З-за змушаных канікулаў нават буйным кампаніям з развітой IT-інфраструктурай складана арганізаваць выдаленую працу персанала, а ў малога бізнэсу папросту бракуе рэсурсаў для разгортвання неабходных сэрвісаў. Іншая праблема звязана з інфармацыйнай бяспекай: адкрываць доступ ва ўнутраную сетку з хатніх кампутараў супрацоўнікаў рызыкоўна без ужывання спецыялізаваных прадуктаў карпаратыўнага класа. Арэнда віртуальных сервераў не патрабуе капітальных выдаткаў і дазваляе вынесці часавыя рашэнні за межы абароненага перыметра. У невялікім артыкуле мы разгледзім некалькі тыпавых сцэнараў выкарыстання VDS ва ўмовах самаізаляцыі. Адразу варта адзначыць, што артыкул азнаямленчая і арыентавана больш на тых, хто толькі ўнікае ў тэму.
1. Ці варта выкарыстоўваць VDS для наладкі VPN?
Віртуальная прыватная сетка неабходна для бяспечнага доступу супрацоўнікаў да ўнутраных карпаратыўных рэсурсаў праз інтэрнэт. Сервер VPN можна падняць на роўтары ці ўсярэдзіне абароненага перыметра, але ва ўмовах самаізаляцыі колькасць падлучаных адначасова выдаленых карыстачоў павялічыцца, а значыць спатрэбіцца прадукцыйны роўтар ці вылучаны кампутар. Выкарыстоўваць наяўныя (напрыклад, паштовы сервер ці вэб-сервер) небяспечна. У шматлікіх кампаніях VPN ужо працуе, але калі яе яшчэ няма або адвольнасць роўтара недастатковая для абслугоўвання ўсіх выдаленых падлучэнняў, замова вонкавага віртуальнага сервера дазволіць зэканоміць сродкі і спросціць наладу.
2. Як арганізаваць сэрвіс VPN на VDS?
Спачатку неабходна замовіць VDS. Для стварэння ўласнай VPN магутныя канфігурацыі невялікім кампаніям не патрэбныя – хопіць сервера пачатковага ўзроўню на GNU/Linux. Калі вылічальных рэсурсаў апынецца недастаткова, іх заўсёды можна нарасціць. Застаецца абраць пратакол і праграмнае забеспячэнне для арганізацыі кліенцкіх падлучэнняў да сервера VPN. Варыянтаў шмат, мы рэкамендуем спыніцца на Ubuntu Linux і - гэты адкрыты кросплатформавы сервер і кліент VPN просты ў наладзе, падтрымлівае розныя пратаколы і забяспечвае надзейнае шыфраванне. Пасля канфігуравання сервера застанецца самае цікавае: кліенцкія ўліковыя запісы і настройка выдаленых падлучэнняў з хатніх кампутараў супрацоўнікаў. Каб забяспечыць доступ супрацоўнікаў у офісную ЛВС, прыйдзецца падлучыць сервер да роўтара лакальнай сеткі праз шыфраваны тунэль і тут нам зноў дапаможа SoftEther.
3. Навошта патрэбен уласны сэрвіс відэаканферэнцсувязі (ВКС)?
Электроннай пошты і месэнджараў недастаткова для замены штодзённых зносін у офісе па працоўных пытаннях або для дыстанцыйнага навучання. З пераходам на выдаленне малы бізнес і адукацыйныя ўстановы сталі больш актыўна асвойваць агульнадаступныя сэрвісы для арганізацыі тэлеканферэнцый у аўдыё і відэафармаце. Нядаўні з Zoom выявіў згубнасць гэтай ідэі: аказалася, што нават лідэры рынку недастаткова добра клапоцяцца аб канфiдэнцыяльнасцi.
Стварыць уласны сэрвіс канферэнцсувязі можна, але разгортваць яго ў офісе не заўсёды мэтазгодна. Для гэтага запатрабуецца прадукцыйны кампутар і, самае галоўнае, высокая прапускная здольнасць інтэрнэт-падлучэнні. Не маючы досведу, адмыслоўцы кампаніі могуць няслушна разлічыць запатрабаванні ў рэсурсах і замовіць занадта слабую ці занадта магутную і дарагую канфігурацыю, а пашырыць канал на якія арандуюцца ў бізнэс-цэнтры пляцах атрымліваецца не заўсёды. Акрамя таго запускаць усярэдзіне абароненага перыметра даступны з інтэрнэту сэрвіс ВКС - не лепшая з пункту гледжання інфармацыйнай бяспекі ідэя.
Віртуальны сервер ідэальна падыходзіць для рашэння задачы: ён патрабуе толькі штомесячнай абанплата, пры гэтым вылічальную магутнасць можна павялічваць або памяншаць як заўгодна. Да таго ж на VDS нескладана разгарнуць абаронены месэнджэр з магчымасцю групавых чатаў, хелпдэск, сховішча дакументаў, рэпазітар зыходных тэкстаў і любы іншы спадарожны часавы сэрвіс для калектыўнай працы і навучанні дома. Віртуальны сервер не абавязкова падлучаць да офіснай сеткі, калі працавальныя на ім прыкладанні таго не патрабуюць: патрэбныя дадзеныя можна проста скапіяваць.
4. Як арганізаваць калектыўную працу і навучанне дома?
У першую чаргу неабходна абраць праграмнае ВКС-рашэнне. Малому бізнэсу варта арыентавацца на бясплатныя і ўмоўна бясплатныя прадукты, такія, напрыклад, як - Гэтая адкрытая платформа дазваляе праводзіць відэаканферэнцыі, вэбінары, трансляцыі і прэзентацыі, а таксама арганізоўваць дыстанцыйнае навучанне. Яе функцыянальнасць аналагічная функцыянальнасці камерцыйных сістэм:
- перадача відэа і гуку;
- агульныя дошкі і агульныя экраны;
- агульныя і прыватныя чаты;
- паштовы кліент для перапіскі і рассылак;
- убудаваны каляндар для планавання мерапрыемстваў;
- апытанні і галасаванні;
- абмен дакументамі і файламі;
- запіс вэб-мерапрыемстваў;
- неабмежаваную колькасць віртуальных пакояў;
- мабільны кліент пад Android.
Варта адзначыць высокі ўзровень бяспекі OpenMeetings, а таксама магчымасці кастамізацыі і інтэграцыі платформы з папулярнымі CMS, навучальнымі сістэмамі і офіснай IP-тэлефаніяй. Недахоп рашэння з'яўляецца следствам яго добрых якасцяў: гэта даволі складанае ў наладзе адкрытае ПЗ. Яшчэ адзін адкрыты прадукт з падобнай функцыянальнасцю - . Невялікія каманды могуць абраць умоўна-бясплатныя версіі камерцыйных сервераў ВКС, такіх, напрыклад, як айчынныя. або . Апошні падыходзіць і для вялікіх арганізацый: з-за рэжыму самаізаляцыі распрацоўшчык бясплатна выкарыстоўваць версію на 1000 карыстальнікаў на працягу трох месяцаў.
На наступным этапе трэба вывучыць дакументацыю, разлічыць запатрабаванне ў рэсурсах і замовіць VDS. Звычайна для разгортвання сервера ВКС патрабуюцца канфігурацыі сярэдняга ўзроўня на GNU/Linux ці Windows з дастатковым аб'ёмам аператыўнай памяці і сховішчы. Вядома ўсё залежыць ад развязальных задач, але VDS дазваляе эксперыментаваць: дадаць рэсурсаў ці адмовіцца ад непатрэбных тут ніколі не позна. Напрыканцы застанецца самае цікавае: наладзіць сервер ВКС і спадарожнае ПЗ, завесці карыстацкія ўліковыя запісы і пры неабходнасці ўсталяваць кліенцкія праграмы.
5. Чым замяніць небяспечныя хатнія камп'ютары?
Нават калі ў кампаніі ёсць віртуальная прыватная сетка, гэта не вырашыць усіх праблем з бяспечнай выдаленай працай. У звычайных умовах да VPN падлучаецца не так шмат людзей з абмежаваным доступам да ўнутраных рэсурсаў. Калі ўвесь офіс працуе дома - гэта зусім іншы від спорту. Асабістыя кампутары супрацоўнікаў могуць быць заражаныя шкоднасным ПЗ, імі карыстаюцца дамачадцы, а канфігурацыя машын часта не адпавядае карпаратыўным патрабаванням.
Выдаваць усім наўтбукі накладна, навамодныя хмарныя рашэнні па віртуалізацыі дэсктопаў таксама нятанныя, але ёсць выйсце – службы выдаленага працоўнага стала (Remote Desktop Services або RDS) на Windows. Разгарнуць іх на віртуальнай машыне - выдатная ідэя. Усе супрацоўнікі будуць працаваць са стандартным наборам прыкладанняў і кантраляваць доступ да сэрвісаў ЛВС з адзінага вузла стане нашмат прасцей. Можна нават арандаваць віртуальны сервер разам з антывірусным ПЗ, каб зэканоміць на набыцці ліцэнзіі. Скажам у нас у любой канфігурацыі на Windows даступная антывірусная абарона ад лабараторыі Касперскага.
6. Як наладзіць RDS на віртуальным сэрвэры?
Для пачатку трэба замовіць VDS, арыентуючыся на запатрабаванне ў вылічальных рэсурсах. У кожным выпадку яна індывідуальная, але для арганізацыі RDS патрэбна магутная канфігурацыя: не менш за чатыры вылічальных ядраў, па гігабайце памяці на кожнага з працуючых адначасова карыстачоў і каля 4 ГБ для сістэмы, а таксама досыць вялікі аб'ём назапашвальніка. Прапускную здольнасць канала варта разлічваць, зыходзячы з запатрабавання ў 250 Кбіт/сек на карыстача.
У штатнай камплектацыі Windows Server дазваляе адначасова стварыць не больш за дзве сесіі RDP і толькі для адміністравання кампутара. Для налады паўнавартасных службаў выдаленых працоўных сталоў прыйдзецца дадаць серверныя ролі і кампаненты, актываваць сервер ліцэнзавання ці выкарыстоўваць вонкавы, а таксама ўсталяваць кліенцкія ліцэнзіі (CAL), якія набываюцца асобна. Арэнда магутнага VDS і тэрмінальныя ліцэнзіі для Windows Server абыйдуцца нятанна, але гэта выгодней куплі "жалезнага" сервера, які будзе патрэбен адносна нядоўга і для якога ўсё роўна прыйдзецца набываць RDS CAL. Да таго ж ёсць варыянт не плаціць за ліцэнзіі на законных падставах: на працягу 120 дзён RDS можна выкарыстоўваць у азнаямленчым рэжыме.
Пачынальна з Windows Server 2012 для выкарыстання RDS машыну пажадана ўвесці ў дамен Active Directory (AD). Хоць без гэтага ў шматлікіх выпадках можна абыйсціся, падлучыць асобны віртуальны сервер з рэальным IP да разгорнутага ў офіснай ЛВС дамену праз VPN нескладана. Да таго ж карыстачам усё роўна запатрабуецца доступ з віртуальных працоўных сталоў да ўнутраных карпаратыўных рэсурсаў. Каб аблегчыць сабе жыццё, варта звярнуцца да правайдэра, які сам падніме сэрвісы на віртуальнай машыне кліента. У прыватнасці калі набыць ліцэнзіі RDS CAL у RuVDS, наша тэхпадтрымка ўсталюе іх на ўласны сервер ліцэнзавання і наладзіць службы выдаленых працоўных сталоў на віртуальнай машыне кліента.
Выкарыстанне RDS пазбавіць IT-адмыслоўцаў ад галаўнога болю з прывядзеннем праграмнай канфігурацыі хатніх кампутараў супрацоўнікаў да агульнага карпаратыўнага назоўніка і істотна спросціць выдаленае адміністраванне працоўных месцаў карыстачоў.
А як у вашай кампаніі рэалізаваны цікавыя ідэі выкарыстання VDS падчас усеагульнай самаізаляцыі?
Крыніца: habr.com