Verfahren und System zur Bereitstellung von zeitkritischen Diensten mittels einer Ablaufsteuerungsumgebung

Die vorliegende Erfindung betri f ft ein Verfahren sowie ein System zur Bereitstellung von zeitkritischen Diensten, insbesondere in einem industriellen Automatisierungssystem .

Industrielle Automatisierungssysteme umfassen üblicherweise eine Viel zahl von über ein industrielles Kommunikationsnetz miteinander vernetzten Automatisierungsgeräten und dienen im Rahmen einer Fertigungs- oder Prozessautomatisierung zur Steuerung oder Regelung von Anlagen, Maschinen bzw . Geräten . Aufgrund zeitkritischer Rahmenbedingungen in industriellen Automatisierungssystemen werden zur Kommunikation zwischen Automatisierungsgeräten überwiegend Echtzeit-Kommunikationsprotokolle , wie PROFINET , PROFIBUS , Real-Time-Ethernet oder Time-Sensitive Networking ( TSN) , verwendet . Insbesondere können Steuerungsdienste bzw . -anwendungen automatisiert und auslastungsabhängig auf aktuell verfügbare Server oder virtuelle Maschinen eines industriellen Automatisierungssystems verteilt werden .

Unterbrechungen von Kommunikationsverbindungen zwischen Rechnereinheiten eines industriellen Automatisierungssystems oder Automatisierungsgeräten können zu einer unerwünschten oder unnötigen Wiederholung einer Übermittlung einer Dienstanforderung führen . Außerdem können nicht oder nicht vollständig übermittelte Nachrichten beispielsweise einen Übergang oder Verbleib eines industriellen Automatisierungssystems in einen sicheren Betriebs zustand verhindern . In Ethernet-basierten Kommunikationsnetzen können Probleme entstehen, wenn Netzressourcen für eine Übermittlung von Datenströmen oder von Datenrahmen mit Echt Zeitanforderungen konkurrierend für eine Übermittlung von Datenrahmen mit großem Nutzdateninhalt ohne spezielle Dienstgüteanforderungen beansprucht werden . Dies kann schließlich dazu führen, dass Datenströme oder Datenrahmen mit Echt Zeitanforderungen nicht entsprechend einer angeforderten bzw . benötigten Dienstgüte übermittelt werden .

EP 3 588 908 Al betri f ft eine Zugangskontrollvorrichtung zur Bereitstellung eines wirksamen Sicherheitsschutzes während eines Fernzugri f fs auf ein System . Die Zugangskontrollvorrichtung umfasst eine Front-End-Firewall mit einem ersten Netzwerkanschluss , um einen Remote-Computer zu verbinden . Mit der Front-End-Firewall ist ein Host verbunden, der wiederum mit einer Back-End-Firewall verbunden ist . Die Back-End- Firewall stellt einen zweiten Netzwerkanschluss bereit , um obiges System zu verbinden . Insbesondere scannt die Back-End- Firewall durch den zweiten Netzwerkanschluss System-Ressourcen, auf die ein Fernzugri f f möglich ist , und legt System- Ressourcen fest , auf die der Remote-Computer zugrei fen darf . Darüber hinaus stellt der Host Informationen über die System- Ressourcen bereit , auf die der Remote-Computer über den ersten Netzwerkanschluss zugrei fen kann .

Aus der älteren internationalen Patentanmeldung mit dem Anmeldeaktenzeichen PCT/EP2020/ 063144 ist ein Verfahren zur Bereitstellung von Steuerungsanwendungen bekannt , bei dem Kommunikationsnetzadressen von Ablaufsteuerungskomponenten, die Steuerungsanwendungen bereitstellen, sowie Identi fikatoren der Ablaufsteuerungskomponenten oder von Server-Einrichtungen, auf denen die Ablaufsteuerungskomponenten ausgeführt werden, von einer Überwachungseinrichtung abfragt werden . Aus den abgefragten Kommunikationsnetzadressen und Identi fikatoren sowie aus Bezeichnungen der Steuerungsanwendungen erzeugt eine Konfigurationssteuerungseinrichtung Konfigurationsinformationen für eine Weiterleitungseinrichtung . Die Weiterleitungseinrichtung nimmt Anfragen von Endgeräten zur Nutzung der Steuerungsanwendungen entgegen und leitet diese entsprechend den Konfigurationsinformationen an eine j eweilige Ablaufsteuerungskomponente weiter .

