03.07.2020

«Сим-сим, откройся!»: доступ в ЦОД без бумажных журналов

Рассказываем, как мы внедрили в дата-центре систему электронной регистрации посещений с биометрическими технологиями: зачем она понадобилась, почему мы снова разрабатывали собственное решение и какие преимущества получили

Рассказываем, как мы внедрили в дата-центре систему электронной регистрации посещений с биометрическими технологиями: зачем она понадобилась, почему мы снова разрабатывали собственное решение и какие преимущества получили.

Вход и выход

Доступ посетителей в коммерческий ЦОД – важный момент организации работы объекта. Политика безопасности дата-центра требует точного учета посещений и отслеживания динамики.

Несколько лет назад мы в Linxdatacenter решили перевести полностью в цифровой вид всю статистику посещений нашего ЦОДа в Санкт-Петербурге. Мы отказались от традиционной регистрации доступа – а именно от заполнения журнала посещений, ведения бумажного архива и предъявления документов при каждом визите.

Наши технические специалисты за 4 месяца разработали систему электронной регистрации посещений в сочетании с биометрическими технологиями контроля доступа. Основной задачей было создать современный инструмент, отвечающий нашим требованиям безопасности и в то же время удобный для посетителей.

Система обеспечила полную прозрачность картины визитов в ЦОД. Кто, когда и куда получал доступ в дата-центр, включая серверные стойки, – вся эта информация стала доступна мгновенно по запросу. Статистика посещения выгружается из системы в несколько кликов – отчеты для клиентов и аудиторов сертифицирующих организаций стало готовить куда проще.

Отправная точка

На первом этапе было разработано решение, которое позволило вносить все необходимые данные на планшете при входе в ЦОД.

Авторизация происходила путем ввода персональных данных посетителя. Далее планшет обменивался данными с компьютером на посту охраны по выделенному защищенному каналу связи. После чего выписывался пропуск.

Система учитывала два основных типа запроса: заявка на временный доступ (однократное посещение) и заявка на постоянный доступ. Организационные процедуры для этих типов заявок в ЦОД существенно отличаются:

  • В заявке на временный доступ указывается имя и компания посетителя, а также контактное лицо, которое должно сопровождать его на протяжении всего визита в ЦОД.
  • Постоянный доступ позволяет посетителю самостоятельно перемещаться внутри ЦОДа (например, это важно для специалистов заказчиков, которые регулярно приезжают для работы с оборудованием в дата-центре). Такой уровень доступа требует от человека прохождения вводного инструктажа по охране труда и подписания с Linxdatacenter соглашения о передаче персональных и биометрических данных (скан отпечатка пальца, фотография), а также подразумевает получение всего необходимого пакета документов о правилах работы в ЦОДе на электронную почту.

При оформлении постоянного доступа необходимость в дальнейшем каждый раз заполнять заявку и подтверждать личность документами полностью отпадает, достаточно приложить палец для авторизации на входе.

Перемен!

Платформа, на которой мы развернули первую версию системы, – это конструктор Jotform. Решение используется для создания опросов, мы самостоятельно дорабатывали его под систему регистрации.

Однако со временем в процессе эксплуатации выявились некоторые «узкие места» и точки для дальнейшего развития решения.

Первая сложность – Jotform не был «допилен» под формат планшета, и формы для заполнения после перезагрузки страницы часто «плыли» по размерам, выходя за пределы экрана, или наоборот, сворачивлись. Это создавало массу неудобств при регистрации.

Не было и мобильного приложения, приходилось разворачивать интерфейс системы на планшете в формате «киоска». Однако это ограничение сыграло на руку – в режиме «киоска» приложение нельзя свернуть или закрыть на планшете без допуска уровня «Администратор», что и позволило нам использовать обычный пользовательский планшет как терминал регистрации для доступа в ЦОД.

В процессе тестирования начали всплывать множественные баги. Многочисленные апдейты платформы приводили к зависаниям и сбоям решения. Особенно часто это происходило в моменты, когда апдейты охватывали те модули, на которых была развернута функциональность нашего механизма регистрации. Например, заполненные посетителями анкеты не отправлялись на пункт охраны, терялись и т.д.

Бесперебойная работа системы регистрации крайне важна, поскольку сервисом ежедневно пользуются и сотрудники, и клиенты. А на периоды «зависания» весь процесс приходилось возвращать в 100% бумажный формат, что было недопустимым архаизмом, приводило к ошибкам и в целом выглядело как огромный шаг назад.

В какой-то момент Jotform выпустил мобильную версию, но этот апгрейд не решал всех наших задач. Так, нам приходилось «скрещивать» одни формы с другими между собой, например, для задач обучения и вводного инструктажа по принципу теста.

