CN116458132A - 借助流程控制环境提供时间关键的服务的方法和*** - Google Patents
借助流程控制环境提供时间关键的服务的方法和*** Download PDFInfo
- Publication number
- CN116458132A CN116458132A CN202180066138.XA CN202180066138A CN116458132A CN 116458132 A CN116458132 A CN 116458132A CN 202180066138 A CN202180066138 A CN 202180066138A CN 116458132 A CN116458132 A CN 116458132A
- Authority
- CN
- China
- Prior art keywords
- component
- server
- flow control
- valid
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 31
- 238000004886 process control Methods 0.000 title description 2
- 238000001914 filtration Methods 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims description 21
- 238000002955 isolation Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 238000013461 design Methods 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- ORQBXQOJMQIAOY-UHFFFAOYSA-N nobelium Chemical compound [No] ORQBXQOJMQIAOY-UHFFFAOYSA-N 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2895—Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
为了借助于流程控制环境提供时间关键的服务,为每个服务分别提供至少一个服务器部件(113),服务器部件由能加载到流程控制环境(112)中并能在流程控制环境中执行的流程控制部件形成。包括流程控制环境的子网(100)的至少一个网关部件(102)的配置单元(103)分别确定全局有效的访问信息(150),该访问信息配属于服务器部件的在子网内有效的寻址信息。根据借助于配置单元预设的运行模式(131)使用一个或多个并联和/或串联连接的网关部件。至少一个网关部件根据转发和/或过滤规则以及运行模式将服务访问请求(11)转发至服务器部件。
Description
技术领域
本发明涉及用于尤其在工业自动化***中提供时间关键的服务的方法和***。
背景技术
工业自动化***通常包括大量经由工业通信网络相互联网的自动化设备,并且在生产或过程自动化的范围中用于控制或调节设施、机器或设备。由于工业自动化***中时间关键的框架条件,主要将实时通信协议、例如PROFINET、PROFIBUS、实时以太网或时间敏感网络(TSN)用于自动化设备之间的通信。尤其将控制服务或应用程序自动化地并且根据负载分发到工业自动化***的当前可用的服务器或虚拟机上。
工业自动化***或自动化设备的计算机单元之间的通信连接的中断会导致服务请求传输的不期望或不必要的重复。此外,未传输或未完整传输的消息例如会阻止工业自动化***过渡到或保持在安全运行状态中。
当用于传输具有实时要求的数据流或数据帧的网络资源与用于传输具有大使用数据内容而没有特殊服务质量要求的数据帧或数据流竞争时,在基于以太网的通信网络中会出现问题。这最终会导致:具有实时要求的数据流或数据帧没有根据要求或需要的服务品质传输。
EP 3 588 908 A1涉及一种访问控制设备,其用于在远程访问***期间提供有效的安全保护。访问控制设备包括带第一网络接口的前端防火墙以连接远程计算机。主机与前端防火墙连接,主机又与后端防火墙连接。后端防火墙提供第二网口接口以连接上述***。特别地,后端防火墙通过第二网络接口扫描可远程访问的***资源,并且确定远程计算机应访问的***资源。此外,主机提供关于远程计算机可经由第一网络端口访问的***资源的信息。
可从申请号为PCT/EP2020/063144的较早的国际专利申请中已知一种用于提供控制应用程序的方法,其中由监控装置请求提供控制应用程序的流程控制部件的通信网络地址以及请求流程控制部件或服务器装置的标识,其中在服务器装置上实施流程控制部件。配置控制装置从所请求的通信地址和标识中以及从控制应用程序的名称中产生用于转发装置的配置信息。转发装置接受终端设备使用控制应用程序的请求,并且根据配置信息将该请求转发至相应的流程控制部件。
在较早的欧洲专利申请EP 3 715 986 A1中描述一种用于自动配置自动化设备的方法,其中设备管理单元监视:是否将自动化***标识与该动化设备相关联。如果设备管理单元已经识别出这种关联,则其在集群的中央管理单元中请求:在具有描述对象的集群状态数据库中对于集群的至少一个节点是否已经存在描述对象,在描述对象中存储与自动化设备相关联的自动化***标识。如果这种描述对象不存在,或者如果这种描述对象存在但其已被声明为是非激活的,则设备管理单元在集群状态数据库中为与自动化设备相关联的节点标识产生描述对象,在描述对象中存储与自动化设备相关联的自动化标识。
申请号为20193690.3的较早的欧洲专利申请涉及一种用于提供时间关键的服务的方法,至少一个服务器部件分别与服务相关联,服务器部件由可加载到流程控制环境中并且可在那里执行的流程控制部件形成。各个用于处理通信协议栈的功能单元可用于服务器部件,功能单元与同流程控制环境相关联的功能单元连接以处理通信协议栈。服务分别包括用于确定借助于流程控制环境提供的服务的目录服务部件。目录服务部件经由单独的通信接口相互连接。借助另一流程控制部件形成的聚合器部件与单独的通信接口连接,以使关于借助于服务器部件提供的服务的说明在流程控制环境之外可用。
