Get best of the week

Cómo nos cambiamos a udalenka hace seis meses debido a la óptica cortada



Al lado de nuestros dos edificios, entre los cuales había 500 metros de óptica oscura, decidimos cavar un gran agujero en el suelo. Para la mejora del territorio (como la etapa final de colocación de la calefacción principal y la construcción de la entrada al nuevo metro). Para esto necesitas una excavadora. Desde aquellos días, no puedo mirarlos con calma. En general, sucedió algo que inevitablemente sucede cuando una excavadora y una óptica se encuentran en un punto en el espacio. Podemos decir que esta es la naturaleza de la excavadora y que no podía fallar.

En un edificio estaba nuestra plataforma principal de servidores, y en otro, a medio kilómetro de distancia, una oficina. El canal de respaldo fue Internet a través de VPN. No pusimos la óptica entre los edificios por razones de seguridad, no por la eficiencia económica banal (de esta manera el tráfico era más barato que a través de los servicios del proveedor), y luego solo por la velocidad de conexión. Y simplemente porque somos las mismas personas que podemos y podemos poner la óptica a los bancos. Pero los bancos hacen anillos, y con el segundo vínculo, toda la economía del proyecto se habría derrumbado con una ruta diferente.

En realidad, fue en el momento del acantilado que cambiamos al sitio remoto. En tu propia oficina. Más precisamente, en dos a la vez.

Antes del acantilado


Por varias razones (incluido un plan para el desarrollo futuro), quedó claro que sería necesario transferir la sala de servidores en unos pocos meses. Comenzamos a explorar tranquilamente las posibles opciones, incluida la consideración de un centro de datos comercial. Teníamos excelentes motores diesel para contenedores, pero cuando apareció un complejo residencial en el territorio de la planta, se nos pidió que los quitáramos, como resultado de lo cual perdimos la fuente de alimentación garantizada y, como resultado, la capacidad de transferir equipos informáticos desde un edificio remoto al servidor de la oficina.

Cuando la excavadora se arrastró hasta el edificio, nosotros como compañía continuamos trabajando en su totalidad (pero con un deterioro en el nivel de los servicios internos debido a los retrasos). Y obligaron a transferir el servidor al centro de datos y colocar la óptica entre oficinas. Más recientemente, toda nuestra infraestructura distribuida estaba en las estrellas VPN del proveedor. Una vez que fue construido históricamente. El proyecto fue diseñado para que la óptica en cualquier sección entre diferentes nodos no terminara en el mismo conducto de cable. Literalmente, este febrero se completó: el equipo principal fue transportado a un centro de datos comercial.

Luego, casi de inmediato, comenzó una extracción masiva por razones biológicas. VPN existía antes, los métodos de acceso también, nadie desarrolló específicamente nada nuevo. Pero nunca antes fue la tarea de pasar por una VPN al mismo tiempo para todos con un conjunto completo de recursos. Afortunadamente, mudarse al centro de datos solo permitió expandir en gran medida los canales de acceso a Internet y conectar todo el estado sin restricciones.

Es decir, lógicamente, debería haberle agradecido a esta excavadora. Porque sin él nos habríamos mudado mucho más tarde, y no habríamos estado listos para soluciones certificadas y verificadas para segmentos cerrados.

Día x


Parte del personal carecía solo de computadoras portátiles, porque ya existía toda la infraestructura para el trabajo remoto. Entonces todo es simple: pudimos emitir varios cientos de computadoras portátiles antes de comenzar el trabajo remoto. Pero era nuestro fondo de reserva: reemplazo para reparaciones, autos viejos. No intentaron comprar, porque en ese momento comenzaron pequeñas anomalías en el mercado. Interfax 31 de marzo escribió:

La transferencia de empleados de empresas rusas al trabajo remoto condujo a compras masivas de computadoras portátiles y su agotamiento en los almacenes de los integradores y distribuidores de sistemas. Puede tomar de dos a tres meses suministrar nuevos equipos.

Debido a la urgencia, se agotaron las existencias de los distribuidores. Según estimaciones aproximadas, las nuevas entregas deberían haber llegado solo en julio, y no está claro lo que estaba sucediendo, porque aproximadamente al mismo tiempo, comenzó el salto con el tipo de cambio del rublo.

Laptops


Hemos perdido dispositivos. La razón oficial con mayor frecuencia es la baja responsabilidad de los empleados. Esto es cuando una persona los olvida en un tren eléctrico, taxi. A veces los dispositivos son robados de los automóviles. Analizamos diferentes variantes de soluciones antirrobo: todas tenían un inconveniente en que, de hecho, era imposible evitar pérdidas.

Una computadora portátil con Windows en sí misma, por supuesto, es valiosa como un activo tangible, pero es mucho más importante que no se vea comprometida y que los datos que contiene no vayan a la izquierda.

Desde una computadora portátil, puede ir al servidor de terminal a través de la autenticación de dos factores. En el dispositivo, en teoría, solo se almacenarán los archivos personales locales del empleado. Todo lo crítico se encuentra en el escritorio en la terminal. Todos los accesos se lanzan a través de él. El sistema operativo del usuario final no es importante: con nosotros, la gente va silenciosamente a la mesa de Win con MacOS.

Desde algunos dispositivos, puede establecer una conexión VPN directa a los recursos. Y también hay software que está vinculado al hardware en términos de rendimiento (por ejemplo, AutoCAD) o algo que requiere un token flash e Internet Explorer al menos la versión 6.0. Las fábricas todavía usan esto a menudo. En este caso, por supuesto, configuramos el acceso a la máquina local.

Para la administración, utilizamos políticas de dominio y Microsoft SCCM más Tivoli Remote Control para la conexión remota con permiso del usuario. El administrador puede conectarse cuando el usuario final se autorizó explícitamente. Las actualizaciones de Windows pasan por el servidor de actualización interno. Hay un grupo de máquinas que se instalan y ejecutan principalmente allí; parece que no hay problemas en nuestra pila de software con una nueva actualización y que la nueva actualización no tiene problemas con nuevos errores. Después de la confirmación manual, se emite un comando continuo. Cuando la VPN no funciona, usamos Time Viewer para ayudar al usuario. Casi todas las unidades de producción tienen derechos de administrador en máquinas locales, pero también se les notifica oficialmente que es imposible instalar software pirateado y almacenar diversos materiales prohibidos. Marcos en Udepartamento de ventas y contabilidad no hay derechos de administrador debido a la falta de necesidad. El principal problema es la autoinstalación del software, y no tanto en el software pirateado, sino en el hecho de que el nuevo software puede arruinar nuestra pila. La historia de los piratas es estándar: incluso si se encuentra un Photoshop pirata en la computadora portátil personal del usuario, que por alguna razón estaba en el lugar de trabajo, una multa que recibe la compañía. Incluso si la computadora portátil no está en el balance general, y junto a ella en la mesa está el escritorio, parado en el balance general y en los documentos registrados por el usuario. Se nos advirtió sobre esto en una auditoría de seguridad teniendo en cuenta la práctica rusa de aplicación de la ley.incluso si se encuentra un Photoshop pirata en la computadora portátil personal del usuario por alguna razón en el lugar de trabajo, una multa que recibe la compañía. Incluso si la computadora portátil no está en el balance general, y junto a ella en la mesa está el escritorio, parado en el balance general y en los documentos registrados por el usuario. Se nos advirtió sobre esto en una auditoría de seguridad teniendo en cuenta la práctica rusa de aplicación de la ley.incluso si se encuentra un Photoshop pirata en la computadora portátil personal del usuario por alguna razón en el lugar de trabajo, una multa que recibe la compañía. Incluso si la computadora portátil no está en el balance general, y junto a ella en la mesa está el escritorio, parado en el balance general y en los documentos registrados por el usuario. Se nos advirtió sobre esto en una auditoría de seguridad teniendo en cuenta la práctica rusa de aplicación de la ley.

No utilizamos BYOD, de los cuales lo importante para los teléfonos es la plataforma Lotus Domino para el flujo de trabajo y el correo. Recomendamos que los usuarios con altos niveles de acceso utilicen la solución estándar de IBM Traveler (ahora HCL Verse). Durante la instalación, otorga derechos para borrar los datos del dispositivo y borrar los perfiles de correo. Aprovechamos esto en caso de robo de dispositivos móviles. IOS es más complicado, solo hay herramientas integradas.

Reparaciones fuera del reemplazo de "cambiar la RAM, la fuente de alimentación o el procesador", y el dispositivo reparado generalmente no regresa. Durante el trabajo normal: los empleados llevan rápidamente una computadora portátil para ayudar a los ingenieros, diagnostican rápidamente. Es muy importante que siempre haya una variedad de computadoras portátiles intercambiables en caliente del mismo rendimiento, de lo contrario, los usuarios se actualizarán de esta manera. Y las reparaciones aumentarán dramáticamente. Para hacer esto, debe mantener un stock de modelos antiguos. Ahora era él quien se usaba para la distribución.

VPN


Recursos VPN para trabajar: Cisco AnyConnect funciona en todas las plataformas. En general, estamos satisfechos con la decisión. Desmontamos en una o dos docenas de perfiles para diferentes grupos de usuarios con diferentes accesos a nivel de red. En primer lugar, separación por lista de acceso. El más masivo es el acceso desde dispositivos personales y desde una computadora portátil a sistemas internos estándar. Hay accesos extendidos para administradores, desarrolladores e ingenieros con redes internas de laboratorio, donde los sistemas de desarrollo de pruebas para soluciones también están en la ACL.

En los primeros días de la transición masiva al trabajo remoto, se enfrentaron a un aumento en el flujo de llamadas a la mesa de servicio debido al hecho de que los usuarios no leen las instrucciones enviadas.

Trabajo general


No vi el deterioro en mi unidad asociado con la falta de disciplina o algún tipo de relajación, sobre lo que tanto se escribe.

Igor Karavay, Jefe Adjunto de Soporte de Información.

More articles:


All Articles