ホーム > 特許ランキング > 株式会社日立ソリューションズ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-23
(45)【発行日】2023-05-31
(54)【発明の名称】仮想デスクトップ提供システム
(51)【国際特許分類】
G06F 9/50 20060101AFI20230524BHJP
G06F 21/31 20130101ALI20230524BHJP
G06F 21/60 20130101ALI20230524BHJP
G06F 9/455 20180101ALI20230524BHJP
【FI】
G06F9/50 120A
G06F21/31
G06F21/60 340
G06F21/60 360
G06F9/455 150
【請求項の数】
4
(21)【出願番号】P 2019223467
(22)【出願日】2019-12-11
(65)【公開番号】P2021092994
(43)【公開日】2021-06-17
【審査請求日】2022-01-05
(73)【特許権者】
【識別番号】000233055
【氏名又は名称】株式会社日立ソリューションズ
(74)【代理人】
【識別番号】110000279
【氏名又は名称】弁理士法人ウィルフォート国際特許事務所
(72)【発明者】
【氏名】才所 秀明
【審査官】田中 幸雄
(56)【参考文献】
【文献】特開2014-235610(JP,A)
【文献】高岡将ほか,おうちで学べる 仮想化のきほん 初版 ,第1版,日本,株式会社翔泳社,2015年04月17日,309~312ページ
(58)【調査した分野】(Int.Cl.,DB名)
G06F 9/50
G06F 21/31
G06F 21/60
G06F 9/455
(57)【特許請求の範囲】
【請求項1】
組織のユーザに対して提供されるクラウドサービスにおけるリソースを操作するリソース操作装置であって、前記組織において前記クラウドサービスを利用可能なユーザに関する管理情報を管理するユーザ管理部と、前記管理情報に基づいて前記ユーザによる前記リソース操作装置へのログインを許可するユーザログイン処理部と、前記クラウドサービスの前記リソースを操作する権限を有し、前記リソース操作装置へログインしたユーザの要求に基づいて、前記リソースを操作するリソース操作部と、を有し、前記クラウドサービスは、前記ユーザに仮想的なデスクトップの環境を提供するサービスであり、前記リソースは、前記クラウドサービスにおける仮想マシンであり、前記リソース操作装置は前記組織の内部ネットワーク上に配置されており、前記リソース操作部は、HTTPまたはHTTPSによる信号により、前記仮想マシンの操作に関する指示を送信する、リソース操作装置と、前記クラウドサービスのネットワーク上に配置され、前記クラウドサービスのネットワーク外からRDPゲートウェイを経由したRDPの通信による仮想マシンイメージ作成の指示に基づいて、前記リソース操作装置が前記仮想マシンを作成するときに利用可能な仮想マシンイメージを作成する仮想マシンイメージ作成装置と、
を有する仮想デスクトップ提供システム。
【請求項2】
前記仮想マシンイメージ作成装置は、仮想マシンの構成に関する情報である構成情報に基づいて仮想マシンを作成する仮想マシン作成処理部と、
作成した前記仮想マシンに対するセットアップを実行するセットアップ処理部と、
前期セットアップを実行した後の仮想マシンをイメージ化し、仮想マシンイメージを生成するイメージ化処理部と、
前記仮想マシンイメージを生成した後、前記仮想マシンイメージの作成に利用した前記仮想マシンを削除する仮想マシン削除処理部と、
を有する、請求項1に記載の仮想デスクトップ提供システム。
【請求項3】
前記仮想マシンイメージ作成装置は、仮想マシンの構成に関する情報である構成情報に基づいて仮想マシンを作成し、
作成した前記仮想マシンに対するセットアップを実行し、
前期セットアップを実行した後の仮想マシンをイメージ化し、仮想マシンイメージを生成し、
前記仮想マシンイメージを生成した後、前記仮想マシンイメージの作成に利用した前記仮想マシンを削除する、
請求項1に記載の仮想デスクトップ提供システム。
【請求項4】
