WO2014084198A1

WO2014084198A1 - ストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラム

Info

Publication number: WO2014084198A1
Application number: PCT/JP2013/081734
Authority: WO
Inventors: 大和　純一; 賀洋長谷部
Original assignee: 日本電気株式会社
Priority date: 2012-11-27
Filing date: 2013-11-26
Publication date: 2014-06-05
Also published as: US20150319099A1; JPWO2014084198A1

Abstract

　ＳＡＮのコストや運用面での優位性及び、アクセス制御の容易性、それぞれの向上に貢献する。ストレージエリアネットワークシステムは、ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記制御装置に、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置と、を含む。前記制御装置は、前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定する。

Description

ストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１２－２５８４０５（２０１２年１１月２７日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、ストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラムに関し、特に、複数のホストがストレージを共有するストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラムに関する。

　ストレージエリアネットワーク（以下、「ＳＡＮ」）として、ファイバーチャネル（Ｆｉｂｒｅ　Ｃｈａｎｎｅｌ、以下「ＦＣ」）を用いたＦＣ－ＳＡＮと、ＩＰ（Ｉｎｅｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）を用いたＩＰ－ＳＡＮとが知られている。

　ＦＣ－ＳＡＮ、ＩＰ－ＳＡＮのいずれも複数のホストが１又は複数のストレージを共有することが一般的である。ＦＣ－ＳＡＮにおいては、ゾーニングという手法によって、あるホストからアクセスできるストレージを制限することができる。但し、ＦＣ－ＳＡＮは、ＦＣスイッチやＦＣ網の導入費用が高価であることや運用や管理にファイバーチャネル特有の知識が必要となる。

　ＩＰ－ＳＡＮでは、高価なＦＣスイッチに代えて、イーサネット（登録商標）スイッチを利用でき、運用や管理が容易であるという利点がある。また、ＩＰ－ＳＡＮにおいては、ＦＣ－ＳＡＮにおけるゾーニングをＶＬＡＮ（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）で行うことになる。

　特許文献１には、上述したＦＣ－ＳＡＮやＩＰ－ＳＡＮで構築された業務用ネットワークを有する計算機システムが開示されている（図１、段落００１９）。

　非特許文献１、２には、オープンフローという技術が提案されている。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献２に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件（Ｍａｔｃｈ　Ｆｉｅｌｄｓ）と、フロー統計情報（Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したインストラクション（Ｉｎｓｔｒｕｃｔｉｏｎｓ）と、の組が定義される（非特許文献２の「４．１　Ｆｌｏｗ　Ｔａｂｌｅ」の項参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件（非特許文献２の「４．３　Ｍａｔｃｈ　Ｆｉｅｌｄｓ」参照）を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容（指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットを処理するための制御情報の送信要求（Ｐａｃｋｅｔ－Ｉｎメッセージ）を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを制御情報として用いてパケット転送を行う。

　特許文献２には、上記オープンフローコントローラとオープンフロースイッチを含む構成において、ラック内のサーバ上で動作する仮想マシンのサービス負荷を元に、仮想マシンを他のサーバに移動させて、仮想マシンが存在しなくなったサーバを未稼動状態にすることで省電力化を図るという省電力化システムが開示されている。特許文献２の段落００３２には、上記ラック内のストレージは、ＤＡＳ（Ｄｉｒｅｃｔ　Ａｔｔａｃｈｅｄ　Ｓｔｏｒａｇｅ）や、上述したＦＣ－ＳＡＮやＩＰ－ＳＡＮに置き換えることができると記載されている。

特開２０１１－１４１６０９号公報特開２０１１－８２７９９号公報

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ"、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年１０月２４日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．１．０　Ｉｍｐｌｅｍｅｎｔｅｄ　（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０２）、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年１０月２４日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉

　以下の分析は、本発明によって与えられたものである。上述したように、ＦＣ－ＳＡＮは、技術としては完成しているものの、スイッチやチャネルの敷設コストが高く、多数のホストを接続した構成では、採用し難いという問題点がある。

　一方、ＩＰ－ＳＡＮは、導入費用は安く済むが、ＶＬＡＮでゾーニングを実施するため排他制御については別途策を講ずる必要がある。とりわけ、複数のホストが１又は複数のストレージを共有する構成においては、ＯＳが異なるホストやスタンバイ状態にあるホスト等、本来アクセスが禁止されるべきホストからのストレージへのアクセスを厳格に制限する必要がある。

　この点、特許文献１、２も、上記したＦＣ－ＳＡＮ、ＩＰ－ＳＡＮを択一的に配置できると記載するに止まっている。

　本発明は、上記したＳＡＮのコストや運用面での優位性、及び、アクセス制御の容易性、それぞれの向上に貢献できるストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラムを提供することを目的とする。

　第１の視点によれば、ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記制御装置に、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置と、を含み、前記制御装置が、前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定するストレージエリアネットワークシステムが提供される。

　第２の視点によれば、ストレージエリアネットワークを構成するストレージと複数のホストとの間に配置されたスイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御するスイッチ制御部を備え、前記スイッチ制御部は、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置から提供されたアクセス可否に対応する制御情報を設定する制御装置が提供される。

　第３の視点によれば、ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記ホストとストレージ間のアクセス可否情報を保持するアクセス制御装置と、を含むストレージエリアネットワークシステムにおけるアクセス制御方法であって、前記アクセス制御装置から、前記ホストとストレージ間のアクセス可否情報を取得するステップと、前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定するステップとを含むアクセス制御方法が提供される。本方法は、ストレージエリアネットワークシステムという、特定の機械に結びつけられている。

