Побач з двума нашымі будынкамі, паміж якімі было 500 метраў цёмнай оптыкі, вырашылі выкапаць вялікую яму ў зямлі. Для добраўпарадкавання тэрыторыі (як завяршальнага этапу пракладкі цеплатрасы і будаўніцтва ўваходу ў новае метро). Для гэтага патрэбен экскаватар. З таго часу я не магу на іх спакойна глядзець. Увогуле, здарылася тое, што немінуча здараецца, калі ў адной кропцы прасторы сустракаецца экскаватар і оптыка. Можна сказаць, што такая прырода экскаватара і прамахнуцца ён не мог.
У адным будынку знаходзілася наша асноўная серверная пляцоўка, а ў іншым праз паўкіламетра - офіс. Рэзервовым каналам быў Інтэрнэт праз VPN. Оптыку мы паклалі паміж будынкамі не па меркаваннях бяспекі, не з банальнай эканамічнай эфектыўнасці (так трафік атрымліваўся танней, чым праз сэрвісы правайдэра), а тады - проста з-за хуткасці злучэння. І проста таму, што мы тыя самыя людзі, якія могуць і ўмеюць класці оптыку банкам. Але банкі робяць кольцы, а пры другім лінку іншым маршрутам уся эканоміка праекта пасыпалася б.
Уласна, менавіта ў момант абрыву мы і перайшлі на аддаленне. У сваім уласным офісе. Дакладней, у двух адразу.
Да абрыву
Па шэрагу чыннікаў (уключаючы план будучай забудовы) стала зразумела, што трэба будзе праз некалькі месяцаў пераносіць серверную. Мы пачалі не спяшаючыся даследаваць магчымыя варыянты, і ў тым ліку, разглядалі камерцыйны ЦАД. У нас былі выдатныя кантэйнерныя дызелі, але калі на тэрыторыі завода ўзнік жылы комплекс, нас папрасілі іх прыбраць, у выніку чаго мы пазбавіліся гарантаванага электрасілкавання і, як следства, магчымасці пераносу вылічальнага абсталявання з выдаленага будынка ў серверную на тэрыторыі офіса.
Калі экскаватар падкраўся да будынка, мы як кампанія працягнулі працу ў поўным аб'ёме (але з пагаршэннем узроўня ўнутраных сэрвісаў з-за лагаў). І фарсіраваліся па перакладзе сервернай у ЦАД і пракладкі оптыкі паміж офісамі. Яшчэ нядаўна ўся размеркаваная інфраструктура ў нас была на правайдэрскіх VPN-зорках. Калісьці гэта было так збудавана гістарычна. Праект прапрацоўваўся так, каб оптыка на любым участку паміж рознымі вузламі не апыналася ў адной кабельнай каналізацыі. Літаральна ў гэтым вось лютым завяршылі: асноўнае абсталяванне перавезлі ў камерцыйны ЦАД.
Потым амаль адразу пачаўся масавы аддаленьне ўжо па біялагічных прычынах. VPN існаваў і раней, метады доступу таксама, нічога новага спецыяльна ніхто не разгортваў. Але ніколі да гэтага не ставілася задача хадзіць праз VPN адначасова ўсім з поўным наборам рэсурсаў. На шчасце, пераезд у ЦАД якраз даў магчымасць моцна пашырыць каналы доступу ў Інтэрнет і падключацца ўсім штатам без абмежаванняў.
Гэта значыць, па логіцы, мне варта было б падзякаваць гэты экскаватар. Таму што без яго мы б пераехалі істотна пазней, і ў нас не былі б гатовы сертыфікаваныя і правераныя рашэнні па зачыненых сегментах.
Дзень Х
Бракавала толькі наўтбукаў у часткі супрацоўнікаў, таму што была ўжо ўся інфраструктура для выдаленай працы. Далей усё проста: мы змаглі выдаць некалькі сотняў наўтбукаў перад пачаткам выдаленай працы. Але гэта быў наш рэзервовы фонд: падменныя для рамонтаў, старыя машыны. Купляць не спрабавалі, бо ў гэты момант на рынку пачаліся невялікія анамаліі. 31 сакавіка пісаў:
Перавод супрацоўнікаў расійскіх кампаній на выдаленую працу прывёў да масавых закупак наўтбукаў і знясілення іх запасаў на складах сістэмных інтэгратараў і дыстрыбутараў. На пастаўкі новай тэхнікі можа спатрэбіцца два-тры месяцы.
З-за тэрміновасці распрадаваліся складскія запасы дыстрыбутараў. Па прыкладных падліках, новыя пастаўкі павінны былі б прыехаць толькі ў ліпені, і тое незразумела, што адбывалася, таму што прыкладна ў гэты ж час пачалася чахарда з курсам рубля.
Ноўтбукі
У нас здараюцца страты прылад. Афіцыйная прычына часцей за ўсё - невысокая адказнасць супрацоўнікаў. Гэта калі чалавек забывае іх у электрычцы, таксі. Часам прылады крадуць з машын. Мы прагледзелі розныя варыянты антыкражных рашэнняў - у іх ва ўсіх быў недахоп у тым, што прадухіліць, па сутнасці, згубу нельга.
Сам па сабе наўтбук на Windows, вядома, каштоўны, як матэрыяльны актыў, але значна важней, каб ён не быў скампраметаваны і каб дадзеныя на ім не сышлі кудысьці налева.
З наўтбука можна перайсці на тэрмінальны сервер праз двухфактарную аўтэнтыфікацыю. На самой прыладзе, па ідэі, будуць захоўвацца толькі лакальныя асабістыя файлы супрацоўніка. Усё крытычнае ляжыць на працоўным стале ў тэрмінале. Усе доступы пракідваюцца праз яго. Аперацыйная сістэма канчатковага карыстальніка не важная – у нас людзі спакойна ходзяць на Win-стол і з MacOS.
З некаторых прылад можна ўсталяваць прамое VPN-злучэнне да рэсурсаў. І яшчэ ёсць софт, які прывязаны да абсталявання па прадукцыйнасці (напрыклад, AutoCAD) ці нешта, што патрабуе флэшкі-токена і Internet Explorer не ніжэй версіі 6.0. Заводы да гэтага часу такое часта выкарыстоўваюць. У такім разе, вядома, ставім доступ на лакальную машыну.
Для адміністравання выкарыстоўваем даменныя палітыкі і Microsoft SCCM плюс Tivoli Remote Control для выдаленага падлучэння з дазволу карыстальніка. Адміністратар можа падлучацца, калі канчатковы карыстач сам відавочна дазволіў. Самі абнаўленні Windows праходзяць праз унутраны сервер абнаўленняў. Ёсць пул машын, на якіх у першую чаргу ўсталёўваюцца і абкатваюцца там, - глядзіцца, што няма праблем у нашым стэку ПА з новым апдэйтам і што ў новага апдэйта няма праблем з новымі багамі. Пасля ручнога пацверджання даецца каманда на раскатку. Калі не працуе VPN, каб дапамагчы карыстачу, выкарыстоўваем Тимвьюер. Амаль усе вытворчыя падраздзяленні маюць адмін-правы на лакальных машынах, але пры гэтым жа афіцыйна апавешчаныя аб тым, што нельга ставіць пірацкі софт і захоўваць розныя забароненыя матэрыялы. У кадраў, аддзела продажу і бухгалтэрыі няма адмінскіх правоў з-за адсутнасці неабходнасці. Галоўная праблема ў самастойнай усталёўцы ПА, і не колькі ў пірацкім, а ў тым, што новы софт можа разбурыць наш стэк. Пра пірацкае гісторыя стандартная: нават калі на асабістым ноўтбуку карыстальніка, які знаходзіўся чамусьці на працоўным месцы, знойдуць пірацкі Фотошоп - штраф, які атрымлівае кампанія. Нават калі наўтбук не стаіць на балансе, а побач на стале стаіць дэсктоп, які стаіць на балансе, і ў запісаных за карыстальнікам дакументах. Нас аб гэтым папярэдзілі на аўдыце бяспекі з улікам расійскай правапрымяняльнай практыкі.
BYOD не выкарыстоўваем, з важнага для тэлефонаў - платформа Lotus Domino для дакументазвароту і пошты. Мы рэкамендуем карыстальнікам з высокім узроўнем допуску выкарыстоўваць стандартнае рашэнне IBM Traveller (зараз HCL Verse). У ім пры ўсталёўцы даюцца правы на ачыстку дадзеных дэвайса і ачыстку профіляў самой пошты. Мы карыстаецца гэтым у выпадку крадзяжоў мабільных прылад. З iOS складаней, тамака толькі ўбудаваныя сродкі.
Рамонты за межамі «памяняць аператыўку, блок сілкавання ці працэсар» заменай, прычым адрамантаваная прылада звычайна не вяртаецца. Пры звычайнай працы - супрацоўнікі хутка прыносяць ноўтбук інжынерам падтрымкі, яны хутка дыягнастуюць. Вельмі важна, каб заўсёды быў асартымент тых жа па прадукцыйнасці наўтбукаў на гарачую замену, інакш карыстачы так будуць апгрэдзіцца. І рамонты рэзка павялічацца. Дзеля гэтага трэба трымаць запас старых мадэляў. Цяпер менавіта яго выкарыстоўвалі для раздачы.
VPN
VPN да працоўных рэсурсаў – Cisco AnyConnect, працуе на ўсіх платформах. У цэлым рашэннем задаволены. Разбіраны на адзін-два дзясятка профіляў пад розныя групы карыстачоў з рознымі доступамі на сеткавым узроўні. У першую чаргу падзел па аксэс-лісце. Самае масавае – доступ з асабістых прылад і з наўтбука да стандартных унутраных сістэм. Бываюць пашыраныя доступы адміністратараў, распрацоўшчыкаў і інжынераў з унутранымі лабараторнымі сеткамі, дзе сістэмы тэставання-распрацоўкі рашэнняў – гэта таксама на ACL.
У першыя дні масавага пераходу на выдаленую працу сутыкнуліся з павелічэннем патоку зваротаў у сэрвіс-дэск у сувязі з тым, што карыстачы не чытаюць рассыланыя інструкцыі.
Агульная праца
Я не ўбачыў пагаршэнняў у сваім падраздзяленні, звязаных з недысцыплінаванасцю ці нейкім расслабленнем, пра якое так шмат пішуць.
Ігар Каравай, намеснік начальніка аддзела інфармацыйнага забеспячэння.
Крыніца: habr.com