Accanto ai nostri due edifici, tra i quali c'erano 500 metri di ottica oscura, hanno deciso di scavare una grande buca nel terreno. Per l'abbellimento del territorio (come fase finale della posa della conduttura del riscaldamento e della costruzione dell'ingresso della nuova metropolitana). Per questo è necessario un escavatore. Da quei giorni non riesco più a guardarli con calma. In generale, ciò che è accaduto accade inevitabilmente quando l'escavatore e l'ottica si incontrano in un punto dello spazio. Possiamo dire che questa è la natura dell'escavatore e non poteva mancare.
La sede del nostro server principale si trovava in un edificio e l'ufficio si trovava a un altro mezzo chilometro di distanza. Il canale di backup era Internet tramite VPN. Abbiamo posizionato le ottiche tra gli edifici non per ragioni di sicurezza, non per banale efficienza economica (in questo modo il traffico era più economico che attraverso i servizi del provider), ma semplicemente per la velocità di connessione. E semplicemente perché siamo le stesse persone che possono e sanno come mettere l'ottica nelle lattine. Ma le banche fanno anelli, e con un secondo collegamento attraverso un percorso diverso, l’intera economia del progetto crollerebbe.
In realtà è stato proprio nel momento della pausa che siamo passati al lavoro da remoto. Nel tuo ufficio. Più precisamente, in due contemporaneamente.
Prima della scogliera
Per una serie di ragioni (tra cui il futuro piano di sviluppo) è apparso chiaro che nel giro di pochi mesi sarebbe stato necessario spostare la sala server. Abbiamo iniziato a esplorare lentamente le possibili opzioni, incluso un data center commerciale. Avevamo ottimi motori diesel containerizzati, ma quando sul territorio dello stabilimento è apparso un complesso residenziale, ci è stato chiesto di rimuoverli, a seguito del quale abbiamo perso l'alimentazione elettrica garantita e, di conseguenza, la capacità di trasferire apparecchiature informatiche da un edificio remoto in una sala server nei locali degli uffici.
Quando l'escavatore si è avvicinato all'edificio, noi come azienda abbiamo continuato a lavorare a pieno ritmo (ma con un peggioramento del livello dei servizi interni a causa dei ritardi). E hanno accelerato il trasferimento della sala server in un data center e la posa dell'ottica tra gli uffici. Fino a poco tempo fa, avevamo tutta la nostra infrastruttura distribuita su provider VPN star. Una volta era costruito in questo modo storicamente. Il progetto è stato elaborato in modo che le ottiche in qualsiasi tratto tra diversi nodi non finissero nello stesso cavidotto. Proprio questo febbraio abbiamo completato il progetto: l'attrezzatura principale è stata trasportata in un data center commerciale.
Poi, quasi immediatamente, è iniziato il lavoro di massa a distanza per ragioni biologiche. La VPN esisteva già prima, anche i metodi di accesso, nessuno ha implementato specificamente nulla di nuovo. Ma mai prima d’ora è stato stabilito che chiunque disponga di un set completo di risorse possa utilizzare una VPN contemporaneamente. Fortunatamente, il trasferimento nel data center ha permesso di espandere notevolmente i canali di accesso a Internet e di connettere l'intero staff senza restrizioni.
Cioè, logicamente, dovrei ringraziare questo escavatore. Perché senza di essa ci saremmo mossi molto più tardi e non avremmo avuto soluzioni certificate e collaudate per segmenti chiusi.
Giorno X
Mancavano solo i laptop per alcuni dipendenti, perché l’intera infrastruttura per il lavoro a distanza era già pronta. Quindi tutto è semplice: siamo riusciti a fornire diverse centinaia di laptop prima di iniziare il lavoro in remoto. Ma questo era il nostro fondo di riserva: sostituti per le riparazioni, vecchie auto. Non hanno provato ad acquistare, perché in quel momento sono iniziate piccole anomalie sul mercato. Il 31 marzo scriveva:
Il trasferimento dei dipendenti delle aziende russe al lavoro a distanza ha portato ad acquisti massicci di laptop e all'esaurimento delle loro scorte nei magazzini di system integrator e distributori. La consegna di nuove apparecchiature può richiedere da due a tre mesi.
Le scorte dei distributori erano esaurite a causa dell'urgenza. Secondo stime approssimative, le nuove forniture sarebbero dovute arrivare solo a luglio, e non è chiaro cosa stesse succedendo, perché più o meno nello stesso periodo è iniziato il balzo in avanti con il tasso di cambio del rublo.
Notebook
Abbiamo perso i dispositivi. Il motivo ufficiale è molto spesso la scarsa responsabilità dei dipendenti. Questo è quando una persona li dimentica su un treno o in un taxi. A volte i dispositivi vengono rubati dalle auto. Abbiamo esaminato diverse opzioni per le soluzioni antifurto: tutte presentavano lo svantaggio che, di fatto, la perdita non può essere evitata.
