[go: up one dir, main page]

DE10393571T5 - Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken - Google Patents

Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken Download PDF

Info

Publication number
DE10393571T5
DE10393571T5 DE10393571T DE10393571T DE10393571T5 DE 10393571 T5 DE10393571 T5 DE 10393571T5 DE 10393571 T DE10393571 T DE 10393571T DE 10393571 T DE10393571 T DE 10393571T DE 10393571 T5 DE10393571 T5 DE 10393571T5
Authority
DE
Germany
Prior art keywords
san
logical
access path
access
paths
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10393571T
Other languages
English (en)
Inventor
Roee Boston Alon
Assaf Levy
Shai Scharf
Raphael Needham Yahalom
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Onaro Inc
Original Assignee
Onaro Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Onaro Inc filed Critical Onaro Inc
Publication of DE10393571T5 publication Critical patent/DE10393571T5/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0873Checking configuration conflicts between network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Verfahren zum Validieren eines Zustands eines Storage Area Netzwerks (SAN), mit den Schritten:
Definieren einer logische SAN-Zugriffspfade repräsentierenden SAN-Zugriffspfad-Policy, wobei die logischen SAN-Zugriffspfade eine End-to-End-Zugriffsbeziehung zwischen einer Anwendung auf einem Server und Daten-LUNs definiert, die auf Speichergeräten im SAN gespeichert sind und logische Zugriffspfadattribute mit Attributwerten aufweisen;
Erfassen von Konfigurationsinformation von Geräten des SAN, Standardisieren von Formaten der Konfigurationsinformation und Beheben jeglicher Konflikte;
Verarbeiten der erfaßten Konfigurationsinformation zum Identifizieren der logischen SAN-Zugriffspfade und Berechnen der zugeordneten Attributwerte; und
Vergleichen der identifizierten logischen SAN-Zugriffspfade und der berechneten Attributwerte mit der SAN-Zugriffspfad-Policy zum Identifizieren jeglicher Diskrepanzen oder Nichtübereinstimmungen logischer Zugriffspfade.