Даже при использовании платной версии требовалась дополнительная расширенная лицензия уровня Pro для всех наших задач по допуску. Итоговое соотношение «цена/качество» оказалось далеким от оптимального – мы получали дорогостоящую избыточную функциональность, которая все равно требовала значительных доработок с нашей стороны.

Версия 2.0, или «Сделай сам»

Проанализировав ситуацию, мы пришли к выводу, что самый простой и надежный выход – создать собственное решение и перенести функциональную часть системы на виртуальную машину в собственном облаке.

Мы сами написали софт для форм на React, развернули все это, используя Kubernetes, в продуктиве на своих мощностях и получили в итоге собственную, независимую от сторонних разработчиков систему регистрации доступа в ЦОД.

В новой версии мы доработали форму для удобного оформления постоянных пропусков. При заполнении формы на доступ в ЦОД клиент может перейти в другое приложение, пройти экспресс-обучение по правилам нахождения в ЦОД и тестирование, а затем вернуться обратно «в периметр» формы на планшете и завершить регистрацию. Причем сам посетитель этого перемещения между приложениями не замечает!

Проект реализовали достаточно оперативно: создание базовой формы для допуска в ЦОД и ее развертывание в продуктивной среде заняли всего месяц. С момента запуска и до сегодняшнего дня мы не зарегистрировали ни одного сбоя и тем более «падения» системы, и спаслись от мелких неприятностей вроде несовпадения интерфейса с размерами экрана.

Вжух — и готово

В течение месяца после развертывания мы перенесли на собственную платформу все нужные нам в работе формы:

  • Доступ в ЦОД,
  • Заявка на производство работ,
  • Вводный инструктаж.


Так выглядит форма для заявки на производство работ в дата-центре.

Система развернута в нашем облаке в Санкт-Петербурге. Мы полностью контролируем работу ВМ, все ИТ-ресурсы зарезервированы, и это дает нам уверенность, что система не сломается и не потеряет данные при любых сценариях.

Софт для системы развернут в Docker-контейнере в собственном репозитории дата-центра – это значительно упрощает настройку системы при добавлении новых функций, редактировании уже существующих возможностей, а также в перспективе сделает более легким обновление, масштабирование и т.д.

Система требует минимального объема ИТ-ресурсов ЦОДа, при этом полностью отвечает нашим требованиям в плане функциональности и надежности.

Что сейчас и что дальше?

В целом процедура допуска осталась прежней: заполняется электронная форма заявки, далее данные посетителей «улетают» на пост охраны (ФИО, компания, должность, цель визита, сопровождающее лицо в ЦОДе и т.д.), происходит сверка со списками и принимается решение о допуске.

Что еще может система? Любые задачи по аналитике в исторической перспективе, а также мониторинг. Некоторые клиенты запрашивают отчеты для внутренних целей контроля персонала. Мы с помощью данной системы отслеживаем периоды максимальной посещаемости, что позволяет нам более эффективно планировать работы в ЦОДе.

В планах на будущее – перевод в систему всех существующих чек-листов – например, процесса подготовки новой стойки. В дата-центре есть регламентированная последовательность шагов по подготовке стойки для клиента. Подробно расписывается, что именно и в каком порядке нужно сделать перед запуском – требования по электропитанию, сколько ПДУ и патч-панелей для коммутации подвести, какие заглушки снять, устанавливать ли СКУД, видеонаблюдение и т.д. Сейчас все это реализуется в рамках бумажного документооборота и частично на электронной платформе, но процессы компании уже созрели для полной миграции сопровождения и контроля таких задач в цифровой формат и веб-интерфейс.

В этом направлении и будет развиваться далее наше решение, охватывая новые бэк-офис процессы и задачи.

 

Другие новости и публикации

Вас также могут заинтересовать

Linx Outsourcing
Аудит, модернизация и оптимизация ваших серверных мощностей
Подробнее
Аутсорсинг управления дата-центром
Linx Network
Обеспечьте отказоустойчивость и бесперебойную работу сети
Подробнее
Сетевые услуги
Linx DraaS
Аварийное восстановление ИТ-инфраструктуры. Защитите ИТ-системы уже сегодня!
Подробнее
Аварийное восстановление DRaaS

Напишите нам

Как мы оптимизировали управление ЦОДами клиента

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.
 

Тарас Чирков, руководитель ЦОД Linxdatacenter в Санкт-Петербурге 

Константин Нагорный, главный инженер ЦОД Linxdatacenter в Санкт-Петербурге 

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.  