　第４の視点によれば、ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記制御装置に、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置と、を含むストレージエリアネットワークシステムに配置された前記制御装置を構成するコンピュータに、前記アクセス制御装置から、前記ホストとストレージ間のアクセス可否情報を取得する処理と、前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な（非トランジエントな）記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、上記したＳＡＮのコストや運用面での優位性、及び、アクセス制御の容易性、それぞれの向上に貢献することが可能となる。

本発明の一実施形態の構成を示す図である。本発明の第１の実施形態のストレージエリアネットワークシステムの構成を示す図である。本発明の第１の実施形態のスイッチの詳細構成を示すブロック図である。本発明の第１の実施形態のスイッチに設定される制御情報（フローエントリ）の一例を示す図である。本発明の第１の実施形態のスイッチに設定される制御情報（フローエントリ）のインストラクションフィールド（Ｉｎｓｔｒｕｃｔｉｏｎｓ）に設定可能な処理内容（Ａｃｔｉｏｎ）の例を示す図である。本発明の第１の実施形態の制御装置の詳細構成を示すブロック図である。本発明の第１の実施形態の制御装置が保持するトポロジー情報の一例を示す図である。本発明の第１の実施形態の制御装置が保持するパス情報の一例を示す図である。本発明の第１の実施形態のアクセス制御装置の詳細構成を示すブロック図である。本発明の第１の実施形態のアクセス制御装置が保持するアクセス制御情報（ホストグループ情報）の一例を示す図である。本発明の第１の実施形態のアクセス制御装置が保持するアクセス制御情報（ストレージグループ情報）の一例を示す図である。本発明の第１の実施形態のストレージエリアネットワークシステムの動作（アクセス許可時）を示すシーケンス図である。本発明の第１の実施形態のストレージエリアネットワークシステムの動作（アクセス禁止時）を示すシーケンス図である。本発明の第１の実施形態のストレージエリアネットワークシステムの動作（ホスト切替時）を示すシーケンス図である。本発明の第１の実施形態のスイッチの動作を表したフローチャートである。本発明の第１の実施形態の制御装置の動作（制御情報の設定要求受信時）を表したフローチャートである。本発明の第１の実施形態の制御装置の動作（アクセス制御装置からのアクティブホストの変更通知受信時）を表したフローチャートである。本発明の第２の実施形態の制御装置の動作（制御情報の設定要求受信時）を表したフローチャートである。本発明の第３の実施形態の制御装置の動作（アクセス制御装置からのアクティブホストの変更通知受信時）を表したフローチャートである。本発明の第４の実施形態の制御装置の動作（アクセス制御装置からのアクティブホストの変更通知受信時）を表したフローチャートである。本発明の第５の実施形態のストレージエリアネットワークシステムの構成を示す図である。本発明の第６の実施形態のストレージエリアネットワークシステムの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。

　本発明は、その一実施形態において、図１に示すように、ストレージ２０と、複数のホスト１０Ａ、１０Ｂと、前記ストレージとホストとの間に配置されたスイッチ３０と、スイッチ３０に制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置４０と、制御装置４０に前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置５０Ａと、を含む構成にて実現できる。

　より具体的には、制御装置４０が、スイッチ３０に、アクセス制御装置５０Ａから提供されたアクセス可否に対応する制御情報を設定する。アクセス制御装置５０Ａが制御装置４０にゾーニングに相当する情報を提供すれば、ゾーニング相当のアクセス制御が実行される。アクセス制御装置５０Ａが制御装置４０に、あるホストからアクセスを遮断するフェンシングに相当する情報を送信すれば、フェンシング相当のアクセス制御が実行される。

　以上のように、本実施形態によれば、オープンフロースイッチに代表される制御装置から制御を受けるスイッチを用いてストレージエリアネットワークを構築することができる。また、アクセス制御装置によってアクセス可否が管理されているためＶＬＡＮ等を用いずにホストとストレージ間のアクセス制御を実施可能となる（もちろん、あるホストからあるストレージに宛てられたパケットの識別にＶＬＡＮを用いてもよい）。

［第１の実施形態］
　次に、本発明の第１の実施形態について図面を参照して詳細に説明する。図２は、本発明の第１の実施形態のストレージエリアネットワークシステムの構成を示す図である。図２を参照すると、２台のホスト１０Ａ、１０Ｂと、ストレージ２０と、スイッチ３０と、制御装置４０と、アクセス制御装置５０とを含む構成が示されている。なお、図２に示したホスト、ストレージ及びスイッチの数は、あくまで例示であり、例えば、図２１に示すように、多数のホストとストレージの間に複数のスイッチを配置した構成も採用可能である。

　ホスト１０Ａ、１０Ｂは、クライアント（図示省略）からの要求に応じてストレージにアクセスして各種サービスを提供するサーバ等の計算機である。

　ストレージ２０は、ｉＳＣＳＩ（Ｉｎｔｅｒｎｅｔ　Ｓｍａｌｌ　Ｃｏｍｐｕｔｅｒ　Ｓｙｓｔｅｍ　Ｉｎｔｅｒｆａｃｅ）、ｉＦＣＰ（Ｉｎｔｅｒｎｅｔ　Ｆｉｂｒｅ　Ｃｈａｎｎｅｌ　Ｐｒｏｔｏｃｏｌ）、ＦＣＩＰ（Ｆｉｂｒｅ　Ｃｈａｎｎｅｌ　ｏｖｅｒ　ＩＰ）等のＩＰ－ＳＡＮで用いられているプロトコルに対応する磁気ディスク、不揮発メモリ、光磁気ディスク、光ディスクおよびそれらのアレイ装置等記憶装置である。