用于工业自动化***的借助于容器虚拟化或类似的虚拟化设计实现的控制应用程序的用户期望将这种应用程序尽可能不复杂地集成到其现有的基础架构中。根据网络连接和所使用的流程控制环境,尤其OPC UA服务器遇到极其不同的用户侧的配置,该配置在用于控制应用程序的自动化的配置方法中必须通过控制应用程序的开发者来考虑。在网络连接方面,在用户侧的窄的IP地址范围和TCP端口号范围为在将控制应用程序集成到现有的基础架构中的特殊的挑战。
发明内容
本发明所基于的目的是:创建一种用于提供时间关键服务的方法,该方法能够在借助于容器虚拟化或类似的虚拟化设计提供的服务一方与相应的流程控制环境和网络连接的另一方之间实现解耦,还提出一种是适合执行该方法的设备。
根据本发明,该目的通过具有权利要求1中说明的特征的方法和具有权利要求14中说明的特征的***来实现。有利的改进方案在从属权利要求中说明。
按照根据本发明的用于借助于流程控制环境提供时间关键的服务的方法,分别将至少一个服务器部件分配给服务,服务器部件由能加载到流程控制环境中并能在那里执行的流程控制部件形成。包括流程控制环境的子网的至少一个网关部件的配置单元分别确定全局有效的访问信息,该访问信息配属于服务器部件的在子网内有效的寻址信息。根据借助于配置单元预设的运行模式,使用一个或多个并联和/或串联连接的网关部件。本地有效的寻址信息为通信网络地址、端口号、主机名和/或完整域名。至少一个网关部件是负载平衡器和/或反向代理。经由运行模式预设要使用的负载平衡器和/或反向代理的数量和连接。
流程控制部件尤其是软件容器,该软件容器分别以与其他的软件容器或容器组、例如Pods(容器组)隔离的方式在流程控制环境内在服务器装置的主机操作***上运行。原则上,也可以将替代的微虚拟化设计、例如快照用于流程控制部件。
流程控制环境例如可以包括在服务器装置上运行的Docker引擎或Snap Core。有利地,软件容器分别与其他在相应的服务器装置上运行的软件容器一起使用服务器装置的主机操作***的内核。例如,从通过大量用户可以读取或写入访问的存储和提供***中可以调用用于软件容器的存储映射。
根据本发明,配置单元将映射访问信息的转发和/或过滤规则传输到至少一个网关部件。此外,设有聚合器部件,其使全局有效的访问信息能够在子网外用于服务或者将其发布。此外,至少一个网关部件根据转发或过滤规则以及运行模式将服务访问请求、特别是来自子网外部的服务访问请求转发至服务器部件。
本发明实现时间关键的服务或控制应用程序、尤其具有OPC UA功能的简单的开发和使用,而在开发和安装时不必考虑关于网络连接和流程控制环境、例如边缘应用程序运行时引擎、超融合基础设施或云平台方面的特定的边界条件。这主要通过借助于适配的运行模式的选择来自动地配置用于包括相应的运行控制环境的子网的网关部件来实现。
特别地,借助本发明可以使OPC UA安全信道在进入包括流程控制环境的子网中时被正确地终止。以该方式,可以在没有证书或具有子网特定证书的情况下在子网内进行通信。这实现在子网内的安全设计和外部通信的安全设计之间的解耦。此外,OPC UAWebsocket通信连接也可以在进入子网中时被正确终止,并且例如不支持Websocket的OPCUA服务器应用程序可以经由子网内部的传输层连接进行响应。
根据本发明的一个优选的设计方案,服务器部件或与服务器部件分别相关联目录服务部件将在子网内有效的寻址信息传输至配置单元或聚合器部件。在此,有利地仅聚合器部件来自包括流程控制环境的子网外部,使得可以保护目录服务部件免受外部访问。例如,为了提高可用性,可以使用多个相互冗余的聚合器部件。
有利地,服务器部件或目录服务部件分别将用于相应的服务器部件的标识传输至配置单元。根据该标识,配置单元可以分别为相应的服务器部件可靠地确定与在子网内有效的寻址信息相关联的全局有效的访问信息。例如,标识可以是服务器标识或软件容器标识。优选地,转发或过滤规则映射在子网内有效的与标识相关联的寻址信息和全局有效的访问信息之间的分配关联,并且包括用于端口转发的规则。
根据本发明的另一优选的设计方案,全局有效的访问信息包括寻址信息和访问权限。在此,访问权限在用户和/或设备验证成功后可用。有利地,访问权限、尤其用于选定的用户或设备的访问权限通过转发或过滤规则来映射。
根据借助于配置单元预设的运行模式通过至少一个网关部件优选地将一个或多个全局有效的IP地址、用于每个服务器部件的单独端口或用于全部服务器部件的公共端口、或者用于每个服务器部件的单独域名或用于所有服务器部件的公共域名转发到服务器部件上。因此,可以通过选择适当的运行模式在包括流程控制环境的子网的网络连接中为了配置至少一个网关部件考虑个体的框架条件。例如,在选定的运行模式中,通过至少一个网关部件仅将服务访问请求转发至服务器部件,该服务器部件的相应的在子网内有效的寻址信息同时具有全局有效性。
据本发明的用于借助于流程控制环境提供时间关键的服务的***设置用于执行根据前述实施方案的方法,并且包括流程控制环境以及多个分别配属于服务的服务器部件,服务器部件分别由能够加载到流程控制环境中的并能够在那里执行的流程控制部件形成。此外,设有用于包括流程控制环境的子网的至少一个网关部件以及用于至少一个网关部件的配置单元。至少一个网关部件是负载平衡器或反向代理。配置单元设计和设置用于,分别确定全局有效的访问信息并且将映射访问信息的转发和/或过滤规则传输到至少一个网关部件,其中,访问信息与服务器部件的在子网内有效的寻址信息相关联。在此,根据借助于配置单元预设的运行模式设置一个或多个并联或串联连接的网关部件以供使用。经由运行模式预设负载平衡器和/或反向代理的数量和连接。
此外,根据本发明的***包括聚合器部件,该聚合器部件设计和设置用于使全局有效的访问信息能够在子网外用于服务。为此,至少一个网关部件设计和设置用于根据转发和/或过滤规则将服务访问请求转发至服务器部件。
附图说明
下面以实施例根据附图更详细地解释本发明。附图示出:
图1示出具有用于提供工业自动化***的服务的服务器部件以及具有网关部件的装置,
图2示出在包括根据图1的服务器部件的子网内有效的寻址信息和全局有效的访问信息之间的转换的示意图,
图3至图5分别示出用于分别具有一个或多个负载均衡器或反向代理的根据图1的装置的网关部件。
具体实施方式
图1中所示的装置包括用于提供工业自动化***的控制和监视应用程序或服务的服务器装置101。工业自动化***的控制和监测应用程序或服务对于时间关键的服务是示例性的。在本实施例中,服务或控制和监视应用程序基于OPC UA提供。因此,服务或控制和监视应用程序或服务包括接口定义,该接口定义能用于持久访问服务或控制和监视应用程序或服务。
服务可以分别包括多个相同类型的或相同的控制和监视应用程序,控制和监视应用程序分别通过不同的服务器装置提供。可以例如借助于Kubernetes守护程序集控制同时在不同服务器装置上提供多个相同类型的控制应用程序。
在图1中所示的装置还包括被分配给至少一个用户的终端设备10,用户在当前的实施例中将请求11根据OPC UA为了使用服务经由通信网络20发送给包括服务器装置101的自动化***或子网100,并且从服务器装置相应地接收应答12或测量值和状态消息。通信网络20优选地构造为时间敏感网络,尤其根据IEEE 802.1Q、IEEE 802.1AB、IEEE 802.1AS、IEEE 802.IBA或.IEEE 802.1CB构造。
服务器装置101优选地实施工业自动化***的控制设备的功能、例如可编程逻辑控制器或者现场设备的功能、例如传感器或执行器的功能。在当前的实施例中,服务器装置101用于与通过服务器装置101控制的机器或设备115交换控制和测量变量。特别地,服务器装置101设置成用于从检测到的测量变量得出适当的控制变量。
在当前的实施例中,终端设备10是操作和监视站,并且用于可视化过程数据或通过服务器装置101或其他自动化设备处理或检测的测量和控制变量。特别地,终端设备10用于显示调节回路的值并且用于改变调节参数或调节程序。
至少一个服务器部件113被分别分配给服务,服务器部件由能加载到流程控制环境112中的并且能在那里执行的流程控制部件形成。流程控制环境112借助于服务器装置101提供并且在那里作为应用程序安装在服务器装置101的主机操作***111上。此外,流程控制部件可以分别从服务器装置101迁移到另一服务器装置上以在那里执行,或者同时在其他服务器装置上执行。在当前的实施例中,流程控制部件是软件容器或包括软件容器,软件容器分别以与其他软件容器、容器组或Pods隔离的方式在流程控制环境112内在服务器装置101的主机操作***111上运行。在此,软件容器分别用与其他在服务器装置101上运行的软件容器一起使用服务器装置101的主机操作***111的内核。
流程控制部件的隔离或选定的操作***机构彼此间的隔离尤其可以借助于控制组和命名空间来实现。可以借助于控制组来定义进程组,以限制所选的组的可用的资源。各个进程或控制组可以经由名称空间相对于其他进程或控制组隔离或隐藏。例如,可以从通过大量用户可以读取或写入访问的存储和提供***中调用用于软件容器的存储映射。
在图1中所示的装置还包括用于包括服务器装置101的子网100的至少一个网关部件102。网格部件102用于将服务访问请求11转发至配属于服务访问请求11的服务器部件113。为网关部件102设置配置单元103,该配置单元分别确定全局有效的访问信息150,该访问信息配属于服务器部件113的在子网100内有效的寻址信息120、130。根据可借助于配置单元103预设的运行模式131,使用由网关部件102包括的一个或多个并联或串联连接的负载平衡器或反向代理(也参见图3-5)。
本地有效的寻址信息特别是通信网络地址、端口号、主机名或完整的域名。在当前的实施例中,配置单元103与比较单元105配合确定子网100内有效的寻址信息120、130和全局有效的访问信息150之间的分配关联,比较单元从服务器部件113尤其接收关于至少本地有效的URL的说明。替代于此,服务器部件113可以将关于FQDN(全资格域名)的说明130传输至配置单元103,配置单元确定与FQDN相关联的全局有效的访问信息150并且使该信息能用于比较单元105。
配置单元103将映射访问信息150的转发或过滤规则140传输至网关部件102。在此基础上,网关部件102根据转发或过滤规则140和运行模式131将服务访问请求11转发至服务器部件113。
此外设有至少一个聚合器部件104,其在当前的实施例中与比较单元105连接并且使全局有效的访问信息150尤其对于终端设备10处的用户而言能在子网100之外用于服务。原则上,可以使用多个彼此冗余的、组合全局有效访问信息的聚合器部件104。
为了自动检测服务器部件113的通信端点,下面描述两种有利的方案。根据第一方案,将目录服务部件114分配给每个服务器部件113,借助目录服务部件实现本地查询服务。这种方案在申请号为20193690.3的较早的欧洲专利申请中详细描述,其公开内容在此明确地通过参考并入本文。在这种情况下,目录服务部件114将在子网100内有效的寻址信息120或本地有效的URL经由比较单元105传输至配置单元103并传输至聚合器部件104。
上述第一方案的替代方案在于使用附加到软件容器的标记。标记包括关于各个服务器部件113的期望的主机名或FQDN的说明130。说明130从服务器部件113传输至配置单元103并且尤其包括服务器部件113的通信端点、例如呈OPC UA服务器端点URL形式的通信端点。
特别地,在上述两种方案中,服务器部件113或目录服务部件114分别将相应的服务器部件113的标识110、211传输至配置单元103(也参见图2),可选地也传输至聚合器部件104。根据相应的服务器部件113的标识110、211,配置单元103优选地分别确定配属于在子网100内有效的寻址信息120、130、201的全局有效的访问信息150、202。例如,标识110、211可以是服务器标识或软件容器标识。转发或过滤规则140尤其映射配属于标识110、211的在子网100内有效的寻址信息120、130、201与全局有效的访问信息150、202之间的分配关联,并且转发或过滤规则包括用于端口转发的规则。在图2中所示的转换表203中总结说明该规则,该转换表由配置单元103或比较单元105管理。
