Разбросанные по городам и весям
Автор
Андрей Федоров
Удаленно что-то поменять — еще тот квест, а отправлять сисадмина куда-нибудь в Хабаровск, значит потерять спеца на неделю.
Хотя сегодня и существует устойчивый тренд на интернетизацию предприятий, потребность содержать офисы по России не сокращается. И это несмотря на желание минимизировать расходы за счет централизации всего и вся. Зачастую чем совершеннее компания, тем больше офисов (продаж, буферных складов, точек выдачи и т. п.) она имеет по всей стране.
Парадоксально, но даже интернет-магазинам приходится создавать представительства в крупных городах. Частично такой, казалось бы, расточительный подход объясняется высокой стоимостью доставки в брендовых транспортно-логистических компаниях и непредсказуемостью (да и слабым присутствием) относительно недорогих федеральных транспортников.
«Почта России» вроде как покрывает большую часть территории страны, но стоимость услуг трудно назвать низкой, а по поводу предсказуемости сроков получения посылки — вообще умолчим. «Почта России» чем только не занимается, но вот с основным бизнесом пока что не клеится. Хотя в последнее время прозвучали обнадеживающие анонсы, в т.ч. по установке почтоматов. В плане логистики недорогих отправлений в России поле не паханое, автоматизация на низком уровне. Будем надеяться, что найдутся компании, которые займутся развитием сети посылочных автоматов, как альтернатива пунктам «Почты России».
Распределенные реалии
Небольшие «безсисадминные» филиалы продаж доставляют немало головной боли, временами куда больше, чем центральный офис. Понятно, что нет никакого смысла постоянно держать айтишника в представительстве с двумя-тремя десятками сотрудников. С другой стороны, на устранение удаленных проблем сисадмины расходуют куда больше времени, а качество решения зачастую страдает, вызывая справедливое возмущение пользователей, и так периодически ощущающих свою оторванность от компании.
В случае распределенных пользователей соотношение «1 сисадмин (сотрудник техподдержки) на 100 сотрудников» приходится корректировать в худшую сторону. У нас получается порядка 1:60. Естественно, сопровождение серверов, сетевого оборудования, телефонии и прочего хозяйства никто не отменял, хотя что-то и удается передавать на аутсорсинг.
В последнее время жизнь несколько упростилась. Развитие технологий позволяет сократить расходы на сопровождение филиалов, параллельно повысив качество жизни их обитателей. К сожалению, даются подобные изменения тоже немалой кровью, поскольку удаленно что-то поменять — еще тот квест, а отправлять сисадмина куда-нибудь в Хабаровск, значит потерять спеца на неделю.
Беспроводный офис
Какие технологии слегка улучшили сон айтишников за последнюю пятилетку? Раньше при открытии нового офиса приходилось сначала тратить время на поиск вменяемой компании для прокладки СКС, а затем уже формировать бюджет на материалы и монтаж. Все это сопровождалось изрядной нервотрепкой, так как далеко не во всех городах можно было отыскать грамотных монтажников. Приходилось тщательно продумывать места рассадки персонала в офисах, соблюдая рекомендации «лучших собаководов» и следуя офисному фэн-шую, что временами приводило к конфликтам с сотрудниками и продолжительному согласованию с их руководством.
Не раз приходилось попадать в ситуацию, когда по прошествии нескольких месяцев арендодатель, создавая экстремальную ситуацию, изгонял наши представительства после получения более выгодного предложения. Отбить стоимость прокладки СКС при этом было проблематично.
В последние годы в целях экономии мы отказались от практики прокладки кабельных сетей в офисах, максимально заменив их беспроводными и/или мобильными: Wi-Fi, DECT, FMTN/FMC.В этом случае убиваем сразу толпу зайцев: нет затрат на монтаж СКС, которую потом весьма затруднительно (нецелесообразно) переносить, сотрудники могут мигрировать со своими рабочими местами по офису достаточно свободно, нет охапок кабелей, тянущихся по полу и способных выступить точкой отказа после усердной уборки помещения. Красиво уложить кабели могут далеко не все, так что эстетика страдает когда много кабелей. Уборщицы боятся убирать среди проводов (и правильно делают), поэтому там начинают копиться охапки пыли. «Нет кабеля — нет проблем», ну или по крайней мере они меньше, или другие.