　スイッチ３０は、上記ホスト１０Ａ、１０Ｂとストレージ２０との間に配置され、制御情報４０から設定された制御情報を用いて、ホスト１０Ａ、１０Ｂとストレージ２０との間のパケットを中継する。具体的には、スイッチ３０は、制御情報として、制御装置４０から設定されたフローエントリを保持し、パケットを受信すると、保持するフローエントリの中から受信パケットに適合するマッチ条件を持つエントリを検索し、パケットの転送処理等を実行する。このようなスイッチ３０としては、非特許文献２のオープンフロースイッチを挙げることができる。

　制御装置４０は、スイッチ３０経由でホストからストレージへの通信発生を検出すると、アクセス制御装置５０から受け取った情報に基づき、当該ホストからストレージへのアクセスを許可するか否かを判定し、その結果に応じてスイッチ３０に制御情報（フローエントリ）を設定する。このような制御装置４０は、非特許文献２のオープンフローコントローラに、アクセス制御装置５０からの情報に応じた制御情報の作成機能を追加することで実現できる。

　アクセス制御装置５０は、ホスト１０Ａ、１０Ｂの状態を管理し、変更が生じた場合に、制御情報４０に対し、その内容を通知する。本実施形態では、アクセス制御装置５０は、ホスト１０Ａ、１０Ｂの状態として、アクティブ状態であるか、スタンバイ状態であるかを管理している。

　なお、本実施形態では、図２のホスト１０Ａ、１０Ｂとアクセス制御装置５０は、イーサネット（登録商標）やシリアルケーブルにより接続されているものとする。また、スイッチ３０と制御装置４０は、セキュアチャネルで接続されているものとする。

　続いて、図２の各装置について個別に説明する。始めに、スイッチ３０の構成について説明する。図３は、本発明の第１の実施形態のスイッチの詳細構成を示すブロック図である。図３を参照すると、スイッチ３０は、パケット処理部３１と、制御装置４０から設定された制御情報を保持する連想メモリなどによって構成された制御情報記憶部３２とを備える。

　図４は、スイッチ３０の制御情報記憶部３２に保持される制御情報（フローエントリ）の一例を示す図である。図４を参照すると、受信パケットのパケットヘッダ等と照合するマッチ条件を格納するフィールドと、マッチ条件に適合するパケット等の統計情報を格納するフロー統計情報フィールド（Ｃｏｕｎｔｅｒｓ）と、マッチ条件に適合するパケットに適用する処理内容（Ａｃｔｉｏｎ）を格納するインストラクションフィールド（Ｉｎｓｔｒｕｃｔｉｏｎｓ）と、を対応付けたエントリが示されている。なお、マッチ条件として、ワイルドカードを設定することも可能である。

　図５は、制御情報（フローエントリ）のインストラクションフィールド（Ｉｎｓｔｒｕｃｔｉｏｎｓ）に設定可能な処理内容（Ａｃｔｉｏｎ）の例を示す図である。ＯＵＴＰＵＴは、受信パケットを指定ポート（インタフェース）に出力するアクションである。ＳＥＴ＿ＶＬＡＮ＿ＶＩＤ～ＳＥＴ＿ＴＰ＿ＤＳＴは、パケットヘッダのフィールドを修正するアクションである。これらを組み合わせて、例えば、ある送信元から宛先に当てられたパケットについて、例えば、ＶＬＡＮ　ＩＤを書き換えた上で、指定ポートから出力することが可能となる。また、インストラクションフィールド（Ｉｎｓｔｒｕｃｔｉｏｎｓ）にアクションを設定しない場合、パケット廃棄（Ｄｒｏｐ）が実行される。

　続いて、制御装置４０の構成について図面を参照して説明する。図６は、本発明の第１の実施形態の制御装置の詳細構成を示すブロック図である。図６を参照すると、制御装置４０は、トポロジーデータベース（トポロジーＤＢ）４１と、経路計算部４２と、パス記憶部４３と、スイッチ制御部４４と、アクセス制御情報受信部４５とを備えている。

　トポロジーＤＢ４１は、スイッチ、ホスト、ストレージ等の接続関係を管理するデータベースである。図７は、トポロジーＤＢに保持されるエントリの一例を示す図である。図７（ａ）は、スイッチ同士の接続関係を表しているエントリである。ＤＰＩＤ（ＤａｔａＰａｔｈ　ＩＤｅｎｔｉｆｉｅｒ）は、各スイッチに付けられた識別子であり、ポート番号は、相手のスイッチと接続されたポートの番号である。スイッチ同士の接続関係は、このように、ＤＰＩＤとポート番号の対で管理することができる。図７（ｂ）は、スイッチとホストやストレージの接続関係を表しているエントリの例である。この場合、スイッチのＤＰＩＤ及びポート番号と、ホストやストレージのＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスとを対応付けて管理することができる。

　パス記憶部４３は、任意のホストとストレージ間のパスの設定の可否を記録したテーブル等によって構成される。図８は、パス記憶部４３に保持されるパス情報の一例を示す図である。図８の例では、ホストのＩＰ（イニシエータ　ＩＰアドレス）と、ストレージのＩＰ（ターゲット　ＩＰアドレス）とについて、接続可否（ａｃｃｅｐｔ／ｄｅｎｙ）を設定することが可能となっている。