转换表203根据配属于服务器部件的标识211来鉴别服务器部件113并且为服务器部件指配一个或多个外部FQDN 222和TCP端口223。如果注册或标记多个端口,则转换表203包括多个条目或者有相同标识211以及不同端口223的行线。对于全局有效访问信息202,模式元素212、221和路径元素215、224直接来自在子网100内有效的寻址信息201。而在主机说明213、222和端口说明214、223中会存在偏差,使得可以从转换表203得出外部有效的主机说明222和端口说明223。
对于针对图1中所示的子网100期望网关运行模式的情况,则可以取消在子网100内有效的寻址信息120、130、201和全局有效的访问信息150、202之间的前述的传输。代替于此,配置单元103仅为这种服务器部件113生成转发或过滤规则140,已经先验地将全局有效的访问信息与转发或过滤规则相关联。
全局有效的访问信息150、202优选地包括寻址信息和访问权限,其中,访问权限仅在成功进行用户或设备验证后才可用。特别地,转发或过滤规则140仅为选定的或授权的用户或设备映射用于选定服务的访问权限。
根据图3到图5,根据借助于配置单元103预设的运行模式131,通过网关部件102为服务器部件113a、113b转发:
-一个或多个全局有效的IP地址,
-每个服务器部件的单独端口或所有服务器部件的公共端口,或
-每个服务器部件的单独域名或所有服务器部件的公共域名。
在此,网关部件102尤其包括一个(图3)或多个(图4)负载平衡器或反向代理(图4和图5)。在此,经由运行模式131预设负载平衡器121、121a-121b或反向代理122a-122c的数量和连接。
配置单元103根据分别选择的运行模式将外部的FQDN和端口分配给各个服务器部件113a、113b。例如,根据期望按照下述变型设计之一可以借助于容器虚拟化在集群中提供多个OPC UA服务器。
1.具有多个外部端口号的外部IP地址
可以选择性地将仅一个唯一的FQDN或多个服务器部件特定的FQDN映射到IP地址上。然而,在此原则上FQDN并不重要。代替一个IP地址,从冗余的角度来看可以使用多个IP地址,然而多个IP地址不是服务器部件特定的。
2. 多个服务器部件特定的FQDN
在该情况下,仅使用一个外部IP地址和一个具有多个服务器部件特定的FQDN的端口。在此,服务器部件仅根据其FQDN进行区分。在此,从冗余的角度来看,也可以使用多个IP地址,尤其是可以互换使用。
3.多个服务器部件特定的外部IP地址
在此,各两个端口用于本地查询服务和相应的服务器部件。
4.具有仅一个FQDN的外部IP地址
在该情况下,使用具有仅一个端口和具有仅一个FQDN的外部IP地址用于网关部件。在此,反向代理在网关运行模式中使用。转发到相应的服务器部件仅根据服务器URI、但不根据FQDN和端口号进行,服务器URI在构建安全信道时传输。
与之相应地,可以具有一个或多个负载平衡器121、121a-121b、多个反向代理、无负载平衡器或无反向代理的不同的网关配置:
1.仅具有到相应的服务器部件113a、113b的TCP端口转发功能的负载平衡器121(变型设计1,见图3),
2.具有多个负载平衡器121a、121b的两层架构,负载平衡器将连接负载分配给多个下游的反向代理122a-122c,其中,反向代理122a-122c根据在连接建立期间传输的URL或在建立会话期间传输的URL将接入的传输层连接转发至相应的服务器部件113a、113b(变型设计2,参见图4),
3.多个反向代理122a-122b(没有负载平衡器)通过以下方式将接入的传输层连接转发至相应的服务器部件113a、113b而且还同时用作为负载平衡器,即使得反向代理本身可直接经由外部IP地址直接联系(变型设计3,参见图5)。
对于变型设计4,可以使用配置2或配置3。在此,反向代理基于相应的服务器部件URI(参见根据OPC UA规范的协议或服务字段“应用程序URI”)代替基于端点URL来转发进入的请求。
Claims (14)
1.一种用于借助于流程控制环境提供时间关键的服务的方法,其中,
-分别将至少一个服务器部件(113)分配给所述服务,所述服务器部件由能加载到所述流程控制环境(112)中并且能在所述流程控制环境中执行的流程控制部件形成,
-包括所述流程控制环境的子网(100)的至少一个网关部件(102)的配置单元(103)分别确定全局有效的访问信息(150),所述访问信息配属于所述服务器部件的在所述子网内有效的寻址信息,
-根据借助于所述配置单元预设的运行模式(131),使用一个或多个并联和/或串联连接的网关部件,其中,至少一个所述网关部件是负载平衡器和/或反向代理,
-经由所述运行模式预设负载平衡器(121,121a-121b)和/或反向代理(122a-122c)的数量和连接,
-所述配置单元将映射所述访问信息的转发和/或过滤规则(140)传输到至少一个所述网关部件,
-聚合器部件(104),所述聚合器部件使全局有效的所述访问信息能够在所述子网之外用于所述服务,
-至少一个所述网关部件根据所述转发和/或过滤规则以及所述运行模式将服务访问请求(11)转发至所述服务器部件。
2.根据权利要求1所述的方法,
其中,所述流程控制部件是软件容器或包括软件容器,所述软件容器在所述流程控制环境内分别以与其他的软件容器或容器组隔离的方式在服务器装置的主机操作***上运行。
3.根据权利要求1或2所述的方法,
其中,所述服务器部件或者分别配属于所述服务器部件的目录服务部件(114)将在所述子网内有效的所述寻址信息传输至所述配置单元(103)或者所述聚合器部件(104)。
4.根据权利要求3所述的方法,
其中,所述服务器部件或者所述目录服务部件(114)分别将相应的所述服务器部件的标识(110,211)传输至所述配置单元(103)。
5.根据权利要求4所述的方法,
其中,所述配置单元分别根据相应的所述服务器部件的所述标识(110,211)来确定配属于在所述子网内有效的所述寻址信息的全局有效的所述访问信息。