Description

  • Hintergrund der Erfindung
  • Storage Area Netzwerke sind dedizierte Netzwerke, die es Ermöglichen, daß mehrere auf Servern laufende Anwendungen auf Daten zugreifen können, die in vereinigten, gemeinsam genutzten Speicher-Infrastrukturen gespeichert sind. Unternehmen entwickeln zunehmend große Storage Area Netzwerke (SANs), um Skalenvorteile oder Massenproduktionsvorteile (Economies of Scale) zu erzielen, und planen massive geschäftskritische Migrationsprozesse zu diesen neuen Umgebungen und führen diese Prozesse aus.
  • SANs von Unternehmen unterstützen zunehmend die meisten geschäftskritischen Anwendungen der Unternehmen. Diese SANs werden immer größer und komplexer. Eine typische SAN-Umgebung in einem Fortune 500-Unternehmen kann ein paar Hundert Server und mehrere zehn Switches und Speichergeräte verschiedener Typen aufweisen. Außerdem werden diese SAN-Umgebungen in erheblichem Maße geändert und erweitert. Gemäß einer jüngsten Gartner-Umfrage wachsen große SANs jährlich um etwa 40% an.
  • Diese große Größe und die Wachstumsrate von SANs führen dazu, daß die SANs immer komplexer werden. Die Anzahl von Komponenten und Verbindungen, die mit der Datenübertragung von einer vorgegebenen Anwendung zu einer oder mehrerer Dateneinheiten (LUNs, die in einem oder mehreren gemeinsam verwendeten Speichergeräten verwendet werden) des SANs in Beziehung stehen können, können mit der Größe des SANs exponentiell zunehmen.
  • Diese Komplexität in Kombination mit der Heterogenität der verschiedenen SAN-Geräte führt zu einem hohen Risikopo tential und zu einer hohen Ineffizienz. Um Änderungen des SANs (die aufgrund des natürlichen Wachstums des SANs häufig auftreten) vorzunehmen, benötigen Gruppen von SAN-Managern eine lange Zeit, und die Änderungen sind fehleranfällig. Beispielsweise ist in vielen Unternehmen für eine routinemäßige Änderung (z.B. zum Hinzufügen eines neuen Servers zu einem SAN) eine Zeitdauer von ein bis zwei Wochen erforderlich, und in einem hohen Prozentanteil dieses Änderungsprozesses (manchmal bis zu 30–40%) tritt während des Änderungsprozesses mindestens ein Fehler auf. Schätzungsweise sind etwa 80% der Betriebsunterbrechungsereignisse in Unternehmen ein Ergebnis eines mit einer Infrastrukturänderung in Beziehung stehenden Ereignisses.
  • Einer der Hauptgründe für diese Probleme in SANs ergibt sich durch die Tatsache, daß Anwendungen und Dateneinheiten (LUNs), d.h. die Endpunkte von SAN-Datenflüssen, eine relativ strikte exklusive Zugriffsbeziehung haben. D.h., für jede Anwendung auf einem mit einem SAN verbundenen Host- oder Zentralrechner ist typischerweise ein Zugriff (häufig ein exklusiver Zugriff) nur auf einige spezifische SAN-Dateneinheiten (LUNs) erforderlich. Daher muß in einem Storage Area Netzwerk jeder Quellenendpunkt (Anwendung auf einem Host- oder Zentralrechner) typischerweise immer nur (und häufig ausschließlich) mit einer spezifischen kleinen Anzahl von Ziel-Endpunkten (LUNs auf Speichergeräten) wechselwirken.
  • Diese Zugriffsbeziehung und ihre zugeordnete Zugriffscharakteristik müssen jedoch tatsächlich durch Installieren oder Einrichten mehrerer verschiedenartiger zugeordneter Geräte realisiert werden. Hierfür sind verschiedene Arbeitsmaßnahmen erforderlich, die mehrere physische und logische Basis-Installationsarbeiten (manchmal mehrere Zehn pro logischer Änderung) beinhalten, die an verschiedenen Orten und bezüglich verschiedenen Gerätetypen mit einer perfekten wechselseitigen Konsistenz ausgeführt werden müssen.
    •
  • Gegenwärtig existieren keine geeigneten technologischen Lösungen zum Unterstützen von SAN-Administratoren bei der Einrichtung der End-to-End-Konsistenz von SAN-Zuständen und Änderungsarbeiten bezüglich den Anwendungsdatenanforderungen. Tatsache ist, daß SAN-Administratoren gegenwärtig auf manuelle Verfahren, auf auf Arbeitsblättern basierende Information und auf empirische Methoden zurückgreifen müssen.
  • Für eine derartige zu entwickelnde Technologie müssen erhebliche Probleme gelöst werden. Diese Probleme stehen unter anderem in Beziehung mit der exponentiellen Anzahl potentieller Zugriffspfade von Anwendungsservern zu Datenspeichergeräten, dem hohen Grad der Heterogenität zwischen SAN-Geräten, der verteilten Struktur des erforderlichen konsistenten momentanen Zustands und der Tatsache, daß verschiedenartige Ereignisse auftreten können und jedes Ereignis sich im Prinzip auf eine beliebige Anzahl von Datenflüssen von Anwendungen zu Dateneinheiten auswirken kann.
  • Daher besteht Bedarf für eine Lösung des Problems der Validierung des End-to-End-SAN-Zustands und von SAN-Zustandänderungsereignissen.
  • Kurze Beschreibung der Erfindung
  • Erfindungsgemäß werden ein Verfahren und ein System zum Validieren eines logischen Zugriffspfades in einem Storage Area Netzwerk bereitgestellt. Erfindungsgemäß wird die Definition einer SAN-Zugriffspfad-Policy unterstützt, die darstellt, welche logischen Zugriffspfade von einer Anwendung zu einer Daten-LUN nicht existieren sollten oder existieren sollten und welches die End-to-End-Attribute jedes dieser Pfade sind. Es wird ein SAN-spezifischer, graph-basierter Validierungsalgorithmus ausgeführt, der auf Information basiert, die von den über das SAN verteilten Geräten unter Verwendung verschiedenartiger nicht-störender oder nichtbetriebsunterbrechender Mechanismen erfaßt werden. Erfindungsgemäß können Nichtübereinstimmungen tatsächlicher logischer Zugriffspfade bezüglich der durch die Policy bestimmten Soll-Zugriffspfade identifiziert werden. Meldungen über Nichtübereinstimmungen können unter Verwendung verschieden artiger Einrichtungen oder Verfahren zusammen mit relevanter Kontextinformation an einen gewünschten Empfänger übertragen werden.
  • Gemäß einem anderen Aspekt der Erfindung wird die Korrektheit und die Auswirkung eines beliebigen Typs eines SAN-Ereignisses validiert, das den SAN-Zustand beeinflussen kann. Es wird Information über Ereignisse erfaßt, entweder unmittelbar nachdem sie aufgetreten sind, oder in einigen Fällen bevor sie auftreten, und ihre Auswirkung auf einen beliebigen logischen SAN-Zugriffspfad und die Übereinstimmung mit der logischen Zugriffspfad-Policy wird unter Verwendung SAN-spezifischer, graph-basierter Algorithmen analysiert. Im Fall identifizierter Nichtübereinstimmungen wird Information zusammen mit Kontextinformation übertragen, wenn das Ereignis bereits aufgetreten ist, oder es wird verhindert, daß das Ereignis auftritt, wenn es noch nicht aufgetreten ist.
  • Durch die vorliegende Erfindung werden verschiedene wichtige Vorteile erzielt:
    • • Erfindungsgemäß werden alle wichtigen Eigenschaften logischer End-to-End-Zugriffspfade erfaßt und es wird dazu beigetragen, sie zu erzwingen.
    • • Der größte Teil der zugrunde liegenden Komplexität wird abstrahiert.
    • • Erfindungsgemäß können alle geplanten und nicht geplanten Typen von SAN-Änderungsereignissen gehandhabt werden.
    • • Erfindungsgemäß sind viele der gegenwärtig mit SAN-Änderungsprozessen in Beziehung stehenden Probleme vermeidbar, die sich durch Inkonsistenzfehler ergeben.
    • • Erfindungsgemäß können viele Probleme erfaßt werden, unmittelbar nachdem sie aufgetreten sind, und es kann geeigneten Personen wichtige Kontextinformation über diese Probleme zur Verfügung gestellt werden, so daß sie schnell korrigiert werden können.
    • • Erfindungsgemäß können der Zeitaufwand und Ressourcen, die gegenwärtig zum Ausführen von SAN-Änderungen erforderlich sind, wesentlich reduziert werden.
    • • Die Erfindung kann als Basis für einen strukturierten, geeignet konstruierten SAN-Änderungs-Lebenszyklusprozeß verwendet werden.
    • • Die Erfindung kann als Basis für eine besser kontrollierte, besser genutzte, zuverlässigere und sicherere SAN-Umgebung dienen.
  • Aus der Perspektive von Unternehmen hat die vorliegende technologische Erfindung ein großes Potential hinsichtlich der Senkung von Betriebskosten, die gegenwärtig in SAN-Änderungsprozesse und Problemkorrektur investiert werden, um Betriebsunterbrechungs- oder Ausfallrisiken aufgrund von SAN-Infrastrukturfehlern und Störungen zu reduzieren, die gegenwärtig völlig normal sind, und um ein weiteres SAN-Wachstum und SAN-Änderungen zu ermöglichen, um die Anforderungen der Unternehmen zu unterstützen und die wesentlichen ökonomischen Vorteile zu erzielen, die durch geeignet konstruierte und betreibbare große SANs bereitgestellt werden können.
  • Gemäß einem Aspekt der vorliegenden Erfindung weist ein Verfahren zum Validieren eines Zustands eines Storage Area Netzwerkes (SAN) das Definieren einer SAN-Zugriffspfad-Policy auf, die logische SAN-Zugriffspfade darstellt, wobei die logischen SAN-Zugriffspfade eine End-to-End-Zugriffsbeziehung zwischen einer Anwendung auf einem Server und auf Speichergeräten im SAN gespeicherten Daten-LUNs definieren und logische Zugriffspfadattribute mit Attributwerten aufweisen. Das Verfahren weist ferner das Erfassen von Konfigurationsinformation von Geräten des SAN, das Standardisieren oder Normieren von Formaten der Konfigurationsinformation und das Beheben jeglicher Konflikte sowie das Verarbeiten der erfaßten Konfigurationsinformation zum Identifizieren der logischen SAN-Zugriffspfade auf. Durch das Verfahren werden dann die zugeordneten Attributwerte berechnet, die identifizierten logischen SAN-Zugriffspfade und die berechneten Attributwerte mit der SAN-Zugriffspfad-Policy verglichen, um jegliche Diskrepanzen oder Nichtübereinstimmungen der logischen Pfade zu identifizieren.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung weist ein Verfahren zum Validieren eines Zustandänderungsereignisses eines Storage Area Netzwerks (SAN) die Schritte auf: Definieren einer SAN-Zugriffspfad-Policy, die logische SAN-Zugriffspfade darstellt, Definieren eines SAN-Zustands basierend auf logischen SAN-Zugriffspfaden und den logischen Zugriffspfaden zugeordneten Attributwerten, Erzeugen von SAN-Ereignis-Beschreibungsinformation und Vergleichen der SAN-Ereignis-Beschreibungsinformation mit dem SAN-Zustand, um Diskrepanzen oder Nichtübereinstimmungen logischer Pfade zu identifizieren.
  • Gemäß einem noch anderen Aspekt der vorliegenden Erfindung weist ein Storage Area Netzwerk- (SAN) Validations-Manager eine Policy Engine auf, die eine SAN-Zugriffspfad-Policy speichert, die logische SAN-Zugriffspfade darstellt, wobei die logischen SAN-Zugriffspfade eine End-to-End-Zugriffsbeziehung zwischen einer Anwendung auf einem Server und Daten-LUNs definieren, die auf Speichervorrichtungen im SAN gespeichert sind, und logische Zugriffspfadattribute mit Attributwerten aufweisen. Der SAN-Validations-Manager weist ferner eine Validierungsmaschine auf, die Konfigurationsinformation von Geräten des SAN erfaßt, Formate der Konfigurationsinformation standardisiert und jegliche Konflikte behebt. Die Validierungsmaschine verarbeitet außerdem die erfaßte Konfigurationsinformation, um logische SAN-Zugriffspfade zu identifizieren, und berechnet die zugeordneten Attributwerte und vergleicht die identifizierten logischen SAN-Zugriffspfade und die berechneten Attributwerte mit der SAN-Zugriffspfad-Policy, um jegliche Diskrepanzen oder Nichtübereinstimmungen logischer Zugriffspfade zu identifizieren.
  • Vorteilhafte Ausführungsformen der Erfindung können eines oder mehrere der folgenden Merkmale aufweisen.
  • Der SAN-Validierungsprozeß kann ferner das Identifizieren einer Nichtübereinstimmung eines logischen Zugriffspfades aufweisen, wenn mindestens ein identifizierter logischer SAN-Zugriffspfad nicht mit der SAN-Zugriffspfad-Policy übereinstimmt, und das Definieren einer SAN-Informationsgabe-Policy zum Informieren eines Benutzers über Nichtübereinstimmungen von SAN-Zugriffspfaden. Das Informieren eines Benutzers kann das Übertragen einer Nichtübereinstimmungsinformation enthaltenden Meldung an den Benutzer aufweisen, wobei die Meldung eine E-Mail-, eine Grafiktext- und/oder eine SNMP-Meldung ist. Das Verfahren kann ferner das Identifizieren partieller logischer Zugriffspfade und das Vergleichen logischer Zugriffspfadwerte der partiellen Zugriffspfade mit der SAN-Zugriffspfad-Policy aufweisen.
  • Die Konfigurationsinformation kann Geräteeigenschaften enthalten, die aus einer Server-ID, einer Server-Port-Konfiguration, einer Switch-Port-Konfiguration, einer Switch-ID, einem Switch-IP und einer Domain-ID ausgewählt werden, eine Gruppeneinteilung von Geräten, eine Zoneneinteilung von Geräten, eine Speichergerät-ID, LUNs von Speichergeräten und LUN-Maskierungen (Maskings). Attribute logischer Zugriffspfade können Attribute aufweisen, die aus einem Redundanzpegel, einem Redundanztyp, der Anzahl von Hops, der Anzahl zugewiesener Ports, einer Bandbreite, der Kompa- tibilität von Komponenten, Nachbarschaftsbeschränkungen und dem Typ der Komponentenauthentifizierung ausgewählt werden. Das Verfahren kann ferner Benutzerdefinitionen verwenden, um mindestens zwei logische Zugriffspfade zu gruppieren, die mindestens einen logischen Pfadattributwert gemeinsam verwenden oder innerhalb eines Bereichs vordefinierter logischer Pfadattributwerte liegen. Das Erfassen von Konfigurationsinformation kann das Abfragen eines SAN-Gerät-API, das Simulieren einer CLI-Session durch ein SAN-Gerät und das Kommunizieren mit einem SAN-Gerät unter Verwendung eines CIM- oder SNMP-Protokolls aufweisen.
