Naast onze twee gebouwen, waartussen 500 meter donkere optiek lag, besloten ze een groot gat in de grond te graven. Voor het modelleren van het grondgebied (als de laatste fase van het leggen van de hoofdverwarming en het bouwen van de ingang van de nieuwe metro). Hiervoor heb je een graafmachine nodig. Sinds die tijd kan ik er niet meer rustig naar kijken. Over het algemeen gebeurt wat er onvermijdelijk gebeurde wanneer een graafmachine en optica elkaar op een bepaald punt in de ruimte ontmoeten. We kunnen zeggen dat dit de aard van de graafmachine is en dat hij niet kon missen.
Onze belangrijkste serverlocatie bevond zich in één gebouw en het kantoor bevond zich in een ander gebouw, een halve kilometer verderop. Het back-upkanaal was internet via VPN. We hebben optica tussen gebouwen geplaatst, niet om veiligheidsredenen, niet voor banale economische efficiëntie (zo was het verkeer goedkoper dan via de diensten van de provider), maar dan gewoon vanwege de verbindingssnelheid. En simpelweg omdat we dezelfde mensen zijn die optica in blikjes kunnen en weten te stoppen. Maar banken maken ringen, en met een tweede verbinding via een andere route zou de hele economie van het project afbrokkelen.
Eigenlijk zijn we op het moment van de pauze overgestapt op werken op afstand. In je eigen kantoor. Om precies te zijn, in twee tegelijk.
Vóór de klif
Om een aantal redenen (waaronder het toekomstig ontwikkelplan) werd duidelijk dat het noodzakelijk zou zijn om de serverruimte over enkele maanden te verhuizen. We begonnen langzaam mogelijke opties te verkennen, waaronder een commercieel datacenter. We hadden uitstekende dieselmotoren in containers, maar toen er een wooncomplex op het grondgebied van de fabriek verscheen, werd ons gevraagd deze te verwijderen, waardoor we de gegarandeerde stroomvoorziening verloren en, als gevolg daarvan, de mogelijkheid om computerapparatuur over te dragen van een afgelegen gebouw naar een serverruimte op het kantoorpand.
Toen de graafmachine het gebouw naderde, werkten wij als bedrijf volop door (wel met een verslechtering van het niveau van de interne dienstverlening door vertragingen). En ze versnelden de overdracht van de serverruimte naar een datacenter en de aanleg van optiek tussen kantoren. Tot voor kort hadden we al onze gedistribueerde infrastructuur op VPN-sterren van providers. Historisch gezien werd het ooit op deze manier gebouwd. Het project is zo uitgewerkt dat de optiek in een traject tussen verschillende knooppunten niet in dezelfde kabelgoot terechtkomt. Nog in februari hebben we het project afgerond: de belangrijkste apparatuur werd naar een commercieel datacenter vervoerd.
Toen begon vrijwel onmiddellijk het massawerk op afstand om biologische redenen. VPN bestond al eerder, ook toegangsmethoden, niemand heeft specifiek iets nieuws ingezet. Maar nooit eerder is de taak gesteld aan iedereen met een volledige set van middelen om tegelijkertijd een VPN te gebruiken. Gelukkig heeft de verhuizing naar het datacenter het net mogelijk gemaakt om de internettoegangskanalen enorm uit te breiden en het voltallige personeel zonder beperkingen te verbinden.
Dat wil zeggen, logischerwijs zou ik deze graafmachine moeten bedanken. Want zonder zouden we veel later zijn verhuisd en hadden we geen gecertificeerde en bewezen oplossingen voor gesloten segmenten paraat gehad.
Dag X
Het enige wat nog ontbrak waren laptops voor sommige medewerkers, omdat de hele infrastructuur voor werken op afstand al aanwezig was. Dan is alles eenvoudig: we hebben enkele honderden laptops kunnen uitgeven voordat we op afstand gingen werken. Maar dit was ons reservefonds: vervangingen voor reparaties, oude auto's. Ze probeerden niet te kopen, omdat er op dat moment kleine anomalieën op de markt begonnen. Op 31 maart schreef hij:
De overplaatsing van werknemers van Russische bedrijven naar werk op afstand leidde tot massale aankopen van laptops en de uitputting van hun voorraden in de magazijnen van systeemintegrators en distributeurs. De levering van nieuwe apparatuur kan twee tot drie maanden duren.
De voorraden van distributeurs waren vanwege urgentie uitverkocht. Volgens ruwe schattingen zouden er pas in juli nieuwe voorraden moeten zijn aangekomen, en het is niet duidelijk wat er gebeurde, omdat ongeveer tegelijkertijd de sprong met de wisselkoers van de roebel begon.
notebooks
We zijn apparaten kwijtgeraakt. De officiële reden is meestal de lage verantwoordelijkheid van werknemers. Dit is wanneer iemand ze in een trein of taxi vergeet. Soms worden apparaten uit auto's gestolen. We hebben verschillende opties voor antidiefstaloplossingen bekeken. Ze hadden allemaal het nadeel dat verlies in feite niet kan worden voorkomen.
De Windows-laptop zelf is uiteraard waardevol als materieel bezit, maar het is veel belangrijker dat deze niet wordt aangetast en dat de gegevens erop niet ergens anders heen gaan.
Vanaf een laptop kunt u met tweefactorauthenticatie naar de terminalserver gaan. In theorie worden alleen lokale persoonlijke bestanden van de medewerker op het device zelf opgeslagen. Alles wat essentieel is, staat op het bureaublad in de terminal. Alle toegang loopt er doorheen. Het besturingssysteem van de eindgebruiker is niet belangrijk: in ons land kan men gemakkelijk gebruik maken van een Win-desktop met MacOS.
Vanaf sommige apparaten kunt u een directe VPN-verbinding met bronnen tot stand brengen. En dan is er nog software die voor prestaties aan hardware is gekoppeld (bijvoorbeeld AutoCAD) of iets waarvoor een flashdrive-token en een Internet Explorer-versie van niet lager dan 6.0 vereist zijn. Fabrieken maken hier nog vaak gebruik van. In dit geval stellen we uiteraard de toegang tot de lokale machine in.
Voor beheer gebruiken we domeinbeleid en Microsoft SCCM plus Tivoli Remote Control voor externe verbinding met gebruikerstoestemming. De beheerder kan verbinding maken wanneer de eindgebruiker dit zelf expliciet heeft toegestaan. Windows-updates zelf gaan via een interne updateserver. Er is een pool van machines waarop ze daar voornamelijk worden geïnstalleerd en getest - het lijkt erop dat er geen problemen zijn in onze softwarestack met de nieuwe update en dat de nieuwe update geen problemen kent met nieuwe bugs. Na handmatige bevestiging wordt het commando voor uitrollen gegeven. Wanneer de VPN niet werkt, gebruiken we Teamviewer om de gebruiker te helpen. Bijna alle productieafdelingen hebben beheerdersrechten op lokale machines, maar krijgen tegelijkertijd officieel de melding dat ze geen illegale software kunnen installeren of allerlei verboden materialen kunnen opslaan. HR-, verkoop- en boekhoudafdelingen hebben geen beheerdersrechten vanwege een gebrek aan behoefte. Het grootste probleem is het zelf installeren van software, en niet zozeer bij illegale software, maar bij het feit dat nieuwe software onze stapel kan vernietigen. Het verhaal over piraterij is standaard: zelfs als illegale Photoshop wordt aangetroffen op de persoonlijke laptop van een gebruiker, die om de een of andere reden op de werkplek stond, krijgt het bedrijf een boete. Ook als de laptop niet op de balans staat, maar er staat een desktop ernaast op de tafel die wel op de balans staat, en in de voor de gebruiker vastgelegde documenten. We werden hiervoor gewaarschuwd tijdens de veiligheidsaudit, rekening houdend met de Russische wetshandhavingspraktijk.
Wij maken geen gebruik van BYOD; het belangrijkste voor telefoons is het Lotus Domino-platform voor documentbeheer en mail. We raden gebruikers met een hoge beveiliging aan om de standaard IBM Traveler-oplossing (nu HCL Verse) te gebruiken. Tijdens de installatie geeft het u de rechten om de apparaatgegevens en de e-mailprofielen zelf te wissen. Deze gebruiken wij bij diefstal van mobiele apparaten. Met iOS is het moeilijker, er zijn alleen ingebouwde tools.
Reparaties die verder gaan dan “het RAM-geheugen, de voeding of de processor vervangen” zijn vervangingen en het gerepareerde apparaat wordt meestal niet geretourneerd. Tijdens normaal werk brengen medewerkers de laptop snel naar ondersteunende monteurs, zij stellen snel een diagnose. Het is erg belangrijk dat er altijd een assortiment hot-swappable laptops met dezelfde prestaties is, anders zullen gebruikers zo upgraden. En reparaties zullen sterk toenemen. Om dit te doen, moet u een voorraad oude modellen bijhouden. Nu werd het gebruikt voor distributie.
VPN
VPN naar werkbronnen - Cisco AnyConnect, werkt op alle platforms. Over het algemeen zijn we blij met de beslissing. We analyseren een tot twintig profielen voor verschillende groepen gebruikers met verschillende toegangen op netwerkniveau. Allereerst scheiding volgens de toegangslijst. De meest voorkomende is toegang vanaf persoonlijke apparaten en vanaf een laptop tot standaard interne systemen. Er zijn uitgebreide toegangen voor beheerders, ontwikkelaars en ingenieurs met interne laboratoriumnetwerken, waar test- en oplossingsontwikkelingssystemen zich ook op ACL bevinden.
In de eerste dagen van de massale transitie naar werken op afstand stuitten we op een toename van de stroom verzoeken naar de servicedesk, omdat gebruikers de verzonden instructies niet lazen.
Algemeen werk
Ik heb geen enkele verslechtering in mijn eenheid gezien die verband hield met gebrek aan discipline of enige vorm van ontspanning waarover zoveel wordt geschreven.
Igor Karavai, plaatsvervangend hoofd van de afdeling informatieondersteuning.
Bron: www.habr.com