　経路計算部４２は、スイッチ３０からの制御情報の設定要求やアクセス制御装置からのホストの切り替えを受信すると、まず、パス記憶部４３から、対象となるホストからストレージへのアクセス可否を判定する。そして、アクセス可（通信許可）と判定した場合、経路計算部４２は、上記したトポロジーＤＢ４１を参照して、指定されたホストとストレージ間のパケット転送経路を計算する。また、本実施形態の経路計算部４２は、スイッチ３０からトポロジー情報を収集して、トポロジーＤＢ４１に反映する動作を行う。このトポロジー収集の手法としては、ＬＬＤＰ（Ｌｉｎｋ　Ｌａｙｅｒ　Ｄｉｓｃｏｖｅｒｙ　Ｐｒｏｔｏｃｏｌ）やＯＳＰＦ（Ｏｐｅｎ　Ｓｈｏｒｔｅｓｔ　Ｐａｔｈ　Ｆｉｒｓｔ）等の各種ルーティングプロトコルを用いることができる。

　スイッチ制御部４４は、スイッチに、経路計算部４２で計算された経路に沿ったパケット転送を行わせるための制御情報（フローエントリ）を作成し、スイッチ３０に設定する。

　アクセス制御情報受信部４５は、アクセス制御装置５０から受信した情報に基づいて、ホストとストレージ間のパスの設定の可否を判定し、パス記憶部４３の内容を更新する。

　続いて、アクセス制御装置５０の構成について図面を参照して説明する。図９は、本発明の第１の実施形態のアクセス制御装置の詳細構成を示すブロック図である。図９を参照すると、アクセス制御装置５０は、死活判定部５１と、アクセス制御情報記憶部５２とを備えている。

　アクセス制御情報記憶部５２は、ホストのグループと、そのグループがアクセス可能なストレージとを記憶する。図１０は、アクセス制御情報記憶部に保持されるアクセス制御情報（ホストグループ情報）の一例を示す図である。グループＩＤは、１以上のストレージを共有するグループを識別する識別子である。アクティブ状態ホストは、現在アクティブ状態にあるホストを示す。ホスト情報は、グループ識別子によって特定されるグループに属するホストを示す。個々のホスト情報には、ホストの死活監視に用いるＩＰアドレスである死活監視用ＩＰアドレスと、ストレージエリアネットワーク側のＩＰアドレスであるＳＡＮ用ＩＰアドレスとを含まれる。アクティブ状態ホストは、ホスト情報中の何番目のホストがアクティブかを示す数字、当該ホストの死活監視用ＩＰアドレス、当該ホストのＳＡＮ用ＩＰアドレス等により記述できる。

　図１１は、アクセス制御情報記憶部５２に保持されるアクセス制御情報（ストレージグループ情報）の一例を示す図である。図１１の例では、前述のホストグループに対応するグループ識別子と、同一グループに属するストレージ、即ち、グループＩＤを持つホストからアクセス可能な１つ以上のストレージ情報と、から構成される。なお、ストレージ情報としては、ストレージ２０がホスト１０Ａ、１０Ｂと接続する際に用いるＩＰアドレス（ストレージＩＰアドレス）が設定される。

　死活判定部５１は、ホスト１０Ａ、１０Ｂの状態を監視し、グループ内に常に１台のホストがアクティブ状態となるよう、ホスト１０を制御する。また、死活判定部５１は、ホストの状態の変化を検出すると、アクセス制御情報記憶部５２の内容を更新する。さらに、死活判定部５１は、以上のようなアクセス制御情報記憶部５２の内容をもとに、ホストとストレージ間のアクセス可否を割り出して、制御装置４０に通知する。本実施形態では、あるホストグループのうち、アクティブ状態にあるホストだけが、同一グループＩＤが設定されたストレージにアクセス可（ａｃｃｅｐｔ）と判定される。一方、グループが異なるホストとストレージ、あるいは、同一グループであるがスタンバイ状態にあるホストからのアクセスはアクセス不可（ｄｅｎｙ）と判定される。

　なお、アクセス制御情報記憶部５２の初期値は、ネットワーク管理者等が本システムの立ち上げ時等に設定すればよい。また、制御装置４０のパス記憶部４３の初期値も、ネットワーク管理者等が同時に設定してもよいし、アクセス制御装置５０が初期動作として、アクセス制御情報記憶部５２の内容を制御装置４０に通知すればよい。

　また、死活判定部５１によるホスト１０Ａ、１０Ｂの死活監視の方法としては、ホスト１０Ａ、１０Ｂがそれぞれ定期的にアクセス制御装置５０に生存を知らせるパケットを送信する方法がある。また、アクセス制御装置５０が、ホスト１０Ａ、１０Ｂに生存を確認するパケットを送信し、ホスト１０Ａ、１０Ｂがそのパケットに応答する方法でもよい。その他、ＨＡクラスタ（Ｈｉｇｈ　Ａｖａｉｌａｂｉｌｉｔｙ　クラスタ）で使用されている各種の方法を用いることもでき、同様の効果を得ることが可能である。

