專(zhuān)利名稱(chēng):非置信服務(wù)器環(huán)境中san管理的安全系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及存儲(chǔ)區(qū)域網(wǎng)絡(luò)。特別地���,本發(fā)明涉及一種用于操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)的方法及系統(tǒng)�。
背景技術(shù):
光纖通道是一種用來(lái)將可分開(kāi)幾十公里的輸入/輸出(I/O)設(shè)備與主機(jī)系統(tǒng)互連的高速��、全雙工�����、串行通信技術(shù)。它將常規(guī)I/O接口的最佳特性����,例如SCSI及PCI中所具有的吞吐量和可靠性,與聯(lián)網(wǎng)接口的最佳特性���,例如以太網(wǎng)和令牌網(wǎng)中所具有的連接性和可伸縮性相結(jié)合���。它提供用于傳送現(xiàn)有命令的傳送機(jī)制,并提供通過(guò)允許巨量處理在硬件中執(zhí)行而獲得高性能的體系結(jié)構(gòu)�。它能夠以遺留協(xié)議和驅(qū)動(dòng)器,例如SCSI和IP進(jìn)行工作���,使得它能夠容易地引入到現(xiàn)有基礎(chǔ)設(shè)施中�。
光纖通道在源和信息用戶(hù)之間傳送信息�����。該信息可以包括命令����、控制����、文件����、圖形�����、視頻及聲音�����。光纖通道連接建立在位于I/O設(shè)備����、主機(jī)系統(tǒng)及互連它們的網(wǎng)絡(luò)的光纖通道端口之間。網(wǎng)絡(luò)包括用來(lái)互連光纖通道端口的元件�����,例如交換器�����、集線器、橋接器和中繼器����。
在光纖通道體系結(jié)構(gòu)中定義有三種光纖通道拓?fù)洹_@些是點(diǎn)對(duì)點(diǎn)��、交換結(jié)構(gòu)及仲裁環(huán)路���。
光纖通道交換器(或交換結(jié)構(gòu))也包括通常稱(chēng)作分區(qū)的功能�����。這些功能使用戶(hù)可以將交換器端口劃分成端口群����。端口群或分區(qū)內(nèi)的端口僅可以與相同端口群(分區(qū))內(nèi)的其他端口通信���。通過(guò)使用分區(qū)��,一組主機(jī)和設(shè)備的I/O可以與任何其他組的I/O完全隔開(kāi)����,從而防止組群之間任何干擾的可能性���。
這也稱(chēng)為“軟分區(qū)”���。該軟分區(qū)工作的方式是用戶(hù)根據(jù)節(jié)點(diǎn)的全球名——全球端口名(WWPN)或全球節(jié)點(diǎn)名(WWNN)將節(jié)點(diǎn)分配到分區(qū)。名字服務(wù)器捕捉該信息�,這是嵌入交換器中的功能。然后��,每當(dāng)端口與名字服務(wù)器通信以找出它允許連接哪個(gè)節(jié)點(diǎn)時(shí)�,名字服務(wù)器將僅以該端口的分區(qū)內(nèi)的節(jié)點(diǎn)應(yīng)答。
因?yàn)闃?biāo)準(zhǔn)光纖通道設(shè)備驅(qū)動(dòng)器確實(shí)以這種方式與名字服務(wù)器通信����,該類(lèi)型分區(qū)適用于大部分情形。但是���,設(shè)備驅(qū)動(dòng)器設(shè)計(jì)成企圖訪問(wèn)不在其允許連接的列表中的節(jié)點(diǎn)是可能的�。如果這發(fā)生����,交換器將不預(yù)防也不檢測(cè)違規(guī)。
為了防止這種情況�����,除了軟分區(qū)之外���,交換器也可選地實(shí)施一種稱(chēng)為“硬分區(qū)”的機(jī)制�����,其中交換器網(wǎng)絡(luò)僅基于每個(gè)幀的源和目的地址來(lái)決定該幀是否允許傳送�。
光纖通道存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)是將存儲(chǔ)設(shè)備連接到主服務(wù)器的網(wǎng)絡(luò)。它們建立于作為聯(lián)網(wǎng)基礎(chǔ)設(shè)施的光纖通道技術(shù)���。區(qū)分SAN和先前互連方案的是以下基本概念�,即所有(或幾乎所有)存儲(chǔ)器可以合并成一個(gè)大的“存儲(chǔ)區(qū)域”����,使得除了主服務(wù)器和存儲(chǔ)器之間的任意對(duì)任意連接性以外還允許集中化(簡(jiǎn)化)管理。
光纖通道SAN有可能允許相同網(wǎng)絡(luò)中的開(kāi)放系統(tǒng)和存儲(chǔ)器(即非z系列)像z系列系統(tǒng)和存儲(chǔ)器一樣互連���。這是可能的��,因?yàn)殚_(kāi)放附件和z系列附件兩者的協(xié)議都映射到光纖通道體系結(jié)構(gòu)的FC-4層�。
在光纖通道附件中���,LUN與主機(jī)的光纖通道適配器具有密切關(guān)系(通過(guò)適配器的全球唯一標(biāo)識(shí)符�����,也叫做全球端口名)���,而與主機(jī)連上哪個(gè)ESS(IBM企業(yè)存儲(chǔ)服務(wù)器)光纖通道端口無(wú)關(guān)��。因此,在單個(gè)光纖通道主機(jī)可以具有到ESS上多個(gè)光纖通道端口的通路的交換結(jié)構(gòu)配置中����,可以被光纖通道主機(jī)訪問(wèn)的這組LUN與ESS端口的每個(gè)上的相同。
該實(shí)施的一個(gè)結(jié)果是���,使用光纖通道�����,不同于在SCSI中���,通過(guò)到相同光纖通道端口的結(jié)構(gòu)連上ESS的主機(jī)可能不會(huì)“看見(jiàn)”相同的LUN,因?yàn)長(zhǎng)UN屏蔽可能對(duì)各個(gè)光纖通道主機(jī)是不同的����。換句話說(shuō)���,每個(gè)ESS可以定義哪個(gè)主機(jī)具有到哪個(gè)LUN的通道。
另一種方法是在交換器中創(chuàng)建分區(qū)�����,使得每個(gè)主機(jī)的每個(gè)光纖通道端口被強(qiáng)制連上ESS上的一個(gè)光纖通道端口��,從而允許主機(jī)僅通過(guò)一條路徑看到LUN����。
光纖通道規(guī)范的細(xì)節(jié)在以下標(biāo)準(zhǔn)中展示光纖通道物理和信號(hào)接口(FC-PH),ANSI X3.230-1994����;光纖通道第二代物理接口(FC-PH-2),ANSI X3.297-1997���;光纖通道第三代物理接口(FC-PH-3)��,ANSIX3.303-199X���,修訂版9.4,以及光纖通道仲裁環(huán)路(FC-AL)��,ANSIX3.272-1996。更多的相關(guān)標(biāo)準(zhǔn)是FC-FS�,F(xiàn)C-GS-3。
有關(guān)光纖通道的更多信息在光纖通道顧問(wèn)——全面介紹(Robert W.Kembel��,1998)和光纖通道顧問(wèn)——仲裁環(huán)路(Robert W.Kembel�����,1996)中公開(kāi)��。
于2000年12月22日提交的�����、2001年7月11日公布的�����、BarryStanley Barnett等人的���、轉(zhuǎn)讓給國(guó)際商業(yè)機(jī)器公司,Armonk�,NY,US的EP 1 115 225 A2“存儲(chǔ)區(qū)域網(wǎng)絡(luò)的端到端問(wèn)題確定及故障隔離的方法及系統(tǒng)”公開(kāi)存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)中的問(wèn)題確定及故障隔離的方法及系統(tǒng)�����。多個(gè)廠商主機(jī)系統(tǒng)、FC交換器及存儲(chǔ)器外圍的復(fù)雜配置通過(guò)通信體系結(jié)構(gòu)(CA)在SAN中連接���。通信體系結(jié)構(gòu)元素(CAE)是已成功地通過(guò)網(wǎng)絡(luò)服務(wù)協(xié)議向主計(jì)算機(jī)上的通信體系結(jié)構(gòu)管理器(CAM)登記的網(wǎng)絡(luò)連接設(shè)備�,并且CAM包含SAN的問(wèn)題確定(PD)功能性并保存SAN PD信息表(SPDIT)�����。CA包括能夠傳送存儲(chǔ)于SPDIT中的信息的所有網(wǎng)絡(luò)連接元件�。CAM使用SAN拓?fù)鋱D,并且SPDIT用來(lái)創(chuàng)建SAN診斷表(SDT)���。特定設(shè)備中的故障部件可能產(chǎn)生錯(cuò)誤���,其導(dǎo)致沿著相同網(wǎng)絡(luò)連接路徑的設(shè)備產(chǎn)生錯(cuò)誤。當(dāng)CAM接收到錯(cuò)誤包或錯(cuò)誤信息時(shí)�����,錯(cuò)誤被存儲(chǔ)于SDT中��,并且每個(gè)錯(cuò)誤通過(guò)將該錯(cuò)誤與SDT中其他錯(cuò)誤在時(shí)間和空間上相比較來(lái)分析。如果CAE被確定為產(chǎn)生錯(cuò)誤的候選者����,那么CAE被報(bào)告替換,如果可能的話�����。
