Trang chủ » Ảo hóa các hệ thống điều khiển công nghiệp SCADA – ICS
Ảo hóa các hệ thống điều khiển công nghiệp SCADA – ICS
CybersecurityInternet Of Things (IoT)SCADA - IIoTSmart FactoryTechnology

Ảo hóa các hệ thống điều khiển công nghiệp SCADA – ICS

Admin 10 Th11, 2021
Chia sẻ:
486 0

Ảo hóa và Điện toán đám mây đang trở thành thuật ngữ phổ biến. Các nhà lãnh đạo toàn cầu về Công nghệ thông tin (CNTT) đã quảng cáo với các giải pháp mới về Ảo hóa và Điện toán đám mây. Tuy nhiên chúng có thực sự hiểu quả không, đặc biệt là với môi trường công nghiệp ?

Và những câu hỏi khác xoay quanh như là : Điện toán đám mây có giống với ảo hóa không ? Những giải pháp này là một công nghệ đã được chứng minh tính hiệu quả hay là một sự cường điệu? Một môi trường ảo hóa có thể xử lý dữ liệu thời gian thực? Lợi ích của những giải pháp này là gì? Và hơn thế nữa, những thách thức của các giải pháp này là gì? Bài viết này sẽ cung cấp cái nhìn sâu sắc về những vấn đề này và làm thế nào để tập trung vào các hệ thống hiện có và mới hơn trong tương lai.

Công nghệ ảo hoá là gì ?

Nếu bạn nhìn vào các server farm hiện tại, bạn sẽ tìm thấy các khung đỡ kim loại với vô số máy chủ. Mỗi máy chủ có một nhiệm vụ riêng, ví dụ một máy chủ xử lý tất cả dữ liệu Hệ thống thực thi sản xuất (MES), một máy chủ khác xử lý nền tảng SCADA và một máy chủ khác cho Kế hoạch tài nguyên doanh nghiệp (ERP). Có lẽ cũng sẽ có một nhóm máy chủ cho cơ sở hạ tầng CNTT, chẳng hạn như máy chủ MES, ERP, máy chủ Bộ điều khiển miền (DC) hoặc máy chủ Active Directory (AD).

Mỗi máy chủ này chạy HĐH riêng, ví dụ MES chạy trên Windows Server 2003, ERP chạy trên Windows Server 2008 và giải pháp SCADA chạy trên Linux. Về mặt logic, các ứng dụng này có HĐH riêng không thể chạy trên cùng một máy chủ vật lý.

Ảo hóa cho phép một số loại HĐH chạy trên một máy chủ vật lý, trong khi vẫn duy trì nền tảng chuyên dụng cho mỗi ứng dụng. Trên một máy chủ ảo hóa không có hệ điều hành nào được cài đặt, thay vào đó, một trình quản lý ảo hóa được cài đặt. Trên trình quản lý ảo hoá – Hypervisors này, phiên bản của HĐH được cài đặt để ứng dụng có thể chạy được. Nhiều phiên bản hệ điều hành của các loại khác nhau có thể chạy trên trình quản lý ảo hoá – Hypervisors. Như hình 1 cho thấy, bằng cách ảo hóa, sự kết hợp của các máy chủ logic có thể được hợp nhất vào một máy chủ vật lý trong khi vẫn duy trì cùng chức năng.

Trình quản lý ảo hoá – Hypervisors

Một trình quản lý ảo hóa (Hypervisors) là xương sống của Ảo hóa. Trên một trình quản lý ảo hóa, các phiên bản HĐH chạy với môi trường riêng của chúng, được gọi là Ảo hóa Native. Có hai loại Hypervisors ; Hypervisors native và hosted Hypervisors.

Loại-1: Native

Một hypervisor ở dạng native (hay còn gọi “bare-metal”) chạy trực tiếp trên phần cứng. Nó nằm giữa phần cứng và một hoặc nhiều hệ điều hành khách (guest operating system). Nó được khởi động trước cả hệ điều hành và tương tác trực tiếp với kernel. Điều này mang lại hiệu suất cao nhất có thể vì không có hệ điều hành chính nào cạnh tranh tài nguyên máy tính với nó. Tuy nhiên, nó cũng đồng nghĩa với việc hệ thống chỉ có thể được sử dụng để chạy các máy ảo vì hypervisor luôn phải chạy ngầm bên dưới.