In der älteren europäischen Patentanmeldung EP 3 715 986 Al ist ein Verfahren zur automatischen Konfiguration eines Automatisierungsgeräts beschrieben, bei dem eine Geräte- Management-Einheit überwacht , ob dem Automatisierungsgerät ein Automatisierungssystem-Kenner zugeordnet wird . Wenn die Geräte-Management-Einheit eine solche Zuordnung erkannt hat , fragt sie bei einer zentralen Management-Einheit eines Clusters an, ob in einer Cluster-Zustands-Datenbank mit Beschreibungsob ekten für zumindest einen Knoten des Clusters bereits ein Beschreibungsobj ekt existiert , in dem der dem Automatisierungsgerät zugeordnete Automatisierungssystem-Kenner hinterlegt ist . Falls ein solches Beschreibungsobj ekt nicht existiert , oder falls ein solches Beschreibungsobj ekt existiert , dieses j edoch als inaktiv deklariert ist , erzeugt die Geräte-Management-Einheit in der Cluster-Zustands-Datenbank für einen dem Automatisierungsgerät zugeordneten Knoten- Kenner ein Beschreibungsobj ekt , in dem der dem Automatisierungsgerät zugeordnete Automatisierungs-Kenner hinterlegt ist .

Die ältere europäische Patentanmeldung mit dem Anmeldeaktenzeichen 20193690 . 3 betri f ft ein Verfahren zur Bereitstellung von zeitkritischen Diensten, denen j eweils zumindest eine Server-Komponente zugeordnet ist , die durch eine in eine Ablaufsteuerungsumgebung ladbare und dort aus führbare Ablauf- Steuerungskomponente gebildet wird . Für die Server-Komponenten wird j eweils eine Funktionseinheit zur Verarbeitung eines Kommunikationsprotokollstapels verfügbar gemacht , die mit einer der Ablaufsteuerungsumgebung zugeordneten Funktionseinheit zur Verarbeitung eines Kommunikationsprotokollstapels verbunden ist . Die Dienste umfassen j eweils eine Verzeichnisdienst-Komponente zur Ermittlung mittels der Ablaufsteuerungsumgebung bereitgestellter Dienste . Die Verzeichnisdienst-Komponenten werden miteinander über eine separierte Kommunikationsschnittstelle verbunden . Mit der separierten Kommunikationsschnittstelle ist eine mittels einer weiteren Ablaufsteuerungskomponente gebildete Aggregator-Komponente verbunden, die Angaben über die mittels der Server-Komponenten bereitgestellten Dienste außerhalb der Ablaufsteuerungsumgebung verfügbar macht .

Anwender von mittels Containervirtualisierung oder vergleichbaren Virtualisierungskonzepten realisierten Steuerungsanwendungen für industrielle Automatisierungssysteme erwarten eine möglichst unkompli zierte Integration derartiger Anwendungen in ihre bestehende Infrastruktur . Je nach Netzwerkanbindung und verwendeter Ablaufsteuerungsumgebung tref fen insbesondere OPC UA Server auf höchst unterschiedliche anwenderseitige Konfigurationen, die durch Entwickler von Steuerungsanwendungen bei automatisierten Konfigurationsverfahren für die Steuerungsanwendungen berücksichtigt werden müssen . Bei der Netzwerkanbindung stellen anwenderseitig knappe IP-Adress- und TCP-Portnummernbereiche besondere Heraus forderungen im Rahmen der Integration von Steuerungsanwendungen in eine bestehende Infrastruktur dar .

Der vorliegenden Erfindung liegt die Aufgabe zugrunde , ein Verfahren zur Bereitstellung von zeitkritischen Diensten zu schaf fen, das eine Entkopplung zwischen mittels Containervir- tualisierung oder vergleichbaren Virtualisierungskonzepten bereitgestellten Diensten einerseits und einer j eweiligen Ablaufsteuerungsumgebung und Netzwerkanbindung andererseits ermöglicht , sowie eine geeignete Vorrichtung zur Durchführung des Verfahrens anzugeben .

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Anspruch 1 angegebenen Merkmalen und durch ein System mit den in Anspruch 14 angegebenen Merkmalen gelöst . Vorteilhafte Weiterbildungen sind in den abhängigen Ansprüchen angegeben .