于2001年2月9日提交的��、2001年12月20日公布的���、SawaoIwatani�,Kawasaki���,Japan的US 2001/0054093 Al“存儲(chǔ)區(qū)域網(wǎng)絡(luò)管理系統(tǒng)����、方法及計(jì)算機(jī)可讀媒介”公開(kāi)一種綜合并管理單個(gè)源的常規(guī)分散安全系統(tǒng)的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的綜合管理機(jī)制并使SAN中的安全管理自動(dòng)化�。該綜合管理機(jī)制綜合并管理SAN�,并且被配置使得SAN的主計(jì)算機(jī)與存儲(chǔ)設(shè)備的訪問(wèn)關(guān)系使用綜合管理機(jī)制管理?����;诠芾頇C(jī)制的訪問(wèn)路徑,包括從主計(jì)算機(jī)試圖訪問(wèn)的存儲(chǔ)設(shè)備的區(qū)域��、訪問(wèn)該存儲(chǔ)器時(shí)所使用的光纖通道適配器及主總線適配器(HBA)被配置���?�;谒渲玫脑L問(wèn)路徑信息�����,綜合管理機(jī)制建立主計(jì)算機(jī)的SAN管理機(jī)制��、交換器的分區(qū)設(shè)置機(jī)制及存儲(chǔ)設(shè)備的存儲(chǔ)管理機(jī)制的相應(yīng)存儲(chǔ)器設(shè)置��、分區(qū)設(shè)置及可訪問(wèn)區(qū)域權(quán)限���。
發(fā)明內(nèi)容
基于上述考慮,本發(fā)明的目的在于提供一種用于操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)的���、具有改進(jìn)安全機(jī)制的方法及系統(tǒng)���。
前述目的通過(guò)獨(dú)立權(quán)利要求中所展示的方法及系統(tǒng)來(lái)實(shí)現(xiàn)。本發(fā)明更優(yōu)越的實(shí)施方案在子權(quán)利要求中描述,并且在下面的說(shuō)明書(shū)中講授�。
根據(jù)本發(fā)明,一種方法及系統(tǒng)被提供以操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)����。SAN管理服務(wù)器管理存儲(chǔ)器系統(tǒng)中的區(qū)域及安全性和/或檢測(cè)錯(cuò)誤并配置SAN,光纖通道網(wǎng)絡(luò)提供到存儲(chǔ)設(shè)備的連接�����,并且多個(gè)操作系統(tǒng)鏡像在所述服務(wù)器環(huán)境中運(yùn)行��。此外�����,置信SAN管理客戶(hù)端單元連接到所述SAN管理服務(wù)器及光纖通道適配器�,由此置信SAN管理客戶(hù)端單元被配置以代替所述操作系統(tǒng)鏡像的每個(gè)在所述光纖通道網(wǎng)絡(luò)中發(fā)出指令。
在本發(fā)明的優(yōu)選實(shí)施方案中�,服務(wù)器環(huán)境包括虛擬服務(wù)器和/或分區(qū)服務(wù)器。
優(yōu)選地��,SAN管理服務(wù)器被配置以區(qū)別第一組命令和第二組命令���,由此第一組命令由SM客戶(hù)端和所述SAN一起處理,并且由此所述第二組命令由所述OS鏡像處理而不用訪問(wèn)所述SAN。有利地����,光纖通道適配器(FC適配器)被配置以驗(yàn)證所述置信SAN管理客戶(hù)端單元。
有利地���,F(xiàn)C適配器和所述SAN可以適合于將非置信OS鏡像的訪問(wèn)限制于最小必要指令集�?���?蛇x地,F(xiàn)C適配器和虛擬服務(wù)器的虛擬層可以適合于將非置信OS鏡像的訪問(wèn)限制于最小必要指令集�����。
在本發(fā)明的另一種實(shí)施方案中�����,僅一個(gè)SM客戶(hù)端被提供�����,以便保持服務(wù)器負(fù)載小�����。可選地�,一個(gè)或多個(gè)后備SM客戶(hù)端被提供,以便提供冗余��。
有利地���,僅SM客戶(hù)端被登記以接收來(lái)自SAN的信息��,并且SM客戶(hù)端被配置以將所述信息僅轉(zhuǎn)發(fā)給所述SM服務(wù)器��?��?蛇x地,F(xiàn)C適配器被配置以將不需要登記的所有信息僅轉(zhuǎn)發(fā)給SM客戶(hù)端而不轉(zhuǎn)發(fā)給非置信OS鏡像���。
在本發(fā)明的另外實(shí)施方案中��,服務(wù)器裝備有兩級(jí)代理����,也就是SM客戶(hù)端和遠(yuǎn)程訪問(wèn)服務(wù)器(RA服務(wù)器)���。優(yōu)選地���,服務(wù)器裝備有用于保存訪問(wèn)RA服務(wù)器的授權(quán)數(shù)據(jù)的儲(chǔ)存庫(kù)。
優(yōu)選地�����,僅SM客戶(hù)端和FC適配器被配置來(lái)收集用于記帳每個(gè)非置信OS鏡像的資源使用的信息���。有利地���,SM構(gòu)架適合于與防火墻控制應(yīng)用通信,以便設(shè)置訪問(wèn)權(quán)限�����。
在本發(fā)明的又一種實(shí)施方案中��,SM客戶(hù)端適合于用作從SM服務(wù)器到RA服務(wù)器的請(qǐng)求的路由器��。優(yōu)選地���,現(xiàn)有telnet/sshd服務(wù)器構(gòu)成RA服務(wù)器�����。
此外��,本發(fā)明可以實(shí)施為用于操作多個(gè)操作系統(tǒng)鏡像共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的方法�,其中SAN由具有到所述光纖通道適配器的通信路徑的具有至少SAN管理服務(wù)器和至少SAN管理客戶(hù)端的SAN管理軟件來(lái)管理。由SAN發(fā)出的請(qǐng)求分成至少兩組���,也就是第一組以代替共享相同適配器的其他操作系統(tǒng)的對(duì)應(yīng)于置信路徑的SM客戶(hù)端的名義由光纖通道適配器和SAN處理�,并且第二組由其他操作系統(tǒng)處理而不需要發(fā)送請(qǐng)求到FC適配器和SAN或者接受來(lái)自FC適配器和SAN的請(qǐng)求�。
在該方法的優(yōu)選實(shí)施方案中,包含于SAN和FC適配器中所產(chǎn)生的未經(jīng)請(qǐng)求信息里的所有信息由SAN管理客戶(hù)端路由到SAN管理器��。優(yōu)選地�,HBA_API綁定請(qǐng)求用來(lái)修改防火墻。
可選地�,從SAN管理客戶(hù)端到適配器的通信路徑被操作,使得它不能被其他操作系統(tǒng)鏡像修改或竊聽(tīng)���。在更優(yōu)選實(shí)施方案中���,有關(guān)記賬各個(gè)操作系統(tǒng)鏡像的所有信息在適配器中產(chǎn)生,并且在置信路徑上由SAN客戶(hù)端通過(guò)SAN路由到SAN管理器�����。
有利地,SM服務(wù)器向SM客戶(hù)端提供授權(quán)數(shù)據(jù)��,以執(zhí)行來(lái)自所述第一組的請(qǐng)求���。可選地���,SM服務(wù)器和SM客戶(hù)端向其他OS鏡像提供授權(quán)數(shù)據(jù)��,以執(zhí)行來(lái)自所述第二組的請(qǐng)求���。優(yōu)選地,OS鏡像被操作��,使得它們?cè)赟AN中僅能夠執(zhí)行有限的命令集��。
很多操作系統(tǒng)(>256��,4000個(gè)虛擬服務(wù)器在2004年是有可能的)不得不分享具有共享FC適配器的SAN�����。適配器在這種情況下被共享,因?yàn)槌杀驹蚝涂晒芾碓?���。具?56個(gè)FC適配器的服務(wù)器需要例如從適配器到交換器的256根電纜和交換器網(wǎng)絡(luò)中的256個(gè)端口。
在服務(wù)器主機(jī)環(huán)境中�����,每個(gè)OS鏡像需要不能被其他OS鏡像訪問(wèn)的私有數(shù)據(jù)(例如服務(wù)器配置)和共享的讀寫(xiě)數(shù)據(jù)�����,例如共享的數(shù)據(jù)庫(kù)對(duì)于通過(guò)相同適配器由OS鏡像共享的LUN共享只讀數(shù)據(jù)例如預(yù)安裝的操作系統(tǒng)鏡像(unix系統(tǒng)中/usr)�,保證完全scsi順應(yīng)行為(例如,由SAM-2定義的保存/釋放��、NACA處理���、排隊(duì)規(guī)則)是不可能的��。
每個(gè)“非置信操作系統(tǒng)鏡像”由潛在危險(xiǎn)的實(shí)體所擁有��,例如彼此競(jìng)爭(zhēng)的兩個(gè)公司或黑客�。擁有意味著實(shí)體實(shí)際具有根訪問(wèn)權(quán)限并且能夠改變每片操作系統(tǒng)鏡像包括所有SM客戶(hù)端或其他軟件。OS鏡像擁有者不具有訪問(wèn)權(quán)限并且不能夠以其自身名義修改硬件�,而需要機(jī)器擁有者來(lái)做這些。機(jī)器擁有者(IT部門(mén)/ASP/ISP)具有關(guān)于SAN中所有硬件���、映射及策略的完全控制���。機(jī)器擁有者分配SAN中的資源(最可能是磁盤(pán)控制器中的LUN)給操作系統(tǒng)鏡像。機(jī)器擁有者需要在SAN中執(zhí)行錯(cuò)誤檢測(cè)及錯(cuò)誤隔離的工具�����,以防止操作系統(tǒng)鏡像的停機(jī)���。機(jī)器擁有者可能想要將其硬件分成多個(gè)實(shí)體和可獨(dú)立于其他子網(wǎng)來(lái)管理的子網(wǎng)(歸類(lèi)多個(gè)服務(wù)器或LPAR)。共享的適配器不能跨過(guò)子網(wǎng)但可以跨過(guò)LPAR�����。
每個(gè)OS鏡像或者在單獨(dú)服務(wù)器(刀片服務(wù)器)上運(yùn)行或者作為虛擬服務(wù)器��。虛擬服務(wù)器環(huán)境可以由例如LPAR-z系列固件����、z系列VM操作系統(tǒng)或基于Intel服務(wù)器的VM件來(lái)創(chuàng)建。
SAN管理器用戶(hù)接口中SAN資源的表示應(yīng)當(dāng)以這樣的方式執(zhí)行,即機(jī)器擁有者可以將OS鏡像從虛擬服務(wù)器移動(dòng)到物理服務(wù)器�,而不用獲得由SM服務(wù)器用戶(hù)接口表示的完全不同種類(lèi)的視圖。
每個(gè)OS鏡像的訪問(wèn)可以由FC適配器中的防火墻或不屬于OS鏡像的其他實(shí)體(否則在該OS鏡像上具有完全控制的擁有根訪問(wèn)權(quán)限的用戶(hù)具有廢止它的能力)所限制��。
每個(gè)非置信OS鏡像中的FC到SCSI映射可以通過(guò)FC設(shè)備驅(qū)動(dòng)器映射和配置接口MAP_IF來(lái)配置�����。例如�,z系列上某些版本的光纖通道上的MAP_IF由稱(chēng)作進(jìn)程文件系統(tǒng)的Linux專(zhuān)用配置方法來(lái)實(shí)現(xiàn),以設(shè)置并查詢(xún)所述映射�。SM服務(wù)器不應(yīng)當(dāng)依賴(lài)于MAP_IF所報(bào)告的正確數(shù)據(jù)(訪問(wèn)強(qiáng)制由防火墻來(lái)執(zhí)行,因此或者OS協(xié)作或者根本不能看到任何數(shù)據(jù))��。用于記賬的測(cè)量不能在非置信OS鏡像中執(zhí)行(因?yàn)楦脩?hù)能夠自由修改數(shù)據(jù))��。因此����,適配器或其他實(shí)體必須提供所要求的測(cè)量數(shù)據(jù)。
其他實(shí)施方案可以提供多個(gè)WWPN����,雖然WWPN的數(shù)目會(huì)低于每個(gè)適配器所支持OS鏡像的數(shù)量。
本發(fā)明的上面及另外的目的����、特性及優(yōu)點(diǎn)將在下面詳細(xì)書(shū)寫(xiě)的說(shuō)明書(shū)中變得明白��。
本發(fā)明的新特性在附加權(quán)利要求書(shū)中陳述����。但是,本發(fā)明本身及其優(yōu)選使用方式��、另外的目的及優(yōu)點(diǎn)將通過(guò)結(jié)合附圖閱讀時(shí)參考下面示范實(shí)施方案的詳細(xì)描述而最好地理解,其中圖1顯示說(shuō)明根據(jù)本發(fā)明的系統(tǒng)的第一實(shí)施方案的框圖;圖2顯示說(shuō)明根據(jù)本發(fā)明的系統(tǒng)的第二實(shí)施方案的框圖;圖3顯示說(shuō)明根據(jù)本發(fā)明的用于操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)的方法的流程圖;圖4顯示說(shuō)明關(guān)于上述類(lèi)型結(jié)構(gòu)的HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖��;圖5顯示說(shuō)明上述類(lèi)型FCP到SCSI映射的HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖�;以及圖6顯示說(shuō)明處理由SAN發(fā)起的ELS請(qǐng)求的上述類(lèi)型HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖�。
具體實(shí)施例方式
參考圖1�,其描繪了說(shuō)明根據(jù)本發(fā)明的系統(tǒng)100的第一實(shí)施方案的框圖���。系統(tǒng)100包括全部適合于通過(guò)具有WWPN 1(全球端口名)的一個(gè)公共光纖通道適配器112來(lái)訪問(wèn)SAN 110的多個(gè)計(jì)算機(jī)系統(tǒng)104,105及106�����。為了清楚����,僅描繪三個(gè)計(jì)算機(jī)系統(tǒng)��。公認(rèn)地��,計(jì)算機(jī)系統(tǒng)的數(shù)目可以是上百個(gè)甚至上千個(gè)���。具有這些高數(shù)目的計(jì)算機(jī)系統(tǒng)�,多于一個(gè)光纖通道適配器可以在系統(tǒng)中存在���,但是即使在這種情況下�,多個(gè)計(jì)算機(jī)系統(tǒng)將共享一個(gè)相同的光纖通道適配器��。
作為計(jì)算機(jī)系統(tǒng)104�,105及106的每個(gè)與光纖通道適配器之間的網(wǎng)關(guān),防火墻114��,115及116被分別提供����,以保證計(jì)算機(jī)系統(tǒng)的每個(gè)僅能夠訪問(wèn)SAN 110的允許部分。防火墻114���,115及116可以集成于光纖通道適配器中或連上它����。另一方面���,所有計(jì)算機(jī)系統(tǒng)104�,105及106連接到網(wǎng)絡(luò)120,例如以太網(wǎng)��。
此外���,系統(tǒng)100包括連接到網(wǎng)絡(luò)120的兩臺(tái)另外的計(jì)算機(jī)系統(tǒng)122及123�,分別具有運(yùn)行于操作系統(tǒng)(OS)131上的SAN管理服務(wù)器130(SM服務(wù)器)和SAN管理客戶(hù)端132(SM客戶(hù)端)�。SM服務(wù)器130運(yùn)行SAN管理系統(tǒng),例如Tivoli存儲(chǔ)網(wǎng)絡(luò)管理器的服務(wù)器部分(http//www.tivoli.com/products/index/storage_net_mgr/)����,而SM客戶(hù)端132運(yùn)行這種系統(tǒng)的相應(yīng)的客戶(hù)端部分。
SM服務(wù)器130通過(guò)通信線路進(jìn)一步連接到防火墻控制應(yīng)用134����,而SM客戶(hù)端132具有到光纖通道適配器112的通信鏈路。防火墻控制應(yīng)用134提供有到防火墻114�,115及116的每個(gè)的通信鏈路,或者通過(guò)光纖通道適配器(如所描繪的)或者直接到它們的每一個(gè)��。