前記クラウドサービスのネットワーク上に配置され、前記クラウドサービスのネットワーク外からRDPゲートウェイを経由したRDPの通信を受け付け、前記仮想マシンイメージ作成装置に対するアクセスを制御する管理操作用仮想マシンを更に有する、請求項1に記載の仮想デスクトップ提供システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、企業等の組織がその組織内のユーザにクラウドコンピューティングによるサービスを提供する技術に関する。
【背景技術】
【0002】
近年、企業などの組織としてのDaaS(Desktop as a Service)の利用が広がっている(非特許文献1、2参照)。
【0003】
DaaSを組織内に展開する方法として大きく分けて以下の(展開方法1)~(展開方法3)の3つの方法が存在する。
(展開方法1)他社がクラウドサービスとして提供しているDaaSを組織として利用する。
(展開方法2)組織自身のネットワーク内にオンプレミス機器によりVDI(Virtual Desktop Infrastructure)を構築し、組織自身がそのVDIにより組織内のユーザに対してDaaSを提供する。
(展開方法3)組織が自社で契約したクラウドサービスのサブスクリプション上にVDIを構成し、組織自身がそのVDIにより組織内のユーザにDaaSを提供する。
(展開方法1)他社がクラウドサービスとして提供しているDaaSを組織として利用する。
(展開方法2)組織自身のネットワーク内にオンプレミス機器によりVDI(Virtual Desktop Infrastructure)を構築し、組織自身がそのVDIにより組織内のユーザに対してDaaSを提供する。
(展開方法3)組織が自社で契約したクラウドサービスのサブスクリプション上にVDIを構成し、組織自身がそのVDIにより組織内のユーザにDaaSを提供する。
【先行技術文献】
【非特許文献】
【0004】
【文献】“FUJITSU Managed Infrastructure Service 仮想デスクトップサービス V-DaaS”、[online]、[2019年6月27日検索]、インターネット<URL:https://www.fujitsu.com/jp/services/infrastructure/virtualdesktop/v-daas/>
【文献】“VDI(仮想デスクトップ)とDaaSの違いについて”、[online]、[2019年6月27日検索]、インターネット<URL:http://www.ideadesktop.jp/report/detail03/>
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記(展開方法1)には、組織にとって他社の資産であるクラウドネットワークのシステム上に自社のデータを置くことに対し、セキュリティ上の懸念があり、導入がためらわれる場合がある。また、VM(Virtual Machine)の性能については、クラウドサービスにてDaaSに用意された選択肢に限定されるので、選択の幅が狭く、VMの構築における柔軟性に欠ける。また、組織自身が独自にカスタマイズしたVM環境を組織内に展開することも困難な場合が多い。
【0006】
上記(展開方法2)によりDaaSをユーザに提供する場合、組織のデータが置かれるのは、自社資産であるオンプレミス機器によるシステム上であるため、セキュリティ上の懸念は小さい。また、上記(展開方法2)では自社資産によりVDIを構築するので、上記(展開方法1)よりも柔軟性がある。しかし、自社資産であるオンプレミス機器でVDIを構築するので、想定される最大数のユーザを収容できるだけの計算機リソースを物理的に自社で所有し、管理しなければならない。そのため、DaaSを導入するときの初期コストと、その後の継続的な運用コストが大きくなりやすい。また、ユーザ数が大きく変動したときに対応が困難になる場合もある。
【0007】
これに対し、上記(展開方法3)では、大手のクラウドサービスのプロバイダと契約を結んだサブスクリプション内でのセキュリティは、プライベートクラウドのシステムとして自社の資産のセキュリティと同等程度に高いと認識されるようになってきている。また、サブスクリプション上にVDIを組織自身が構築するので、上記(展開方法1)のようなVMの柔軟性の問題も小さく、VMを自由に設定することが可能である。また、VMの処理能力の増減も比較的容易であり、ユーザ数の増減にも柔軟に対応できる。そのため、現状では上記(展開方法3)でDaaSを展開するのが最も有効な方法であると考えられる。
【0008】
しかしながら、近年では組織内に厳格なネットワークセキュリティ環境および規則が適用される場合が多い。
