Njonken ús beide gebouwen, dêr't 500 meter donkere optika tusken sieten, besleaten se in grut gat yn 'e grûn te graven. Foar lânskiplike grûngebiet (as de lêste etappe fan it lizzen fan de ferwaarming haad en it bouwen fan de yngong nei de nije metro). Hjirfoar hawwe jo in graafmachine nedich. Sûnt dy dagen haw ik se net kalm nei sjen kinnen. Yn 't algemien bart wat barde ûnûntkomber as in graafmasine en optyk op ien punt yn' e romte gearkomme. Wy kinne sizze dat dit de aard fan 'e graafmachine is en hy koe net misse.
Us haadserverside wie yn ien gebou, en it kantoar wie in oare heale kilometer fuort. It backupkanaal wie it ynternet fia VPN. Wy pleatste optyk tusken gebouwen net foar feiligens redenen, net foar banale ekonomyske effisjinsje (op dizze manier wie it ferkear goedkeaper as troch de tsjinsten fan 'e provider), mar dan gewoan fanwege de ferbiningssnelheid. En gewoan om't wy deselde minsken binne dy't kinne en witte hoe't se optyk yn blikjes kinne sette. Mar banken meitsje ringen, en mei in twadde link fia in oare rûte soe de hiele ekonomy fan it projekt ferbrokkelje.
Eins wie it op it momint fan it skoft dat wy oerstapten op wurk op ôfstân. Yn jo eigen kantoar. Mear krekter, yn twa tagelyk.
Foar de klif
Om in oantal redenen (wêrûnder it takomstige ûntwikkelingsplan) waard dúdlik dat it nedich wêze soe om de serverkeamer oer in pear moannen te ferpleatsen. Wy begûnen stadichoan mooglike opsjes te ferkennen, ynklusyf in kommersjeel datasintrum. Wy hiene poerbêste dieselmotoren mei konteners, mar doe't op it grûngebiet fan 'e plant in wenkompleks ferskynde, waarden wy frege om se te ferwiderjen, wêrtroch't wy de garandearre stroomfoarsjenning ferlearen en, as gefolch, de mooglikheid om komputerapparatuer oer te dragen fan in gebou op ôfstân nei in tsjinner keamer op it kantoar terrein.
Doe't de graafmachine oan it gebou kaam, bleaunen wy as bedriuw folslein wurkje (mar mei in efterútgong fan it nivo fan ynterne tsjinsten troch lags). En se fersnelle de oerdracht fan 'e serverkeamer nei in datasintrum en it lizzen fan optyk tusken kantoaren. Oant koartlyn hienen wy al ús ferspraat ynfrastruktuer op provider VPN-stjerren. It waard eartiids histoarysk op dizze manier boud. It projekt waard útwurke sadat de optyk yn elke seksje tusken ferskate knooppunten net yn itselde kabelkanaal telâne kaam. Krekt dizze febrewaris hawwe wy it projekt foltôge: de wichtichste apparatuer waard ferfierd nei in kommersjeel datasintrum.
Doe, hast fuortendaliks, begon massaal wurk op ôfstân om biologyske redenen. VPN bestie earder, tagongsmetoaden ek, gjinien hat spesifyk wat nijs ynset. Mar nea earder is de taak ynsteld foar elkenien mei in folsleine set boarnen om tagelyk in VPN te brûken. Gelokkich, de ferhuzing nei it datasintrum krekt makke it mooglik om gâns útwreidzje ynternet tagong kanalen en ferbine it hiele personiel sûnder beheinings.
Dat is, logysk, ik moat tankje dizze graafmachine. Want sûnder dat, wy soene hawwe ferhuze folle letter, en wy hiene net hawwe sertifisearre en bewiisd oplossings foar sletten segminten klear.
Dag X
It iennichste wat mist wiene laptops foar guon meiwurkers, om't de hiele ynfrastruktuer foar wurk op ôfstân der al wie. Dan is alles ienfâldich: wy koenen inkele hûnderten laptops útjaan foardat wy begjinne mei wurk op ôfstân. Mar dit wie ús reservefûns: ferfangings foar reparaasjes, âlde auto's. Se besochten net te keapjen, om't op dat stuit lytse anomalies begûnen yn 'e merk. Op 31 maart skreau hy:
De oerdracht fan meiwurkers fan Russyske bedriuwen nei wurk op ôfstân late ta massive oankeapen fan laptops en de útputting fan har foarrieden yn 'e pakhuzen fan systeemintegrators en distributeurs. Leveringen fan nije apparatuer kinne twa oant trije moannen duorje.
De ynventarissen fan distributeurs waarden útferkocht fanwegen urginsje. Neffens rûge rûzings moatte nije foarrieden pas yn july komme, en it is net dúdlik wat der barde, om't sawat tagelyk de sprong mei de roebelkoers begon.
Laptops
Wy hawwe apparaten ferlern. De offisjele reden is meastentiids de lege ferantwurdlikens fan meiwurkers. Dit is as in persoan har ferjit op in trein of taksy. Soms wurde apparaten stellen út auto's. Wy seagen ferskate opsjes foar anty-stellerij oplossingen - se hienen allegear it neidiel dat ferlies yn feite net kin wurde foarkommen.