SM服務(wù)器130通過(guò)相應(yīng)的安全外殼接口144�����,145及146,即用于登陸遠(yuǎn)程計(jì)算機(jī)以及在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行命令的程序來(lái)訪問(wèn)計(jì)算機(jī)系統(tǒng)104���,105及106的每個(gè)。在每個(gè)計(jì)算機(jī)系統(tǒng)104���,105及106中提供的映射接口MAP_IF 154����,155����,156維護(hù)光纖通道到SCSI(小型計(jì)算機(jī)系統(tǒng)接口)映射。這可以例如實(shí)施為命令行接口或配置文件���。
每個(gè)計(jì)算機(jī)系統(tǒng)104����,105及106運(yùn)行可能是“非置信”的操作系統(tǒng)164�����,165及166。該上下文中的“非置信”指的是可能被潛在危險(xiǎn)的實(shí)體�����,例如一段惡意代碼�,例如計(jì)算機(jī)病毒或篡改操作系統(tǒng)以便訪問(wèn)或修改所述實(shí)體應(yīng)當(dāng)不能得到的SAN中信息的個(gè)人企圖所控制或操縱的操作系統(tǒng)。操作系統(tǒng)本身可以由各種操作系統(tǒng)�,例如國(guó)際商業(yè)機(jī)器公司的AIX或z/OS、UNIX及Linux的任何一種構(gòu)成�。
因?yàn)楦鶕?jù)本發(fā)明的安全機(jī)制考慮到未經(jīng)授權(quán)的SAN訪問(wèn)請(qǐng)求可能由計(jì)算機(jī)系統(tǒng)104,105及106的任何一個(gè)發(fā)出�,相應(yīng)防火墻114,115及116過(guò)濾所有SAN訪問(wèn)請(qǐng)求����,并且僅接受由防火墻控制應(yīng)用授權(quán)的那些請(qǐng)求�。只有計(jì)算機(jī)系統(tǒng)104����,105及106的任何一個(gè)都不能訪問(wèn)的防火墻控制應(yīng)用134能夠修改指定授權(quán)SAN訪問(wèn)請(qǐng)求的防火墻設(shè)置。根據(jù)本發(fā)明的第一實(shí)施方案,SM服務(wù)器130控制防火墻控制應(yīng)用134����。
SM客戶(hù)端132在HBA_API 168(主總線適配器應(yīng)用程序接口)上運(yùn)行,HBA_API 168在必須是“置信”的即操作系統(tǒng)由不試圖篡改SAN訪問(wèn)權(quán)限等的實(shí)體來(lái)管理的操作系統(tǒng)170之上�����。光纖通道適配器112適合于區(qū)別非置信和置信操作系統(tǒng)����。該授權(quán)可以通過(guò)識(shí)別操作系統(tǒng)170或SM客戶(hù)端132來(lái)實(shí)現(xiàn)����,這是依靠某些眾所周知的授權(quán)方案例如固定源地址(例如硬件ID)��、密鑰及加密算法或密碼�,這些不是本發(fā)明的一部分。涉及緊要信息例如SAN配置���、SAN組成�����、SAN訪問(wèn)權(quán)限,錯(cuò)誤信息����、統(tǒng)計(jì)數(shù)字或記賬信息的請(qǐng)求只有來(lái)自于運(yùn)行SM客戶(hù)端132的置信操作系統(tǒng)170的可以被接受���。相應(yīng)地,這些請(qǐng)求的結(jié)果僅返回給置信操作系統(tǒng)170。換句話說(shuō)���,由SM服務(wù)器控制的并擔(dān)當(dāng)代替非置信操作系統(tǒng)的SM客戶(hù)端132單獨(dú)執(zhí)行SAN管理。
SM服務(wù)器130包括發(fā)出請(qǐng)求以便查詢(xún)并設(shè)置SAN中和被管理操作系統(tǒng)中的信息的SM核心引擎(沒(méi)有顯示)以及將來(lái)自核心引擎的請(qǐng)求及應(yīng)答路由到客戶(hù)端的通信模塊(沒(méi)有顯示)。通信模塊可以或者實(shí)施為SM服務(wù)器的一部分或者分布在位于“置信”環(huán)境中的SM服務(wù)器和SM客戶(hù)端部件上�����。
安全外殼守護(hù)進(jìn)程sshd和OS專(zhuān)用FC配置接口概括為RA(遠(yuǎn)程訪問(wèn))服務(wù)器���。遠(yuǎn)程訪問(wèn)服務(wù)器適合于響應(yīng)由SM服務(wù)器或SM客戶(hù)端發(fā)出的授權(quán)請(qǐng)求�����。在優(yōu)選實(shí)施中�,SM客戶(hù)端和RA服務(wù)器使用授權(quán)數(shù)據(jù),例如密碼�����、用戶(hù)id及密鑰來(lái)識(shí)別請(qǐng)求的發(fā)起者����。因此,通信模塊裝備有所述授權(quán)信息的儲(chǔ)存庫(kù)(沒(méi)有顯示)�����。通信模塊根據(jù)下面的命令列表將關(guān)于結(jié)構(gòu)的請(qǐng)求即用于管理SAN的請(qǐng)求以及關(guān)于適配器的請(qǐng)求即用于管理光纖通道適配器的請(qǐng)求與OS專(zhuān)門(mén)請(qǐng)求分開(kāi)�����。如上所述�����,SM服務(wù)器�����、SM客戶(hù)端和RA服務(wù)器之間的連接是運(yùn)行于例如以太網(wǎng)上的基于IP的網(wǎng)絡(luò)����。在不同的實(shí)施方案中,SM客戶(hù)端�����、SM服務(wù)器和RA服務(wù)器之間的某些通信可以利用FC適配器能力代替分離的網(wǎng)絡(luò)來(lái)傳送其他協(xié)議�����。一個(gè)例子將是光纖通道上的TCP/IP�����。
現(xiàn)在參考圖2���,其描繪了說(shuō)明根據(jù)本發(fā)明的系統(tǒng)的第二實(shí)施方案的框圖�。
相對(duì)第一實(shí)施方案的系統(tǒng)(圖1)��,本系統(tǒng)包括全部適合于通過(guò)具有WWPN 1(全球端口名)的一個(gè)公共光纖通道適配器212來(lái)訪問(wèn)SAN210的多個(gè)計(jì)算機(jī)系統(tǒng)204����,205及206�。為了清楚����,僅描繪三個(gè)計(jì)算機(jī)系統(tǒng)。公認(rèn)地�,計(jì)算機(jī)系統(tǒng)的數(shù)目可以是上百個(gè)甚至上千個(gè)。具有這些高數(shù)目的計(jì)算機(jī)系統(tǒng)���,多于一個(gè)光纖通道適配器可以在系統(tǒng)中存在�,但即使在該情況下�,多個(gè)計(jì)算機(jī)系統(tǒng)將共享一個(gè)相同的光纖通道適配器。
作為計(jì)算機(jī)系統(tǒng)204�����,205及206的每個(gè)與光纖通道適配器之間的網(wǎng)關(guān)�,防火墻214,215及216被分別提供���,以保證計(jì)算機(jī)系統(tǒng)的每個(gè)僅能夠訪問(wèn)SAN 210的允許部分���。防火墻214,215及216可以集成于光纖通道適配器中或連上它��。
與第一實(shí)施方案形成對(duì)照,在虛擬服務(wù)器環(huán)境例如LPAR(邏輯分區(qū)模式)加上VM(虛擬機(jī)器)中運(yùn)行的虛擬服務(wù)器構(gòu)成計(jì)算機(jī)系統(tǒng)204�����,205及206����。此外�����,另一臺(tái)虛擬服務(wù)器223被提供擁有SAN管理客戶(hù)端232(SM客戶(hù)端)�����。計(jì)算機(jī)系統(tǒng)204����,205及206通過(guò)超級(jí)套接之上的安全外殼連接與SM客戶(hù)端232通信。
單獨(dú)的計(jì)算機(jī)系統(tǒng)222被提供擁有SAN管理服務(wù)器230(SM服務(wù)器)����。SM服務(wù)器230運(yùn)行SAN管理系統(tǒng),例如Tivoli存儲(chǔ)網(wǎng)絡(luò)管理器的服務(wù)器部分��,而SM客戶(hù)端232運(yùn)行這種系統(tǒng)的相應(yīng)的客戶(hù)端部分。SM服務(wù)器230通過(guò)以太網(wǎng)220訪問(wèn)SM客戶(hù)端�����。
