータネットワークダウンのためにデバイスに到達し得ない場合)。このデッドロック状態となる共通の原因の例には、ソフトウェアのクラッシュ、構成(configuration)エラー、電力サージによるハードウェアの誤動作、ファームウェアをグレードアップする必要がある場合、及び/又はネットワーク故障、が含まれる。したがって、ネットワークノードがデータネットワークから切断される故障が起きた場合には、人間オペレータが、そのネットワークノードの場所まで行って、管理ポートに直接接続された端末を通じて故障している設備の部品とインタラクト(interact)し得る、又は物理制御スイッチを作動させて、故障している設備の機能を復元し得る必要がある。人間オペレータがネットワークノードの場所まで行くには費用がかかり、また人間オペレータにより長い時間が費やされ、データネットワークが長い間ダウンタイムとなるため、業務全体の損失となる。
【0004】
帯域内ネットワーク管理ツールのこのような限界を克服するために、人間オペレータが実際に事故が発生した場所まで行く必要のない、帯域外管理ポートへの遠隔アクセス、及び、例えばパワーサイクリング、温度及び他のヘルスインディケータ(health indicators)の監視などの、ネットワークノードの他の制御機能を使用可能にするシステムが作られた。通常、帯域外アクセスのための物理インターフェースは、シリアルコンソール、KVMポート、電源回路、温度及び湿度プローブ、及び/又は遠隔アクチュエータを含む。これらの物理インターフェースへの遠隔アクセスを提供する監視及びアクセスシステムの例には、コンソールサーバ(Console Servers)、KVMスイッチ、及びインテリジェント電力分散ユニット(Intelligent Power Distribution Units)が含まれる。帯域外アクセスのための異なる接続媒体を使用して、独立した代替ネットワークを構築することは、効果的ではあるが、データセンタを構築する費用を増加させる。
【0005】
物理インターフェースを標準化し、かつ帯域外アクセスの費用を減少させるために、サーバ及び通信ハードウェアの製造業者は、例えば、独立型サーバマザーボード、通信シャーシ(chassis)、及びブレードコンピュータなどのハードウェアプラットフォーム内にサービスプロセッサを設置するようになってきた。サービスプロセッサ(ベースボード管理カード(Baseboard Management Cards: BMCs)と呼ばれることもある)は、スタンドアロン(stand-alone)サーバのシステムマザーボードに埋め込まれた小型プロセッサ、アドオンドーターカード(add-on daughter card)、又はブレード(blade)コンピュータ又は通信システムシャーシなどの大型システム内に設置されたより高度化された(sophisticated)管理モジュールの形態をとり得る。サービスプロセッサは、ホスト設備のモジュールがロックアップした場合や、構成エラー、ハードウェア又はソフトウェア故障によりデータネットワークから切断された場合にも、活動状態のままであり、アクセス可能であるよう設計される。サービスプロセッサは、遠隔パワーサイクリング、遠隔診断、センサの読取り、システムリセット、システムコンソール、及びKVMアクセスなどの機能をサポートし得る。
【0006】
業界コンソーシアムが、サービスプロセッサと通信するための、インテリジェントプラットフォーム管理インターフェース(Intelligent Platform Management Interface: IPMI)と呼ばれる標準インターフェースを開発してきた。他のベンダも、同様のプロプラエタリ(proprietary)インターフェースを作ってきた。たとえば、ヒューレットパッカード社(登録商標)は、Integraed Lights−Out(iLO)インターフェースを有し、サンマイクロシステムズ社(Sun Microsystems)(登録商標)は、Advanced Lights Outモジュール(ALOM)インターフェースを有する。より高度化されたサービスプロセッサは、多様な他のインターフェース及びネットワークプロトコルをサポートし得る。これらのインターフェースのためのプロトコルは周知である。これらの帯域外管理インターフェースは、TCP/IPより上位のプロトコルを定義し、管理情報を移送するために共通のイーサネット(登録商標)媒体を利用する。イーサネット(登録商標)媒体については、これらのシステムの設計者により、大型データセンタ内に既に配備されている構造化された配線システムとの互換性を有するようなものが選択され、その配備及びサーバプロセッサ技術の使用が容易化される。
【0007】
サービスプロセッサは、場合によっては、ネットワークノードとデータネットワークとの接続に使用されるのと同じイーサネット(登録商標)ポートを共有し得る(これは、「側波帯(side-band)」接続と呼ばれることもある)。データネットワークと同じネットワーク接続を共有することは、良い解決方法ではない。何故なら、データネットワーク接続性が失われた場合に、遠隔アクセスを与えるという本来の目的が達せられないからである。したがって、殆どのサービスプロセッサは、帯域外管理専用の、かつ一次(primary)データネットワーク接続から独立したイーサネット(登録商標)ポートと共に配備される。
【0008】
しかしながら、配備にかかる高い費用、及び管理対象ネットワークノード毎に第2のイーサネット(登録商標)を接続することによる管理オーバーヘッド、その媒体を選択した時には予期しなかった障害(obstacle)により、サービスプロセッサ技術の採用の伸びが鈍化してきている。たとえば、データネットワーク内のイーサネット(登録商標)交換機に接続されたあらゆるデバイスには、一意のネットワークアドレス(TCP/IPネットワークにおいてはIPアドレス)が必要である。通常、1つの組織が使用するのに利用可能なネットワークアドレスの数は制限されており、ネットワークアドレスが2倍必要になることは、重大な問題を引き起こす。これらのネットワークアドレスは、ファイアウォールへのアクセスポリシーを設定及び維持し、ネットワークの複雑さを増加させかつ多量の作業を必要とするタスク及び繰り返し発生する費用を設定及び維持することにより、管理され適切に保証されなければならない。代表的なデータセンタにおいて利用可能なイーサネット(登録商標)LAN接続は、データトラフィックを運び、かつ管理アプリケーションが必要とする以上にはるかに大きいキャパシティ及び帯域幅を有する交換設備(switching equipment)を使用するように大きさ(dimension)が決められ、したがって、配備費用がさらに増加する。サービスプロセッサによって使用される低レベルの管理プロトコルをイーサネット(登録商標)交換機に露出することにより、このアーキテクチャはまた、システムに対して過度な制御を得ようとする個人による攻撃に対する帯域外管理システムの脆弱性(vulnerability)を増加し得る。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって、配備費用及びセキュリティについての懸念が、非常に高くなり、サービスプロセッサ技術を採用する場合の大きな障害となっている。その証拠として、夥しい数の機能、業界の主要ベンダによるサポート、及びここ数年の広く普及してきた利用可能性にもかかわらず、IPMI、iLO、及びALOMなどのサービスプロセッサアーキテクチャは、これらのアーキテクチャが提案された時に予想されたほど広範囲に採用されるには至っていない。サービスプロセッサ技術に置き換えられるはずの外部アクセス及び監視システム(コンソールサーバ、KVMスイッチ、インテリジェント電力分散ユニットなど)の需要が、相変わらず上昇し続けている。したがって、従来のシステムのこのような限界を克服する、本発明によるサービスプロセッサゲートウェイシステムが必要となる。本発明の目的は、このことを克服することである。
【課題を解決するための手段】
【0010】
本願のサービスプロセッサゲートウェイは、コンピュータ、ネットワーキング及び通信設備に埋め込まれているサービスプロセッサ及び管理モジュールにアクセスするのに必要なイーサネット(登録商標)接続を物理的に統合しかつ論理的に保証することにより、サービスプロセッサ技術の配備及びオペレーションの費用を低下させ、複雑さを減少させる方法を有する。本発明は、特にこの機能のために設計されたハードウェアとソフトウェアとを組み合わせたシステムである。本発明は、複数のサービスプロセッサに必要なイーサネット(登録商標)接続性を提供し、同時に、それぞれのサービスプロセッサに専用ネットワークアドレスを割り振る、管理する、及び保証する必要性を省く。
【0011】
このシステムは、(交換型ではなく)ポイントツーポイントのイーサネット(登録商標)接続を提供し、例えば、IPMI、iLO、及びALOMコマンドラインインターフェース、又はウェブベースのプロトコルなどのサービスプロセッサによってサポートされ得る管理プロトコルの1つを使用して、ローカルでサービスプロセッサとのセッションを終了させることにより、上記の利点を達成する。サービスプロセッサゲートウェイは、複数のソースから管理情報を検索し処理し、次いで、統合された情報を、ワイドエリアネットワークを介して移送するのに適したよりハイエンドの安全なプロトコルを使用する単一のネットワーク接続を通じて、ローカル又はリモートの管理ゲートウェイ、エージェント又は人間オペレータに露出する。このプロトコルは、セキュアシェル(Secure Shell: SSH)、セキュアソケットレイヤ(Secure Socket Layer: SSL)、拡張マークアップ言語(XML)、セキュアハイパーテキストトランスファープロトコル(HTTPS)、又はデータセンタマークアップ言語(Data Center Markup Language: DCML)を含むことがあるが、これらに制限されるものではない。
【0012】
代表的なシステムの多くの交換イーサネット(登録商標)接続を管理するための費用及び複雑さが除かれ、サービスプロセッサプロトコルは、設備のラック内に保存されて、データネットワークに露出されることがない。したがって、このシステムはまた、ネットワークのセキュリティを大きく向上させる。
【0013】
したがって、本発明によれば、コンピュータネットワークのための帯域外管理システムが実現される。このシステムは、データ伝送インターフェースとは別個の専用イーサネット(登録商標)インターフェースを介してアクセス可能な、埋め込みサービスプロセッサ又は管理モジュールが装備された複数のネットワークノードを備える。サービスプロセッサゲートウェイは、特にそれぞれのネットワークノードに埋め込まれたサービスプロセッサに対するイーサネット(登録商標)接続性を提供するという目的のために設計され構築された計算機ハードウェアを備えた管理機器である。サービスプロセッサゲートウェイは、さらに、サービスプロセッサとのセッションを終了し、管理情報を抽出し、ワイドエリアネットワークを介する移送に適したプロトコルを使用してリモート管理エージェントにその情報を露出(exposes)する、管理機器上で動作するソフトウェアアプリケーションを有する。
【発明を実施するための最良の形態】
【0014】
本発明は、インターネットを介して、以下に記載する、特有の管理対象デバイス、プロトコル、及びインターフェースとインターフェースする、帯域外ネットワーク管理システムに特に適応可能である。このような状況において、本発明について記述する。しかしながら、本発明によるシステム及び方法は、既存インターフェース及びプロトコル、及び新しく開発されたインターフェース及びプロトコルと共に使用され得るので、より大きい有用性を有することが理解されよう。
【0015】