Entsprechend dem erfindungsgemäßen Verfahren zur Bereitstellung von zeitkritischen Diensten mittels einer Ablaufsteuerungsumgebung ist den Diensten j eweils zumindest eine Server- Komponente zugeordnet , die durch eine in die Ablaufsteuerungsumgebung ladbare und dort aus führbare Ablaufsteuerungskomponente gebildet wird . Eine Konfigurationseinheit für zumindest eine Gateway-Komponente eines die Ablaufsteuerungsumgebung umfassenden Teilnetzes ermittelt j eweils zu innerhalb des Teilnetzes gültigen Adressierungsinformationen der Server-Komponenten zugeordnete global gültige Zugangsinformationen . In Abhängigkeit von einem mittels der Konfigurationseinheit vorgegebenen Betriebsmodus werden eine oder mehrere parallel bzw . seriell verbundene Gateway-Komponenten verwendet . Die lokal gültigen Adressierungsinformationen sind insbesondere Kommunikationsnetz-Adressen, Port-Nummern, Host-Namen bzw . vollständige Domain-Namen . Die zumindest eine Gateway- Komponente ist ein Load Balancer bzw . ein Reverse Proxy . Durch den Betriebsmodus wird eine Anzahl und eine Verschaltung zu verwendender Load Balancern bzw . Reverse Proxies vorgegeben . Die Ablaufsteuerungskomponenten sind insbesondere Software-

Container, die j eweils von anderen Software-Containern oder Container-Gruppen, z . B . Pods , isoliert innerhalb der Ablaufsteuerungsumgebung auf einem Host-Betriebssystem einer Server-Einrichtung ablaufen . Grundsätzlich können für die Ablaufsteuerungskomponenten auch alternative Micro-Virtualisie- rungskonzepte , wie Snaps , verwendet werden .

Die Ablaufsteuerungsumgebung kann beispielsweise eine Docker Engine oder einen Snap Core umfassen, die auf einer Server- Einrichtung abläuft . Vorteilhafterweise nutzen die Software- Container j eweils gemeinsam mit anderen auf der j eweiligen Server-Einrichtung ablaufenden Software-Containern einen Kernel des Host-Betriebssystems der Server-Einrichtung . Speicherabbilder für die Software-Container können beispielsweise aus einem durch eine Viel zahl von Nutzern lesend bzw . schreibend zugrei fbaren Speicher- und Bereitstellungssystem abgerufen werden .

Erfindungsgemäß übermittelt die Konfigurationseinheit die Zugangsinformationen abbildende Weiterleitungs- bzw . Filterregeln an die zumindest eine Gateway-Komponente . Außerdem ist eine Aggregator-Komponente vorgesehen, um die global gültigen Zugangsinformationen zur Nutzung der Dienste außerhalb des Teilnetzes verfügbar zu machen bzw . bzw . bekannt zu geben . Darüber hinaus leitet die zumindest eine Gateway-Komponente Dienstzugri f fsanfragen, insbesondere von außerhalb des Teilnetzes , entsprechend den Weiterleitungs- bzw . Filterregeln und dem Betriebsmodus an die Server-Komponenten weiter .

Die vorliegende Erfindung ermöglicht eine einfache Entwicklung und Verwendung von zeitkritischen Diensten bzw . Steuerungsanwendungen, insbesondere Steuerungsanwendungen mit OPC UA- Funktionalität , ohne bei Entwicklung und Installation spe- zi fische Rahmenbedingungen hinsichtlich Netzwerkanbindung und Ablaufsteuerungsumgebung, beispielsweise Edge App Runtime Engine , Hyper-Converged Infrastructure oder Cloud-Platt f orm, berücksichtigen zu müssen . Dies wird vor allem durch eine automatische Konfiguration von Gateway-Komponenten für das die j eweilige Ablaufsteuerungsumgebung umfassende Teilnetz mittels einer Auswahl eines passenden Betriebsmodus erzielt .

Insbesondere können mit der vorliegenden Erfindung ORC UA Secure Channel bei Eintritt in das die Ablaufsteuerungsumgebung umfassende Teilnetz korrekt terminiert werden . Auf diese Weise kann innerhalb des Teilnetzes ohne Zerti fikate oder mit Teilnetz-spezi fischen Zerti fikaten kommuni ziert werden . Dies ermöglicht eine Entkopplung zwischen Teilnetz-internen Si- cherheitskonzepten und Sicherheitskonzepten für eine externe Kommunikation . Außerdem können auch OPC UA Websocket- Verbindungen bei Eintritt in das Teilnetz korrekt terminiert und beispielsweise OPC UA-Serveranwendungen ohne Websocket- Unterstützung über eine Teilnetz-interne Transportschichtverbindung angesprochen werden .