6.根据权利要求5所述的方法,
其中,所述转发和/或过滤规则映射配属于所述标识的在所述子网内有效的所述寻址信息与全局有效的所述访问信息之间的分配关联,并且其中,所述转发和/或过滤规则包括用于端口转发的规则。
7.根据权利要求4至6中任一项所述的方法,
其中,所述标识是服务器标识或软件容器标识。
8.根据权利要求1至7中任一项所述的方法,
其中,全局有效的所述访问信息包括寻址信息和访问权限,并且其中,所述访问权限在用户和/或设备验证成功后能被使用。
9.根据权利要求8所述的方法,
其中,所述转发和/或过滤规则针对选定的用户和/或设备将访问权限映射到选定的服务上。
10.根据权利要求1至9中任一项所述的方法,
其中,根据借助于所述配置单元预设的所述运行模式,由至少一个所述网关部件给所述服务器部件转发一个或多个全局有效的IP地址、用于每个服务器部件的单独端口或用于全部服务器部件的公共端口、和/或用于每个服务器部件的单独域名或用于全部服务器部件的公共域名。
11.根据权利要求10所述的方法,
其中,在选定的运行模式中,由至少一个所述网关部件仅将服务访问请求转发至服务器部件,所述服务器部件的相应的在所述子网内有效的寻址信息同时具有全局有效性。
12.根据权利要求1至11中任一项所述的方法,
其中,本地有效的所述寻址信息是通信网络地址、端口号、主机名和/或完整域名。
13.根据权利要求1至12中任一项所述的方法,
其中,使用多个相互冗余的聚合器部件(104)。
14.一种用于借助于流程控制环境提供时间关键的服务的***,所述***具有:
-流程控制环境(112),
-多个分别配属于服务的服务器部件(113),所述服务器部件分别由能加载到所述流程控制环境中并且能在所述流程控制环境中执行的流程控制部件形成,
-包括所述流程控制环境的子网(100)的至少一个网关部件(104),
-用于至少一个所述网关部件的配置单元(103),其中,所述配置单元设计和设置用于,分别确定全局有效的访问信息(150)并且将映射所述访问信息的转发和/或过滤规则(140)传输到至少一个所述网关部件,所述访问信息配属于所述服务器部件的在所述子网内有效的寻址信息,其中,根据借助于所述配置单元预设的运行模式来使用一个或多个并联和/或串联连接的网关部件,其中,至少一个所述网关部件是负载平衡器和/或反向代理,并且经由所述运行模式预设负载平衡器(121,121a-121b)和/或反向代理(122a-122c)的数量和连接,
-聚合器部件(104),所述聚合器部件设计和设置用于使全局有效的所述访问信息能够在所述子网之外用于所述服务,
-其中,至少一个所述网关部件设计和设置用于根据所述转发和/或过滤规则以及所述运行模式将服务访问请求(11)转发至所述服务器部件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20198692.4 | 2020-09-28 | ||
| EP20198692.4A EP3975502B1 (de) | 2020-09-28 | 2020-09-28 | Verfahren und system zur bereitstellung von zeitkritischen diensten mittels einer ablaufsteuerungsumgebung |
| PCT/EP2021/070525 WO2022063458A1 (de) | 2020-09-28 | 2021-07-22 | Verfahren und system zur bereitstellung von zeitkritischen diensten mittels einer ablaufsteuerungsumgebung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116458132A true CN116458132A (zh) | 2023-07-18 |
Family
ID=72665119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180066138.XA Pending CN116458132A (zh) | 2020-09-28 | 2021-07-22 | 借助流程控制环境提供时间关键的服务的方法和*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11882043B2 (zh) |
| EP (1) | EP3975502B1 (zh) |
| CN (1) | CN116458132A (zh) |
| WO (1) | WO2022063458A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230036680A1 (en) * | 2021-08-02 | 2023-02-02 | Zeronorth, Inc. | Application security posture identifier |
| EP4254233A1 (de) * | 2022-03-31 | 2023-10-04 | Siemens Aktiengesellschaft | Verfahren und system zur gesicherten ausführung von steuerungsanwendungen, host |
| EP4346183A1 (de) | 2022-09-30 | 2024-04-03 | Siemens Aktiengesellschaft | Verfahren und system zur übermittlung zeitkritischer daten innerhalb eines kommunikationsnetzes |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030154236A1 (en) * | 2002-01-22 | 2003-08-14 | Shaul Dar | Database Switch enabling a database area network |
