Pokraj naše dvije zgrade, između kojih je bilo 500 metara mračne optike, odlučili su iskopati veliku rupu u zemlji. Za uređenje teritorija (kao završna faza polaganja glavnog grijanja i izgradnje ulaza u novi metro). Za ovo vam je potreban bager. Od tih dana ne mogu ih mirno gledati. Općenito, ono što se dogodilo neizbježno se događa kada se bager i optika sretnu u jednoj točki prostora. Možemo reći da je to priroda bagera i nije mogao promašiti.
Naš glavni poslužitelj nalazio se u jednoj zgradi, a ured u drugoj pola kilometra dalje. Rezervni kanal bio je internet preko VPN-a. Optiku između zgrada postavili smo ne iz sigurnosnih razloga, ne iz banalne ekonomske učinkovitosti (ovako je promet bio jeftiniji nego preko usluga provajdera), nego jednostavno zbog brzine veze. I jednostavno zato što smo isti ljudi koji mogu i znaju staviti optiku u limenke. Ali banke stvaraju prstenove, a s drugom vezom drugom rutom, cjelokupna ekonomija projekta bi se raspala.
Zapravo smo u trenutku pauze prešli na rad na daljinu. U vlastitom uredu. Točnije, u dva odjednom.
Prije litice
Iz niza razloga (uključujući budući plan razvoja) postalo je jasno da će za nekoliko mjeseci biti potrebno preseliti poslužiteljsku sobu. Počeli smo polako istraživati moguće opcije, uključujući komercijalni podatkovni centar. Imali smo izvrsne kontejnerske dizel motore, ali kada se na području tvornice pojavio stambeni kompleks, zamoljeni smo da ih uklonimo, zbog čega smo izgubili zajamčenu opskrbu strujom i, kao rezultat, mogućnost prijenosa računalne opreme iz udaljenu zgradu do poslužiteljske sobe u prostorijama ureda.
Kada se bager približio zgradi, mi smo kao tvrtka nastavili raditi u punom obimu (ali uz pogoršanje razine internih usluga zbog zaostajanja). I ubrzali su prijenos poslužiteljske sobe u podatkovni centar i postavljanje optike između ureda. Sve do nedavno imali smo svu svoju distribuiranu infrastrukturu na VPN zvjezdicama pružatelja usluga. Tako je nekoć izgrađen povijesno. Projekt je rađen tako da optika u bilo kojem dijelu između različitih čvorova ne završi u istoj kabelskoj kanalizaciji. Upravo ove veljače dovršili smo projekt: glavna oprema je prevezena u komercijalni podatkovni centar.
Zatim je, gotovo odmah, počeo masovni rad na daljinu iz bioloških razloga. VPN je postojao i prije, metode pristupa također, nitko nije posebno implementirao ništa novo. Ali nikada prije nije postavljen zadatak da svi s punim skupom resursa koriste VPN u isto vrijeme. Srećom, prelazak na podatkovni centar upravo je omogućio znatno proširenje kanala pristupa internetu i povezivanje cijelog osoblja bez ograničenja.
Odnosno, logično, trebam zahvaliti ovom bageru. Jer bez toga bismo selili puno kasnije, a ne bismo imali spremna certificirana i provjerena rješenja za zatvorene segmente.
Dan X
Nedostajala su samo prijenosna računala za neke zaposlenike jer je cijela infrastruktura za rad na daljinu već bila postavljena. Onda je sve jednostavno: uspjeli smo izdati nekoliko stotina prijenosnih računala prije početka rada na daljinu. Ali ovo je bio naš rezervni fond: zamjene za popravke, stari automobili. Nisu pokušali kupiti, jer su u tom trenutku počele male anomalije na tržištu. Dana 31. ožujka napisao je:
Prijelaz zaposlenika ruskih tvrtki na daljinski rad doveo je do masovne kupovine prijenosnih računala i iscrpljivanja njihovih zaliha u skladištima sistemskih integratora i distributera. Isporuka nove opreme može trajati dva do tri mjeseca.
Zalihe distributera rasprodavale su se zbog hitnosti. Prema grubim procjenama, nove su zalihe trebale stići tek u srpnju, a nije jasno što se događalo jer je otprilike u isto vrijeme počeo skok s tečajem rublje.
Prijenosna računala
Izgubili smo uređaje. Službeni razlog najčešće je niska odgovornost zaposlenika. To je kad ih čovjek zaboravi u vlaku ili taksiju. Ponekad se uređaji kradu iz automobila. Razmotrili smo različite mogućnosti rješenja protiv krađe - sve su imale nedostatak da se gubitak zapravo ne može spriječiti.