Entsprechend einer bevorzugten Ausgestaltung der vorliegenden Erfindung übermitteln die Server-Komponenten oder diesen j eweils zugeordnete Verzeichnisdienst-Komponenten die innerhalb des Teilnetzes gültigen Adressierungsinformationen an die Konfigurationseinheit oder an die Aggregator-Komponente übermitteln . Vorteilhafterweise ist dabei nur die Aggregator- Komponente von außerhalb des die Ablaufsteuerungsumgebung umfassenden Teilnetzes , so dass die Verzeichnisdienst-Komponenten vor externem Zugri f f abgesichert werden können . Für eine erhöhte Verfügbarkeit können beispielsweise mehrere zueinander redundante Aggregator-Komponenten verwendet werden . Vorteilhafterweise übermitteln die Server-Komponenten oder die Verzeichnisdienst-Komponenten j eweils einen Identi fikator für die j eweilige Server-Komponente an die Konfigurationseinheit . Anhand dieses Identi fikators kann die Konfigurationseinheit j eweils für die j eweilige Server-Komponente die den innerhalb des Teilnetzes gültigen Adressierungsinformationen zugeordneten global gültige Zugangsinformationen zuverlässig ermitteln . Die Identi fikatoren können beispielsweise Server- Identi fikatoren oder Software-Container- Identi fikatoren sein . Vorzugsweise bilden die Weiterleitungs- bzw . Filterregeln Zuordnungen zwischen den Identi fikatoren zugeordneten innerhalb des Teilnetzes gültigen Adressierungsinformationen sowie den global gültigen Zugangsinformationen ab und umfassen Regeln für eine Port-Weiterleitung .

Entsprechend einer weiteren bevorzugten Ausgestaltung der vorliegenden Erfindung umfassen die global gültigen Zugangsinformationen Adressierungsinformationen und Zugri f fsberechtigungen . Dabei werden die Zugri f fsberechtigungen werden nach erfolgreicher Benutzer- bzw . Geräte-Authenti f i zierung verfügbar gemacht . Vorteilhafterweise werden diese Zugri f fsberechtigungen, insbesondere für ausgewählte Benutzer bzw . Geräte auf ausgewählte Dienste , durch die Weiterleitungs- bzw . Filterregeln abgebildet .

In Abhängigkeit von dem mittels der Konfigurationseinheit vorgegebenen Betriebsmodus werden durch die zumindest eine Gateway-Komponente vorzugsweise ein oder mehrere global gültige IP-Adressen, ein individueller Port für j ede Server- Komponente oder ein gemeinsamer Port für alle Server- Komponenten bzw . ein individueller Domain-Name für j ede Server-Komponente oder ein gemeinsamer Domain-Name für alle Server-Komponenten auf die Server-Komponenten weitergeleitet . Somit können durch eine Auswahl eines geeigneten Betriebsmo- dus individuelle Rahmenbedingungen bei der Netzwerkanbindung des die Ablaufsteuerungsumgebung umfassenden Teilnetzes für eine Konfiguration der zumindest einen Gateway-Komponente berücksichtigt werden . Beispielweise werden in einem ausgewählten Betriebsmodus durch die zumindest eine Gateway-Komponente nur Dienstzugri f fsanfragen an Server-Komponenten weitergeleitet , deren j eweilige innerhalb des Teilnetzes gültige Adressierungsinformation zugleich eine globale Gültigkeit aufweist .

Das erfindungsgemäße System zur Bereitstellung von zeitkritischen Diensten mittels einer Ablaufsteuerungsumgebung ist zur Durchführung eines Verfahrens entsprechend vorangehenden Ausführungen vorgesehen und umfasst eine Ablaufsteuerungsumgebung sowie mehrere , j eweils einem Dienst zugeordnete Server- Komponenten, die j eweils durch eine in die Ablaufsteuerungsumgebung ladbare und dort aus führbare Ablaufsteuerungskomponente gebildet sind . Außerdem sind zumindest eine Gateway- Komponente für ein die Ablaufsteuerungsumgebung umfassendes Teilnetz sowie eine Konfigurationseinheit für die zumindest eine Gateway-Komponente vorgesehen . Die zumindest eine Gateway-Komponente ist ein Load Balancer bzw . ein Reverse Proxy . Die Konfigurationseinheit ist dafür ausgestaltet und eingerichtet , j eweils zu innerhalb des Teilnetzes gültigen Adressierungsinformationen der Server-Komponenten zugeordnete global gültige Zugangsinformationen zu ermitteln und die Zugangsinformationen abbildende Weiterleitungs- bzw . Filterregeln an die zumindest eine Gateway-Komponente zu übermitteln . Dabei sind in Abhängigkeit von einem mittels der Konfigurationseinheit vorgegebenen Betriebsmodus eine oder mehrere parallel bzw . seriell verbundene Gateway-Komponenten zur Verwendung vorgesehen Durch den Betriebsmodus wird eine Anzahl und eine Verschaltung von Load Balancern bzw . Reverse Proxies vorgegeben . Darüber hinaus umfasst das erfindungsgemäße System eine Ag- gregator-Komponente , die dafür ausgestaltet und eingerichtet ist , die global gültigen Zugangsinformationen zur Nutzung der Dienste außerhalb des Teilnetzes verfügbar zu machen . Demgegenüber ist die zumindest eine Gateway-Komponente dafür ausgestaltet und eingerichtet , Dienstzugri f fsanfragen entsprechend den Weiterleitungs- bzw . Filterregeln und dem Betriebsmodus an die Server-Komponenten weiterzuleiten .

