Get best of the week

Comment nous sommes passés à Udalenka il y a six mois en raison de l'optique hachée



À côté de nos deux bâtiments, entre lesquels se trouvait 500 mètres d'optiques sombres, nous avons décidé de creuser un grand trou dans le sol. Pour l'amélioration du territoire (comme dernière étape de la pose du chauffage principal et de la construction de l'entrée du nouveau métro). Pour cela, vous avez besoin d'une pelle. Depuis ces jours, je ne peux plus les regarder calmement. En général, quelque chose s'est produit qui se produit inévitablement lorsqu'une excavatrice et l'optique se rencontrent à un moment donné dans l'espace. On peut dire que c'est la nature de la pelle et qu'il ne pouvait pas manquer.

Dans un bâtiment se trouvait notre principale plate-forme de serveurs et dans un autre, à un demi-kilomètre, un bureau. Le canal de sauvegarde était Internet via VPN. Nous n'avons pas placé l'optique entre les bâtiments pour des raisons de sécurité, non pas en raison d'une efficacité économique banale (de cette façon, le trafic était moins cher que par le biais des services du fournisseur), puis uniquement en raison de la vitesse de connexion. Et tout simplement parce que nous sommes ceux-là mêmes qui peuvent et peuvent mettre des optiques aux banques. Mais les banques font des anneaux, et avec le deuxième lien, l'ensemble de l'économie du projet se serait effondré avec une voie différente.

En fait, c'est au moment de la falaise que nous sommes passés au site distant. Dans votre propre bureau. Plus précisément, en deux à la fois.

Devant la falaise


Pour un certain nombre de raisons (y compris un plan de développement futur), il est devenu évident qu'il serait nécessaire de transférer la salle des serveurs dans quelques mois. Nous avons commencé à explorer tranquillement les options possibles, notamment en envisageant un centre de données commercial. Nous avions d'excellents moteurs diesel à conteneurs, mais lorsqu'un complexe résidentiel est apparu sur le territoire de l'usine, on nous a demandé de les retirer, ce qui a entraîné la perte de l'alimentation électrique garantie et, par conséquent, la possibilité de transférer l'équipement informatique d'un bâtiment distant vers le serveur du bureau.

Lorsque la pelle s'est glissée dans le bâtiment, nous, en tant qu'entreprise, avons continué à travailler pleinement (mais avec une détérioration du niveau des services internes en raison de retards). Et ils ont forcé le transfert du serveur au centre de données et la pose d'optiques entre les bureaux. Plus récemment, toute notre infrastructure distribuée était basée sur les stars VPN du fournisseur. Une fois, il a été construit de manière historique. Le projet a été conçu de sorte que l'optique dans n'importe quelle section entre différents nœuds ne se retrouve pas dans le même conduit de câble. Littéralement, ce mois de février a été achevé: l'équipement principal a été transporté vers un centre de données commercial.

Puis, presque immédiatement, une élimination massive a commencé pour des raisons biologiques. Le VPN existait auparavant, les méthodes d'accès aussi, personne n'a spécifiquement développé quelque chose de nouveau. Mais jamais auparavant n'a été la tâche de passer par un VPN en même temps pour tout le monde avec un ensemble complet de ressources. Heureusement, le passage au centre de données a simplement permis d'étendre considérablement les canaux d'accès à Internet et de connecter l'ensemble de l'État sans restrictions.

Autrement dit, j'aurais dû remercier cette excavatrice. Parce que sans lui, nous aurions déménagé beaucoup plus tard, et nous n'aurions pas été prêts pour des solutions certifiées et vérifiées pour les segments fermés.

Jour x


Une partie du personnel ne disposait que d'ordinateurs portables, car il y avait déjà toute l'infrastructure pour le travail à distance. Ensuite, tout est simple: nous avons pu émettre plusieurs centaines d'ordinateurs portables avant de commencer le travail à distance. Mais c'était notre fonds de réserve: remplacement pour les réparations, vieilles voitures. Ils n'ont pas essayé d'acheter, car à ce moment de petites anomalies ont commencé sur le marché. Interfax le 31 mars a écrit:

Le transfert des employés des entreprises russes vers le travail à distance a entraîné des achats massifs d'ordinateurs portables et leur épuisement dans les entrepôts des intégrateurs de systèmes et des distributeurs. Cela peut prendre de deux à trois mois pour fournir de nouveaux équipements.

En raison de l'urgence, les stocks de distributeurs ont été épuisés. Selon des estimations approximatives, de nouvelles livraisons n'auraient dû arriver qu'en juillet, et ce qui se passait n'est pas clair, car à peu près à la même époque, un bond en avant avec le taux de change du rouble a commencé.

Portables


Nous avons perdu des appareils. La raison officielle est le plus souvent la faible responsabilité des employés. C'est quand une personne les oublie dans un train électrique, un taxi. Parfois, des appareils sont volés dans des voitures. Nous avons examiné différentes variantes de solutions antivol - elles avaient toutes un inconvénient en ce sens qu'il était impossible de prévenir les pertes.

Un ordinateur portable Windows en soi, bien sûr, est précieux en tant qu'actif tangible, mais il est beaucoup plus important qu'il ne soit pas compromis et que les données qu'il contient n'aillent pas vers la gauche.

Depuis un ordinateur portable, vous pouvez accéder au serveur Terminal Server via une authentification à deux facteurs. Sur l'appareil lui-même, en théorie, seuls les fichiers personnels locaux de l'employé seront stockés. Tout ce qui est critique se trouve sur le bureau du terminal. Tous les accès y sont jetés. Le système d'exploitation de l'utilisateur final n'est pas important - avec nous, les gens vont tranquillement à la Win-table avec MacOS.

À partir de certains appareils, vous pouvez établir une connexion VPN directe aux ressources. Et il existe également des logiciels liés au matériel en termes de performances (par exemple, AutoCAD) ou quelque chose qui nécessite un jeton flash et Internet Explorer au moins la version 6.0. Les usines l'utilisent encore souvent. Dans ce cas, bien sûr, nous définissons l'accès à la machine locale.

Pour l'administration, nous utilisons des stratégies de domaine et Microsoft SCCM plus Tivoli Remote Control pour la connexion à distance avec l'autorisation de l'utilisateur. L'administrateur peut se connecter lorsque l'utilisateur final s'est explicitement autorisé. Les mises à jour Windows elles-mêmes passent par le serveur de mise à jour interne. Il y a un pool de machines qui sont principalement installées et exécutées là-bas - il semble qu'il n'y ait aucun problème dans notre pile de logiciels avec une nouvelle mise à jour et que la nouvelle mise à jour n'ait aucun problème avec de nouveaux bogues. Après confirmation manuelle, une commande de roulement est émise. Lorsque le VPN ne fonctionne pas, nous utilisons le Time Viewer pour aider l'utilisateur. Presque toutes les unités de production ont des droits d'administrateur sur les machines locales, mais en même temps, elles sont officiellement informées qu'il est impossible d'installer des logiciels piratés et de stocker divers matériaux interdits. Cadres en Uservice commercial et comptable il n'y a pas de droits d'administrateur faute de besoin. Le principal problème est l'auto-installation des logiciels, et pas tellement dans les logiciels piratés, mais dans le fait que de nouveaux logiciels peuvent ruiner notre pile. L'histoire de pirate est standard: même si un pirate Photoshop se trouve sur l'ordinateur portable personnel de l'utilisateur, qui était pour une raison quelconque sur le lieu de travail, une amende que l'entreprise reçoit. Même si l'ordinateur portable n'est pas au bilan, et à côté de lui sur la table se trouve le bureau, debout au bilan et dans les documents enregistrés par l'utilisateur. Nous en avons été avertis lors d'un audit de sécurité tenant compte des pratiques répressives russes.même si un pirate Photoshop se trouve sur l'ordinateur portable personnel de l'utilisateur pour une raison quelconque sur le lieu de travail - une amende que l'entreprise reçoit. Même si l'ordinateur portable n'est pas au bilan, et à côté de lui sur la table se trouve le bureau, debout au bilan et dans les documents enregistrés par l'utilisateur. Nous en avons été avertis lors d'un audit de sécurité tenant compte des pratiques répressives russes.même si un pirate Photoshop se trouve sur l'ordinateur portable personnel de l'utilisateur pour une raison quelconque sur le lieu de travail - une amende que l'entreprise reçoit. Même si l'ordinateur portable n'est pas au bilan, et à côté de lui sur la table se trouve le bureau, debout au bilan et dans les documents enregistrés par l'utilisateur. Nous en avons été avertis lors d'un audit de sécurité tenant compte des pratiques répressives russes.

Nous n'utilisons pas le BYOD, dont l'important pour les téléphones est la plate-forme Lotus Domino pour le workflow et le courrier. Nous recommandons aux utilisateurs disposant de niveaux d'accès élevés d'utiliser la solution IBM Traveler standard (désormais HCL Verse). Pendant l'installation, il donne le droit d'effacer les données du périphérique et les profils de messagerie. Nous en profitons en cas de vol d'appareils mobiles. IOS est plus compliqué, il n'y a que des outils intégrés.

Réparations en dehors du remplacement «changer la RAM, l'alimentation ou le processeur», et l'appareil réparé ne revient généralement pas. Pendant le travail normal - les employés apportent rapidement un ordinateur portable pour soutenir les ingénieurs, ils diagnostiquent rapidement. Il est très important qu'il y ait toujours un assortiment d'ordinateurs portables remplaçables à chaud de la même performance, sinon les utilisateurs mettront à niveau de cette façon. Et les réparations augmenteront considérablement. Pour ce faire, vous devez conserver un stock d'anciens modèles. Maintenant, c'était lui qui était utilisé pour la distribution.

VPN


VPN up to work resources - Cisco AnyConnect, fonctionne sur toutes les plateformes. En général, nous sommes satisfaits de la décision. Nous démontons en une ou deux douzaines de profils pour différents groupes d'utilisateurs avec différents accès au niveau du réseau. Tout d'abord, la séparation par liste d'accès. Le plus massif est l'accès des appareils personnels et d'un ordinateur portable aux systèmes internes standard. Il y a des accès étendus pour les administrateurs, les développeurs et les ingénieurs avec des réseaux de laboratoires internes, où les systèmes de test-développement pour les solutions sont également sur l'ACL.

Dans les premiers jours de la transition de masse vers le travail à distance, ils ont dû faire face à une augmentation du flux d'appels vers le service desk car les utilisateurs ne lisent pas les instructions envoyées.

Travail général


Je n'ai pas vu la détérioration de mon unité associée au manque de discipline ou à une sorte de relaxation, dont beaucoup est écrit.

Igor Karavay, chef adjoint du support informatique.

More articles:


All Articles