【0009】
具体的には、組織の内部ネットワークからのアウトバウンドの信号としては基本的にHTTP(Hypertext Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Secure)の信号しか許可されない。そして、組織の内部ネットワークへのインバウンドの信号は許可されない。また、組織の内部ネットワークからクラウドネットワーク上のVMへのRDP(Remote Desktop Protocol)による接続に関しては、画面転送のみを可能にするように限定されたRDPゲートウェイ経由の接続であり、そのVMはそのRDPゲートウェイを経由しないインバウンドの信号が禁止される閉域ネットワーク内のVMであることとされる。
【0010】
そのような厳格なネットワークセキュリティ環境および規則の下では、クラウドネットワーク上にVDIを構築し、DaaSとして提供することは困難である。
【0011】
一般的なクラウドサービスでは、VMを含めたリソースの作成および削除はHTTPSによる通信でも可能であるが、VM上のOS(Operating System)内部のパラメータ等はRDPもしくはSSH(Secure Shell)の通信により設定されることが前提となっている。
【0012】
クラウドサービスで提供される汎用的なOSイメージをそのままで組織内のユーザに提供するのは容易である。しかし、実際には、ユーザ毎にカスタマイズしたVM環境をセットアップできることが求められる場合が多い。VM環境を作成し、提供できるようにする作業はRDPあるいはSSHによる通信で行う必要があるため、その作業を管理者が行う必要がある。そのため管理者は多くの手動での作業を行うことが必要となる。また、ユーザの増加などに応じてVM環境を展開するために、管理者が手動により運用の作業を行う必要もある。
【0013】
また、DaaSの運用コストの観点からは、個別のユーザに利用権限を与え、ユーザ自身がその接続先となるクラウドネットワーク上の接続先VMを作成したり削除したりといったリソースの変更を行える態様が望まれる。しかし、セキュリティ上の懸念から、すべてのユーザに対してクラウドネットワーク上のリソースを変更できるようなサブスクリプションの権限を与えることは望ましくない。
【0014】
本開示のひとつの目的は、個々のユーザにサブスクリプションに関する権限を与えることなく、個々のユーザがリソースを変更することが可能なクラウドサービスを実現することである。
【課題を解決するための手段】
【0015】
上記目的を達成するための開示として、リソース操作装置は、組織のユーザに対して提供されるクラウドサービスにおけるリソースを操作するリソース操作装置であって、前記組織において前記クラウドサービスを利用可能なユーザに関する管理情報を管理するユーザ管理部と、前記管理情報に基づいて前記ユーザによる前記リソース操作装置へのログインを許可するユーザログイン処理部と、前記クラウドサービスの前記リソースを操作する権限を有し、前記リソース操作装置へログインしたユーザの要求に基づいて、前記リソースを操作するリソース操作部と、を有する。
【発明の効果】
【0016】
本開示によれば、個々のユーザにサブスクリプションに関する権限を与えることなく、個々のユーザがリソースを変更することが可能なクラウドサービスを実現できる。
【図面の簡単な説明】
【0017】
【図1】実施形態に係るシステム構成例を示す図である。
【図2】VMイメージ作成サーバの構成例を示す図である。
【図3】VM操作サーバの構成例を示す図である。
【図4】VM及びユーザ管理情報の例を示す図である。
【図5】接続先VMイメージの作成処理の例を示すフローチャートである。
【図6】DaaSユーザがDaaS管理者に対してDaaSの利用申請を行い、接続先VMを作成し、RDP接続するまでの処理を示すシーケンスチャートである。
【発明を実施するための形態】
【0018】
図1は、本実施形態に係るシステム構成例を示す図である。
【0019】