  • Das Verfahren kann ferner ein Änderungsereignis durch Erfassen von SAN-Ereignis-Beschreibungsinformation und das Verarbeiten der SAN-Ereignis-Beschreibungsinformation zum Identifizieren logischer SAN-Zugriffspfade aufweisen, die Attributwerte aufweisen, die nicht der SAN-Zugriffspfad-Policy entsprechen, wodurch ein geänderter Zustand des SANs identifiziert wird.
  • Ein SAN-Änderungsereignis kann eine fehlerhafte Änderung in einer SAN-Gerätekonfiguration, eine geplante Änderung in einer SAN-Gerätekonfiguration und/oder ein Gerätefehler sein. Die SAN-Ereignis-Beschreibungsinformation kann durch mindestens eines der folgenden Verfahren erhalten werden: Abfragen, Trapping nach Auftreten eines Ereignisses, durch eine direkte Eingabe durch einen Administrator, Zuführen eines eine beabsichtigte Änderung anzeigenden Eingangssignals von einem Provisioning System, Abfangen eines Änderungsbefehls vor dem Auftreten eines Ereignisses.
  • Weitere Merkmale und Vorteile der vorliegenden Erfindung werden anhand der folgenden Beschreibung bevorzugter Ausführungsformen und der Patentansprüche deutlich.
    •
  • Kurze Beschreibung der Zeichnungen
  • Die folgenden Figuren zeigen bestimmte exemplarische Ausführungsformen der Erfindung, in denen ähnliche Bezugszeichen ähnliche Elemente bezeichnen. Die dargestellten Ausführungsformen dienen lediglich zur Erläuterung der Erfindung und sollen die Erfindung nicht einschränken.
  • 1 zeigt ein schematisches Diagramm eines exemplarischen Storage Area Netzwerks (SAN) mit physikalischen Verbindungen und einem erfindungsgemäßen SAN-Validations-Manager;
  • 2 zeigt ein schematisches Diagramm eines komplexen kleinen bis mittelgroßen SAN;
  • 3 zeigt zwei exemplarische logische Zugriffspfade zwischen einem Server und einem anderen Server, wobei der Zugriffspfad einer Zugriffs-Policy entspricht;
  • 4 zeigt ein schematisches problemorientiertes Ablaufdiagramm zum Validieren eines Zustands eines SAN;
  • 5 zeigt eine Bildschirmkonsole des SAN-Validierungs-Managers von 1;
  • 6 zeigt eine Auswahl eines nichtübereinstimmenden Pfades in einer Pfadlistentabelle und eine topologische Ansicht;
  • 7 zeigt ein schematisches problemorientiertes Ablaufdiagramm zum Validieren eines Ereignisses in einem SAN; und
  • 8 zeigt ein exemplarisches Nichtübereinstimmungs-Bildschirmfenster des SAN-Validations-Managers von 1.
  • Ausführliche Beschreibung der Erfindung
  • Ein Storage Area Netzwerk (SAN) ist ein Netzwerk, das ermöglicht, daß mehrere Anwendungen auf mehreren Servern auf Daten zugreifen (Daten lesen und schreiben) können, die auf mehreren gemeinsam genutzten Speichergeräten gespeichert sind. Ein SAN besteht aus miteinander verbundenen speziellen SAN-Geräten (z.B. aus verschiedenartigen Switches) und basiert auf mehreren möglichen speziellen Übertragungsprotokollen (z.B. Fibre Channel und iScsi). Jeder Server ist über eine oder mehrere spezielle Netzwerkkarten (z.B. HBA) mit einem SAN verbunden. Anwendungsdaten sind auf den Speichergeräten in als LUNs bezeichneten Speichereinheiten gespeichert.
  • 1 zeigt eine topologische Ansicht eines exemplarischen Storage Area Netzwerks (SAN) 10 mit mehreren SAN-Peripheriegeräten, wie beispielsweise Servern 102, 104, 106, 108, 110, 112, Switches 122, 124, 126 und Anwendungsdatenspeichergeräten 132, 134. Die Speichergeräte können beispielsweise Plattenlaufwerke, z.B. RAID-Geräte, Bandlaufwerke oder andersartige Massenspeichergeräte sein. Die physikalischen Verbindungspfade zwischen verschiedenen SAN-Peripheriegeräten sind durch durchgezogene Linien dargestellt. Die Speichergeräte 132, 134 können weiter unterteilt werden in Datenspeicherbereiche mit einer eindeutigen LUN (Logical Unit Number) 131, 133, 135.
  • Vorhandene SANs in mittleren und großen Unternehmen, wie beispielsweise in 2 dargestellt, weisen gegenwärtig jeweils mehrere hundert bis mehrere tausend verbundene Server, mehrere zehn bis mehrere hundert Switches und mehrere zehn bis mehrere hundert Speichergeräte auf. Außerdem wachsen diese Umgebungen weiterhin rapide an, in einigen Fällen verdoppeln sie sich innerhalb eines Jahres. In derartigen Umgebungen kann die Vernetzung von Geräten und Verbindungen außerordentlich komplex sein, und es existieren exponentiell viele physikalische Routen zwischen jeder Anwendung und jeder LUN in einem Speichergerät.
  • Gemäß 3 können Daten zwischen einer Anwendung 106 und gespeicherten LUNs, z.B. der LUN 135, auf irgendeiner der vorhandenen physikalischen Routen nur dann fließen, wenn alle Komponenten entlang dieser Route so eingestellt sind, daß sie ermöglichen, daß diese Anwendung auf dem Server mit der entsprechenden LUN kommunizieren kann. Insbesondere kann jedes SAN-Gerät derart eingestellt sein, daß Verkehrsflüsse durch dieses Gerät nur zu spezifischen Endpunkte logisch begrenzt sind (unter Verwendung verschiedener Verfahren in Abhängigkeit von dem Gerätetyp und vom Verkäufer). Beispielsweise unterstützt jeder Switch typischerweise die Definition verschiedener Typen von Zonen, die Sätze von Geräteports sind, zwischen denen Daten über diesen Switch fließen können. Speichergeräte unterstützen typischerweise LUN-Masking, wodurch Einschränkungen bezüglich Servern auferlegt werden, die auf eine LUN zugreifen können. Ähnlicherweise unterstützen HBAs typischerweise Typen von LUN-Maskings, die einschränken, auf welche LUNs von diesem Server zugegriffen werden kann.
  • Daher müssen für einen End-to-End-Datenfluß von einer spezifischen Anwendung zu einer spezifischen LUN sowohl physikalische Bedingungen (es muß mindestens ein physikalischer Pfad zwischen dem entsprechenden Server und dem entsprechenden Speicher vorhanden sein), als auch verschiedene logische Bedingungen in allen Geräten entlang dieser Route erfüllt sein (die Zoneneinteilung in jedem Switch und das LUN- Masking an der HBA und dem Speichergerät sollten auf eine Weise gesetzt sein, gemäß der der Datenverkehr zwischen diesen Endpunkten nicht deaktiviert oder unterbrochen wird).
  • In Zusammenhang mit der vorliegenden Erfindung bezeichnet der Ausdruck logischer Zugriffspfad einen logischen Kanal zwischen einer vorgegebenen Anwendung und einer vorgegebenen LUN, entlang dem Daten fließen können. D.h., ein logischer Zugriffspfad ist eine Folge von Komponenten über einen HBA, die bei einer spezifischen Anwendung auf einem spezifischen Server beginnen, und eine Folge aus einer Anzahl (von einem oder mehr) Switches und physikalischen Verbindungen, die zu einem Speichercontroller und einem Speichergerät führt, das eine spezifische LUN aufweist, so daß der logische Zustand (Konfigurationszustand) jeder Komponente entlang des Weges in dieser Folge (z.B. des HBA, des Speichercontrollers und jedes der Switches) derart gesetzt wird, daß der Datenfluß zwischen dieser spezifischen Anwendung und der spezifischen LUN entlang der spezifischen Folge nicht unterbrochen wird.
  • 3 zeigt einen logischen Pfad zwischen zwei Endpunkten, die im vorliegenden Beispiel durch den Server 106 und die LUN 135 gebildet werden. Für jeden dieser logischen Zugriffspfade muß nicht nur die physikalische Konnektivität vorhanden sein, sondern auch die logische Einrichtung jeder der 2 HBAs, die Zoneneinteilung in jedem der Switches und das LUN-Masking am Speichergerät müssen alle derart gesetzt sein, daß Datenflüsse zwischen den beiden Endpunkten entlang diesen logischen Kanälen ermöglicht werden. Beispielsweise muß die Zoneneinteilung des Switch 122 derart definiert sein, daß der dem Server 106 entsprechende Port und der dem Speichergerät der LUN 135 entsprechende Port in der gleichen Zone liegen.
  • Logische Zugriffspfade können zugeordnete Pfadattribute aufweisen, die als spezifische Merkmale oder Eigenschaften betrachtet werden können, die jeden logischen End-to-End-Zugriffspfad charakterisieren. Wie nachstehend ausführlich beschrieben wird, stellen diese Pfadattribute spezifische Eigenschaften des logischen Zugriffspfades dar und beschreiben beispielsweise Aspekte der Verfügbarkeit, des Leistungsvermögens und der Sicherheit jedes vorgegebenen logischen End-to-End-Kanals. D.h., wie nachstehend beschrieben wird, kann für einen spezifischen logischen Zugriffspfad ein bestimmter Wert für jedes der definierten Attribute berechnet werden (wobei der Wert einen bestimmten Eigenschaftswert für diesen spezifischen logischen Zugriffspfad darstellt.
  • Die Berechnung eines bestimmten Attributwertes für einen bestimmten logischen Zugriffspfad kann auf Information basieren, die mit der Folge verbundener Komponenten in Beziehung steht, sowie auf Information über die Typen und inneren Konfigurationszustände einer beliebigen Anzahl von Komponenten, die in diesem logischen Zugriffspfad angeordnet sind. Diese berechneten Werte (an Stelle einiger untergeordneten Eigenschaften einer physikalischen Verbindung oder des einen oder anderen Geräts) stellen die Eigenschaften des End-to-End-Datenflusses zwischen einer Anwendung und ihren zugeordneten Daten dar (d.h. Aspekte, die mit dem End-to-End-Verfügbarkeitsgrad, der End-to-End-Performance und der End-to-End-Sicherheit in Beziehung stehen und Datenflüsse entlang dieses logischen Zugriffspfades charakterisieren). Aus diesem Grunde spielen diese hergeleiteten Eigenschaftswerte des abstrakten logischen Zugriffspfades eine wichtige Rolle aus der Perspektive einer Anwendung (und damit eines Unternehmens).
  • Gemäß einer Ausführungsform können logische Zugriffspfade in einem SAN bestimmt und validiert werden. Durch den Validierungsprozeß werden die logischen Zugriffspfade identifiziert, die in einem spezifischen SAN-Zustand vorhanden sind, wird der Wert jedes Attributs für jeden der vorhandenen Zugriffspfade berechnet, und werden die identifizierten Zugriffspfade und die berechneten Attributwerte mit vorgegebenen Bedingungen verglichen, die gemäß einer vorgegebenen logischen Zugriffspfad-Policy spezifiziert sind.
  • 4 zeigt ein exemplarisches Prozeßablaufdiagramm zum Darstellen des Validierungsprozesses 400. In einem er sten Schritt 402 des Prozesses 400 wird eine logische Zugriffspfad-Policy definiert. Die Policy wird durch eine Policy-Datenstruktur dargestellt, die durch das den Validierungsprozeß ausführende System z.B. in der Policy Engine 16 des SAN-Managers 12 (1 und 3) gespeichert wird. Die Policy (d.h. der Zustand der Policy-Datenstruktur) wird nur durch geeignet autorisierte Personen definiert (und/oder aktualisiert). Die Policy weist eine Liste logischer Zugriffspfade auf, die vorhanden sein müssen, und für jeden Zugriffspfad den Wert, den jedes Attribut haben sollte. Diese Liste ist exklusiv, d.h., daß jeder logische Zugriffspfad, der nicht in der Liste aufgeführt ist, nicht existieren sollte. Jeder logische Zugriffspfad in der Policy ist durch seine beiden Endpunkte definiert: Anwendung/Server-ID und Daten/LUN-ID. In der Policy können Werte für jeden Zugriffspfad für jedes der folgenden Attribute definiert werden (die Definition für jedes dieser Attribute, und die Weise, wie jedes der Attribute berechnet wird, wird nachstehend beschrieben): Redundanzpegel, Redundanztyp, Anzahl von Hops, Anzahl zugewiesener Ports, Bandbreite, Kompatibilität von Komponenten, Nachbarschaftseinschränkungen und Typ der Komponentenauthentifizierung. Die logische Zugriffspfad-Policy kann durch einen autorisierten Administrator direkt festgelegt oder (durch eine autorisierte Person) von einer externen Quelle importiert werden. Erforderliche Attributwerte in der Policy können durch den autorisierten Administrator für jeden einzelnen Zugriffspfad oder für eine (benutzerdefinierte) Gruppe von Zugriffspfaden gesetzt werden. Das Setzen eines bestimmten Attributwertes für eine Gruppe logischer Zugriffspfade beinhaltet, daß jeder logische Zugriffspfad der Gruppe den bestimmten Attributwert oder einen Attributwert in einem vorgegebenen Bereich um den vorgegebenen Attributwert aufweisen muß. Die logische Zugriffspfad-Policy kann erforderliche Korrespondenzbeziehungen zwischen verschiedenen Zugriffspfaden reflektieren, z.B. im Fall von mehreren clusterförmig angeordneten Servern, mehreren miteinander in Beziehung stehenden unabhängigen SAN- Umgebungen an verschiedenen physischen Orten für Disaster Recovery- (DR) Anwendungen und in anderen Fällen.
