情報システム及びディザスタリカバリ方法
【課題】リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法を提供する。
【解決手段】メインストレージ110と、そのデータが更新された際に、更新データがメインストレージ110から同期コピーされる複製ストレージ130とを備えた情報システムであって、メインストレージ110及び複製ストレージ130の双方に接続されたジャーナルストレージ140を有し、メインストレージ110と複製ストレージ130との間のネットワーク151に通信障害が発生した場合には、更新データをジャーナルストレージ140へ同期コピーし、ジャーナルストレージ140に格納した更新データを、複製ストレージ130へ準同期コピーし、ネットワーク151の通信障害の解消後に、メインストレージ110からの更新データの同期コピー先を複製ストレージ130に戻す。
【解決手段】メインストレージ110と、そのデータが更新された際に、更新データがメインストレージ110から同期コピーされる複製ストレージ130とを備えた情報システムであって、メインストレージ110及び複製ストレージ130の双方に接続されたジャーナルストレージ140を有し、メインストレージ110と複製ストレージ130との間のネットワーク151に通信障害が発生した場合には、更新データをジャーナルストレージ140へ同期コピーし、ジャーナルストレージ140に格納した更新データを、複製ストレージ130へ準同期コピーし、ネットワーク151の通信障害の解消後に、メインストレージ110からの更新データの同期コピー先を複製ストレージ130に戻す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、同時に被災しないように離れて設けられた複数のストレージ装置を有する情報システム及びディザスタリカバリ方法に関する。
【背景技術】
【0002】
昨今の企業や公共団体などは、市民生活上で重要な役割を担っており、それらが運用する情報システムの役割はますます重要になっている。このため、社会的な責任、危機管理、尊法などの観点からも、災害が発生するなどしてシステム障害に陥っても業務を継続できるか、又は容易に復旧できるようにするという情報システムのリカバリ対策、いわゆるディザスタリカバリ(disaster recovery)が重要となってきている。
【0003】
ディザスタリカバリにおける災害とは、サイトに設置した装置に全体的に被害を与える現象全般を意味し、特定の現象を表すものではない。すなわち、建物単体での火災のような小規模なものから、風水害や地震などの大規模なものも含まれる。また、不正侵入やテロなどの人為的な原因のものも含まれる。なお、本明細書において「サイト」とは、コンピュータやストレージ装置などのハードウェアが設置される場所を意味する。また、サイトに設置した装置が災害によって全体的に破損することを「被災」と表記する。
【0004】
ディザスタリカバリのために、大規模な災害が発生しても同時に影響を受けないことが想定できる程度メインサイトから離してリモートサイトを設け、メインサイト内のデータをリモートサイトに複製(バックアップ)しておき、メインサイトが被災しても、リモートサイトで業務を継続できるようにする手法がある。この手法に関連する技術としては、特許文献1に開示される「ホストシステム間のバックアップシステム」がある。
【0005】
メインサイトの情報をリモートサイトに反映する方法として、ディスクストレージのレプリケーションが知られている。レプリケーションは、メインサイトのディスクの複製(replica)をリモートサイトに作成する方法である。
【0006】
以下、メインサイトに設置されたストレージをメインストレージ、リモートサイトに設置されたストレージを複製ストレージと表記する。
【0007】
特許文献1に開示される発明のようにメインサイトとリモートサイトとを通信回線で結んだ情報システムにおいては、図37に示すように、レプリケーションの際には、メインサイトのデータをリモートサイトに送り、リモートサイト内の複製ストレージに反映する。
なお、メインサイトのストレージのデータを更新するのと同期して、複製ストレージにもデータを反映させる情報の伝達を「同期コピー」と表記する。また、メインストレージの更新と同期していないが、メインストレージと同じ順序で複製ストレージにデータを反映させる情報の伝達を「準同期コピー」と表記する。さらに、メインストレージから複製ストレージへ、非同期かつ更新順序を保証せずに行う情報の伝達を「非同期コピー」と表記する。
【0008】
メインストレージから複製ストレージに同期コピーを行っている場合、情報の厳密一貫性(strict consistency)が保たれており、メインストレージ内の全てのデータが複製ストレージにも存在するため、メインサイトが被災してもデータの消失は無い。ただし、これはメインサイトとリモートサイトとの間に通信障害が発生しないことが前提である。
【0009】
なお、厳密一貫性とは、データ項目に対するどのような読み取り操作も、最も新しい書き込み結果に対応した値を返却することである。
【0010】
図37に示した情報システムは、メインサイトとリモートサイトとの間に通信障害が発生すると、同期コピーを実行できないため、図38に示すように更新データをメインストレージのバッファに蓄える。メインストレージは、通信障害が復旧した後、バッファの内容を複製ストレージに準同期コピーする。バッファ内の全てのデータが複製ストレージに反映された時点で、情報システムは同期コピーを行える状態に復旧する。
【0011】
しかし、通信障害が発生している間はリモートサイトにデータが送信されていないため、図39に示すように通信障害発生中でメインストレージにのみ更新データが存在する状態でメインサイトが被災すると、更新データが消失してしまう。
【0012】
この問題への対処に関連する技術として、特許文献2に開示される「データ複製システム、中継装置、データ送受信方法およびストレージ内のデータを複製するためのプログラム」がある。特許文献1には、ストレージ間の伝送経路に冗長性(redundancy)を持たせる構成が開示されている。この手法によれば、伝送経路のいずれかで通信障害が発生したとしても、別の通信経路を利用して更新データを送信できるため、全ての伝送経路に通信障害が発生しない限り、メインサイトが被災してもデータが消失することはない。
【0013】
また、特許文献3に開示される発明のように、リモートサイトを複数にし、冗長性を維持するという手法もある。この手法によれば、一つのリモートサイトとの間で通信障害が発生したとしても、メインサイトから残りのリモートサイトへ更新データを送信できるため、全てのリモートサイトとの間に通信障害が発生しない限り、メインサイトが被災してもデータが消失することはない。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特開2000−76151号公報
【特許文献2】特開2004−86721号公報(図8)
【特許文献3】特開2004−227528号公報
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかし、大規模な災害が発生しても同時に影響を受けないことが想定できる程度離れた位置にあるサイト間の伝送経路に冗長性を持たせることは容易ではなく、ケーブルの敷設等に多大な費用や時間が必要となる。
【0016】
また、リモートサイトを複数持つことは、多大な費用が必要となり、多くのシステムにとって現実的ではない。すなわち、リモートサイトを開設する場所や機材の用意や各リモートサイトとメインサイトとを接続するケーブルを敷設する作業などの初期投資のみならず、それらを維持管理する費用が必要となってしまう。さらに、複数のリモートサイトを開設すると情報システムの運用が複雑になってしまう。
【0017】
したがって、特許文献2や3に開示される発明は、低コストでのディザスタリカバリの実現が困難である。
【0018】
このように、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法は提供されていなかった。
【0019】
本発明は係る問題に鑑みてなされたものであり、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法を提供することを目的とする。
【課題を解決するための手段】
【0020】
上記目的を達成するため、本発明は、第1の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、第1及び第2のストレージ装置の双方に接続されたジャーナルストレージ装置を有し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、ジャーナルストレージ装置に格納した更新データを、第2のストレージ装置へ準同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻すことを特徴とする情報システムを提供するものである。
【0021】
また、上記目的を達成するため、本発明は、第2の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、第1のストレージ装置に接続されたジャーナルストレージ装置を有し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、ジャーナルストレージ装置に格納した更新データを、第1のストレージ装置を経由して第2のストレージ装置へ準同期コピーし、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生している間に第1のストレージ装置が破損した場合は、第1のストレージ装置の修復後に第2のストレージ装置からデータを書き戻し、その後、ジャーナルストレージ装置に格納した更新データを第1のストレージ装置へ準同期コピーすることを特徴とする情報システムを提供するものである。
【0022】
また、上記目的を達成するため、本発明は、第3の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、第1及び第2のストレージ装置の双方にジャーナルストレージ装置を接続し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、ジャーナルストレージ装置に格納した更新データを、第2のストレージ装置へ準同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻すことを特徴とするディザスタリカバリ方法を提供するものである。
【0023】
また、上記目的を達成するため、本発明は、第4の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、第1のストレージ装置にジャーナルストレージ装置を接続し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、ジャーナルストレージ装置に格納した更新データを、第1のストレージ装置を経由して第2のストレージ装置へ準同期コピーし、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生している間に第1のストレージ装置が破損した場合は、第1のストレージ装置の修復後に第2のストレージ装置からデータを書き戻し、その後、ジャーナルストレージ装置に格納した更新データを第1のストレージ装置へ準同期コピーすることを特徴とするディザスタリカバリ方法を提供するものである。
【発明の効果】
【0024】
本発明によれば、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法を提供できる。
【図面の簡単な説明】
【0025】
【図1】本発明を好適に実施した第1の実施形態に係る情報システムの構成を示す図である。
【図2】第1の実施形態に係る情報システムの詳細な構成を示す図である。
【図3】メインストレージのディスクから複製ストレージのディスクに同期コピーを行う通常状態を示す図である。
【図4】メインサイトとリモートサイトとの間で通信障害が発生した状態を示す図である。
【図5】メインサイトとリモートサイトとの間で通信障害が発生中にメインサイトが被災した状態を示す図である。
【図6】ジャーナルストレージが複製ストレージに差分反映完了を通知した状態を示す図である。
【図7】メインサイトとリモートサイトとの間で通信障害が発生した後、メインサイトが被災せずに通信障害が解消した状態を示す図である。
【図8】ジャーナルストレージがメインストレージ及び複製ストレージに差分反映完了を通知した状態を示す図である。
【図9】メインストレージが、同期コピー先を複製ストレージに切り替えた状態を示す図である。
【図10】ジャーナルストレージに空き容量が無くなった状態を示す図である。
【図11】ジャーナルストレージに空きができたのち、バッファに格納した更新データがジャーナルストレージへ準同期コピーされる状態を示す図である。
【図12】メインサイトとジャーナルサイトとの間及びリモートサイトとジャーナルサイトとの間に通信障害が発生した状態を示す図である。
【図13】メインサイトとリモートサイトとの間及びジャーナルサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図14】メインサイトとリモートサイトとの間及びメインサイトとジャーナルサイトとの間に通信障害が発生した状態を示す図である。
【図15】本発明を好適に実施した第2の実施形態に係る情報システムの詳細な構成を示す図である。
【図16】メインサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図17】メインサイトとリモートサイトとの間の通信障害が解消した状態を示す図である。
【図18】ジャーナルストレージが複製ストレージに差分反映完了を通知した状態を示す図である。
【図19】メインストレージから複製ストレージへの同期コピーが再開された状態を示す図である。
【図20】本発明を好適に実施した第3の実施形態に係る情報システムの構成を示す図である。
【図21】第3の実施形態に係る情報システムの詳細な構成を示す図である。
【図22】メインストレージが同期コピー先をジャーナルストレージに切り替えた状態を示す図である。
【図23】複製ストレージ内のデータをメインストレージに書き戻した状態を示す図である。
【図24】ジャーナルストレージから更新データをメインストレージに準同期コピーするとともに、メインストレージから複製ストレージへも準同期コピーする状態を示す図である。
【図25】複製ストレージがメインストレージへ差分反映完了を通知した状態を示す図である。
【図26】メインストレージへの更新データが複製ストレージに同期コピーされる状態を示す図である。
【図27】ジャーナルストレージが更新データをメインストレージを経由して、複製ストレージへ準同期コピーする状態を示す図である。
【図28】ジャーナルストレージがメインストレージに差分反映完了を通知した状態を示す図である。
【図29】同期が完了したことを複製ストレージがメインストレージに通知した状態を示す図である。
【図30】メインストレージから複製ストレージへの同期コピーが再開された状態を示す図である。
【図31】複製ストレージにバッファを設けた構成の情報システムを示す図である。
【図32】ジャーナルストレージからの準同期コピーが完了するまでの間は更新データをバッファに蓄積する状態を示す図である。
【図33】ジャーナルストレージから複製ストレージへの更新データの準同期コピーが完了した状態を示す図である。
【図34】複製ストレージのバッファ内の更新データが反映された状態を示す図である。
【図35】ジャーナルサイトをデータセンタに集約し、複数のメインサイトとそのリモートサイトとをデータセンタと接続した状態を示す図である。
【図36】ジャーナルサイトをデータセンタに集約し、複数のメインサイトとそのリモートサイトとをデータセンタと接続した状態を示す図である。
【図37】メインサイトの更新データをリモートサイトに同期コピーする状態を示す図である。
【図38】メインサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図39】メインサイトとリモートサイトとの間に通信障害が発生中にメインサイトが被災した状態を示す図である。
【発明を実施するための形態】
【0026】
〔第1の実施形態〕
本発明を好適に実施した第1の実施形態について説明する。
図1に、本実施形態に係る情報システムの構成を示す。本実施形態に係る情報システムは、メインストレージ110と、メインストレージ110のデータが更新された際に、更新データがメインストレージ110から同期コピーされる複製ストレージ130とを備えた情報システムであって、メインストレージ110及び複製ストレージ130の双方にネットワーク151、153を介して接続されたジャーナルストレージ140を有し、メインストレージ110と複製ストレージ130との間のネットワーク151に通信障害が発生した場合には、更新データをジャーナルストレージ140へ同期コピーし、ジャーナルストレージ140に格納した更新データを、複製ストレージ130へ準同期コピーし、ネットワーク151の通信障害が解消された後に、メインストレージ110からの更新データの同期コピー先を複製ストレージ130に戻す。
【0027】
図2に、本実施形態に係る情報システムのより詳細な構成を示す。
本実施形態に係る情報システムは、メインサイト、リモートサイト及びジャーナルサイトの三つのサイトを備える。各サイトは、大規模な災害が発生しても同時に被災しないように離れて設けられている。
【0028】
メインサイトには、プログラム制御によって動作するホストコンピュータ100及びメインストレージ110が設置されている。
【0029】
ホストコンピュータ100は、ディスクアクセス部101を備える。ディスクアクセス部101は、メインストレージ110に対して情報の読み込み及び書き込みを行う。
【0030】
メインストレージ110は、ディスク111、バッファ112、ビットマップ113、ストレージ制御部114及び通信部115を備える。ビットマップ113は、メインストレージ110と複製ストレージ130との間で一貫性が保てなくなった後でメインストレージ110上で更新された領域を表している。ストレージ制御部114は、メインストレージ110の各部の動作を制御する。通信部115は、リモートサイトに設けられている複製ストレージ130やジャーナルサイトに設けられているジャーナルストレージ140との通信を行う。また、リモートサイトとの間のネットワーク151やジャーナルサイトとの間のネットワーク152に通信障害が発生したことを検出する。
【0031】
リモートサイトには、プログラム制御によって動作するホストコンピュータ120及び複製ストレージ130が設置されている。
【0032】
ホストコンピュータ120は、ディスクアクセス部121を備える。ディスクアクセス部121は、複製ストレージ130に対して情報の読み込み及び書き込みを行う。
【0033】
複製ストレージ130は、ディスク131、ストレージ制御部134、及び通信部135を備える。ストレージ制御部134は、複製ストレージ130の各部の動作を制御する。通信部135は、メインサイトに設けられているメインストレージ110やジャーナルサイトに設けられているジャーナルストレージ140との通信を行う。また、メインサイトとの間のネットワーク152やジャーナルサイトとの間のネットワーク153に通信障害が発生したことを検出する。なお、複製ストレージ130は、メインストレージ110との間で厳密一貫性が保たれている状態、メインストレージ110との間で順序一貫性(sequential consistency)が保たれている状態、及び、メインストレージ110との間に一貫性が保たれていない状態のいずれかの状態をとる。
なお、順序一貫性とは、全てのプロセスによるストレージに対する読み書き操作は、どのプロセスからも同じ順序で観測できることである。順序一貫性は、操作が行われた時間については言及しない。ただし、個々のプロセスに閉じれば、そのプログラムに書かれた順序通りに観測できる。
【0034】
ジャーナルサイトには、ジャーナルストレージ140が設置されている。ジャーナルストレージ140は、ディスク141、通信部142及びストレージ制御部143を備える。ストレージ制御部143は、ジャーナルストレージ140の各部の動作を制御する。通信部142は、メインサイトに設けられているメインストレージ110やリモートサイトに設けられている複製ストレージ130との通信を行う。また、メインサイトとの間のネットワーク152やリモートサイトとの間のネットワーク153に通信障害が発生したことを検出する。
【0035】
各サイト間は、ネットワーク151〜153でそれぞれ接続されている。
【0036】
次に、本実施形態に係る情報システムのリカバリ動作について説明する。なお、上記のように、メインストレージ110、複製ストレージ130及びジャーナルストレージ140の動作はそれぞれストレージ制御部114、134及び143によって制御され、ストレージ間の通信は通信部115、135及び142によって実現されるが、以下では説明の簡略化のため、単にストレージ装置が動作(コピーや通信など)を行うと表記する。
【0037】
本実施形態において、情報システムは厳密一貫性を必要とするシステムであるとする。ただし、本発明を厳密一貫性を必要とするシステムに限定する主旨ではなく、順序一貫性を必要とするシステムとして構成することも可能である。
【0038】
通常状態では、メインサイトとリモートサイトとの間でネットワーク151を介して通信し、図3に示すようにメインストレージ110のディスク111から複製ストレージ130のディスク131に同期コピーを行う。
【0039】
図4に示すようにメインサイトとリモートサイトとの間で通信障害が発生した場合について説明する。メインストレージ110及び複製ストレージ130は、ハートビート通信などによって通信障害を検出する。通信障害が検出されると、メインストレージ110は、同期コピー先をジャーナルストレージ140のディスク141に変更し、リモートサイトへ送信できなかったデータを順にジャーナルストレージ140へ送信する。
【0040】
複製ストレージ130は、メインストレージ110からの同期コピーを受けられなくなったため、厳密一貫性を保った状態から順序一貫性を保った状態へと遷移する。本実施形態においては情報システムが厳密一貫性を必要とするシステムであるため、以降リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理はエラーとなる。
【0041】
ジャーナルストレージ140は、メインストレージ110と同期して更新データをディスク141に書き込む。メインストレージ110からの同期コピー先が複製ストレージ130のディスク131からジャーナルストレージ140のディスク141へ切り替わると、ジャーナルストレージ140は複製ストレージ130との通信を確立する。接続後、ジャーナルストレージ140は、ディスク141に保存されている更新データを複製ストレージ130のディスク131へ準同期コピーする。更新順序が維持されるため、メインストレージ110と複製ストレージ130との順序一貫性が保たれる。
【0042】
この状態で、図5に示すようにメインサイトが被災した場合について説明する。
この場合、ジャーナルストレージ140は、ディスク141に存在する更新データの複製ストレージ130のディスク131への準同期コピーを継続する。ディスク141に存在する更新データを全てディスク131に準同期コピーした後、図6に示すように、ジャーナルストレージ140は差分反映完了を複製ストレージ130に通知する。複製ストレージ130は、差分反映完了の通知を受け取った時点で全データが最新となっている。このとき、複製ストレージ130はメインストレージ110との厳密一貫性が保たれた状態であり、リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理が可能である。
【0043】
一般に、ストレージのデータが最新になった後は、ジャーナルによるロールバックなどを行い、OS(Operating System)や上位のアプリケーションから論理的に整合性のあるデータになるように修復が行われる。本実施形態においても、公知のロールバックを行うものとする。なお、順序一貫性が保たれた状態でなければジャーナルによる修復は行えないが、上記の手順においては常に順序一貫性が保たれているため、ジャーナルによる修復が可能である。
【0044】
次に、図4に示すように通信障害が発生した後、図7に示すようにメインサイトが被災せずに通信障害から復旧した場合について説明する。メインストレージ110は定期的に複製ストレージ130に対する通信を試み、通信が成功した時点で通信障害が解消されたことを認識する。メインストレージ130は、複製ストレージ130との間の通信が復旧したことを、通信復旧通知を送信することによってジャーナルストレージ140に通知する。メインストレージ110は、通信復旧後もジャーナルストレージ140への更新データの送信を継続する。
【0045】
ジャーナルストレージ140は、通信復旧通知を受け取った後、ディスク141に存在する更新データが全て複製ストレージ130のディスク131に反映され、ディスク141に更新データが存在しなくなった時点で、図8に示すようにメインストレージ110及び複製ストレージ130に差分反映完了を通知する。ジャーナルストレージ140は、差分反映完了を通知するまでは、ディスク111からの同期コピーを受け付け、ディスク131への準同期コピーを継続する。
【0046】
差分反映完了通知を受け取ったメインストレージ110は、図9に示すように、同期コピー先を複製ストレージ130のディスク131に切り替える。以降は、ジャーナルストレージ140は使用せずにメインストレージ110と複製ストレージ130との間で通信を行う。
【0047】
同様に、差分反映完了通知を受け取った複製ストレージ130は、ジャーナルストレージ140のディスク141からの準同期コピーに替わり、メインストレージ110のディスク111からの同期コピーを処理する。複製ストレージ130は、ディスク111からの同期コピーを受け付ける時点でメインストレージ110との厳密一貫性が保たれた状態となる。したがって、これ以降は、リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理が可能である。
【0048】
次に、ジャーナルストレージ140に空き容量が無くなった場合の動作について説明する。図10に示すようにジャーナルストレージ140に空き容量が無くなると、メインストレージ110のディスク111からジャーナルストレージ140のディスク141への同期コピーができなくなるため、メインストレージ110は更新データをバッファ112に格納する。ジャーナルストレージ140のディスク141に空きができたら、図11に示すように、メインストレージ110はバッファ112に格納した更新データを準同期コピーによってジャーナルストレージ140のディスク141へ送信する。
メインストレージ110のバッファ112を使用しているため、この状態でメインサイトが被災すると更新データが消失するが、複製ストレージ130又はジャーナルストレージ140にコピーしたデータは、少なくとも順序一貫性が保たれているため、残ったデータを使用して情報システムを復旧することができる。
【0049】
バッファ112に空き容量が無くなった場合、メインストレージ110は、ディスク111上の更新箇所をビットマップ113で管理する方法に切り替える。メインストレージ110は、バッファ112に空き容量が無くなったことを複製ストレージ130に通知する。そして、バッファ112に格納した更新データが準同期コピーでジャーナルストレージ140へ送信され、ジャーナルストレージ140から複製ストレージ130への更新データの反映が完了したら、複製ストレージ130は、ビットマップ113で管理された更新箇所をディスク131に反映させる。
【0050】
更新箇所をビットマップで管理する方法は公知の技術を適用可能である。ビットマップ113は更新順序を保持しないため、ビットマップ113で管理された更新箇所を複製ストレージ130のディスク131に反映させる際には、更新順序とは無関係の非同期コピーとなり、一貫性(consistency)は保たれない。このため、ビットマップで管理された更新箇所を複製ストレージ130に反映させる場合は、全更新箇所の反映が完了するまで複製ストレージ130は使用できない。
【0051】
次に、ネットワークの二重障害が発生した場合の動作について説明する。図12に示すように、メインサイトとジャーナルサイトとの間のネットワーク152及びリモートサイトとジャーナルサイトとの間のネットワーク153に通信障害が発生した場合は、メインサイトとリモートサイトとの間のネットワーク151が使用できるため、通常時と同様にメインストレージ110から複製ストレージ130へ同期コピーを行う。
【0052】
図13に示すように、メインサイトとリモートサイトとの間のネットワーク151及びジャーナルサイトとリモートサイトとの間のネットワーク153に通信障害が発生した場合、メインストレージ110は更新データをジャーナルストレージ140に同期コピーする。ジャーナルストレージ140は、更新データをディスク141に保持しておき、保持している更新データをネットワーク153が復旧した後で複製ストレージ130に非同期コピーする。
【0053】
メインサイトとリモートサイトとの間のネットワーク151及びメインサイトとジャーナルサイトとの間のネットワーク152に通信障害が発生した場合、メインストレージ110は更新データを送信できないため、図14に示すようにジャーナルストレージ140に空き容量が無くなった場合と同様の動作(更新データをバッファ112に保持する動作)を行う。
【0054】
本実施形態においては、メインサイトとリモートサイトとにネットワークを介して接続され、ストレージを備えたジャーナルサイトを第3のサイトとしてメインサイトとリモートサイトとの間でデータを送信している情報システムに設けている。そして、メインサイトとリモートサイトとの間で通信障害が発生した場合に、メインサイトのストレージはリモートサイトに送信していた更新データをジャーナルサイトのストレージに同期コピーするように切り替える。
ジャーナルサイトに更新データを格納することにより、メインサイトとリモートサイトとの間の通信障害発生中にメインサイトが被災しても、データが消失することはない。
ジャーナルサイトに存在する更新データをリモートサイトに反映させることにより、データの復旧が完了させ、リモートサイトで業務を継続できる。
【0055】
また、リモートサイトを複数設けたり、メインサイトとリモートサイトとの伝送経路を冗長化する必要がないため、導入にかかる初期費用や運用にかかるコストを低減できる。
【0056】
このように、本実施形態に係る情報システムは、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能である。
【0057】
〔第2の実施形態〕
本発明を好適に実施した第2の実施形態について説明する。本実施形態に係る情報システムは、第1の実施形態とほぼ同様である。図15に本実施形態に係る情報システムの詳細な構成を示す。本実施形態に係る情報システムは、複製ストレージ130がバッファ132をさらに有する点で第1の実施形態と相違する。
【0058】
本実施形態に係る情報システムのリカバリ動作について説明する。
図16、図17に示すように、本実施形態においては、メインサイトとリモートサイトとの通信が復旧した直後に、メインストレージ110からジャーナルストレージ140へ通信復旧を通知し、メインストレージ110内の更新データの同期コピー先をジャーナルストレージ140から複製ストレージ130へ切り替える。
【0059】
複製ストレージ130は、ジャーナルストレージ140及びメインストレージ110の両方からデータを受け取るが、ジャーナルストレージ140から受け取る更新データを先にディスク131に反映させ、メインストレージ110から受け取るデータはバッファ132に蓄えておく。例えば、図16に示す状態からさらにメインストレージ110に「7」というデータが書き込まれた時点で通信障害が復旧した場合には、図17に示すように、ジャーナルストレージ140内の「4」のデータと、メインストレージ内の「7」というデータとが複製ストレージ130に送られるが、複製ストレージ130は、ジャーナルストレージ140から受信した「4」のデータをディスク131に反映させ、メインストレージ110から受信した「7」のデータはバッファ132に蓄える。
【0060】
ジャーナルストレージ140は、メインストレージ110からの同期コピーが終了したことを、通信復旧が通知されることによって認識する。ジャーナルストレージ140は、ディスク141にある更新データが全て複製ストレージ130のディスク131に反映され、ジャーナルストレージ140に更新データが存在しなくなった時点で、図18に示すように、複製ストレージ130に差分反映完了を通知する。
【0061】
複製ストレージ130は、差分反映完了の通知を受け取った後、バッファ132に存在する更新データをディスク131に反映させる。全てのデータを反映し終わったら、図19に示すように、メインストレージ110からの同期コピーは複製ストレージ130のディスク131に直接反映させる。
【0062】
本実施形態においては、メインサイトとリモートサイトとの通信復旧を契機として、更新データの送信先をリモートサイトに切り替える。したがって、更新データがジャーナルサイト及びメインサイトの両方から並行してリモートサイトへ送信されるため、更新データをリモートサイトに反映させるのに要する時間を短縮できる。
【0063】
〔第3の実施形態〕
本発明を好適に実施した第3の実施形態について説明する。
図20に本実施形態に係る情報システムの構成を示す。本実施形態に係る情報システムは、メインストレージ210と、メインストレージ210のデータが更新された際に、更新データのデータがメインストレージ210から同期コピーされる複製ストレージ230とを備えた情報システムであって、メインストレージ210にネットワーク252を介して接続されたジャーナルストレージ240を有し、メインストレージ210と複製ストレージ230との間のネットワーク251で通信障害が発生した場合には、更新データをジャーナルストレージ240へ同期コピーし、ネットワーク251の通信障害が解消された後に、ジャーナルストレージ240に格納した更新データを、メインストレージ210を経由して複製ストレージ230へ準同期コピーし、メインストレージ210からの更新データの同期コピー先を複製ストレージ230に戻し、ネットワーク151で通信障害が発生している間にメインストレージ210が破損した場合は、メインストレージ210の修復後に複製ストレージ230からデータを書き戻し、その後、ジャーナルストレージ240に格納した更新データをメインストレージ210へ準同期コピーする。
【0064】
図21に、本実施形態に係る情報システムのより詳細な構成を示す。
本実施形態に係る情報システムは、メインサイト、リモートサイト及びジャーナルサイトの三つのサイトを備える。
【0065】
メインサイトには、プログラム制御によって動作するホストコンピュータ200及びメインストレージ210が設置されている。
ホストコンピュータ200は、ディスクアクセス部201を備える。ディスクアクセス部201は、メインストレージ210に対して情報の読み込み及び書き込みを行う。
メインストレージ210は、ディスク211、バッファ212、ビットマップ213、ストレージ制御部214及び通信部215を備える。ビットマップ213は、メインストレージ210と複製ストレージ230との間で一貫性が保てなくなった後でメインストレージ210上で更新された領域を表している。ストレージ制御部214は、メインストレージ210の各部の動作を制御する。通信部215は、リモートサイトに設けられている複製ストレージ230やジャーナルサイトに設けられているジャーナルストレージ240との通信を行う。
【0066】
リモートサイトには、複製ストレージ230が設置されている。
複製ストレージ230は、ディスク231、バッファ232、ストレージ制御部234、及び通信部235を備える。ストレージ制御部234は、複製ストレージ230の各部の動作を制御する。通信部235は、メインサイトに設けられているメインストレージ210やジャーナルサイトに設けられているジャーナルストレージ240との通信を行う。
【0067】
ジャーナルサイトには、ジャーナルストレージ240が設置されている。ジャーナルストレージ240は、ディスク241、通信部242及びストレージ制御部243を備える。ストレージ制御部243は、ジャーナルストレージ240の各部の動作を制御する。通信部242は、メインサイトに設けられているメインストレージ210やリモートサイトに設けられている複製ストレージ230との通信を行う。
【0068】
メインサイトとリモートサイトとの間はネットワーク251、メインサイトとジャーナルサイトとの間は、ネットワーク252でそれぞれ接続されている。なお、本実施形態においては、ジャーナルサイトとリモートサイトとの間は接続されていない。
【0069】
本実施形態に係る情報システムのリカバリ動作について説明する。
【0070】
通常時は、更新データはメインストレージ210から複製ストレージ230に同期コピーされる。メインストレージ210と複製ストレージ230との間の通信に障害が発生したことをメインストレージ210が検出した場合、図22に示すように、メインストレージ210は同期コピー先をジャーナルストレージ240に切り替える。
【0071】
