工业协议栈断网重连：如何设计状态机避免与systemd依赖树死锁

在工业现场，PLC、传感器网关与SCADA服务器之间的网络抖动是常态。当开发者在Linux系统上部署Modbus TCP、OPC UA或EtherNet/IP协议栈时，往往会陷入一个微妙的架构困境：应用层的重连状态机与systemd的服务依赖模型存在语义冲突。如果设计不当，网络闪断可能触发systemd的启动风暴，或导致依赖服务陷入无限等待。

本文基于实际产线部署经验，探讨如何在协议栈内部实现健壮的连接状态管理，同时与systemd的依赖树和平共处。

1. 问题本质：两种"健康"定义的差异

工业协议栈通常需要经历以下生命周期：

离线 → DNS解析 → TCP建立 → 协议握手（如Modbus的MBAP/OPC UA的SecureChannel） → 会话就绪 → 在线

而systemd的After=network-online.target仅保证网卡已获取IP，并不感知应用层协议状态。这导致三个典型故障场景：

• 虚假就绪：服务A依赖协议栈B，但B的TCP连接已建立而会话未就绪，A开始读写导致协议错误
• 重启风暴：协议栈配置Restart=always+短间隔，在网络中断时CPU被重启循环占满
• 死锁等待：上游服务设置Requires=protocol-stack.service，而协议栈因目标设备离线无法进入active (running)，整个依赖链阻塞

2. 状态机设计：将"连接"与"服务生命周期"解耦

正确的做法是将协议栈设计为常驻进程，其内部状态机与systemd的进程状态分离。推荐采用五态模型：

from enum import Enum, auto
import time
import random

class ConnState(Enum):
    INIT = auto()           # 初始/配置加载
    CONNECTING = auto()     # 正在建立传输层+应用层
    ONLINE = auto()         # 双向数据流正常
    DISCONNECTED = auto()   # 检测到对端无响应
    BACKOFF = auto()        # 冷却期，避免频繁重连

class IndustrialProtocolStack:
    def __init__(self):
        self.state = ConnState.INIT
        self.retry_count = 0
        self.max_backoff = 60  # 最大退避秒数
        
    def transition(self, event):
        """状态转换逻辑"""
        if event == "network_down":
            if self.state == ConnState.ONLINE:
                self.state = ConnState.DISCONNECTED
                self.retry_count = 0
                
        elif event == "reconnect_attempt":
            if self.state == ConnState.DISCONNECTED:
                self.state = ConnState.CONNECTING
                
        elif event == "handshake_success":
            self.state = ConnState.ONLINE
            self.retry_count = 0  # 重置退避计数
            
        elif event == "handshake_fail":
            self.state = ConnState.BACKOFF
            self.retry_count += 1
            
    def get_backoff_time(self):
        """指数退避+抖动，防止 thundering herd"""
        base = min(2 ** self.retry_count, self.max_backoff)
        jitter = random.uniform(0, 0.5)
        return base + jitter
        
    def run(self):
        """主循环：此函数永不退出，systemd视为存活"""
        while True:
            if self.state == ConnState.INIT:
                self.load_config()
                self.state = ConnState.CONNECTING
                
            elif self.state == ConnState.CONNECTING:
                try:
                    self.establish_transport()  # TCP连接
                    self.do_protocol_handshake() # 应用层认证
                    self.transition("handshake_success")
                    self.notify_systemd_ready()  # 发送sd_notify
                except Exception:
                    self.transition("handshake_fail")
                    
            elif self.state == ConnState.ONLINE:
                if not self.heartbeat_check():
                    self.transition("network_down")
                else:
                    self.process_io()
                    
            elif self.state in (ConnState.DISCONNECTED, ConnState.BACKOFF):
                time.sleep(self.get_backoff_time())
                self.transition("reconnect_attempt")
                
    def notify_systemd_ready(self):
        """关键：仅在应用层就绪时通知systemd"""
        import systemd.daemon
        systemd.daemon.notify("READY=1")

核心原则：进程启动≠连接就绪。协议栈进程应在启动后立即进入active (running)，无论网络是否可达；真正的"就绪"通过sd_notify通知systemd。

3. systemd配置：从"依赖启动"转向"能力发现"

避免使用Requires或After硬依赖协议栈服务，改用套接字激活（Socket Activation）或DBus信号进行松耦合。

方案A：Type=notify + 无重启策略

# /etc/systemd/system/industrial-gateway.service
[Unit]
Description=Industrial Protocol Gateway
# 不依赖network-online.target，避免启动阻塞
After=network.target

[Service]
Type=notify
ExecStart=/usr/bin/industrial-gateway
# 关键：让应用层处理重连，systemd仅处理进程崩溃
Restart=on-failure
RestartSec=5
# 防止OOM时无限重启
StartLimitInterval=60s
StartLimitBurst=3

# 环境变量：允许协议栈自定义重连参数
Environment="RECONNECT_MAX_RETRY=10"
Environment="RECONNECT_BASE_DELAY=1"

# 资源限制，防止重连风暴耗尽资源
MemoryMax=512M
CPUQuota=50%

[Install]
WantedBy=multi-user.target

方案B：套接字代理（适用于多客户端场景）

如果协议栈作为服务器（如OPC UA Server），使用套接字激活让systemd先监听端口，协议栈启动后再接管：

# industrial-opcua.socket
[Socket]
ListenStream=4840
Accept=no

[Install]
WantedBy=sockets.target

# industrial-opcua.service
[Unit]
Requires=industrial-opcua.socket

[Service]
ExecStart=/usr/bin/opcua-server
# 即使服务重启，连接由systemd缓冲，客户端无感知

4. 冲突规避实战策略

4.1 避免与NetworkManager的竞态

工业现场常使用静态IP或专用网桥，NetworkManager的连通性检测（connectivity check）可能与协议栈重连冲突。建议：

# 在协议栈服务中屏蔽NetworkManager的自动管理
ExecStartPre=/bin/nmcli device set eth0 managed no

4.2 分级健康检查

对于依赖协议栈的上游服务（如数据采集器），实现分层健康端点：

• Liveness: /health/live（进程存活，HTTP 200）
• Readiness: /health/ready（协议栈处于ONLINE状态）

配合Kubernetes或systemd的ExecStartPost进行就绪探测：

ExecStartPost=/bin/sh -c 'until curl -sf http://localhost:8080/health/ready; do sleep 1; done'

4.3 优雅处理SIGTERM

当systemd停止服务时，协议栈应完成当前事务再退出，避免写操作中途断开：

import signal

def graceful_shutdown(signum, frame):
    if stack.state == ConnState.ONLINE:
        stack.finish_pending_writes()
        stack.send_session_closure()  # 协议级优雅关闭
    sys.exit(0)

signal.signal(signal.SIGTERM, graceful_shutdown)

5. 监控与可观测性

在状态机关键转换点打日志，便于后期排查"为什么没重连"：

logger.info(f"State transition: {old_state.name} -> {new_state.name}", 
            extra={"retry_count": self.retry_count, "backoff": self.get_backoff_time()})

建议配合Prometheus导出状态指标：

• protocol_connection_state（0=offline, 1=online）
• protocol_reconnect_total（重连次数计数器）
• protocol_session_duration_seconds（会话持续时间，用于识别闪断）

总结

工业协议栈与systemd的和谐共处，关键在于职责分离：systemd负责进程守护与资源限制，协议栈负责网络弹性。通过将连接状态内化于应用层，采用指数退避避免重启风暴，利用Type=notify精确上报就绪状态，既能保证产线7×24小时自动恢复，又不会破坏系统服务的依赖拓扑。

底线原则：永远不要让systemd的Restart策略成为连接恢复的主导逻辑，它应当是最后一道防线，而非业务逻辑。