　なお、図６、図９に示した制御装置４０やアクセス制御装置５０の各部（処理手段）は、これらの装置を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図１２は、ホスト１０Ａ、１０Ｂ、ストレージ２０が同一グループに属し、アクティブ状態のホスト１０Ａからストレージ２０にアクセスが行われた場合の動作を示している。この場合、ホスト１０Ａからのログイン要求が行われると（ステップＳ００１）、制御装置４０に転送される（ステップＳ００２）。制御装置４０はトポロジーＤＢ４１及びパス記憶部４３を参照して、ホスト１０Ａからストレージへのパケットを転送するための制御情報（フローエントリ）をスイッチ３０に設定する（ステップＳ００３）。

　制御情報（フローエントリ）の設定後、制御装置４０がステップＳ００２で受信したログイン要求パケットをスイッチ３０に出力すると（ステップＳ００４）、後は、ステップＳ００３で設定された制御情報（フローエントリ）に従って、ホスト１０Ａとストレージ２０間で、パケットの授受が行われる（ステップＳ００６～Ｓ０１９）。

　図１３は、ホスト１０Ａ、１０Ｂ、ストレージ２０が同一グループに属しているが、スタンバイ状態のホスト１０Ｂからストレージ２０にアクセスが行われた場合の動作を示している。この場合も、ホスト１０Ｂからのログイン要求が行われると（ステップＳ１０１）、制御装置４０に転送される（ステップＳ１０２）。しかしながら制御装置４０は、トポロジーＤＢ４１及びパス記憶部４３を参照して、ホスト１０Ｂからストレージ２０へのアクセスは禁止になっていると判定し、ホスト１０Ｂからのパケットの破棄を指示する制御情報（フローエントリ）をスイッチ３０に設定する（ステップＳ１０３）。

　制御情報（フローエントリ）の設定後、制御装置４０がステップＳ１０２で受信したログイン要求パケットをスイッチ３０に出力すると（ステップＳ１０４）、スイッチ３０は、ステップＳ１０３で設定された制御情報（フローエントリ）に従って、ホスト１０Ｂからのログイン要求パケットを破棄する。以降、ホスト１０Ｂからのログイン要求パケットの送信が行われても、スイッチ３０は、ホスト１０Ｂからのログイン要求パケットの破棄を継続する（ステップＳ１０５）。なお、パケット破棄用の制御情報（フローエントリ）は、所定のタイムアウトの成立又はホスト１０Ｂがアクティブ状態になるまでスイッチ３０で保持されることになる。

　図１４は、ホスト１０Ａに障害が発生した場合の動作を示している。ホスト１０Ａに障害が発生したことを検出すると、アクセス制御装置５０は、制御装置４０に対し、ホスト１０Ａがスタンバイ状態となったことを通知する（ステップＳ２０１；Ａｃｔｉｖｅ　Ｃｈａｎｇｅ）。前記通知を受けた制御装置４０は、スイッチ３０に設定していたホスト１０Ａからストレージ２０へのアクセスを許可する制御情報（フローエントリ）を削除する（ステップＳ２０２；ＦｌｏｗＭｏｄ（ＤＥＬ））。制御情報（フローエントリ）の削除が完了すると、制御装置４０は、アクセス制御装置５０に対して、削除完了を通知する（ステップＳ２０３；ＯＫ）。

　アクセス制御装置５０は、スタンバイ状態になっていたホスト１０Ｂを起動する（ステップＳ２０４、Ｓ２０５；Ｔｕｒｎ　Ａｃｔｉｖｅ、ＯＫ）。その後は、図１２に示したように、ホスト１０Ｂからストレージ２０へのアクセスが許可されることになる（ステップＳ３０１～Ｓ３１９）。

　続いて、図１２～図１４に表された各装置の詳細動作について個別に説明する。図１５は、本発明の第１の実施形態のスイッチ３０の基本動作を表したフローチャートである。

　スイッチ３０は、パケット処理部３１にてパケットを受信すると、制御情報記憶部３２から、受信パケットに適合するマッチ条件を持つエントリを検索する（ステップＳ４０１）。

　前記検索の結果、受信パケットに適合するマッチ条件を持つエントリが見つかった場合、パケット処理部３１は、受信パケットに対し、該当エントリのインストラクションフィールドに定められた処理（指定アクション）を実行する（ステップＳ４０２）。

　一方、受信パケットに適合するマッチ条件を持つエントリが見つからなかった場合、パケット処理部３１は、制御装置４０に対し、受信パケット又は受信パケットから抽出した情報を送信し、受信パケットを処理するための制御情報の設定を要求する（ステップＳ４０３）。

　図１６は、本発明の第１の実施形態の制御装置４０の動作（制御情報の設定要求受信時）を表したフローチャートである。上記のように、制御情報の設定要求を受けた制御装置４０は、パス記憶部４３から、制御情報の設定要求に含まれるスイッチ３０が受信したパケットのヘッダの送信元ＩＰアドレス及びあて先ＩＰアドレスとの組合せを検索する（ステップＳ５０１）。該当するエントリが見つかった場合、制御装置４０は、該当ホストからストレージへのアクセスが許可されているか否かを確認する（ステップＳ５０２）。

　以上の結果、パス記憶部４３に、アクセス禁止（ｄｅｎｙ）が設定されているＩＰアドレスの組み合わせからの通信であることが判明した場合（ステップＳ５０２のＮｏ）、制御装置４０は、制御情報の設定要求を破棄する。

　一方、パス記憶部４３に該当エントリが見つからなかった場合（ステップＳ５０１のＮｏ）及びアクセス許可（ａｃｃｅｐｔ）が設定されているＩＰアドレスの組み合わせからの通信であることが判明した場合（ステップＳ５０２のＹｅｓ）、経路計算部４２が、経路を計算する（ステップＳ５０３）。なお、経路の計算は、例えば、パケットヘッダの情報とトポロジーＤＢ４１をもとにダイクストラ法等により算出することができる。