De Windows-laptop sels is fansels weardefol as materiële asset, mar it is folle wichtiger dat it net kompromittearre wurdt en dat de gegevens derop net earne oars gean.
Fanút in laptop kinne jo nei de terminaltsjinner gean mei twa-faktor-autentikaasje. Yn teory sille allinich lokale persoanlike bestannen fan 'e meiwurker wurde opslein op it apparaat sels. Alles kritysk is op it buroblêd yn 'e terminal. Alle tagong wurdt troch it trochjûn. It bestjoeringssysteem fan 'e einbrûker is net wichtich - yn ús lân kinne minsken maklik in Win-buroblêd brûke mei MacOS.
Fan guon apparaten kinne jo in direkte VPN-ferbining meitsje mei boarnen. En dan is d'r software dy't keppele is oan hardware foar prestaasjes (bygelyks AutoCAD) of eat dat in flash-drive-token en Internet Explorer-ferzje net leger as 6.0 fereasket. Fabriken brûke dit noch faak. Yn dit gefal sette wy fansels tagong ta de lokale masine.
Foar administraasje brûke wy domeinbelied en Microsoft SCCM plus Tivoli Remote Control foar ferbining op ôfstân mei tastimming fan brûkers. De behearder kin ferbine as de einbrûker it sels eksplisyt tastien hat. Windows-fernijings sels geane fia in ynterne update-tsjinner. D'r is in pool fan masines wêrop se primêr wurde ynstalleare en testen dêr - it liket derop dat d'r gjin problemen binne yn ús softwarestapel mei de nije fernijing en dat de nije fernijing gjin problemen hat mei nije bugs. Nei hânmjittich befêstiging wurdt it kommando om út te rollen jûn. As de VPN net wurket, brûke wy Teamviewer om de brûker te helpen. Hast alle produksjeôfdielingen hawwe bestjoerlike rjochten op lokale masines, mar tagelyk wurde se offisjeel op 'e hichte dat se gjin piraat software kinne ynstallearje of ferskate ferbeane materialen kinne opslaan. HR, ferkeap en boekhâlding ôfdielings hawwe gjin admin rjochten fanwege gebrek oan need. It wichtichste probleem mei it ynstallearjen fan software sels, en net sasear mei pirated software, mar mei it feit dat nije software kin ferneatigje ús stack. It ferhaal oer piraterij is standert: sels as piraterij Photoshop wurdt fûn op de persoanlike laptop fan in brûker, dy't om ien of oare reden op it wurkplak wie, krijt it bedriuw in boete. Sels as de laptop is net op 'e balâns, mar der is in buroblêd neist it op' e tafel dat is op 'e balâns, en yn' e dokuminten opnommen foar de brûker. Wy waarden warskôge oer dit tidens de feiligens audit, rekken hâldend mei Russyske wet hanthaveningsbelied praktyk.
Wy brûke gjin BYOD; it wichtichste ding foar tillefoans is it Lotus Domino-platfoarm foar dokumintbehear en post. Wy riede oan dat brûkers mei hege feiligens de standert IBM Traveler-oplossing brûke (no HCL Verse). Tidens de ynstallaasje jout it jo de rjochten om de apparaatgegevens te wiskjen en de e-postprofilen sels te wiskjen. Wy brûke dit yn gefal fan stellerij fan mobile apparaten. It is dreger mei iOS, d'r binne allinich ynboude ark.
Reparaasjes foarby "feroarje de RAM, Netzteil of prosessor" binne ferfangings, en de reparearre apparaat wurdt meastal net werom. Tidens normaal wurk bringe meiwurkers fluch de laptop om yngenieurs te stypjen, se diagnostearje it fluch. It is heul wichtich dat d'r altyd in assortimint is fan hot-swappable laptops mei deselde prestaasjes, oars sille brûkers sa opwurdearje. En reparaasjes sille flink tanimme. Om dit te dwaan, moatte jo in stock fan âlde modellen hâlde. No waard it brûkt foar distribúsje.
VPN
VPN om boarnen te wurkjen - Cisco AnyConnect, wurket op alle platfoarms. Oer it algemien binne wy bliid mei it beslút. Wy analysearje ien of twa tsientallen profilen foar ferskate groepen brûkers mei ferskate tagongen op netwurknivo. Earst fan alles, skieding neffens de tagongslist. De meast wiidferspraat is tagong fan persoanlike apparaten en fan in laptop nei standert ynterne systemen. D'r binne útwreide tagongen foar behearders, ûntwikkelders en yngenieurs mei ynterne laboratoariumnetwurken, wêr't testen- en oplossingsûntwikkelingssystemen ek binne op ACL.
Yn 'e earste dagen fan' e massaoergong nei wurk op ôfstân, hawwe wy in ferheging fan 'e stream fan oanfragen oan' e servicedesk tsjinkaam troch it feit dat brûkers de útstjoerde ynstruksjes net lêze.
Algemien wurk
Ik seach gjin efterútgong yn myn ienheid ferbûn mei ûndissipline of hokker soarte fan ûntspanning dêr't safolle oer skreaun wurdt.
Igor Karavai, plakferfangend haad fan 'e ôfdieling ynformaasjestipe.
Boarne: www.habr.com