Die vorliegende Erfindung wird nachfolgend an einem Aus führungsbeispiel anhand der Zeichnung näher erläutert . Es zeigt die

Figur 1 eine Anordnung mit einer Server-Komponente zur Bereitstellung von Diensten eines industriellen Automatisierungssystems sowie mit einer Gateway-Komponente ,

Figur 2 eine schematische Darstellung einer Umsetzung zwischen innerhalb eines die Server-Komponente gemäß Figur 1 umfassenden Teilnetzes gültigen Adressierungsinformationen und global gültige Zugangsinformationen,

Figur 3-5 j eweils eine Gateway-Komponente für die Anordnung gemäß Figur 1 mit j eweils einer oder mehreren Load Balancern bzw . Reverse Proxies .

Die in Figur 1 dargestellte Anordnung umfasst eine Server- Einrichtung 101 zur Bereitstellung von Diensten bzw . Steue- rungs- und Uberwachungsanwendungen eines industriellen Automatisierungssystems . Die Dienste bzw . Steuerungs- und Uberwachungsanwendungen des industriellen Automatisierungssystems sind exemplarisch für zeitkritische Dienste . Im vorliegenden Aus führungsbeispiel werden die Dienste bzw . Steuerungs- und Überwachungsanwendungen auf Grundlage von OPC UA bereitgestellt . Somit umfassen die Dienste bzw . Steuerungs- und Überwachungsanwendungen Schnittstellendefinitionen, die für einen dauerhaften Zugri f f auf die Dienste bzw . Steuerungs- und Überwachungsanwendungen genutzt werden können .

Die Dienste können j eweils mehrere gleichartige oder identische Steuerungs- und Überwachungsanwendungen umfassen, die j eweils durch unterschiedliche Server-Einrichtungen bereitgestellt werden . Eine Bereitstellung mehrerer gleichartiger Steuerungsanwendungen auf unterschiedlichen Server-Einrichtungen gleichzeitig kann beispielsweise mittels Kubernetes- Daemon Sets gesteuert werden .

Außerdem umfasst die in Figur 1 dargestellte Anordnung ein Endgerät 10 , das zumindest einem Benutzer zugeordnet ist , der im vorliegenden Aus führungsbeispiel Anfragen 11 entsprechend OPC UA zur Nutzung der Dienste über ein Kommunikationsnetz 20 an ein die Server-Einrichtung 101 umfassendes Automatisierungssystem bzw . Teilnetz 100 sendet und von der Server- Einrichtung dementsprechend Antworten 12 bzw . Messwerte und Statusmeldungen empfängt . Das Kommunikationsnetz 20 ist vorzugsweise als Time-Sensitive Network ausgestaltet , insbesondere entsprechend IEEE 802 . IQ, IEEE 802 . 1AB, IEEE 802 . 1AS , IEEE 802 . IBA bzw . IEEE 802 . 1CB .

Die Server-Einrichtung 101 implementiert vorzugsweise Funktionen von Steuerungsgeräten eines industriellen Automatisierungssystems , wie speicherprogrammierbaren Steuerungen, oder von Feldgeräten, wie Sensoren oder Aktoren . Im vorliegenden Aus führungsbeispiel dient Server-Einrichtung 101 einem Austausch von Steuerungs- und Messgrößen mit durch die Server- Einrichtung 101 gesteuerten Maschinen oder Vorrichtungen 115 . Insbesondere ist die Server-Einrichtung 101 für eine Ermittlung geeigneter Steuerungsgrößen aus erfassten Messgrößen vorgesehen .

Das Endgerät 10 ist im vorliegenden Aus führungsbeispiel eine Bedien- und Beobachtungsstation und dient zur Visualisierung von Prozessdaten bzw . Mess- und Steuerungsgrößen, die durch die Server-Einrichtung 101 oder andere Automatisierungsgeräte verarbeitet bzw . erfasst werden . Insbesondere wird das Endgerät 10 zur Anzeige von Werten eines Regelungskreises und zur Veränderung von Regelungsparametern oder -programmen verwendet .

