Ob naših dveh stavbah, med katerima je bilo 500 metrov temne optike, so se odločili izkopati veliko luknjo v zemljo. Za urejanje ozemlja (kot zadnja faza polaganja toplovoda in gradnje vhoda v novo metro). Za to potrebujete bager. Od tistih dni jih ne morem več mirno gledati. Na splošno se to, kar se je zgodilo, neizogibno zgodi, ko se na eni točki v prostoru srečata bager in optika. Lahko rečemo, da je to narava bagra in ni mogel zgrešiti.
Naš glavni strežnik je bil v eni stavbi, pisarna pa v drugi, pol kilometra stran. Rezervni kanal je bil internet prek VPN. Optike med stavbami nismo postavili ne zaradi varnosti, ne zaradi banalne ekonomske učinkovitosti (tako je bil promet cenejši kot preko storitev ponudnika), ampak zgolj zaradi hitrosti povezave. In preprosto zato, ker smo isti ljudje, ki zmoremo in znamo v pločevinke vstaviti optiko. Toda banke ustvarjajo obroče in z drugo povezavo po drugi poti bi se celotna ekonomika projekta sesula.
Pravzaprav smo ravno v trenutku odmora prešli na delo na daljavo. V lastni pisarni. Natančneje, v dveh hkrati.
Pred pečino
Zaradi več razlogov (tudi prihodnjega razvojnega načrta) je postalo jasno, da bo treba v nekaj mesecih strežniško sobo preseliti. Začeli smo počasi raziskovati možne možnosti, vključno s komercialnim podatkovnim centrom. Imeli smo odlične kontejnerske dizelske motorje, a ko se je na ozemlju tovarne pojavil stanovanjski kompleks, so nas prosili, da jih odstranimo, zaradi česar smo izgubili zagotovljeno oskrbo z električno energijo in posledično možnost prenosa računalniške opreme iz oddaljeno zgradbo do strežniške sobe v pisarniških prostorih.
Ko se je bager približal objektu, smo kot podjetje nadaljevali s polnim delom (vendar s poslabšanjem ravni internih storitev zaradi zaostankov). In pospešili prenos strežniške sobe v podatkovni center ter polaganje optike med pisarnami. Do nedavnega smo imeli vso našo porazdeljeno infrastrukturo na ponudnikovih VPN zvezdah. Nekoč je bila zgodovinsko zgrajena na ta način. Projekt je bil izdelan tako, da optika v kateremkoli odseku med različnimi vozlišči ne konča v isti kabelski kanalizaciji. Prav letos februarja smo zaključili projekt: glavno opremo smo prepeljali v komercialni podatkovni center.
Nato se je skoraj takoj začelo množično delo na daljavo zaradi bioloških razlogov. VPN je obstajal že prej, metode dostopa tudi, nihče ni uvedel nič novega. Toda nikoli prej ni bila naloga za vsakogar s polnim naborom sredstev, da hkrati uporablja VPN. Na srečo je selitev v podatkovni center le omogočila močno razširitev kanalov dostopa do interneta in povezovanje celotnega osebja brez omejitev.
Se pravi, logično, da bi se moral zahvaliti temu bagru. Kajti brez tega bi se preselili veliko kasneje, certificiranih in preverjenih rešitev za zaprte segmente pa ne bi imeli pripravljenih.
Dan X
Manjkali so le še prenosniki za nekatere zaposlene, saj je bila vsa infrastruktura za delo na daljavo že vzpostavljena. Potem je vse preprosto: pred začetkom dela na daljavo smo lahko izdali več sto prenosnikov. Toda to je bil naš rezervni sklad: zamenjave za popravila, stari avtomobili. Niso poskušali kupiti, ker so se v tistem trenutku na trgu začele majhne anomalije. 31. marca je zapisal:
Prehod zaposlenih v ruskih podjetjih na delo na daljavo je povzročil množične nakupe prenosnikov in praznjenje njihovih zalog v skladiščih sistemskih integratorjev in distributerjev. Dobave nove opreme lahko trajajo dva do tri mesece.
Zaradi nuje so bile razprodane zaloge distributerjev. Po grobih ocenah naj bi nove zaloge prispele šele julija, kaj se je dogajalo, pa ni jasno, saj se je približno v istem času začel skok s tečajem rublja.
Prenosni računalniki
Izgubili smo naprave. Uradni razlog je največkrat nizka odgovornost zaposlenih. To je, ko jih človek pozabi na vlaku ali taksiju. Včasih so naprave ukradene iz avtomobilov. Pregledali smo različne možnosti rešitev proti kraji - vse so imele to pomanjkljivost, da izgube pravzaprav ni mogoče preprečiti.
Sam prenosnik Windows je seveda dragocen kot materialna dobrina, veliko bolj pomembno pa je, da ni ogrožen in da podatki na njem ne gredo kam drugam.
Iz prenosnega računalnika lahko greste na terminalski strežnik z uporabo dvostopenjske avtentikacije. Teoretično bodo na sami napravi shranjene samo lokalne osebne datoteke zaposlenega. Vse kritično je na namizju v terminalu. Vsi dostopi potekajo skozi to. Operacijski sistem končnega uporabnika ni pomemben - pri nas ljudje zlahka uporabljajo namizje Win z MacOS.
Iz nekaterih naprav lahko vzpostavite neposredno povezavo VPN z viri. In potem je tu programska oprema, ki je zaradi zmogljivosti povezana s strojno opremo (na primer AutoCAD) ali nekaj, kar zahteva žeton bliskovnega pogona in različico Internet Explorerja, ki ni nižja od 6.0. Tovarne še vedno pogosto uporabljajo to. V tem primeru seveda nastavimo dostop do lokalnega stroja.
Za administracijo uporabljamo politike domene in Microsoft SCCM plus Tivoli Remote Control za oddaljeno povezavo z dovoljenjem uporabnika. Administrator se lahko poveže, ko končni uporabnik sam to izrecno dovoli. Same posodobitve sistema Windows potekajo prek notranjega strežnika za posodabljanje. Tam je nabor strojev, na katerih so primarno nameščeni in preizkušeni - videti je, da v našem skladu programske opreme z novo posodobitvijo ni težav in da nova posodobitev nima težav z novimi napakami. Po ročni potrditvi se izda ukaz za izval. Ko VPN ne deluje, uporabniku pomagamo s Teamviewerjem. Skoraj vsi proizvodni oddelki imajo skrbniške pravice na lokalnih strojih, hkrati pa so uradno obveščeni, da ne morejo namestiti piratske programske opreme ali shranjevati različnih prepovedanih materialov. HR, prodaja in računovodstvo nimajo skrbniških pravic zaradi pomanjkanja potrebe. Glavna težava je pri sami namestitvi programske opreme in ne toliko zaradi piratske programske opreme, temveč zaradi dejstva, da lahko nova programska oprema uniči naš sklad. Zgodba o piratstvu je standardna: tudi če piratski Photoshop najdemo na osebnem prenosnem računalniku uporabnika, ki je bil iz nekega razloga na delovnem mestu, podjetje prejme globo. Tudi če prenosnik ni v bilanci stanja, je pa zraven namizje na mizi, ki je v bilanci stanja, in v dokumentih evidentiranih za uporabnika. Na to smo bili opozorjeni med varnostno revizijo ob upoštevanju ruske prakse kazenskega pregona.
BYOD ne uporabljamo, pri telefonih je najpomembnejša platforma Lotus Domino za upravljanje dokumentov in pošte. Priporočamo, da uporabniki z visoko stopnjo varnosti uporabljajo standardno rešitev IBM Traveler (zdaj HCL Verse). Med namestitvijo vam daje pravice za brisanje podatkov naprave in brisanje samih poštnih profilov. To uporabljamo v primeru kraje mobilnih naprav. Z iOS-om je težje, obstajajo samo vgrajena orodja.
Popravila, ki presegajo "zamenjavo RAM-a, napajalnika ali procesorja", so zamenjave in popravljene naprave običajno ne vrnemo. Med običajnim delom zaposleni hitro prinesejo prenosnik inženirjem za podporo, ti ga hitro diagnosticirajo. Zelo pomembno je, da vedno obstaja izbor prenosnih računalnikov z možnostjo vroče zamenjave enake zmogljivosti, sicer bodo uporabniki tako nadgradili. In popravila se bodo močno povečala. Če želite to narediti, morate imeti zalogo starih modelov. Zdaj je bil uporabljen za distribucijo.
VPN
VPN do delovnih virov - Cisco AnyConnect, deluje na vseh platformah. Na splošno smo z odločitvijo zadovoljni. Analiziramo enega ali dva ducata profilov za različne skupine uporabnikov z različnimi dostopi na ravni omrežja. Najprej ločevanje po dostopni listi. Najbolj razširjen je dostop iz osebnih naprav in iz prenosnika v standardne interne sisteme. Na voljo so razširjeni dostopi za skrbnike, razvijalce in inženirje z notranjimi laboratorijskimi mrežami, kjer so na ACL tudi sistemi za testiranje in razvoj rešitev.
V prvih dneh množičnega prehoda na delo na daljavo smo se srečali s povečanim dotokom povpraševanj na servis, ker uporabniki niso prebrali poslanih navodil.
Splošno delo
V svoji enoti nisem opazil nobenega poslabšanja, povezanega z nedisciplino ali kakršno koli sproščenostjo, o kateri se toliko piše.
Igor Karavai, namestnik vodje oddelka za informacijsko podporo.
Vir: www.habr.com