До нашите две згради, меѓу кои имаше 500 метри темна оптика, решија да ископаат голема дупка во земјата. За уредување на територијата (како последна фаза на поставување на главната мрежа за греење и изградба на влезот во новото метро). За ова ви треба багер. Од тие денови не можам мирно да ги погледнам. Општо земено, она што се случи неизбежно се случува кога багерот и оптиката ќе се сретнат во една точка во вселената. Можеме да кажеме дека таква е природата на багерот и не можеше да пропушти.
Нашиот главен сервер сајт се наоѓаше во една зграда, а канцеларијата се наоѓаше на уште половина километар. Резервниот канал беше Интернет преку VPN. Поставивме оптика меѓу зградите не од безбедносни причини, не од банална економска ефикасност (на овој начин сообраќајот беше поевтин отколку преку услугите на давателот), туку само поради брзината на поврзувањето. И едноставно затоа што ние сме истите луѓе кои умеат и знаат како да стават оптика во лименки. Но, банките прават прстени, а со втора врска преку друга рута, целата економија на проектот ќе се распадне.
Всушност, токму во моментот на паузата се префрливме на работа на далечина. Во сопствената канцеларија. Поточно, во две одеднаш.
Пред карпата
Од повеќе причини (вклучувајќи го и идниот развојен план), стана јасно дека ќе биде неопходно да се премести серверската соба за неколку месеци. Почнавме полека да ги истражуваме можните опции, вклучително и комерцијален центар за податоци. Имавме одлични контејнеризирани дизел мотори, но кога се појави станбен комплекс на територијата на централата, од нас беше побарано да ги отстраниме, како резултат на што изгубивме гарантирано напојување и, како резултат на тоа, можноста за пренос на компјутерска опрема од оддалечена зграда до серверска соба во канцелариските простории.
Кога багерот се приближи до зградата, ние како компанија продолживме да работиме во целост (но со влошување на нивото на внатрешните услуги поради заостанувања). И тие го забрзаа преносот на серверската соба во центарот за податоци и поставувањето на оптика помеѓу канцелариите. До неодамна, ја имавме целата наша дистрибуирана инфраструктура на ѕвезди на VPN на провајдерите. Некогаш бил изграден на овој начин историски. Проектот беше разработен така што оптиката во кој било дел помеѓу различни јазли не завршува во ист кабелски канал. Само овој февруари го завршивме проектот: главната опрема беше транспортирана во комерцијален центар за податоци.
Потоа, речиси веднаш, започна масовна работа на далечина од биолошки причини. VPN постоеше порано, методите за пристап исто така, никој конкретно не распореди ништо ново. Но, никогаш досега не била поставена задача за сите со целосен сет на ресурси да користат VPN во исто време. За среќа, преселувањето во центарот за податоци само што овозможи значително да се прошират каналите за пристап до Интернет и да се поврзе целиот персонал без ограничувања.
Тоа е, логично, треба да му се заблагодарам на овој багер. Затоа што без него ќе се преселивме многу подоцна, а немаше да имаме подготвени сертифицирани и докажани решенија за затворени сегменти.
Ден X
Недостасуваа само лаптопите за некои вработени, бидејќи целата инфраструктура за работа на далечина веќе беше поставена. Тогаш сè е едноставно: можевме да издадеме неколку стотици лаптопи пред да започнеме далечинска работа. Но, ова беше нашиот резервен фонд: замени за поправки, стари автомобили. Не се обидоа да купат, бидејќи во тој момент почнаа мали аномалии на пазарот. На 31 март тој напиша:
Трансферот на вработените во руските компании на далечинска работа доведе до масовни набавки на лаптопи и исцрпување на нивните залихи во магацините на системските интегратори и дистрибутери. Испораките на нова опрема може да потраат два до три месеци.
Залихите на дистрибутерите се распродаваа поради итност. Според грубите проценки, нови залихи требало да пристигнат дури во јули, а не е јасно што се случувало, бидејќи отприлика во исто време започна скокот со курсот на рубљата.
Лаптопи
Изгубивме уреди. Официјалната причина најчесто е малата одговорност на вработените. Ова е кога човек ги заборава во воз или такси. Понекогаш уредите се украдени од автомобили. Разгледавме различни опции за решенија против кражба - сите тие имаа недостаток што, всушност, загубата не може да се спречи.
Самиот лаптоп Windows, се разбира, е вреден како материјално богатство, но многу поважно е да не биде компромитиран и податоците на него да не одат на друго место.
Од лаптоп можете да отидете на терминалниот сервер користејќи двофакторна автентикација. Теоретски, само локални лични датотеки на вработениот ќе бидат зачувани на самиот уред. Сè што е критично е на работната површина во терминалот. Целиот пристап се пренесува преку него. Оперативниот систем на крајниот корисник не е важен - кај нас луѓето лесно можат да користат Win десктоп со MacOS.
Од некои уреди можете да воспоставите директна VPN врска со ресурсите. А потоа, постои софтвер кој е поврзан со хардвер за перформанси (на пример, AutoCAD) или нешто што бара токен на флеш-уред и верзија на Internet Explorer не пониска од 6.0. Фабриките сè уште често го користат ова. Во овој случај, се разбира, поставивме пристап до локалната машина.
За администрација користиме политики за домен и Microsoft SCCM плус далечински управувач Тиволи за далечинско поврзување со корисничка дозвола. Администраторот може да се поврзе кога самиот крајниот корисник тоа експлицитно го дозволил. Самите ажурирања на Windows одат преку внатрешен сервер за ажурирање. Има многу машини на кои тие се примарно инсталирани и тестирани таму - се чини дека нема проблеми во нашиот софтверски куп со новото ажурирање и дека новото ажурирање нема проблеми со нови грешки. По рачно потврдување, се дава командата за испуштање. Кога VPN не работи, ние користиме Teamviewer за да му помогнеме на корисникот. Речиси сите производни одделенија имаат административни права на локалните машини, но во исто време тие се официјално известени дека не можат да инсталираат пиратски софтвер или да складираат разни забранети материјали. Одделението за човечки ресурси, продажба и сметководство немаат администраторски права поради немање потреба. Главниот проблем со самиот инсталирање на софтвер, и не толку со пиратски софтвер, туку со фактот дека новиот софтвер може да го уништи нашиот оџак. Приказната за пиратеријата е стандардна: дури и ако пиратски Photoshop се најде на личниот лаптоп на корисникот, кој поради некоја причина бил на работното место, компанијата добива парична казна. Дури и ако лаптопот не е на билансот на состојба, но до него има десктоп на масата што е на билансот, и во документите снимени за корисникот. Бевме предупредени за ова за време на безбедносната ревизија, земајќи ја предвид руската практика за спроведување на законот.
Не користиме BYOD; најважното нешто за телефоните е платформата Lotus Domino за управување со документи и пошта. Препорачуваме корисниците со висока безбедност да го користат стандардното решение IBM Traveler (сега HCL Verse). За време на инсталацијата, ви дава права да ги бришете податоците на уредот и да ги исчистите самите профили за пошта. Ние го користиме ова во случај на кражба на мобилни уреди. Потешко е со iOS, има само вградени алатки.
Поправките освен „промена на RAM, напојување или процесор“ се замени, а поправениот уред обично не се враќа. За време на нормална работа, вработените брзо го носат лаптопот за поддршка на инженерите, тие брзо го дијагностицираат. Многу е важно секогаш да има асортиман на лаптопи со иста изведба што може да се заменат со топлина, инаку корисниците така ќе се надоградуваат. И поправките нагло ќе се зголемат. За да го направите ова, треба да чувате залиха на стари модели. Сега се користеше за дистрибуција.
VPN
VPN за работни ресурси - Cisco AnyConnect, работи на сите платформи. Генерално, задоволни сме со одлуката. Анализираме една или дваесетина профили за различни групи корисници со различен пристап на ниво на мрежа. Пред сè, одвојување според списокот за пристап. Најраспространет е пристапот од лични уреди и од лаптоп до стандардни внатрешни системи. Има продолжен пристап за администратори, програмери и инженери со внатрешни лабораториски мрежи, каде што системи за тестирање и развој на решенија се исто така на ACL.
Во првите денови од масовната транзиција кон работа на далечина, наидовме на зголемување на протокот на барања до сервисната маса поради фактот што корисниците не ги прочитаа испратените упатства.
Општа работа
Не видов никакво влошување во мојата единица поврзано со недисциплина или каков било вид опуштање за кое се пишува толку многу.
Игор Караваи, заменик-шеф на одделот за информативна поддршка.
Извор: www.habr.com