陈斌
益阳市烟草专卖局,信息中心,益阳市金山南路413400
摘 要:随着工业控制系统在烟草商业物流仓储和分拣工作中的普遍应用,以工控电脑为主的现场终端在使用过程中不可避免的带来了各类网络安全风险,也会产生管理难度大,硬件故障率高,版本兼容性差,能源耗费多等问题。本文以某市烟草公司卷烟物流分拣工业控制系统为研究对象,在对其网络环境和工控终端现状进行调研分析的基础上,提出一种基于桌面云虚拟化替代原有工控电脑作为工控现场终端的解决方案,并通过实际应用在增强系统安全性、降低管理难度、提高生产效率等方面取得了显著效果。
关键词:烟草;桌面云虚拟化;工控系统;工控终端
1 引言
工业控制系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统,工控现场终端则是信息系统深入物品的包装、装卸搬运、运输、储存、流通加工、配送、物流信息、控制物流活动中关键的一环[1]。目前工控系统已广泛应用于烟草、电力、水力、石化、医药、食品以及汽车、航天等工业领域,成为国家关键基础设施的重要组成部分,关系到国家的战略安全。在“工业4.0”和烟草行业“两化融合”深入推进的双重背景下,如何提高生产效率,保障生产质量和加强生产信息安全就成为了工控系统建设的关注重点。本文主要从某市烟草公司卷烟物流分拣工业控制系统现场终端的现状与存在问题进行分析,并结合研究成果和实际应用效果,提出基于桌面云虚拟化的解决方案,为桌面云虚拟化技术在烟草商业物流分拣业务中的应用提供参考。
2 现状与存在的问题
2.1 某市烟草公司卷烟物流分拣工控系统的组成
根据实际调研情况,某市烟草公司的卷烟物流分拣系统的网络拓扑结构如图2.1所示:
.png)
该系统由服务器、工控终端、工程师站、分拣线PLC控制器等设备组成,其中工程师站的办公电脑和分拣线上的工业控制终端共有32台,分别部署有Windows XP,Windows 7,Windows 10三种版本的操作系统。
2.2 某市烟草公司卷烟物流分拣工控系统的问题分析
首先是安全问题。目前分拣线上大量的工控终端缺乏USB接口的统一管理,镜像保护机制,面临较大的安全隐患,分拣系统管理员时刻面对大量病毒、木马和利用系统安全漏洞进行攻击的威胁。由于工控信息系统应用环境的限制,有些工控终端在安装传统杀毒软件后直接出现蓝屏死机,杀毒软件病毒、木马特征库的实时更新也得不到保障。
再者是管理问题。受业务系统开发时间、版本的影响,与之匹配的工控终端的操作系统版本也各不相同,导致终端设备在兼容性、稳定性等方面都存在问题,终端设备的日常管理往往会消耗分拣系统管理员大量的时间和精力,也影响了分拣业务的效益。尤其对于工业控制计算机,需要与物流生产线工业控制系统PLC进行连接,安装一系列特定的系统组件,在生产线厂家工程师的协助下运行较为复杂程序指令,配置相应的参数才能正常工作,一旦终端出现问题,分拣系统管理员需要获得原厂工程师的技术支撑,使得问题解决时间被拉长且不可控,效率十分低下。以该物流中心分拣车间的条烟打码工控机为例,已连续使用6年,由于厂家目前无法更新业务系统版本,只能运行在Windows Xp系统上,新购的终端设备又不支持Windows Xp系统的安装,导致系统漏洞无法修复,机器性能吃紧,经常发生卡顿和硬件故障。
综上所述,如何即能保障工控终端设备的正常运行,又能在满足系统操作的灵活性上兼顾安全和管理需求,且在成本上可控,是值得我们深入研究和解决的问题。
3 桌面云虚拟化技术架构
3.1 桌面云虚拟化技术简介
桌面云虚拟化是指在数据中心服务器上建立大量的独立的虚拟桌面,用户可以通过网络利用瘦终端使用属于自己的桌面系统[2]。虚拟桌面的使用体验效果和真实性与物理机是相近的,通过桌面虚拟化我们可以通过任何设备,在任何地点,任何时间访问在网络上属于我们个人的桌面系统。
3.2 桌面云虚拟化技术架构
目前随着桌面云虚拟化技术价值的突显,越来越多的企业采用该技术进行业务生产终端的改造。桌面虚拟化平台可以将各个虚拟桌面整合到数据中心服务器上,并通过单一控制台来管理和交付虚拟桌面,包括操作系统、应用程序和数据,同时桌面虚拟化平台提供丰富的桌面管理功能,包括桌面快照恢复,定向更新,补丁管理,开机还原等,同时也提供安全可控的管理机制,包括分布式防火墙,U盘管控等。桌面虚拟化平台功能架构如图3.1所示:
.png)