Các hypervisor dạng native này có thể kể đến như VMware ESXi, Microsoft Hyper-V và Apple Boot Camp.

Loại-2: Hosted

Một hypervisor dạng hosted được cài đặt trên một máy tính chủ (host computer), mà trong đó có một hệ điều hành đã được cài đặt. Nó chạy như một ứng dụng cũng như các phần mềm khác trên máy tính. Hầu hết các hypervisor dạng hosted có thể quản lý và chạy nhiều máy ảo cùng một lúc. Lợi thế của một hypervisor dạng hosted là nó có thể được bật lên hoặc thoát ra khi cần thiết, giải phóng tài nguyên cho máy chủ. Tuy nhiên, vì chạy bên trên một hệ điều hành, nó có thể đem lại hiệu suất tương tự như một hypervisor ở dạng native.

Ví dụ về các hypervisor dạng hosted bao gồm VMware Workstation, Oracle VirtualBox và Parallels Desktop for Mac.

Lợi ích của ảo hóa

Sự sẵn có (availablity) của dữ liệu trong tự động hóa công nghiệp là điều tối quan trọng. Có các giải pháp CNTT khác, bên cạnh ảo hóa, cung cấp tính sẵn sàng cao. Đối với các máy chủ ví dụ được trang bị phần cứng dự phòng, thật không may là chúng hầu hết đều đắt tiền và có độ bền ngắn. Ngành công nghiệp đòi hỏi các giải pháp bền vững mà tăng cường hơn nữa hệ thống sẵn có. Công nghệ Ảo hóa có thể đóng góp cho nhu cầu này.

Các máy chủ thông thường được thiết lập bằng cách cài đặt một HĐH duy nhất trên Máy chủ. Các ứng dụng, ví dụ ứng dụng SCADA, được cài đặt trên cấu hình HĐH / máy chủ. Nếu một máy chủ hiện đại bị hỏng, ví dụ do lỗi nguồn điện hoặc CPU, ứng dụng cũng sẽ bị hỏng. Điều này sẽ dẫn đến mất dữ liệu và mất chức năng của cơ sở hạ tầng CNTT, cuối cùng dẫn đến chi phí không lường trước được.

Hệ thống phục hồi cho SCADA

Việc Phục hồi thảm họa hiệu quả đảm bảo tính liên tục, và do đó góp phần vào tính sẵn sàng của quy trình.
Với Fault Tolerance Virtualization, tính khả dụng được tăng cường bằng cách chạy hai máy chủ ảo hóa cùng một lúc. Một trong số này chạy các ứng dụng theo cùng một cách hệ thống ảo hóa duy nhất, máy chủ này là máy chủ hoạt động.

Sự khác biệt là máy chủ hoạt động này được kết nối với máy chủ ảo hóa thứ hai. Máy chủ thứ hai này chạy một hình ảnh sao chép của cá thể ảo hóa từ máy chủ hoạt động. Điều này có nghĩa là máy chủ sao chép có một bản sao thời gian chạy chính xác của máy chủ hoạt động. Khi hệ thống ổn định, giao tiếp chính đến và từ máy chủ là với hệ thống hoạt động. Đối với hệ thống SCADA, điều này ngụ ý rằng máy chủ hoạt động giao tiếp với các bộ điều khiển trong trường và HMI trong phòng điều khiển.

Khi xảy ra sự cố, do lỗi cung cấp điện hoặc CPU, giao tiếp chính sẽ chuyển từ máy chủ hoạt động sang hệ thống dự phòng . Vì máy chủ sao chép được đồng bộ hóa với máy chủ hoạt động, nó có thể tiếp quản hoạt động của máy chủ hoạt động một cách liền mạch. Cùng với đó, máy chủ sao chép trở thành hoạt động.