組織内システム10は、RDPゲートウェイ101、管理者PC端末111、VM操作サーバ123、及びユーザPC端末112を有する。RDPゲートウェイ101、管理者PC端末111、VM操作サーバ123、及びユーザPC端末112は、組織内ネットワーク100に接続しており、当該組織内ネットワーク100を介して、互いにデータを送受信できる。また、組織内ネットワーク100は、インターネットNに接続しており、RDPゲートウェイ101、管理者PC端末111、VM操作サーバ123、及びユーザPC端末112は、組織内ネットワーク100及びインターネットNを介して、外部の装置(例えばクラウド20)とデータを送受信できる。組織内ネットワーク100は、例えば、有線LAN、無線LAN又はこれらの組み合わせによって構成される。
【0020】
RDPゲートウェイ101は、組織内ネットワーク100から社外に向けた限定的なRDP接続を行うための装置である。管理者PC端末111は、DaaS管理者が利用する端末である。ユーザPC端末112は、DaaSユーザが利用する端末である。
【0021】
組織内システム10から組織外に対して許可される通信は、HTTP/HTTPSのアウトバウンド、及び、RDPゲートウェイ101を経由するRDP接続である。RDP接続は、RDPゲートウェイ101以外からのインバウンドを不許可とするネットワーク上のVMのみに対して許可される。また、RDP接続では、RDPプロトコルによる画像転送のみが許可されている。
【0022】
クラウド20は、IaaS(Infrastructure as a Service)を提供するクラウドサービスであり、管理操作用VM121及びVMイメージ作成サーバ122を有する。管理操作用VM121及びVMイメージ作成サーバ122は、DaaSネットワーク120に接続しており、当該DaaSネットワーク120を介して、互いにデータを送受信できる。また、DaaSネットワーク120は、インターネットNに接続しており、管理操作用VM121、VMイメージサーバ122は、DaaSネットワーク120及びインターネットNを通じて、外部の装置(例えば組織内システム10)とデータを送受信できる。DaaSネットワーク100は、例えば、有線LAN、無線LAN又はこれらの組み合わせによって構成される。
【0023】
管理操作用VM121は、DaaS管理者に利用される管理者PC端末111から、RDPゲートウェイ101を経由してRDP接続される。管理操作用VM121は、そのRDP接続された管理者PC端末111が、VMイメージ作成サーバ122にアクセスすることを制御する。
【0024】
本開示は、基本的にHTTP/HTTPSアウトバンドのみ許可され、組織内ネットワーク100からのIaaS上のリソースへのRDP接続に関しては、インバウンドを禁止した閉域ネットワーク内のVMに向け、画像転送のみ可能なRDPゲートウェイ101経由のみしか許可されないような、厳格なネットワークセキュリティ環境及び規則下で、組織内にIaaS上の資源を活用したDaaSを提供することを実現するためのシステムである。
【0025】
図2は、VMイメージ作成サーバ122の構成例を示す図である。
【0026】
VMイメージ作成サーバ122は、クラウド認証情報201、構成テンプレート202、及び接続先VMイメージ作成部210を有する。
【0027】
クラウド認証情報201は、クラウド20上のリソースの作成及び削除等に利用されるサブスクリプションを認証するための情報である。クラウド認証情報201は、既存技術であるGit等を利用して外部リポジトリと連携され、外部リポジトリの変更に追従して変更されてもよい。
【0028】
構成テンプレート202は、作成するVMイメージの構成情報であり、例えば、インストールツール、ソフトウェア及び/又は設定に関する情報である。構成テンプレート202は、既存技術であるAnsible等を利用し、コード化された情報であってよい。また、構成テンプレート202は、クラウド認証情報201と同様に、既存技術であるGit等を利用して外部リポジトリと連携され、外部リポジトリの変更に追従して変更されてもよい。
【0029】
接続先VMイメージ作成部210は、DaaS管理者から与えられるクラウド認証情報201及び構成テンプレート202から、接続先VMイメージ131を作成する。接続先VMイメージ作成部210は、VM作成処理部211、セットアップ処理部212、イメージ化処理部213、及び、VM削除処理部214から構成される。なお、接続先VMイメージ作成部210の詳細については、後述の処理フローにて説明する。
【0030】
接続先VMイメージ131は、上述の通り、VMイメージ作成サーバ122で作成されるVMのイメージデータである。また、接続先VMイメージ131は、DaaSユーザがVM操作サーバ123を通して、接続先のVMを作成する際に元となるVMのイメージデータである。なお、接続先VMイメージ131の詳細については後述する。
