Pored naše dvije zgrade, između kojih je bilo 500 metara tamne optike, odlučili su da iskopaju veliku rupu u zemlji. Za uređenje teritorije (kao završna faza polaganja toplovoda i izgradnje ulaza u novi metro). Za to vam je potreban bager. Od tih dana nisam mogao mirno da ih gledam. Općenito, ono što se dogodilo neizbježno se dešava kada se bager i optika sretnu u jednoj tački prostora. Možemo reći da je takva priroda bagera i nije mogao promašiti.
Naš glavni server nalazio se u jednoj zgradi, a kancelarija u drugoj, pola kilometra dalje. Rezervni kanal je bio Internet preko VPN-a. Optiku smo postavili između zgrada ne iz sigurnosnih razloga, ne zbog banalne ekonomske efikasnosti (ovako je promet bio jeftiniji nego preko usluga provajdera), već jednostavno zbog brzine veze. I jednostavno zato što smo mi isti ljudi koji umeju i znaju da stavljaju optiku u limenke. Ali banke prave prstenove, a sa drugom vezom drugom rutom, čitava ekonomija projekta bi se srušila.
Zapravo, u trenutku pauze smo prešli na daljinski rad. U vlastitoj kancelariji. Tačnije, u dva odjednom.
Prije litice
Iz više razloga (uključujući budući razvojni plan) postalo je jasno da će za nekoliko mjeseci biti potrebno preseliti serversku sobu. Počeli smo polako da istražujemo moguće opcije, uključujući komercijalni data centar. Imali smo odlične kontejnerske dizel motore, ali kada se na teritoriji fabrike pojavio stambeni kompleks, zatraženo je da ih uklonimo, zbog čega smo izgubili zagarantovano napajanje i, kao rezultat toga, mogućnost prenosa računarske opreme iz udaljenu zgradu do server sobe u poslovnim prostorijama.
Kada se bager približio zgradi, mi smo kao kompanija nastavili sa radom u punom iznosu (ali uz pogoršanje nivoa internih usluga zbog zaostajanja). I ubrzali su prijenos serverske sobe u podatkovni centar i postavljanje optike između ureda. Do nedavno smo svu našu distribuiranu infrastrukturu imali na VPN zvijezdama provajdera. Nekada je istorijski izgrađena na ovaj način. Projekt je razrađen tako da optika u bilo kojoj dionici između različitih čvorova ne završi u istom kabelskom kanalu. Upravo smo u februaru završili projekat: glavna oprema je prevezena u komercijalni data centar.
Tada je skoro odmah počeo masovni daljinski rad iz bioloških razloga. VPN je postojao i prije, metode pristupa također, niko nije posebno postavljao ništa novo. Ali nikada prije nije postavljen zadatak da svi s punim skupom resursa koriste VPN u isto vrijeme. Srećom, preseljenje u data centar upravo je omogućilo da se uveliko prošire kanali za pristup Internetu i poveže kompletno osoblje bez ograničenja.
To je, logično, trebao bih zahvaliti ovom bageru. Jer bez toga bismo se preselili mnogo kasnije, a ne bismo imali spremna certificirana i dokazana rješenja za zatvorene segmente.
Dan X
Nedostajali su samo laptopi za neke zaposlene, jer je kompletna infrastruktura za daljinski rad već bila postavljena. Tada je sve jednostavno: uspjeli smo izdati nekoliko stotina prijenosnih računala prije nego što smo započeli daljinski rad. Ali ovo je bio naš rezervni fond: zamjene za popravke, stari automobili. Nisu pokušavali da kupuju, jer su u tom trenutku počele male anomalije na tržištu. 31. marta napisao je:
Prelazak radnika ruskih kompanija na rad na daljinu doveo je do masovne kupovine laptopa i iscrpljivanja njihovih zaliha u skladištima sistem integratora i distributera. Isporuka nove opreme može trajati dva do tri mjeseca.
Zalihe distributera su se rasprodavale zbog hitnosti. Prema grubim procenama, nove zalihe su trebale da stignu tek u julu, a nije jasno šta se dešava, jer je otprilike u isto vreme počeo preskok sa kursom rublje.
Prenosni računari
Izgubili smo uređaje. Zvanični razlog je najčešće niska odgovornost zaposlenih. To je kada ih osoba zaboravi u vozu ili taksiju. Ponekad se uređaji ukradu iz automobila. Razmotrili smo različite opcije za rješenja protiv krađe - sva su imala nedostatak da se gubitak, zapravo, ne može spriječiti.