虚拟化管理平台为云桌面提供了可靠的运行平台和完善的管理功能,拥有虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能,此外充分利用主机的硬件资源,为虚拟机提供运行环境,对虚拟机使用的资源进行分配和调度,提供虚拟机管理平台和操作接口[3]。虚拟桌面接入管理系统能提供用户认证管理、细粒度的策略控制、桌面、云终端统一监控及管理等功能,实现更安全、更可靠地交付云桌面。
虚拟化管理平台将操作系统镜像和应用程序进行分离,通过模板化系统镜像技术实现集中化、快速的桌面交付,而且管理员只需维护同一操作系统镜像,日常系统升级、软件更新将会非常高效,工作量较少。另外,由于多用户共享同一套模板镜像,可以利用服务器的内存或缓存卡进行重复数据IO加速,能够消除相同OS类型的桌面同时启动时的重复IO,以提升虚拟桌面启动速度和运行效率。
虚拟存储是基于“SSD+机械硬盘”的混合磁盘组合,使用具有很高IO性能的SSD盘缓存桌面云运行过程中的经常访问的数据,以加快读取热点数据的速度,高达60%以上的热点数据缓存命中率,有效保障了服务器读写效率[4]。而机械硬盘IO较低,但也比较便宜,用于保存用户个人数据。通过“SSD+机械硬盘”的混合存储模式,实现以较低成本,获得更高IO性能,满足高IO的性能需求。
4 桌面云虚拟化技术应用方案的设计
4.1 工控终端的特点
物流分拣工控终端是专门为工控现场设计的计算机,一般具有抗震动,抗电磁场力干扰等特点,但由于分拣车间的粉尘、碎屑、污垢较多,较为恶劣的现场环境往往会影响工控终端的效能和使用寿命,而对于分拣业务而言确保业务的稳定性和连续性又是至关重要的[5]。使用虚拟化架构主要在于虚拟化的操作系统仅仅是以文件形式存在,包括系统镜像等,在突发系统故障的情况下可以做到零毫秒快速无缝切换,在关键业务应用场所保障了业务的连续可靠[6]。
4.2 应用方案的设计
对于烟草物流分拣工控终端的虚拟化桌面实现方式,尚未有相关案例,其实用性、安全性及自身的稳定性还有待考证。虚拟化桌面是否适合替换现有的工控终端设备,在复杂工控环境下虚拟化桌面的应用方式、应用范围和应用程度均是未知数,且虚拟化桌面能否解决物流工控终端设备的问题和达到预期的效果均需要进一步观察性研究,所以应用方案的设计必须更加谨慎和细致。
本方案在该市烟草公司物流中心机房增加虚拟化服务器端,创建若干个业务场景模板,针对分拣工控场景配置不同的操作系统模板,依据模板生成不同操作系统虚拟机,满足不同业务需要。方案计划创建Windows Xp虚拟机、Windows 7虚拟机、Windows 10虚拟机,以满足分拣作业不同业务的操作需要。在物流分拣线的操作工位上采用云终端替换原有的工业控制终端,然后接入后端运行在服务器上不同场景的虚拟机,进行分拣业务操作,满足实际应用需求。物流工控终端桌面云虚拟化平台部署架构如图4.1所示:
.png)
方案中我们选取VMP作为虚拟化桌面对象软件,针对工控现场的应用场景配置了3套模板,依据不同模板,新增不同的虚拟工控主机,分别来运行不同操作系统兼容的业务系统,如部署Windows XP系统的虚机运行条烟打码系统;部署windows 7系统的虚机运行科盛贴标核对系统、条烟精准打码系统、分拣监控系统;部署Windows 10系统的虚机运行包装核对系统。
为满足安全管控需求,在方案中我们通过底层分布式防火墙进行虚拟底层安全隔离,以隔离工控业务虚机的风险。通过U盘管控策略,禁止使用未经允许的移动设备,降低外设感染风险。虚拟化环境搭建完成后,通过统一集中控制台可利用模板库随时增加或者删减虚拟机,以灵活满足设备增加或减少等变更需求,大大减少分拣系统管理人员的工作量。建立虚拟机模板快照,一旦工控操作终端出现故障,可以通过快照一键恢复系统,设计时间不超过5分钟,能加快终端运维效率,降低生产故障。
5 桌面云虚拟化技术的实际应用和效果分析
5.1 桌面云虚拟化技术在物流工控终端的实际应用
5.1.1 部署桌面云服务器和桌面云终端
根据应用方案,我们在物流中心机房部署了两台桌面云服务器,每台服务器可承载45个桌面虚拟机,当其中1台出现故障,另外1台可迅速接管,实现冗余部署,能有效应对服务器故障所带来的影响。根据目前的工位安排在每个操作岗位上部署桌面云终端,替换原有的设备,实现集中管理,同时将所有主机加入集群,形成统一资源池,实现弹性调用、集中监控和故障切换,一旦检测到设备故障之后,自动在集群内的其他正常主机重启虚拟机,保证业务正常运行。
5.1.2 搭建分布式虚拟存储