  • In Schritt 404 des Prozesses 400 wird Zustandinformation von den SAN-Geräts erfaßt oder abgerufen, die später verwendet wird, um zu bestimmen, welche Zugriffspfade tatsächlich existieren, und die Attributwerte für jeden Zugriffspfad zu berechnen. Konfigurations- und Verbindungsinformation wird von allen Typen von SAN-Geräten, d.h. von Servern, Switches und LUNs erfaßt. Die von jedem Gerät erfaßt Information kann einen Gerätestatus, Geräteigenschaften, physikalische Konnektivitätsinformation des Geräts und einen logischen Konfigurationszustand des Geräts aufweisen. Diese Information kann durch verschiedene Gerätetypen in verschiedenen Formaten bereitgestellt werden. Außerdem sind zum Abrufen dieser Informationselemente von den verschiedenen Gerätetypen möglicherweise verschiedene Verfahren erforderlich. Durch den Validierungsprozeß wird diese Information unter Verwendung einer Kombination aus Abrufverfahren für jeden Gerätetyp erhalten, wobei z.B. Gerät-APIs verwendet werden, CLI-Sessions simuliert werden, CIM-Standardprotokolle und SNMP-Protokolle verwendet werden.
  • In Schritt 406 des Prozesses 400 wird die erfaßte Information standardisiert, um Diskrepanzen zwischen von verschiedenen Quellen erhaltener, miteinander in Beziehung stehender Information zu eliminieren. Die Grobinformation kann in verschiedenen Formaten dargestellt werden und verschiedene Semantiken aufweisen, so daß die Information standardisiert wird, um den relevanten Status und physikalische und logische Zustandinformation von jedem Gerät einheitlich darzustellen.
  • Inhaltliche Diskrepanzen in der standardisierten Information können sich aus mehreren Gründen ergeben, z.B. aus geringen Zeitverzögerungen, die in Verbindung mit dem Empfang von Information von verschiedenen verteilten Geräten und verschiedenen Komplexitäts- und Zuverlässigkeitsgraden verschiedener Gerätetypen auftreten. Solche Diskrepanzen können beispielsweise darin bestehen, daß zwei verschiedene Geräte die Eigenschaften ihrer wechselseitigen Verbindung auf verschiedene, inkonsistente Weise beurteilen. Solche Diskrepanzen werden durch einen Validierungsprozeß basierend auf dem Zeitpunkt behoben und gelöst, zu dem bestimmte Informationselemente erhalten werden (wobei z.B. spätere Information gegenüber früherer Information, durch die ein Konflikt verursacht wird, bevorzugt wird), und basierend auf relativen Gewichten, die auf geschätzten Zuverlässigkeitsgraden spezifischer zu analysierender Geräte basieren.
  • Im nächsten Schritt 408 werden die logischen Zugriffspfade identifiziert, so daß eine abstrakte Graphdarstellung des SAN konstruiert werden kann. Die Verbindungs- und Konfigurationszustandinformation von jedem der Geräte kann in einem zusammengesetzten oder gemeinsamen Prozeß verwendet werden, um eine abstrakte Graphdarstellung des Netzwerks zu erzeugen, die die logischen Zugriffspfade im SAN darstellt. Jedes SAN-Gerät kann als Knoten im Graph dargestellt werden. Endknoten stellen Anwendungen/Server (Quellenendpunkte) und Speicher/LUNs (Zielendpunkte) dar. Im ersten Teil der Konstruktion des abstrakten Graphen stellt jeder Rand zwischen Knoten eine vorhandene physikalische Verbindung zwischen dem SAN-Gerät (oder zwischen einem SAN-Gerät und einem SAN-Endpunkt) dar. Im nächsten Teil der Konstruktion werden Ränder eliminiert, wenn logische Einschränkungen (die beispielsweise durch eine Gerätekonfiguration definiert sind) vorhanden sind, die Datenflüsse auf dieser Verbindung unterbrechen. Durch diese iterative Konstruktion wird ein abstrakter Graph erhalten, in dem ein logischer Zugriffspfad zwischen einer Anwendung auf einem Server und einer LUN auf einem Speichergerät dann und nur dann existiert, wenn im abstrakten Graph ein Pfad zwischen den entsprechenden Endknoten existiert. Zum Verbessern der Prozeßeffizienz wird der Iterationsschritt zum Eliminieren (Beschneiden) von Graphrändern basierend auf logischen Einschränkungen, die durch die Gerätekonfigurationseinstellung erhalten werden, in einer Reihenfolge ausgeführt, gemäß der gewährleistet wird, daß die Ränder so früh wie möglich und in einem möglichst hohen Maß beschnitten werden (wodurch die Komplexität reduziert wird). Zu diesem Zweck werden SAN-Symantiken verwendet, um die Folge zu bestimmen, in der Geräteeinschränkungen berücksichtigt werden. Beispielsweise kann eine LUN-Masking-Einschränkung bezüglich eines Geräts, das den größten Teil des potentiellen Datenflusses entlang der physikalischen Pfade einschränkt, verwendet werden, um den Graphen zu beschneiden, bevor eine Zoneneinteilungs-Einschränkung bezüglich eines anderen Geräts berücksichtigt wird, das eine geringere Anzahl von Datenflüssen einschränkt.
  • In Schritt 410 des Prozesses 400 werden Attributwerte für jeden der existierenden logischen Zugriffspfade gemäß den in der logischen Zugriffspfad-Policy spezifizierten Attribut-Sollwerten berechnet. Die Attributwerte bezeichnen unter anderem: einen Redundanzpegel, einen Redundanztyp, die Anzahl von Hops, die Anzahl zugewiesener Ports, die Kompatibilität von Komponenten, Nachbarschaftseinschränkungen und einen Authentifizierungstyp.
  • Die Attributwerte werden basierend auf dem konstruierten abstrakten Graphen und der SAN-Geräteinformation auf die folgenden Weisen berechnet. Der "Redundanzpegel"-Attributwert wird durch Bestimmen der Anzahl von unabhängigen, d.h. durch kein verbundenes Zwischen-Gerät verlaufenden, Graphpfaden zwischen den vorgegebenen Endpunkten berechnet. Der verwendete Algorithmus ist eine Adaption bekannter Graphalgorithmen für dieses spezifische Problem, z.B. BFS und Graph Coloring, und wird auf eine problemorientierte Weise verwendet, die typische SAN-Topologieeigenschaften (wie vorstehend beschrieben) für eine optimierte Ausführungszeit reflektiert. Der erhaltene Algorithmus ist sehr effizient und hat eine Rechenkomplexität von O (D2).
  • Das "Redundanztyp"-Attribut wird basierend auf den Eigenschaften oder Kenngrößen der Komponenten der Geräte in unabhängigen Pfaden berechnet (z.B. in Abhängigkeit davon, ob alle Zwischenpfad-Geräte verschiedenen SAN-Unternehmensstandorten zugeordnet sind). Das "Anzahl von Hops"-Attribut eines logischen Zugriffspfades bezeichnet die Anzahl von Zwischenknoten im konstruierten abstrakten Graph. Das "Anzahl zugewiesener Ports"-Attribut für einen vorgegebenen Zugriffspfad wird basierend auf Portzuweisungsinformation bestimmt, die von den dem abstrakten Graph entsprechenden Geräten erhalten wird. Das "Bandbreite"-Attribut wird basierend auf den Leistungscharakteristiken aller Geräte und Verbindungen berechnet, die dem abstrakten Graph zugeordnet sind, und auf bestimmten End-to-End-Leistungscharakteristiken, die auf dem logischen Zugriffspfad erreicht werden können. Das "Kompatibilität von Komponenten"-Attribut wird basierend auf dem Gerätetyp, Modellen, der Firmware-Version und ähnlicher Information für jedes Gerät entlang des Pfades berechnet und reflektiert potentielle Kompatibilitätskonflikte entlang eines logischen Zugriffspfades. Das "Nachbarschaftseinschränkungen"-Attribut basiert auf einer Untersuchung aller anderen logischen Zugriffspfade, die Geräte in einem vorgegebenen Zugriffspfad kreuzen, und reflektiert potentielle, mit Sicherheitsaspekten in Beziehung stehende Anfälligkeiten (z.B. ob eine anfällige Web-Anwendung einen logischen Zugriffspfad aufweist, der einen Switch aufweist, der auch auf dem logischen Zugriffspfad einer sehr sensitiven internen Finanzanwendung liegt). Das "Authentifizierungstyp"-Attribut reflektiert den Typ von Mechanismen (ID-basierte Mechanismen, geheimnis-basierte Mechanismen, Verschlüsselungsfunktion oder auf einer Zustandssignatur basierende Mechanismen), die verfügbar sein können, um Server und Geräte entlang des logischen Zugriffspfad zu authentifizieren, und reflektieren einen Sicherheitsgrad, die beispielsweise potentiellen Betrugsangriffen zugeordnet sind.
  • Die berechneten logischen Zugriffspfade und ihre berechneten Attribute werden für den durch die logische Zugriffspfad-Policy definierten Soll-Zustand berechnet. Im folgenden Schritt 412 prüft der Prozeß 400, ob eine Nichtübereinstimmung aufgetreten ist. Eine Nichtübereinstimmung bezeichnet jegliche Diskrepanz zwischen dem berechneten Zustand und der gewünschten Anforderung oder Bedingung. Insbesondere können drei Typen von Nichtübereinstimmungen auftre ten: 1. Ein logischer Zugriffspfad zwischen einer Anwendung und einer LUN müßte existieren, existiert jedoch nicht. 2. Ein logischer Zugriffspfad darf nicht existieren (d.h., er ist in der logischen Zugriffspfad-Policy nicht spezifiziert), existiert jedoch. 3. Ein logischer Zugriffspfad muß existieren und existiert auch, aber mindestens einer seiner berechneten Attributwerte unterscheidet sich vom gemäß der logischen Zugriffspfad-Policy spezifizierten, entsprechenden Sollwert.
  • Außer den vorstehend beschriebenen Elementen kann eine Policy auch anzeigen, daß niemals partielle logische Zugriffspfade existieren dürfen. Die Definition eines partiellen logischen Zugriffspfad ist derjenigen eines logischen Zugriffspfads ähnlich, er beginnt jedoch nicht an einer Anwendung auf einem Server oder endet nicht an einer LUN auf einem Speichergerät, was bei logischen Zugriffspfaden immer der Fall ist. Beispielsweise stellt ein Switch, der mit einem Speichergerät verbunden ist und derart in Zonen unterteilt ist, daß ein Fluß von einem bestimmten Server zu einer LUN auf diesem Gerät ermöglicht wird, wobei jedoch ein derartiger Server keinen Fluß zum Switch erzeugen kann, einen partiellen Zugriffspfad dar. Partielle Zugriffspfade existieren häufig in SANs infolge von Fehlern, als Überbleibsel von Migrationsprozessen und Änderungen und aus anderen Gründen und stellen im allgemeinen eine Gefahr für Unterbrechungen und für die Sicherheit dar, und durch partielle Zugriffspfade können Ressourcen verschwendet und kann die Komplexität erhöht werden. Zum Identifizieren eines partiellen logischen Zugriffspfades wird eine analoge Verarbeitung zum Identifizieren logischer Zugriffspfade (wie vorstehend beschrieben) verwendet, und ein partieller Zugriffspfad wird im abstrakten Graph als Pfad dargestellt, der an einem Knoten beginnt oder endet, der selbst kein Endknoten ist.
  • Wenn im Prozeß 400 in Schritt 412 eine Nichtübereinstimmung erfaßt wird, werden Details der erfaßten Nichtübereinstimmung (die vorstehend erwähnten drei Nichtübereinstimmungstypen oder ein erfaßter partieller logischer Zugriffs pfad) einem Nichtübereinstimmungsspeicher hinzugefügt (wie durch das Bezugszeichen 18 in den 1 und 3 dargestellt ist). Jede Nichtübereinstimmung und ihre Kontextdetailinformation werden einem vorgegebenen Empfänger basierend auf einer vorgegebenen Informationsgabe-Policy mitgeteilt (z.B. basierend darauf, welche Anwendungen betroffen sind, welcher Nichtübereinstimmungstyp vorliegt, usw.) (Schritt 314). Die Mitteilung kann durch mehrere Kommunikationsverfahren übertragen werden, z.B. durch Erzeugen einer E-Mail, eine SNMP-Meldung, usw. Durch den Prozeß 400 kann eine graphische Darstellung der logischen Zugriffspfade bereitgestellt werden, können Nichtübereinstimmungen hervorgehoben dargestellt werden und können Konnektivitätdetails bis herab zum Geräte-Level bereitgestellt werden (Schritt 416).
  • Gemäß 5 werden die logischen Zugriffspfade durch einen SAN-Validations-Manager 12 überwacht und validiert, der über Kommunikationskanäle, z.B. über Internet- oder Intranet-Verbindungen, mit SAN-Peripheriegeräten kommuniziert, wie in den 1 und 3 durch gestrichelte Linien für exemplarische Geräte dargestellt ist. Der SAN-Zugriffspfad-Manager 12 fragt über diese Kommunikationskanäle die SAN-Peripheriegeräte und Geräte ab und erzeugt SAN-Konfigurationsinformation und stellt eine topologische Ansicht z.B. auf dem Monitor 14 dar. Der SAN-Zugriffspfad-Manager 12 kann außerdem Detailinformation über jedes der SAN-Geräte und Pfade erzeugen. Beispielsweise kann, wie in 5 dargestellt ist, eine Detailinformation eines Switch durch Anklicken eines auf einer topologischen Karte des SAN auf dem Monitor 14 dargestellten, entsprechenden Switch-Elements erhalten werden. Ähnlicherweise können LUN-Eigenschaften, LUN-Masken, Portattribute und Zonenattribute visuell dargestellt werden. Außerdem können in einer Änderungsliste Änderungen von Gerätekonfiguration dargestellt werden. Der Zugriffspfad-Manager 12 kann durch Software auf einer Serveranwendung implementiert werden, die z.B. auf einem Linux- oder Windows®-Betriebssystem läuft.
  • 6 zeigt einen nichtübereinstimmenden logischen Pfad in einer Pfadlistentabelle, der ausgewählt und in einer topologischen Ansicht dargestellt werden kann. Nach der Auswahl eines logischen Pfades in der Pfadlistentabelle werden durch Anklicken eines Änderungslistenfeldes alle Änderungen dargestellt, die im SAN aufgetreten sind und mit dem ausgewählten logischen Pfad in Beziehung stehen. Diese Änderungen beinhalten alle physischen Operationen und Konfigurationsänderungen, die bezüglich Geräten ausgeführt wurden, die dem ausgewählten logischen Pfad zugeordnet sind, alle Elemente, die durch diese Operationen betroffen sind, z.B. der logische Pfad, der erscheint und verschwindet, und Änderungen des relevanten autorisierten logischen Pfades.
