Недавно мы завершили очередной этап модернизации своей IT-инфраструктуры и хотим поделиться этим небезынтересным, как нам кажется, опытом. 

По мере развития компании заводятся новые сервисы, и со временем инфраструктура начинает напоминать зоопарк. Разная техника, разное ПО, разные сервисы и так далее. Сотрудники, они же пользователи, имеют учётные записи с логинами в произвольной, а часто и неинформативной форме, при увольнении данные доступы не всегда закрываются, пароли иногда «уходят» клиентам для демонстрации и об этом тут же успешно забывают. Задачи ставятся устно, в скайпе, по почте, их статус, как и затраченное исполнителем на задачи время, отслеживать становится все труднее. Еще сложнее контролировать отсутствие на рабочем месте, работу из дома, замещения, отпуска и прочее при стремительном росте числа сотрудников. Говорим же — зоопарк.

Терпеть это можно. Но недолго.

Назрела необходимость навести порядок с:

— Redmine (система «тикетов»-задач для производства);

— Битрикс-24 «Корпоративный портал» (единая CRM, учет рабочего времени, единые календари событий компании и прочая внутренняя информация);

— площадками для разработчиков и демо-площадками;

— общим хранилищем файлов;

— корпоративной почтой;

— продакшн-площадками;

— связью в офисе;

— доступом в офис.

Часть 1: безопасность данных и надёжность системы

Возможно, у вас в компании так же есть CRM, в которой хранится база всех контактов, задач и отчётов. Очевидно, что система обязана работать стабильно, а ни одна душа за пределами компании не должна получить доступ к данным. И тогда вам пригодится наш рецепт:

— выносим данные в «облако»;

— защищаем связь с помощью SSL.

От традиционного выделенного сервера пришлось отказаться из соображений надёжности. На отдельно взятом сервере может выйти из строя любая деталь, от жесткого диска до блока питания, а их замена неизбежно приведет к простоям базы CRM, что в нашей динамичной сфере неприемлемо. В «облаке» же данные не привязаны к конкретной материнской плате или жесткому диску. Любой железный сервер, обслуживающий облако, можно безболезненно выключить на обслуживание или ремонт, а пользователь ничего не заметит — сервис предоставляется непрерывно.

Пользовательский интерфейс Redmine и Битрикс-24 «Корпоративный портал», как известно, представляет собой web-интерфейс с авторизацией. Http-соединение с данными сервисами мы перевели на зашифрованный https, защищенный SSL сертификатом от Comodo. Теперь обмен данными между сотрудниками и CRM защищен 256-битным RSA шифрованием.

Кроме того, мы доработали Битрикс-24, чтобы Redmine и «Корпоративный портал» взаимодействовали между собой на уровне баз данных в разрезе проектов и исполнителей. Теперь все данные по затраченному исполнителями времени на конкретный проект автоматически попадают в базу данных «корпортала», и на основании этих данных уже строятся удобные и красивые отчеты по проектам для ведущих менеджеров и руководства.

Часть 2: управление доступом

Для управления доступами сотрудников на различные сервисы нужно было в ручном режиме вести базу данных о соответствующих учетных записях, помнить о них, всегда быть в курсе увольнений и т.д. С увеличением штата и количества сервисов не допустить ошибку становилось все сложнее. И мы приняли решение управлять данными доступами централизованно.

В качестве центра управления доступами был выбран инструмент, который мы знаем лучше всего. В нашем случае это Битрикс 24: «Корпортал». Мы научили его управлять базой данных LDAP, которая используется для авторизаций на разработческие и демонстрационные площадки. Таким образом, каждый сотрудник имеет доступ только к тем проектам, над которыми работает. Если же сотрудник уволен — его профиль на «корпортале» выключается директором по персоналу, и доступ на все площадки и сервисы компании блокируется.