Một lợi ích đáng kể khác của Ảo hóa là hiệu năng, hoặc tài nguyên, cân bằng. Một số ứng dụng yêu cầu hoạt động máy chủ hiệu suất cao trong một số phần nhất định trong ngày. Ví dụ: máy chủ Active Directory chỉ yêu cầu tài nguyên vào buổi sáng hoặc sau bữa trưa. Trong thiết lập hiện đại, một máy chủ hiệu suất cao được dành riêng cho nhu cầu tài nguyên cao này, chỉ được yêu cầu trong một khoảng thời gian ngắn mỗi ngày. Trong phần còn lại của ngày, máy chủ được sử dụng tối thiểu.

Với Ảo hóa, HMC quản lý hiệu suất của máy chủ vật lý. HMC phân bổ tài nguyên cho máy ảo yêu cầu nó tại một thời điểm nhất định. Ảo hóa cho phép nhiều ứng dụng được chạy trên cùng một máy chủ. Bằng cách cài đặt các ứng dụng với các yêu cầu tài nguyên khác nhau trên cùng một máy chủ, tài nguyên phần cứng khả dụng sẽ được sử dụng hiệu quả hơn. HMC ủy thác tài nguyên cho nhu cầu của các phiên bản HĐH. Bằng cách ủy quyền sử dụng hiệu suất, hai ứng dụng nặng và hệ điều hành của chúng sử dụng một máy chủ vật lý mà không có bất kỳ giới hạn nào đối với hiệu suất.

Hơn nữa, khi một số máy chủ ảo hóa được kết nối, thì HMC thậm chí có thể quyết định chạy phiên bản HĐH, đòi hỏi nhiều hơn các tài nguyên có sẵn, đến một máy chủ lân cận chạy với nhu cầu hiệu năng thấp hơn.

Những thách thức của ảo hóa

 Hiển thị hư cấu về sử dụng hiệu suất Máy chủ AD và Máy chủ MES trên Máy ảo hóa

Recourse allocation là một trong nhiều tính năng trong Ảo hóa. Khi định cấu hình phân bổ tài nguyên với bộ ảo hóa được lưu trữ, lượng RAM tối đa của máy trạm phải được tính đến. Khi chạy một phiên bản HĐH, nó sử dụng lượng tài nguyên được phân bổ.

Lấy ví dụ về Hình trên, khi các HĐH riêng lẻ được cấu hình theo phân bổ tài nguyên nhất định, các HĐH riêng lẻ này sẽ sử dụng các tài nguyên được phân bổ khi được kích hoạt. Tổng tài nguyên được phân bổ trong Hình 6 là 8 GB và bộ nhớ của HĐH chính là 4 GB. Do đó, trong trường hợp này, máy tính xách tay nên có ít nhất 12 GB RAM để có thể chạy tất cả các phiên bản HĐH.

Một ví dụ khác, nếu máy tính xách tay có RAM 8 GB (bộ nhớ) được cài đặt, thì ngoài HĐH chính, nó có thể chạy các phiên bản HĐH yêu cầu không quá 4 GB. Ngay cả khi phiên bản chỉ được kích hoạt nhưng không có ứng dụng nào được thực thi, thì phiên bản HĐH sẽ luôn có được bộ nhớ được phân bổ. Khi tổng số phiên bản HĐH vượt quá dung lượng RAM vật lý, máy sẽ hoạt động chậm chạp hơn.

Trình quản lý ảo hoá

Khi một trình quản lý ảo hoá – Hypervisors được lưu trữ chạy một phiên bản HĐH triển khai các hoạt động mạng, nó có thể xung đột các hoạt động mạng của HĐH chính. Ảo hóa sử dụng mô phỏng phần cứng, trong đó bộ ảo hóa  là một thiết bị phần cứng như CPU ​​hoặc card mạng.