Den Diensten ist j eweils zumindest eine Server-Komponente 113 zugeordnet , die durch eine in eine Ablaufsteuerungsumgebung 112 ladbare und dort aus führbare Ablaufsteuerungskomponente gebildet wird . Die Ablaufsteuerungsumgebung 112 wird mittels der Server-Einrichtung 101 bereitgestellt und ist dort auf als Anwendung auf einem Host-Betriebssystem 111 der Server- Einrichtung 101 installiert . Darüber hinaus können Ablaufsteuerungskomponenten j eweils von der Server-Einrichtung 101 auf eine andere Server-Einrichtung zur dortigen Aus führung migriert bzw . auf anderen Server-Einrichtungen zeitgleich ausgeführt werden . Im vorliegenden Aus führungsbeispiel sind bzw . umfassen die Ablaufsteuerungskomponenten Software-Container, die j eweils von anderen Software-Containern, Container-Gruppen bzw . Pods isoliert innerhalb der Ablaufsteuerungsumgebung 112 auf dem Host-Betriebssystem 111 der Server- Einrichtung 101 ablaufen . Dabei nutzen die Software-Container j eweils gemeinsam mit anderen auf der Server-Einrichtung 101 ablaufenden Software-Containern einen Kernel des Host-Be- triebssystems 111 der Server-Einrichtung 101 . Eine I solation der Ablaufsteuerungskomponenten bzw . eine I solation von ausgewählten Betriebssystemmitteln untereinander kann insbesondere mittels Control Groups und Namespacing realisiert werden . Mittels Control Groups lassen sich Prozessgruppen definieren, um verfügbare Ressourcen für ausgewählte Gruppen zu beschränken . Über Namespaces können einzelne Prozesse oder Control Groups gegenüber anderen Prozessen oder Control Groups isoliert bzw . verborgen werden . Speicherabbilder für Software-Container können beispielsweise aus einem durch eine Viel zahl von Nutzern lesend bzw . schreibend zugrei fbaren Speicher- und Bereitstellungssystem abgerufen werden .

Darüber hinaus umfasst die in Figur 1 dargestellte Anordnung zumindest eine Gateway-Komponente 102 für das die Server- Einrichtung 101 umfassende Teilnetz 100 . Die Gateway-Komponente 102 dient zur Weiterleitung von Dienstzugri f fsanfragen 11 an den Dienstzugri f fsanfragen 11 zugeordnete Server-Komponenten 113 . Für die Gateway-Komponente 102 ist eine Konfigurationseinheit 103 vorgesehen, die j eweils zu innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 , 130 der Server-Komponenten 113 zugeordnete global gültige Zugangsinformationen 150 ermittelt . In Abhängigkeit von einem mittels der Konfigurationseinheit 103 vorgebbaren Betriebsmodus 131 werden eine oder mehrere parallel bzw . seriell verbundene Load Balancer bzw . Reverse Proxies verwendet ( siehe auch Figur 3-5 ) , die von der Gateway-Komponente 102 umfasst sind .

Die lokal gültigen Adressierungsinformationen sind insbesondere Kommunikationsnetz-Adressen, Port-Nummern, Host-Namen bzw . vollständige Domain-Namen . Im vorliegenden Aus führungsbeispiel ermittelt die Konfigurationseinheit 103 eine Zuordnung zwischen den innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 , 130 und den global gültigen Zugangsinformationen 150 in Zusammenwirkung mit einer Abgleich-Einheit 105 , die von den Server-Komponenten 113 insbesondere Angaben 120 über zumindest lokal gültige URLs empfängt . Alternativ hierzu können die Server-Komponenten 113 Angaben 130 über FQDNs an die Konfigurationseinheit 103 übermitteln, die den FQDNs zugeordnete global gültige Zugangsinformationen 150 ermittelt und diese Informationen für Abgleich-Einheit 105 verfügbar macht .

Die Konfigurationseinheit 103 übermittelt die Zugangsinformationen 150 abbildende Weiterleitungs- bzw . Filterregeln 140 an die Gateway-Komponente 102 . Auf dieser Grundlage leitet die Gateway-Komponente 102 Dienstzugri f fsanfragen 11 entsprechend den Weiterleitungs- bzw . Filterregeln 140 und dem Betriebsmodus 131 an die Server-Komponenten 113 weiter .

Außerdem ist zumindest eine Aggregator-Komponente 104 vorgesehen, die im vorliegenden Aus führungsbeispiel mit der Abgleich-Einheit 105 verbunden ist und die global gültigen Zugangsinformationen 150 zur Nutzung der Dienste außerhalb des Teilnetzes 100 insbesondere für Benutzer am Endgerät 10 verfügbar macht . Grundsätzlich können mehrere zueinander redundante , global gültige Zugangsinformationen zusammenfassende Aggregator-Komponenten 104 verwendet werden .