  • Der Zustand des SAN kann sich aus verschiedenen Gründen häufig ändern, z.B. aufgrund des natürlichen Wachstums, aufgrund von Migrationsprozessen des Unternehmens, Konsolidierungsprozessen des Unternehmens, Technologie-Upgrades, Infrastrukturarchitekturänderungen, Komponentenstörungen, usw. Jedes individuelle SAN-Ereignis, das einen lokalen Aspekt des SAN ändert (z.B. den Zustand eines bestimmten SAN-Geräts oder einer bestimmten Verbindung modifiziert), kann eine beliebige Anzahl logischer Zugriffspfade auf verschiedene Weisen beeinflussen.
  • Gemäß 7 wird in einem Prozeß 700 zum Validieren von SAN-Ereignissen die Auswirkung jeder Änderung auf einen logischen Zugriffspfad analysiert und die Übereinstimmung mit der entsprechenden Policy bestimmt. Eine derartige Analyse kann verwendet werden, um die Auswirkung eines beliebigen Ereignis zu bestimmen, nachdem es aufgetreten ist, oder die erwartete Auswirkung vorherzusagen, bevor das Ereignis auftritt.
  • Die Schritte 702 bis 714 des Prozesses 700 sind mit den Schritten 402 bis 414 des in 4 dargestellten Prozesses identisch. Wenn im Prozeß 700 keine Verletzung einer Zugriffspfad-Policy erfaßt wird, wird in Schritt 716 ein gültiger SAN-Zustand erhalten. Anschließend wird im Prozeß 700 in Schritt 718 alle relevante Information über ein indi viduelles SAN-Änderungsereignis bereitgestellt. Diese Information beinhaltet den Ereignistyp (z.B. Gerät aktiviert oder deaktiviert, Verbindung aktiviert oder deaktiviert, neues Gerät hinzugefügt, Geräte-Firmware-Update, Änderung der Geräte-Zoneneinteilung, Änderung des Geräte-LUN-Masking und ähnliche), das beeinflußte Gerät oder die beeinflußte Verbindung (Switch, HBA, Server, Speichergerät, Verbindung, usw.), mit dem Ereignistyp in Beziehung stehende spezifische Parameter (z.B. Spezifizierung neuer Zoneneinteilungsinformation, verbundene Ports einer neuen Verbindung, Aktualisierungsstand neuer Firmware) sowie den Zeitpunkt des Auftretens des Ereignisses.
  • Diese Information über Ereignisse, die im SAN auftreten, werden von SAN-Geräten auf zwei mögliche Weisen erhalten. 1. Durch periodisches Abfragen jedes Geräts (mit einer einstellbaren Häufigkeit), um alle Zustandänderungen seit der letzten Abfrage zu bestimmen; 2. Durch Trapping, getriggert durch eine spezifische Zustandänderung an spezifischen Geräten, wobei entsprechende Ereignisinformation übertragen wird.
  • Außerdem kann in verschiedenen Fällen Ereignisinformation erhalten werden, während das Ereignis bevorsteht, und bevor es tatsächlich aufgetreten ist. Beispielsweise können, wenn das Ereignis beispielsweise Teil eines geplanten Änderungsprozesses ist, Details darüber erfaßt werden, bevor der Prozeß ausgeführt wird, und basierend auf Validierungsprozeßergebnissen kann das Ereignis später ausgeführt, annulliert oder modifiziert werden, um eine Übereinstimmung mit der logischen Zugriffspfad-Policy zu gewährleisten.
  • In diesen Fällen kann eine apriori-Ereignisinformation (wie vorstehend erwähnt) auf mehrere Weisen erhalten werden. Diese Information kann durch einen SAN-Administrator als Detailinformation über eine vorgesehene Änderung direkt bereitgestellt werden. Die Information kann auch durch eine Wechselwirkung mit einem externen Modul bereitgestellt werden, das für ein SAN-Geräte-Provisioning verantwortlich ist (z.B. eine durch EMC Corp. für diesen Zweck entwickelte Software), das Detailinformation über eine vorgesehene Änderung mitteilen kann, bevor sie abgerufen wird. Schließlich kann die Information von abgefangenem Verkehr (der z.B. von einer SAN-Management-Konsole erhalten wird), Analysieren der Inhalte eines fliegenden (On-the-Fly) Änderungsbefehls zum Extrahieren der relevanten Information (und möglicherweise Blockieren des Änderungsbefehls, bis der Analyseprozeß abgeschlossen ist) extrahiert werden.
  • Information über jedes individuelle SAN-Ereignis (apriori- oder postpriori-Ereignisinformation, wie vorstehend beschrieben) wird als Eingangsinformation zum Bestimmen einer Auswirkung auf alle logischen SAN-Zugriffspfade und ihrer Übereinstimmung mit der logischen Zugriffspfad-Policy verwendet (im Fall einer apriori-Ereignisinformation bezieht sich die Analyse auf einen simulierten SAN-Zustand, und im Fall einer postpriori-Ereignisinformation bezieht sich die Analyse auf einen tatsächlichen SAN-Zustand) (Schritt 720). Jedes einzelne lokale Änderungsereignis kann mehrere logische Zugriffspfade löschen, eine beliebige Anzahl neuer logischer Zugriffspfade erzeugen oder eine beliebige Anzahl von Attributwerten für eine beliebige Anzahl von Zugriffspfaden ändern. Die Analyse der Auswirkung eines Änderungsereignisses auf die logischen Zugriffspfade entspricht dem vorstehend beschriebenen Prozeß zum Validieren logischer Zugriffspfade. Insbesondere wird der den letzten SAN-Zustand darstellende abstrakte Graph auf folgende Weise erweitert, so daß er die neue SAN-Ereignisinformation widerspiegelt. Ereignisse des Typs "Gerät aktiviert oder deaktiviert", "Verbindung aktiviert oder deaktiviert" werden als Knoten oder Ränder dargestellt, die jeweils hinzugefügt oder gelöscht werden. Logische Zustandänderungen, wie beispielsweise eine neue Zoneneinteilung oder neue LUN-Msking-Zustände, werden durch Hinzufügen neuer Ränder oder Löschen vorhandener Ränder gemäß der vorstehend beschriebenen Logik dargestellt.
  • Der erhaltene abstrakte Graph wird als Basis für eine Analyse logischer Zugriffspfad-Attributwerte verwendet, die der im SAN-Validierungsprozeß beschriebenen Analyse gleicht. Ähnlicherweise werden in Schritt 722 die Ergebnisse dieser Analyse mit der logischen Zugriffspfad-Policy verglichen, Nichtübereinstimmungen identifiziert, und geeignete Meldungen erzeugt. Die Änderungsereignisinformation wird in einem SAN-Änderungsspeicher gespeichert. Änderungsinformation mit ihrer entsprechenden Auswirkung auf einen logischen SAN-Zugriffspfad kann graphisch oder tabellarisch mit geeigneten Drill-Down-Fähigkeiten zum Geräte-Level dargestellt werden. Durch die Effizienz des SAN-Ereignis-Validierungsprozesses und die damit in Beziehung stehende Optimierung wird ermöglicht, daß dieser Prozeß für jedes Ereignis auch in Umgebungen, in denen SAN-Änderungsereignisse sehr häufig auftreten, ausgeführt und schnell abgeschlossen werden kann.
  • Der vorstehend beschriebene SAN-Ereignis-Validierungsprozeß kann durch Hinzufügen eines SAN-Änderungsplanspeichers erweitert werden, der Vorspezifizikationen geplanter Aufgaben und ihre zugeordneten individuellen geplanten SAN-Änderungsereignisse enthält. Ein derartiger Änderungsplan kann für viele Zwecke nützlich sein. Er kann vorübergehende Nichtübereinstimmungen für eine begrenzte Zeitdauer während der Ausführung einer vollständigen Aufgabe zulassen (z.B. ohne daß eine Mitteilung über die Nichtübereinstimmung erzeugt wird). Typische Aufgaben, z.B. das Hinzufügen eines neuen Anwendungsservers (und damit eines oder mehrerer logischer Zugriffspfade) zum SAN kann zahlreiche, manchmal 10–20 einzelne Änderungsereignisse beinhalten, die jeweils häufig eine vorübergehende Nichtübereinstimmung logischer Zugriffspfade verursachen (wobei dieser Zustand behoben sein sollte, wenn die Aufgabe vollständig abgeschlossen ist). In vielen Fällen kann es dagegen wünschenswert sein, die Korrespondenz zwischen tatsächlichen Ereignissen und den im Änderungsplan spezifizierten Ereignissen festzulegen und jegliche Abweichungen durch eine geeignete Mitteilung zu identifizieren, die anzeigt, ob diese Abweichungen auch eine Nichtübereinstimmung logischer Zugriffspfade verursacht haben. Diese Fähigkeit in Kombination mit den anderen beschriebenen Vali dierungsprozessen trägt dazu bei, die Kontrolle eines beliebigen SAN-Änderungsprozesses zu verbessern, seine Effizienz zu erhöhen und sein Risikopotential zu vermindern.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung kann die Authentifizierung von Komponenten in logischen SAN-Zugriffspfaden auf verschiedene Weisen verbessert werden. Durch eine strenge Authentifizierung können Versuche von Tätern vereitelt werden, zu "betrügen" – zu veranlassen, daß ein Gerät sich für ein anderes ausgibt – um einen nicht autorisierten Zugriff zu Daten zu erhalten, indem ein nicht autorisierter logischer Zugriffspfad erzeugt und genutzt wird.
  • Ein verbesserter Authentisierungsprozeß weist die folgenden Schritte auf:
    • • Eine Schlüssel- (Initiation Key) Verteilungsphase, in der jedes SAN-Gerät zuverlässig eine zugeordnete, global eindeutige Identifizierung und ein entsprechendes Authentisierungsmaterial aufweist (eine derartige Verteilung kann als Teil des Schlüsselmanagement-Lebenszyklus des logischen SAN-Zugriffspfades nach Erfordernis wiederholt werden).
    • • Als Reaktion auf vorgegebene Ereignisumstände (z.B. einen Konfigurationsänderungsversuch) wird ein geeigneter Authentisierungsprozeß getriggert. In Abhängigkeit vom betreffenden Gerätetyp und den Ereignisumständen werden ein oder mehrere Authentisierungsmechanismen verwendet, um zu entscheiden, daß ein Gerät, das eine (global eindeutige) Identifizierung anfordert, tatsächlich dieses authentische Gerät ist. Die für diese Authentisierung verwendeten Mechanismen können eines oder mehrere der folgenden Elemente aufweisen: ein statisches Geheimnis, ein dynamisches einmaliges Geheimnis, einen kryptografischen öffentlichen/privaten Schlüssel, einen Konfigurationszustand, ein Verhaltensmusterprofil.
  • Der Authentisierungsprozeß kann ferner das Bereitstellen eines sicheren und authentischen Kanals zwischen Geräten aufweisen, nachdem die Validierung der Geräte-Authentisierung erfolgreich abgeschlossen ist, wobei der Authentisierungsprozeß in Verbindung mit beliebigen Typen von Storage Area Netzwerk-Protokollen funktioniert, wie beispielsweise Fibre-Channel, iScsi und Infiniband.
  • Um die Integrität und die Sicherheit der logischen SAN-Zugriffspfade weiter zu verbessern, kann an jedem der mit dem SAN verbundenen Server ein leichtgewichtiger residenter Software-Agent bereitgestellt werden. Jeder Agent wechselwirkt über einen herkömmlichen sicheren Kanal mit dem SAN-Validierungsprozeß. Durch dieses Verfahren wird mit einer hohen Wahrscheinlichkeit die Integrität des Agenten auch hinsichtlich Versuchen, seine Identität zu modifizieren, zu fälschen oder nachzubilden, gewährleistet. Der Agent ist für eine Zugriffsverkehrüberwachung, eine Verarbeitung logischer SAN-Zugriffspfade und Authentisierungsfunktionen verantwortlich, ohne daß das Leistungsvermögen des Servers herabgesetzt wird.
  • Das Verfahren und das System weisen durch Software ausgeführte Prozesse auf, die:
    • • Die Konsistenz bestimmter Datenmeldungen zwischen den Servern und den SANs gewährleisten und gegebenenfalls eine geeignete Alarmierungs/Blockieroperation ausführen.
    • • Die Authentisierung/Integrität von Anwendungsmodulen auf dem entsprechenden Server unter Verwendung von Zustand und Verhaltensinformation bereitstellen.
    • • Die Konsistenz zwischen einer Anwendungsdatenzugriffs-Policy und einem tatsächlichen Zugriff in einem bestimmten Anwendungsausführungszustand und einem bestimmten Zugriffswechselwirkungsdatenzustand erzwingen.
    • • Die Authentisierung des Servers und seiner Module für das zentrale Authentisierungssteuerungsmodul unterstützen.
    • • Die Selbstintegrität und den Selbstschutz hinsichtlich arglistiger Versuche, die Serversicherheit zu durchbrechen, gewährleisten.
  • Die vorliegende Erfindung wurde vorstehend in Verbindung mit bevorzugten Ausführungsformen dargestellt und ausführlich beschrieben, für Fachleute ist jedoch ersichtlich, daß verschiedenartige Modifikationen und Verbesserungen vorgenommen werden können. Daher ist der Schutzumfang der vorliegenden Erfindung ausschließlich durch die beigefügten Patentansprüche beschränkt.
  • Zusammenfassung
  • Durch die vorliegende Erfindung wird ein Verfahren und ein System zum Validieren logischer Zugriffspfade in einem Storage Area Netzwerk bereitgestellt. Erfindungsgemäß wird die Definition einer SAN-Zugriffspfad-Policy unterstützt, die darstellt, welche logischen Zugriffspfade von Anwendungen zu Daten-LUNs nicht existieren sollten oder existieren sollten, und welche End-to-End-Attribute jedem Zugriffspfad zugeordnet sein sollten. Erfindungsgemäß wird ein SAN-spezifischer, graph-basierter Validierungsalgorithmus basierend auf Information ausgeführt, die unter Verwendung verschiedener nicht-störender oder nicht-betriebsunterbrechender Mechanismen von im SAN verteilten Geräten automatisch erfaßt wird. Erfindungsgemäß können Nichtübereinstimmungen tatsächlicher logischer Zugriffspfade bezüglich den durch die Policy bestimmten Soll-Zugriffspfaden identifiziert werden. Erfindungsgemäß können Meldungen über Nichtübereinstimmungen in Kombination mit relevanter Kontextinformation unter Verwendungen verschiedener Einrichtungen oder Verfahren an einen geeigneten Empfänger übertragen werden.