【0031】
図3は、VM操作サーバ123の構成例を示す図である。
【0032】
クラウド認証情報301は、上記のクラウド認証情報201と同等の情報である。
【0033】
VM及びユーザ管理情報302は、認証情報又は権限情報を含めたユーザ情報と、作成対象のVM情報とを合わせた情報である。
【0034】
図4は、VM及びユーザ管理情報302の例を示す図である。
【0035】
VM及びユーザ管理情報は、項目として、ユーザID401、パスワード402、IPアドレス403、OSユーザ名404、及び、OSパスワード405を有する。
ユーザID401は、ユーザがVM操作サーバ123にアクセスするためのユーザIDである。
パスワード402は、ユーザがVM操作サーバ123にアクセスするためのパスワードである。
IPアドレス403は、接続先VM132に付与されるIPアドレスである。
OSユーザ名404は、接続先VM132のOSにログインするためのユーザIDである。
OSパスワード405は、接続先VM132のOSにログインするためのパスワードである。
ユーザID401は、ユーザがVM操作サーバ123にアクセスするためのユーザIDである。
パスワード402は、ユーザがVM操作サーバ123にアクセスするためのパスワードである。
IPアドレス403は、接続先VM132に付与されるIPアドレスである。
OSユーザ名404は、接続先VM132のOSにログインするためのユーザIDである。
OSパスワード405は、接続先VM132のOSにログインするためのパスワードである。
【0036】
【0037】
VM及びユーザの登録及び削除部311は、DaaS管理者がVM及びユーザ管理情報302を編集操作するための処理を行う。例えば、VM及びユーザの登録及び削除部311は、新規ユーザの登録処理を行う。
【0038】
DaaSユーザのログイン処理部312は、DaaSユーザからのアクセス及びログインを処理する。例えば、DaaSユーザのログイン処理部312は、VM及びユーザ管理情報302に基づいて、アクセスしてきたDaaSユーザに紐づけられた情報を特定し、その特定した情報に基づき、接続先VM132を操作するためのUI(以下「操作UI」という)を表示する。
【0039】
接続先VM作成部321は、接続先VM132を作成する。
接続先VM停止部322は、接続先VM132を停止する。
接続先VM起動部323は、接続先VM132を起動する。
接続先VM再起動部324は、接続先VM132を再起動する。
接続先VM削除部325は、接続先VM132を削除する。
接続先VMバックアップ部326は、接続先VM132をバックアップする。
接続先VMリストア部327は、接続先VM132をリストアする。
接続先VM停止部322は、接続先VM132を停止する。
接続先VM起動部323は、接続先VM132を起動する。
接続先VM再起動部324は、接続先VM132を再起動する。
接続先VM削除部325は、接続先VM132を削除する。
接続先VMバックアップ部326は、接続先VM132をバックアップする。
接続先VMリストア部327は、接続先VM132をリストアする。
【0040】
接続先VM作成部321、接続先VM停止部322、接続先VM起動部323、接続先VM再起動部324、接続先VM削除部325、接続先VMバックアップ部326、接続先VMリストア部327は、それぞれ、DaaSユーザによる操作UIを介した指示により処理を実行する。
【0041】
各処理では、VM及びユーザ管理情報302から作成対象のVMの情報を抽出し、クラウド認証情報301を用いてクラウド20にログインし、クラウド20上の接続先VM132に対し、作成、停止、起動、再起動、削除、バックアップ、及び/又は、リストアの処理を行う。
【0042】
ここで、構成要素321~327の各処理は、クラウド20で用意されたHTTP/HTTPS経由で可能な操作の範囲内である。組織内システム10からのアウトバウンドは、基本的にHTTP/HTTPSのみ許可という制限の中で可能になっている。そのため、構成要素321~327の各処理は、先に示した組織内ネットワーク100上に存在するVM操作サーバ123であっても可能な処理である。
【0043】
図5は、接続先VMイメージ131の作成処理の例を示すフローチャートである。
【0044】