　次に制御装置４０は、ステップＳ５０３で計算した経路上のスイッチ３０に設定する制御情報（フローエントリ）を作成する（ステップＳ５０４）。例えば、図２のホスト１０Ａからのパケットをストレージ２０に転送する場合、送信元ＩＰアドレスが、ホスト１０ＡのＳＡＮ用ＩＰアドレスであり、宛先ＩＰアドレスがストレージのＩＰアドレスであることをマッチ条件とし、ストレージ２０の接続ポートから出力するアクションを設定した制御情報を作成することになる。

　次に制御装置４０は、スイッチ制御部４４により、ステップＳ５０４で作成した制御情報（フローエントリ）をスイッチ３０に設定する（ステップＳ５０５）。最後に、制御装置４０は、ネットワークトポロジーを参照して、宛先であるストレージ２０に、最寄のスイッチ３０に対して、制御情報の設定要求と共に受信したパケットまたは当該パケットから抽出した情報を用いて、パケットの出力を指示する（ステップＳ５０６）。これにより、制御情報の設定要求の契機となった最初のパケットがストレージ２０に到達する。

　図１４にて説明したように、アクセス制御装置５０は、アクティブなホストを切り替えると、制御装置４０に対して、アクティブ状態からスタンバイ状態になったホストを通知する。

　図１７は、アクセス制御装置５０からのアクティブホストの変更通知を受信した制御装置４０の動作を表したフローチャートである。

　アクティブホストの変更通知を受信した制御装置４０は、パス記憶部４３から、ホストＩＰアドレスが前記スタンバイ状態になったホストのＩＰアドレスであるエントリ（要修正パス）を検索する（ステップＳ６０１）。

　次に、制御装置４０は、スイッチ３０に対し、マッチ条件の送信元ＩＰアドレス又は宛先ＩＰアドレスが前記スタンバイ状態になったホストのＩＰアドレスと一致する制御情報（フローエントリ）を削除するよう指示する（ステップＳ６０２）。

　スイッチ３０からの該当する制御情報（フローエントリ）の削除応答を受信すると（ステップＳ６０３）、制御装置４０は、ステップＳ６０１で検出したエントリのアクセス可否フィールドの内容を通信許可（ａｃｃｅｐｔ）から通信禁止（ｄｅｎｙ）に更新する。

　なお、新たにアクティブ状態になったホストの通知を受けている場合には、ステップＳ６０１で、パス記憶部４３から、ホストＩＰアドレスが前記アクティブ状態になったホストのＩＰアドレスであるエントリ（要修正パス）を検索し、ステップＳ６０３で、そのアクセス可否フィールドの内容を通信禁止（ｄｅｎｙ）から通信許可（ａｃｃｅｐｔ）に更新するようにしてもよい。

　なお、上記ステップＳ６０３では、制御情報（フローエントリ）の削除応答を受信することとしているが、スイッチ３０からの応答受信に代えて、制御装置４０が一定時間待機する処理に置き換えてもよい。

　以上のように、本実施形態によれば、ホストがアクティブ状態とスタンバイ状態とに切り替わる高可用構成において、異なるグループからのストレージへのアクセスの禁止、また同一グループであってもスタンバイ状態にあるホストからのストレージへのアクセスを禁止することが可能となる。また、上記したようにアクティブ状態のホストの切り替わりと連動して、スイッチの設定が自動的に変更される。

［第２の実施形態］
　次に、制御情報の設定要求受信時に、制御装置４０がアクセスの認められていないホストからストレージへのパケットを破棄するように制御情報（フローエントリ）を設定するようにした第２の実施形態について説明する。以下、本発明の第２～第４の実施形態は、第１の実施形態と同様の構成にて実現できるので、その動作上の相違点を中心に説明する。

　図１８は、制御情報の設定要求受信時における本発明の第２の実施形態の制御装置の動作を表したフローチャートである。図１６に示した第１の実施形態の制御装置の動作と異なる点は、ステップＳ５０２の判定の結果、パス記憶部４３に、アクセス禁止（ｄｅｎｙ）が設定されているＩＰアドレスの組み合わせからの通信であることが判明した場合（ステップＳ５０２のＮｏ）、制御装置４０が、次の処理を行う点である。

　まず、制御装置４０は、マッチ条件中の送信元ＩＰアドレスまたは宛先ＩＰアドレスが、前記ストレージ２０へのアクセスが禁止されているホストのＩＰアドレスであるパケットの廃棄を指示する制御情報（フローエントリ）を作成する（ステップＳ５０７）。

　次に制御装置４０は、スイッチ制御部４４により、ステップＳ５０７で作成した制御情報（フローエントリ）をスイッチ３０に設定する（ステップＳ５０８）。

　この結果、スタンバイ状態にあるホストからのパケットはスイッチ３０にて破棄されることになる。このようにすることで、アクセス制御装置５０が明示的にアクティブホストの切り替えを行うまで、不要なパケットがスイッチ３０に流れ、無用な制御情報の設定要求がなされることを防ぐことができる。また、制御情報の設定要求が減る分、制御装置４０の負荷も軽減されることになる。