Sam Windows laptop je, naravno, vrijedan kao materijalna imovina, ali je mnogo važnije da nije kompromitovan i da podaci na njemu ne idu negdje drugdje.
Sa laptopa možete ići na terminalski server koristeći dvofaktorsku autentifikaciju. U teoriji, samo lokalne lične datoteke zaposlenika će biti pohranjene na samom uređaju. Sve kritično je na radnoj površini u terminalu. Sav pristup je pušten kroz njega. Operativni sistem krajnjeg korisnika nije bitan - kod nas ljudi lako mogu koristiti Win desktop sa MacOS-om.
Sa nekih uređaja možete uspostaviti direktnu VPN vezu sa resursima. A tu je i softver koji je vezan za hardver radi performansi (na primjer, AutoCAD) ili nešto što zahtijeva fleš token i Internet Explorer verziju ne nižu od 6.0. Fabrike to još uvijek često koriste. U ovom slučaju, naravno, postavljamo pristup lokalnoj mašini.
Za administraciju koristimo politike domene i Microsoft SCCM plus Tivoli Remote Control za daljinsko povezivanje s dozvolom korisnika. Administrator se može povezati kada je sam krajnji korisnik to izričito dozvolio. Sama ažuriranja za Windows prolaze kroz interni server za ažuriranje. Postoji skup mašina na kojima su oni primarno instalirani i testirani tamo - izgleda da nema problema u našem softverskom stogu sa novim ažuriranjem i da novo ažuriranje nema problema sa novim greškama. Nakon ručne potvrde, daje se naredba za pokretanje. Kada VPN ne radi, koristimo Teamviewer da pomognemo korisniku. Gotovo svi proizvodni odjeli imaju administrativna prava na lokalnim strojevima, ali su u isto vrijeme službeno obaviješteni da ne mogu instalirati piratski softver niti pohranjivati razne zabranjene materijale. HR, prodaja i računovodstvo nemaju administratorska prava zbog nedostatka potrebe. Glavni problem je da sami instalirate softver, i to ne toliko s piratskim softverom, koliko u činjenici da novi softver može uništiti naš stog. Priča o piratstvu je standardna: čak i ako se piratski Photoshop nađe na ličnom laptopu korisnika, koji je iz nekog razloga bio na radnom mjestu, kompanija dobija kaznu. Čak i ako laptop nije na bilansu, ali postoji desktop pored njega na stolu koji je na bilansu stanja, a u dokumentima evidentiranim za korisnika. Na ovo smo upozoreni tokom bezbednosne revizije, uzimajući u obzir rusku praksu sprovođenja zakona.
Ne koristimo BYOD; najvažnija stvar za telefone je Lotus Domino platforma za upravljanje dokumentima i poštom. Preporučujemo da korisnici visoke sigurnosti koriste standardno IBM Traveler rješenje (sada HCL Verse). Tokom instalacije, daje vam prava da izbrišete podatke uređaja i same profile e-pošte. Ovo koristimo u slučaju krađe mobilnih uređaja. Sa iOS-om je teže, postoje samo ugrađeni alati.
Popravke osim "promjene RAM-a, napajanja ili procesora" su zamjene, a popravljeni uređaj se obično ne vraća. Tokom normalnog rada, zaposleni brzo donose laptop inženjerima podrške, oni ga brzo dijagnostikuju. Veoma je važno da uvek postoji asortiman prenosnih računara istih performansi koji se mogu menjati tokom rada, inače će korisnici na taj način nadograditi. I popravke će se naglo povećati. Da biste to učinili, morate imati zalihu starih modela. Sada se koristio za distribuciju.
VPN
VPN za rad resursa - Cisco AnyConnect, radi na svim platformama. Sve u svemu, zadovoljni smo odlukom. Analiziramo desetak profila za različite grupe korisnika sa različitim pristupima na nivou mreže. Prije svega, razdvajanje prema pristupnoj listi. Najrasprostranjeniji je pristup sa ličnih uređaja i sa laptopa standardnim internim sistemima. Postoje prošireni pristupi za administratore, programere i inženjere sa internim laboratorijskim mrežama, gdje su sistemi za testiranje i razvoj rješenja također na ACL-u.
U prvim danima masovnog prelaska na daljinski rad naišli smo na povećanje protoka zahtjeva prema servisu zbog činjenice da korisnici nisu čitali poslana uputstva.
Opšti posao
Nisam vidio nikakvo pogoršanje u svojoj jedinici povezano s nedisciplinom ili bilo kakvom opuštenošću o kojoj se toliko piše.
Igor Karavai, zamjenik šefa odjela za informacijsku podršku.
izvor: www.habr.com