Как мы «перенесли» всю инфраструктуру в «облако» за 5 дней

    К нам недавно пришел заказчик и сказал: нужно перевести работу всей компании в «облако». Желательно вчера. В общем, как и все авральные проекты — задача мечты, потому что работы много, а времени нет.

    По сути, нужно было с нуля спроектировать архитектуру IT и перенести туда данные сотрудников. Со стороны заказчика — исполнительный-директор и его напарник, около 100 человек пользователей на 4 площадках, с нашей стороны — четыре небольшие рабочие группы. Одна занималась терминальным доступом, вторая — отвечала за почту. Третья занималась инфраструктурой (VPN, сетевое взаимодействие), и четвертая настройкой бэкапа.

    Справились за пять календарных дней — за среду провели полный аудит ИТ-инфраструктуры компании Таврос, разработали основные архитектурные решения и выбрали технические средства для их реализации. Следующие 2 дня специалисты КРОК активно работали над развертыванием соответствующей требованиям заказчика инфраструктуры. В субботу и воскресенье допиливали мелочи и тестировали. В понедельник пользователи компании вышли на работу и ничего не заметили, но большинство ИТ-объектов уже были в нашем «облаке».

    История


    Нужно было успеть:
    • Провести аудит текущей ИТ-инфраструктуры
    • Разработать основные архитектурные решения
    • Выбрать технические средства по организации ИТ-систем в «облаке»
    • Организовать защищенную связь между «облаком» и 4 площадками заказчика
    • Произвести настройку контроллера домена в «облаке»
    • Произвести инсталляцию почтовой системы на базе Microsoft Exchange
    • Перевести в «облако» несколько «тестовых» учетных записей сотрудников.
    • Настроить терминальные серверы
    • Поставить почту и терминальные серверы на поддержку КРОК
    • Настроить резервное копирование данных почтовых и терминальных серверов с использованием программно-аппаратного комплекса ЕМС Avamar


    В рамках проекта нами был предложен ряд организационных решений, позволяющих сократить стоимость проекта. Заказчик стремился к минимизации единоразовых затрат в процессе переезда и естественно к сокращению периодических платежей впоследствии.

    Сначала был аудит. Инфраструктура, нужно сказать, была несложной, но все равно нужно было оценить масштаб грядущей реформы. Инфраструктура состояла из корпоративной почты, документооборота, 1С и терминальной фермы. С аудитом и планом инфраструктуры справились за сутки.

    Заказчик до этого активно пользовался терминальным доступом на базе Citrix XenApp (вот так), решили не придумывать велосипед и взяли этот продукт за основу. В качестве почтовой системы использовался Microsoft Exchange. Для организации почты взяли его же за основу. Это после позволило заказчику без особых трудностей мигрировать данные пользователей на почтовый сервер в облаке. Как закончили — прикрутили общий бекап из облака.

    Сетевой доступ организовали вот таким вот образом:



    Для сотрудников состав прикладного программного обеспечения, которое они использовали до перехода в «облако», никак не изменился. Изменилось только месторасположение серверов и принцип их оплаты. Соответственно, момент оплаты заметили бухгалтеры, момент расположения серверов заметили айтишники — они же, кстати, сами перенесли почтовые ящики (в процессе инсталляции сотрудники КРОК мигрировали с площадки заказчика только 5 учетных записей и почтовых ящиков пользователей, для миграции остальных – подготовили инструкции). Обычный рядовой пользователь не заметил ничего. Все осталось так же удобно, как и раньше. ИТ-шники, пожалуй, ощутили некоторое облегчение, так как за платформы теперь отвечал КРОК.

    Как часто мы так делаем


    За 5 дней — довольно редко. Но сами по себе задачи переноса ИТ-инфраструктуры в «облако» появляются довольно часто. Если два года назад такие случаи были редкими, то сейчас даже крупные компании под тысячу и больше человек почти полностью переезжают в публичные «облака». Правда бывает, что переводят все постепенно, ИТ-систему за ИТ-системой, шаг за шагом. Присматриваются к облачному сервису и, убедившись в его зрелости, переводят все остальное.