В главной роли – управление 

Самое современное и дорогое ИТ-оборудование не принесет ожидаемой экономической пользы, если не будут выстроены правильные процессы эксплуатации инженерных систем ЦОДа, где оно располагается.  

Роль надежных и производительных дата-центров в современной экономике постоянно растет вместе с требованиями к их бесперебойной работе. Однако на этом направлении существует большая системная проблема.  

Высокий уровень «аптайма» – безаварийной работы дата-центра без простоев – очень сильно зависит от команды инженеров, которая занимается управлением площадки. А единой формализованной школы управления ЦОДами не существует.  

Нет какого-то сводного канона с правилами, применимыми для любого дата-центра. Есть стандарты международной отраслевой организации Uptime Institute, но они устанавливают рамки и вектор развития, к каждому конкретному дата-центру они будут применяться по-разному.  

В масштабах страны  

На практике в России ситуация с эксплуатацией ЦОДов выглядит так.  

Дата-центры из сегмента коммерческих как правило имеют сертификаты, подтверждающие компетенции в сфере управления. Далеко не все и не всегда, но сама специфика бизнес-модели, когда провайдер отвечает перед клиентом качеством сервиса, деньгами и репутацией на рынке, обязывает владеть предметом. 

Сегмент корпоративных ЦОДов, которые обслуживают собственные потребности компаний, по показателям качества эксплуатации заметно отстает от коммерческих дата-центров. К внутреннему заказчику относятся не так тщательно, как к внешнему клиенту, далеко не в каждой компании понимают потенциал хорошо настроенных управленческих процессов. 

Наконец, государственные ведомственные ЦОДы – в этом отношении они часто представляют собой неизвестную территорию в силу закрытости. Международный аудит таких объектов по понятным причинам невозможен. Российские госстандарты только разрабатываются.  

Все это выливается в ситуацию «кто во что горазд». «Разношерстный» состав команд эксплуатации из специалистов с разным бэкграундом, различные подходы к организации корпоративной архитектуры, взгляды и требования в отношении ИТ-департаментов.  

Факторов, приводящих к такому положению дел, много, один из главных – отсутствие систематизированной документации по выстраиванию эксплуатационных процессов. Есть пара вводных статей Uptime Institute, которые дают представление о проблеме и путях ее преодоления. Но дальше необходимо выстраивать систему своими силами. А на это ресурсов и компетенций хватит далеко не у каждого бизнеса.  

Между тем, даже небольшая систематизация процессов управления по лучшим отраслевым практикам всегда дает отличный результат в том, что касается повышения отказоустойчивости инженерных и ИТ-систем.  

Кейс: через тернии к относительному порядку 

Проиллюстрируем на примере реализованного проекта. К нам обратилась крупная международная компания с сетью собственных дата-центров. Запрос был на помощь в оптимизации процессов управления тремя площадками, где на серверах развернуты ИТ-системы и приложения, абсолютно критичные для бизнеса.  

Компания недавно прошла аудит головного офиса и получила список несоответствий корпоративным стандартам с предписанием их устранить. Для этого в качестве консультанта привлекли нас как носителя отраслевых компетенций: мы развиваем собственную систему управления ЦОДами и ведем просветительскую работу о роли качества эксплуатационных процессов уже несколько лет.  

Началось общение с командой клиента. Специалисты хотели получить выстроенную систему эксплуатации инженерных систем ЦОДов, зафиксированную в документации по процессам мониторинга, обслуживания и устранению неполадок. Все это должно было обеспечить оптимизацию инфраструктурной составляющей с точки зрения непрерывности работы ИТ-оборудования.  

И здесь началось самое интересное.  

Познай себя 

Чтобы оценить уровень работы ЦОДов с точки зрения соответствия стандартам, нужно знать точные требования бизнеса к ИТ-системам: каков уровень внутренних SLA, допустимый период простоя оборудования и т.д.  

Сразу же выяснилось – ИТ-департамент не знает, что именно хочет бизнес. Не было внутренних критериев качества сервиса, не было и понимания логики устройства собственной инфраструктуры.  

Коллеги просто не представляли, каково допустимое время простоя операций, завязанных на ИТ, каково оптимальное время восстановления систем в случае аварии, как устроена архитектура собственных приложений. Например, пришлось разбираться, будет ли критичным для работы приложения «падение» одного из ЦОДов, или в нем нет компонентов, влияющих на приложение.  

Не зная таких вещей, рассчитать какие-то конкретные требования к эксплуатации невозможно. Клиент осознал проблему и усилил координацию между ИТ и бизнесом, чтобы выработать внутренние требования и наладить взаимосвязи для выстраивания работы.  

Когда было достигнуто понимание архитектуры ИТ-систем, команда смогла суммировать требования к службе эксплуатации, подрядчикам и к уровню надежности оборудования.  

Улучшения в процессе 

Наши специалисты выезжали на площадки для оценки инфраструктуры, читали имеющуюся документацию, проверяли уровень соответствия проектов ЦОДов фактической реализации.  

Отдельным направлением стали опросы ответственных сотрудников и их руководителей. Они рассказывали, что и как они делают в различных рабочих ситуациях, как устроены ключевые процессы эксплуатации инженерных систем.  

После начала работ и знакомства со спецификой задачи клиент немного «сдал назад»: мы услышали просьбу «просто написать всю необходимую документацию», по-быстрому и без глубокого погружения в процессы.  

Однако правильная оптимизация управления «инженеркой» ЦОДа предполагает выполнение задачи научить людей правильно оценивать процессы и писать под них уникальную документацию исходя из специфики конкретного объекта.  

Придумать рабочий документ за конкретного начальника участка службы эксплуатации невозможно – если только не проработать в паре с ним на площадке безотрывно несколько месяцев. Поэтому такой подход был отклонен: мы находили лидеров на местах, которые были готовы учиться сами и вести за собой подчиненных.  

Объяснив алгоритм создания документов, требования к их содержанию и принципы организации экосистемы инструкций, шесть последующих месяцев мы контролировали процесс детального написания документации и поэтапный переход персонала к работе по-новому. 

Далее последовал этап первичной поддержки работ по обновленным регламентам, который в удаленном формате продолжался один год. Затем мы перешли к тренингам и учениям – единственный путь закрепления нового материала на практике.  

Что сделано 

В процессе работ нам удалось решить несколько серьезных вопросов.  

Прежде всего, мы избежали ведения двойной документации, которой опасались сотрудники клиента. Для этого соединили в новых регламентах нормативные требования, применяющиеся к различным инженерным системам стандартно (электрика, охлаждение, контроль доступа), с отраслевыми best practices, создав прозрачную структуру документации с простой и логичной навигацией.  

Принцип «просто найти, просто понять, легко запомнить» дополнился тем, что новая информация привязывается к старому опыту и знаниям сотрудников. 

Далее мы перетряхнули штат инженеров службы эксплуатации: несколько человек оказались полностью неготовыми к переменам. Сопротивление некоторых успешно преодолевалось по ходу проекта через демонстрацию преимуществ, но определенный процент сотрудников оказался необучаем и невосприимчив к новому.  

Но нас удивило легкомысленное отношение компании к своей ИТ-инфраструктуре: от отсутствия резервирования критичных систем до хаоса в структуре и управлении.  

За 1,5 года процессы управления инженерными системами были прокачаны до уровня, который позволил специалистам компании успешно отчитаться «за качество» перед аудиторами из головного офиса.  

При поддержке темпов развития эксплуатационной составляющей компания сможет самостоятельно пройти любую существую сертификацию ЦОДов от ведущих международных агентств.  

Выводы 

В целом перспективы консалтинга в сфере операционного управления дата-центрами, по нашему мнению, самые яркие.  

Процесс цифровизации экономики и госсектора идет полным ходом. Да, сейчас будет много корректировок запуска новых проектов и планов по развитию старых, но сути это не изменит – эксплуатацию нужно улучшать хотя бы для повышения КПД уже построенных площадок.  

Главная проблема здесь: многие руководители не понимают, по какому тонкому льду они идут, не уделяя этому моменту должного внимания. Человеческий фактор по-прежнему остается главным источником самых неприятных аварий и сбоев. И это нужно объяснять.  

Государственные проекты в сфере дата-центров также становятся более актуальны сейчас и требуют повышенного внимания с точки зрения эксплуатации: сфера государственных ИТ-систем растет. Здесь также потребуется разработка и ввод системы стандартизации и сертификации площадок.  

Когда требования к государственным ЦОДам в РФ на уровне законодательного акта будут сведены в стандарт, его можно будет применять и для коммерческих дата-центров, в том числе и для размещения государственных ИТ-ресурсов.  

Работы по этому направлению ведутся, мы участвуем в этом процессе в рамках консультаций с Минцифры и наращивая компетенции по преподаванию на курсах по эксплуатации дата-центров в АНО ЦОД. Опыта по таким задачам в России не много, и мы считаем, что должны им делиться с коллегами и клиентами. 

«Сим-сим, откройся!»: доступ в ЦОД без бумажных журналов

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Клиент:

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Спасибо за ваш запрос, мы свяжемся с вами в ближайшее время!