Облако и консалтинг: Кейс по миграции в частное облако
В сегодняшнем материале мы хотим поделиться историей IT-развития одного из наших клиентов — компании «Прогресс-Нева Групп» и рассказать об их пути к облачным технологиям: от создания первого VPS-сервера терминалов до практически полной миграции в частное облако.
Компания «Прогресс-Нева Групп» занимается инженерно-экономическим проектированием, аудитом и консалтингом и работает с большими объемами критически важных данных. Регулярное взаимодействие с госзаказчиками накладывает на нее ряд строгих ограничений по процедурам обработки информации. Принимая решения о технической модернизации, таким компаниям необходимо, прежде всего, отталкиваться от установленных формальных требований, а не только от собственных инициатив.
«Изначально при формировании своей IT-инфраструктуры мы руководствовались традиционным подходом, потому приобрели физические серверы под небольшую на тот момент нагрузку. Штатного системного администратора у нас не было и нет, потому для начальной настройки серверов и сети был привлечен приходящий сисадмин, который в дальнейшем и обслуживал нашу компанию.Из расчета на 11 сотрудников начальная инфраструктура включала в себя: контроллер домена Active Directory (Core 2 Duo, 2 GB RAM, SATA RAID 1, Windows Server 2008), сервер баз данных/файловое хранилище (Xeon E3110, 6GB RAM, SAS RAID 1, Windows Server 2008), маршрутизатор D-Link, персональные компьютеры и оргтехника», — рассказывает Светлана Юрьевна Парфентьева, генеральный директор ЗАО «Прогресс-Нева Групп».
В течение первых лет работы с «железом» все было в порядке. Но к 2013 году компания начала активно развиваться, а количество сотрудников и нагрузка на оборудование — расти. Появилась потребность в апгрейде сервера БД/файлов и развертывании хоста удаленных рабочих столов. Было необходимо настроить доступное из любого места и c разных устройств (ПК, ноутбуков и планшетов) безопасное рабочее окружение для сотрудников, чтобы они могли работать с ресурсоемким и привязанным к Windows-платформе программным обеспечением.
При всем при этом нужна была возможность повышать и понижать характеристики системы под текущую нагрузку, поскольку для компании она непостоянна и особенно высока лишь пару месяцев в году.
Переезд в облако
Все это постепенно заставило руководство компании задуматься об аренде удаленного сервера для настройки на нем служб терминалов.
«Проконсультировавшись с несколькими IT-специалистами, мы поняли, что для наших целей подойдет виртуальный сервер в облаке, так как его конфигурацию можно изменять без простоев, — говорит Светлана. — Правда, пришлось потратить несколько дней на понимание того, что же такое «облачный сервер», а затем преодолеть скептику в отношении неизведанной услуги. В итоге мы сошлись на мнении, что стоит в тестовом режиме развернуть сервер удаленных рабочих столов в облаке, но хранить важную информацию в подключенном к нему локальном офисном файловом хранилище».
Выбирая провайдера по аренде VPS-сервера из нескольких вариантов, «Прогресс-Нева» остановились на нашем сервисе 1cloud.ru. Решающими факторами, со слов директора компании, стали наличие круглосуточной технической поддержки и возможность не только увеличивать мощность оборудования, но и уменьшать:
«Порадовала и удобная интуитивно понятная панель управления серверами. Мы заказали VPS-сервер следующей конфигурации: 3 ядра CPU (2 GHz) Dell PowerEdge R810, 8GB ОЗУ, NetApp SAS-диск, ОС Windows Server 2008».
Параллельно с началом своего облачного пути «Прогресс-Нева» произвела апгрейд «железного» файлового/БД сервера: был увеличен объем ОЗУ (до 16GB) и внедрен SAS RAID 5. Миграция системы прошла успешно, правда, для восстановления работоспособности сервера »1С: Предприятие» пришлось привлекать специалистов технической поддержки 1С.
«Для удобства и безопасности работы пользователей с общими сетевыми ресурсами нам порекомендовали создать VPN и разрешить к ней доступ только из офисной сети, — комментируют в компании «Прогресс-Нева». — Последовав рекомендации, мы подняли OpenVPN-сервер на том же виртуальном терминальном хосте 1cloud и остались довольны — теперь наши корпоративные данные передаются по безопасному каналу даже через общественный Wi-Fi, а удаленный доступ к рабочим столам, базам и файлам закрыт для всех, кроме клиентов VPN или внутренней сети предприятия».
На фоне положительных впечатлений от использования виртуального сервера, компания решила полностью переезжать в облако, тем более что количество пользователей постоянно росло. Убедившись в стабильности терминального сервера на VPS от 1cloud, «Прогресс-Нева» развернули частное облако виртуальных серверов. Оно включило в себя уже существующий терминальный сервер, сервер баз данных, файловый сервер, основной контроллер домена, виртуальный маршрутизатор/Firewall pfSense.
В процессе консультаций, предшествующих миграции в предоставляемое облако, мы предложили клиенту разграничить роли машин, увеличив их количество, но выбрав достаточно скромные конфигурации, для уменьшения рисков отказа сразу нескольких логических элементов инфраструктуры.
Для изоляции VPS-серверов от внешнего мира было решено подключить их к частной сети и установить на её границе виртуальный маршрутизатор pfSense. В офисе же клиент оставил всего одну машину, которой были назначены роли резервного контроллера домена и хранилища резервных копий всей виртуальной и физической инфраструктуры.
Расширение облачных каналов. Site-to-Site VPN
Как мы отметили ранее, специфика работы «Прогресс-Нева Групп» заключается не только в нелинейности нагрузок на работников и оборудование, но и в необходимости привлечения немалого числа агентов на проектную занятость. При этом привлекаемым сторонам часто требуется распределенный доступ к некоторым сегментам корпоративной инфраструктуры «Прогресс-Невы» (как правило, файловому серверу и определенным базам данных).
Обмениваться файлами и выгрузками вручную — неудобно и небезопасно, предоставлять незащищенный и неконтролируемый доступ третьим лицам компания не готова, так как не уверена в безопасности устройств и каналов с их стороны. Настраивать же вручную VPN-подключение на каждом внешнем клиенте, которому требуется доступ — затратно, как минимум по времени.
Поэтому «Прогресс-Неве» потребовалось решение, которое бы позволило быстро настраивать стабильный безопасный канал для подключения большого количества внешних клиентов без необходимости конфигурации каждого клиентского устройства. В качестве варианта решения проблемы мы в 1cloud.ru предложили настроить Site-to-Site VPN и выслали пошаговую инструкцию по его реализации на базе отдельного виртуального сервера pfSense, подключенного к нашему основному pfSense-шлюзу.
В итоге «Прогресс-Нева Групп» получила отдельный VPN-сервер для сотрудников сторонних организаций. Ручная настройка каждого подключаемого к нему клиента не требуется, так как pfSense умеет автоматически генерировать установочные пакеты OpenVPN для Windows, в которые уже добавлены необходимые настройки. Для остальных ОС возможна автоматическая генерация файлов настроек клиентов.
Остается только выслать партнеру установочный файл программы и сообщить пароль от его аккаунта — после пары кликов в веб-интерфейсе новый пользователь уже имеет доступ к требующимся сегментам сети с четко установленными границами. Также можно, например, создать сразу множество клиентских конфигураций за раз, а впоследствии просто рассылать клиентам готовую информацию для подключения.
Партнерский виртуальный маршрутизатор подключен к основному шлюзу pfSense через отдельный VPN канал (Site-to-Site VPN). Со стороны нашего клиента для этого канала настроены правила доступа во внутреннюю сеть (узлы и порты, к которым может осуществляться подключение). В любой момент гостевое подключение можно закрыть, просто отключив Site-to-Site VPN со стороны основной сети.
Подводя итоги
Обладая определенным опытом обслуживания серверного оборудования, «Прогресс-Нева Групп» все-таки решили сделать выбор в пользу виртуализации: сначала VPS-сервера для служб терминалов, а затем — почти полной миграции корпоративных машин в частное облако 1cloud.ru.
«Несмотря на немаленькую стоимость виртуальных серверов сравнительно с видимой ценой обслуживания собственного оборудования, иной раз облако обходится дешевле. В нашем случае частное облако выгоднее, поскольку мы экономим время, цена которого для нас высока. Также понравилась работа технической поддержки 1cloud. Мы дважды получили краткие, но компетентные ответы, сыгравшие решающее значение в планировании нашей инфраструктуры», — отмечает системный администратор компании «Прогресс-Нева Групп».
В итоге наша совместная работа с клиентом позволила развернуть эффективное техническое решение для обслуживания безопасных виртуальных частных сетей, в том числе Site-to-Site VPN, удовлетворяющее требованиям компании-заказчика. Мы в 1cloud надеемся, что и в дальнейшем сможем предложить подходящие способы решения возникающих технологических задач наших клиентов. Для этого мы постоянно работаем над улучшением собственных сервисов и анализируем свой прошлый опыт.