Claims (16)

  1. Verfahren zum Validieren eines Zustands eines Storage Area Netzwerks (SAN), mit den Schritten: Definieren einer logische SAN-Zugriffspfade repräsentierenden SAN-Zugriffspfad-Policy, wobei die logischen SAN-Zugriffspfade eine End-to-End-Zugriffsbeziehung zwischen einer Anwendung auf einem Server und Daten-LUNs definiert, die auf Speichergeräten im SAN gespeichert sind und logische Zugriffspfadattribute mit Attributwerten aufweisen; Erfassen von Konfigurationsinformation von Geräten des SAN, Standardisieren von Formaten der Konfigurationsinformation und Beheben jeglicher Konflikte; Verarbeiten der erfaßten Konfigurationsinformation zum Identifizieren der logischen SAN-Zugriffspfade und Berechnen der zugeordneten Attributwerte; und Vergleichen der identifizierten logischen SAN-Zugriffspfade und der berechneten Attributwerte mit der SAN-Zugriffspfad-Policy zum Identifizieren jeglicher Diskrepanzen oder Nichtübereinstimmungen logischer Zugriffspfade.
  2. Verfahren nach Anspruch 1, ferner mit dem Identifizieren von Nichtübereinstimmungen logischer Zugriffspfadese, wenn mindestens ein identifizierter logischer SAN-Zugriffspfad nicht mit der SAN-Zugriffspfad-Policy übereinstimmt.
  3. Verfahren nach Anspruch 1, ferner mit dem Definieren einer SAN-Informationsgabe-Policy zum Informieren eines Benutzers über Nichtübereinstimmungen logischer SAN-Zugriffspfade.
  4. Verfahren nach Anspruch 3, wobei das Informieren eines Benutzers das Übertragen einer Nichtübereinstimmungsinformation enthaltenden Meldung an den Benutzer auf weist, wobei die Meldung aus einer E-Mail-Meldung, einer grafischen Textmeldung und einer SNMP-Meldung ausgewählt wird.
  5. Verfahren nach Anspruch 1, ferner mit den Schritten zum Identifizieren partieller logischer Zugriffspfade und zum Vergleichen von Attributwerten der partiellen logischen Zugriffspfade mit der SAN-Zugriffspfad-Policy.
  6. Verfahren nach Anspruch 1, wobei die Konfigurationsinformation aufweist: Geräteeigenschaften, die aus einer Server-ID, einer Server-Port-Konfiguration, einer Switch-Port-Konfiguration, einer Switch-ID, einem Switch-IP und einer Domain-ID ausgewählt werden, eine Gruppierung von Geräten, eine Zoneneinteilung von Geräten, eine Speichergerät-ID, LUNs von Speichergeräten und LUN-Masken.
  7. Verfahren nach Anspruch 1, wobei ein Attribut eines logischen Zugriffspfades von einem Redundanzpegel, einem Redundanztyp, einer Anzahl von Hops, einer Anzahl zugewiesener Ports, einer Bandbreite, einer Kompatibilität von Komponenten, Nachbarschaftseinschränkungen und einem Komponentenauthentisierungstyp ausgewählt wird.
  8. Verfahren nach Anspruch 1, ferner mit dem benutzerdefinierten Gruppieren mindestens zweier logischer Zugriffspfade, die den Attributwert eines logischen Zugriffspfades gemeinsam verwenden und/oder deren Attributwerte innerhalb eines Bereichs vordefinierter Attributwerte logischer Pfade liegen.
  9. Verfahren nach Anspruch 1, wobei das Erfassen von Konfigurationsinformation das Abfragen einer SAN-Gerät-API, das Simulieren einer CLI-Session durch ein SAN-Gerät, das Kommunizieren mit einem SAN-Gerät unter Ver wendung eines CIM- oder SNMP-Protokolls oder eine Kombination davon aufweist.
  10. Verfahren nach Anspruch 1, ferner mit dem Validieren eines Änderungszustandereignisses des SAN durch: Erfassen von SAN-Ereignis-Beschreibungsinformation; und Verarbeiten der SAN-Ereignis-Beschreibungsinformation zum Identifizieren logischer SAN-Zugriffspfade, die Attributwerte aufweisen, die nicht der SAN-Zugriffspfad-Policy entsprechen, um einen geänderten Zustand des SAN anzuzeigen.
  11. Verfahren zum Validieren eines Zustandänderungsereignisses eines Storage Area Netzwerks (SAN) mit den Schritten: Definieren einer logische SAN-Zugriffspfade repräsentierenden SAN-Zugriffspfad-Policy; Definieren eines SAN-Zustands basierend auf logischen SAN-Zugriffspfaden und den logischen Zugriffspfaden zugeordneten Attributwerten; Erzeugen von SRN-Ereignis-Beschreibungsinformation; und Vergleichen der SAN-Ereignis-Beschreibungsinformation mit dem SAN-Zustand, um jegliche Diskrepanzen oder Nichtübereinstimmungen logischer Zugriffspfade zu identifizieren.
  12. Verfahren nach Anspruch 11, ferner mit dem Schritt zum Definieren eines SAN-Änderungsplans und zum Vergleichen der SAN-Ereignis-Beschreibungsinformation mit dem SAN-Änderungsplan.
  13. Verfahren nach Anspruch 11, wobei das SAN-Änderungsereignis aus einer fehlerhaften Änderung einer SAN-Gerätekonfiguration, einer geplanten Änderung einer SAN-Gerätekonfiguration und einer Gerätestörung ausgewählt wird.
  14. Verfahren nach Anspruch 11, wobei die SAN-Ereignis-Beschreibung durch mindestens einen der folgenden Prozesse erhalten wird: Abfragen, Trapping, nachdem ein Ereignis aufgetreten ist, eine direkte Eingabe durch einen Administrator, Zuführen eines eine beabsichtigte Änderung anzeigenden Eingangssignals von einem Provisioning System und Unterbrechen eines Änderungsbefehls, bevor ein Ereignis auftritt.
  15. Storage Area Netzwerk- (SAN) Validations-Manager mit: einer Policy Engine zum Speichern einer logische SAN-Zugriffspfade darstellenden SAN-Zugriffspfad-Policy, wobei die logischen SAN-Zugriffspfade eine End-to-End-Zugriffsbeziehung zwischen einer Anwendung auf einem Server und Daten-LUNs definieren, die auf Speichergeräten im SAN gespeichert sind und logische Zugriffspfadattribute mit Attributwerten aufweisen; einer Validierungsmaschine zum Erfassen von Konfigurationsinformation von Geräten des SAN, Standardisieren von Formaten der Konfigurationsinformation und Beheben jeglicher Konflikte, wobei die Validierungsmaschine ferner die erfaßte Konfigurationsinformation verarbeitet, um die logischen SAN-Zugriffspfade zu identifizieren, und die zugeordneten Attributwerte berechnet, und zum Vergleichen der identifizierten logischen SAN-Zugriffspfade und der berechneten Attributwerte mit der SAN-Zugriffspfad-Policy zum Identifizieren jeglicher Diskrepanzen oder Nichtübereinstimmungen logischer Pfade.
  16. SAN-Manager nach Anspruch 15, ferner mit einer Änderungsmaschine zum Erfassen von SAN-Ereignis-Beschreibungsinformation und zum Verarbeiten der SAN-Ereignis-Beschreibungsinformation zum Identifizieren logischer SAN-Zugriffspfade, die Attributwerte aufweisen, die nicht der SAN-Zugriffspfad-Policy entsprechen, um geänderte Zustände des SAN zu identifizieren.
DE10393571T 2002-10-23 2003-10-23 Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken Ceased DE10393571T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US42064402P 2002-10-23 2002-10-23
US60/420,644 2002-10-23
PCT/US2003/033981 WO2004038700A2 (en) 2002-10-23 2003-10-23 Method and system for validating logical end-to-end access paths in storage area networks