Um Kommunikationsendpunkte für die Server-Komponenten 113 automatisch zu erfassen, werden nachfolgend zwei vorteilhafte Ansätze beschrieben . Entsprechend einem ersten Ansatz wird j eder Server-Komponente 113 eine Verzeichnisdienst-Komponente 114 zugeordnet , mittels der ein Local Discovery Service realisiert wird . Ein solcher Ansatz ist in der älteren europäischen Patentanmeldung mit dem Anmeldeaktenzeichen 20193690 . 3 , auf deren Of fenbarungsgehalt hier expli zit Bezug genommen wird, detailliert beschrieben . In diesem Fall übermitteln die Verzeichnisdienst-Komponenten 114 die innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 bzw . die lokal gültigen URLs über die Abgleich-Einheit 105 an die Konfigurationseinheit 103 und an die Aggregator-Komponente 104 .

Eine Alternative zu obigem ersten Ansatz besteht in einer Verwendung von Markierungen, die Software-Containern beigefügt sind . Die Markierungen umfassen Angaben 130 über gewünschte Hostnamen oder FQDNs für die j eweiligen Server- Komponenten 113 . Diese Angaben 130 werden von den Server- Komponenten 113 an die Konfigurationseinheit 103 übermittelt und umfassen insbesondere Kommunikationsendpunkte der Server- Komponenten 113 , beispielsweise in Form von OPC UA Server Endpoint URLs .

Insbesondere übermitteln die Server-Komponenten 113 oder die Verzeichnisdienst-Komponenten 114 bei beiden obigen Ansätzen j eweils einen Identi fikator 110 , 211 für die j eweilige Server-Komponente 113 an die Konfigurationseinheit 103 ( siehe auch Figur 2 ) , alternativ auch an die Aggregator-Komponente 104 . Anhand des Identi fikators 110 , 211 für die j eweilige Server-Komponente 113 ermittelt die Konfigurationseinheit 103 vorzugsweise j eweils die den innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 , 130 , 201 zugeordneten global gültige Zugangsinformationen 150 , 202 . Die Identifikatoren 110 , 211 können beispielsweise Server- Identi fikatoren oder Software-Container- Identi fikatoren sein . Die Weiterleitungs- bzw . Filterregeln 140 bilden insbesondere Zuordnungen zwischen den Identi fikatoren 110 , 211 zugeordneten innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 , 130 , 201 und den global gültigen Zugangsinformationen 150 , 202 ab und umfassen Regeln für eine Port-Weiterleitung . Diese Regeln werden in einer in Figur 2 dargestellten Umset- zungstabelle 203 zusammengefasst , die durch die Konfigurationseinheit 103 oder durch die Abgleich-Einheit 105 verwaltet wird .

Die Umset zungstabelle 203 identi fi ziert Server-Komponenten 113 anhand ihrer zugeordneten Identi fikatoren 211 und weist diesen einen oder mehrere externe FQDNs 222 und TCP-Ports 223 zu . Falls ein mehrere Ports registriert oder markiert sind, umfasst die Umset zungstabelle 203 mehrere Einträge bzw . Zeilen mit demselben Identi fikator 211 , aber mit verschiedenen Ports 223 . Für die global gültige Zugangsinformationen 202 werden Schema-Elemente 212 , 221 und Pfad-Elemente 215 , 224 direkt aus den innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 201 übernommen . Bei Host-Angaben 213 , 222 und Port-Angaben 214 , 223 kann es dagegen Abweichungen geben, so dass extern gültige Host-Angaben 222 und Port- Angaben 223 der Umset zungstabelle 203 zu entnehmen sind .

Für den Fall , dass für das in Figur 1 dargestellte Teilnetz 100 ein Gateway-Betriebsmodus gewünscht , entfällt vorgenanntes Transponieren zwischen innerhalb des Teilnetzes 100 gültigen Adressierungsinformationen 120 , 130 , 201 und global gültige Zugangsinformationen 150 , 202 . Stattdessen generiert die Konfigurationseinheit 103 nur für solche Server-Komponenten 113 Weiterleitungs- bzw . Filterregeln 140 , denen bereits a priori global gültige Zugangsinformationen zugeordnet sind .

Vorzugsweise umfassen die global gültigen Zugangsinformationen 150 , 202 Adressierungsinformationen und Zugri f fsberechtigungen, wobei die Zugri f fsberechtigungen werden erst nach erfolgreicher Benutzer- bzw . Geräte-Authenti f i zierung verfügbar gemacht werden . Insbesondere bilden die Weiterleitungs- bzw . Filterregeln 140 Zugri f fsberechtigungen nur für ausgewählte bzw . autorisierte Benutzer bzw . Geräte auf ausgewählte Dienste ab .

Entsprechend Figur 3 bis 5 werden in Abhängigkeit von dem mittels der Konfigurationseinheit 103 vorgegebenen Betriebsmodus 131 durch die Gateway-Komponente 102

- eine oder mehrere global gültige IP-Adressen,

- ein individueller Port für j ede Server-Komponente oder ein gemeinsamer Port für alle Server-Komponenten bzw .

- ein individueller Domain-Name für j ede Server-Komponente oder ein gemeinsamer Domain-Name für alle Server- Komponenten auf die Server-Komponenten 113a, 113b weitergeleitet . Insbesondere umfasst die Gateway-Komponente 102 dabei einen ( Figur 3 ) oder mehrere Load Balancer ( Figur 4 ) bzw . Reverse Proxies ( Figur 4 und 5 ) . Dabei wird durch den Betriebsmodus 131 eine Anzahl und eine Verschaltung von Load Balancern 121 , 121a- 121b bzw . Reverse Proxies 122a- 122c vorgegeben .

Die Konfigurationseinheit 103 ordnet den einzelnen Server- Komponenten 113a, 113b externe FQDNs und Ports entsprechend dem j eweils gewählten Betriebsmodus zu . Beispielsweise können mehrere OPC UA Server mittels Container-Virtualisierung in einem Cluster j e nach Wunsch entsprechend einer der nachfolgend beschriebenen Varianten bereitgestellt werden .

1 . Eine externe IP-Adresse mit vielen externen Port-Nummern Es können wahlweise nur ein einzelner FQDN oder mehrere , Ser- ver-Komponenten-spezi f ische FQDNs auf die IP-Adresse abgebildet werden . Die FQDNs sind dabei grundsätzlich j edoch nicht weiter von Bedeutung . Anstelle einer IP-Adresse können unter Redundanzgesichtspunkten mehrere IP-Adressen genutzt werden, die j edoch nicht-Server- Komponenten-spezi f isch sind . 2 . Mehrere Server-Komponenten-spezi f ischen FQDNs

In diesem Fall werden nur eine externe IP-Adresse und nur einem Port mit vielen Server-Komponenten-spezi f ischen FQDNs genutzt . Dabei werden die Server-Komponenten rein anhand ihrer FQDNs unterschieden . Auch hier können unter Redundanzgesichtspunkten mehrere IP-Adressen verwendet werden, insbesondere untereinander austauschbar .

3 . Mehrere Server-Komponenten-spezi f ische externe IP-Adressen Hierbei werden j eweils zwei Ports für den Local Discovery Service und die j eweilige Server-Komponente verwendet .

4 . Eine externe IP-Adresse mit nur einem FQDN

In diesem Fall wird eine externe IP-Adresse mit nur einem Port und mit nur einem FQDN für die Gateway-Komponente verwendet . Dabei werden Reverse Proxies im Gateway-Betriebsmodus genutzt . Ein Weiterleiten zur j eweiligen Server-Komponente erfolgt nur anhand von Server-URI s , die bei einem Aufbau eines Secure Channels übermittelt worden sind, nicht aber anhand von FQDNs und Port-Nummern .

Dementsprechend sind unterschiedliche Gateway-Konfigurationen mit einem oder mehreren Load Balancern 121 , 121a- 121b, mehreren Reverse Proxies , keinem Load Balancer bzw . keinem Reverse Proxy möglich :

1 . ein Load Balancer 121 nur mit TCP-Portweiterleitungs funktion zur j eweiligen Server-Komponenten 113a, 113b (Variante 1 , siehe Figur 3 ) ,

2 . zweischichtige Architektur mit mehreren Load Balancern 121a, 121b, die eine Verbindungslast auf mehrere nachgelagerte Reverse Proxies 122a- 122c verteilen, wobei die Reverse Proxies 122a- 122c eingehende Transportschichtverbindungen anhand während eines Verbindungsaufbaus übertrage- ner URLs oder während eines Sitzungsaufbaus übertragener

URIs an die jeweilige Server-Komponente 113a, 113b weiterleiten (Variante 2, siehe Figur 4) ,

3. mehrere Reverse Proxies 122a-122b (ohne Load Balancer) leiten nicht nur eingehende Transportschichtverbindungen an die jeweilige Server-Komponente 113a, 113b weiter, sondern dienen gleichzeitig als Load-Balancer, indem sie selbst direkt über externe IP-Adressen erreichbar sind (Variante 3, siehe Figur 5) .

Für Variante 4 kann entweder Konfiguration 2 oder Konfiguration 3 genutzt werden. Dabei leiten die Reverse Proxies eingehende Anfragen auf Basis einer jeweiligen Server-Komponen- ten-URI (siehe Protokoll- bzw. Service-Feld „application URI" entsprechend OPC UA Spezifikationen) anstelle auf Basis eines Endpoint URL weiter.