每個(gè)計(jì)算機(jī)系統(tǒng)204����,205及206運(yùn)行可能是“非置信”的操作系統(tǒng)264,265及266(比較上文)����。操作系統(tǒng)本身可以由各種操作系統(tǒng),例如國(guó)際商業(yè)機(jī)器公司的AIX或z/OS�����、UNIX以及Linux的任何一種構(gòu)成�。
SM客戶(hù)端232運(yùn)行于HBA_API 268(主總線適配器應(yīng)用程序接口)的上方,HBA_API 268在必須是“置信”的操作系統(tǒng)270的上方(比較上文)�。再者,光纖通道適配器212適合于區(qū)別非置信和置信操作系統(tǒng)��。涉及緊要信息的請(qǐng)求只有來(lái)自于運(yùn)行SM客戶(hù)端232的置信操作系統(tǒng)270的可以被接受�����。防火墻控制應(yīng)用234也運(yùn)行在“置信”操作系統(tǒng)270上方。防火墻控制應(yīng)用用來(lái)指示防火墻214���,215及216是否將來(lái)自“非置信”操作系統(tǒng)264��,265及266的特定訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給SAN 210����。換句話說(shuō)�����,只有計(jì)算機(jī)系統(tǒng)204���,205及206的任何一個(gè)不能訪問(wèn)的防火墻控制應(yīng)用234能夠修改指定授權(quán)SAN訪問(wèn)請(qǐng)求的防火墻設(shè)置。
現(xiàn)在參考圖3����,其描繪了說(shuō)明根據(jù)本發(fā)明的用于操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)的方法的流程圖(方框300)。首先��,SM核心引擎創(chuàng)建請(qǐng)求(方框302)�,然后通信模塊確定請(qǐng)求的目標(biāo)(方框306)。在它是對(duì)SAN或光纖通道適配器的請(qǐng)求的情況下��,那么通信模塊用可以是密碼、用戶(hù)id及密鑰的相應(yīng)的授權(quán)數(shù)據(jù)建立到SM客戶(hù)端的通信路徑(方框308)�����。
隨后���,SM客戶(hù)端檢查授權(quán)是否有效(方框312)�����。如果有效�,SM客戶(hù)端通過(guò)查詢(xún)SAN中的實(shí)體例如交換器(例如獲取SAN中FC設(shè)備的列表)或磁盤(pán)控制器(例如獲取控制器中邏輯磁盤(pán)的列表)以及設(shè)置光纖通道適配器及SAN屬性例如用來(lái)登記某些類(lèi)型的錯(cuò)誤通知信息的RNID-ELS來(lái)創(chuàng)建應(yīng)答(方框314)�。
如果無(wú)效,SM客戶(hù)端產(chǎn)生通知SM核心所述請(qǐng)求已被拒絕的拒絕應(yīng)答(方框316)����。兩條可選路徑通過(guò)發(fā)送應(yīng)答給通信系統(tǒng)而繼續(xù)(方框318)。
返回到方框306�,在通信模塊確定SM核心引擎創(chuàng)建對(duì)操作系統(tǒng)(OS)配置數(shù)據(jù),例如由函數(shù)HBAGetFcpTargetMappingFunc定義的光纖通道到scsi映射的請(qǐng)求的情況下���,通信模塊用相應(yīng)的授權(quán)數(shù)據(jù)建立到RA服務(wù)器的通信路徑(方框320)�。
然后,RA服務(wù)器中的授權(quán)部分���,例如sshd通過(guò)將所提交的用戶(hù)id�、密碼及密鑰與RA服務(wù)器已知被授權(quán)的用戶(hù)id�、密碼及密鑰相比較來(lái)確定授權(quán)是否有效(方框321)。
如果有效���,RA服務(wù)器通過(guò)OS配置操作�����,例如訪問(wèn)由操作系統(tǒng)的光纖通道設(shè)備驅(qū)動(dòng)器存儲(chǔ)的光纖通道配置信息來(lái)創(chuàng)建應(yīng)答(方框324)。
如果無(wú)效��,RA服務(wù)器創(chuàng)建拒絕應(yīng)答(方框326)�。再者,兩個(gè)可選路徑通過(guò)發(fā)送應(yīng)答給通信系統(tǒng)而繼續(xù)(方框318)�����。隨后�����,通信系統(tǒng)將應(yīng)答轉(zhuǎn)發(fā)給SM核心引擎(方框320)��,并且SM服務(wù)器中的SM核心引擎處理該應(yīng)答(方框322),如上述兩個(gè)專(zhuān)利中所定義的���。
在下文中�,顯示優(yōu)選實(shí)施的請(qǐng)求的流程和類(lèi)型���。HBA_API命令的語(yǔ)法可以在“光纖通道HBA_API工作草案”中找到����。(ftp//ftp.t11.org/t11/pub/fc/hba/02-268v2.pdf)�����。
1.首先�,關(guān)于結(jié)構(gòu)及適配器的請(qǐng)求CT,ELS�����,SCSI命令被列出����。使用適配器和SAN資源的SM客戶(hù)端處理這些命令typedef HBA_STATUS(*HBASendCTPassThruFunc)(HBA_HANDLE,void*,HBA_UINT32����,void*,HBA_UINT32);
typedef HBA_STATUS(*HBASendRNIDFunc)(HBA_HANDLE����,HBA_WWN,HBA_WWNTYPE,void*�����,HBA_UINT32*);typedef HBA_STATUS(*HBASendScsiInquiryFunc)(HBA_HANDLE�,HBA_WWN,HBA_UINT64����,HBA_UINT8����,HBA_UINT32��,void*�����,HBA_UINT32�,void*��,HBA_UINT32)����;typedef HBA_STATUS(*HBASendReportLUNsFunc)(HBA_HANDLE�,HBA_WWN�,void*��,HBA_UINT32��,void*,HBA_UINT32)�����;typedef HBA_STATUS(*HBASendReadCapacityFunc)(HBA_HANDLE�,HBA_WWN��,HBA_UINT64��,void*�����,HBA_UINT32�����,void*����,HBA_UINT32)��;typedef HBA_STATUS(*HBASendCTPassThruV2Func)(HBA_HANDLE�����,HBA_WWN��,void*��,HBA_UINT32,void*���,HBA_UINT32*)�;typedef HBA_STATUS(*HBASendRINDV2Func)(HBA_HANDLE�,HBA_WWN,HBA_WWN��,HBA_UINT32��,HBA_UINT32��,void*�����,HBA_UINT32*)��;typedef HBA_STATUS(*HBAScsiInquiryV2Func)(HBA_HANDLE���,HBA_WWN�,HBA_WWN��,HBA_UINT64���,HBA_UINT8����,HBA_UINT8,void*�����,HBA_UINT32*�����,HBA_UINT8*��,void*���,HBA_UINT32*);typedef HBA_STATUS(*HBAScsiReportLUNsV2Func)(HBA_HANDLE����,HBA_WWN,HBA_WWN�,void*,HBA_UINT32*��,HBA_UINT8*,void*��,HBA_UINT32*)���;typedef HBA_STATUS(*HBAScsiReadCaPacityV2Func)(HBA_HANDLE���,HBA_WWN,HBA_WWN��,HBA_UINT64���,void*�,HBA_UINT32*����,HBA_UINT8*,void*���,HBA_UINT32*)���;typedef HBA_STATUS(*HBASendRPLFunc)(HBA_HANDLE,HBA_WWN�,HBA_WWN��,HBA_UINT32�,HBA_UINT32���,HBA_UINT32���,void*,HBA_UINT32*)���;typedef HBA_STATUS(*HBASendRPSFunc)(HBA_HANDLE���,HBA_WWN���,HBA_WWN�,HBA_UINT32���,HBA_WWN�����,HBA_UINT32�����,void*��,HBA_UINT32*)�����;typedef