［第３の実施形態］
　次に、アクティブホストの切替通知時に、制御装置４０がアクティブ状態からスタンバイ状態になったホストからストレージへのパケットを破棄するように制御情報（フローエントリ）を設定するようにした第３の実施形態について説明する。

　図１９は、アクセス制御装置からのアクティブホストの変更通知受信時における本発明の第３の実施形態の制御装置の動作を表したフローチャートである。図１７に示した第１の実施形態の制御装置の動作と異なる点は、ステップＳ６０３とＳ６０４の間にステップＳ６０５、Ｓ６０６が追加されている点である。

　ステップＳ６０３にて、スイッチ３０からの該当する制御情報（フローエントリ）の削除応答を受信すると（ステップＳ６０３）、制御装置４０は、さらに、スタンバイ状態に遷移したホストからのパケットの破棄を指示する制御情報（フローエントリ）を作成する（ステップＳ６０５）。

　そして、制御装置４０は、スイッチ制御部４４にて、対象ホストに接続されたスイッチ３０に、前記生成した制御情報（フローエントリ）を設定する（ステップＳ６０６）。

　その後の動作は第１の実施形態と同様である。本実施形態も、第２の実施形態と同様に、不要なパケットがスイッチ３０に流れ、無用な制御情報の設定要求がなされることを防ぐことができる。また、制御情報の設定要求が減る分制御装置４０の負荷も軽減されることになる。もちろん、第２の実施形態と第３の実施形態とを組み合わせることも可能である。

［第４の実施形態］
　次に、第１の実施形態にさらに変更を加え、アクティブホストの切替通知時に、制御装置４０がスタンバイ状態からアクティブ状態になった時点で、通信発生を待つことなく、経路の計算と制御情報（フローエントリ）の設定を実施するようにした第４の実施形態について説明する。

　図２０は、アクセス制御装置からのアクティブホストの変更通知受信時における本発明の第４の実施形態の制御装置の動作を表したフローチャートである。図１７に示した第１の実施形態の制御装置の動作と異なる点は、ステップＳ６０４の後にステップＳ６０７～Ｓ６０９が追加されている点である。

　ステップＳ６０４にて、パス記憶部４３の内容修正が完了すると、制御装置４０は、アクティブ状態になったホストから、同一グループのストレージへの経路を計算する（ステップＳ６０７）。

　次に制御装置４０は、ステップＳ６０７で計算した経路上のスイッチ３０に設定する制御情報（フローエントリ）を作成する（ステップＳ６０８）。

　次に制御装置４０は、スイッチ制御部４４により、ステップＳ６０８で作成した制御情報（フローエントリ）をスイッチ３０に設定する（ステップＳ６０９）。

　以上のように本実施形態によれば、新たにアクティブ状態になったホストからストレージへのアクセスの際、経路を設定する必要がなくアクセスの初期のレスポンスタイムの短縮と、制御装置４０の負荷を軽減することが可能となる。もちろん、第２の実施形態、第３の実施形態と、第４の実施形態を組み合わせることも可能である。

［第５の実施形態］
　次に、第１の実施形態の構成に変更を加えた第５、第６の実施形態について説明する。図２１は、本発明の第５の実施形態のストレージエリアネットワークシステムの構成を示す図である。上記第１の実施形態におけるホストとストレージのグループ管理の説明から明らかなように、本発明は、図２１のように、多数のホストとストレージを複数のグループに分け、ゾーニング同様のアクセス制御を行うができる。

　また、第１の実施形態で説明したアクセス制御装置５０のアクセス制御情報記憶部５２のエントリの増減（グループの新設、廃止）や、エントリ内のホストやストレージの増減（グループへの追加、削除）を、稼働中に動的に実施してもかまわない。この場合、アクセス制御装置５０が、これらアクセス制御情報記憶部５２のエントリの変化を制御装置４０に通知し、制御装置４０が、パス記憶部４３のエントリを更新するようにすればよい。

［第６の実施形態］
　図２２は、本発明の第６の実施形態のストレージエリアネットワークシステムの構成を示す図である。本発明は、ＦＣ－ＳＡＮに見られる構成のように、ホスト１０Ａ、１０Ｂとストレージ２０とを複数のスイッチ３０Ａ、３０Ｂを介して、マルチパスで接続する構成とすることもできる。このようにすることで、ＳＰＯＦ（Ｓｉｎｇｌｅ　Ｐｏｉｎｔ　Ｏｆ　Ｆａｉｌｕｒｅ）を無くすことができる。