Il portatile Windows in sé è ovviamente un bene materiale prezioso, ma è molto più importante che non venga compromesso e che i dati in esso contenuti non vadano altrove.
Da un laptop puoi andare al terminal server utilizzando l'autenticazione a due fattori. In teoria, sul dispositivo stesso verranno archiviati solo i file personali locali del dipendente. Tutto ciò che è critico è sul desktop nel terminale. Tutti gli accessi passano attraverso di esso. Il sistema operativo dell'utente finale non è importante: nel nostro paese le persone possono facilmente utilizzare un desktop Win con MacOS.
Da alcuni dispositivi è possibile stabilire una connessione VPN diretta alle risorse. E poi c'è il software legato all'hardware per le prestazioni (ad esempio AutoCAD) o qualcosa che richiede un token di unità flash e Internet Explorer versione 6.0 o successiva. Le fabbriche lo usano ancora spesso. In questo caso, ovviamente, impostiamo l'accesso alla macchina locale.
Per l'amministrazione utilizziamo policy di dominio e Microsoft SCCM più Tivoli Remote Control per la connessione remota con autorizzazione dell'utente. L'amministratore può connettersi quando l'utente finale stesso lo ha esplicitamente consentito. Gli stessi aggiornamenti di Windows passano attraverso un server di aggiornamento interno. C'è un pool di macchine su cui vengono principalmente installati e testati lì: sembra che non ci siano problemi nel nostro stack software con il nuovo aggiornamento e che il nuovo aggiornamento non abbia problemi con nuovi bug. Dopo la conferma manuale viene dato il comando di srotolamento. Quando la VPN non funziona, utilizziamo Teamviewer per aiutare l'utente. Quasi tutti i reparti di produzione dispongono di diritti amministrativi sulle macchine locali, ma allo stesso tempo vengono ufficialmente informati che non possono installare software piratato o archiviare vari materiali vietati. I reparti risorse umane, vendite e contabilità non hanno diritti di amministratore per mancanza di necessità. Il problema principale con l'installazione del software da soli, e non tanto con il software piratato, ma con il fatto che il nuovo software può distruggere il nostro stack. La storia della pirateria è standard: anche se Photoshop piratato viene trovato sul laptop personale di un utente, che per qualche motivo si trovava sul posto di lavoro, l'azienda riceve una multa. Anche se il laptop non è in bilancio, ma accanto c'è un desktop sul tavolo che si trova in bilancio e nei documenti registrati per l'utente. Ne siamo stati avvisati durante il controllo di sicurezza, tenendo conto delle pratiche delle forze dell'ordine russe.
Non utilizziamo BYOD; la cosa più importante per i telefoni è la piattaforma Lotus Domino per la gestione dei documenti e della posta. Consigliamo agli utenti ad alta sicurezza di utilizzare la soluzione IBM Traveler standard (ora HCL Verse). Durante l'installazione, ti dà il diritto di cancellare i dati del dispositivo e cancellare i profili di posta stessi. Lo utilizziamo in caso di furto di dispositivi mobili. È più difficile con iOS, ci sono solo strumenti integrati.
Le riparazioni che vanno oltre la "modifica della RAM, dell'alimentatore o del processore" sono sostituzioni e il dispositivo riparato solitamente non viene restituito. Durante il normale lavoro, i dipendenti portano rapidamente il laptop agli ingegneri di supporto e lo diagnosticano rapidamente. È molto importante che sia sempre disponibile un assortimento di laptop sostituibili a caldo con le stesse prestazioni, altrimenti gli utenti aggiorneranno in questo modo. E le riparazioni aumenteranno notevolmente. Per fare ciò, è necessario mantenere uno stock di vecchi modelli. Ora veniva utilizzato per la distribuzione.
VPN
VPN per lavorare sulle risorse: Cisco AnyConnect, funziona su tutte le piattaforme. Nel complesso siamo soddisfatti della decisione. Analizziamo una o due dozzine di profili per diversi gruppi di utenti con diversi accessi a livello di rete. Innanzitutto la separazione secondo la lista di accesso. Il più diffuso è l'accesso da dispositivi personali e da laptop a sistemi interni standard. Sono disponibili accessi estesi per amministratori, sviluppatori e ingegneri con reti di laboratorio interne, dove anche i sistemi di test e sviluppo di soluzioni sono su ACL.
Nei primi giorni del passaggio di massa al lavoro da remoto abbiamo riscontrato un aumento del flusso di richieste al service desk dovuto al fatto che gli utenti non leggevano le istruzioni inviate.
Lavoro generale
Non ho visto alcun deterioramento nella mia unità associato all'indisciplina o ad alcun tipo di rilassamento di cui si scrive così tanto.
Igor Karavai, vice capo del dipartimento di supporto informativo.
Fonte: habr.com