Publications (1)

Publication Number Publication Date
DE10393571T5 true DE10393571T5 (de) 2005-12-22

Family

ID=32176600

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10393571T Ceased DE10393571T5 (de) 2002-10-23 2003-10-23 Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken

Country Status (5)

Country Link
US (1) US7617320B2 (de)
AU (1) AU2003295356A1 (de)
DE (1) DE10393571T5 (de)
GB (1) GB2410354B (de)
WO (1) WO2004038700A2 (de)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7343410B2 (en) * 2001-06-28 2008-03-11 Finisar Corporation Automated creation of application data paths in storage area networks
US7546333B2 (en) * 2002-10-23 2009-06-09 Netapp, Inc. Methods and systems for predictive change management for access paths in networks
US7961594B2 (en) * 2002-10-23 2011-06-14 Onaro, Inc. Methods and systems for history analysis for access paths in networks
US7685269B1 (en) * 2002-12-20 2010-03-23 Symantec Operating Corporation Service-level monitoring for storage applications
WO2004093391A1 (ja) * 2003-04-10 2004-10-28 Fujitsu Limited 関係管理制御プログラム、装置、及びシステム
US8560671B1 (en) 2003-10-23 2013-10-15 Netapp, Inc. Systems and methods for path-based management of virtual servers in storage network environments
JP2005284437A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd ストレージ装置
US7664839B1 (en) * 2004-06-30 2010-02-16 Symantec Operating Corporation Automatic device classification service on storage area network
JP4301513B2 (ja) * 2004-11-26 2009-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション ポリシーを用いたアクセス制御効果の判定方法
US20060174084A1 (en) * 2005-01-31 2006-08-03 Suban Krishnamoorthy Storage system configuration validation
JP4301516B2 (ja) * 2005-03-08 2009-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション ファイルの使用を制限する方法、情報処理装置、プログラム
US20060265566A1 (en) * 2005-05-17 2006-11-23 Sreerupa Sen Method and apparatus for verifying logical bindings between provisionable servers and provisionable storage array volumes
US20060271677A1 (en) * 2005-05-24 2006-11-30 Mercier Christina W Policy based data path management, asset management, and monitoring
US8161134B2 (en) * 2005-09-20 2012-04-17 Cisco Technology, Inc. Smart zoning to enforce interoperability matrix in a storage area network
EP2492813A3 (de) * 2005-09-27 2013-01-30 Onaro Verfahren und Systeme zur Bestätigung der Zugänglichkeit und Geltung von replizierten Daten
US20070130344A1 (en) * 2005-11-14 2007-06-07 Pepper Timothy C Using load balancing to assign paths to hosts in a network
US7519624B2 (en) * 2005-11-16 2009-04-14 International Business Machines Corporation Method for proactive impact analysis of policy-based storage systems
US20070226536A1 (en) * 2006-02-06 2007-09-27 Crawford Timothy J Apparatus, system, and method for information validation in a heirarchical structure
US7577724B1 (en) * 2006-03-28 2009-08-18 Emc Corporation Methods and apparatus associated with advisory generation
JP2007310656A (ja) * 2006-05-18 2007-11-29 Hitachi Ltd 計算機システム及び論理パス差分検出方法
US7937481B1 (en) * 2006-06-27 2011-05-03 Emc Corporation System and methods for enterprise path management
US7962567B1 (en) 2006-06-27 2011-06-14 Emc Corporation Systems and methods for disabling an array port for an enterprise
JP4949804B2 (ja) * 2006-11-07 2012-06-13 株式会社日立製作所 統合管理計算機と記憶装置管理方法および計算機システム
JP5084236B2 (ja) * 2006-11-30 2012-11-28 東京エレクトロン株式会社 デバイス製造装置およびデバイス製造方法
US8826032B1 (en) 2006-12-27 2014-09-02 Netapp, Inc. Systems and methods for network change discovery and host name resolution in storage network environments
US8332860B1 (en) * 2006-12-30 2012-12-11 Netapp, Inc. Systems and methods for path-based tier-aware dynamic capacity management in storage network environments
US9042263B1 (en) 2007-04-06 2015-05-26 Netapp, Inc. Systems and methods for comparative load analysis in storage networks
US8209409B2 (en) * 2007-04-09 2012-06-26 Hewlett-Packard Development Company, L.P. Diagnosis of a storage area network
JP2008269300A (ja) * 2007-04-20 2008-11-06 Hitachi Ltd 計算機システム、中間ノードおよびログ管理方法
US8341623B2 (en) 2007-05-22 2012-12-25 International Business Machines Corporation Integrated placement planning for heterogenous storage area network data centers
JP4740979B2 (ja) * 2007-05-29 2011-08-03 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. San再構成の期間中のデバイスクリティカリティを求める方法及びシステム
US8499331B1 (en) * 2007-06-27 2013-07-30 Emc Corporation Policy based network compliance
US8918537B1 (en) * 2007-06-28 2014-12-23 Emc Corporation Storage array network path analysis server for enhanced path selection in a host-based I/O multi-path system
US8204980B1 (en) 2007-06-28 2012-06-19 Emc Corporation Storage array network path impact analysis server for path selection in a host-based I/O multi-path system
US8161079B2 (en) * 2007-10-15 2012-04-17 International Business Machines Corporation Acquisition and expansion of storage area network interoperation relationships
US9282005B1 (en) * 2007-11-01 2016-03-08 Emc Corporation IT infrastructure policy breach investigation interface
US8386610B2 (en) * 2007-12-31 2013-02-26 Netapp, Inc. System and method for automatic storage load balancing in virtual server environments
US7930163B2 (en) * 2008-04-30 2011-04-19 Netapp, Inc. Modeling a storage environment at various times
US8868400B2 (en) * 2008-04-30 2014-10-21 Netapp, Inc. Modeling storage environments
US8875101B2 (en) * 2008-09-29 2014-10-28 International Business Machines Corporation Reduction of the number of interoperability test candidates and the time for interoperability testing
US8339994B2 (en) * 2009-08-27 2012-12-25 Brocade Communications Systems, Inc. Defining an optimal topology for a group of logical switches
US20110134127A1 (en) * 2009-12-03 2011-06-09 Ravishankar Gundlapalli Global Career Graph
US8549361B2 (en) 2010-12-21 2013-10-01 Netapp, Inc. System and method for construction, fault isolation, and recovery of cabling topology in a storage area network
CN102541966A (zh) * 2010-12-30 2012-07-04 国际商业机器公司 用于验证数据库系统正确性的方法和装置
US8468180B1 (en) * 2010-12-31 2013-06-18 Emc Corporation Porting storage metadata
US8694478B1 (en) * 2012-02-09 2014-04-08 Netapp, Inc. Detection and correction of corrupted or dangling data object handles
US9354915B2 (en) 2012-07-27 2016-05-31 Hitachi, Ltd. Method and apparatus of redundant path validation before provisioning
US9258242B1 (en) 2013-12-19 2016-02-09 Emc Corporation Path selection using a service level objective
RU2013156784A (ru) 2013-12-20 2015-06-27 ИЭмСи КОРПОРЕЙШН Способ и устройство выбора маршрута чтения и записи данных
JP6260283B2 (ja) * 2014-01-07 2018-01-17 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US9727365B2 (en) 2015-04-12 2017-08-08 At&T Intellectual Property I, L.P. End-to-end validation of virtual machines
US10694487B2 (en) 2016-09-15 2020-06-23 Cisco Technology, Inc. Distributed network black box using crowd-based cooperation and attestation
US20180351806A1 (en) * 2017-05-31 2018-12-06 Cisco Technology, Inc. Intent specification checks for inconsistencies
US11270002B2 (en) * 2018-05-14 2022-03-08 University Of Florida Research Foundation, Inc. Hardware trojan detection through information flow security verification
US11397805B2 (en) * 2019-05-09 2022-07-26 Microsoft Technology Licensing, Llc Lateral movement path detector
US11263317B2 (en) 2020-02-26 2022-03-01 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US10749886B1 (en) * 2020-02-26 2020-08-18 Cyberark Software Ltd. Analyzing diversely structured operational policies
US11392766B2 (en) 2020-02-26 2022-07-19 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US11290481B2 (en) 2020-07-09 2022-03-29 Bank Of America Corporation Security threat detection by converting scripts using validation graphs