Với giả lập phần cứng, trình quản lý ảo hoá – Hypervisors có thể tạo ra một card mạng ảo. Đối với các phiên bản HĐH, nó giống như thể hiện có phần cứng riêng, trong khi nó đang chạy trên cùng một thiết bị. Phiên bản HĐH chạy các thực thi của nó như thể nó có toàn quyền kiểm soát phần cứng. Lệnh được thực thi đối với phần cứng bị chặn bởi trình quản lý ảo hoá – Hypervisors , từ đó chạy lệnh trong mô phỏng. trình quản lý ảo hoá – Hypervisors trả về kết quả mong đợi cho phiên bản HĐH đang chạy

Ảo hóa môi trường SCADA

Lý do rõ ràng nhất để ảo hóa môi trường SCADA là để giảm chi phí phần cứng, cơ sở hạ tầng và chi phí hỗ trợ. Bên cạnh lý do rõ ràng này còn có những lý do khác, và có lẽ, không kém phần quan trọng như backup để ảo hóa môi trường SCADA.

Ảo hóa cho phép tích hợp tốt hơn phần mềm SCADA vào môi trường CNTT ảo hóa hiện có. Trước đây, có một ranh giới rõ ràng giữa các bộ phận Kiểm soát quy trình và bộ phận CNTT khi nói đến trách nhiệm và việc ra quyết định. Dòng rõ ràng này đã mờ dần; làm cho sự thích ứng này trở nên rất quan trọng Sự hợp tác giữa các bộ phận này ở mức độ cao đến mức các giải pháp Kiểm soát quy trình đã tuân thủ cả nhu cầu Kiểm soát quy trình và CNTT, ví dụ như tích hợp bảo mật mạng.

Phân bổ tài nguyên SCADA

Tất cả các quy trình công nghiệp liên tục có thể thay đổi. Thay đổi này có thể là vật lý, ví dụ khi các thay đổi xảy ra trong Sơ đồ đường ống & thiết bị, chẳng hạn như: thêm máy bơm, van, thay đổi dòng quy trình, v.v. Tuy nhiên, những thay đổi cũng có thể ở cấp độ ứng dụng. Việc tích hợp các thành phần phần mềm mới hoặc thay thế trong môi trường SCADA, chẳng hạn như sử gia dữ liệu, chức năng MES, tích hợp ERP, chức năng Nhật ký.

Làm việc trong môi trường thời gian thực với nhu cầu sản xuất cao và điều kiện nguy hiểm khiến việc thực hiện liền mạch trở thành ưu tiên cao. Các môi trường thử nghiệm cung cấp một giải pháp đáng tin cậy, nhưng thường rất tốn kém vì điều này đòi hỏi tất cả các chi phí phần cứng, phần mềm, cơ sở hạ tầng, bảo trì và hỗ trợ tương tự như hệ thống trực tiếp. Đây là nơi ảo hóa trở nên hữu ích đáng kể, vì môi trường thử nghiệm có thể được chạy ảo hóa, giảm chi phí và có thể thu nhỏ môi trường khi giai đoạn thử nghiệm được hoàn thành.

Case study thực tiễn về ảo hoá hệ thống công nghiệp

VDI là gì ?

VDI là viết tắt của cụm từ Virtual Desktop Infrastructure, là giải pháp cho phép cung cấp môi trường  làm việc trên nền tảng ảo hóa, giúp client giải phóng môi trường làm việc không còn phụ thuộc  thiết bị vật lý.
VDI hoạt động trong mô hình Server-Client. Client sẽ kết nối với Server thông qua remote-desktop.
Các nhà cung cấp giải pháp VDI lớn hiện nay là : VMWare, Microsoft, Citrix, Oracle ….

SCADA – Ảo hoá và VDI

Cơ hội ảo hóa tồn tại cho cả các thành phần máy chủ và client của các hệ thống SCADA. Các client thể hiện tải xử lý tương đối nhẹ và có thể được hợp nhất vào máy chủ Hypervisor với tỷ lệ cao hơn so với máy chủ. Trong khi các máy chủ đòi hỏi nhiều hơn về tài nguyên hệ thống, các máy chủ thường thể hiện khối lượng công việc không đổi và có thể dự đoán được.

Hypervisor VDI và Type 2 đều là các tùy chọn khả thi cho các client HMI. VDI là giải pháp tối ưu khi các PC khách được thay thế bằng Thin Client và các máy ảo được hợp nhất trên một máy chủ Hypervisor. So với PC, Thin Client có chi phí trả trước giảm, yêu cầu năng lượng giảm và tuổi thọ dài hơn. Với các client HMI được chuyển từ máy tính để bàn tiêu chuẩn sang máy ảo trên máy chủ Hypervisor, các cải tiến về độ tin cậy có được từ các client chạy trên phần cứng cấp máy chủ của máy chủ Hypervisor.