図1は、代表的な帯域外ネットワーク管理システム20を例示する図である。システム20は、1つ以上の帯域外監視/アクセスデバイス22を備え、これには、1つ以上のコンソールサーバデバイス221、1つ以上のキーボードビデオマウス(KVM)スイッチ222、1つ以上のインテリジェント電力分散ユニット(IPDU)223、及び(示されているように、IPMIなどのプロトコルを使用する)1つ以上のサービスプロセッサモニタ224が含まれるが、これらに制限されるものではない。これらのデバイス22のそれぞれが、通常、ハードウェア構成要素241及びソフトウェア構成要素242からなり、これらが、特定のデバイスのための様々な機能/オペレーションを遂行し、監視及びアクセス機能を実施する。この代表的なシステムにおいては、それぞれのデバイス22が、周知のRS−232プロトコルを使用して、リナックスサーバ及びユニックスサーバ及びネットワーク設備301を監視し管理するのに使用されるRS−232シリアルインターフェース251などの、アクセス用の特定の物理媒体25を使用して、特定の種類の管理対象デバイスを監視する。別の例として、KVMインターフェース252が、周知のKVMプロトコルを有するウィンドウズ(登録商標)(Windows(登録商標))サーバを監視するのに使用される。このシステムにおいては、それぞれのデバイス22が、ユニックスサーバ、ウィンドウズ(登録商標)(Windows(登録商標))サーバ、ブレード(Blade)サーバ及びブレードシャーシ(Blade chassis)、通信設備、ネットワークルータ、スイッチ、ロードバランサ、ネットワークに取り付けられた記憶装置及び遠隔アクセスサーバ装置を含むが、これらに制限されるものではない、特定の管理対象デバイス又は1群の管理対象デバイス30を監視かつ管理し、その群の管理対象デバイスについての管理データを生成する。示されているように、それぞれのデバイスが、RS−232プロトコル、KVMプロトコル、パワーデバイスプロトコル、IPMIプロトコルなどの、異なるプロトコルを利用し得る。それぞれのデバイス22によって生成される管理データは、それ自身の一意のプロトコル及びフォーマットを有する。したがって、それぞれのデバイス22は、帯域外管理データを統合するが、MRV、サイクレイズ社(Cyclades)、又はラントロニクス社(Lantronix)製のシリアルコンソールサーバ、アボセント社(Avocent)、サイクレイズ社、又はラリタン社(Raritan)製のKVMコンソール、Intel製のIPMIコンソール、IBM又はヒューレットパッカード社製のブレードコンピュータ監視ソフトウェアなどの、1つの種類の媒体を対象としている。本発明の主題である、(IPMI、HPのiLO、SunのALOM、ブレードコンピュータ管理モデルなどの)サービスプロセッサ224を使用して管理されるネットワークノードの場合には、監視デバイス22は、通常、接続用の物理媒体としてイーサネット(登録商標)媒体254を使用する。
【0016】
図2は、代表的なシステムにおいてサービスプロセッサが装備されたネットワークノードのための監視/アクセスシステムをより詳細に例示している。ハードウェア部品は、通常、データネットワークと共有される場合もあればされない場合もある、汎用イーサネット(登録商標)スイッチ32である。この交換機システムは、標準イーサネット(登録商標)媒体を使用してネットワークノードに埋め込まれた1つ以上のサービスプロセッサ36に接続する。示されているように、それぞれのサービスプロセッサが、スイッチ32に対してそれ自身のイーサネット(登録商標)接続を有する。この結果、上述したように、この代表的なシステムが制限される。それぞれのサービスプロセッサクライアントのソフトウェア部品は、通常、これもイーサネット(登録商標)交換機32に接続された汎用サーバ34上で動作する。サービスプロセッサを統合する構成要素としてのイーサネット(登録商標)アクセス媒体及び汎用サーバの選択は、アーキテクチャの設計者が行い、したがって、ユーザは、市場にある容易に利用可能な汎用ハードウェアを利用し得る。しかし、これまでに説明したように、この選択には予期せぬ費用がかかり、また技術的な障害が生じ、このため、市場においてサービスプロセッサ技術が広範囲に採用されることが妨げられる。したがって、サービスプロセッサが装備されたネットワークノードにアクセスする/監視するための、この代表的な方法は、いくつかの重大な制限及び欠点を有するが、本発明によるサービスプロセッサゲートウェイによって克服される。以下、これについてより詳細に記述する。
【0017】
図3は、この例においては1つ以上のサービスプロセッサ451、452及び453へのアクセスを提供する、本発明によるサービスプロセッサゲートウェイ40を組み込んだ帯域外ネットワーク管理システム39を例示している。しかし、本発明は、特定の数のサービスプロセッサ又は特定の種類のサービスプロセッサに制限されるものではない。サービスプロセッサゲートウェイ40は、ポイントツーポイントイーサネット(登録商標)接続461−n(イーサネット(登録商標)接続461、462、463がこの例に示されているが、本発明は、特定の数のポイントツーポイントイーサネット(登録商標)接続に制限されるものではない)を使用することにより、かつそれぞれのネットワークノードに埋め込まれたサービスプロセッサ451−nとのセッションをローカルで終了させることにより、イーサネット(登録商標)交換機によりこれまでに実現されている接続性と、サービスプロセッサクライアントソフトウェアのソフトウェア能力と、さらに以下に記述する追加のソフトウェア機能とを組み合わせる。
【0018】
サービスプロセッサゲートウェイ40は、それぞれのサービスプロセッサのためにネットワークアドレス(TCP/IPネットワークの場合にはIPアドレス)を割り振る必要性を省く。したがって、サービスプロセッサゲートウェイ40は、サービスプロセッサのすべてのための管理情報を統合し、その後、インターネットなどのネットワーク44との単一のネットワーク接続42を通じて帯域内データネットワークに再び接続し、次いで、代表的な管理ワークステーション29及び代表的なネットワーク管理システム28に接続し得る。特に、サービスプロセッサゲートウェイ40は、管理インターフェース及び媒体(管理データと通信するのに使用される媒体及びインターフェースとは別個の)を有し、これを介して、サービスプロセッサゲートウェイ40は、ネットワークと通信し得る。好ましい実施形態においては、サービスプロセッサゲートウェイ40のための管理インターフェース及び媒体は、(イーサネット(登録商標)、高速(Fast)イーサネット(登録商標)、ギガビット(Gigabit)イーサネット(登録商標)、10GBイーサネット(登録商標)媒体、又は将来開発される他の任意の種類のイーサネット(登録商標)を含むがこれらに制限されるものではない)イーサネット(登録商標)のタイプのインターフェースであり得る。サービスプロセッサゲートウェイ40はまた、サービスプロセッサゲートウェイ40を示されているネットワーク管理システム28に直接接続する、任意選択の帯域外接続46を有し得る。
【0019】
本発明によれば、サービスプロセッサゲートウェイ40は、1組のゲートウェイソフトウェアモジュールを備えたソフトウェア部分401をさらに有し、それぞれのモジュールが、以下に記述するゲートウェイソフトウェアの機能を実施する、複数のラインのコンピュータコードを有する。サービスプロセッサゲートウェイ40は、ソフトウェアモジュールを動作させる、公知の計算機リソースを有するハードウェア部分402をさらに有する。サービスプロセッサゲートウェイのハードウェア部分及びソフトウェア部分は共に、サービスプロセッサゲートウェイ機器として公知であり得る。サービスプロセッサゲートウェイ40は、様々な異なるサービスプロセッサプロトコルを有するサービスプロセッサゲートウェイに接続された、1つ以上の管理対象ネットワークノード431〜43Nからの管理データを統合し、以下により詳細に記述するように、サービスプロセッサのすべてからの管理データを共通のフォーマットに変換し、これにより、管理対象ネットワークノードの管理データが、ネットワーク44を介して、1つのネットワークセッション46上でローカル又はリモートの管理ワークステーション又はネットワーク管理システム28に伝送され得る。ゲートウェイソフトウェア401はまた、周知の技術を使用して管理データを暗号化し、次いで周知のプロトコルを使用して通信ネットワーク44を介してデータを通信する、モジュールを含み得る。ゲートウェイソフトウェア401はまた、周知のエンタープライズディレクトリシステムを使用してサービスプロセッサゲートウェイ管理インターフェースのユーザを認証するモジュールを含むことがある。したがって、サービスプロセッサゲートウェイ40は、すべての管理データのためのセキュリティプロトコルを実行(enforce)することができる。サービスプロセッサゲートウェイはまた、通信ネットワーク44を介する複数の異なるプロトコルを有する管理データの伝送を省くので、通信ネットワーク44を介して通信されるデータの総量が減少する。好ましい実施形態においては、サービスプロセッサゲートウェイ40からの、暗号化されている場合もあれば暗号化されていない場合もある管理データは、簡易型ネットワーク管理プロトコル(SNMP)、ウェブベースのプロトコル(HTTPS)、SSHプロトコル、セキュアソケットレイヤ(SSL)プロトコル、拡張マークアップ言語(XML)プロトコル、及び/又はデータセンタマークアップ言語(DCML)プロトコルなどの、任意の周知のプロトコルを使用して、ネットワーク管理システム28及び/又はワークステーション29に通信される。本発明に従って、サービスプロセッサゲートウェイからネットワーク管理システム28に管理データを通信するのに使用されるプロトコルは、本発明の範囲から逸脱することなく、任意のプロトコルに変更される/更新され得る。管理対象ネットワークノード431〜43Nから、イーサネット(登録商標)交換機システム41へ、さらにネットワーク44への、データのための代表的な一次接続ネットワークが、示されている。
【0020】
図4は、サービスプロセッサゲートウェイ40のハードウェア402アーキテクチャを例示する図である。サービスプロセッサゲートウェイは、複数のローカルイーサネット(登録商標)物理インターフェース50を有する(1〜nのインターフェースであり、それぞれのインターフェースが、サービスプロセッサゲートウェイ40に接続された特定のサービスプロセッサとの接続である)。好ましい実施形態においては、それぞれのインターフェースが、10/100BTイーサネット(登録商標)MAC/PHYインターフェースであり得る。イーサネット(登録商標)インターフェースは、サービスプロセッサゲートウェイとそれぞれのサービスプロセッサとの間にポイントツーポイント接続を提供し、伝統的なイーサネット(登録商標)スイッチのようなスイッチングファブリックにおいては相互接続(interconnect)されない。サービスプロセッサゲートウェイ40は、イーサネット(登録商標)接続及びホストのすべてを終了する、そして、代表的なシステムメモリ52内のサービスプロセッサゲートウェイソフトウェアを(動作させる)、CPUなどのプロセッサ51をさらに有する。ハードウェアは、図3に示されているように、サービスプロセッサゲートウェイをデータネットワークスイッチングファブリックに接続するのに使用される、別個のイーサネット(登録商標)インターフェース53をさらに有し得る。ローカルイーサネット(登録商標)インターフェース50は、伝統的なスイッチ又はルータのようなネットワークから直接見えず、したがって、サービスプロセッサゲートウェイ40は、データネットワークからサービスプロセッサ接続を物理的に切り離す。本発明によれば、異なるネットワークインターフェース、ディスク記憶容量などの他のハードウェア能力、及びPCI、PCMCIA、IDE、PCI−X、及びUSBなどの標準インターフェースを介したハードウェアの拡張が、本発明の範囲から逸脱することなく追加されることがある。
【0021】
図5は、本発明によるサービスプロセッサゲートウェイ40のソフトウェア401アーキテクチャを例示する図である。好ましい実施形態においては、図5に示されているソフトウェアのそれぞれのモジュールが、特定のモジュールの1つ又は複数の機能を実施するために、サービスプロセッサゲートウェイのハードウェアによって動作する、1つ以上のラインのコンピュータコードを有し得る。モジュールはまた、本発明の範囲内にある他の周知の方法で実施され得る。示されているように、ソフトウェアは、コマンドを送信し、管理データを受信するよう、イーサネット(登録商標)接続とインタラクト(interact)し得る。ソフトウェアはまた、ユーザインターフェースデータを送信/受信するよう、かつプロトコルインターフェースデータを送信/受信するよう、通信ネットワークとインタラクトし得る。イーサネット(登録商標)接続とインターフェースするために、ソフトウェアは、イーサネット(登録商標)デバイスドライバ60を含み得る。また、サービスプロセッサゲートウェイに接続された特定の種類のサービスプロセッサに特有の、1つ以上の接続モジュール61があり得る。たとえば、IPMIプロトコルを使用してサービスプロセッサとのセッションを終了する、インテリジェントプラットフォーム管理インターフェース(IPMI)モジュール611があり得る。IPMIプロトコルは、http://www.intel.com/design/servers/ipmi/(参照により本明細書に組み込まれている)に記載されている。Integrated Lights−Out(ILO)モジュール612が、iLOのコマンドラインインターフェースを使用して、iLOサービスプロセッサと通信する。ILOは、ヒューレットパッカード(Hewlett Packard)によって発布されたプロトコルであり、iLO管理インターフェースは、http://h18013.www1.hp.com/products/servers/management/(参照により本明細書に組み込まれている)に記載されている。Advanced Lights−Out管理(ALOM)モジュール613が、ALOMのコマンドラインインターフェースを使用して、ALOMサービスプロセッサと通信する。ALOMは、サンマイクロシステムズ(Sun Microsystems)によって発布されたプロトコルであり、ALOMプロトコルは、http://www.sun.com/servers/alom.html(参照により本明細書に組み込まれている)に記載されている。ウェブプロキシモジュール614が、ウェブベースのインターフェースを使用してサービスプロセッサ及び管理モジュールと通信し、CLIエンジン615が、コマンドラインインターフェースを与える、一般的な管理エージェントと通信する。ブレード統合(Blade Integration)モジュール616が、ブレードコンピュータ及び通信シャーシ内の管理モジュールと通信する。サービスプロセッサが発展し、新しいプロプラエタリプロトコル及び標準プロトコルが作られるにつれて、新しい接続モジュールが、本発明の範囲から逸脱することなく、ソフトウェアモジュール61に追加され得るので、サービスプロセッサゲートウェイが、任意の現在公知のサービスプロセッサ及びまだ開発されていないサービスプロセッサ及び他の管理技術を用いて使用され得る。