Sam Windows prijenosnik je, naravno, vrijedan kao materijalno dobro, ali puno je važnije da nije ugrožen i da podaci na njemu ne odu negdje drugdje.
S prijenosnog računala možete ići na terminalski poslužitelj pomoću dvofaktorske provjere autentičnosti. U teoriji, samo lokalne osobne datoteke zaposlenika bit će pohranjene na samom uređaju. Sve kritično je na radnoj površini u terminalu. Svi pristupi prolaze kroz njega. Operativni sustav krajnjeg korisnika nije bitan - kod nas ljudi bez problema mogu koristiti Win desktop s MacOS-om.
S nekih uređaja možete uspostaviti izravnu VPN vezu s resursima. A tu je i softver koji je povezan s hardverom radi performansi (na primjer, AutoCAD) ili nešto što zahtijeva token flash pogona i verziju Internet Explorera ne nižu od 6.0. Tvornice to još uvijek često koriste. U ovom slučaju, naravno, postavljamo pristup lokalnom stroju.
Za administraciju koristimo pravila domene i Microsoft SCCM plus Tivoli Remote Control za daljinsko povezivanje uz dopuštenje korisnika. Administrator se može spojiti kada krajnji korisnik sam to izričito dopusti. Sama ažuriranja sustava Windows prolaze kroz interni poslužitelj za ažuriranje. Tamo postoji skup strojeva na kojima su primarno instalirani i testirani - izgleda da nema problema u našem softverskom nizu s novim ažuriranjem i da novo ažuriranje nema problema s novim greškama. Nakon ručne potvrde daje se naredba za izbacivanje. Kada VPN ne radi, koristimo Teamviewer da pomognemo korisniku. Gotovo svi proizvodni odjeli imaju administratorska prava na lokalnim strojevima, ali su istovremeno službeno obaviješteni da ne mogu instalirati piratski softver ili pohranjivati razne zabranjene materijale. HR, prodaja i računovodstvo nemaju administratorska prava zbog nepotrebnosti. Glavni problem je sama instalacija softvera, i to ne toliko s piratskim softverom, koliko s činjenicom da novi softver može uništiti naš stack. Priča o piratstvu je standardna: čak i ako se piratski Photoshop nađe na osobnom prijenosnom računalu korisnika, koji je iz nekog razloga bio na radnom mjestu, tvrtka dobiva kaznu. Čak i ako laptop nije u bilanci, ali postoji desktop pored njega na stolu koji je u bilanci, au dokumentima evidentiran za korisnika. Na to smo bili upozoreni tijekom sigurnosne revizije, uzimajući u obzir rusku praksu provedbe zakona.
Ne koristimo BYOD, za telefone je najvažnija Lotus Domino platforma za upravljanje dokumentima i poštom. Preporučujemo da korisnici visoke sigurnosti koriste standardno rješenje IBM Traveler (sada HCL Verse). Tijekom instalacije daje vam prava za brisanje podataka uređaja i samih profila pošte. Ovo koristimo u slučaju krađe mobilnih uređaja. S iOS-om je teže, postoje samo ugrađeni alati.
Popravci osim "promjene RAM-a, napajanja ili procesora" su zamjene, a popravljeni uređaj obično se ne vraća. Tijekom normalnog rada, zaposlenici brzo donose prijenosno računalo inženjerima podrške, oni ga brzo dijagnosticiraju. Vrlo je važno da uvijek postoji asortiman prijenosnih računala s mogućnošću izmjene bez isključivanja rada istih performansi, inače će se korisnici tako nadograđivati. I popravci će se naglo povećati. Da biste to učinili, morate zadržati zalihu starih modela. Sada je služio za distribuciju.
VPN
VPN prema radnim resursima - Cisco AnyConnect, radi na svim platformama. Sve u svemu, zadovoljni smo odlukom. Analiziramo jedno ili dva tuceta profila za različite skupine korisnika s različitim pristupima na razini mreže. Prije svega, razdvajanje prema pristupnoj listi. Najrašireniji je pristup s osobnih uređaja i s prijenosnog računala standardnim internim sustavima. Postoje prošireni pristupi za administratore, programere i inženjere s internim laboratorijskim mrežama, gdje su sustavi za testiranje i razvoj rješenja također na ACL-u.
U prvim danima masovnog prelaska na daljinski rad susreli smo se s povećanim protokom zahtjeva prema servisnom pultu zbog toga što korisnici nisu čitali poslane upute.
Opći rad
Nisam vidio nikakvo pogoršanje u svojoj jedinici povezano s nedisciplinom ili bilo kakvom opuštenošću o kojoj se toliko piše.
Igor Karavai, zamjenik načelnika odjela za informacijsku potporu.
Izvor: www.habr.com