Sử dụng phần cứng máy tính để bàn hiện tại, Hypervisor Loại 2 là đủ để chạy các máy ảo HMI client. Mặc dù giải pháp này thiếu nhiều lợi ích của giải pháp VDI, nhưng nó có thể dễ dàng thực hiện và có thể là bước đệm cho giải pháp VDI đầy đủ.  Trường hợp sử dụng điển hình là một client HMI ; một PC mới được mua, nhưng việc cài đặt hệ điều hành và phần mềm HMI, có vấn đề do driver thiết bị sẵn có. Giải pháp ảo hóa là cài đặt Hypervisor Loại 2, tạo máy ảo và cài đặt hệ điều hành và phần mềm HMI vào nó.

Hypervisor loại 2 và kích thước RAM máy tính để bàn thường giới hạn số lượng máy ảo chỉ còn một hoặc hai. Đối với các client HMI có màn hình đơn theo thiết kế, có thể hợp nhất hai client HMI thành các máy ảo chạy trên cùng một Hypervisor Loại 2; Ứng dụng khách HMI A hiển thị trên màn hình bên trái và ứng dụng khách HMI B hiển thị bên phải.

Mặc dù một Hypervisor duy nhất có thể chạy mọi máy ảo của hệ thống SCADA, nhưng các máy ảo của máy chủ phải được trải rộng trên các Hypervisor riêng biệt chạy trên phần cứng riêng biệt để duy trì tính dự phòng máy chủ của hệ thống.

Tương tự như vậy, để ngăn chặn một điểm lỗi duy nhất khiến các nhà khai thác bị mù, các máy ảo VDI nên được lan truyền giữa các máy tính chủ. Khả năng tạo các máy ảo mới mà không cần phần cứng bổ sung và khả năng tạo các bản sao có thể chạy được của các máy ảo hiện tại là một công cụ có giá trị để kiểm tra các bản cập nhật phần mềm và thay đổi HMI tách biệt khỏi hệ thống sản xuất.

Hình dưới mô tả một thiết lập ảo hóa nhà máy cơ bản. Máy chủ dự phòng được chia cho các máy chủ vật lý. Các máy chủ không dự phòng và client HMI được phân phối giữa các máy chủ bằng cách sử dụng cân bằng tải. Một thiết bị lưu trữ mạng, có thể truy cập bởi tất cả các máy chủ, đã được thêm vào cho mục đích sao lưu và khôi phục. Một PC tiêu chuẩn được sử dụng để quản lý Hypervisor và tăng gấp đôi như một client VDI. Các trạm vận hành bao gồm các thin client hiển thị các trạm VDI HMI.

Các máy ảo HMI Client bổ sung có thể được cấu hình và không được gán vĩnh viễn cho trạm vận hành Thin Client. Chúng có thể được sử dụng cho các kết nối VDI nổi, có thể truy cập từ PC văn phòng hoặc từ xa thông qua tường lửa. Điều này tương tự như khái niệm đăng nhập an toàn của các client web HMI và có thể được sử dụng theo cách tương tự, với lợi ích bổ sung là cung cấp quyền truy cập vào một client HMI đầy đủ.

Kết luận

Ảo hoá hệ thống điều khiển SCADA – ICS có những đặc điểm sau :

  • Ảo hóa không phải là không thể đạt được
  • Có thể thực tế trên ngân sách nhỏ
  • Thời gian khắc phục thảm họa có thể nhanh vượt trội so với các phương thức máy chủ vật lý
  • Lập Sandbox kiểm tra các bản vá và nâng cấp là không hạn chế so với các phương pháp truyền thống
  • Dễ di chuyển làm giảm thời gian và chi phí nâng cấp phần cứng trong tương lai
  • Điều chỉnh tài nguyên hệ thống nhanh chóng so với với các phương thức máy chủ truyền thống
Từ khóa:
Chia sẻ:
486 0

Bình luận

Bình luận đã bị đóng.