【0022】
接続モジュール61は、サービスプロセッサとのセッションを終了して、管理トラフィックをデータネットワークから切り離す。言い換えれば、特定のプロトコルのための、それぞれの接続モジュールが、サービスプロセッサゲートウェイでそのプロトコルを終了し、データを共通のフォーマットに変換する。その上、サービスプロセッサプロトコルは、データネットワークに伝播されない。さらに、イーサネット(登録商標)接続において使用されるネットワークアドレスは、ローカルの範囲のみを有し、データネットワークに露出されないので、ネットワークアドレス(TCP/IPネットワークにおいてはIPアドレス)が、データネットワーク内に用意される又はそれぞれのサービスプロセッサのためのデータネットワークのマネージャにより特に保証(secure)される必要がない。共通のサービスプロセッサプロトコルインターフェースモジュール62が、接続モジュール61の上に載っており、サービスプロセッサゲートウェイの、接続モジュール61と1つ以上のアプリケーションモジュール63との間に、一様なインターフェースを提供することがある。
【0023】
アプリケーションモジュール63は、異なる種類の機能を有し、したがって、サービスプロセッサから収集されたデータが、統合された意味のある形でローカル又はリモートのユーザ及び管理システムに示され得る。したがって、アプリケーションモジュールは、以下により詳細に記述するように、プロトコルゲートウェイとして働き、かつサービスプロセッサユーザインターフェースに直接アクセスを提供する、アクセスゲートウェイモジュール631を含み得る。また、以下により詳細に記述するように、一様でありかつプラットフォームから独立したコマンドセットをユーザに提示し、かつこれらの一様なコマンドをその種類のサービスプロセッサに特有なコマンドに翻訳する、コマンド/制御モジュール632があり得る。また、以下により詳細に記述するように、データレポジトリ634内のデータを収集し、かつ統合データのレポート、例外通知、及び視覚化をユーザに提供する、レポーティング/事象管理モジュール633もあり得る。サービスプロセッサ及び管理技術が発展するにつれて、他のアプリケーションモジュールが、本発明の範囲から逸脱することなく、アーキテクチャに追加され得る。
【0024】
このソフトウェアは、アプリケーションモジュール63の上に載っており、かつアプリケーションモジュール63と1つ以上のサービスモジュール65との間に一様なインターフェースを提供する、ユーザ及びアプリケーションプロトコルインターフェースモジュール64をさらに含み得る。サービスモジュール65は、データネットワークを介した伝送に適した標準プロトコルを使用して、ヒューレットパッカード社(HP(登録商標))のオープンビュー(OpenView)、IBM社(IBM(登録商標))のチボリ(Tivoli)、BMC社(BMC(登録商標))のパトロール(Patrol)、及びCA社(CA(登録商標))のユニセンター(Unicenter)などの管理ステーション及び/又は管理システムで、遠隔地にいる人間ユーザにサービスを提供する。以下により詳細に記述するように、サービスモジュールを通じて、遠隔ユーザ及び管理システムが、アプリケーションモジュールによって提供されるサービスへのアクセスを得る。たとえば、サービスモジュール65は、周知のSSHクライアントを使用して、サービスプロセッサゲートウェイにアクセスするユーザにセキュアシェルサービス(Secure Shell service)を提供するSSHサービスモジュール651を含み得る。Webブラウザを使用して、サービスプロセッサゲートウェイにアクセスするユーザにウェブアクセスを提供するHTTPSサービスモジュール652もあり得る。周知のデータセンタマークアップ言語(DCML)を使用して、管理システムにサービスプロセッサゲートウェイアクセスを提供するDCMLサービスモジュール653もあり得る。簡易型ネットワーク管理プロトコル(SNMP)を使用して、管理システムにサービスプロセッサゲートウェイアクセスを提供するSNMPサービスモジュール654もあり得る。ネットワーク管理技術が発展するにつれて、本発明の範囲から逸脱することなく、新しいサービスモジュールがアーキテクチャに追加され得るので、本発明は、現在公知の又はまだ開発されていないネットワーク管理技術を取り扱うよう拡張され得る。ソフトウェアはさらに、TCP/IPなどの標準ネットワーキングプロトコルを使用して、サービスプロセッサゲートウェイをデータネットワークに接続する、サービスモジュール65の上に置かれた、ネットワークインターフェースモジュール66を含み得る。以下、ゲートウェイアクセスモジュール及びコマンド/制御モジュールのオペレーションについて、より詳細に記述する。
【0025】
図6は、本発明に従って、図5に示されているアクセスゲートウェイモジュールにおいて実施されるゲートウェイアクセスのための方法70を例示する流れ図である。アクセスゲートウェイモジュールは、プロトコルゲートウェイとして働き、サービスプロセッサユーザインターフェースへの直接アクセスを提供するので、アクセスゲートウェイモジュールは、アクセス及びサービスプロセッサユニットからのプロトコルを変換し、ユーザを、コマンドラインインターフェース、ウェブベースなどであり得るサービスプロセッサインターフェースにトランスペアレントにインタラクトさせる。したがって、ステップ72では、ユーザは、モジュールとの接続を要求する。ステップ74で、ユーザは、公知のエンタープライズディレクトリシステムを使用するなどによって認証される。(ステップ76でテストされた時に)ユーザが認証されないと、方法はステップ82に進み、ここで、接続が閉じられ、方法が完了する。ユーザが認証されると、ステップ78で、モジュールは、ターゲット(目標)のタイプに従って接続モジュールに接続し、特定のサービスプロセッサとの所望のインタラクションを実行する。インタラクションが完了すると、方法は、ステップ80でユーザが切断したか否かを判断し、次いで、ユーザが切断した時にステップ82で接続を閉じる。
【0026】
図7は、本発明に従って、図5に示されているコマンド/制御モジュール内で実施されるコマンド/制御変換のための方法90をより詳細に例示する流れ図である。このモジュールは、一様でありかつプラットフォームから独立したコマンドセットをユーザに提示し、その一様なコマンドをそれぞれの種類のサービスプロセッサのための特定のフォーマットを有するコマンドに翻訳する。したがって、ステップ92で、ユーザは、モジュールとの接続を要求する。ステップ94で、ユーザは、公知のエンタープライズディレクトリシステムを使用するなどによって認証される。(ステップ96でテストされた時に)ユーザが認証されないと、方法はステップ104に進み、ここで、接続が閉じられ、方法が完了する。ユーザが認証されると、ステップ98で、モジュールは、ゲートウェイアクセスモジュールからコマンドを得て、ステップ100で、そのコマンドを特定のサービスプロセッサのための特定のフォーマットに変換し、そのコマンドを適切な接続モジュールを通じて適切なサービスプロセッサに送信し、したがって、そのコマンドはサービスプロセッサに通信される。コマンドが完了すると、方法は、ユーザがステップ102で切断したか否かを判断し、次いで、ユーザが切断した時にステップ104で接続を閉じる。サービスプロセッサが装備された複数のネットワークノードを管理するために、本発明が如何に使用され得るかをより良く理解するために、以下にいくつかの例を示す。
【0027】
人間オペレータ−トランスペアレントなアクセス
図3を参照すると、管理ワークステーション29の人間オペレータが、サービスプロセッサ45に直接インタラクトする必要がある場合、SSHクライアント又はWebブラウザのいずれかを使用して、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。図5を参照すると、ユーザ接続は、これに対応するサービスモジュール65(ユーザによって選択されるプロトコルに依存して、SSH又はHTTPS)によってサービスされ、アクセスゲートウェイモジュール631にルーティング(route)され、次いで、このモジュールが、選択されたサービスプロセッサによって利用される特有のプロトコルに依存して、適切な接続モジュール61を使用して、サービスプロセッサとの接続をオープンする。これについては、図6に、アクセスゲートウェイモジュールによって動作するプロセスについてさらに詳細に記述している。次いで、ユーザは、サービスプロセッサゲートウェイを通じてサービスプロセッサとトランスペアレントにインタラクトできるようになり、次いで、プロトコルが変換され、管理ワークステーションスクリーン上でサービスプロセッサインターフェースがエミュレート(emulate)される。
【0028】
プロトコルの変換が如何に達成されるかは、アクセスプロトコルと接続プロトコルとの組合せに依存する。通常、3種類のプロトコルインターフェースがある。即ち、テキストベースのコマンド構文を使用するコマンドラインインターフェース(CLI)、通常Webブラウザによりグラフィカルインタラクションを提示するグラフィカルユーザインターフェース(GUI)、又は管理システムにより適したプロトコルベースのインターフェースである。一例として、人間オペレータがSSHプロトコル(テキストセッションプロトコル)を使用して、サービスプロセッサゲートウェイにアクセスし、目標サービスプロセッサがCLIを利用する場合、アクセスゲートウェイモジュールは、これを人間オペレータに転送する前に、単にサービスプロセッサ通信からテキストを抽出し、これをSSHプロトコル内にカプセル化する。これは、周知の変換プロセスである。人間オペレータがWebブラウザを有するHTTPSプロトコルを使用していた場合、アクセスゲートウェイモジュールは、Webブラウザ上に表示されるウィンドウにテキストセッションを提示する。
【0029】
人間オペレータ又は管理システム−コマンド及び制御
図3を参照すると、管理ワークステーション29又は管理システム28の人間オペレータが、1つ以上のサービスプロセッサ451−nを必要とする管理アクションを遂行する必要がある場合、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。人間オペレータは、通常、SSHクライアント又はWebブラウザを使用する。管理システムは、通常、SNMP又はDCMLなどのプロトコルを使用する。一例として、ユーザによる所望の管理アクションは、一群のネットワークノードのパワーサイクリングである。他の可能なアクションの例に、温度の読取りを検索すること、システムステータス情報又は1つの又は一群のネットワークノードのパワーを検索することがある。
【0030】
図5を参照すると、接続は、これに対応するサービスモジュール(人間オペレータについてはSSH又はHTTPS、又は管理システムについてはDCML又はSNMP)によってサービスされ、コマンド/制御モジュール632にルーティングされ、次いで、このモジュールが、適切な接続モジュール61を使用して、選択されたサービスプロセッサとの接続をオープンする。コマンド/制御モジュールは、一様なインターフェースを(コマンドライン、ウェブ、又はプロトコルベースのインターフェースを使用して)人間オペレータ又は管理システムに提供し、コマンド又は制御要求をとり、これらを適切な接続モジュールに渡すことができるので、コマンドは、それぞれの特有の種類のサービスプロセッサのためのプロトコルに適切に変換される。これについては、図7に、コマンド/制御モジュールによって動作するプロセスについてさらに詳細に記述されている。
【0031】
コマンドの変換が如何に達成されるかは、アクセスプロトコルと接続プロトコルとの組合せに依存する。一例として、人間オペレータがWebブラウザを有するサービスプロセッサゲートウェイにアクセスする場合、すべてのネットワークノードを表示するグラフィカルスクリーンが表示され得る。ユーザは、周知のグラフィカルユーザインターフェース方法を使用して、一群のネットワークノードを選択し、次いで、選択されたすべてのネットワークノードがパワーサイクルされるよう、「パワーサイクル」ボタンをクリックすることができる。次いで、コマンド/制御モジュールが、それぞれのサービスプロセッサと通信するのに適したプロトコルを使用して、「パワーサイクル」コマンドを出す。
【0032】
人間オペレータ又は管理システム−レポーティング及び事象管理
図3を参照すると、管理ワークステーション29又は管理システム28の人間オペレータが、統合された管理事象情報を得る、又は1つ以上のサービスプロセッサ451−nを必要とする管理事象の活動通知(active notification)を要求する必要がある場合、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。人間オペレータは、通常、SSHクライアント又はWebブラウザを使用する。管理システムは、通常、SNMP又はDCMLなどのプロトコルを使用する。レポーティング/事象管理アクションの一例に、過去24時間にネットワークノードに影響を及ぼした、すべてのオペレーティングシステム故障のリストを得ることがある。レポーティング/事象管理アクションの他の例に、任意の管理対象ノードの温度が一定の閾値以上になった場合、又は現在通常のオペレーションでないすべてのシステムのリストを要求した場合に、将来の通知を要求することがある。
【0033】
図5を参照すると、接続は、これに対応するサービスモジュール(人間オペレータについてはSSH又はHTTPS、又は管理システムについてはDCML又はSNMP)によってサービスされ、レポーティング/事象管理モジュール633にルーティングされる。このモジュールは、適切な接続モジュールを通じてネットワークデバイスを常に監視しており、データレポジトリ634内に管理データを蓄積している。レポーティング/事象管理モジュールは、その場で管理データを収集し、統合されたレポート及び活動事象管理をローカル又はリモートの人間オペレータ又は管理システムに提供する能力を実現する。数組の大型ネットワークノードの自動管理は、大型データセンタにおける主要機能である。
【0034】
これまで、本発明の特定の実施形態を参照しながら記述してきたが、当業者は、本発明の原理及び趣旨から逸脱することなく、この実施形態の変更が行われることがあることを理解されよう。本発明の範囲は、頭記の特許請求の範囲によって定義されるものである。
【図面の簡単な説明】
【0035】
【図1】代表的な帯域外ネットワーク管理システムを例示する図である。
【図2】代表的な帯域外ネットワーク管理システム内のサービスプロセッサのためのアクセス方法を例示する図である。
【図3】1つ以上のサービスプロセッサへのアクセスを提供する、本発明によるサービスプロセッサゲートウェイを組み込んだ帯域外ネットワーク管理システムを例示する図である。
【図4】本発明によるサービスプロセッサゲートウェイのハードウェアアーキテクチャの一例を例示するブロック図である。
【図5】本発明によるサービスプロセッサゲートウェイの好ましい実施形態のソフトウェアアーキテクチャを例示する図である。
【図6】本発明に従った、図5に示されているアクセスゲートウェイモジュール内で実施されるゲートウェイアクセスのための方法を例示するフローチャートである。
【図7】本発明に従った、図5に示されているコマンド/制御モジュール内で実施されるコマンド/制御変換のための方法をより詳細に例示するフローチャートである。
【技術分野】
【0001】
本発明は、コンピュータネットワーク管理の分野に関し、より詳細には、埋め込みサービスプロセッサ及び/又は管理モジュールが装備された、コンピュータシステム、ネットワーキングシステム、及び通信システムにアクセスする及び管理するための方法に関する。
【背景技術】
【0002】
情報技術の専門家は、一般に、コンピュータサーバ、ネットワーク機器(appliances)、セキュリティ機器、記憶装置、及び通信設備(equipment)などのネットワークノードのオペレーションを監視する及び復元するために、ネットワーク管理ツールを使用する。これらの代表的なネットワーク管理ツールにより、ITの専門家は、ネットワークノードのオペレーションを遠隔で管理する及び復元することができる。通常、これらのネットワーク管理ツールは、2つのカテゴリ、即ち、帯域内(in-band)管理ツールと帯域外(out-of-band)管理ツールとに分けられる。帯域内管理ツールは、データネットワークに接続するノードによって利用されるのと同じネットワークインターフェースを使用して、管理対象ネットワークノードと通信する。帯域外管理ツールは、もっぱら管理用に使用される(シリアルコンソールポートなどの)別個のアクセス媒体を使用して、管理対象ネットワークノードと通信する。帯域外管理ツールにより、ネットワークノードがネットワーク接続性を失っている場合にも、監視者は、管理対象ネットワークノードにアクセスすることができる。
【0003】
帯域内管理ツールは、一般に大型ネットワークを管理するのに使用される、簡易型ネットワーク管理プロトコル(Simple Network Management Protocol: SNMP)などの、ネットワークプロトコルを使用する。ネットワークプロトコルを使用する、市販の帯域内管理ツールのいくつかの例に、ヒューレットパッカード社(HP(登録商標))のオープンビュー(OpenView)、IBM社(IBM(登録商標))のチボリ(Tivoli)、BMC社(BMC(登録商標))のパトロール(Patrol)、及びCA社(CA(登録商標))のユニセンター(Unicenter)などの製品がある。しかし、これらの帯域内ツールは、そのネットワークノードに関連付けられたデータネットワークが故障するたびに又は管理対象デバイスがネットワーク接続性を失うたびに、有効でなくなる。したがって、これらの帯域内ネットワーク管理ツールは、ネットワークアドミニストレータをデッドロック状態にする(in a deadlock position)(たとえば、デバイスが故障し、データネットワークがダウンし、ITの専門家がそのデータネットワークダウンのためにデバイスに到達し得ない場合)。このデッドロック状態となる共通の原因の例には、ソフトウェアのクラッシュ、構成(configuration)エラー、電力サージによるハードウェアの誤動作、ファームウェアをグレードアップする必要がある場合、及び/又はネットワーク故障、が含まれる。したがって、ネットワークノードがデータネットワークから切断される故障が起きた場合には、人間オペレータが、そのネットワークノードの場所まで行って、管理ポートに直接接続された端末を通じて故障している設備の部品とインタラクト(interact)し得る、又は物理制御スイッチを作動させて、故障している設備の機能を復元し得る必要がある。人間オペレータがネットワークノードの場所まで行くには費用がかかり、また人間オペレータにより長い時間が費やされ、データネットワークが長い間ダウンタイムとなるため、業務全体の損失となる。
【0004】
帯域内ネットワーク管理ツールのこのような限界を克服するために、人間オペレータが実際に事故が発生した場所まで行く必要のない、帯域外管理ポートへの遠隔アクセス、及び、例えばパワーサイクリング、温度及び他のヘルスインディケータ(health indicators)の監視などの、ネットワークノードの他の制御機能を使用可能にするシステムが作られた。通常、帯域外アクセスのための物理インターフェースは、シリアルコンソール、KVMポート、電源回路、温度及び湿度プローブ、及び/又は遠隔アクチュエータを含む。これらの物理インターフェースへの遠隔アクセスを提供する監視及びアクセスシステムの例には、コンソールサーバ(Console Servers)、KVMスイッチ、及びインテリジェント電力分散ユニット(Intelligent Power Distribution Units)が含まれる。帯域外アクセスのための異なる接続媒体を使用して、独立した代替ネットワークを構築することは、効果的ではあるが、データセンタを構築する費用を増加させる。
【0005】
物理インターフェースを標準化し、かつ帯域外アクセスの費用を減少させるために、サーバ及び通信ハードウェアの製造業者は、例えば、独立型サーバマザーボード、通信シャーシ(chassis)、及びブレードコンピュータなどのハードウェアプラットフォーム内にサービスプロセッサを設置するようになってきた。サービスプロセッサ(ベースボード管理カード(Baseboard Management Cards: BMCs)と呼ばれることもある)は、スタンドアロン(stand-alone)サーバのシステムマザーボードに埋め込まれた小型プロセッサ、アドオンドーターカード(add-on daughter card)、又はブレード(blade)コンピュータ又は通信システムシャーシなどの大型システム内に設置されたより高度化された(sophisticated)管理モジュールの形態をとり得る。サービスプロセッサは、ホスト設備のモジュールがロックアップした場合や、構成エラー、ハードウェア又はソフトウェア故障によりデータネットワークから切断された場合にも、活動状態のままであり、アクセス可能であるよう設計される。サービスプロセッサは、遠隔パワーサイクリング、遠隔診断、センサの読取り、システムリセット、システムコンソール、及びKVMアクセスなどの機能をサポートし得る。
【0006】
業界コンソーシアムが、サービスプロセッサと通信するための、インテリジェントプラットフォーム管理インターフェース(Intelligent Platform Management Interface: IPMI)と呼ばれる標準インターフェースを開発してきた。他のベンダも、同様のプロプラエタリ(proprietary)インターフェースを作ってきた。たとえば、ヒューレットパッカード社(登録商標)は、Integraed Lights−Out(iLO)インターフェースを有し、サンマイクロシステムズ社(Sun Microsystems)(登録商標)は、Advanced Lights Outモジュール(ALOM)インターフェースを有する。より高度化されたサービスプロセッサは、多様な他のインターフェース及びネットワークプロトコルをサポートし得る。これらのインターフェースのためのプロトコルは周知である。これらの帯域外管理インターフェースは、TCP/IPより上位のプロトコルを定義し、管理情報を移送するために共通のイーサネット(登録商標)媒体を利用する。イーサネット(登録商標)媒体については、これらのシステムの設計者により、大型データセンタ内に既に配備されている構造化された配線システムとの互換性を有するようなものが選択され、その配備及びサーバプロセッサ技術の使用が容易化される。
【0007】
サービスプロセッサは、場合によっては、ネットワークノードとデータネットワークとの接続に使用されるのと同じイーサネット(登録商標)ポートを共有し得る(これは、「側波帯(side-band)」接続と呼ばれることもある)。データネットワークと同じネットワーク接続を共有することは、良い解決方法ではない。何故なら、データネットワーク接続性が失われた場合に、遠隔アクセスを与えるという本来の目的が達せられないからである。したがって、殆どのサービスプロセッサは、帯域外管理専用の、かつ一次(primary)データネットワーク接続から独立したイーサネット(登録商標)ポートと共に配備される。
【0008】
しかしながら、配備にかかる高い費用、及び管理対象ネットワークノード毎に第2のイーサネット(登録商標)を接続することによる管理オーバーヘッド、その媒体を選択した時には予期しなかった障害(obstacle)により、サービスプロセッサ技術の採用の伸びが鈍化してきている。たとえば、データネットワーク内のイーサネット(登録商標)交換機に接続されたあらゆるデバイスには、一意のネットワークアドレス(TCP/IPネットワークにおいてはIPアドレス)が必要である。通常、1つの組織が使用するのに利用可能なネットワークアドレスの数は制限されており、ネットワークアドレスが2倍必要になることは、重大な問題を引き起こす。これらのネットワークアドレスは、ファイアウォールへのアクセスポリシーを設定及び維持し、ネットワークの複雑さを増加させかつ多量の作業を必要とするタスク及び繰り返し発生する費用を設定及び維持することにより、管理され適切に保証されなければならない。代表的なデータセンタにおいて利用可能なイーサネット(登録商標)LAN接続は、データトラフィックを運び、かつ管理アプリケーションが必要とする以上にはるかに大きいキャパシティ及び帯域幅を有する交換設備(switching equipment)を使用するように大きさ(dimension)が決められ、したがって、配備費用がさらに増加する。サービスプロセッサによって使用される低レベルの管理プロトコルをイーサネット(登録商標)交換機に露出することにより、このアーキテクチャはまた、システムに対して過度な制御を得ようとする個人による攻撃に対する帯域外管理システムの脆弱性(vulnerability)を増加し得る。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって、配備費用及びセキュリティについての懸念が、非常に高くなり、サービスプロセッサ技術を採用する場合の大きな障害となっている。その証拠として、夥しい数の機能、業界の主要ベンダによるサポート、及びここ数年の広く普及してきた利用可能性にもかかわらず、IPMI、iLO、及びALOMなどのサービスプロセッサアーキテクチャは、これらのアーキテクチャが提案された時に予想されたほど広範囲に採用されるには至っていない。サービスプロセッサ技術に置き換えられるはずの外部アクセス及び監視システム(コンソールサーバ、KVMスイッチ、インテリジェント電力分散ユニットなど)の需要が、相変わらず上昇し続けている。したがって、従来のシステムのこのような限界を克服する、本発明によるサービスプロセッサゲートウェイシステムが必要となる。本発明の目的は、このことを克服することである。
【課題を解決するための手段】
【0010】
本願のサービスプロセッサゲートウェイは、コンピュータ、ネットワーキング及び通信設備に埋め込まれているサービスプロセッサ及び管理モジュールにアクセスするのに必要なイーサネット(登録商標)接続を物理的に統合しかつ論理的に保証することにより、サービスプロセッサ技術の配備及びオペレーションの費用を低下させ、複雑さを減少させる方法を有する。本発明は、特にこの機能のために設計されたハードウェアとソフトウェアとを組み合わせたシステムである。本発明は、複数のサービスプロセッサに必要なイーサネット(登録商標)接続性を提供し、同時に、それぞれのサービスプロセッサに専用ネットワークアドレスを割り振る、管理する、及び保証する必要性を省く。
【0011】
このシステムは、(交換型ではなく)ポイントツーポイントのイーサネット(登録商標)接続を提供し、例えば、IPMI、iLO、及びALOMコマンドラインインターフェース、又はウェブベースのプロトコルなどのサービスプロセッサによってサポートされ得る管理プロトコルの1つを使用して、ローカルでサービスプロセッサとのセッションを終了させることにより、上記の利点を達成する。サービスプロセッサゲートウェイは、複数のソースから管理情報を検索し処理し、次いで、統合された情報を、ワイドエリアネットワークを介して移送するのに適したよりハイエンドの安全なプロトコルを使用する単一のネットワーク接続を通じて、ローカル又はリモートの管理ゲートウェイ、エージェント又は人間オペレータに露出する。このプロトコルは、セキュアシェル(Secure Shell: SSH)、セキュアソケットレイヤ(Secure Socket Layer: SSL)、拡張マークアップ言語(XML)、セキュアハイパーテキストトランスファープロトコル(HTTPS)、又はデータセンタマークアップ言語(Data Center Markup Language: DCML)を含むことがあるが、これらに制限されるものではない。
【0012】
代表的なシステムの多くの交換イーサネット(登録商標)接続を管理するための費用及び複雑さが除かれ、サービスプロセッサプロトコルは、設備のラック内に保存されて、データネットワークに露出されることがない。したがって、このシステムはまた、ネットワークのセキュリティを大きく向上させる。
【0013】
したがって、本発明によれば、コンピュータネットワークのための帯域外管理システムが実現される。このシステムは、データ伝送インターフェースとは別個の専用イーサネット(登録商標)インターフェースを介してアクセス可能な、埋め込みサービスプロセッサ又は管理モジュールが装備された複数のネットワークノードを備える。サービスプロセッサゲートウェイは、特にそれぞれのネットワークノードに埋め込まれたサービスプロセッサに対するイーサネット(登録商標)接続性を提供するという目的のために設計され構築された計算機ハードウェアを備えた管理機器である。サービスプロセッサゲートウェイは、さらに、サービスプロセッサとのセッションを終了し、管理情報を抽出し、ワイドエリアネットワークを介する移送に適したプロトコルを使用してリモート管理エージェントにその情報を露出(exposes)する、管理機器上で動作するソフトウェアアプリケーションを有する。
【発明を実施するための最良の形態】
【0014】
本発明は、インターネットを介して、以下に記載する、特有の管理対象デバイス、プロトコル、及びインターフェースとインターフェースする、帯域外ネットワーク管理システムに特に適応可能である。このような状況において、本発明について記述する。しかしながら、本発明によるシステム及び方法は、既存インターフェース及びプロトコル、及び新しく開発されたインターフェース及びプロトコルと共に使用され得るので、より大きい有用性を有することが理解されよう。
【0015】
図1は、代表的な帯域外ネットワーク管理システム20を例示する図である。システム20は、1つ以上の帯域外監視/アクセスデバイス22を備え、これには、1つ以上のコンソールサーバデバイス221、1つ以上のキーボードビデオマウス(KVM)スイッチ222、1つ以上のインテリジェント電力分散ユニット(IPDU)223、及び(示されているように、IPMIなどのプロトコルを使用する)1つ以上のサービスプロセッサモニタ224が含まれるが、これらに制限されるものではない。これらのデバイス22のそれぞれが、通常、ハードウェア構成要素241及びソフトウェア構成要素242からなり、これらが、特定のデバイスのための様々な機能/オペレーションを遂行し、監視及びアクセス機能を実施する。この代表的なシステムにおいては、それぞれのデバイス22が、周知のRS−232プロトコルを使用して、リナックスサーバ及びユニックスサーバ及びネットワーク設備301を監視し管理するのに使用されるRS−232シリアルインターフェース251などの、アクセス用の特定の物理媒体25を使用して、特定の種類の管理対象デバイスを監視する。別の例として、KVMインターフェース252が、周知のKVMプロトコルを有するウィンドウズ(登録商標)(Windows(登録商標))サーバを監視するのに使用される。このシステムにおいては、それぞれのデバイス22が、ユニックスサーバ、ウィンドウズ(登録商標)(Windows(登録商標))サーバ、ブレード(Blade)サーバ及びブレードシャーシ(Blade chassis)、通信設備、ネットワークルータ、スイッチ、ロードバランサ、ネットワークに取り付けられた記憶装置及び遠隔アクセスサーバ装置を含むが、これらに制限されるものではない、特定の管理対象デバイス又は1群の管理対象デバイス30を監視かつ管理し、その群の管理対象デバイスについての管理データを生成する。示されているように、それぞれのデバイスが、RS−232プロトコル、KVMプロトコル、パワーデバイスプロトコル、IPMIプロトコルなどの、異なるプロトコルを利用し得る。それぞれのデバイス22によって生成される管理データは、それ自身の一意のプロトコル及びフォーマットを有する。したがって、それぞれのデバイス22は、帯域外管理データを統合するが、MRV、サイクレイズ社(Cyclades)、又はラントロニクス社(Lantronix)製のシリアルコンソールサーバ、アボセント社(Avocent)、サイクレイズ社、又はラリタン社(Raritan)製のKVMコンソール、Intel製のIPMIコンソール、IBM又はヒューレットパッカード社製のブレードコンピュータ監視ソフトウェアなどの、1つの種類の媒体を対象としている。本発明の主題である、(IPMI、HPのiLO、SunのALOM、ブレードコンピュータ管理モデルなどの)サービスプロセッサ224を使用して管理されるネットワークノードの場合には、監視デバイス22は、通常、接続用の物理媒体としてイーサネット(登録商標)媒体254を使用する。
【0016】
図2は、代表的なシステムにおいてサービスプロセッサが装備されたネットワークノードのための監視/アクセスシステムをより詳細に例示している。ハードウェア部品は、通常、データネットワークと共有される場合もあればされない場合もある、汎用イーサネット(登録商標)スイッチ32である。この交換機システムは、標準イーサネット(登録商標)媒体を使用してネットワークノードに埋め込まれた1つ以上のサービスプロセッサ36に接続する。示されているように、それぞれのサービスプロセッサが、スイッチ32に対してそれ自身のイーサネット(登録商標)接続を有する。この結果、上述したように、この代表的なシステムが制限される。それぞれのサービスプロセッサクライアントのソフトウェア部品は、通常、これもイーサネット(登録商標)交換機32に接続された汎用サーバ34上で動作する。サービスプロセッサを統合する構成要素としてのイーサネット(登録商標)アクセス媒体及び汎用サーバの選択は、アーキテクチャの設計者が行い、したがって、ユーザは、市場にある容易に利用可能な汎用ハードウェアを利用し得る。しかし、これまでに説明したように、この選択には予期せぬ費用がかかり、また技術的な障害が生じ、このため、市場においてサービスプロセッサ技術が広範囲に採用されることが妨げられる。したがって、サービスプロセッサが装備されたネットワークノードにアクセスする/監視するための、この代表的な方法は、いくつかの重大な制限及び欠点を有するが、本発明によるサービスプロセッサゲートウェイによって克服される。以下、これについてより詳細に記述する。
【0017】
図3は、この例においては1つ以上のサービスプロセッサ451、452及び453へのアクセスを提供する、本発明によるサービスプロセッサゲートウェイ40を組み込んだ帯域外ネットワーク管理システム39を例示している。しかし、本発明は、特定の数のサービスプロセッサ又は特定の種類のサービスプロセッサに制限されるものではない。サービスプロセッサゲートウェイ40は、ポイントツーポイントイーサネット(登録商標)接続461−n(イーサネット(登録商標)接続461、462、463がこの例に示されているが、本発明は、特定の数のポイントツーポイントイーサネット(登録商標)接続に制限されるものではない)を使用することにより、かつそれぞれのネットワークノードに埋め込まれたサービスプロセッサ451−nとのセッションをローカルで終了させることにより、イーサネット(登録商標)交換機によりこれまでに実現されている接続性と、サービスプロセッサクライアントソフトウェアのソフトウェア能力と、さらに以下に記述する追加のソフトウェア機能とを組み合わせる。
【0018】
サービスプロセッサゲートウェイ40は、それぞれのサービスプロセッサのためにネットワークアドレス(TCP/IPネットワークの場合にはIPアドレス)を割り振る必要性を省く。したがって、サービスプロセッサゲートウェイ40は、サービスプロセッサのすべてのための管理情報を統合し、その後、インターネットなどのネットワーク44との単一のネットワーク接続42を通じて帯域内データネットワークに再び接続し、次いで、代表的な管理ワークステーション29及び代表的なネットワーク管理システム28に接続し得る。特に、サービスプロセッサゲートウェイ40は、管理インターフェース及び媒体(管理データと通信するのに使用される媒体及びインターフェースとは別個の)を有し、これを介して、サービスプロセッサゲートウェイ40は、ネットワークと通信し得る。好ましい実施形態においては、サービスプロセッサゲートウェイ40のための管理インターフェース及び媒体は、(イーサネット(登録商標)、高速(Fast)イーサネット(登録商標)、ギガビット(Gigabit)イーサネット(登録商標)、10GBイーサネット(登録商標)媒体、又は将来開発される他の任意の種類のイーサネット(登録商標)を含むがこれらに制限されるものではない)イーサネット(登録商標)のタイプのインターフェースであり得る。サービスプロセッサゲートウェイ40はまた、サービスプロセッサゲートウェイ40を示されているネットワーク管理システム28に直接接続する、任意選択の帯域外接続46を有し得る。
【0019】
本発明によれば、サービスプロセッサゲートウェイ40は、1組のゲートウェイソフトウェアモジュールを備えたソフトウェア部分401をさらに有し、それぞれのモジュールが、以下に記述するゲートウェイソフトウェアの機能を実施する、複数のラインのコンピュータコードを有する。サービスプロセッサゲートウェイ40は、ソフトウェアモジュールを動作させる、公知の計算機リソースを有するハードウェア部分402をさらに有する。サービスプロセッサゲートウェイのハードウェア部分及びソフトウェア部分は共に、サービスプロセッサゲートウェイ機器として公知であり得る。サービスプロセッサゲートウェイ40は、様々な異なるサービスプロセッサプロトコルを有するサービスプロセッサゲートウェイに接続された、1つ以上の管理対象ネットワークノード431〜43Nからの管理データを統合し、以下により詳細に記述するように、サービスプロセッサのすべてからの管理データを共通のフォーマットに変換し、これにより、管理対象ネットワークノードの管理データが、ネットワーク44を介して、1つのネットワークセッション46上でローカル又はリモートの管理ワークステーション又はネットワーク管理システム28に伝送され得る。ゲートウェイソフトウェア401はまた、周知の技術を使用して管理データを暗号化し、次いで周知のプロトコルを使用して通信ネットワーク44を介してデータを通信する、モジュールを含み得る。ゲートウェイソフトウェア401はまた、周知のエンタープライズディレクトリシステムを使用してサービスプロセッサゲートウェイ管理インターフェースのユーザを認証するモジュールを含むことがある。したがって、サービスプロセッサゲートウェイ40は、すべての管理データのためのセキュリティプロトコルを実行(enforce)することができる。サービスプロセッサゲートウェイはまた、通信ネットワーク44を介する複数の異なるプロトコルを有する管理データの伝送を省くので、通信ネットワーク44を介して通信されるデータの総量が減少する。好ましい実施形態においては、サービスプロセッサゲートウェイ40からの、暗号化されている場合もあれば暗号化されていない場合もある管理データは、簡易型ネットワーク管理プロトコル(SNMP)、ウェブベースのプロトコル(HTTPS)、SSHプロトコル、セキュアソケットレイヤ(SSL)プロトコル、拡張マークアップ言語(XML)プロトコル、及び/又はデータセンタマークアップ言語(DCML)プロトコルなどの、任意の周知のプロトコルを使用して、ネットワーク管理システム28及び/又はワークステーション29に通信される。本発明に従って、サービスプロセッサゲートウェイからネットワーク管理システム28に管理データを通信するのに使用されるプロトコルは、本発明の範囲から逸脱することなく、任意のプロトコルに変更される/更新され得る。管理対象ネットワークノード431〜43Nから、イーサネット(登録商標)交換機システム41へ、さらにネットワーク44への、データのための代表的な一次接続ネットワークが、示されている。
【0020】
図4は、サービスプロセッサゲートウェイ40のハードウェア402アーキテクチャを例示する図である。サービスプロセッサゲートウェイは、複数のローカルイーサネット(登録商標)物理インターフェース50を有する(1〜nのインターフェースであり、それぞれのインターフェースが、サービスプロセッサゲートウェイ40に接続された特定のサービスプロセッサとの接続である)。好ましい実施形態においては、それぞれのインターフェースが、10/100BTイーサネット(登録商標)MAC/PHYインターフェースであり得る。イーサネット(登録商標)インターフェースは、サービスプロセッサゲートウェイとそれぞれのサービスプロセッサとの間にポイントツーポイント接続を提供し、伝統的なイーサネット(登録商標)スイッチのようなスイッチングファブリックにおいては相互接続(interconnect)されない。サービスプロセッサゲートウェイ40は、イーサネット(登録商標)接続及びホストのすべてを終了する、そして、代表的なシステムメモリ52内のサービスプロセッサゲートウェイソフトウェアを(動作させる)、CPUなどのプロセッサ51をさらに有する。ハードウェアは、図3に示されているように、サービスプロセッサゲートウェイをデータネットワークスイッチングファブリックに接続するのに使用される、別個のイーサネット(登録商標)インターフェース53をさらに有し得る。ローカルイーサネット(登録商標)インターフェース50は、伝統的なスイッチ又はルータのようなネットワークから直接見えず、したがって、サービスプロセッサゲートウェイ40は、データネットワークからサービスプロセッサ接続を物理的に切り離す。本発明によれば、異なるネットワークインターフェース、ディスク記憶容量などの他のハードウェア能力、及びPCI、PCMCIA、IDE、PCI−X、及びUSBなどの標準インターフェースを介したハードウェアの拡張が、本発明の範囲から逸脱することなく追加されることがある。
【0021】
図5は、本発明によるサービスプロセッサゲートウェイ40のソフトウェア401アーキテクチャを例示する図である。好ましい実施形態においては、図5に示されているソフトウェアのそれぞれのモジュールが、特定のモジュールの1つ又は複数の機能を実施するために、サービスプロセッサゲートウェイのハードウェアによって動作する、1つ以上のラインのコンピュータコードを有し得る。モジュールはまた、本発明の範囲内にある他の周知の方法で実施され得る。示されているように、ソフトウェアは、コマンドを送信し、管理データを受信するよう、イーサネット(登録商標)接続とインタラクト(interact)し得る。ソフトウェアはまた、ユーザインターフェースデータを送信/受信するよう、かつプロトコルインターフェースデータを送信/受信するよう、通信ネットワークとインタラクトし得る。イーサネット(登録商標)接続とインターフェースするために、ソフトウェアは、イーサネット(登録商標)デバイスドライバ60を含み得る。また、サービスプロセッサゲートウェイに接続された特定の種類のサービスプロセッサに特有の、1つ以上の接続モジュール61があり得る。たとえば、IPMIプロトコルを使用してサービスプロセッサとのセッションを終了する、インテリジェントプラットフォーム管理インターフェース(IPMI)モジュール611があり得る。IPMIプロトコルは、http://www.intel.com/design/servers/ipmi/(参照により本明細書に組み込まれている)に記載されている。Integrated Lights−Out(ILO)モジュール612が、iLOのコマンドラインインターフェースを使用して、iLOサービスプロセッサと通信する。ILOは、ヒューレットパッカード(Hewlett Packard)によって発布されたプロトコルであり、iLO管理インターフェースは、http://h18013.www1.hp.com/products/servers/management/(参照により本明細書に組み込まれている)に記載されている。Advanced Lights−Out管理(ALOM)モジュール613が、ALOMのコマンドラインインターフェースを使用して、ALOMサービスプロセッサと通信する。ALOMは、サンマイクロシステムズ(Sun Microsystems)によって発布されたプロトコルであり、ALOMプロトコルは、http://www.sun.com/servers/alom.html(参照により本明細書に組み込まれている)に記載されている。ウェブプロキシモジュール614が、ウェブベースのインターフェースを使用してサービスプロセッサ及び管理モジュールと通信し、CLIエンジン615が、コマンドラインインターフェースを与える、一般的な管理エージェントと通信する。ブレード統合(Blade Integration)モジュール616が、ブレードコンピュータ及び通信シャーシ内の管理モジュールと通信する。サービスプロセッサが発展し、新しいプロプラエタリプロトコル及び標準プロトコルが作られるにつれて、新しい接続モジュールが、本発明の範囲から逸脱することなく、ソフトウェアモジュール61に追加され得るので、サービスプロセッサゲートウェイが、任意の現在公知のサービスプロセッサ及びまだ開発されていないサービスプロセッサ及び他の管理技術を用いて使用され得る。
【0022】
接続モジュール61は、サービスプロセッサとのセッションを終了して、管理トラフィックをデータネットワークから切り離す。言い換えれば、特定のプロトコルのための、それぞれの接続モジュールが、サービスプロセッサゲートウェイでそのプロトコルを終了し、データを共通のフォーマットに変換する。その上、サービスプロセッサプロトコルは、データネットワークに伝播されない。さらに、イーサネット(登録商標)接続において使用されるネットワークアドレスは、ローカルの範囲のみを有し、データネットワークに露出されないので、ネットワークアドレス(TCP/IPネットワークにおいてはIPアドレス)が、データネットワーク内に用意される又はそれぞれのサービスプロセッサのためのデータネットワークのマネージャにより特に保証(secure)される必要がない。共通のサービスプロセッサプロトコルインターフェースモジュール62が、接続モジュール61の上に載っており、サービスプロセッサゲートウェイの、接続モジュール61と1つ以上のアプリケーションモジュール63との間に、一様なインターフェースを提供することがある。
【0023】
アプリケーションモジュール63は、異なる種類の機能を有し、したがって、サービスプロセッサから収集されたデータが、統合された意味のある形でローカル又はリモートのユーザ及び管理システムに示され得る。したがって、アプリケーションモジュールは、以下により詳細に記述するように、プロトコルゲートウェイとして働き、かつサービスプロセッサユーザインターフェースに直接アクセスを提供する、アクセスゲートウェイモジュール631を含み得る。また、以下により詳細に記述するように、一様でありかつプラットフォームから独立したコマンドセットをユーザに提示し、かつこれらの一様なコマンドをその種類のサービスプロセッサに特有なコマンドに翻訳する、コマンド/制御モジュール632があり得る。また、以下により詳細に記述するように、データレポジトリ634内のデータを収集し、かつ統合データのレポート、例外通知、及び視覚化をユーザに提供する、レポーティング/事象管理モジュール633もあり得る。サービスプロセッサ及び管理技術が発展するにつれて、他のアプリケーションモジュールが、本発明の範囲から逸脱することなく、アーキテクチャに追加され得る。
【0024】
このソフトウェアは、アプリケーションモジュール63の上に載っており、かつアプリケーションモジュール63と1つ以上のサービスモジュール65との間に一様なインターフェースを提供する、ユーザ及びアプリケーションプロトコルインターフェースモジュール64をさらに含み得る。サービスモジュール65は、データネットワークを介した伝送に適した標準プロトコルを使用して、ヒューレットパッカード社(HP(登録商標))のオープンビュー(OpenView)、IBM社(IBM(登録商標))のチボリ(Tivoli)、BMC社(BMC(登録商標))のパトロール(Patrol)、及びCA社(CA(登録商標))のユニセンター(Unicenter)などの管理ステーション及び/又は管理システムで、遠隔地にいる人間ユーザにサービスを提供する。以下により詳細に記述するように、サービスモジュールを通じて、遠隔ユーザ及び管理システムが、アプリケーションモジュールによって提供されるサービスへのアクセスを得る。たとえば、サービスモジュール65は、周知のSSHクライアントを使用して、サービスプロセッサゲートウェイにアクセスするユーザにセキュアシェルサービス(Secure Shell service)を提供するSSHサービスモジュール651を含み得る。Webブラウザを使用して、サービスプロセッサゲートウェイにアクセスするユーザにウェブアクセスを提供するHTTPSサービスモジュール652もあり得る。周知のデータセンタマークアップ言語(DCML)を使用して、管理システムにサービスプロセッサゲートウェイアクセスを提供するDCMLサービスモジュール653もあり得る。簡易型ネットワーク管理プロトコル(SNMP)を使用して、管理システムにサービスプロセッサゲートウェイアクセスを提供するSNMPサービスモジュール654もあり得る。ネットワーク管理技術が発展するにつれて、本発明の範囲から逸脱することなく、新しいサービスモジュールがアーキテクチャに追加され得るので、本発明は、現在公知の又はまだ開発されていないネットワーク管理技術を取り扱うよう拡張され得る。ソフトウェアはさらに、TCP/IPなどの標準ネットワーキングプロトコルを使用して、サービスプロセッサゲートウェイをデータネットワークに接続する、サービスモジュール65の上に置かれた、ネットワークインターフェースモジュール66を含み得る。以下、ゲートウェイアクセスモジュール及びコマンド/制御モジュールのオペレーションについて、より詳細に記述する。
【0025】
図6は、本発明に従って、図5に示されているアクセスゲートウェイモジュールにおいて実施されるゲートウェイアクセスのための方法70を例示する流れ図である。アクセスゲートウェイモジュールは、プロトコルゲートウェイとして働き、サービスプロセッサユーザインターフェースへの直接アクセスを提供するので、アクセスゲートウェイモジュールは、アクセス及びサービスプロセッサユニットからのプロトコルを変換し、ユーザを、コマンドラインインターフェース、ウェブベースなどであり得るサービスプロセッサインターフェースにトランスペアレントにインタラクトさせる。したがって、ステップ72では、ユーザは、モジュールとの接続を要求する。ステップ74で、ユーザは、公知のエンタープライズディレクトリシステムを使用するなどによって認証される。(ステップ76でテストされた時に)ユーザが認証されないと、方法はステップ82に進み、ここで、接続が閉じられ、方法が完了する。ユーザが認証されると、ステップ78で、モジュールは、ターゲット(目標)のタイプに従って接続モジュールに接続し、特定のサービスプロセッサとの所望のインタラクションを実行する。インタラクションが完了すると、方法は、ステップ80でユーザが切断したか否かを判断し、次いで、ユーザが切断した時にステップ82で接続を閉じる。
【0026】
図7は、本発明に従って、図5に示されているコマンド/制御モジュール内で実施されるコマンド/制御変換のための方法90をより詳細に例示する流れ図である。このモジュールは、一様でありかつプラットフォームから独立したコマンドセットをユーザに提示し、その一様なコマンドをそれぞれの種類のサービスプロセッサのための特定のフォーマットを有するコマンドに翻訳する。したがって、ステップ92で、ユーザは、モジュールとの接続を要求する。ステップ94で、ユーザは、公知のエンタープライズディレクトリシステムを使用するなどによって認証される。(ステップ96でテストされた時に)ユーザが認証されないと、方法はステップ104に進み、ここで、接続が閉じられ、方法が完了する。ユーザが認証されると、ステップ98で、モジュールは、ゲートウェイアクセスモジュールからコマンドを得て、ステップ100で、そのコマンドを特定のサービスプロセッサのための特定のフォーマットに変換し、そのコマンドを適切な接続モジュールを通じて適切なサービスプロセッサに送信し、したがって、そのコマンドはサービスプロセッサに通信される。コマンドが完了すると、方法は、ユーザがステップ102で切断したか否かを判断し、次いで、ユーザが切断した時にステップ104で接続を閉じる。サービスプロセッサが装備された複数のネットワークノードを管理するために、本発明が如何に使用され得るかをより良く理解するために、以下にいくつかの例を示す。
【0027】
人間オペレータ−トランスペアレントなアクセス
図3を参照すると、管理ワークステーション29の人間オペレータが、サービスプロセッサ45に直接インタラクトする必要がある場合、SSHクライアント又はWebブラウザのいずれかを使用して、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。図5を参照すると、ユーザ接続は、これに対応するサービスモジュール65(ユーザによって選択されるプロトコルに依存して、SSH又はHTTPS)によってサービスされ、アクセスゲートウェイモジュール631にルーティング(route)され、次いで、このモジュールが、選択されたサービスプロセッサによって利用される特有のプロトコルに依存して、適切な接続モジュール61を使用して、サービスプロセッサとの接続をオープンする。これについては、図6に、アクセスゲートウェイモジュールによって動作するプロセスについてさらに詳細に記述している。次いで、ユーザは、サービスプロセッサゲートウェイを通じてサービスプロセッサとトランスペアレントにインタラクトできるようになり、次いで、プロトコルが変換され、管理ワークステーションスクリーン上でサービスプロセッサインターフェースがエミュレート(emulate)される。
【0028】
プロトコルの変換が如何に達成されるかは、アクセスプロトコルと接続プロトコルとの組合せに依存する。通常、3種類のプロトコルインターフェースがある。即ち、テキストベースのコマンド構文を使用するコマンドラインインターフェース(CLI)、通常Webブラウザによりグラフィカルインタラクションを提示するグラフィカルユーザインターフェース(GUI)、又は管理システムにより適したプロトコルベースのインターフェースである。一例として、人間オペレータがSSHプロトコル(テキストセッションプロトコル)を使用して、サービスプロセッサゲートウェイにアクセスし、目標サービスプロセッサがCLIを利用する場合、アクセスゲートウェイモジュールは、これを人間オペレータに転送する前に、単にサービスプロセッサ通信からテキストを抽出し、これをSSHプロトコル内にカプセル化する。これは、周知の変換プロセスである。人間オペレータがWebブラウザを有するHTTPSプロトコルを使用していた場合、アクセスゲートウェイモジュールは、Webブラウザ上に表示されるウィンドウにテキストセッションを提示する。
【0029】
人間オペレータ又は管理システム−コマンド及び制御
図3を参照すると、管理ワークステーション29又は管理システム28の人間オペレータが、1つ以上のサービスプロセッサ451−nを必要とする管理アクションを遂行する必要がある場合、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。人間オペレータは、通常、SSHクライアント又はWebブラウザを使用する。管理システムは、通常、SNMP又はDCMLなどのプロトコルを使用する。一例として、ユーザによる所望の管理アクションは、一群のネットワークノードのパワーサイクリングである。他の可能なアクションの例に、温度の読取りを検索すること、システムステータス情報又は1つの又は一群のネットワークノードのパワーを検索することがある。
【0030】
図5を参照すると、接続は、これに対応するサービスモジュール(人間オペレータについてはSSH又はHTTPS、又は管理システムについてはDCML又はSNMP)によってサービスされ、コマンド/制御モジュール632にルーティングされ、次いで、このモジュールが、適切な接続モジュール61を使用して、選択されたサービスプロセッサとの接続をオープンする。コマンド/制御モジュールは、一様なインターフェースを(コマンドライン、ウェブ、又はプロトコルベースのインターフェースを使用して)人間オペレータ又は管理システムに提供し、コマンド又は制御要求をとり、これらを適切な接続モジュールに渡すことができるので、コマンドは、それぞれの特有の種類のサービスプロセッサのためのプロトコルに適切に変換される。これについては、図7に、コマンド/制御モジュールによって動作するプロセスについてさらに詳細に記述されている。
【0031】
コマンドの変換が如何に達成されるかは、アクセスプロトコルと接続プロトコルとの組合せに依存する。一例として、人間オペレータがWebブラウザを有するサービスプロセッサゲートウェイにアクセスする場合、すべてのネットワークノードを表示するグラフィカルスクリーンが表示され得る。ユーザは、周知のグラフィカルユーザインターフェース方法を使用して、一群のネットワークノードを選択し、次いで、選択されたすべてのネットワークノードがパワーサイクルされるよう、「パワーサイクル」ボタンをクリックすることができる。次いで、コマンド/制御モジュールが、それぞれのサービスプロセッサと通信するのに適したプロトコルを使用して、「パワーサイクル」コマンドを出す。
【0032】
人間オペレータ又は管理システム−レポーティング及び事象管理
図3を参照すると、管理ワークステーション29又は管理システム28の人間オペレータが、統合された管理事象情報を得る、又は1つ以上のサービスプロセッサ451−nを必要とする管理事象の活動通知(active notification)を要求する必要がある場合、データネットワーク44を介して又は代替帯域外ネットワーク46を介して接続し得る。人間オペレータは、通常、SSHクライアント又はWebブラウザを使用する。管理システムは、通常、SNMP又はDCMLなどのプロトコルを使用する。レポーティング/事象管理アクションの一例に、過去24時間にネットワークノードに影響を及ぼした、すべてのオペレーティングシステム故障のリストを得ることがある。レポーティング/事象管理アクションの他の例に、任意の管理対象ノードの温度が一定の閾値以上になった場合、又は現在通常のオペレーションでないすべてのシステムのリストを要求した場合に、将来の通知を要求することがある。
【0033】
図5を参照すると、接続は、これに対応するサービスモジュール(人間オペレータについてはSSH又はHTTPS、又は管理システムについてはDCML又はSNMP)によってサービスされ、レポーティング/事象管理モジュール633にルーティングされる。このモジュールは、適切な接続モジュールを通じてネットワークデバイスを常に監視しており、データレポジトリ634内に管理データを蓄積している。レポーティング/事象管理モジュールは、その場で管理データを収集し、統合されたレポート及び活動事象管理をローカル又はリモートの人間オペレータ又は管理システムに提供する能力を実現する。数組の大型ネットワークノードの自動管理は、大型データセンタにおける主要機能である。
【0034】
これまで、本発明の特定の実施形態を参照しながら記述してきたが、当業者は、本発明の原理及び趣旨から逸脱することなく、この実施形態の変更が行われることがあることを理解されよう。本発明の範囲は、頭記の特許請求の範囲によって定義されるものである。
【図面の簡単な説明】
【0035】
【図1】代表的な帯域外ネットワーク管理システムを例示する図である。
【図2】代表的な帯域外ネットワーク管理システム内のサービスプロセッサのためのアクセス方法を例示する図である。
【図3】1つ以上のサービスプロセッサへのアクセスを提供する、本発明によるサービスプロセッサゲートウェイを組み込んだ帯域外ネットワーク管理システムを例示する図である。
【図4】本発明によるサービスプロセッサゲートウェイのハードウェアアーキテクチャの一例を例示するブロック図である。
【図5】本発明によるサービスプロセッサゲートウェイの好ましい実施形態のソフトウェアアーキテクチャを例示する図である。
【図6】本発明に従った、図5に示されているアクセスゲートウェイモジュール内で実施されるゲートウェイアクセスのための方法を例示するフローチャートである。
【図7】本発明に従った、図5に示されているコマンド/制御モジュール内で実施されるコマンド/制御変換のための方法をより詳細に例示するフローチャートである。
【特許請求の範囲】
【請求項1】
コンピュータネットワークのための帯域外管理システムであって、該システムは、
データ伝送インターフェース以外の専用管理インターフェースを通じて外部にアクセス可能な、サービスプロセッサ及び管理ポートが装備された、1つ以上のネットワークノードと、
データネットワークによる直接アクセスから前記ネットワークノードの前記管理ポートを切り離す、前記ネットワークノードの前記管理ポートに直接接続された、サービスプロセッサゲートウェイ管理機器と、を具備し、
前記専用管理インターフェースは、さらに、イーサネット(登録商標)のタイプのインターフェースを有し、
前記サービスプロセッサゲートウェイは、さらに、プロセッサと、1つの人間オペレータ及びネットワーク管理システムによりアクセスするために、コマンドラインインターフェース、ウェブインターフェース、及びプロトコルベースのインターフェースの1つ以上を提供する、前記プロセッサによって動作するソフトウェアアプリケーションと、をさらに具備する
ことを特徴とするシステム。
【請求項2】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、TCP/IPネットワークを介して前記ネットワーク管理システムへの伝送に適した共通の管理データを生成するために、前記サービスプロセッサの1つ以上の管理インターフェースによって利用される1つ以上の低レベルプロトコルを共通のプロトコルに変換する、前記プロセッサによって動作する複数のコンピュータ命令を有する接続モジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項3】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記共通の管理データが前記前記ネットワーク管理システムへの送信中に傍受されるのを防止するために、前記共通の管理データを暗号化する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項4】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記管理インターフェースへのアクセスを与える前にユーザを認証するために、エンタープライズディレクトリシステムと通信する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項5】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記コマンドラインインターフェース、ウェブインターフェース、又はプロトコルベースのインターフェースからのコマンド及び制御要求を、特定のサービスプロセッサに特有の1つ以上の管理プロトコルに変換する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項6】
プロセッサと、
前記プロセッサに接続されたメモリと、
1つ以上のイーサネット(登録商標)インターフェースと、
前記メモリ内に格納されており、かつ前記プロセッサによって動作する、それぞれの部分が複数のラインのコンピュータ命令を有する1つ以上の部分を有するソフトウェアアプリケーションと、を備えたサービスプロセッサゲートウェイ機器であって、
それぞれの前記イーサネット(登録商標)インターフェースは、サービスプロセッサを備えたネットワークノードとのポイントツーポイント接続を確立するよう構成され、
前記1つ以上の部分は、さらに、共通の管理データを生成するために、それぞれのサービスプロセッサの管理インターフェースを共通のプロトコルに変換する接続部分と、
外部ソースからの1つ以上の管理プロトコルとインターフェースし、かつコマンド及びデータを前記外部ソースと交換するサービス部分と、
前記外部ソースからの前記コマンドに基づいて前記共通の管理データを操作し、かつ前記1つ以上の管理プロトコルに管理出力データを生成するアプリケーション部分と、をさらに具備する
ことを特徴とするサービスプロセッサゲートウェイ機器。
【請求項7】
前記接続部分は、さらに、1つ以上のプロトコル部分を有し、
それぞれの前記プロトコル部分は、特定のプロトコルを有する特定のサービスプロセッサからの管理データを共通の管理データプロトコルに変換する
ことを特徴とする請求項6に記載の機器。
【請求項8】
前記プロトコル部分は、さらに、インテリジェントプラットフォーム管理インターフェース部分、integraed lights−out部分、advanced lights−out部分、ウェブプロキシ部分、コマンドラインインターフェース部分、及びブレード部分の1つ以上を有する
ことを特徴とする請求項7に記載のアプリケーション。
【請求項9】
前記サービス部分は、さらに、1つ以上のサービスプロトコル部分を有し、
それぞれの前記サービスプロトコル部分は、特定のプロトコルを有する外部ソースからのコマンド及びデータを共通の管理プロトコルに変換する
ことを特徴とする請求項6に記載の機器。
【請求項10】
前記サービスプロトコル部分は、さらに、セキュアシェル部分、セキュアソケットレイヤ部分、拡張マークアップ言語プロトコル部分、セキュアハイパーテキストトランスファープロトコル部分、データセンタマークアップ言語部分、及び簡易型ネットワーク管理プロトコル部分の1つ以上を有する
ことを特徴とする請求項9に記載のアプリケーション。
【請求項11】
前記アプリケーション部分は、さらに、前記サービスプロセッサゲートウェイに接続された前記サービスプロセッサのユーザインターフェースへの直接アクセスを提供するアクセスゲートウェイ部分を有する
ことを特徴とする請求項6に記載のアプリケーション。
【請求項12】
前記アプリケーション部分は、さらに、プラットフォームから独立したコマンドセットを前記ユーザに提供し、かつこれらの一様なコマンドを前記タイプのサービスプロセッサに特有のコマンドに翻訳する、コマンド/制御部分を有する
ことを特徴とする請求項6に記載のアプリケーション。
【請求項13】
前記アプリケーション部分は、さらに、レポーティング部分を有し、
前記機器は、前記レポーティング部分に関連付けられたデータを格納するデータレポジトリをさらに有し、
前記レポーティング部分は、前記データレポジトリ内にデータを収集し、前記管理データのレポート、例外通知、及び視覚化を提供する
ことを特徴とする請求項6に記載の機器。
【請求項1】
コンピュータネットワークのための帯域外管理システムであって、該システムは、
データ伝送インターフェース以外の専用管理インターフェースを通じて外部にアクセス可能な、サービスプロセッサ及び管理ポートが装備された、1つ以上のネットワークノードと、
データネットワークによる直接アクセスから前記ネットワークノードの前記管理ポートを切り離す、前記ネットワークノードの前記管理ポートに直接接続された、サービスプロセッサゲートウェイ管理機器と、を具備し、
前記専用管理インターフェースは、さらに、イーサネット(登録商標)のタイプのインターフェースを有し、
前記サービスプロセッサゲートウェイは、さらに、プロセッサと、1つの人間オペレータ及びネットワーク管理システムによりアクセスするために、コマンドラインインターフェース、ウェブインターフェース、及びプロトコルベースのインターフェースの1つ以上を提供する、前記プロセッサによって動作するソフトウェアアプリケーションと、をさらに具備する
ことを特徴とするシステム。
【請求項2】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、TCP/IPネットワークを介して前記ネットワーク管理システムへの伝送に適した共通の管理データを生成するために、前記サービスプロセッサの1つ以上の管理インターフェースによって利用される1つ以上の低レベルプロトコルを共通のプロトコルに変換する、前記プロセッサによって動作する複数のコンピュータ命令を有する接続モジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項3】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記共通の管理データが前記前記ネットワーク管理システムへの送信中に傍受されるのを防止するために、前記共通の管理データを暗号化する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項4】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記管理インターフェースへのアクセスを与える前にユーザを認証するために、エンタープライズディレクトリシステムと通信する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項5】
前記サービスプロセッサゲートウェイの前記ソフトウェアアプリケーションは、さらに、前記コマンドラインインターフェース、ウェブインターフェース、又はプロトコルベースのインターフェースからのコマンド及び制御要求を、特定のサービスプロセッサに特有の1つ以上の管理プロトコルに変換する、前記機器によって動作する複数のコンピュータ命令を有するモジュールを具備する
ことを特徴とする請求項1に記載のシステム。
【請求項6】
プロセッサと、
前記プロセッサに接続されたメモリと、
1つ以上のイーサネット(登録商標)インターフェースと、
前記メモリ内に格納されており、かつ前記プロセッサによって動作する、それぞれの部分が複数のラインのコンピュータ命令を有する1つ以上の部分を有するソフトウェアアプリケーションと、を備えたサービスプロセッサゲートウェイ機器であって、
それぞれの前記イーサネット(登録商標)インターフェースは、サービスプロセッサを備えたネットワークノードとのポイントツーポイント接続を確立するよう構成され、
前記1つ以上の部分は、さらに、共通の管理データを生成するために、それぞれのサービスプロセッサの管理インターフェースを共通のプロトコルに変換する接続部分と、
外部ソースからの1つ以上の管理プロトコルとインターフェースし、かつコマンド及びデータを前記外部ソースと交換するサービス部分と、
前記外部ソースからの前記コマンドに基づいて前記共通の管理データを操作し、かつ前記1つ以上の管理プロトコルに管理出力データを生成するアプリケーション部分と、をさらに具備する
ことを特徴とするサービスプロセッサゲートウェイ機器。
【請求項7】
前記接続部分は、さらに、1つ以上のプロトコル部分を有し、
それぞれの前記プロトコル部分は、特定のプロトコルを有する特定のサービスプロセッサからの管理データを共通の管理データプロトコルに変換する
ことを特徴とする請求項6に記載の機器。
【請求項8】
前記プロトコル部分は、さらに、インテリジェントプラットフォーム管理インターフェース部分、integraed lights−out部分、advanced lights−out部分、ウェブプロキシ部分、コマンドラインインターフェース部分、及びブレード部分の1つ以上を有する
ことを特徴とする請求項7に記載のアプリケーション。
【請求項9】
前記サービス部分は、さらに、1つ以上のサービスプロトコル部分を有し、
それぞれの前記サービスプロトコル部分は、特定のプロトコルを有する外部ソースからのコマンド及びデータを共通の管理プロトコルに変換する
ことを特徴とする請求項6に記載の機器。
【請求項10】
前記サービスプロトコル部分は、さらに、セキュアシェル部分、セキュアソケットレイヤ部分、拡張マークアップ言語プロトコル部分、セキュアハイパーテキストトランスファープロトコル部分、データセンタマークアップ言語部分、及び簡易型ネットワーク管理プロトコル部分の1つ以上を有する
ことを特徴とする請求項9に記載のアプリケーション。
【請求項11】
前記アプリケーション部分は、さらに、前記サービスプロセッサゲートウェイに接続された前記サービスプロセッサのユーザインターフェースへの直接アクセスを提供するアクセスゲートウェイ部分を有する
ことを特徴とする請求項6に記載のアプリケーション。
【請求項12】
前記アプリケーション部分は、さらに、プラットフォームから独立したコマンドセットを前記ユーザに提供し、かつこれらの一様なコマンドを前記タイプのサービスプロセッサに特有のコマンドに翻訳する、コマンド/制御部分を有する
ことを特徴とする請求項6に記載のアプリケーション。
【請求項13】
前記アプリケーション部分は、さらに、レポーティング部分を有し、
前記機器は、前記レポーティング部分に関連付けられたデータを格納するデータレポジトリをさらに有し、
前記レポーティング部分は、前記データレポジトリ内にデータを収集し、前記管理データのレポート、例外通知、及び視覚化を提供する
ことを特徴とする請求項6に記載の機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2008−519498(P2008−519498A)
【公表日】平成20年6月5日(2008.6.5)
【国際特許分類】
【出願番号】特願2007−539287(P2007−539287)
【出願日】平成17年10月31日(2005.10.31)
【国際出願番号】PCT/US2005/039411
【国際公開番号】WO2006/050336
【国際公開日】平成18年5月11日(2006.5.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.リナックス
【出願人】(507003465)アボセント フレモント コーポレイション (2)
【Fターム(参考)】
【公表日】平成20年6月5日(2008.6.5)
【国際特許分類】
【出願日】平成17年10月31日(2005.10.31)
【国際出願番号】PCT/US2005/039411
【国際公開番号】WO2006/050336
【国際公開日】平成18年5月11日(2006.5.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.リナックス
【出願人】(507003465)アボセント フレモント コーポレイション (2)
【Fターム(参考)】
[ Back to top ]