Get best of the week

Como mudamos para udalenka há seis meses devido à óptica cortada



Ao lado de nossos dois edifícios, entre os quais havia 500 metros de óptica escura, decidimos cavar um grande buraco no chão. Para a melhoria do território (como a etapa final da colocação do aquecimento principal e a construção da entrada do novo metrô). Para isso, você precisa de uma escavadeira. Desde aqueles dias, não consigo olhar com calma para eles. Em geral, aconteceu algo que inevitavelmente acontece quando uma escavadeira e uma ótica se encontram em um ponto no espaço. Podemos dizer que essa é a natureza da escavadeira e ele não poderia faltar.

Em um prédio, nossa principal plataforma de servidores, e em outro, a meio quilômetro de distância, um escritório. O canal de backup era a Internet via VPN. Não colocamos a ótica entre os prédios por motivos de segurança, não por causa da eficiência econômica banal (dessa maneira, o tráfego era mais barato do que pelos serviços do fornecedor) e, apenas por causa da velocidade da conexão. E simplesmente porque somos as mesmas pessoas que podem e podem colocar a ótica nos bancos. Mas os bancos fazem anéis e, com o segundo elo, toda a economia do projeto teria desmoronado com uma rota diferente.

Na verdade, foi no momento do penhasco que mudamos para o site remoto. Em seu próprio escritório. Mais precisamente, em dois ao mesmo tempo.

Antes do precipício


Por várias razões (incluindo um plano para desenvolvimento futuro), ficou claro que seria necessário transferir a sala do servidor em alguns meses. Começamos a explorar opções possíveis, inclusive considerando um data center comercial. Tínhamos excelentes motores diesel para contêineres, mas quando um complexo residencial apareceu no território da planta, fomos solicitados a removê-los, pelo que perdemos a garantia de fornecimento de energia e, como resultado, a capacidade de transferir equipamentos de computação de um prédio remoto para o servidor no escritório.

Quando a escavadeira chegou ao prédio, nós, como empresa, continuamos a trabalhar na íntegra (mas com uma deterioração no nível de serviços internos devido a defasagens). E eles forçaram a transferir o servidor para o centro de dados e estabelecer a ótica entre os escritórios. Mais recentemente, toda a nossa infraestrutura distribuída estava nas estrelas da VPN do provedor. Uma vez que foi construído tão historicamente. O projeto foi projetado para que a óptica em qualquer seção entre nós diferentes não acabasse no mesmo duto de cabo. Literalmente, em fevereiro deste ano, o equipamento principal foi transportado para um data center comercial.

Então, quase imediatamente, uma remoção em massa começou por razões biológicas. A VPN já existia antes, os métodos de acesso também não foram desenvolvidos especificamente por alguém novo. Mas nunca antes a tarefa de passar por uma VPN ao mesmo tempo para todos com um conjunto completo de recursos. Felizmente, a mudança para o data center tornou possível expandir bastante os canais de acesso à Internet e conectar todo o estado sem restrições.

Isto é, logicamente, eu deveria ter agradecido a esta escavadeira. Porque sem ele, teríamos nos mudado muito mais tarde, e não estaríamos prontos para soluções certificadas e verificadas para segmentos fechados.

Dia x


Parte da equipe não possuía laptops, porque já havia toda a infraestrutura para o trabalho remoto. Então, tudo é simples: conseguimos emitir várias centenas de laptops antes de iniciar o trabalho remoto. Mas era o nosso fundo de reserva: substituição de reparos, carros antigos. Eles não tentaram comprar, porque naquele momento pequenas anomalias começaram no mercado. A Interfax em 31 de março escreveu:

A transferência de funcionários de empresas russas para o trabalho remoto levou a compras em massa de laptops e seu esgotamento nos armazéns de integradores e distribuidores de sistemas. Pode levar de dois a três meses para fornecer novos equipamentos.

Devido à urgência, os estoques dos distribuidores foram esgotados. Segundo estimativas aproximadas, as novas entregas deveriam ter chegado apenas em julho, e não está claro o que estava acontecendo, porque na mesma época começaram os saltos com a taxa de câmbio do rublo.

Computadores portáteis


Perdemos dispositivos. A razão oficial na maioria das vezes é a baixa responsabilidade dos funcionários. É quando uma pessoa as esquece em um trem elétrico, de táxi. Às vezes, os dispositivos são roubados dos carros. Analisamos diferentes variantes de soluções anti-roubo - todas elas tinham uma desvantagem, pois, de fato, era impossível evitar perdas.

Um laptop Windows por si só, é claro, é valioso como um ativo tangível, mas é muito mais importante que não seja comprometido e que os dados nele contidos não fiquem em algum lugar à esquerda.

Em um laptop, você pode acessar o servidor de terminal através da autenticação de dois fatores. No próprio dispositivo, em teoria, apenas os arquivos pessoais locais do funcionário serão armazenados. Tudo crítico está na área de trabalho do terminal. Todos os acessos são lançados através dele. O sistema operacional do usuário final não é importante - conosco, as pessoas vão discretamente à mesa Win com o MacOS.

