Siemens SIMATIC WinCC : redondance & haute disponibilité avec une solution active active très simple

La solution pour Siemens SIMATIC WinCC

Evidian SafeKit apporte la redondance et la haute disponibilité à Siemens SIMATIC WinCC entre deux serveurs actifs.

Cet article explique comment mettre en place rapidement un cluster Siemens SIMATIC WinCC sans compétences particulières. Aucune configuration spécifique de WinCC n'est requise pour la redondance.

Le principe de la solution est de mettre les applications WinCC dans des machines virtuelles sous Hyper-V. SafeKit met en œuvre la réplication en temps réel et le basculement automatique des machines virtuelles.

Redondance et haute disponibilité au niveau de l'application

Dans ce type de solution, seules les données applicatives sont répliquées. Et seule l'application est redémarrée en cas de panne.

Avec cette solution, des scripts de reprise doivent être écrits pour redémarrer l'application. Cette solution est indépendante de la plate-forme et fonctionne avec des applications à l'intérieur de machines physiques, de machines virtuelles, dans le Cloud. Tout hyperviseur est supporté (VMware, Hyper-V...).

Solution pour une nouvelle application (scripts de reprise à écrire): Windows, Linux

Redondance et haute disponibilité au niveau machine virtuelle

Dans ce type de solution, le logiciel SCADA est placé dans une machine virtuelle. La machine virtuelle (VM) complète est répliquée et redémarrée (Application + OS).

L'avantage de cette solution est qu'il n'y a pas de scripts de reprise à écrire par application. Cette solution est générique pour tous les logiciels SCADA. Elle fonctionne avec les hyperviseurs Windows/Hyper-V et Linux/KVM mais pas avec VMware. Il s'agit d'une solution active/active avec plusieurs machines virtuelles répliquées et redémarrées entre deux nœuds.

Solutions pour une nouvelle application (pas de script de reprise à écrire) : Windows/Hyper-V, Linux/KVM

Guide d'installation rapide de SafeKit avec le module Hyper-V

Configuration étape par étape

1. Prérequis

Les fichiers de la machine virtuelle VM1 (fichier de configuration de VM1, disque dur virtuel...) doivent être placés dans un même dossier : ce dossier sera répliqué par SafeKit.

Assurez-vous que le ou les noms des switchs virtuels référencés par la machine virtuelle existent sur les deux serveurs Hyper-V et correspondent au même réseau physique.

Si tous les fichiers de VM1 ne sont pas dans le même dossier, utilisez le gestionnaire Hyper-V :

Exporter VM1 dans un dossier, par exemple dans D:\Repli-Hyper-V
Cet export créera un dossier D:\Repli-Hyper-V\VM1\ contenant tous les fichiers de VM1
Supprimer VM1 de l'inventaire du gestionnaire Hyper-V
Importer VM1, précédemment exporté, dans le gestionnaire Hyper-V

2. Lancez la console SafeKit

Lancez la console Web dans un navigateur sur un nœud en vous connectant à http://localhost:9010.
Entrez admin comme nom d'utilisateur et le mot de passe défini durant l'installation.

Vous pouvez également exécuter la console dans un navigateur sur un poste de travail externe au cluster.

La configuration de SafeKit se fait sur les deux nœuds depuis un seul navigateur.

Pour sécuriser la console Web, consultez 11. Sécurisation de la console Web SafeKit dans le Guide de l'utilisateur.

3. Configurez les adresses des nœuds

Saisissez les adresses IP des nœuds.
Ensuite, cliquez sur Apply pour enregistrer la configuration.

Si la couleur d'arrière-plan du nœud 1 ou du nœud 2 est rouge, vérifiez la connectivité du navigateur aux deux nœuds et vérifiez le pare-feu sur les deux nœuds pour résoudre le problème.

Cette opération placera les adresses IP dans le fichier cluster.xml sur les deux nœuds (plus d'informations dans la formation avec la ligne de commande).

5. Configurez le module

Choisissez un démarrage automatique du module au boot sans délai.
Normalement, vous disposez d'un seul réseau heartbeat sur lequel la réplication est effectuée. Mais, vous pouvez définir un réseau privé si nécessaire.
Mettez dans VM_PATH, le chemin racine du répertoire répliqué (D:\Repli-Hyper-V).
Entrez dans VM_NAME, le nom de la machine virtuelle (VM1).

Nous supposons que tous les fichiers de VM1 sont dans D:\Repli-Hyper-V\VM1\ (voir prérequis). Ce répertoire sera répliqué en temps réel par SafeKit.

Les valeurs NORMAL_STOP et FORCE_STOP peuvent être "stop", "save" ou "off" :

"stop" arrête la VM lorsque le module est arrêté.
"save" enregistre l'état actuel de la VM (suspend) lorsque le module est arrêté.
"off" éteint la VM (mise hors tension) lorsque le module est arrêté.

"stop" est recommandé car il provoque l'arrêt puis le redémarrage de la VM lorsque le module est arrêté et redémarré. Ainsi, l'application à l'intérieur de la VM est redémarrée.

Ce sera le cas, par exemple, lors du basculement entre les rôles primaire et secondaire.

Cette opération reportera la configuration dans le fichier userconfig.xml sur les deux nœuds (plus d'informations dans la formation avec la ligne de commande).

7. Démarrez le nœud avec des données à jour

Si le nœud 1 possède le répertoire répliqué VM1\ à jour, sélectionnez-le et démarrez-le.

Lorsque le nœud 2 sera démarré, toutes les données de VM1\ seront copiées du nœud 1 vers le nœud 2.

Si vous faites le mauvais choix, vous courez le risque de synchroniser des données obsolètes sur les deux nœuds.

On suppose également que la machine virtuelle VM1 est arrêtée sur le noeud 1 afin que SafeKit installe les mécanismes de réplication puis démarre VM1 dans le script start_prim.

8. Attendez le passage à ALONE (vert)

Le nœud 1 doit atteindre l'état ALONE (vert), ce qui signifie que le script start_prim a été exécuté sur le nœud 1.

Si le statut est ALONE (vert) et que VM1 n'est pas démarré, vérifiez les messages de sortie de start_prim dans l'Application Log du nœud 1.

Si le nœud 1 n'atteint pas l'état ALONE (vert), analysez pourquoi avec le Module Log du nœud 1.

Si le cluster est dans l'état WAIT (rouge) not uptodate - STOP (rouge) not uptodate, arrêtez le nœud WAIT et force son démarrage en tant que primaire.

9. Démarrez le nœud 2

Démarrez le nœud 2 avec son menu contextuel.
Attendre l'état SECOND (vert).

Le nœud 2 reste dans l'état SECOND (magenta) pendant la resynchronisation du répertoire répliqué VM1\ (copie du nœud 1 vers le nœud 2).

Cela peut prendre un certain temps en fonction de la taille des fichiers à resynchroniser dans VM1\ et de la bande passante du réseau.

Pour voir la progression de la copie, consultez le Module Log du nœud 2 avec l'option verbose sans oubliez de rafraichir la fenêtre.

11. Testez

Arrêtez le nœud PRIM en faisant défiler son menu contextuel et en cliquant sur Stop.
Vérifiez qu'il y a un basculement sur le nœud SECOND qui devrait devenir ALONE (vert).
Vérifiez le redémarrage de VM1 avec le gestionnaire Hyper-V.

Si VM1 n'est pas démarré sur le noeud 2 alors que l'état est ALONE (vert), vérifiez les messages de sortie du script start_prim dans l'Application Log du nœud 2.

Comme le script start_prim importe la machine virtuelle sur le nœud 2, le basculement peut échouer à cause des paramètres Hyper-V (voir cet article).

Si ALONE (vert) n'est pas atteint, analysez pourquoi avec le Module Log du nœud 2.

Plus d'informations sur les tests dans le Guide de l'utilisateur

Le custom checker envoie des messages de heartbeat de l'hôte à la machine virtuelle à intervalles réguliers. C'est alors le travail du service Hyper-V Heartbeat installé dans la VM d'envoyer une réponse à chacun de ces messages de heartbeat. Si le service Hyper-V Heartbeat ne répond pas au message, le custom checker redémarre la machine virtuelle sur le même Hyper-V. Après 3 redémarrages infructueux (maxloop) en 24 heures (loop_interval), le module hyperv SafeKit s'arrête sur le serveur primaire et il y a un basculement de la VM sur le serveur secondaire. Il existe également une configuration avec un basculement direct sur l'autre serveur Hyper-V dès que la VM ne répond pas aux heartbeats.

Comment modifier conf/userconfig.xml pour configurer le custom checker

Dans l'onglet Advanced configuration, vous pouvez modifier conf/userconfig.xml.
1) Déclarez le custom checker et sa ressource associée custom.VM

<service mode="mirror" maxloop="3" loop_interval="24" ...>
  ...
  <check>
	<custom ident="VM" exec="vmcheck.ps1" arg="%VM_NAME%" when="prim"></custom>
  </check>
  ...

2) Ajoutez une règle de basculement pour réagir au changement de ressource dans conf/userconfig.xml

<failover>
    <![CDATA[
	vm_failure:
		if( custom.VM == down ) then restart();
    ]]>
 </failover>

Avec stopstart() au lieu de restart(), il y a un basculement immédiat sur le serveur secondaire.
Vous devez appliquer la nouvelle configuration par un clic droit sur l'icône/xxx à gauche (voir image) : l'interface vous permettra de redéployer le fichier userconfig.xml modifié sur les deux serveurs.

13. Redémarrage automatique en cas de panne d'un service critique dans la VM

Si vous souhaitez un redémarrage ou un basculement automatique lorsqu'un service critique à l'intérieur de la VM tombe en panne, vous pouvez configurer les propriétés de récupération du service (voir image).

Vous devez d'abord configurer le custom checker décrit précédemment.

Et puis dans Microsoft Service Manager à l'intérieur de la VM, sélectionnez votre service critique et dans la propriété de récupération du service, il vous suffit de configurer le shutdown de la VM en cas de panne du service critique.

Pour cela, dans les options de Recovery de votre service critique, choisissez "Run a program" en cas de panne et dans les options de Run program, définissez "C:\Windows\System32\shutdown.exe" et dans "Command line parameters", définissez /s /c "service fails".

Bien sûr, vous pouvez mettre en œuvre une récupération plus subtile avec vos propres scripts. Mais sachez simplement que l'arrêt de la VM activera le custom checker dans l'hôte. Le custom checker détectera que le heartbeat Hyper-V ne répond plus et redémarrera la VM sur le même serveur Hyper-V ou effectuera un basculement sur l'autre serveur Hyper-V (en fonction de sa configuration).

Pour tester la fonctionnalité, utilisez le Gestionnaire des tâches et supprimez le processus (End task) associé au service critique. Un arrêt propre du service via Service Manager ou la commande "net stop" ne déclenche pas l'action de récupération dans Windows Service Manager.

Journal du module

Lisez le journal du module pour comprendre les raisons d'un basculement, d'un état d'attente etc...

Pour voir le journal du module du nœud 1 (image) :

cliquez sur l'onglet Control
cliquez sur node 1/PRIM sur le côté gauche pour sélectionner le serveur (il devient bleu)
cliquez sur Module log
cliquez sur l'icône Actualiser (flèches vertes) pour mettre à jour la console
cliquez sur la disquette pour enregistrer le journal du module dans un fichier .txt et l'analyser dans un éditeur de texte

Cliquez sur node2 pour voir le journal du module du serveur secondaire.

Journal applicatif

Lisez le journal applicatif pour voir les messages de sortie des scripts de redémarrage start_prim et stop_prim.

Pour voir le journal applicatif du nœud 1 (image) :

cliquez sur l'onglet Control
cliquez sur node 1/PRIM sur le côté gauche pour sélectionner le serveur (il devient bleu)
cliquez sur Application Log pour voir les messages lors du démarrage et de l'arrêt des services
cliquez sur l'icône Actualiser (flèches vertes) pour mettre à jour la console
cliquez sur la disquette pour enregistrer le journal applicatif dans un fichier .txt et l'analyser dans un éditeur de texte

Cliquez sur le nœud 2 pour voir le journal applicatif du serveur secondaire.

Plus d'informations sur le dépannage dans le Guide de l'utilisateur.

Configuration avancée

Dans l'onglet Advanced Configuration, vous pouvez modifier les fichiers internes du module : bin/start_prim et bin/stop_prim et conf/userconfig.xml.

Si vous apportez des modifications dans les fichiers internes, vous devez appliquer la nouvelle configuration par un clic droit sur l'icône/xxx sur le côté gauche (voir image) : l'interface vous permettra de redéployer les fichiers sur les deux serveurs.

Formation et documentation ici (avec configuration par lignes de commande).

Démonstration

Etape 1. Réplication en temps réel

Le serveur 1 (PRIM) exécute la VM (machine virtuelle) contenant Siemens SIMATIC WinCC. SafeKit réplique en temps réel les fichiers de la VM (disques durs virtuels, configuration de la VM). Seules les modifications faites à l'intérieur des fichiers sont répliquées en continue à travers le réseau.

La réplication est synchrone sans perte de données en cas de panne contrairement à une réplication asynchrone.

Il vous suffit de configurer le nom du répertoire contenant la VM dans SafeKit. Il n'y a pas de pré-requis sur l'organisation du disque. Le répertoire peut se trouver sur le disque système.

Etape 2. Basculement automatique

Lorsque le serveur 1 tombe en panne, le serveur 2 prend le relais. SafeKit redémarre la VM contenant Siemens SIMATIC WinCC sur le serveur 2. Hyper-V trouve les fichiers répliqués par SafeKit à jour sur le serveur 2.

La VM continue de s'exécuter sur le serveur 2 en modifiant localement ses fichiers qui ne sont pas plus répliqués sur le serveur 1.

Le temps de basculement est égal au temps de détection de panne (30 secondes par défaut) plus le temps de redémarrage de la VM.

Etape 4. Retour à la normale

Après la réintégration, les fichiers de la VM sont à nouveau en mode miroir, comme à l'étape 1. Le système est de nouveau en mode haute disponibilité, la VM contenant Siemens SIMATIC WinCC s'exécutant sur le serveur 2 et SafeKit répliquant les mises à jour sur le serveur 1.

Si l'administrateur souhaite que son application s'exécute en priorité sur le serveur 1, il peut exécuter une commande de basculement, soit manuellement à un moment opportun, soit automatiquement par configuration.

Pourquoi un réseau LAN/VLAN entre sites distants ?

Basculement automatique de l'adresse IP virtuelle avec 2 nœuds dans le même sous-réseau.
Bonne bande passante pour la resynchronisation (étape 3) et bonne latence pour la réplication synchrone (quelques ms).

Alternative

Utilisez un équilibreur de charge pour l'adresse IP virtuelle si les 2 nœuds sont dans 2 sous-réseaux (supporté par SafeKit, notamment dans le cloud).
Utilisez des solutions de backup avec réplication asynchrone pour un réseau à latence élevée.

Partenaires, le succès avec SafeKit

Cette solution indépendante de la plateforme est idéale pour un partenaire revendant une application critique et qui souhaite proposer une option de redondance et de haute disponibilité simple à déployer auprès de nombreux clients.

Avec de nombreuses références dans de nombreux pays gagnées par des partenaires, SafeKit s'est avéré être la solution la plus simple à mettre en œuvre pour la redondance et la haute disponibilité des logiciels de gestion des bâtiments, vidéosurveillance, contrôle d'accès, systèmes SCADA...

Différenciateurs clés entre SafeKit vs Microsoft Hyper-V cluster et VMware HA

Différentiateurs clés entre la haute disponibilité au niveau machine virtuelle et au niveau application

Différenciateurs clés de la technologie de haute disponibilité SafeKit

Cluster logiciel vs cluster matériel
En savoir plus >

Un cluster logiciel simple avec le package SafeKit installé sur deux serveurs

Un cluster matériel complexe avec du stockage externe ou des boîtiers de load balancing

Cluster de type "shared nothing"" vs cluster à disque partagé
En savoir plus >

SafeKit est un cluster sans partage de type "shared-nothing": simple à déployer même sur des sites distants

Un cluster à disque partagé est complexe à déployer

Haute disponibilité applicative vs Haute disponibilité de machines virtuelles complètes
En savoir plus >

La haute disponibilité applicative supporte les pannes matérielles et logicielles avec un temps de reprise rapide (RTO autour d'1 mn ou moins)
La haute disponibilité applicative nécessite de définir des scripts de redémarrage par application et des dossiers à répliquer (modules applicatifs SafeKit).

La haute disponibilité de machines virtuelles complètes (VM) supporte seulement les pannes matérielles avec un reboot de la VM et un temps de reprise dépendant du reboot de l'OS.
Pas de scripts de redémarrage à définir avec des machines virtuelles complètes en haute disponibilité (modules SafeKit hyperv.safe ou kvm.safe). Les hyperviseurs sont actif/actif avec simplement plusieurs machines virtuelles.

Haute disponibilité vs tolérance aux fautes
En savoir plus >

Chaque serveur peut être le serveur de reprise de l'autre serveur.
Exception logicielle avec redémarrage dans un autre environnement OS.
Upgrade en douceur de l'application et de l'OS possible serveur par serveur (les versions N et N+1 peuvent coexister)

Serveur secondaire dédié à l'exécution de la même application synchronisée au niveau instruction.
Exception logicielle sur les 2 serveurs en même temps.
Upgrade en douceur impossible

Réplication synchrone vs réplication asynchrone
En savoir plus >

SafeKit met en œuvre une réplication temps réel synchrone sans perte de données en cas de panne

Avec une réplication asynchrone, il y a une perte de données en cas de panne

Réplication de fichiers au niveau octet vs réplication de disque au niveau du bloc
En savoir plus >

SafeKit met en œuvre la réplication de fichiers temps réel au niveau octet et se configure simplement avec les répertoires applicatifs à répliquer même dans le disque système

La réplication de disque au niveau bloc est complexe à configurer et nécessite de mettre les données de l'application dans un disque spécial

Heartbeat, reprise sur panne et quorum pour éviter 2 serveurs maîtres
En savoir plus >

Pour éviter 2 serveur maîtres, SafeKit propose un simple "split brain checker" configuré sur un routeur

Pour éviter 2 serveur maîtres, les autres clusters demandent une configuration complexe avec une 3^ième machine, un disque de quorum spécial, une interconnexion spéciale

Adresse IP virtuelle
primaire/secondaire, load balancing réseau, basculement sur panne
En savoir plus >

Aucun serveur proxy dédié et aucune configuration réseau particulière ne sont requis dans un cluster SafeKit pour mettre en œuvre des adresses IP virtuelles

Une configuration réseau spéciale est requise dans d'autres clusters pour mettre en œuvre des adresses IP virtuelles. A noter que SafeKit propose un vérificateur d'état adapté aux équilibreurs de charge

Architectures de clustering avancée

Plusieurs modules peuvent être déployés dans le même cluster. Ainsi, des architectures de clustering avancées peuvent être mises en œuvre :

un cluster qui mixte ferme et miroir avec le déploiement d’un module ferme et d’un module miroir dans le même cluster,
un cluster actif/actif avec réplication en déployant plusieurs modules miroirs sur 2 serveurs,
un cluster Hyper-V ou un cluster KVM avec réplication temps réel et reprise de machines virtuelles complètes entre 2 hyperviseurs actifs,
un cluster N-1 avec le déploiement de N modules miroirs sur N+1 serveurs.

SafeKit avec le module Hyper-V ou le module KVM	Microsoft Hyper-V Cluster & VMware HA

Pas de disque partagé - réplication temps réel synchrone à la place avec 0 perte de données	Disque partagé et baie de disques externe spécifique
Sites distants = pas de SAN pour la réplication	Sites distants = baies de disques répliquées à travers un SAN
Aucune compétence informatique spécifique pour configurer le système	Compétence informatique spécifique pour configurer le système

HA de VMs avec le module Hyper-V ou KVM de SafeKit	HA d'application avec les modules applicatifs de SafeKit
SafeKit dans 2 hyperviseurs Réplication et reprise de VM complète	SafeKit dans 2 machines virtuelles ou physiques Réplication et reprise au niveau applicatif
Réplique plus de données (App+OS)	Réplique seulement les données applicatives
Reboot de la machine virtuelle sur l'hyperviseur 2 si l'hyperviseur 1 crash Temps de reprise dépendant du reboot de l'OS	Temps de reprise rapide avec redémarrage de l'application sur OS2 en cas de panne du serveur 1 Autour d'1 mn ou moins (voir RTO/RPO ici) Checker applicatif et reprise sur panne logicielle
Solution générique pour n'importe quelle application / OS	Scripts de redémarrage à écrire dans des modules applicatifs de haute disponibilité

Partage de charge réseau et reprise sur panne
Windows farm	Linux farm
Generic farm >	Generic farm >
Microsoft IIS >	-
NGINX >
Apache >
Amazon AWS farm >
Microsoft Azure farm >
Google GCP farm >
Other cloud >

Siemens SIMATIC WinCC : redondance & haute disponibilité avec une solution active active très simple

Avec la réplication temps réel et le basculement sur panne d'Evidian SafeKit

Comment mettre en œuvre la redondance de Siemens SIMATIC WinCC avec un cluster de haute disponibilité très simple ?

La solution pour Siemens SIMATIC WinCC

Pas de matériel spécifique, pas d'hyperviseur spécifique

À propos des produits sous licence Siemens LMS

SafeKit apporte deux solutions pour la redondance et la haute disponibilité des logiciels SCADA

Redondance et haute disponibilité au niveau de l'application

Redondance et haute disponibilité au niveau machine virtuelle

SafeKit, une solution reconnue sur le marché SCADA

Solution préférée par Siemens

SafeKit choisi par le groupe Alstef

Fives Syleps a choisi SafeKit

Comparaison

Réplication Hyper-V intégrée

Clustering Microsoft (idem avec VMware HA)

Evidian SafeKit

Essai gratuit de SafeKit + module miroir Hyper-V pour Siemens SIMATIC WinCC + guide d'installation rapide

Prérequis

Installation du package sous Windows

Installation du module sous Windows

1. Prérequis

2. Lancez la console SafeKit

3. Configurez les adresses des nœuds

4. Choisissez le module

5. Configurez le module

6. Vérifiez la réussite de la configuration

7. Démarrez le nœud avec des données à jour

8. Attendez le passage à ALONE (vert)

9. Démarrez le nœud 2

10. Vérifiez que le cluster est opérationnel

11. Testez

12. Custom checker pour détecter un dysfonctionnement de la VM

Comment modifier conf/userconfig.xml pour configurer le custom checker

13. Redémarrage automatique en cas de panne d'un service critique dans la VM

14. Supprimez le démarrage de VM1 dans Hyper-V au boot

Journal du module

Journal applicatif

Configuration avancée

Support

Démonstration d'un cluster Hyper-V avec Evidian SafeKit entre deux serveurs redondants

Comment fonctionne un cluster Hyper-V avec réplication et basculement sur panne de Siemens SIMATIC WinCC ?

Etape 1. Réplication en temps réel

Etape 2. Basculement automatique

Etape 3. Réintégration après panne

Etape 4. Retour à la normale

Utilisation typique avec SafeKit

Pourquoi une réplication de quelques Tera-octets ?

Pourquoi une réplication < 1 000 000 fichiers ?

Pourquoi un basculement < 25 VMs répliquées ?

Pourquoi un réseau LAN/VLAN entre sites distants ?

Partenaires, le succès avec SafeKit

Logiciel de gestion des bâtiments (BMS)

Logiciel de gestion vidéo (VMS)

Contrôle d'accès électroniques (EACS)

Logiciels SCADA (Industrie)

Clients de SafeKit dans tous les domaines d'activité

Meilleurs cas d'utilisation [+]

Gestion vidéo, contrôle d'accès, gestion des bâtiments [+]

Télévision numérique [+]

Finance [+]

Industrie [+]

Transport aérien [+]

Banque [+]

Transport métropolitain [+]

Santé [+]

Gouvernement [+]

Démonstrations de solutions de redondance et de haute disponibilité

Webinaire SafeKit

Cluster Microsoft SQL Server

Cluster Apache

Cluster Hyper-V

Différentiateurs de la solution de redondance et de haute disponibilité par rapport à la concurrence

Modules SafeKit pour des solutions de redondance et de haute disponibilité plug&play

Partage de charge réseau et reprise sur panne

Architectures de clustering avancée

Réplication de fichiers temps réel et reprise sur panne

Documentation technique de SafeKit

Guide de l'utilisateur

Modules applicatifs