每台桌面云服务器均配备1块64G SSD、2块480G SSD和4块4T SATA硬盘,其中64G固态盘用于安装桌面云系统,480G固态盘用于热点数据读写缓存加速,4T SATA盘用于存放虚机模板和业务数据。我们采用了分布式虚拟存储架构,将服务器直连硬盘整合成存储池,这就相当于一台存储设备,并通过磁盘管理、缓存技术、存储网络、冗余副本等技术,在无需独立存储的情况下,实现高IO性能、虚拟迁移、故障切换、数据高可用。
5.2 实际应用测试
5.2.1 应用系统兼容性测试
前期工作准备就绪后,我们逐项进行测试。首先是应用系统的兼容性测试。该物流中心分拣车间目前主要的应用系统是蓝剑集成化物流系统 IMHSV2.0储分一体调度、监控系统,其中子应用又包含储分一体调度(监控)系统软件、储分一体执行系统软件、分拣调度(监控)系统软件、分拣执行系统软件、分拣管理系统软件。工控终端的操作系统分别是Windows Xp、Windows 7、Windows 10,由于目前工控终端的操作系统以Windows 7为主,所以我们选择以Windows 7作为重点进行测试。我们启用了一台Windows 7的虚拟桌面模板,在虚拟桌面上安装了VS2008、PLSQL Developer 8.0、SimaticNet_win7、VS2008TeamSuite、win32_11gR2_client、惠都控件c#等集成物流系统及应用支持组件,模板环境安装完成并进行模板发布后,再分别安装物流工控环节的应用系统,进行离线测试,确定各项应用能正常运行。
5.2.2 分拣作业测试
在物流中心的工程师站,我们通过现有办公电脑连接虚拟桌面系统,以胖客户机方式获取云桌面进行测试,确认所有软件运行正常后,在物流中心工控现场选择一条分拣线通过瘦客户端获取云桌面,同时协调厂家工程师配置相关PLC参数,直接连接现场工控设备,进行实际分拣作业测试,成功完成了分拣工作。通过为期二个星期的现场应用观察,发现各项性能指标均符合技术标准规范要求,系统运行正常,可以证明烟草物流工控环境中桌面云虚拟化技术的应用具备可行性。
5.3 桌面云虚拟化技术应用效果分析
通过实际应用,我们对比传统工控终端,发现桌面云虚拟化技术应用后的效果非常明显,具备传统工控终端所没有的三点优势:一是能有效保障工控分拣线数据安全。相比现有工控终端的方式,虚拟化桌面技术应用使得生产数据能够集中存储,没有数据落地,同时通过精细化管控USB外设,可以完全杜绝敏感数据违规外泄。另外针对通过对拍照的方式造成数据泄露的,虚拟桌面技术的应用具备屏幕水印功能,可在用户屏幕显示用户名和IP等信息,防止用户对敏感资料拍照,降低数据泄露风险,保证数据安全性。二是桌面终端运维更高效。虚拟桌面终端采用新型的瘦客户机作为终端,能够适应恶劣车间环境下的长时间稳定运行,基本可以做到终端零维护,且成本更低。三是桌面故障恢复更迅速。相比现有的工控终端,终端桌面虚拟化出现故障后,并不对数据和配置产生任何影响,只需替换终端的瘦客户端,在几十秒内即可解决问题,对生产所产生的影响几乎可以忽略不计,保障了生产业务稳定运行。
6 结语
依托于服务器虚拟化,桌面虚拟化技术的飞速发展,桌面云虚拟化技术的应用从协同办公、产品研发、3D设计到基本覆盖传统物理计算机企业级业务应用场景,但在烟草商业物流工控环境中的应用还不成熟。本文基于虚拟化云桌面替代原有传统工控终端的可行性展开研究,通过实际应用发现其具有部署灵活方便,可操作性良好,可扩展性较强的特点,显著增强了系统安全性,极大较低了管理难度,大幅提高了生产效率,可适应于卷烟物流分拣的各个环节,具有较为广阔的应用前景和可复制的行业推广价值。
参考文献
[1] 耿欣.烟草行业工业控制系统安全保障体系构建[J].烟草科技电脑编程技巧和维护,2017,50(12):99-105.
[2] 马占梅.计算机虚拟化技术的分析与应用探析[J].电子技术与软件工程,2018,22(05):12-14.
[3] 田永民.关于云计算数据中心中网络虚拟化技术的应用浅析[J].电脑编程技巧和维护,2019,5(23):54-55.
[4] 宋继红.基于云计算的虚拟桌面的架构方案探析[J].价值工程,2015,12(28):155-156.
[5] 魏钦志.工业网络控制系统的安全与管理[J].测控技术,2018,(2):6-8.
[6] 王宇宁.虚拟技术在桌面管理中的应用与实现[J].计算机与网络,2015,(14):61-63.
作者简介:陈斌,男,益阳市烟草专卖局信息中心副主任、高级工程师,主要研究云计算、大数据、网络安全。