Авторизацию через LDAP поддерживают многие системы и сервисы, но далеко не все из тех, что мы используем. Например, система аутентификации в офисную Wi-Fi сеть. Те времена, когда наша компания помещалась в трех комнатах, а Wi-Fi связь обеспечивал домашний «Wi-Fi роутер» с единым паролем, который знали все сотрудники и многие гости, остались в далеком прошлом. Чтобы обеспечить удобную, надежную и защищенную беспроводную связь на несколько десятков мобильных сотрудников, у которых основной рабочий инструмент ноутбук, мы решили использовать недорогую, но эффективную систему UniFi.

Все точки вещают единую Wi-Fi сеть (SSID), и пользователи при перемещении по офису из комнаты в комнату видят одну и ту же SSID с хорошим уровнем сигнала. Переключение между точками происходит незаметно для пользователя, как в случае с сотовым телефоном, когда абонент в пути не чувствует разрыва связи при переключении между базовыми станциями. Авторизация в Wi-Fi осуществляется по технологии WPA2-Enterprise. Контроллер UniFi работает в связке с Radius-сервером, хранящим данные пользователей, которым разрешено пользоваться Wi-Fi сетью. Чтобы не вносить эти данные каждый раз вручную, мы научили Битрикс 24: «Корпортал» взаимодействовать с Radius, и теперь ни одна учетная запись бывшего сотрудника не потеряется. Для гостей мы на тех же точках доступа добавили гостевую SSID с более привычным единым паролем wpa2 personal, но ограниченную по скорости и без доступа к локальным ресурсам компании.

Почта и файлообменный сервис

Раньше для корпоративной почты мы использовали собственный сервер, потом бесплатный, но весьма надежный сервис «почта для домена» от Яндекса. Но у 90% сотрудников из-за удобного веб-интерфейса уже был свой личный gmail от google, в который они собирали всю почту и, к тому же, активно пользовались сервисом google docs. По понятным причинам держать корпоративную почту за пределами юрисдикции компании нехорошо, поэтому мы решили перейти на google apps. Таким образом, мы легализовали gmail и google docs как рабочие инструменты и одновременно решили проблему с централизованным хранением и шарингом файлов. До этого файлы передавались через личные google drive, почту, redmine, dropbox, сетевые папки и десятком других способов.

При переходе с одного почтового сервиса на другой вся история сообщений была импортирована средствами imap-синхронизации и ничего не потерялось. Чтобы не заниматься заведением и удалением пользователей google apps в ручном режиме, мы научили свой «корпортал» управлять пользователями через API google; теперь каждому новому сотруднику на «корпортале» автоматически выдается почтовый ящик на gmail и начальные 30Гб места под облачное хранилище google drive, которое можно при необходимости расширять. При увольнении сотрудника его учетная запись на «корпортале» переводится в режим неактивной, и пароль для него от этих сервисов автоматически меняется через API.

Вместо заключения

На этом наши идеи по модернизации не закончились, и вот очередная ждет своего воплощения. А заключается она в том, чтобы «подружить» систему контроля доступа в офис с нашим любимым «корпорталом» для автоматизированного учета рабочего времени. Дело в том, что для прохода в бизнес-центр у нас используются пропуска в виде proximity-карт, которые привязаны к конкретным сотрудникам.

Чтобы не путаться в куче ключей и карт, мы решили использовать их и для прохода непосредственно в сам офис. Сказано — сделано, установили систему контроля и управления доступом (СКУД), и теперь можем сами выборочно допускать или не допускать отдельных сотрудников в отдельные кабинеты или в офис вообще. Из базы СКУД можно получать данные по посещениям, кто, когда пришел и ушел, и синхронизировать эти данные с модулем учета рабочего времени «корпортала». Таким образом, со всех желающих сотрудников офиса мы сможем снять рутинную обязанность нажимать на «корпортале» кнопочки «начать/закончить рабочий день», и — одновременно — эти данные будут более объективными.