Em alguns dispositivos, você pode estabelecer uma conexão VPN direta aos recursos. E também há software vinculado ao hardware em termos de desempenho (por exemplo, AutoCAD) ou algo que requer um token flash e o Internet Explorer pelo menos na versão 6.0. As fábricas ainda usam isso com frequência. Nesse caso, é claro, configuramos o acesso à máquina local.

Para administração, usamos políticas de domínio e Microsoft SCCM mais Tivoli Remote Control para conexão remota com permissão do usuário. O administrador pode se conectar quando o usuário final se autorizar explicitamente. As atualizações do Windows passam pelo servidor de atualizações interno. Há um conjunto de máquinas que são instaladas e executadas principalmente lá - parece que não há problemas em nossa pilha de software com uma nova atualização e que a nova atualização não apresenta problemas com novos bugs. Após a confirmação manual, um comando contínuo é emitido. Quando a VPN não funciona, usamos o Time Viewer para ajudar o usuário. Quase todas as unidades de produção têm direitos de administrador em máquinas locais, mas ao mesmo tempo são oficialmente notificadas de que é impossível instalar software pirata e armazenar vários materiais proibidos. Quadros em Udepartamento de vendas e contabilidade, não há direitos de administrador devido à falta de necessidade. O principal problema é a auto-instalação de software, e não tanto em software pirata, mas no fato de que um novo software pode arruinar nossa pilha. A história dos piratas é padrão: mesmo que um Photoshop pirata seja encontrado no laptop pessoal do usuário, que estava por algum motivo no local de trabalho, uma multa que a empresa recebe. Mesmo que o laptop não esteja no balanço e ao lado dele, em cima da mesa, esteja a área de trabalho, em pé no balanço e nos documentos registrados pelo usuário. Fomos alertados sobre isso em uma auditoria de segurança, levando em consideração as práticas de aplicação da lei na Rússia.mesmo que um Photoshop pirata seja encontrado no laptop pessoal do usuário por algum motivo no local de trabalho - uma multa que a empresa recebe. Mesmo que o laptop não esteja no balanço e ao lado dele, em cima da mesa, esteja a área de trabalho, em pé no balanço e nos documentos registrados pelo usuário. Fomos alertados sobre isso em uma auditoria de segurança, levando em consideração as práticas de aplicação da lei na Rússia.mesmo que um Photoshop pirata seja encontrado no laptop pessoal do usuário por algum motivo no local de trabalho - uma multa que a empresa recebe. Mesmo que o laptop não esteja no balanço e ao lado dele, em cima da mesa, esteja a área de trabalho, em pé no balanço e nos documentos registrados pelo usuário. Fomos alertados sobre isso em uma auditoria de segurança, levando em consideração as práticas de aplicação da lei na Rússia.

Não usamos BYOD, dos quais o importante para telefones é a plataforma Lotus Domino para fluxo de trabalho e correio. Recomendamos que usuários com altos níveis de acesso usem a solução padrão IBM Traveler (agora HCL Verse). Durante a instalação, concede direitos para limpar os dados do dispositivo e limpar os perfis de correio. Aproveitamos isso em caso de roubo de dispositivos móveis. O IOS é mais complicado, existem apenas ferramentas internas.

Reparos fora da substituição "alterar a RAM, fonte de alimentação ou processador" e o dispositivo reparado geralmente não retornam. Durante o trabalho normal - os funcionários trazem rapidamente um laptop para dar suporte aos engenheiros, eles diagnosticam rapidamente. É muito importante que haja sempre uma variedade de laptops hot-swap com o mesmo desempenho, caso contrário, os usuários farão o upgrade dessa maneira. E os reparos aumentarão dramaticamente. Para fazer isso, você precisa manter um estoque de modelos antigos. Agora era ele quem era usado para distribuição.

VPN


VPN até recursos de trabalho - o Cisco AnyConnect, funciona em todas as plataformas. Em geral, estamos satisfeitos com a decisão. Desmontamos em uma ou duas dezenas de perfis para diferentes grupos de usuários com diferentes acessos no nível da rede. Primeiro de tudo, separação por lista de acesso. O mais maciço é o acesso de dispositivos pessoais e de um laptop a sistemas internos padrão. Existem acessos estendidos para administradores, desenvolvedores e engenheiros com redes internas de laboratório, onde os sistemas de desenvolvimento de teste para soluções também estão na ACL.

Nos primeiros dias da transição em massa para o trabalho remoto, eles enfrentaram um aumento no fluxo de chamadas para a central de atendimento devido ao fato de os usuários não lerem as instruções enviadas.

Trabalho geral


Eu não vi a deterioração em minha unidade associada à falta de disciplina ou algum tipo de relaxamento, sobre o qual tanto está escrito.

Igor Karavay, vice-chefe de suporte à informação.

More articles:


All Articles