この状態でメインサイトが被災した場合は、ますメインサイトを復旧させ、図23に示すように複製ストレージ230からメインストレージ210に全データをコピーする。この時のコピーは、非同期かつ更新順序を保証せずに行われるため、「非同期コピー」に相当する。その後、図24に示すように、ジャーナルストレージ240から更新データをメインストレージ210に準同期コピーするとともに、メインストレージ210から複製ストレージ230へも準同期コピーする。ジャーナルストレージ240の全ての更新データをメインストレージ210に反映させたら、ジャーナルストレージ240は差分反映完了をメインストレージ210に通知する。これを受けて、メインストレージ210は複製ストレージ230に差分反映完了を通知する。
複製ストレージ230は、図25に示すように、全データを反映し終わったらメインストレージ210へ同期完了を通知する。
以降、ホストコンピュータ200からメインストレージ210が使用可能となり、図26に示すように、メインストレージ210への更新は複製ストレージ230に同期コピーされる。
【0072】
次に、メインサイトが被災せずに、図22に示す通信障害が復旧した場合について説明する。
メインストレージ210は定期的に複製ストレージ230に通信を試み、通信障害が解消されたことを通信が成功することによって認識する。メインストレージ210は、メインサイトとリモートサイトとの間の通信障害が解消されたことを、通信復旧通知を送ることによってジャーナルストレージ240に通知する。メインストレージ210は、通信が復旧した後も、ジャーナルストレージ240への同期コピーを継続する。
【0073】
図27に示すように、ジャーナルストレージ240は、通信復旧通知を受け取った後、ディスク244に存在する更新データをメインストレージ210を経由して、複製ストレージ230へ準同期コピーする。ジャーナルストレージ240に更新データが無くなった時点で、図28に示すように、ジャーナルストレージ240はメインストレージ210に差分反映完了を通知する。これを受けて、メインストレージ210は複製ストレージ230へ差分反映完了を通知する。
【0074】
ジャーナルストレージ240は、差分反映完了をメインストレージ210に通知するまではメインストレージ210からの同期コピーを受け続ける。メインストレージ210は、差分反映完了を通知された後は、ジャーナルストレージ240に更新データを送らない。
【0075】
複製ストレージ230は、全データを反映し終わったら、図29に示すように、同期完了をメインストレージ210に通知する。同期完了を通知されたメインストレージ210は、同期コピー先を複製ストレージ230に切り替える。以降は、ジャーナルストレージ240は使用せず、図30に示すように、メインストレージ210と複製ストレージ230との間で通信を行い、更新データをメインストレージのディスク211から複製ストレージ230のディスク231へ同期コピーする。
【0076】
なお、図31に示すように第2の実施形態と同様に複製ストレージ230がバッファ232を備えた構成とし、メインストレージ210と複製ストレージ230との間の通信が復旧した時点で、メインストレージ210からの同期コピー先を複製ストレージ230に変更し、図32に示すように、ジャーナルストレージ240からの準同期コピーが完了するまでの間は更新データをバッファ232に蓄積しておくようにしても良い。この場合には、図33に示すように、ジャーナルストレージ240からの準同期コピーが完了した後で図34に示すようにディスク231に反映させても良い。
【0077】
ジャーナルストレージに空き容量が無くなった場合の動作は、第1の実施形態と同様であり、メインストレージ210は更新データをバッファ212に格納する。ジャーナルストレージ240に空きができたら、メインストレージ210はバッファ212に格納した更新データを準同期コピーによってジャーナルストレージ240へ送信する。
【0078】
さらに、バッファ212に空き容量が無くなった場合の動作は第1の実施形態と同様であり、メインストレージ210は、ディスク211上の更新箇所をビットマップ213で管理する方法に切り替える。
【0079】
本実施形態に係る情報システムは、リモートサイトとジャーナルサイトとの間の通信経路を省略した構成となっているため、システムを構築する際のコストをさらに低減できる。
【0080】
なお、上記各実施形態は本発明の好適な実施の一例であり、本発明はこれらに限定されることはない。
【0081】
例えば、上記各実施形態においては、メインサイト及びリモートサイトが単独の構成を例としたが、ジャーナルサイトを集約し、複数のサイトがジャーナルサイトを共用する構成とすることも可能である。
具体的には、図35に示すように、ジャーナルサイトをデータセンタに集約し、第1、第2の実施形態に係る複数のメインサイトとそのリモートサイトとをデータセンタと接続する。データセンタはジャーナルストレージのプールを用意し、各サイトに動的に割り当てる。各サイトの地理的又はネットワーク的な位置について重複しないように考慮することで、通信障害が同時に発生するサイト数を低減でき、必要なジャーナルストレージプールの量を低減できる。すなわち、各サイトが個別にジャーナルサイトを備える場合と比較して、コストの削減とリソースの有効利用とが可能となる。図36に示すように、ジャーナルサイトをデータセンタに集約し、第3の実施形態に係る複数のメインサイトをデータセンタと接続しても同様の効果が得られる。
また、図37に示すように、複数の複製ストレージをデータセンタに集約しておくことにより、複製ストレージ及びジャーナルストレージを用いたディザスタリカバリをアウトソーシングサービスとして実現できる。すなわち、企業等は、リモートサイト及びジャーナルサイトの開設や、複製ストレージ及びジャーナルストレージの保守・運営を専門の業者に委託することが可能となり、メインサイトの開設及び運営のみを行うだけで良くなるため、ディザスタリカバリに対応した情報システムの導入が容易になる。
このように、本発明は様々な変形が可能である。
【符号の説明】
【0082】
100、120、200 ホストコンピュータ
101、121、201 ディスクアクセス部
110、210 メインストレージ
111、131、141、211、231、241 ディスク
112、132、212 バッファ
113 ビットマップ
114、134、143、214、234、243 ストレージ制御部
115、135、142、215、235、242 通信部
130、230 複製ストレージ
140、240 ジャーナルストレージ
151、152、153、251、252 ネットワーク
【技術分野】
【0001】
本発明は、同時に被災しないように離れて設けられた複数のストレージ装置を有する情報システム及びディザスタリカバリ方法に関する。
【背景技術】
【0002】
昨今の企業や公共団体などは、市民生活上で重要な役割を担っており、それらが運用する情報システムの役割はますます重要になっている。このため、社会的な責任、危機管理、尊法などの観点からも、災害が発生するなどしてシステム障害に陥っても業務を継続できるか、又は容易に復旧できるようにするという情報システムのリカバリ対策、いわゆるディザスタリカバリ(disaster recovery)が重要となってきている。
【0003】
ディザスタリカバリにおける災害とは、サイトに設置した装置に全体的に被害を与える現象全般を意味し、特定の現象を表すものではない。すなわち、建物単体での火災のような小規模なものから、風水害や地震などの大規模なものも含まれる。また、不正侵入やテロなどの人為的な原因のものも含まれる。なお、本明細書において「サイト」とは、コンピュータやストレージ装置などのハードウェアが設置される場所を意味する。また、サイトに設置した装置が災害によって全体的に破損することを「被災」と表記する。
【0004】
ディザスタリカバリのために、大規模な災害が発生しても同時に影響を受けないことが想定できる程度メインサイトから離してリモートサイトを設け、メインサイト内のデータをリモートサイトに複製(バックアップ)しておき、メインサイトが被災しても、リモートサイトで業務を継続できるようにする手法がある。この手法に関連する技術としては、特許文献1に開示される「ホストシステム間のバックアップシステム」がある。
【0005】
メインサイトの情報をリモートサイトに反映する方法として、ディスクストレージのレプリケーションが知られている。レプリケーションは、メインサイトのディスクの複製(replica)をリモートサイトに作成する方法である。
【0006】
以下、メインサイトに設置されたストレージをメインストレージ、リモートサイトに設置されたストレージを複製ストレージと表記する。
【0007】
特許文献1に開示される発明のようにメインサイトとリモートサイトとを通信回線で結んだ情報システムにおいては、図37に示すように、レプリケーションの際には、メインサイトのデータをリモートサイトに送り、リモートサイト内の複製ストレージに反映する。
なお、メインサイトのストレージのデータを更新するのと同期して、複製ストレージにもデータを反映させる情報の伝達を「同期コピー」と表記する。また、メインストレージの更新と同期していないが、メインストレージと同じ順序で複製ストレージにデータを反映させる情報の伝達を「準同期コピー」と表記する。さらに、メインストレージから複製ストレージへ、非同期かつ更新順序を保証せずに行う情報の伝達を「非同期コピー」と表記する。
【0008】
メインストレージから複製ストレージに同期コピーを行っている場合、情報の厳密一貫性(strict consistency)が保たれており、メインストレージ内の全てのデータが複製ストレージにも存在するため、メインサイトが被災してもデータの消失は無い。ただし、これはメインサイトとリモートサイトとの間に通信障害が発生しないことが前提である。
【0009】
なお、厳密一貫性とは、データ項目に対するどのような読み取り操作も、最も新しい書き込み結果に対応した値を返却することである。
【0010】
図37に示した情報システムは、メインサイトとリモートサイトとの間に通信障害が発生すると、同期コピーを実行できないため、図38に示すように更新データをメインストレージのバッファに蓄える。メインストレージは、通信障害が復旧した後、バッファの内容を複製ストレージに準同期コピーする。バッファ内の全てのデータが複製ストレージに反映された時点で、情報システムは同期コピーを行える状態に復旧する。
【0011】
しかし、通信障害が発生している間はリモートサイトにデータが送信されていないため、図39に示すように通信障害発生中でメインストレージにのみ更新データが存在する状態でメインサイトが被災すると、更新データが消失してしまう。
【0012】
この問題への対処に関連する技術として、特許文献2に開示される「データ複製システム、中継装置、データ送受信方法およびストレージ内のデータを複製するためのプログラム」がある。特許文献1には、ストレージ間の伝送経路に冗長性(redundancy)を持たせる構成が開示されている。この手法によれば、伝送経路のいずれかで通信障害が発生したとしても、別の通信経路を利用して更新データを送信できるため、全ての伝送経路に通信障害が発生しない限り、メインサイトが被災してもデータが消失することはない。
【0013】
また、特許文献3に開示される発明のように、リモートサイトを複数にし、冗長性を維持するという手法もある。この手法によれば、一つのリモートサイトとの間で通信障害が発生したとしても、メインサイトから残りのリモートサイトへ更新データを送信できるため、全てのリモートサイトとの間に通信障害が発生しない限り、メインサイトが被災してもデータが消失することはない。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特開2000−76151号公報
【特許文献2】特開2004−86721号公報(図8)
【特許文献3】特開2004−227528号公報
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかし、大規模な災害が発生しても同時に影響を受けないことが想定できる程度離れた位置にあるサイト間の伝送経路に冗長性を持たせることは容易ではなく、ケーブルの敷設等に多大な費用や時間が必要となる。
【0016】
また、リモートサイトを複数持つことは、多大な費用が必要となり、多くのシステムにとって現実的ではない。すなわち、リモートサイトを開設する場所や機材の用意や各リモートサイトとメインサイトとを接続するケーブルを敷設する作業などの初期投資のみならず、それらを維持管理する費用が必要となってしまう。さらに、複数のリモートサイトを開設すると情報システムの運用が複雑になってしまう。
【0017】
したがって、特許文献2や3に開示される発明は、低コストでのディザスタリカバリの実現が困難である。