Пока не всегда удается полностью «обеспроводить» офис, но к этому надо стремиться. Например, если уже есть парк сетевых (Ethernet) принтеров без встроенной поддержки Wi-Fi, то чудный гаджет NETGEAR WNCE 2001 стоимостью 1,5 тыс. руб., с питанием в том числе от USB, позволяет трансформировать проводные устройства в беспроводные (прошивка пока не без греха). Можно решить проблему и другими способами, но этот — простейший.
Микросотовые станции DECT довольно дорогое удовольствие. Пара DECT-каналов (одновременно болтающих сотрудника) на относительно дешевой АТС Panasonic TDA/E обходятся от 17 тыс. руб. (вместе с DECT-трубками). Можно использовать вместо дорогой микросотовой DECT (или IP DECT)-станции бытовые DECT-трубки с двумя «подстаканниками», цепляя один на аналоговый порт АТС, а второй — для зарядки трубки на рабочем месте сотрудника. Такое удовольствие обойдется всего в 1,5 тыс. руб. на человека, при том, что в комплекте помимо двух «подстаканников» есть и две трубки. Однако здесь немного страдает эстетика, поскольку возле АТС образуется батарея «подстаканников», хотя само решение вполне стабильно работает в пределах небольшого офиса. Понятно, что охват не как у DECT-станции на 500 м, впрочем, в данном случае этого и не требуется. Жаль, что Panasonic никак не выпустит подобную урезанную DECT-станцию с ограниченным радиусом покрытия на 4 (8) линии (пусть и аналоговые), чтобы избавиться от кабелей в небольших офисных помещениях.
Надежда на появление в России вменяемых фемтосот, способных по IP цепляться не только к операторскому коммутатору, но и по SIP к местной офисной АТС, пока что не оправдалась. Уж не знаю, в чем тут проблема. То ли у нашего «инновационно ориентированного» правительства традиционно никак не получается упростить разрешительные процедуры. Каждый раз инициативно берутся за дело, пытаясь что-то упростить, а всё как-то не проще становится, вот напасть. Давно хотели упростить жизнь с западной криптографией, но так и осталась редкостная кривизна. Регулярно берутся за персональные данные — и тут осечка за осечкой. Что ни напишут, всё как-то не легче и не легче, защита всё бумажнее и бумажнее, работать ИТ-директором всё опаснее и опаснее — под статьей ходим, а бизнесы хоть закрывай все, ибо что-то всяко да нарушили. Но это так, лирическое отступление. То ли технологии фемтосот пока не доросли (верится с трудом), то ли операторы не хотят такие фемтосоты ввозить? Ну да ладно, авось доживем до светлого будущего.
Централизация
Про централизацию всего и вся писалось немало. Большинство уже максимально консолидировало сложные ИТ-системы в одном-двух ЦОДах. Однако даже после такой зачистки остается еще кое-какое сложное оборудование в филиалах, временами доставляя беспокойство бдительным сисадминам. Вот бы и эти «железки» извести.
В филиалах после первой волны централизации продолжают трудиться файловые, принт-, терминальные серверы, прокси, контроллеры домена. С прокси расправится проще всего — пользователи из филиалов вполне могут ходить в Интернет через прокси-сервер центрального офиса, поскольку обеспечивать в каждом филиале очистку трафика от «вредоносов» и белые списки сайтов довольно накладно. Хотя, как вариант, можно завернуть трафик через облако антивирусных компаний, а прокси оставить в варианте виртуализованного сервера в филиале.
Контроллеры домена и файловые серверы неплохо исключаются из филиала заменой сервера устройством WWAN-оптимизации. К сожалению, стоимость этого «железа» пока продолжает оставаться непомерно высокой. Топовый производитель Riverbed, судя по всему, вовсе не снижал цену за последние годы. Куда более приемлемой окажется лицензия (бессрочная или подписка) от менее топового бренда, но присутствующего в Gartner Magic Quadrant for WAN Optimization Controllers скажем, SilverPeak,с установкой на существующий сервер в варианте Virtual Appliance (VA). По опыту, бесплатная версия VA VX-X от SilverPeak работает весьма стабильно и после исключения всех серверов из филиала пользователи не отмечают ухудшения. Более того, часть сервисов начала работать заметно шустрее. Например, ASP.NET-приложения, несмотря на включенную компрессию динамических и статических страниц, на IIS стали реагировать куда живее. Единственно, первоначальный logon притормаживает из-за обилия в наших startup/logon-скриптах программ, которые посылают по WAN-каналу запросы в центральный офис, а запросы эти не оптимизируются Silver Peak. Зато не нужно беспокоится о бэкапах, теперь отрабатываемых централизованно, поскольку в филиалах ничего ценного уже не хранится. В случае отказа оптимизатора пользователи, несомненно, заметят значительное снижение скорости, но работать смогут. Жаль, в отличие от Riverbed у SilverPeak нет программного клиента WAN-оптимизации для установки на ноутбуки.
