在我們的兩棟大樓旁邊,兩棟大樓之間有500公尺的暗光學,他們決定在地上挖一個大洞。 用於美化地區(作為鋪設供熱總管和建造新地鐵入口的最後階段)。 為此,您需要一台挖土機。 從那時起我就無法平靜地看待他們了。 一般來說,當挖土機和光學元件在空間中的某一點相遇時,不可避免地會發生這種情況。 可以說,這就是挖土機的本質,他不可能錯過。
我們的主伺服器站點位於一棟大樓內,辦公室位於半公里外的另一棟大樓內。 備用通道是透過 VPN 的互聯網。 我們在建築物之間放置光學元件不是出於安全原因,也不是為了平庸的經濟效率(這樣流量比透過提供者的服務便宜),而只是因為連接速度。 僅僅因為我們能夠並且知道如何將光學器件放入罐中。 但銀行製造了環路,如果透過不同的路線建立第二條鏈路,該專案的整個經濟效益將會崩潰。
事實上,正是在休息的那一刻,我們轉向了遠距工作。 在你自己的辦公室裡。 更準確地說,一次分成兩個。
懸崖前
由於多種原因(包括未來的發展計畫),幾個月後就需要搬遷伺服器機房。 我們開始慢慢探索可能的選擇,包括商業資料中心。 我們擁有出色的貨櫃柴油發動機,但是當工廠境內出現住宅區時,我們被要求將其拆除,結果我們失去了有保障的電力供應,並因此失去了從工廠轉移計算設備的能力。遠程建築物到辦公場所的伺服器機房。
當挖土機接近大樓時,我們公司繼續全力工作(但由於滯後,內部服務水準下降)。 他們還加速了伺服器機房向資料中心的轉移以及辦公室之間的光纖鋪設。 直到最近,我們所有的分散式基礎設施都位於提供者 VPN 星上。 歷史上曾經是這樣建造的。 該專案經過精心設計,確保不同節點之間任何部分的光學元件不會出現在同一電纜管道中。 就在今年XNUMX月,我們完成了這個專案:主要設備被運往商業資料中心。
然後,幾乎立即,由於生物學原因,大規模遠距工作開始了。 VPN以前就存在,存取方式也存在,沒有人專門部署任何新的東西。 但以前從未為擁有全套資源的每個人設定同時使用 VPN 的任務。 幸運的是,遷移到資料中心正好可以大幅擴展網路存取管道並不受限制地連接整個員工。
也就是說,照理說,我應該感謝這台挖土機。 因為如果沒有它,我們的行動就會晚得多,而且我們不會為封閉細分市場準備好經過認證和驗證的解決方案。
第 X 天
唯一缺少的是一些員工的筆記型電腦,因為遠距工作的整個基礎設施已經就位。 那麼一切就變得簡單了:在開始遠距工作之前,我們能夠發放數百台筆記型電腦。 但這是我們的儲備基金:用於修理、舊車的更換。 他們沒有嘗試購買,因為此時市場開始出現小異常。 31 月 XNUMX 日,他寫道:
俄羅斯公司的員工轉移到遠端工作導致大量購買筆記型電腦,並導致系統整合商和分銷商倉庫中的庫存耗盡。 新設備的交付可能需要兩到三個月的時間。
由於緊急情況,經銷商的庫存已售罄。 根據粗略估計,新的供應應該在七月才到達,目前還不清楚發生了什麼,因為大約在同一時間盧布匯率開始出現跳躍式增長。
筆記本電腦
我們遺失了設備。 官方的原因通常是員工責任感不強。 這是當一個人把它們忘記在火車或計程車上時。 有時,汽車上的設備會被偷走。 我們研究了防盜解決方案的不同選擇 - 它們都有一個缺點,即實際上無法防止損失。
當然,Windows 筆記型電腦本身作為物質資產很有價值,但更重要的是它不會受到損害並且其中的資料不會轉移到其他地方。
您可以從筆記型電腦使用雙重認證存取終端伺服器。 理論上,只有員工的本地個人檔案才會儲存在裝置本身上。 所有重要的內容都在終端機的桌面上。 所有訪問都透過它進行。 最終用戶的作業系統並不重要 - 在我們國家,人們可以輕鬆使用帶有 MacOS 的 Win 桌面。
您可以從某些裝置建立與資源的直接 VPN 連線。 還有一些與硬體綁定以提高效能的軟體(例如 AutoCAD)或需要閃存驅動器令牌和不低於 6.0 的 Internet Explorer 版本的軟體。 工廠至今仍經常使用這種方法。 當然,在這種情況下,我們設定對本機的存取。
對於管理,我們使用網域原則和 Microsoft SCCM 以及 Tivoli Remote Control 來實現具有使用者權限的遠端連線。 當最終用戶本人明確允許時,管理員可以連線。 Windows 更新本身是透過內部更新伺服器進行。 有一組機器主要在那裡安裝和測試 - 看起來我們的軟體堆疊中沒有新更新的問題,並且新更新沒有新錯誤的問題。 人工確認後,下達轉出命令。 當 VPN 不起作用時,我們使用 Teamviewer 來幫助使用者。 幾乎所有的生產部門都對本地機器擁有管理權限,但同時又被官方告知不能安裝盜版軟體或存放各種違禁材料。 人力資源、銷售和會計部門由於缺乏需求而沒有管理權限。 自己安裝軟體的主要問題並不是盜版軟體,而是新軟體可能會破壞我們的堆疊。 關於盜版的故事是標準的:即使在使用者的個人筆記型電腦上發現盜版 Photoshop(由於某種原因而位於工作場所),公司也會收到罰款。 即使筆記型電腦不在資產負債表上,但在資產負債表上以及為使用者記錄的文件中,旁邊的桌子上有一台桌上型電腦。 考慮到俄羅斯執法實踐,我們在安全審計期間收到了有關這一點的警告。
我們不使用 BYOD;對於手機來說,最重要的是用於文件管理和郵件的 Lotus Domino 平台。 我們建議高安全性使用者使用標準 IBM Traveler 解決方案(現為 HCL Verse)。 在安裝過程中,它賦予您清除設備資料和清除郵件設定檔本身的權利。 我們在行動裝置被盜的情況下使用它。 iOS 就比較困難,只有內建工具。
「更換 RAM、電源或處理器」以外的維修屬於更換,維修後的設備通常不會退回。 正常工作期間,員工快速攜帶筆記型電腦給支援工程師,他們快速診斷。 非常重要的是,總是有各種相同性能的熱插拔筆記型電腦,否則用戶就會這樣升級。 而且維修量也會急遽增加。 為此,您需要保留舊型號的庫存。 現在它被用於分發。
VPN
VPN 到工作資源 - Cisco AnyConnect,適用於所有平台。 總的來說,我們對這個決定感到滿意。 我們分析網路層級具有不同存取權限的不同使用者群組的一到兩打設定檔。 首先,根據訪問列表進行分離。 最廣泛的是從個人設備和筆記型電腦存取標準內部系統。 管理員、開發人員和工程師可以透過內部實驗室網路進行擴展訪問,其中測試和解決方案開發系統也在 ACL 上。
在大規模過渡到遠端工作的第一天,由於用戶沒有閱讀發送的說明,我們遇到了向服務台請求的流量增加的情況。
一般工作
我沒有看到我的單位有任何與不守紀律或任何形式的放鬆有關的惡化,正如所寫的那樣。
卡拉瓦伊 (Igor Karavai),資訊支持部副部長。
來源: www.habr.com