HBA_STATUS(*HBASendSRLFunc)(HBA_HANDLE��,HBA_WWN�,HBA_WWN,HBA_UINT32�,void*,HBA_UINT32*)����;typedef HBA_STATUS(*HBASendLIRRFunc)(HBA_HANDLE,HBA_WWN���,HBA_WWN�,HBA_UINT8���,HBA_UINT8�����,void*����,HBA_UINT32*);tyPedef HBA_HANDLE(*HBAOpenAdapterFunc)(char*)��;typedef void(*HBACloseAdapterFunc)(HBA_HANDLE)�;typedef HBA_STATUS(*HBAGetAdapterAttributesFunc)(HBA_HANDLE,HBA_ADAPTERATTRIBUTES*)�����;typedef HBA_STATUS(*HBAGetAdapterPortAttributesFunc)(HBA_HANDLE����,HBA_UINT32,HBA_PORTATTRIBUTES*)�����;typedef HBA_STATUS(*HBAGetPortStaristicsFunc)(HBA_HANDLE�����,HBA_UINT32����,HBA_PORTSTATISTICS*);typedef HBA_STATUS(*HBAGetDiscoveredPortAttributesFunc)(HBA_HANDLE���,HBA_UINT32��,HBA_UINT32�����,HBA_PORTATTRIBUTES*)�;typedef HBA_STATUS(*HBAGetPortAttributesByWWNFunc)(HBA_HANDLE�,HBA_WWN,HBA_PORTATTRIBUTES*)���;typedef void(*HBARefreshInformationFunc)(HBA_HANDLE)typedef void(*HBAResetStatisticsFunc)(HBA_HANDLE�����,HBA_UINT32)���;typedef HBA_STATUS(*HBAGetEventBufferFunc)(HBA_HANDLE�����,HBA_EVENTINFO*����,HBA_UINT32*)�����;typedef HBA_STATUS(*HBASetRNIDMgmtInfoFunc)(HBA_HANDLE���,HBA_MGMTINFO*)�;typedef HBA_STATUS(*HBAGetRNIDMgmtInfoFunc)(HBA_HANDLE���,HBA_MGMTINFO*)�;
typedef HBA_STATUS(*HBAOpenAdapterByWWNFunc)(HBA_HANDLE*��,HBA_WWN)�����;typedef void(*HBARefreshAdapterConfigurationFunc)();typedef HBA_UINT32(*HBAGetVendorLibraryAttributesFunc)(HBA_LIBRARYATTRIBUTES*);typedef HBA_STATUS(*HBAGetFC4StatisticsFunc)(HBA_HANDLE���,HBA_WWN,HBA_UINT8,HBA_FC4STATISTICS*)���;typedef HBA_STATUS(*HBAGetFCPStatisticsFunc)(HBA_HANDLE,const HBA_SCSIID*���,HBA_FC4STATIS)����;typedef HBA_UINT32(*HBAGetNumberOfAdaptersFunc)()���;typedef HBA_STATUS(*HBAGetAdapterNameFunc)(HBA_UINT32���,char*);圖4顯示說(shuō)明上述類(lèi)型的HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖�。如從圖4顯然地,SM服務(wù)器與SM客戶(hù)端通信����,SM客戶(hù)端與FC交換器通信。SM服務(wù)器、SM客戶(hù)端及FC交換器彼此獨(dú)立地啟動(dòng)并運(yùn)行���,如由方框402�����,404及406所示�。公認(rèn)地����,下面步驟僅構(gòu)成操作的一部分,更多的請(qǐng)求在下文中所描述的方法之前或之后發(fā)送或接收�����。
最初�,SM服務(wù)器發(fā)送請(qǐng)求給SM客戶(hù)端(方框408,410)�。在該例子中它是HBASendLIRRFunc。詳細(xì)地���,SM客戶(hù)端使用HBA_API以便發(fā)送由光纖通道標(biāo)準(zhǔn)FC-FS和FC-GS3定義的CT_IO���,ELS或FCP_CMD序列給結(jié)構(gòu)(412����,414)�。
在FC標(biāo)準(zhǔn)所定義的結(jié)構(gòu)中產(chǎn)生的應(yīng)答通過(guò)HBA_API調(diào)用的完成部分轉(zhuǎn)發(fā)給SM客戶(hù)端(418�����,420)�。SM客戶(hù)端將所述應(yīng)答轉(zhuǎn)發(fā)給SM服務(wù)器(422,424)���。
2.FCP<->SCSI映射命令這些命令通過(guò)使用OS和OS設(shè)備驅(qū)動(dòng)器資源命令的RA服務(wù)器來(lái)處理����。語(yǔ)法可以在“光纖通道HBA_API工作草案”中找到��。(ftp//ftp.t11.org/t11/pub/fe/hba/02-268v2.pdf)
typedef HBA_STATUS(*HBAGetFcpTargetMappingFunc)(HBA_HANDLE����,HBA_FCPTARGETMAPPING*);typedef HBA_STATUS(*HBAGetFcpPersistentBindingFunc)(HBA_HANDLE���,HBA_FCPBINDING*)�����;typedef HBA_STATUS(*HBAGetBindingCapabilityFunc)(HBA_HANDLE��,HBA_WWN���,HBA_BIND_CAPABILITY*)����;typedef HBA_STATUS(*HBAGetBindingSupportFunc)(HBA_HANDLE��,HBA_WWN���,HBA_BIND_CAPABILITY*)�����;typedef HBA_STATUS(*HBASetBindingSupportFunc)(HBA_HANDLE�����,HBA_WWN�����,HBA_BIND_CAPABILITY)�;typedef HBA_STATUS(*HBASetPersistentBindingV2Func)(HBA_HANDLE,HBA_WWN���,const HBA_FCPBINDING2*)�����;typedef HBA_STATUS(*HBAGetPersistentBindingV2Func)(HBA_HANDLE,HBA_WWN�,HBA_FCPBINDING2*);typedef HBA_STATUS(*HBARemovePersistentBindingFunc)(HBA_HANDLE����,HBA_WWN,const HBA_FCPBINDING2*)��;typedef HBA_STATUS(*HBARemoveAllPersistentBindingsFunc)(HBA_HANDLE��,HBA_WWN)��;typedef HBA_STATUS(*HBAGetFcpTargetMappingv2Func)(HBA_HANDLE��,HBA_WWN���,HBA_FCPTARGETMAPPING*)�����;現(xiàn)在參考圖5����,其描繪了說(shuō)明上述類(lèi)型的HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖。如從圖5中顯然地�,SM服務(wù)器同樣地與SM客戶(hù)端通信。SM客戶(hù)端又分別與防火墻和OS鏡像通信���。SM服務(wù)器�����、SM客戶(hù)端��、防火墻及OS鏡像彼此獨(dú)立地啟動(dòng)和運(yùn)行�,如由方框502�,504,506及508所示���。公認(rèn)地�����,下面步驟僅構(gòu)成操作的一部分�����,并且更多的請(qǐng)求在下文中所描述的方法之前和之后發(fā)送或接收���。