まず、DaaS管理者は、管理者PC端末111から、RDPゲートウェイ101経由で管理操作用VM121にRDP接続し、その管理操作用VM121からVMイメージ作成サーバ122にアクセスする。それから、DaaS管理者は、クラウド20上のリソースの作成及び削除等を行うために利用するサブスクリプションの認証情報を、VM操作サーバ123のクラウド認証情報301に登録する(ステップ501)。なお、上述のとおり、既存技術であるGit等を利用して、VMイメージ作成サーバ122のクラウド認証情報201を外部リポジトリと連携させることにより、VM操作サーバ123のクラウド認証情報301の登録を、リポジトリの変更に追従させてもよい。
【0045】
次に、DaaS管理者は、作成対象のVMの構成情報を既存技術のAnsible(出願商標)等でコード化した構成テンプレート202を、VMイメージ作成サーバ122に登録する(ステップ502)。VMの構成情報は、例えば、クラウド20が提供しているベースとなるVMイメージ名を示す情報、インストールツール、ソフトウェア及び設定等の情報、VMイメージを作成する際に利用されるVMリソースサイズを示す情報等を含む。なお、上述のとおり、既存技術であるGit等を利用して外部リポジトリと連携させることにより、構成テンプレート202の登録を、リポジトリの変更に追従させてもよい。
【0046】
次に、DaaS管理者は、VMイメージ作成サーバ122の接続先VMイメージ作成部210に対してVMイメージ作成指示を送信する(ステップ503)。
【0047】
接続先VMイメージ作成部210は、VMイメージ作成指示を受信した場合、VM作成処理部211にて、構成テンプレート202の情報に基づいて、ベースとなるVMを作成する(ステップ504)。
【0048】
次に、接続先VMイメージ作成部210は、セットアップ処理部212にて、ステップ504で作成したベースとなるVMに対して、例えばSSHでアクセスする。そして、接続先VMイメージ作成部210は、セットアップ処理部212にて、アクセスしたVMに対して、構成テンプレート202の情報に基づき、インストールツール及びソフトウェアのインストール、並びに、設定等のデプロイを実行する(ステップ505)。
【0049】
次に、接続先VMイメージ作成部210は、イメージ化処理部213にて、ステップ505の処理後のVMに対して、クラウド20が提供する手順及びツールによるイメージ化処理を行う(ステップ506)。これにより、接続先VMイメージ131が作成される。
【0050】
最後に、接続先VMイメージ作成部210は、VM削除処理部213にて、接続先VMイメージ131の作成に利用したVMを削除する(ステップ507)。
【0051】
以上の処理により、DaaS管理者がステップ502で設定した通りにカスタマイズされた接続先VMイメージ131が作成される。
【0052】
図6は、DaaSユーザがDaaS管理者に対してDaaSの利用申請を行い、接続先VM132を作成し、RDP接続するまでの処理を示すシーケンスチャートである。
【0053】
まず、DaaSユーザが、DaaS管理者に対してDaaSの利用申請を行う(ステップ601)。
【0054】
DaaSの利用申請を受けたDaaS管理者は、図4に示したVM及びユーザ管理情報を決定し、VM及びユーザ管理情報302として、VM操作サーバ123に登録する(ステップ602)。このとき、DaaS管理者は、RDPゲートウェイ101の利用申請登録も実施する。
【0055】
次に、DaaS管理者は、ステップ602で決定及び登録した、VM操作サーバ123及びRDPゲートウェイ101を利用するための情報、アクセス先の情報、並びに、ID及びパスワードの情報などを、DaaSユーザに提供する(ステップ603)。
【0056】
DaaSユーザは、ステップ603で受け取った情報を用いて、VM操作サーバ123にログインする(ステップ604)。
【0057】
VM操作サーバ123は、ステップ604でログインしたDaaSユーザに対して、VM及びユーザ管理情報302に登録されたVMを操作するための操作UIを提供する(ステップ605)。
【0058】
DaaSユーザは、ステップ605で提供された操作UIを通じて、VM操作サーバ123に対し、VM作成指示を行う(ステップ606)。
【0059】