| US20040133690A1 (en) * | 2002-10-25 | 2004-07-08 | International Business Machines Corporaton | Technique for addressing a cluster of network servers |
| US20050005006A1 (en) * | 2003-07-01 | 2005-01-06 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
| CN107078941A (zh) * | 2014-12-19 | 2017-08-18 | 意法半导体股份有限公司 | 用于将至少一个ip数据包传输到ip地址的方法、用于解析主机名的相关方法、相关处理模块、移动设备、主机名解析服务器和计算机程序产品 |
| CN108293009A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的调度和流量监控方法 |
| US20180307522A1 (en) * | 2015-12-31 | 2018-10-25 | Huawei Technologies Co., Ltd. | Software-defined data center, and deployment method for service cluster therein |
| US20180332109A1 (en) * | 2017-05-11 | 2018-11-15 | International Business Machines Corporation | Using network configuration analysis to improve server grouping in migration |
| CN109314724A (zh) * | 2016-08-09 | 2019-02-05 | 华为技术有限公司 | 云计算***中虚拟机访问物理服务器的方法、装置和*** |
| EP3544265A1 (de) * | 2018-03-19 | 2019-09-25 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung von diensten durch ein server-system an automatisierungsgeräte eines industriellen automatisierungssystems und konfigurationseinheit |
| WO2019228728A1 (de) * | 2018-05-29 | 2019-12-05 | Siemens Aktiengesellschaft | Verfahren zur registrierung von industriellen automatisierungsgeräten oder kommunikationsgeräten zugeordneten gerätenamen in einem namensdienst-system und kontroll-komponente |
| US20200007498A1 (en) * | 2018-06-29 | 2020-01-02 | Siemens Aktiengesellschaft | Access control device, an access control method, a computer program product and a computer readable medium |
| CN111641607A (zh) * | 2020-05-16 | 2020-09-08 | 中信银行股份有限公司 | 代理***及访问请求转发方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102783099B (zh) * | 2012-05-15 | 2016-05-25 | 华为技术有限公司 | 控制业务传输的方法和装置 |
| US9253158B2 (en) * | 2013-08-23 | 2016-02-02 | Vmware, Inc. | Remote access manager for virtual computing services |
| CN107222326B (zh) * | 2016-03-22 | 2021-02-02 | 斑马智行网络(香港)有限公司 | 用于设备间服务的访问方法、配置方法及装置 |
| US10623410B2 (en) * | 2017-04-24 | 2020-04-14 | Microsoft Technology Licensing, Llc | Multi-level, distributed access control between services and applications |
| EP3715983B1 (de) | 2019-03-28 | 2022-06-29 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung von steuerungsanwendungen über ein kommunikationsnetz zur übermittlung zeitkritischer daten und koordinierungseinrichtung |
| EP3715986B1 (de) | 2019-03-29 | 2022-06-29 | Siemens Aktiengesellschaft | Verfahren zur automatischen konfiguration eines automatisierungsgerätes, automatisierungsgerät, netzwerk, computerprogramm und computerlesbares medium |