首先����,SM服務(wù)器發(fā)送請(qǐng)求給SM客戶(hù)端(方框510���,512),例如對(duì)應(yīng)于HBASetPersistentBindingV2 HBA_API請(qǐng)求的請(qǐng)求�����。如果SM客戶(hù)端具有防火墻上的直接控制����,那么如果防火墻安全策略需要的話,它能夠任意地修改防火墻(514����,516�����,518����,520)�����。然后�,SM客戶(hù)端通過(guò)觸發(fā)所有權(quán)更新防火墻信息的發(fā)送操作來(lái)修改防火墻(514,516)�����。
防火墻將操作的完成發(fā)信號(hào)通知SM客戶(hù)端(518�����,520)�����。然后SM客戶(hù)端通過(guò)RA服務(wù)器(522,524)觸發(fā)非置信OS鏡像中的一組查詢(xún)請(qǐng)求(526)���。SM客戶(hù)端等待所述請(qǐng)求的完成信息(528����,530)�����。SM客戶(hù)端將所述請(qǐng)求的應(yīng)答返回給SM服務(wù)器(532����,534)。
3.輸入ELS(RNID)這些是在結(jié)構(gòu)中啟動(dòng)并且需要轉(zhuǎn)發(fā)給SM服務(wù)器的信息��。這些信息用來(lái)識(shí)別SAN中出現(xiàn)的問(wèn)題的來(lái)源��。
在HBA_API中定義以處理輸入ELS的命令typedef HBA_STATUS(*HBARegisterForAdapterAddEventsFunc)(void(*)(void*�����,HBA_WWN���,HBA_UINT32)����,void*����,HBA_CALLBACKHANDLE*);typedef HBA_STATUS(*HBARegisterForAdapterEventsFunc)(void(*)(void*�����,HBA_WWN����,HBA_UINT32),void*���,HBA_HANDLE�,HBA_CALLBACKHANDLE*)����;typedef HBA_STATUS(*HBARegisterForAdapterPortEventsFunc)(void(*)(void*,HBA_WWN�����,HBA_UINT32,HBA_UINT32)���,void*�,HBA_HANDLE��,HBA_WWN����,HBA_CALLBACKHANDLE*);typedef HBA_STATUS(*HBARegisterForLinkEventsFunc)(void(*)(void*����,HBA_WWN,HBA_UINT32����,void*,HBA_UINT32)�����,void*����,void*,HBA_UINT32����,HBA_HANDLE,HBA_CALLBACKHANDLE*)���;typedef HBA_STATUS(*HBARegisterForAdapterPortStatEventsFunc)(void(*)(void*���,HBA_WWN,HBA_UINT32)���,void*���,HBA_HANDLE,HBA_WWN��,HBA_PORTSTATISTICS�,HBA_UINT32,HBA_CALLBACKHANDLE*)��;typedef HBA_STATUS(*HBARegisterForTargetEventsFunc)(void(*)(void*�,HBA_WWN�����,HBA_WWN�����,HBA_UINT32)�����,void*�����,HBA_HANDLE�����,HBA_WWN�,HBA_WWN��,HBA_CALLBACKHANDLE*����,HBA_UINT32);typedef HBA_STATUS(*HBARemoveCallbackFunc)(HBA_CALLBACKHANDLE)�����;現(xiàn)在參考圖6��,其描繪了說(shuō)明上述類(lèi)型的HBA_API命令的簡(jiǎn)化信號(hào)和流程的流程圖����。如從圖6中顯然地,SM服務(wù)器與SM客戶(hù)端通信����,SM客戶(hù)端與FC交換器通信。SM服務(wù)器�����、SM客戶(hù)端及FC交換器彼此獨(dú)立地啟動(dòng)和運(yùn)行����,如由方框602,604及606所示���。公認(rèn)地���,下面步驟僅構(gòu)成操作的一部分���,并且更多的請(qǐng)求在下文中所描述的方法之前或之后發(fā)送或接受。
SM服務(wù)器(602)指示SM客戶(hù)端(604)為HBA_API的事件登記一次(608�,610)并等待完成的確認(rèn)(612,614)��,非置信OS鏡像不允許登記�����。在這完成之后��,由SAN創(chuàng)建的每個(gè)信息(616)觸發(fā)下面過(guò)程1.SM客戶(hù)端接受來(lái)自FC適配器的事件(616�,618)2.SM客戶(hù)端將事件轉(zhuǎn)發(fā)給SM服務(wù)器(620,622)在可選實(shí)施中�����,SM客戶(hù)端可以過(guò)濾并精簡(jiǎn)信息(616��,618)����,以減少發(fā)送給SM服務(wù)器的信息的數(shù)量�����。
與本發(fā)明無(wú)關(guān)的HBA_API函數(shù)typedef HBA_UINT32(*HBAGetVersionFunc)();typedef HBA_STATUS(*HBALoadLibraryFunc)()���;typedef HBA_STATUS(*HBAFreeLibraryFunc)()��;本發(fā)明可以用硬件��、軟件����、或硬件及軟件的組合來(lái)實(shí)現(xiàn)�����。任何類(lèi)型的計(jì)算機(jī)系統(tǒng)或適合于執(zhí)行這里所描述的方法的其他裝置是合適的����。硬件及軟件的典型組合可以是具有計(jì)算機(jī)程序的通用計(jì)算機(jī)系統(tǒng),當(dāng)被加載并執(zhí)行時(shí)計(jì)算機(jī)程序控制計(jì)算機(jī)系統(tǒng)����,使得它執(zhí)行這里所描述的方法�����。本發(fā)明也可以嵌入計(jì)算機(jī)程序產(chǎn)品中��,其包括能夠?qū)崿F(xiàn)這里所描述的方法的所有特性��,并且當(dāng)被加載到計(jì)算機(jī)系統(tǒng)中時(shí)能夠執(zhí)行這些方法����。
本上下文中的計(jì)算機(jī)程序裝置或計(jì)算機(jī)程序指的是打算使具有信息處理能力的系統(tǒng)或者直接地或者在以下情況a)轉(zhuǎn)換成另一種語(yǔ)言���、代碼或符號(hào)�;b)以不同材料形式再現(xiàn)的任一種或兩種之后執(zhí)行特定功能的一組指令的以任何語(yǔ)言��、代碼或符號(hào)的任何表示�。
權(quán)利要求
1.一種用于操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的系統(tǒng),該系統(tǒng)包括SAN管理服務(wù)器��;提供到存儲(chǔ)設(shè)備的連接的光纖通道網(wǎng)絡(luò)�;以及在所述服務(wù)器環(huán)境中運(yùn)行的多個(gè)操作系統(tǒng)鏡像;其特征在于置信SAN管理客戶(hù)端單元連接到所述SAN管理服務(wù)器�;光纖通道適配器(FC適配器);由此,置信SAN管理客戶(hù)端單元被配置以代替所述操作系統(tǒng)鏡像(OS鏡像)的每個(gè)在所述光纖通道網(wǎng)絡(luò)中發(fā)出命令����。
2.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng),其中所述SAN管理服務(wù)器被配置以區(qū)別第一組命令和第二組命令��,由此第一組命令由SM客戶(hù)端和所述SAN一起處理�,并且由此所述第二組命令由所述OS鏡像處理而不訪問(wèn)所述SAN。
3.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)�,其中所述SAN管理客戶(hù)端被配置以區(qū)別第一組命令和第二組命令��,由此第一組命令由SM客戶(hù)端和所述SAN一起處理���,并且從而所述第二組命令由所述OS鏡像處理而不訪問(wèn)所述SAN�。