VM操作サーバ123は、ステップ606のVM作成指示を受けた場合、次の処理を実行する。すなわち、VM操作サーバ123は、VM及びユーザ管理情報302に登録された情報と、作成済みの接続先VMイメージ131とを用いて、VM作成指示に対応する接続先VM132を作成する旨の指示を、クラウド20に対して送信する(ステップ607)。
【0060】
クラウド20は、ステップ607の指示に応じて接続先VM132を作成し(ステップ608)、接続先VM132の作成完了を確認した後、VM作成完了通知を、VM操作サーバ123に対して送信する(ステップ609)。
【0061】
VM操作サーバ123は、ステップ609のVM作成完了通知を受信した場合、接続先VM132の作成が完了した旨を、操作UIを通じて、DaaSユーザに通知する(ステップ610)。
【0062】
DaaSユーザは、ステップ603で受け取った情報に基づき、RDPゲートウェイ101にRDP接続要求を行う(ステップ611)。
【0063】
RDPゲートウェイ101は、ステップ610で作成が完了した接続先VM132とのRDP接続を確立する(ステップ612)。
【0064】
RDPゲートウェイ101は、DaaSユーザが利用するユーザPC端末112とRDP接続を確立する(ステップ613)。
【0065】
ステップ612及びステップ613によって、DaaSユーザが利用するユーザPC端末112と、ステップ608で作成された接続先VM132とがRDP接続され、操作可能になる。
【0066】
また、DaaSユーザは、ステップ605で提供される操作UIを通じて、接続先VM132の停止、起動、再起動、削除、バックアップ及びリストア等を行うことができる。この処理は、ステップ606からステップ610と、同様のフローとなる。
【0067】
ここで、ステップ607のVM操作サーバ123からクラウド20への指示は、クラウド20で用意されたHTTP/HTTPS経由で可能な操作の範囲内である。組織内システム10からのアウトバウンドは、基本的にHTTP/HTTPSのみ許可という制限の中で可能になっている。
【0068】
クラウド認証情報301は、DaaSユーザには隠蔽されてよい。また、VM及びユーザ管理情報302に定義されたVMに対してDaaSユーザが実施可能な処理は、図3に示すような構成要素321~327として提供される処理に限定されてよい。これにより、本実施形態によれば、クラウド認証情報301をDaaSユーザに知られることなく、DaaSユーザに対して、DaaSを提供できる。
【0069】
このように、本実施形態によれば、セキュアなネットワーク環境及び規則の下で、DaaS管理者がカスタマイズした接続先VMイメージ131を用いて、DaaSユーザにサブスクリプションの権限を与えることなく、ユーザ自らが接続先VM132の作成から削除までを行うことが可能になる。
【0070】
(ハードウェア構成)
RDPゲートウェイ101、管理者PC端末111、ユーザPC端末112、VM操作サーバ123、VMイメージ作成サーバ122は、それぞれ、プロセッサ及びメモリを有し、プロセッサがメモリからコンピュータプログラムを読みだして実行することにより、上述した機能を実現してもよい。
RDPゲートウェイ101、管理者PC端末111、ユーザPC端末112、VM操作サーバ123、VMイメージ作成サーバ122は、それぞれ、プロセッサ及びメモリを有し、プロセッサがメモリからコンピュータプログラムを読みだして実行することにより、上述した機能を実現してもよい。
【0071】
(VM)
上述したVMは、クラウド20が提供するコンピュータリソースによって仮想的に構成されるコンピュータであってよい。よって、VMは、リソースと読み替えられてもよい。VM操作サーバ123は、VM(つまりリソース)を操作するための装置であり、リソース操作装置と読み替えられてもよい。VMイメージ作成サーバ122は、仮想マシンイメージ作成装置と読み替えられてもよい。
上述したVMは、クラウド20が提供するコンピュータリソースによって仮想的に構成されるコンピュータであってよい。よって、VMは、リソースと読み替えられてもよい。VM操作サーバ123は、VM(つまりリソース)を操作するための装置であり、リソース操作装置と読み替えられてもよい。VMイメージ作成サーバ122は、仮想マシンイメージ作成装置と読み替えられてもよい。
【0072】
(本開示のまとめ)