| EP3751421A1 (de) | 2019-06-13 | 2020-12-16 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung von steuerungsanwendungen und konfigurationssteuerungseinrichtung |
| US11032239B1 (en) * | 2019-12-05 | 2021-06-08 | AT&T Intellectual Propety I, L.P. | Methods and systems for providing global internet protocol (IP) addresses |
| US11089115B2 (en) * | 2019-12-30 | 2021-08-10 | Servicenow, Inc. | Discovery of cloud-based infrastructure and resources |
| EP3962026A1 (de) | 2020-08-31 | 2022-03-02 | Siemens Aktiengesellschaft | Verfahren und system zur bereitstellung von zeitkritischen diensten |
-
2020
- 2020-09-28 EP EP20198692.4A patent/EP3975502B1/de active Active
-
2021
- 2021-07-22 WO PCT/EP2021/070525 patent/WO2022063458A1/de active Application Filing
- 2021-07-22 CN CN202180066138.XA patent/CN116458132A/zh active Pending
- 2021-07-22 US US18/028,388 patent/US11882043B2/en active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030154236A1 (en) * | 2002-01-22 | 2003-08-14 | Shaul Dar | Database Switch enabling a database area network |
| US20040133690A1 (en) * | 2002-10-25 | 2004-07-08 | International Business Machines Corporaton | Technique for addressing a cluster of network servers |
| US20050005006A1 (en) * | 2003-07-01 | 2005-01-06 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
| CN107078941A (zh) * | 2014-12-19 | 2017-08-18 | 意法半导体股份有限公司 | 用于将至少一个ip数据包传输到ip地址的方法、用于解析主机名的相关方法、相关处理模块、移动设备、主机名解析服务器和计算机程序产品 |
| CN108293009A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的调度和流量监控方法 |
| US20180307522A1 (en) * | 2015-12-31 | 2018-10-25 | Huawei Technologies Co., Ltd. | Software-defined data center, and deployment method for service cluster therein |
| CN109314724A (zh) * | 2016-08-09 | 2019-02-05 | 华为技术有限公司 | 云计算***中虚拟机访问物理服务器的方法、装置和*** |
| US20180332109A1 (en) * | 2017-05-11 | 2018-11-15 | International Business Machines Corporation | Using network configuration analysis to improve server grouping in migration |
| EP3544265A1 (de) * | 2018-03-19 | 2019-09-25 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung von diensten durch ein server-system an automatisierungsgeräte eines industriellen automatisierungssystems und konfigurationseinheit |
| WO2019228728A1 (de) * | 2018-05-29 | 2019-12-05 | Siemens Aktiengesellschaft | Verfahren zur registrierung von industriellen automatisierungsgeräten oder kommunikationsgeräten zugeordneten gerätenamen in einem namensdienst-system und kontroll-komponente |