Для того чтобы избавиться от региональных файловых серверов, сойдет и технология Microsoft BranchCache, но с ее использованием мы оптимизируем работу только файловых служб. Скорость остальных сервисов не возрастет. Microsoft никак не расширит поддержку WAN-оптимизации (хотя бы совершенствование работы стека протоколов TCP/IP) в свои серверные продукты. Дедупликацию добавили в Server 2012, могли бы заодно и оптимизировать передачу данных по WAN, принципы-то сходные.
Кстати, смысла в распиаренной дедупликации оказалось немного. По нашим тестовым выборкам (и тестам коллеги) на стандартных офисных данных выигрыш составил всего около 1%. Объясняется столь малое достижение довольно легко. Современные файлы (например MS Office) нередко используют сжатие, которые ведет к полной перестройке файла при незначительных изменениях, причем чем выше степень компрессии, тем более хаотичное содержимое бинарного файла и тем сложнее дедупликатору найти сходные бинарные последовательности. Несомненно, при желании можно подобрать для дедупликатора подходящие данные, но стоит ли с этим возится, с учетом, что повышаются риски не восстановления данных (хэш – штука коварная), да ещё и производительность падает? Дедупликация выполненная средствами Symantec Backup Exec при выполнении резервного копирования также показала очень незначительные преимущества. Дешевле жесткий диск купить.
Аутсорсинг
Немало бы хотелось передать на аутсорсинг в филиалах, но за разумные деньги. Пока большинство профессиональных аутсорсинговых компаний не готово предложить свои услуги на приемлемых для среднего бизнеса условиях. Крупный бизнес может получить приличный дисконт от аутсорсера, тем более что настройка внутренних IT-процессов для получения оптимального результата в такой компании потребует куда больше времени и обойдется дороже, чем привлечение подходящего аутсорсера. В более гибком среднем бизнесе ситуация иная: расходовать приходится экономно и грамотные аутсорсеры здесь часто не конкуренты по стоимости IT-услуг внутренним ИТ подразделениям.
При внедрении новых систем всегда есть соблазн прилечь опытных профессионалов. Недавно в очередной раз решил попытать счастья, обратившись к весьма компетентной компании. Задача — внедрение Microsoft System Center Configuration Manager 2012 (SCCM). Сразу было оговорено, что большую часть работы выполняют мои сотрудники. Аутсорсер должен сделать настройку SCCM для одного пилотного филиала, развертывания двух типов OS, одного CAD-продукта и т. п. Для снижения стоимости работ ограничений установили немало. После сбора данных было сформировано коммерческое предложение, порядком удивившее, поскольку с моими представлениями о стоимости и трудозатратах оно расходилось раз в пять. По мнению аутсорсера, проект, даже в столь урезанном варианте, должен был занять 25 человеко-дней и обойтись в 725 тыс. руб., хотя после нескольких минут переговоров мне великодушно предложили скидку в 20%. Но даже 600 тыс. руб. — явно завышенная цена за подобный объем работ. За стоимость одного такого проекта в Нижнем Новгороде можно подыскать достаточно квалифицированного сисадмина на год!!! Пришлось пойти испытанным способом, отправив одного из своих сисадминов на неделю обучения продукту. Похоже, внедрять опять придется своими силами, а так хотелось приобщиться к прекрасному.
Были задумки перейти в филиалах от приобретения у провайдера Интернета к IP VPN без гарантии качества. Однако после проработки проекта и получения цен от нашего федерального поставщика услуг связи, выяснилось, что по стоимости выгоднее дважды в год менять Cisco ISR VPN-роутеры в филиалах и платить за аутсорсинг их сопровождения, чем переходить на провайдерский IP VPN. Ситуация парадоксальная, но что делать. Нет пока адекватных по стоимости предложений, позволяющих отказаться от собственной инфраструктуры VPN-роутеров. Видимо, операторам неплохо живется и они не готовы зарабатывать на объеме, предпочитая доить штучных крупных клиентов.
Довольно неплохим решением стало использование FMTN (FMC) от «Билайна». В конце 2010 года мы централизовали бэк-офис, и FMTN помог нам, с одной стороны, не увеличить (сократить) расходы на межгород, а с другой — повысить удобство коммуникаций сотрудников. Благодаря FMTN мы минимизировали использование IP-телефонии, качество которой на публичных интернет-каналах оставляет желать лучшего. Стоимость межгорода при этом получилась весьма интересная.
Мобилизация
С покрытием мобильным Интернетом ситуация по России по-прежнему остается неоднозначно-неравномерной. Ноутбуки с GPRS-модемом — довольно бесполезная игрушка в дороге. Надо иметь крепкую нервную систему, регулярно тренируя стрессоустойчивость, чтобы работать на мобильном Интернете. Планшеты в какой-то степени панацея, поскольку включаются мгновенно, легкие, функционируют от батареи долго, покрывают потребность продавцов в доступе к большинству корпоративных сервисов, в фоне принимают почту, IM — в общем, в дороге куда менее игрушка, чем ноутбук. Однако, к сожалению, европейские собственники, избалованные хорошим покрытием 3G/4G и обилием точек Wi-Fi, никак не возьмут в толк, что планшет на российских дорогах куда более подходящий вездеход, чем ноутбук. Ну никак не добавят в стандарты iPad-ы.
Почему iPad-ы, ведь нынче тьма девайсов на Android? Пока что приходится признавать, что по ряду позиций iOS все же предпочтительнее для корпоративного применения, нежели Android. Хотя разница в качестве этих OS для корпоративщиков потихоньку стирается.
Последний Android 4.x наконец-то начал поддерживать IP SECVPN с Cisco ISR. У iOS-устройств проблем с установкой IP SECVPN не было уже давно. Сейчас их почти нет и на Android. Более того, Android 4.x VPN работает гораздо стабильнее аналога на iOS, готового отвалиться при первой возможности. Однако, справедливости ради не обойтись здесь без ложки дегтя – не со всех тестовых Android 4.x устройств VPN вообще устанавливается. При том, что настройки идентичные. Видать при сборке OS производители что-то нелишнее выкинули.
Стандартный браузер Android 4.x в конце концов начал поддерживать NTLM аутентификацию, так что теперь уже можно зайти на Sharepoint Portal или обратится к корпоративным веб-приложениям. Однако пока что его создатели недоработали момент с загрузкой файлов, поскольку при их закачке авторизация не действует, соответственно, файл не передается. Будем надеяться, что к выходу новой версии Android ошибку поправят.
Сильно раздражает фрагментированность Android. Мы тестировали два планшета различных производителей на Android 4.0.3 при работе с корпоративными сервисами. Мало того, что иконки стандартных программ кардинально отличались, из-за этого невозможно написать единую инструкцию для пользователей, так и стандартные приложения действуют по-разному. Например, стандартный браузер на одном устройстве вообще не отрабатывал AJAX на веб-форме корпоративного приложения, а на другом функционировал, но некорректно. Только с планшетом Apple не возникало проблем. Про IPSEC VPN уже отметил.
Производители по-разному поддерживают свои устройства в плане обновления прошивок. Если в отношении iOS-устройств есть уверенность, что Apple не бросит их хотя бы года три, то с Android-гаджетами такой уверенности нет. Поэтому пока для корпоратива можно рекомендовать разве что девайсы непосредственно от Google.
Естественно, в гаджетах на Android привлекает в первую очередь цена. Особенно учитывая, что качество исполнения «железа» и софта постоянно приближается к уровню Apple-устройств. Например, весьма добротный Huawei Mediapad стоит где-то на 50% ниже сходных по параметрам гаджетов Apple. Мало уже у устройств от Apple инновационности, конкуренты могут делать не хуже (а что-то и лучше), по крайней мере дешевле и стандартнее. Захотел увеличить память, воткнул Micro SD — и всё, не надо ломать голову при покупке, сколько памяти на борту. Аналогично с аксессуарами, все разъемы стандартные. Девайсы от Samsung в расчет не береём, по повадкам они больше напоминают Apple устройства, зарабатывая на нестандартных переходниках и шнурочках, старательно ухудшая экологию планеты. Если Google сможет искоренить «креатив» производителей девайсов, чтобы их операционка выглядела на разных устройствах одинаково и обновления поддерживались минимум в течение трех лет, — это будет сильнейший удар по Apple.
Снабжение
Мы изначально выстраивали централизованную схему снабжения наших офисов «железом» и софтом. Все закупки оборудования производятся центральным офисом компании в проверенных интернет-магазинах, присутствующих в нужных нам городах (Citilink, Elmall, DNS). Как правило, заказы выполняются с доставкой в офис, чтобы лишний раз не нервировать продавцов, не дай бог удои упадут. По расходным материалам работаем с «Комус», поскольку он представлен в большинстве наших филиалов и логистика организована достаточно четко. Есть ряд нареканий к оптимальности их бизнес-процессов, которые не меняются годами, но пока лучшего федерального поставщика найти не удалось.
Для филиалов обычно мы закупаем оригинальные картриджи, поскольку там не настолько большие объемы печати. В центральном офисе картриджи перезаправляются. На качестве печати это сказывается незначительно. Все филиалы комплектовались стандартными МФУ HP 3027x, рассчитанными на серьезную нагрузку. В филиалах, после централизации бэк-офиса, объемы печати невелики, а потому МФУ прослужат нам еще долго с минимальными затратами на поддержку. Из-за стандартизации, существовавшей у нас и до приобретения датчанами, сопровождать оборудование относительно несложно. Сисадмины знают, какие проблемы возникают, и в состоянии объяснить по телефону пользователям, что надо делать при возникновении проблем. Естественно, мы мониторим парк принтеров с помощью HP WebJetadmin, чтобы своевременно узнавать о необходимости заказа картриджа, Maintenance Kit и т. п. В последнее время извещение о скорой смерти Maintenance Kit, печки и прочего уходит также аутсорсеру, сопровождающему наши принтеры (к сожалению только по оборудованию в центральном офисе и на производственной площадке), для заказа нужных позиций на складе. К сожалению, пока нет аутсорсеров, готовых за вменяемые деньги сопровождать принтера по России. Чем меньше (оптимальнее) вы печатаете, тем менее интересны для аутсорсеров.
Как у них?
Забавно, но наши датские собственники использовали подходы по централизации, к которым мы приходим только сейчас, уже больше пяти лет. Тогда они комплектовали офисы для нескольких человек устройствами Riverbed стоимостью свыше $8 тыс., часто дублируя их, и в обязательном порядке заказывали дорогущие MPLS-каналы (стандарт, от которого нельзя отойти). На тот момент я вполне справедливо полагал, что это напрасная трата денег и она никогда не окупится. Хотя дорогущие MPLS и Riverbed составляли вполне неплохую пару, позволяя экономить. Одно дело взять MPLS на 2 Мбит/с и совсем другое на 1 Мбит/с плюс Riverbed при том же, а то и лучшем качестве работы.
В те годы мы приобретали для филиалов IBM-серверы стоимостью по $3 тыс. и обеспечивали на публичных интернет-каналах не менее эффективную работу сотрудников. Плата за это — один дополнительный сисадмин, поддерживавший данное оборудование в филиалах (помимо этого у него хватало работы с пользователями). Серверы IBM, кстати, работают по сей день и каши просят не намного больше, чем «железные» Riverbed. Сейчас эти «старички» потихоньку принимают на борт WAN-оптимизаторы в варианте VA. Хотя у Riverbed неадекватная политика ценообразования на VA. Будем надеяться Silver Peak со временем образумит эту компанию.
Несомненно, за счет стандартизации и упрощения «железа» (вместо серверов — Riverbed) датчане сэкономили что-то на стоимости обслуживания, тем более что их ИТ-специалисты обходятся куда дороже наших, несмотря на передачу неквалифицированных функций на аутсорсинг китайцам.
Для меня несколько странным оказалось недавнее решение датчан добавить даже в небольшие офисы локальные серверы, то есть по сути слегка отойти от традиционной схемы, приблизившись к нашему старому варианту, хотя мы на всех парах идем к их старому подходу, избавляясь от серверных ролей в филиалах. Понятно, что сейчас серверы куда тише и им уже не требуется отдельное помещение (раньше в стандартах датчан такое было), и на них будет работать гипервизор и несколько виртуальных серверов (SCCM, FS, PS) — это относительно новый подход, но все же напоминающий, что история развивается по спирали. Для сокращения стоимости решения я им предложил исключить «железные» Riverbed в новых офисах, добавив соответствующий VA на сервере — меньше «железок», меньше проблем. Однако из-за ущербной политики Riverbed в отношении лицензирования (лицензии на VA нельзя использовать на «железе» и наоборот, что уменьшает простор для маневра), пока не ясно к какому варианту в конечном счете придут.
Кроме того, в новом проекте мне удалось уговорить датчан использовать обычный VPN на Cisco ISR поверх публичного Интернета вместо «золотого» MPLS. Удивительно, но они согласились, хотя до начала кризиса подобный способ экономии был практически невозможен. Все-таки в чем-то кризис — штука полезная, так как заставляет считать деньги.
Опубликовано 26.11.2012