【0018】
このように、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法は提供されていなかった。
【0019】
本発明は係る問題に鑑みてなされたものであり、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法を提供することを目的とする。
【課題を解決するための手段】
【0020】
上記目的を達成するため、本発明は、第1の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、第1及び第2のストレージ装置の双方に接続されたジャーナルストレージ装置を有し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、ジャーナルストレージ装置に格納した更新データを、第2のストレージ装置へ準同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻すことを特徴とする情報システムを提供するものである。
【0021】
また、上記目的を達成するため、本発明は、第2の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、第1のストレージ装置に接続されたジャーナルストレージ装置を有し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、ジャーナルストレージ装置に格納した更新データを、第1のストレージ装置を経由して第2のストレージ装置へ準同期コピーし、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生している間に第1のストレージ装置が破損した場合は、第1のストレージ装置の修復後に第2のストレージ装置からデータを書き戻し、その後、ジャーナルストレージ装置に格納した更新データを第1のストレージ装置へ準同期コピーすることを特徴とする情報システムを提供するものである。
【0022】
また、上記目的を達成するため、本発明は、第3の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、第1及び第2のストレージ装置の双方にジャーナルストレージ装置を接続し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、ジャーナルストレージ装置に格納した更新データを、第2のストレージ装置へ準同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻すことを特徴とするディザスタリカバリ方法を提供するものである。
【0023】
また、上記目的を達成するため、本発明は、第4の態様として、第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、第1のストレージ装置にジャーナルストレージ装置を接続し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、更新データをジャーナルストレージ装置へ同期コピーし、第1のストレージ装置と第2のストレージ装置との間の通信障害が解消された後に、ジャーナルストレージ装置に格納した更新データを、第1のストレージ装置を経由して第2のストレージ装置へ準同期コピーし、第1のストレージ装置からの更新データの同期コピー先を第2のストレージ装置に戻し、第1のストレージ装置と第2のストレージ装置との間で通信障害が発生している間に第1のストレージ装置が破損した場合は、第1のストレージ装置の修復後に第2のストレージ装置からデータを書き戻し、その後、ジャーナルストレージ装置に格納した更新データを第1のストレージ装置へ準同期コピーすることを特徴とするディザスタリカバリ方法を提供するものである。
【発明の効果】
【0024】
本発明によれば、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能な情報システム及びディザスタリカバリ方法を提供できる。
【図面の簡単な説明】
【0025】
【図1】本発明を好適に実施した第1の実施形態に係る情報システムの構成を示す図である。
【図2】第1の実施形態に係る情報システムの詳細な構成を示す図である。
【図3】メインストレージのディスクから複製ストレージのディスクに同期コピーを行う通常状態を示す図である。
【図4】メインサイトとリモートサイトとの間で通信障害が発生した状態を示す図である。
【図5】メインサイトとリモートサイトとの間で通信障害が発生中にメインサイトが被災した状態を示す図である。
【図6】ジャーナルストレージが複製ストレージに差分反映完了を通知した状態を示す図である。
【図7】メインサイトとリモートサイトとの間で通信障害が発生した後、メインサイトが被災せずに通信障害が解消した状態を示す図である。
【図8】ジャーナルストレージがメインストレージ及び複製ストレージに差分反映完了を通知した状態を示す図である。
【図9】メインストレージが、同期コピー先を複製ストレージに切り替えた状態を示す図である。
【図10】ジャーナルストレージに空き容量が無くなった状態を示す図である。
【図11】ジャーナルストレージに空きができたのち、バッファに格納した更新データがジャーナルストレージへ準同期コピーされる状態を示す図である。
【図12】メインサイトとジャーナルサイトとの間及びリモートサイトとジャーナルサイトとの間に通信障害が発生した状態を示す図である。
【図13】メインサイトとリモートサイトとの間及びジャーナルサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図14】メインサイトとリモートサイトとの間及びメインサイトとジャーナルサイトとの間に通信障害が発生した状態を示す図である。
【図15】本発明を好適に実施した第2の実施形態に係る情報システムの詳細な構成を示す図である。
【図16】メインサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図17】メインサイトとリモートサイトとの間の通信障害が解消した状態を示す図である。
【図18】ジャーナルストレージが複製ストレージに差分反映完了を通知した状態を示す図である。
【図19】メインストレージから複製ストレージへの同期コピーが再開された状態を示す図である。
【図20】本発明を好適に実施した第3の実施形態に係る情報システムの構成を示す図である。
【図21】第3の実施形態に係る情報システムの詳細な構成を示す図である。
【図22】メインストレージが同期コピー先をジャーナルストレージに切り替えた状態を示す図である。
【図23】複製ストレージ内のデータをメインストレージに書き戻した状態を示す図である。
【図24】ジャーナルストレージから更新データをメインストレージに準同期コピーするとともに、メインストレージから複製ストレージへも準同期コピーする状態を示す図である。
【図25】複製ストレージがメインストレージへ差分反映完了を通知した状態を示す図である。
【図26】メインストレージへの更新データが複製ストレージに同期コピーされる状態を示す図である。
【図27】ジャーナルストレージが更新データをメインストレージを経由して、複製ストレージへ準同期コピーする状態を示す図である。
【図28】ジャーナルストレージがメインストレージに差分反映完了を通知した状態を示す図である。
【図29】同期が完了したことを複製ストレージがメインストレージに通知した状態を示す図である。
【図30】メインストレージから複製ストレージへの同期コピーが再開された状態を示す図である。
【図31】複製ストレージにバッファを設けた構成の情報システムを示す図である。
【図32】ジャーナルストレージからの準同期コピーが完了するまでの間は更新データをバッファに蓄積する状態を示す図である。
【図33】ジャーナルストレージから複製ストレージへの更新データの準同期コピーが完了した状態を示す図である。
【図34】複製ストレージのバッファ内の更新データが反映された状態を示す図である。
【図35】ジャーナルサイトをデータセンタに集約し、複数のメインサイトとそのリモートサイトとをデータセンタと接続した状態を示す図である。
【図36】ジャーナルサイトをデータセンタに集約し、複数のメインサイトとそのリモートサイトとをデータセンタと接続した状態を示す図である。
【図37】メインサイトの更新データをリモートサイトに同期コピーする状態を示す図である。
【図38】メインサイトとリモートサイトとの間に通信障害が発生した状態を示す図である。
【図39】メインサイトとリモートサイトとの間に通信障害が発生中にメインサイトが被災した状態を示す図である。
【発明を実施するための形態】
【0026】
〔第1の実施形態〕
本発明を好適に実施した第1の実施形態について説明する。
図1に、本実施形態に係る情報システムの構成を示す。本実施形態に係る情報システムは、メインストレージ110と、メインストレージ110のデータが更新された際に、更新データがメインストレージ110から同期コピーされる複製ストレージ130とを備えた情報システムであって、メインストレージ110及び複製ストレージ130の双方にネットワーク151、153を介して接続されたジャーナルストレージ140を有し、メインストレージ110と複製ストレージ130との間のネットワーク151に通信障害が発生した場合には、更新データをジャーナルストレージ140へ同期コピーし、ジャーナルストレージ140に格納した更新データを、複製ストレージ130へ準同期コピーし、ネットワーク151の通信障害が解消された後に、メインストレージ110からの更新データの同期コピー先を複製ストレージ130に戻す。
【0027】
図2に、本実施形態に係る情報システムのより詳細な構成を示す。
本実施形態に係る情報システムは、メインサイト、リモートサイト及びジャーナルサイトの三つのサイトを備える。各サイトは、大規模な災害が発生しても同時に被災しないように離れて設けられている。
【0028】
メインサイトには、プログラム制御によって動作するホストコンピュータ100及びメインストレージ110が設置されている。
【0029】
ホストコンピュータ100は、ディスクアクセス部101を備える。ディスクアクセス部101は、メインストレージ110に対して情報の読み込み及び書き込みを行う。
【0030】
メインストレージ110は、ディスク111、バッファ112、ビットマップ113、ストレージ制御部114及び通信部115を備える。ビットマップ113は、メインストレージ110と複製ストレージ130との間で一貫性が保てなくなった後でメインストレージ110上で更新された領域を表している。ストレージ制御部114は、メインストレージ110の各部の動作を制御する。通信部115は、リモートサイトに設けられている複製ストレージ130やジャーナルサイトに設けられているジャーナルストレージ140との通信を行う。また、リモートサイトとの間のネットワーク151やジャーナルサイトとの間のネットワーク152に通信障害が発生したことを検出する。
【0031】
リモートサイトには、プログラム制御によって動作するホストコンピュータ120及び複製ストレージ130が設置されている。
【0032】
ホストコンピュータ120は、ディスクアクセス部121を備える。ディスクアクセス部121は、複製ストレージ130に対して情報の読み込み及び書き込みを行う。
【0033】
複製ストレージ130は、ディスク131、ストレージ制御部134、及び通信部135を備える。ストレージ制御部134は、複製ストレージ130の各部の動作を制御する。通信部135は、メインサイトに設けられているメインストレージ110やジャーナルサイトに設けられているジャーナルストレージ140との通信を行う。また、メインサイトとの間のネットワーク152やジャーナルサイトとの間のネットワーク153に通信障害が発生したことを検出する。なお、複製ストレージ130は、メインストレージ110との間で厳密一貫性が保たれている状態、メインストレージ110との間で順序一貫性(sequential consistency)が保たれている状態、及び、メインストレージ110との間に一貫性が保たれていない状態のいずれかの状態をとる。
なお、順序一貫性とは、全てのプロセスによるストレージに対する読み書き操作は、どのプロセスからも同じ順序で観測できることである。順序一貫性は、操作が行われた時間については言及しない。ただし、個々のプロセスに閉じれば、そのプログラムに書かれた順序通りに観測できる。
【0034】