本開示に係るリソース操作装置(123)は、組織のユーザに対して提供されるクラウドサービス(20)におけるリソースを操作する。リソース操作装置は、組織において前記クラウドサービスを利用可能なユーザに関する管理情報を管理するユーザ管理部(302)と、管理情報に基づいてユーザによるリソース操作装置へのログインを許可するユーザログイン処理部(312)と、クラウドサービスのリソースを操作する権限を有し、リソース操作装置へログインしたユーザの要求に基づいて、リソースを操作するリソース操作部(320)と、を有する。
本開示に係るリソース操作装置(123)は、組織のユーザに対して提供されるクラウドサービス(20)におけるリソースを操作する。リソース操作装置は、組織において前記クラウドサービスを利用可能なユーザに関する管理情報を管理するユーザ管理部(302)と、管理情報に基づいてユーザによるリソース操作装置へのログインを許可するユーザログイン処理部(312)と、クラウドサービスのリソースを操作する権限を有し、リソース操作装置へログインしたユーザの要求に基づいて、リソースを操作するリソース操作部(320)と、を有する。
【0073】
この構成によれば、リソース操作装置が、ログインしたユーザの要求に基づいてクラウドサービスのリソースの操作を行うので、個々のユーザが組織としてのサブスクリプションに関する権限を持たなくても、ユーザがリソースを変更できるクラウドサービスを実現することができる。
【0074】
クラウドサービス(20)は、ユーザに仮想的なデスクトップの環境を提供するサービスであり、リソースは、クラウドサービスにおける仮想マシン(132)であってよい。
【0075】
この構成によれば、ユーザが仮想マシンの操作を行うことが可能な仮想デスクトップのクラウドサービスを実現することができる。
【0076】
リソース操作装置(123)は組織の内部ネットワーク(100)上に配置されており、リソース操作部(320)は、HTTPまたはHTTPSによる信号により、仮想マシンの操作に関する指示を送信してよい。
【0077】
この構成によれば、クラウドサービスが、仮想マシンの操作はHTTPまたはHTTPSによる通信で行うことが可能であるが、仮想マシンのオペレーティングシステムの設定等はRDPまたはSSHの通信でなければならず、また、組織の内部ネットワークがアウトバウンドの信号はHTTPまたはHTTPSによる信号に限定されるという厳格なネットワークセキュリティ環境の下でも個々のユーザが仮想マシンの操作を行うことが可能となる。
【0078】
本開示に係る仮想デスクトップ提供システムは、上記のリソース操作装置(123)と、仮想イメージマシン作成装置(122)とを有する。仮想マシンイメージ作成装置(122)は、クラウドサービス(20)のネットワーク(120)上に配置され、クラウドサービスのネットワーク外からRDPゲートウェイを経由したRDPの通信による仮想マシンイメージ作成の指示に基づいて、リソース操作装置が仮想マシンを作成するときに利用可能な仮想マシンイメージを作成する。
【0079】
この構成によれば、仮想マシンイメージ装置がクラウドサービスのネットワーク上に配置されていることにより、クラウドサービスが、画面転送のみに限定されたRDPゲートウェイ経由のRDP接続のみ可能な場合において、クラウドサービスにおける仮想マシンの作成に利用可能な仮想マシンイメージを作成することを可能にする。
【符号の説明】
【0080】
10…組織内システム、20…クラウド、100…組織内ネットワーク、101…RDPゲートウェイ、111…管理者PC端末、112…ユーザPC端末、120…DaaSネットワーク、121…管理操作用VM、122…VMイメージ作成サーバ、123…VM操作サーバ、131…接続先VMイメージ、132…接続先VM、201…クラウド認証情報、202…構成テンプレート、210…接続先VMイメージ作成部、211…VM作成処理部、212…セットアップ処理部、213…イメージ化処理部、214…VM削除処理部、301…クラウド認証情報、302…VM及びユーザ管理情報、311…VM及びユーザの登録及び削除部、312…DaaSユーザのログイン処理部、321…接続先VM作成部、322…接続先VM停止部、323…接続先VM起動部、324…接続先VM再起動部、325…接続先VM削除部、326…接続先VMバックアップ部、327…接続先VMリストア部、401…ユーザID、402…パスワード、403…IPアドレス、404…OSユーザ名、405…OSパスワード
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】