4.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)�����,其中服務(wù)器環(huán)境包括虛擬服務(wù)器�。
5.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng),其中服務(wù)器環(huán)境包括分區(qū)服務(wù)器��。
6.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)����,其中所述光纖通道適配器(FC適配器)被配置以授權(quán)所述置信SAN管理客戶(hù)端單元����。
7.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)����,其中所述FC適配器和所述SAN適合于將非置信OS鏡像的訪問(wèn)限制于最小必要命令集。
8.根據(jù)權(quán)利要求1-5的一個(gè)的系統(tǒng)�,其中所述FC適配器和虛擬服務(wù)器的虛擬層適合于將非置信OS鏡像的訪問(wèn)限制于最小必要命令集。
9.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)���,其中僅一個(gè)SM客戶(hù)端被提供�,以便保持服務(wù)器負(fù)載小�����。
10.根據(jù)權(quán)利要求8的系統(tǒng)���,其中一個(gè)或多個(gè)后備SM客戶(hù)端被提供��,以提供冗余����。
11.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng),其中僅SM客戶(hù)端被登記以接收來(lái)自SAN的信息����,并且SM客戶(hù)端被配置以將所述信息僅轉(zhuǎn)發(fā)給所述SM服務(wù)器。
12.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)���,其中FC適配器被配置以將由SAN產(chǎn)生的不需要登記的所有信息僅轉(zhuǎn)發(fā)給SM客戶(hù)端而不轉(zhuǎn)發(fā)給非置信OS鏡像��。
13.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)����,其中FC適配器被配置以便除了將原始信息轉(zhuǎn)發(fā)給非置信OS鏡像之外還將由SAN產(chǎn)生的不需要登記的所有信息的拷貝轉(zhuǎn)發(fā)給SM客戶(hù)端��。
14.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)��,其中服務(wù)器裝備有兩級(jí)代理��,也就是SM客戶(hù)端和遠(yuǎn)程訪問(wèn)服務(wù)器(RA服務(wù)器)��。
15.根據(jù)權(quán)利要求14的系統(tǒng)�,其中SM服務(wù)器裝備有用于保存訪問(wèn)RA服務(wù)器的授權(quán)數(shù)據(jù)的儲(chǔ)存庫(kù)�。
16.根據(jù)權(quán)利要求14的系統(tǒng),其中SM客戶(hù)端裝備有用于保存訪問(wèn)RA服務(wù)器的授權(quán)數(shù)據(jù)的儲(chǔ)存庫(kù)���。
17.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)����,其中SM客戶(hù)端和FC適配器被配置以收集用于記賬每個(gè)非置信OS鏡像的資源使用的可靠信息。
18.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)�,其中SM架構(gòu)適合于與防火墻控制應(yīng)用通信,以便設(shè)置訪問(wèn)權(quán)限��。
19.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)���,其中SM客戶(hù)端適合于擔(dān)當(dāng)從SM服務(wù)器到RA服務(wù)器的請(qǐng)求的路由器�����。
20.根據(jù)前述權(quán)利要求的一個(gè)的系統(tǒng)��,其中RA服務(wù)器由現(xiàn)有的telnet/sshd服務(wù)器構(gòu)成����。
21.一種用于操作多個(gè)操作系統(tǒng)鏡像共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的方法��,該方法包括步驟用具有到所述光纖通道適配器的通信路徑的具有至少SAN管理服務(wù)器和至少SAN管理客戶(hù)端的SAN管理軟件來(lái)管理SAN�����;將由SAN管理服務(wù)器發(fā)出的請(qǐng)求分成至少兩組;第一組以代替共享相同適配器的其他操作系統(tǒng)的對(duì)應(yīng)于置信路徑的SM客戶(hù)端的名義由光纖通道適配器和SAN處理���;以及第二組由其他操作系統(tǒng)處理����,而不需要發(fā)送請(qǐng)求到FC適配器和SAN或者從那里接受請(qǐng)求����。
22.根據(jù)權(quán)利要求21的方法,還包括步驟將包含于SAN和FC適配器中所產(chǎn)生的未經(jīng)請(qǐng)求信息中的所有信息通過(guò)SAN管理客戶(hù)端路由到SAN管理器��。
23.根據(jù)權(quán)利要求21或22的方法�����,還包括步驟使用HBA_API綁定請(qǐng)求來(lái)修改防火墻����。
24.根據(jù)權(quán)利要求21-23的一個(gè)的方法����,還包括步驟操作從SAN管理客戶(hù)端到適配器的通信路徑,使得它不能被其他操作系統(tǒng)鏡像修改或竊聽(tīng)����。
25.根據(jù)權(quán)利要求21-24的一個(gè)的方法����,還包括步驟僅通過(guò)置信路徑上的SAN客戶(hù)端����,訪問(wèn)在適配器和SAN中產(chǎn)生的有關(guān)記賬各個(gè)操作系統(tǒng)鏡像的所有信息。
26.根據(jù)權(quán)利要求21-25的一個(gè)的方法���,還包括步驟所述SM服務(wù)器提供授權(quán)數(shù)據(jù)給SM客戶(hù)端��,以執(zhí)行來(lái)自所述第一組的請(qǐng)求����。
27.根據(jù)權(quán)利要求21-26的一個(gè)的方法��,還包括步驟所述SM服務(wù)器和SM客戶(hù)端提供授權(quán)數(shù)據(jù)給其他OS鏡像����,以執(zhí)行來(lái)自所述第二組的請(qǐng)求。
28.根據(jù)權(quán)利要求21-27的一個(gè)的方法����,還包括步驟操作OS鏡像��,使得它們僅能夠在SAN中執(zhí)行有限的命令集����。
29.一種存儲(chǔ)于計(jì)算機(jī)可用媒介上的計(jì)算機(jī)程序產(chǎn)品����,包括使計(jì)算機(jī)執(zhí)行根據(jù)前述權(quán)利要求21-28任一個(gè)的方法的計(jì)算機(jī)可讀程序裝置。
全文摘要
本發(fā)明提供一種方法及系統(tǒng)來(lái)操作多個(gè)服務(wù)器共享一個(gè)光纖通道適配器的服務(wù)器環(huán)境中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)����。SAN管理服務(wù)器管理存儲(chǔ)系統(tǒng)中的區(qū)域及安全性,光纖通道網(wǎng)絡(luò)提供到存儲(chǔ)設(shè)備的連接�����,并且多個(gè)操作系統(tǒng)鏡像在所述服務(wù)器環(huán)境中運(yùn)行����。此外,置信SAN管理客戶(hù)端單元連接到所述SAN管理服務(wù)器�,并且光纖通道適配器被配置以授權(quán)所述置信SAN管理客戶(hù)端單元�,由此置信SAN管理客戶(hù)端單元被配置以代替所述操作系統(tǒng)鏡像的每個(gè)在所述光纖通道網(wǎng)絡(luò)中發(fā)出命令。
文檔編號(hào)H04L29/08GK1714537SQ200380103553
公開(kāi)日2005年12月28日 申請(qǐng)日期2003年11月25日 優(yōu)先權(quán)日2002年12月20日
發(fā)明者克里斯托弗·拉絲馳 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司