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5043866A (en) * 1988-04-08 1991-08-27 International Business Machines Corporation Soft checkpointing system using log sequence numbers derived from stored data pages and log records for database recovery
JPH0827755B2 (ja) * 1991-02-15 1996-03-21 インターナショナル・ビジネス・マシーンズ・コーポレイション データの単位を高速度でアクセスする方法
EP0516900B1 (de) * 1991-06-04 1996-05-01 International Business Machines Corporation Datensicherung und Beseitigung in einem Datenverarbeitungssystem
US5774377A (en) 1991-07-30 1998-06-30 Hewlett-Packard Company Method and apparatus for monitoring a subsystem within a distributed system for providing an archive of events within a certain time of a trap condition
US5280611A (en) * 1991-11-08 1994-01-18 International Business Machines Corporation Method for managing database recovery from failure of a shared store in a system including a plurality of transaction-based systems of the write-ahead logging type
US6347335B1 (en) 1995-09-22 2002-02-12 Emc Corporation System using a common and local event logs for logging event information generated by plurality of devices for determining problem in storage access operations
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US6014673A (en) * 1996-12-05 2000-01-11 Hewlett-Packard Company Simultaneous use of database and durable store in work flow and process flow systems
US5940819A (en) * 1997-08-29 1999-08-17 International Business Machines Corporation User specification of query access paths in a relational database management system
US6327598B1 (en) * 1997-11-24 2001-12-04 International Business Machines Corporation Removing a filled-out form from a non-interactive web browser cache to an interactive web browser cache
US6223176B1 (en) * 1998-09-25 2001-04-24 International Business Machines Corporation Method and computer program product for implementing highly concurrent record insertion in an ordinal number dependent database
US6233240B1 (en) 1998-10-27 2001-05-15 Fujitsu Network Communications, Inc. Event based rate policing with a jumping window
US6795399B1 (en) * 1998-11-24 2004-09-21 Lucent Technologies Inc. Link capacity computation methods and apparatus for designing IP networks with performance guarantees
US6909700B1 (en) * 1998-11-24 2005-06-21 Lucent Technologies Inc. Network topology optimization methods and apparatus for designing IP networks with performance guarantees
US6240463B1 (en) * 1998-11-24 2001-05-29 Lucent Technologies Inc. Router placement methods and apparatus for designing IP networks with performance guarantees
US6434626B1 (en) * 1999-01-14 2002-08-13 Compaq Information Technologies Group, L.P. Method and apparatus for low latency network performance monitoring
US6751228B1 (en) * 1999-03-23 2004-06-15 Yamaha Corporation Packet handler of audio data by isochronous mode
US20040030768A1 (en) * 1999-05-25 2004-02-12 Suban Krishnamoorthy Unified system and method for downloading code to heterogeneous devices in distributed storage area networks
US6636981B1 (en) * 2000-01-06 2003-10-21 International Business Machines Corporation Method and system for end-to-end problem determination and fault isolation for storage area networks
US6691169B1 (en) * 2000-02-01 2004-02-10 At&T Corp. Method and apparatus for detecting route advertisement violations in a network of interconnected peers
US6701449B1 (en) 2000-04-20 2004-03-02 Ciprico, Inc. Method and apparatus for monitoring and analyzing network appliance status information
US7103653B2 (en) * 2000-06-05 2006-09-05 Fujitsu Limited Storage area network management system, method, and computer-readable medium
JP4073161B2 (ja) * 2000-12-06 2008-04-09 株式会社日立製作所 ディスクストレージのアクセスシステム
US7051029B1 (en) * 2001-01-05 2006-05-23 Revenue Science, Inc. Identifying and reporting on frequent sequences of events in usage data
US6904143B1 (en) * 2001-03-05 2005-06-07 Verizon Corporate Services Group Inc. Apparatus and method for logging events that occur when interacting with an automated call center system
US7028228B1 (en) 2001-03-28 2006-04-11 The Shoregroup, Inc. Method and apparatus for identifying problems in computer networks
US7269157B2 (en) * 2001-04-10 2007-09-11 Internap Network Services Corporation System and method to assure network service levels with intelligent routing
US20020194407A1 (en) 2001-04-25 2002-12-19 Kim Hyon T. Maintaining fabric device configuration through dynamic reconfiguration
US20020194324A1 (en) 2001-04-26 2002-12-19 Aloke Guha System for global and local data resource management for service guarantees
JP4039821B2 (ja) * 2001-05-09 2008-01-30 株式会社日立製作所 ディスク制御装置を用いた計算機システムおよびその運用サービス
US7376937B1 (en) 2001-05-31 2008-05-20 Oracle International Corporation Method and mechanism for using a meta-language to define and analyze traces
US7380239B1 (en) 2001-05-31 2008-05-27 Oracle International Corporation Method and mechanism for diagnosing computer applications using traces
US6996580B2 (en) * 2001-06-22 2006-02-07 International Business Machines Corporation System and method for granular control of message logging
US7343410B2 (en) * 2001-06-28 2008-03-11 Finisar Corporation Automated creation of application data paths in storage area networks
US6904561B1 (en) * 2001-07-19 2005-06-07 Microsoft Corp. Integrated timeline and logically-related list view
US20030055932A1 (en) * 2001-09-19 2003-03-20 Dell Products L.P. System and method for configuring a storage area network
WO2003054711A1 (en) 2001-09-21 2003-07-03 Polyserve, Inc. A system and method for management of a storage area network
US20030154271A1 (en) * 2001-10-05 2003-08-14 Baldwin Duane Mark Storage area network methods and apparatus with centralized management
JP3879471B2 (ja) * 2001-10-10 2007-02-14 株式会社日立製作所 計算機資源割当方法
US7127633B1 (en) * 2001-11-15 2006-10-24 Xiotech Corporation System and method to failover storage area network targets from one interface to another
US7000154B1 (en) 2001-11-28 2006-02-14 Intel Corporation System and method for fault detection and recovery
US7058702B2 (en) * 2002-01-04 2006-06-06 Hewlett-Packard Development Company, L.P. Efficient validation of network configuration change commands
FR2835630B1 (fr) * 2002-02-07 2004-03-26 Bull Sa Procede de mise a jour automatique d'un chemin d'acces au disque systeme d'un perimetre materiel de ressources informatiques, systeme pour executer ce procede et memoire utilisee dans ce systeme
US6973595B2 (en) 2002-04-05 2005-12-06 International Business Machines Corporation Distributed fault detection for data storage networks
US7194538B1 (en) * 2002-06-04 2007-03-20 Veritas Operating Corporation Storage area network (SAN) management system for discovering SAN components using a SAN management server
US20030237017A1 (en) * 2002-06-24 2003-12-25 Jibbe Mahmoud Khaled Component fault isolation in a storage area network
US7055068B2 (en) * 2002-07-25 2006-05-30 Lsi Logic Corporation Method for validating operation of a fibre link
US7512954B2 (en) 2002-07-29 2009-03-31 Oracle International Corporation Method and mechanism for debugging a series of related events within a computer system
US7120654B2 (en) * 2002-08-20 2006-10-10 Veritas Operating Corporation System and method for network-free file replication in a storage area network
US7260628B2 (en) * 2002-09-06 2007-08-21 Hitachi, Ltd. Event notification in storage networks
US8019806B2 (en) * 2002-10-17 2011-09-13 Brocade Communications Systems, Inc. Method and apparatus for displaying network fabric data
JP2004192305A (ja) * 2002-12-11 2004-07-08 Hitachi Ltd iSCSIストレージ管理方法及び管理システム
US20040243699A1 (en) 2003-05-29 2004-12-02 Mike Koclanes Policy based management of storage resources
US7287043B2 (en) * 2003-08-21 2007-10-23 International Business Machines Corporation System and method for asynchronous data replication without persistence for distributed computing
US7209934B2 (en) * 2003-11-21 2007-04-24 Bellsouth Intellectual Property Corporation Methods, systems and computer program products for monitoring files
JP2007140746A (ja) * 2005-11-16 2007-06-07 Hitachi Ltd 計算機システム及び管理計算機並びにリカバリ管理方法

Also Published As

Publication number Publication date
GB2410354A (en) 2005-07-27
AU2003295356A8 (en) 2004-05-13
GB0508487D0 (en) 2005-06-01
WO2004038700A2 (en) 2004-05-06
AU2003295356A1 (en) 2004-05-13
GB2410354B (en) 2005-12-28
WO2004038700A3 (en) 2004-08-12
US7617320B2 (en) 2009-11-10
US20040205089A1 (en) 2004-10-14

Similar Documents

Publication Publication Date Title
DE10393571T5 (de) Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken
DE69132279T2 (de) Verfahren zur Isolierung eines Netzwerkfehlers
DE69714723T2 (de) Verfahren und vorrichtung zur verwaltung integrierter netzwerke und zur systemverwaltung in kommunikationsnetzwerken
US9749361B2 (en) Security device controller
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE69622026T2 (de) Verfahren und gerät zur verfahrensbasierter alarmmeldung in einer verteilter netzwerkverwaltingsumgebung
DE69927929T2 (de) Verfahren und System zur Netzwerkverwaltung
DE69925557T2 (de) Überwachung des Durchsatzes eines Computersystems und eines Netzwerkes
DE69837180T2 (de) Korrelation von Netzwerkverwaltungs-Ereignissen in Umgebungen mit inaktiven Netzelementen
DE69628718T2 (de) Netzwerk - Topologie-Verwaltungssystem
DE60205539T2 (de) Verfahren und Vorrichtung zum Verwalten von mehreren Netzwerkgeräten
DE69911681T2 (de) Verfahren zum Verfolgen von Konfigurationsänderungen in Netzwerken von Rechnersystemen durch historische Überwachung des Konfigurationsstatus der Vorrichtungen im Netzwerk
DE60009819T2 (de) Netzwerkgerätskonfigurationsverfahren und Vorrichtung
DE112013001446T5 (de) Erkennen von transparenten Einheiten zum Abfangen von Datenübertragungen in Netzwerken
DE102019131039B4 (de) Systeme und verfahren für die live-validierung der vorrichtungskonfiguration
DE102014116369A1 (de) Verwaltung von sprachmarkern bei internationaler datenspeicherung
DE112020004572T5 (de) Identifizierung von teilereignissen in einem ereignissturm in einer operationsverwaltung
DE112022001326T5 (de) Erzeugen und ausführen von prozessabläufen zum korrigieren von datenqualitätsproblemen in datenbeständen
DE112021003657T5 (de) Fehlerlokalisierung für cloud-native anwendungen
DE102022126239B4 (de) Fernverwaltung eines switch-stacks
DE102019133197A1 (de) Client-server-modell für den editor für mehrere dokumente
DE102012218699A1 (de) Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren
DE10051022A1 (de) Verfahren, System und Programm für die Neukonfiguration logischer Drucker in einem Druckernetzsystem
DE112021004115B4 (de) Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten
DE102024120601A1 (de) Delta-anomalieerkennung bei sicherheitskopien von spezialisierten verzeichnisdienst-assets

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: G06F 11/00 AFI20051017BHDE

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final
R003 Refusal decision now final

Effective date: 20150217