　図２２の例では、制御装置４０とアクセス制御装置５０Ａは多重化されていないが、これらもＨＡサーバ等により高可用化することができる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成や要素の構成は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点によるストレージエリアネットワークシステム参照）
［第２の形態］
　第１の形態において、
　前記アクセス制御装置は、各ホストからアクセス可能又はアクセス不可能なストレージを定めたアクセス制御情報を記憶しており、
　前記制御装置は、前記アクセス制御情報に基づいて、前記スイッチを用いてアクセス制御を実施するストレージエリアネットワークシステム。
［第３の形態］
　第１又は第２の形態において、
　前記アクセス制御装置は、前記各ホストの動作状態を監視し、
　前記制御装置は、前記アクセス制御装置から提供された情報に基づいて、スタンバイ状態のホストから前記ストレージへのアクセスを遮断するよう前記スイッチを制御するストレージエリアネットワークシステム。
［第４の形態］
　第３の形態において、
　アクティブ状態にあるホストと、前記スタンバイ状態にあるホストに異動が生じた場合、前記アクセス制御装置は、前記制御装置に対し前記異動内容を通知し、
　前記制御装置は、スタンバイ状態になったホストからストレージへのアクセスを禁止し、アクティブ状態になったホストからストレージへのアクセスを許可するよう前記スイッチを制御するストレージエリアネットワークシステム。
［第５の形態］
　第３又は第４の形態において、
　前記アクセス制御装置が、アクティブ状態にあるホストに障害が発生したことを検出した場合、同一グループに属するホストの中から一のホストを選択し、アクティブ状態に遷移させるストレージエリアネットワークシステム。
［第６の形態］
　第５の形態において、
　前記アクセス制御装置は、さらに、
　前記ストレージについて付与されたグループ情報を保持し、
　一のグループについて、一つのホストがアクティブ状態で動作するよう前記ホストを制御し、
　前記制御装置は、
　前記アクティブ状態で動作するホストが、自グループに属するストレージにアクセスできるよう前記スイッチを制御するストレージエリアネットワークシステム。
［第７の形態］
　前記複数のホストは、クライアントからの要求に応じて前記ストレージにアクセスして前記クライアントにサービスを提供する計算機群であるストレージエリアネットワークシステム。
［第８の形態］
　（上記第２の視点による制御装置参照）
［第９の形態］
　（上記第３の視点によるアクセス制御方法参照）
［第１０の形態］
　（上記第４の視点によるプログラム参照）
　なお、上記第８～第１０の形態は、第１の形態と同様に、第２～第７の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、高可用なサーバシステムを複数テナントとして持つデータセンターなどに好適に適用可能である。

　１０Ａ～１０Ｇ　ホスト
　２０、２０Ａ～１０Ｄ　ストレージ
　３０、３０Ａ、３０Ｂ　スイッチ
　３１　パケット処理部
　３２　制御情報記憶部
　４０　制御装置
　４１　トポロジーデータベース（トポロジーＤＢ）
　４２　経路計算部
　４３　パス記憶部
　４４　スイッチ制御部
　４５　アクセス制御情報受信部
　５０、５０Ａ　アクセス制御装置
　５１　死活判定部
　５２　アクセス制御情報記憶部

Claims

　ストレージと、複数のホストと、
　前記ストレージとホストとの間に配置されたスイッチと、
　前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、
　前記制御装置に、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置と、を含み、
　前記制御装置が、前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定するストレージエリアネットワークシステム。
　前記アクセス制御装置は、各ホストからアクセス可能又はアクセス不可能なストレージを定めたアクセス制御情報を記憶しており、
　前記制御装置は、前記アクセス制御情報に基づいて、前記スイッチを用いてアクセス制御を実施する請求項１のストレージエリアネットワークシステム。
　前記アクセス制御装置は、各ホストの動作状態を監視し、
　前記制御装置は、前記アクセス制御装置から提供された情報に基づいて、スタンバイ状態のホストから前記ストレージへのアクセスを遮断するよう前記スイッチを制御する請求項１又は２のストレージエリアネットワークシステム。
　アクティブ状態にあるホストと、前記スタンバイ状態にあるホストに異動が生じた場合、前記アクセス制御装置は、前記制御装置に対し前記異動内容を通知し、
　前記制御装置は、スタンバイ状態になったホストからストレージへのアクセスを禁止し、アクティブ状態になったホストからストレージへのアクセスを許可するよう前記スイッチを制御する請求項３のストレージエリアネットワークシステム。
　前記アクセス制御装置が、アクティブ状態にあるホストに障害が発生したことを検出した場合、同一グループに属するスタンバイ状態のホストの中から一のホストを選択し、アクティブ状態に遷移させる請求項３又は４のストレージエリアネットワークシステム。
　前記アクセス制御装置は、さらに、
　前記ストレージについて付与されたグループ情報を保持し、
　一のグループについて、一つのホストがアクティブ状態で動作するよう前記ホストを制御し、
　前記制御装置は、
　前記アクティブ状態で動作するホストが、自グループに属するストレージにアクセスできるよう前記スイッチを制御する請求項１から５いずれか一のストレージエリアネットワークシステム。
　前記複数のホストは、クライアントからの要求に応じて前記ストレージにアクセスして前記クライアントにサービスを提供する計算機群である請求項１から６いずれか一のストレージエリアネットワークシステム。
　ストレージエリアネットワークを構成するストレージと複数のホストとの間に配置されたスイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御するスイッチ制御部を備え、
　前記スイッチ制御部は、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置から提供されたアクセス可否に対応する制御情報を設定する制御装置。
　ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記ホストとストレージ間のアクセス可否情報を保持するアクセス制御装置と、を含むストレージエリアネットワークシステムにおけるアクセス制御方法であって、
　前記アクセス制御装置から、前記ホストとストレージ間のアクセス可否情報を取得するステップと、
　前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定するステップとを含むアクセス制御方法。
　ストレージと、複数のホストと、前記ストレージとホストとの間に配置されたスイッチと、前記スイッチに、制御情報を設定することにより、前記ホストとストレージ間の通信を制御する制御装置と、前記制御装置に、前記ホストとストレージ間のアクセス可否情報を提供するアクセス制御装置と、を含むストレージエリアネットワークシステムに配置された前記制御装置を構成するコンピュータに、
　前記アクセス制御装置から、前記ホストとストレージ間のアクセス可否情報を取得する処理と、
　前記スイッチに、前記アクセス制御装置から提供されたアクセス可否に対応する制御情報を設定する処理と、を実行させるプログラム。