ジャーナルサイトには、ジャーナルストレージ140が設置されている。ジャーナルストレージ140は、ディスク141、通信部142及びストレージ制御部143を備える。ストレージ制御部143は、ジャーナルストレージ140の各部の動作を制御する。通信部142は、メインサイトに設けられているメインストレージ110やリモートサイトに設けられている複製ストレージ130との通信を行う。また、メインサイトとの間のネットワーク152やリモートサイトとの間のネットワーク153に通信障害が発生したことを検出する。
【0035】
各サイト間は、ネットワーク151〜153でそれぞれ接続されている。
【0036】
次に、本実施形態に係る情報システムのリカバリ動作について説明する。なお、上記のように、メインストレージ110、複製ストレージ130及びジャーナルストレージ140の動作はそれぞれストレージ制御部114、134及び143によって制御され、ストレージ間の通信は通信部115、135及び142によって実現されるが、以下では説明の簡略化のため、単にストレージ装置が動作(コピーや通信など)を行うと表記する。
【0037】
本実施形態において、情報システムは厳密一貫性を必要とするシステムであるとする。ただし、本発明を厳密一貫性を必要とするシステムに限定する主旨ではなく、順序一貫性を必要とするシステムとして構成することも可能である。
【0038】
通常状態では、メインサイトとリモートサイトとの間でネットワーク151を介して通信し、図3に示すようにメインストレージ110のディスク111から複製ストレージ130のディスク131に同期コピーを行う。
【0039】
図4に示すようにメインサイトとリモートサイトとの間で通信障害が発生した場合について説明する。メインストレージ110及び複製ストレージ130は、ハートビート通信などによって通信障害を検出する。通信障害が検出されると、メインストレージ110は、同期コピー先をジャーナルストレージ140のディスク141に変更し、リモートサイトへ送信できなかったデータを順にジャーナルストレージ140へ送信する。
【0040】
複製ストレージ130は、メインストレージ110からの同期コピーを受けられなくなったため、厳密一貫性を保った状態から順序一貫性を保った状態へと遷移する。本実施形態においては情報システムが厳密一貫性を必要とするシステムであるため、以降リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理はエラーとなる。
【0041】
ジャーナルストレージ140は、メインストレージ110と同期して更新データをディスク141に書き込む。メインストレージ110からの同期コピー先が複製ストレージ130のディスク131からジャーナルストレージ140のディスク141へ切り替わると、ジャーナルストレージ140は複製ストレージ130との通信を確立する。接続後、ジャーナルストレージ140は、ディスク141に保存されている更新データを複製ストレージ130のディスク131へ準同期コピーする。更新順序が維持されるため、メインストレージ110と複製ストレージ130との順序一貫性が保たれる。
【0042】
この状態で、図5に示すようにメインサイトが被災した場合について説明する。
この場合、ジャーナルストレージ140は、ディスク141に存在する更新データの複製ストレージ130のディスク131への準同期コピーを継続する。ディスク141に存在する更新データを全てディスク131に準同期コピーした後、図6に示すように、ジャーナルストレージ140は差分反映完了を複製ストレージ130に通知する。複製ストレージ130は、差分反映完了の通知を受け取った時点で全データが最新となっている。このとき、複製ストレージ130はメインストレージ110との厳密一貫性が保たれた状態であり、リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理が可能である。
【0043】
一般に、ストレージのデータが最新になった後は、ジャーナルによるロールバックなどを行い、OS(Operating System)や上位のアプリケーションから論理的に整合性のあるデータになるように修復が行われる。本実施形態においても、公知のロールバックを行うものとする。なお、順序一貫性が保たれた状態でなければジャーナルによる修復は行えないが、上記の手順においては常に順序一貫性が保たれているため、ジャーナルによる修復が可能である。
【0044】
次に、図4に示すように通信障害が発生した後、図7に示すようにメインサイトが被災せずに通信障害から復旧した場合について説明する。メインストレージ110は定期的に複製ストレージ130に対する通信を試み、通信が成功した時点で通信障害が解消されたことを認識する。メインストレージ130は、複製ストレージ130との間の通信が復旧したことを、通信復旧通知を送信することによってジャーナルストレージ140に通知する。メインストレージ110は、通信復旧後もジャーナルストレージ140への更新データの送信を継続する。
【0045】
ジャーナルストレージ140は、通信復旧通知を受け取った後、ディスク141に存在する更新データが全て複製ストレージ130のディスク131に反映され、ディスク141に更新データが存在しなくなった時点で、図8に示すようにメインストレージ110及び複製ストレージ130に差分反映完了を通知する。ジャーナルストレージ140は、差分反映完了を通知するまでは、ディスク111からの同期コピーを受け付け、ディスク131への準同期コピーを継続する。
【0046】
差分反映完了通知を受け取ったメインストレージ110は、図9に示すように、同期コピー先を複製ストレージ130のディスク131に切り替える。以降は、ジャーナルストレージ140は使用せずにメインストレージ110と複製ストレージ130との間で通信を行う。
【0047】
同様に、差分反映完了通知を受け取った複製ストレージ130は、ジャーナルストレージ140のディスク141からの準同期コピーに替わり、メインストレージ110のディスク111からの同期コピーを処理する。複製ストレージ130は、ディスク111からの同期コピーを受け付ける時点でメインストレージ110との厳密一貫性が保たれた状態となる。したがって、これ以降は、リモートサイトのホストコンピュータ120からディスク131内のデータを参照する処理が可能である。
【0048】
次に、ジャーナルストレージ140に空き容量が無くなった場合の動作について説明する。図10に示すようにジャーナルストレージ140に空き容量が無くなると、メインストレージ110のディスク111からジャーナルストレージ140のディスク141への同期コピーができなくなるため、メインストレージ110は更新データをバッファ112に格納する。ジャーナルストレージ140のディスク141に空きができたら、図11に示すように、メインストレージ110はバッファ112に格納した更新データを準同期コピーによってジャーナルストレージ140のディスク141へ送信する。
メインストレージ110のバッファ112を使用しているため、この状態でメインサイトが被災すると更新データが消失するが、複製ストレージ130又はジャーナルストレージ140にコピーしたデータは、少なくとも順序一貫性が保たれているため、残ったデータを使用して情報システムを復旧することができる。
【0049】
バッファ112に空き容量が無くなった場合、メインストレージ110は、ディスク111上の更新箇所をビットマップ113で管理する方法に切り替える。メインストレージ110は、バッファ112に空き容量が無くなったことを複製ストレージ130に通知する。そして、バッファ112に格納した更新データが準同期コピーでジャーナルストレージ140へ送信され、ジャーナルストレージ140から複製ストレージ130への更新データの反映が完了したら、複製ストレージ130は、ビットマップ113で管理された更新箇所をディスク131に反映させる。
【0050】
更新箇所をビットマップで管理する方法は公知の技術を適用可能である。ビットマップ113は更新順序を保持しないため、ビットマップ113で管理された更新箇所を複製ストレージ130のディスク131に反映させる際には、更新順序とは無関係の非同期コピーとなり、一貫性(consistency)は保たれない。このため、ビットマップで管理された更新箇所を複製ストレージ130に反映させる場合は、全更新箇所の反映が完了するまで複製ストレージ130は使用できない。
【0051】
次に、ネットワークの二重障害が発生した場合の動作について説明する。図12に示すように、メインサイトとジャーナルサイトとの間のネットワーク152及びリモートサイトとジャーナルサイトとの間のネットワーク153に通信障害が発生した場合は、メインサイトとリモートサイトとの間のネットワーク151が使用できるため、通常時と同様にメインストレージ110から複製ストレージ130へ同期コピーを行う。
【0052】
図13に示すように、メインサイトとリモートサイトとの間のネットワーク151及びジャーナルサイトとリモートサイトとの間のネットワーク153に通信障害が発生した場合、メインストレージ110は更新データをジャーナルストレージ140に同期コピーする。ジャーナルストレージ140は、更新データをディスク141に保持しておき、保持している更新データをネットワーク153が復旧した後で複製ストレージ130に非同期コピーする。
【0053】
メインサイトとリモートサイトとの間のネットワーク151及びメインサイトとジャーナルサイトとの間のネットワーク152に通信障害が発生した場合、メインストレージ110は更新データを送信できないため、図14に示すようにジャーナルストレージ140に空き容量が無くなった場合と同様の動作(更新データをバッファ112に保持する動作)を行う。
【0054】
本実施形態においては、メインサイトとリモートサイトとにネットワークを介して接続され、ストレージを備えたジャーナルサイトを第3のサイトとしてメインサイトとリモートサイトとの間でデータを送信している情報システムに設けている。そして、メインサイトとリモートサイトとの間で通信障害が発生した場合に、メインサイトのストレージはリモートサイトに送信していた更新データをジャーナルサイトのストレージに同期コピーするように切り替える。
ジャーナルサイトに更新データを格納することにより、メインサイトとリモートサイトとの間の通信障害発生中にメインサイトが被災しても、データが消失することはない。
ジャーナルサイトに存在する更新データをリモートサイトに反映させることにより、データの復旧が完了させ、リモートサイトで業務を継続できる。
【0055】
また、リモートサイトを複数設けたり、メインサイトとリモートサイトとの伝送経路を冗長化する必要がないため、導入にかかる初期費用や運用にかかるコストを低減できる。
【0056】
このように、本実施形態に係る情報システムは、リモートサイトとの通信障害発生中にメインサイトが被災してもデータが消失することがなく、低コストで導入可能である。
【0057】
〔第2の実施形態〕
本発明を好適に実施した第2の実施形態について説明する。本実施形態に係る情報システムは、第1の実施形態とほぼ同様である。図15に本実施形態に係る情報システムの詳細な構成を示す。本実施形態に係る情報システムは、複製ストレージ130がバッファ132をさらに有する点で第1の実施形態と相違する。
【0058】
本実施形態に係る情報システムのリカバリ動作について説明する。
図16、図17に示すように、本実施形態においては、メインサイトとリモートサイトとの通信が復旧した直後に、メインストレージ110からジャーナルストレージ140へ通信復旧を通知し、メインストレージ110内の更新データの同期コピー先をジャーナルストレージ140から複製ストレージ130へ切り替える。
【0059】
複製ストレージ130は、ジャーナルストレージ140及びメインストレージ110の両方からデータを受け取るが、ジャーナルストレージ140から受け取る更新データを先にディスク131に反映させ、メインストレージ110から受け取るデータはバッファ132に蓄えておく。例えば、図16に示す状態からさらにメインストレージ110に「7」というデータが書き込まれた時点で通信障害が復旧した場合には、図17に示すように、ジャーナルストレージ140内の「4」のデータと、メインストレージ内の「7」というデータとが複製ストレージ130に送られるが、複製ストレージ130は、ジャーナルストレージ140から受信した「4」のデータをディスク131に反映させ、メインストレージ110から受信した「7」のデータはバッファ132に蓄える。
【0060】
ジャーナルストレージ140は、メインストレージ110からの同期コピーが終了したことを、通信復旧が通知されることによって認識する。ジャーナルストレージ140は、ディスク141にある更新データが全て複製ストレージ130のディスク131に反映され、ジャーナルストレージ140に更新データが存在しなくなった時点で、図18に示すように、複製ストレージ130に差分反映完了を通知する。
【0061】
複製ストレージ130は、差分反映完了の通知を受け取った後、バッファ132に存在する更新データをディスク131に反映させる。全てのデータを反映し終わったら、図19に示すように、メインストレージ110からの同期コピーは複製ストレージ130のディスク131に直接反映させる。
【0062】
本実施形態においては、メインサイトとリモートサイトとの通信復旧を契機として、更新データの送信先をリモートサイトに切り替える。したがって、更新データがジャーナルサイト及びメインサイトの両方から並行してリモートサイトへ送信されるため、更新データをリモートサイトに反映させるのに要する時間を短縮できる。
【0063】
〔第3の実施形態〕
本発明を好適に実施した第3の実施形態について説明する。
図20に本実施形態に係る情報システムの構成を示す。本実施形態に係る情報システムは、メインストレージ210と、メインストレージ210のデータが更新された際に、更新データのデータがメインストレージ210から同期コピーされる複製ストレージ230とを備えた情報システムであって、メインストレージ210にネットワーク252を介して接続されたジャーナルストレージ240を有し、メインストレージ210と複製ストレージ230との間のネットワーク251で通信障害が発生した場合には、更新データをジャーナルストレージ240へ同期コピーし、ネットワーク251の通信障害が解消された後に、ジャーナルストレージ240に格納した更新データを、メインストレージ210を経由して複製ストレージ230へ準同期コピーし、メインストレージ210からの更新データの同期コピー先を複製ストレージ230に戻し、ネットワーク151で通信障害が発生している間にメインストレージ210が破損した場合は、メインストレージ210の修復後に複製ストレージ230からデータを書き戻し、その後、ジャーナルストレージ240に格納した更新データをメインストレージ210へ準同期コピーする。
【0064】
図21に、本実施形態に係る情報システムのより詳細な構成を示す。
本実施形態に係る情報システムは、メインサイト、リモートサイト及びジャーナルサイトの三つのサイトを備える。
【0065】
メインサイトには、プログラム制御によって動作するホストコンピュータ200及びメインストレージ210が設置されている。
ホストコンピュータ200は、ディスクアクセス部201を備える。ディスクアクセス部201は、メインストレージ210に対して情報の読み込み及び書き込みを行う。
メインストレージ210は、ディスク211、バッファ212、ビットマップ213、ストレージ制御部214及び通信部215を備える。ビットマップ213は、メインストレージ210と複製ストレージ230との間で一貫性が保てなくなった後でメインストレージ210上で更新された領域を表している。ストレージ制御部214は、メインストレージ210の各部の動作を制御する。通信部215は、リモートサイトに設けられている複製ストレージ230やジャーナルサイトに設けられているジャーナルストレージ240との通信を行う。
【0066】
リモートサイトには、複製ストレージ230が設置されている。
複製ストレージ230は、ディスク231、バッファ232、ストレージ制御部234、及び通信部235を備える。ストレージ制御部234は、複製ストレージ230の各部の動作を制御する。通信部235は、メインサイトに設けられているメインストレージ210やジャーナルサイトに設けられているジャーナルストレージ240との通信を行う。
【0067】
ジャーナルサイトには、ジャーナルストレージ240が設置されている。ジャーナルストレージ240は、ディスク241、通信部242及びストレージ制御部243を備える。ストレージ制御部243は、ジャーナルストレージ240の各部の動作を制御する。通信部242は、メインサイトに設けられているメインストレージ210やリモートサイトに設けられている複製ストレージ230との通信を行う。
【0068】
メインサイトとリモートサイトとの間はネットワーク251、メインサイトとジャーナルサイトとの間は、ネットワーク252でそれぞれ接続されている。なお、本実施形態においては、ジャーナルサイトとリモートサイトとの間は接続されていない。
【0069】
本実施形態に係る情報システムのリカバリ動作について説明する。
【0070】
通常時は、更新データはメインストレージ210から複製ストレージ230に同期コピーされる。メインストレージ210と複製ストレージ230との間の通信に障害が発生したことをメインストレージ210が検出した場合、図22に示すように、メインストレージ210は同期コピー先をジャーナルストレージ240に切り替える。
【0071】
この状態でメインサイトが被災した場合は、ますメインサイトを復旧させ、図23に示すように複製ストレージ230からメインストレージ210に全データをコピーする。この時のコピーは、非同期かつ更新順序を保証せずに行われるため、「非同期コピー」に相当する。その後、図24に示すように、ジャーナルストレージ240から更新データをメインストレージ210に準同期コピーするとともに、メインストレージ210から複製ストレージ230へも準同期コピーする。ジャーナルストレージ240の全ての更新データをメインストレージ210に反映させたら、ジャーナルストレージ240は差分反映完了をメインストレージ210に通知する。これを受けて、メインストレージ210は複製ストレージ230に差分反映完了を通知する。
複製ストレージ230は、図25に示すように、全データを反映し終わったらメインストレージ210へ同期完了を通知する。
以降、ホストコンピュータ200からメインストレージ210が使用可能となり、図26に示すように、メインストレージ210への更新は複製ストレージ230に同期コピーされる。
【0072】
次に、メインサイトが被災せずに、図22に示す通信障害が復旧した場合について説明する。
メインストレージ210は定期的に複製ストレージ230に通信を試み、通信障害が解消されたことを通信が成功することによって認識する。メインストレージ210は、メインサイトとリモートサイトとの間の通信障害が解消されたことを、通信復旧通知を送ることによってジャーナルストレージ240に通知する。メインストレージ210は、通信が復旧した後も、ジャーナルストレージ240への同期コピーを継続する。
【0073】
図27に示すように、ジャーナルストレージ240は、通信復旧通知を受け取った後、ディスク244に存在する更新データをメインストレージ210を経由して、複製ストレージ230へ準同期コピーする。ジャーナルストレージ240に更新データが無くなった時点で、図28に示すように、ジャーナルストレージ240はメインストレージ210に差分反映完了を通知する。これを受けて、メインストレージ210は複製ストレージ230へ差分反映完了を通知する。
【0074】
ジャーナルストレージ240は、差分反映完了をメインストレージ210に通知するまではメインストレージ210からの同期コピーを受け続ける。メインストレージ210は、差分反映完了を通知された後は、ジャーナルストレージ240に更新データを送らない。
【0075】
複製ストレージ230は、全データを反映し終わったら、図29に示すように、同期完了をメインストレージ210に通知する。同期完了を通知されたメインストレージ210は、同期コピー先を複製ストレージ230に切り替える。以降は、ジャーナルストレージ240は使用せず、図30に示すように、メインストレージ210と複製ストレージ230との間で通信を行い、更新データをメインストレージのディスク211から複製ストレージ230のディスク231へ同期コピーする。
【0076】
なお、図31に示すように第2の実施形態と同様に複製ストレージ230がバッファ232を備えた構成とし、メインストレージ210と複製ストレージ230との間の通信が復旧した時点で、メインストレージ210からの同期コピー先を複製ストレージ230に変更し、図32に示すように、ジャーナルストレージ240からの準同期コピーが完了するまでの間は更新データをバッファ232に蓄積しておくようにしても良い。この場合には、図33に示すように、ジャーナルストレージ240からの準同期コピーが完了した後で図34に示すようにディスク231に反映させても良い。
【0077】
ジャーナルストレージに空き容量が無くなった場合の動作は、第1の実施形態と同様であり、メインストレージ210は更新データをバッファ212に格納する。ジャーナルストレージ240に空きができたら、メインストレージ210はバッファ212に格納した更新データを準同期コピーによってジャーナルストレージ240へ送信する。
【0078】
さらに、バッファ212に空き容量が無くなった場合の動作は第1の実施形態と同様であり、メインストレージ210は、ディスク211上の更新箇所をビットマップ213で管理する方法に切り替える。
【0079】
本実施形態に係る情報システムは、リモートサイトとジャーナルサイトとの間の通信経路を省略した構成となっているため、システムを構築する際のコストをさらに低減できる。
【0080】
なお、上記各実施形態は本発明の好適な実施の一例であり、本発明はこれらに限定されることはない。
【0081】
例えば、上記各実施形態においては、メインサイト及びリモートサイトが単独の構成を例としたが、ジャーナルサイトを集約し、複数のサイトがジャーナルサイトを共用する構成とすることも可能である。
具体的には、図35に示すように、ジャーナルサイトをデータセンタに集約し、第1、第2の実施形態に係る複数のメインサイトとそのリモートサイトとをデータセンタと接続する。データセンタはジャーナルストレージのプールを用意し、各サイトに動的に割り当てる。各サイトの地理的又はネットワーク的な位置について重複しないように考慮することで、通信障害が同時に発生するサイト数を低減でき、必要なジャーナルストレージプールの量を低減できる。すなわち、各サイトが個別にジャーナルサイトを備える場合と比較して、コストの削減とリソースの有効利用とが可能となる。図36に示すように、ジャーナルサイトをデータセンタに集約し、第3の実施形態に係る複数のメインサイトをデータセンタと接続しても同様の効果が得られる。
また、図37に示すように、複数の複製ストレージをデータセンタに集約しておくことにより、複製ストレージ及びジャーナルストレージを用いたディザスタリカバリをアウトソーシングサービスとして実現できる。すなわち、企業等は、リモートサイト及びジャーナルサイトの開設や、複製ストレージ及びジャーナルストレージの保守・運営を専門の業者に委託することが可能となり、メインサイトの開設及び運営のみを行うだけで良くなるため、ディザスタリカバリに対応した情報システムの導入が容易になる。
このように、本発明は様々な変形が可能である。
【符号の説明】
【0082】
100、120、200 ホストコンピュータ
101、121、201 ディスクアクセス部
110、210 メインストレージ
111、131、141、211、231、241 ディスク
112、132、212 バッファ
113 ビットマップ
114、134、143、214、234、243 ストレージ制御部
115、135、142、215、235、242 通信部
130、230 複製ストレージ
140、240 ジャーナルストレージ
151、152、153、251、252 ネットワーク
【特許請求の範囲】
【請求項1】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、
前記第1及び第2のストレージ装置の双方に接続されたジャーナルストレージ装置を有し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記ジャーナルストレージ装置に格納した前記更新データを、前記第2のストレージ装置へ準同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻すことを特徴とする情報システム。
【請求項2】
前記ジャーナルストレージ装置に前記更新データが存在しなくなった時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記ジャーナルストレージ装置から前記第2のストレージ装置に変更することを特徴とする請求項1記載の情報システム。
【請求項3】
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第2のストレージ装置は、前記ジャーナルストレージ装置から準同期コピーされる更新データの反映が完了するよりも前に前記第1のストレージ装置から受信した更新データを反映せずに蓄積し、前記バッファに蓄積した更新データを、前記ジャーナルストレージ装置から準同期コピーされる更新データの反映が完了した後で反映させることを特徴とする請求項1記載の情報システム。
【請求項4】
前記第1のストレージ装置は、前記第2のストレージ装置又は前記ジャーナルストレージ装置へ同期コピーできない分の更新データを格納するバッファを有し、前記更新データの同期コピー先への送信が可能となった時点で、前記バッファ内のデータを準同期コピーすることを特徴とする請求項1から3のいずれか1項記載の情報システム。
【請求項5】
前記第1のストレージ装置は、前記バッファの空き容量が無くなった場合に、それ以降の更新内容をメモリアドレスマップで管理し、前記バッファに格納されている更新データが前記第2のストレージ装置に反映された後に、前記メモリアドレスマップによって管理されている更新内容を前記第2にストレージ装置に非同期コピーで反映させることを特徴とする請求項4記載の情報システム。
【請求項6】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、
前記第1のストレージ装置に接続されたジャーナルストレージ装置を有し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記ジャーナルストレージ装置に格納した前記更新データを、前記第1のストレージ装置を経由して前記第2のストレージ装置へ準同期コピーし、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第1のストレージ装置と前記第2のストレージ装置との間で通信障害が発生している間に前記第1のストレージ装置が破損した場合は、前記第1のストレージ装置の修復後に前記第2のストレージ装置からデータを書き戻し、その後、前記ジャーナルストレージ装置に格納した前記更新データを前記第1のストレージ装置へ準同期コピーすることを特徴とする情報システム。
【請求項7】
前記ジャーナルストレージ装置に前記更新データが存在しなくなった時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記ジャーナルストレージ装置から前記第2のストレージ装置に変更することを特徴とする請求項6記載の情報システム。
【請求項8】
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第2のストレージ装置は、前記ジャーナルストレージ装置から前記第1のストレージ装置を経由して準同期コピーされる更新データの反映が完了するよりも前に前記第1のストレージ装置から受信した更新データを反映せずに蓄積し、前記バッファに蓄積した更新データを、前記ジャーナルストレージ装置から前記第1のストレージ装置を経由して準同期コピーされる更新データの反映が完了した後で反映させることを特徴とする請求項6記載の情報システム。
【請求項9】
前記第1のストレージ装置は、前記第2のストレージ装置又は前記ジャーナルストレージ装置へ同期コピーできない分の更新データを格納するバッファを有し、前記更新データの同期コピー先への送信が可能となった時点で、前記バッファ内のデータを準同期コピーすることを特徴とする請求項6から8のいずれか1項記載の情報システム。
【請求項10】
前記第1のストレージ装置及び前記第2のストレージ装置の対を複数有し、
複数の前記第1及び第2のストレージ装置の対で、前記ジャーナルストレージをストレージプールとして共有することを特徴とする請求項1から9のいずれか1項記載の情報システム。
【請求項11】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、
前記第1及び第2のストレージ装置の双方にジャーナルストレージ装置を接続し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記ジャーナルストレージ装置に格納した前記更新データを、前記第2のストレージ装置へ準同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻すことを特徴とするディザスタリカバリ方法。
【請求項12】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、
前記第1のストレージ装置にジャーナルストレージ装置を接続し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記ジャーナルストレージ装置に格納した前記更新データを、前記第1のストレージ装置を経由して前記第2のストレージ装置へ準同期コピーし、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第1のストレージ装置と前記第2のストレージ装置との間で通信障害が発生している間に前記第1のストレージ装置が破損した場合は、前記第1のストレージ装置の修復後に前記第2のストレージ装置からデータを書き戻し、その後、前記ジャーナルストレージ装置に格納した前記更新データを前記第1のストレージ装置へ準同期コピーすることを特徴とするディザスタリカバリ方法。
【請求項1】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、
前記第1及び第2のストレージ装置の双方に接続されたジャーナルストレージ装置を有し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記ジャーナルストレージ装置に格納した前記更新データを、前記第2のストレージ装置へ準同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻すことを特徴とする情報システム。
【請求項2】
前記ジャーナルストレージ装置に前記更新データが存在しなくなった時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記ジャーナルストレージ装置から前記第2のストレージ装置に変更することを特徴とする請求項1記載の情報システム。
【請求項3】
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第2のストレージ装置は、前記ジャーナルストレージ装置から準同期コピーされる更新データの反映が完了するよりも前に前記第1のストレージ装置から受信した更新データを反映せずに蓄積し、前記バッファに蓄積した更新データを、前記ジャーナルストレージ装置から準同期コピーされる更新データの反映が完了した後で反映させることを特徴とする請求項1記載の情報システム。
【請求項4】
前記第1のストレージ装置は、前記第2のストレージ装置又は前記ジャーナルストレージ装置へ同期コピーできない分の更新データを格納するバッファを有し、前記更新データの同期コピー先への送信が可能となった時点で、前記バッファ内のデータを準同期コピーすることを特徴とする請求項1から3のいずれか1項記載の情報システム。
【請求項5】
前記第1のストレージ装置は、前記バッファの空き容量が無くなった場合に、それ以降の更新内容をメモリアドレスマップで管理し、前記バッファに格納されている更新データが前記第2のストレージ装置に反映された後に、前記メモリアドレスマップによって管理されている更新内容を前記第2にストレージ装置に非同期コピーで反映させることを特徴とする請求項4記載の情報システム。
【請求項6】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムであって、
前記第1のストレージ装置に接続されたジャーナルストレージ装置を有し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記ジャーナルストレージ装置に格納した前記更新データを、前記第1のストレージ装置を経由して前記第2のストレージ装置へ準同期コピーし、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第1のストレージ装置と前記第2のストレージ装置との間で通信障害が発生している間に前記第1のストレージ装置が破損した場合は、前記第1のストレージ装置の修復後に前記第2のストレージ装置からデータを書き戻し、その後、前記ジャーナルストレージ装置に格納した前記更新データを前記第1のストレージ装置へ準同期コピーすることを特徴とする情報システム。
【請求項7】
前記ジャーナルストレージ装置に前記更新データが存在しなくなった時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記ジャーナルストレージ装置から前記第2のストレージ装置に変更することを特徴とする請求項6記載の情報システム。
【請求項8】
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された時点で、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第2のストレージ装置は、前記ジャーナルストレージ装置から前記第1のストレージ装置を経由して準同期コピーされる更新データの反映が完了するよりも前に前記第1のストレージ装置から受信した更新データを反映せずに蓄積し、前記バッファに蓄積した更新データを、前記ジャーナルストレージ装置から前記第1のストレージ装置を経由して準同期コピーされる更新データの反映が完了した後で反映させることを特徴とする請求項6記載の情報システム。
【請求項9】
前記第1のストレージ装置は、前記第2のストレージ装置又は前記ジャーナルストレージ装置へ同期コピーできない分の更新データを格納するバッファを有し、前記更新データの同期コピー先への送信が可能となった時点で、前記バッファ内のデータを準同期コピーすることを特徴とする請求項6から8のいずれか1項記載の情報システム。
【請求項10】
前記第1のストレージ装置及び前記第2のストレージ装置の対を複数有し、
複数の前記第1及び第2のストレージ装置の対で、前記ジャーナルストレージをストレージプールとして共有することを特徴とする請求項1から9のいずれか1項記載の情報システム。
【請求項11】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、
前記第1及び第2のストレージ装置の双方にジャーナルストレージ装置を接続し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記ジャーナルストレージ装置に格納した前記更新データを、前記第2のストレージ装置へ準同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻すことを特徴とするディザスタリカバリ方法。
【請求項12】
第1のストレージ装置と、該第1のストレージ装置のデータが更新された際に、更新データが前記第1のストレージ装置から同期コピーされる第2のストレージ装置とを備えた情報システムにおけるディザスタリカバリ方法であって、
前記第1のストレージ装置にジャーナルストレージ装置を接続し、
前記第1のストレージ装置と第2のストレージ装置との間で通信障害が発生した場合には、前記更新データを前記ジャーナルストレージ装置へ同期コピーし、
前記第1のストレージ装置と前記第2のストレージ装置との間の通信障害が解消された後に、前記ジャーナルストレージ装置に格納した前記更新データを、前記第1のストレージ装置を経由して前記第2のストレージ装置へ準同期コピーし、前記第1のストレージ装置からの前記更新データの同期コピー先を前記第2のストレージ装置に戻し、
前記第1のストレージ装置と前記第2のストレージ装置との間で通信障害が発生している間に前記第1のストレージ装置が破損した場合は、前記第1のストレージ装置の修復後に前記第2のストレージ装置からデータを書き戻し、その後、前記ジャーナルストレージ装置に格納した前記更新データを前記第1のストレージ装置へ準同期コピーすることを特徴とするディザスタリカバリ方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【公開番号】特開2010−182154(P2010−182154A)
【公開日】平成22年8月19日(2010.8.19)
【国際特許分類】
【出願番号】特願2009−25948(P2009−25948)
【出願日】平成21年2月6日(2009.2.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年8月19日(2010.8.19)
【国際特許分類】
【出願日】平成21年2月6日(2009.2.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]