| US20200007498A1 (en) * | 2018-06-29 | 2020-01-02 | Siemens Aktiengesellschaft | Access control device, an access control method, a computer program product and a computer readable medium |
| CN111641607A (zh) * | 2020-05-16 | 2020-09-08 | 中信银行股份有限公司 | 代理***及访问请求转发方法 |
Non-Patent Citations (1)
| Title |
|---|
| ALBERT PALANQUES; LAURA LÓPEZ;JORGE GUILLÉN;PERE PUIG: "Trace metal variability controlled by hydrodynamic processes in a polluted inner shelf environment (Besòs prodelta, NW Mediterranean) Author links open overlay panel", SCIENCE OF THE TOTAL ENVIRONMENT, vol. 735, no. 2020, pages 1 - 7 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11882043B2 (en) | 2024-01-23 |
| US20230261998A1 (en) | 2023-08-17 |
| EP3975502A1 (de) | 2022-03-30 |
| EP3975502B1 (de) | 2023-07-26 |
| WO2022063458A1 (de) | 2022-03-31 |
| EP3975502C0 (de) | 2023-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11706102B2 (en) | Dynamically deployable self configuring distributed network management system | |
| US7991914B2 (en) | Technique for addressing a cluster of network servers | |
| US11726460B2 (en) | Network resource management in a communication network for control and automation systems | |
| CN116458132A (zh) | 借助流程控制环境提供时间关键的服务的方法和*** | |
| US20040085965A1 (en) | Redundant router network | |
| US20220078267A1 (en) | Highly-versatile field devices and communication networks for use in control and automation systems | |
| US20160241511A1 (en) | Communication Device of an Industrial Automation System and Method for Configurating the Communication Device | |
| CA2691266C (en) | Methods and devices for communicating diagnostic data in a real time communication network | |
| US11316739B2 (en) | Methods, controller manager and controller agent for enabling a connection between a switch of a communication network and a switch controller | |
| CN116210215A (zh) | 提供时间关键的服务的方法和*** | |
| CN1319338C (zh) | 网络通信中解决ip地址冲突的方法 | |
| US10924397B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| CN102833217A (zh) | 客户/服务器应用的处理方法及集中处理*** | |
| US20210352004A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines | |
| Cisco | Configuring Source-Route Bridging | |
| Cisco | Configuring Source-Route Bridging | |
| Cisco | Routing DECnet | |
| CN101170544A (zh) | 一种高可用群集***采用单一实ip地址的通讯方法 | |
| US20110004664A1 (en) | Device and Method for Distributing and Forwarding Requests to a Plurality of Web Servers in an Industrial Automation Arrangement | |
| CA2736956C (en) | Network management system using management addresses | |
| CN117716683A (zh) | 用于提供服务的方法、计算机程序产品以及*** | |
| KR20240039059A (ko) | 흐름 제어 환경에 의해 시간-임계 서비스들을 제공하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |