До нашите две сгради, между които имаше 500 метра тъмна оптика, решиха да изкопаят голяма дупка в земята. За озеленяване на територията (като последен етап от полагането на топлопровода и изграждането на входа на новото метро). За това ви трябва багер. От онези дни не мога да ги гледам спокойно. Общо взето това, което се случи, неизбежно се случва, когато багер и оптика се срещнат в една точка на пространството. Можем да кажем, че това е природата на багера и той не можеше да пропусне.
Основният ни сървър се намираше в една сграда, а офисът се намираше в друга на половин километър. Резервният канал беше интернет чрез VPN. Поставихме оптика между сградите не от съображения за сигурност, не от банална икономическа ефективност (по този начин трафикът беше по-евтин, отколкото чрез услугите на доставчика), а просто поради скоростта на връзката. И просто защото сме едни и същи хора, които могат и знаят как да поставят оптика в кутии. Но банките правят кръгове и с втора връзка по различен маршрут, цялата икономика на проекта ще се разпадне.
Всъщност точно в момента на почивката преминахме на дистанционна работа. В собствения си офис. По-точно в две наведнъж.
Преди скалата
Поради редица причини (включително и бъдещия план за развитие) стана ясно, че до няколко месеца ще се наложи преместване на сървърното помещение. Започнахме бавно да проучваме възможните опции, включително търговски център за данни. Имахме отлични контейнерни дизелови двигатели, но когато на територията на завода се появи жилищен комплекс, ни помолиха да ги премахнем, в резултат на което загубихме гарантирано електрозахранване и в резултат на това възможността да прехвърляме изчислително оборудване от отдалечена сграда към сървърно помещение в офиса.
Когато багерът се приближи до сградата, ние като компания продължихме да работим пълноценно (но с влошаване на нивото на вътрешните услуги поради изоставане). И те ускориха прехвърлянето на сървърната стая към център за данни и полагането на оптика между офисите. Доскоро разполагахме с цялата си разпределена инфраструктура на VPN звезди на доставчика. Някога е бил построен по този начин исторически. Проектът е разработен така, че оптиката във всеки участък между различни възли да не попада в един и същи кабелен канал. Точно този февруари завършихме проекта: основното оборудване беше транспортирано до търговски център за данни.
След това почти веднага започна масова дистанционна работа по биологични причини. VPN съществуваше и преди, методите за достъп също, никой не внедри нещо ново. Но никога досега задачата не е била поставяна всеки с пълен набор от ресурси да използва VPN едновременно. За щастие преместването в центъра за данни направи възможно значително разширяване на каналите за достъп до Интернет и свързване на целия персонал без ограничения.
Тоест логично трябва да благодаря на този багер. Защото без него щяхме да се преместим много по-късно и нямаше да имаме готови сертифицирани и доказани решения за затворени сегменти.
Ден X
Липсваха само лаптопи за част от служителите, тъй като цялата инфраструктура за дистанционна работа вече беше изградена. Тогава всичко е просто: успяхме да издадем няколкостотин лаптопа, преди да започнем отдалечена работа. Но това беше резервният ни фонд: замени за ремонти, стари коли. Те не се опитаха да купят, защото в този момент започнаха малки аномалии на пазара. На 31 март той написа:
Прехвърлянето на служители на руски компании към дистанционна работа доведе до масови покупки на лаптопи и изчерпване на запасите им в складовете на системни интегратори и дистрибутори. Доставките на ново оборудване може да отнеме от два до три месеца.
Запасите на дистрибуторите се разпродаваха поради спешност. По груби изчисления новите доставки трябваше да пристигнат едва през юли и не е ясно какво се случва, тъй като горе-долу по същото време започна скокът с курса на рублата.
Преносими компютри
Имаме изгубени устройства. Официалната причина най-често е ниската отговорност на служителите. Това е, когато човек ги забрави във влак или такси. Понякога устройствата се крадат от автомобили. Разгледахме различни варианти за решения против кражба - всички те имаха недостатъка, че всъщност загубата не може да бъде предотвратена.
Самият лаптоп с Windows, разбира се, е ценен като материален актив, но много по-важно е той да не бъде компрометиран и данните в него да не отиват някъде другаде.
От лаптоп можете да отидете до терминалния сървър с помощта на двуфакторно удостоверяване. На теория на самото устройство ще се съхраняват само локални лични файлове на служителя. Всичко критично е на работния плот в терминала. През него се минава целият достъп. Операционната система на крайния потребител не е важна - у нас хората спокойно могат да използват Win desktop с MacOS.
От някои устройства можете да установите директна VPN връзка с ресурси. И тогава има софтуер, който е свързан с хардуера за производителност (например AutoCAD) или нещо, което изисква токен за флаш устройство и версия на Internet Explorer не по-ниска от 6.0. Фабриките все още често използват това. В този случай, разбира се, задаваме достъп до локалната машина.
За администриране използваме правила за домейн и Microsoft SCCM плюс Tivoli Remote Control за отдалечена връзка с потребителско разрешение. Администраторът може да се свърже, когато самият краен потребител изрично е разрешил това. Самите актуализации на Windows преминават през вътрешен сървър за актуализиране. Има набор от машини, на които те са инсталирани и тествани основно там - изглежда, че няма проблеми в нашия софтуерен стек с новата актуализация и че новата актуализация няма проблеми с нови грешки. След ръчно потвърждение се дава командата за изхвърляне. Когато VPN не работи, ние използваме Teamviewer, за да помогнем на потребителя. Почти всички производствени отдели имат административни права на локални машини, но в същото време са официално уведомени, че не могат да инсталират пиратски софтуер или да съхраняват различни забранени материали. Отдел Човешки ресурси, продажби и счетоводство нямат администраторски права поради липса на нужда. Основният проблем е да инсталирате софтуер сами и не толкова с пиратския софтуер, а с факта, че новият софтуер може да унищожи стека ни. Историята за пиратството е стандартна: дори ако пиратски Photoshop бъде открит на личния лаптоп на потребителя, който по някаква причина е бил на работното място, компанията получава глоба. Дори ако лаптопът не е в баланса, но има работен плот до него на масата, която е в баланса, и в документите, записани за потребителя. Бяхме предупредени за това по време на одита на сигурността, като се вземе предвид руската правоприлагаща практика.
Ние не използваме BYOD; най-важното нещо за телефоните е платформата Lotus Domino за управление на документи и поща. Препоръчваме на потребителите с висока степен на сигурност да използват стандартното решение IBM Traveler (сега HCL Verse). По време на инсталацията ви дава права да изчистите данните на устройството и самите профили за поща. Използваме това в случай на кражба на мобилни устройства. С iOS е по-трудно, има само вградени инструменти.
Ремонти извън „смяна на RAM, захранване или процесор“ са замени и ремонтираното устройство обикновено не се връща. По време на нормална работа служителите бързо носят лаптопа на инженерите по поддръжката, те бързо го диагностицират. Много е важно винаги да има асортимент от лаптопи с възможност за гореща смяна със същата производителност, в противен случай потребителите ще надграждат по този начин. И ремонтите рязко ще се увеличат. За да направите това, трябва да поддържате запас от стари модели. Сега се използваше за разпространение.
VPN
VPN към работни ресурси - Cisco AnyConnect, работи на всички платформи. Като цяло сме доволни от решението. Анализираме една или две дузини профили за различни групи потребители с различен достъп на ниво мрежа. На първо място, разделяне според списъка за достъп. Най-разпространен е достъпът от лични устройства и от лаптоп до стандартни вътрешни системи. Има разширен достъп за администратори, разработчици и инженери с вътрешни лабораторни мрежи, където системите за тестване и разработване на решения също са на ACL.
В първите дни на масовия преход към дистанционна работа се сблъскахме с увеличаване на потока от заявки към сервизното бюро поради факта, че потребителите не четат изпратените инструкции.
Обща работа
Не видях никакво влошаване в моята част, свързано с недисциплинираност или някакъв вид отпускане, за което се пише толкова много.
Игор Каравай, заместник-началник на отдела за информационна поддръжка.
Източник: www.habr.com