    Причины у всех разные. Самая частая — удобство поддержания инфраструктуры. Ведь зона ответственности смещается с поддержки дата-центра и прикладного ПО только на поддержку прикладного уровня (вроде той же 1С, почты и т.д.), потому что всё железо — у нас на стороне.

    Вторая причина — ненадёжность инфраструктуры. Один из наших заказчиков перенёс всё, потому что у них в бизнес-центре отключали электричество, иногда на пару дней. Повторения истории никто не хотел.

    Почему так быстро?


    Если честно, сначала мы немного волновались по поводу сроков. Это было в конце апреля, во вторник, и если бы мы не уложились до среды следующей недели, то майские праздники отложили бы завершение проекта. А такой вариант не рассматривался. Инженеров для работы по месту сложно было найти перед майскими праздниками. Всем заказчикам было надо, руки шли нарасхват. Но нашли. Помогли горизонтальные связи внутри нашей компании.

    В итоге все получилось сделать даже быстрее, чем было нужно. Этому способствовало то, что вычислительных ресурсов и лицензий в облаке было предостаточно и начать пользоваться ими можно было в тот же день. Квалифицированные инженеры были найдены. А воля к победе только способствовала успеху.

    Если бы проект выполнялся на площадке заказчика всё было бы быстро только в теории. На практике — то нет серверов (их надо заказать, привезти, расставить), нет лицензий, нет инженеров — они в отпуске, ещё чего-то нет, потом коммутаторов нет у дистибутора на складе… А здесь ресурсы выделяются, по факту, за пять минут.

    Ещё один интересный организационный момент — договор между двумя компаниями обычно довольно проблематично согласовать и подписать за одну неделю. Особенно в условиях, когда все согласующие лица с обеих сторон были вовлечены в процесс переезда в облако. Поэтому было принято решение составить гарантийное письмо, которое было быстро согласовано и подписано. А договор согласовали и подписали чуть позже.

    Техподдержка


    Заказчику был предложен вариант предоставления услуг 2-го уровня технической поддержки для почтовой системы и терминальных серверов. Это означало, что такие рутинные операции, как заведение почтовых ящиков, увеличение их объема, восстановление из резервных копий отдельных писем пользователей — переходили под контроль хелпдеска компании-заказчика. Инженеры КРОК отвечают только за администрирование прикладного ПО серверов, за своевременное увеличение производительности машин и за внедрение обновлений.

    С одной стороны такой подход позволил существенно снизить стоимость внешней технической поддержки. С другой — своя служба технической поддержки ближе рядовым сотрудникам компании-заказчика. Например, бухгалтеру Галине легче позвонить своим сотрудникам и сказать: «У меня циферка убежала из этого файлика в другой. И вообще, не могу другой файлик найти. Помогите мне».

    Если проблемы масштабнее или свои айтишники не справляются с задачей — связываются со второй линией поддержки, уже нашей. При этом в целом инфраструктурой первая линия поддержки управляет сама, через портал самообслуживания облачной платформы и через средства управления прикладным ПО.

    Итог


    Вот уже четыре месяца заказчик «находится» в нашем «облаке». Там практически 100% его IT-инфраструктуры. Заказчик ничуть не пожалел о выбранной стратегии развития ИТ, к тому же он постоянно развивается.

    Что в результате? У заказчика — исполненное желание по передаче непрофильной деятельности профессионалам из сторонней компании и оптимизации затрат на ИТ. У финдиректора заказчика — счастье из-за превращения капитальных издержек в операционные, по факту оказания услуг. Компания полностью избавилась от капитальных платежей на ИТ. Ведь все вычислительные ресурсы, программное обеспечение, услуги по технической поддержке, услуга по резервному копированию данных на базе EMC Avamar предоставлены ему по схеме ежемесячной оплаты. Причем заказчик всегда может спрогнозировать рост или снижение затрат в ходе потребления сервисов КРОК, так как услуги предоставляются в рамках заранее согласованных тарифов. При изменении количества пользователей, объема почтовых ящиков, мощности серверов они всегда знают, чего ожидать в счете за услуги в конце месяца.

