在我们的两栋大楼旁边,两栋大楼之间有500米的暗光学,他们决定在地上挖一个大洞。 用于美化地区(作为铺设供热总管和建造新地铁入口的最后阶段)。 为此,您需要一台挖掘机。 从那时起我就无法平静地看待他们了。 一般来说,当挖掘机和光学器件在空间中的某一点相遇时,不可避免地会发生这种情况。 可以说,这就是挖掘机的本质,他不可能错过。
我们的主服务器站点位于一栋大楼内,办公室位于半公里外的另一栋大楼内。 备用通道是通过 VPN 的互联网。 我们在建筑物之间放置光学器件不是出于安全原因,也不是为了平庸的经济效率(这样流量比通过提供商的服务便宜),而仅仅是因为连接速度。 仅仅因为我们能够并且知道如何将光学器件放入罐中。 但银行制造了环路,如果通过不同的路线建立第二条链路,该项目的整个经济效益将会崩溃。
事实上,正是在休息的那一刻,我们转向了远程工作。 在你自己的办公室里。 更准确地说,一次分成两个。
悬崖前
由于多种原因(包括未来的发展计划),几个月后就需要搬迁服务器机房。 我们开始慢慢探索可能的选择,包括商业数据中心。 我们拥有出色的集装箱柴油发动机,但是当工厂境内出现住宅区时,我们被要求将其拆除,结果我们失去了有保障的电力供应,并因此失去了从工厂转移计算设备的能力。远程建筑物到办公场所的服务器机房。
当挖掘机接近大楼时,我们公司继续全力工作(但由于滞后,内部服务水平下降)。 他们还加速了服务器机房向数据中心的转移以及办公室之间的光纤铺设。 直到最近,我们所有的分布式基础设施都位于提供商 VPN 星上。 历史上曾经是这样建造的。 该项目经过精心设计,确保不同节点之间任何部分的光学器件不会出现在同一电缆管道中。 就在今年XNUMX月,我们完成了该项目:主要设备被运往商业数据中心。
然后,几乎立即,由于生物学原因,大规模远程工作开始了。 VPN以前就存在,访问方式也存在,没有人专门部署任何新的东西。 但以前从未为拥有全套资源的每个人设置同时使用 VPN 的任务。 幸运的是,迁移到数据中心正好可以极大地扩展互联网访问渠道并不受限制地连接整个员工。
也就是说,按理说,我应该感谢这台挖掘机。 因为如果没有它,我们的行动就会晚得多,而且我们也不会为封闭细分市场准备好经过认证和验证的解决方案。
第 X 天
唯一缺少的是一些员工的笔记本电脑,因为远程工作的整个基础设施已经就位。 那么一切就变得简单了:在开始远程工作之前,我们能够发放数百台笔记本电脑。 但这是我们的储备基金:用于修理、旧车的更换。 他们没有尝试购买,因为此时市场开始出现小异常。 31 月 XNUMX 日,他写道:
俄罗斯公司的员工转移到远程工作导致大量购买笔记本电脑,并导致系统集成商和分销商仓库中的库存耗尽。 新设备的交付可能需要两到三个月的时间。
由于紧急情况,经销商的库存已售罄。 根据粗略估计,新的供应应该在七月份才到达,目前还不清楚发生了什么,因为大约在同一时间卢布汇率开始出现跳跃式增长。
笔记本电脑
我们丢失了设备。 官方的原因通常是员工责任心不强。 这是当一个人把它们忘记在火车或出租车上时。 有时,汽车上的设备会被盗。 我们研究了防盗解决方案的不同选择 - 它们都有一个缺点,即实际上无法防止损失。
当然,Windows 笔记本电脑本身作为物质资产很有价值,但更重要的是它不会受到损害并且其中的数据不会转移到其他地方。
您可以从笔记本电脑使用双因素身份验证访问终端服务器。 理论上,只有员工的本地个人文件才会存储在设备本身上。 所有重要的内容都在终端的桌面上。 所有访问都通过它进行。 最终用户的操作系统并不重要 - 在我们国家,人们可以轻松使用带有 MacOS 的 Win 桌面。
您可以从某些设备建立与资源的直接 VPN 连接。 还有一些与硬件绑定以提高性能的软件(例如 AutoCAD)或需要闪存驱动器令牌和不低于 6.0 的 Internet Explorer 版本的软件。 工厂现在仍然经常使用这个。 当然,在这种情况下,我们设置对本地机器的访问。
对于管理,我们使用域策略和 Microsoft SCCM 以及 Tivoli Remote Control 来实现具有用户权限的远程连接。 当最终用户本人明确允许时,管理员可以连接。 Windows 更新本身通过内部更新服务器进行。 有一组机器主要在那里安装和测试 - 看起来我们的软件堆栈中没有新更新的问题,并且新更新没有新错误的问题。 人工确认后,下达转出命令。 当 VPN 不起作用时,我们使用 Teamviewer 来帮助用户。 几乎所有的生产部门都对本地机器拥有管理权限,但同时又被官方告知不能安装盗版软件或存放各种违禁材料。 人力资源、销售和会计部门由于缺乏需要而没有管理权限。 自己安装软件的主要问题并不是盗版软件,而是新软件可能会破坏我们的堆栈。 关于盗版的故事是标准的:即使在用户的个人笔记本电脑上发现盗版 Photoshop(由于某种原因而位于工作场所),公司也会收到罚款。 即使笔记本电脑不在资产负债表上,但在资产负债表上以及为用户记录的文档中,旁边的桌子上有一台台式机。 考虑到俄罗斯执法实践,我们在安全审计期间收到了有关这一点的警告。
我们不使用 BYOD;对于手机来说,最重要的是用于文档管理和邮件的 Lotus Domino 平台。 我们建议高安全性用户使用标准 IBM Traveler 解决方案(现为 HCL Verse)。 在安装过程中,它赋予您清除设备数据和清除邮件配置文件本身的权利。 我们在移动设备被盗的情况下使用它。 iOS 就比较困难,只有内置工具。
“更换 RAM、电源或处理器”之外的维修属于更换,维修后的设备通常不会退回。 正常工作期间,员工快速携带笔记本电脑给支持工程师,他们快速诊断。 非常重要的是,总是有各种相同性能的热插拔笔记本电脑,否则用户就会这样升级。 而且维修量也会急剧增加。 为此,您需要保留旧型号的库存。 现在它被用于分发。
VPN
VPN 到工作资源 - Cisco AnyConnect,适用于所有平台。 总的来说,我们对这个决定感到满意。 我们分析网络级别具有不同访问权限的不同用户组的一到两打配置文件。 首先,根据访问列表进行分离。 最广泛的是从个人设备和笔记本电脑访问标准内部系统。 管理员、开发人员和工程师可以通过内部实验室网络进行扩展访问,其中测试和解决方案开发系统也在 ACL 上。
在大规模过渡到远程工作的第一天,由于用户没有阅读发送的说明,我们遇到了向服务台请求的流量增加的情况。
一般工作
我没有看到我的单位有任何与不守纪律或任何形式的放松有关的恶化,正如所写的那样。
伊戈尔·卡拉瓦伊 (Igor Karavai),信息支持部副部长。
来源: habr.com