    У пользователей — ничего не поменялось. У IT-отдела стало меньше головной боли из-за проблем с инфраструктурой. А у нас появился отличный опыт оперативного внедрения и возможность уйти на праздники с приятным чувством если не выполненного долга, то завершенного проекта.
    КРОК 439,87
    №1 по ИТ-услугам в России
    Поделиться публикацией
    Комментарии 26
    • 0
      Сколько в итоге человек работало над проектом?
      • +2
        Менеджер проекта, техменеджер по части платформы, два инженера по части почты и AD, инженер по части терминального доступа, инженер по части бэкапа. 2 человека со стороны заказчика, один эксперт со стороны материнской компании.
      • +2
        Сюда надо добавить отказоустойчивый интернет канал в офисах у заказчика. Еще подумать насчет безопасности — не каждая компания готова размещать данные содержащие коммерческую тайну на чужих площадках. Ну и в принципе отличная схема.
        • +1
          Компания КРОК может и хотела бы сделать заказчика совсем счастливым и задублировать все, что возможно, но в части каналов связи решение принимает сам заказчик исходя их его финансовых возможностей и критичности простоев для его бизнеса. Здесь мы можем только давать советы и рекомендации. Что касается безопасности, то сейчас у нас в облаке живет уже более 40 заказчиков. Часть из них крупные компании со штатом более 1000 человек, и часть из них вынесли к нам все свое ИТ полностью. Их специалисты по ИБ задавали нам очень много вопросов, проверяли большое количество бумаг и остались довольны. Вообще, безопасность в облаке у хорошего провайдера чаще всего выше, чем у себя.
          • +4
            Тогда, очень хотелось бы увидеть, когда-нибудь, статью о безопасности с точки зрения ИБ в решениях IaaS и SaaS. Было бы не только интересно, но и могло бы потенциальных клиентов подвигнуть к переезду в ваше «облако».
            • 0
              Да, особенно щекотоливый вопрос интересует — насколько высока защищенность от людей в масках и налоговых инсперкторов желающих изъять «сервера» клиента. :)
        • +3
          Живу в Украине и у нас редко, но бывают случаи захвата серверов. Т.е., приезжают ребята в масках и под каким-либо предлогом (неуплата налогов, например) конфискуют сервера, до выяснения обстоятельств.

          А тут сервера расположены в России. Нет ли подобного риска? Скажем, в облаке одна компания N хранит свои данные и на эту компанию наехела налоговая.
          Вряд ли ребята в масках будут разбираться, где же на жестком диске «КРОК Облако» содержится бухгалтерия компании N. Приедут и опечатают весь дата центр.
          В результате чего другие компании останутся без доступа к своему офису в облаке.
          • 0
            Для таких паранойных случаев можно делать репликацию пассивных копий в остатки датацентра заказчика.
            • +2
              я бы больше беспокоился по поводу слива инфы с серверов стоящих хз где.
              слить может как и обиженный админ, так и сотрудники силовых ведомств, которые с радостью смогут забрать всю инфу из одного места.
              • 0
                А мне кажется, что наоборот переезд в облако был одной из причин защиты от рейдеров и прочих маски-шоу. Особенно, если данные основных, жизненно важных, бизнес-процессов для компании располагаются на этих серверах.
                • +5
                  У нас 3 дата-центра. 70, 110 и 800 стоек соответственно. Облако живет на двух площадках из трех. Серверы заказчиков равномерно распределены по всему физическому оборудованию, а диски этих серверов хранятся на централизованной СХД. Данные всех заказчиков на блочном уровне хранятся вперемешку. Чтобы изъять какую-либо информацию нужно вывезти несколько десятков стоек с обеих площадок, да еще заехать в офис заказчика и добыть у его админа пароль. Иначе само железо – это просто неконсистентная каша из данных. Другими словами, гораздо легче просто узнать у вас пароль. Само по себе изъятие оборудование ни к чему не приведет. Это не dedicated серверы, которые можно вычленить из общей массы. Могу сказать, что прецедентов у нас за 21 год работы с проверками не было.
                  • 0
                    «Могу сказать, что прецедентов у нас за 21 год работы с проверками не было.»
                    а вы случаем не пиарщиком работаете?

                    Я бы сказал, что КРОК напрямую работает с ФСБ (судя по инфе с сайта), получая от них заказы. И я очень сильно сомневаюсь, что если ФСБ попросит «по-дружбе» представить информацию, те люди, кто сидит на этих денежных потоках откажут.
                    • +1
                      ФСБ может кого-угодно попросить и отказать будет очень сложно. Только если ваши дата-центры не за границей РФ.
                      • –4
                        Согласен.
                        Только, если у вас сервера под рукой, вы, может быть, успеете их как-нибудь спрятать, или хотя бы будете знать тот факт, что инфа ушла и примите меры, а о том, что КРОК слил вашу инфу, вы узнаете пост-фактом.
                        • +2
                          Не думаю, что КРОК станет делать подобные «сливы», т.к. это очень сильно ударит по их репутации и по бизнесу. Я больше верю в недобросовестных сотрудников и инсайдеров.
                          • –3
                            Почему не станет?
                            Google, MS и т.д. стали сливать, а КРОК, не станет? :)
                            • +1
                              Тут немного разные типы информации, одно дело читать чужую почту и прослушивать разговоры публичных сервисов, другое дело оформленные, скорее всего, договором о неразглашении с определенными санкциями, данные представляющие коммерческую тайну. Надеюсь Хочу верить, что я прав.
                              • –1
                                Я бы на стал на это надеяться. Думаю, силовики, в случае необходимости, смогут прикрыться бумажкой, о проведении розыскных мероприятий, даже постфактом.

                                p.s. интересно, мои посты минусуют сотрудники КРОКа? )
                                • 0
                                  Главное, чтобы не сотрудники ФСБ )
                • 0
                  Можно ли в такие облака переводить инфраструктуру, которая соответствует 1 классу ИСПДн (уровень защищенности 1 (УЗ -1)).
                  Или для таких данных должна быть своя серверная?
                  • 0
                    Только если инфраструктура облака соответствует 1 ИСПДн
                    • 0
                      А что вообще почитать на тему ИСПДн и частных облаков, есть уже какие-то best practices? Там же отделение серверов и сегментов сети друг от друга довольно… ээээ… виртуальное.
                      • 0
                        ФСТЭК умнеет, и разрешает виртуально отделять сегменты сертифицированным ФСТЭКом оборудованием и программным обеспечением. Возможно это сильно зависит от территориального отделения ФСТЭК, однако сертификация оборудования и ПО производится на федеральном уровне.
                        Читать 152 ФЗ.
                      • 0
                        А если переносить всё в ЦОД?
                        ЦОД должен быть сертифицирован ФСТЭКом или подобным?
                        Не могу найти точной информации по размещению серверов с ИСПДн на внешних площадках.
                        • 0
                          ЦОД как информационная система в общем и ваша информационная система внутри цод в частности должны быть сертифицированны. ЦОД потому, что должны быть организована общая безопасность. Да и то если класс выше 3.
                          В России такие ЦОД-ы сертифицируются, по-моему их уже два. На хабре даже стати были. В основном эти ЦОД-ы используются военными для хранения и обработки гостайны, уровень безопасности там беспрецедентно параноидальный. Мало какая организация может обеспечить такой уровень, потому и перенос данных в ЦОД уже давно должен рассматриваться как повышение уровня безопасности.
                          В 152 ФЗ описаны характеристики ИС, атрибуты, возможные угрозы итпитпитп, по поводу конечных технических решений там мало чего и, по моему, нет территориальных органичений, т.е. система не обязана быть расположена на територии организации.
                    • 0
                      А не мог ли бы подробнее рассказать как Вы мигрировали домен и про его структуру? А так же как Вы обеспечили соединение целых 4 офисов с этим самым доменом? Использовали ли Вы roaming profiles? Не было ли проблемов с роутингом?

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое