Постепенная ликвидация старой инфраструктуры с переводом пользователей в новую — серьезная и сложная задача. Чтобы ее выполнить, компании «Объединенная финансовая группа» (ОФГ), приобретенной банком Deutsche Bank, пришлось обеспечить виртуальную работу более пятидесяти старых приложений в новой корпоративной среде. Сделано это было через систему терминального доступа на базе ПО Citrix, и хотя на первый взгляд это ПО непосредственно не связывается с виртуализацией, полученное решение можно с полным правом отнести к виртуализационным. Проведённый проект мы обсуждаем с руководителем ИТотдела ОФГ Борисом Сажиным.
Intelligent Enterprise: Какие задачи встали перед вами после того, как ОФГ была приобретена Deutsche Bank?
Борис Сажин: Покупка ОФГ завершилась в декабре 2005 года, и в 2006м началась интеграция двух компаний. (На переходный период ОФГ получила название Deutsche UFG.) Но что касается ИТинфраструктур, то они не объединяются. По плану все сотрудники в конечном итоге должны переключиться на работу в инфраструктуре Deutsche Bank, а инфраструктура Deutsche UFG будет ликвидирована.
В общих чертах схема перехода следующая. Сначала все сотрудники Deutsche UFG переводятся на рабочие станции Deutsche Bank, после этого выполняется перенос данных, а затем уже миграция приложений. Сейчас мы находимся на завершающем, третьем этапе, запущен проект Servers Decomission — то есть отключение инфраструктуры Deutsche UFG. Год назад в ней работало порядка семидесяти серверов, сейчас их осталось около шестидесяти, а к 1 апреля это количество сократится приблизительно до двадцати. (Естественно, сохранится и часть сетевого оборудования.) Последняя группа из 20 машин, которую мы планируем использовать до конца года, — это серверы приложений и инфраструктуры, такие, например, как сервер межсетевого экрана и Active Directory.
Очевидно, что все то время, пока длится переход, сотрудники Deutsche UFG должны одновременно работать в двух сетях, в своей прежней и в сети Deutsche Bank, а мы — поддерживать два набора систем. Так как у Deutsche Bank строгая политика безопасности и он не позволяет подключать внешние сети, мы должны были жестко ограничить взаимодействие между старой инфраструктурой UFG и сетью банка. Поэтому пришлось строить специальное решение — своего рода межсетевой экран, разрешающий доступ из сети Deutsche Bank в сеть Deutsche UFG по строго определенным портам, адресам и протоколам. Весь прошлый год это решение играло для нас ключевую роль, поскольку бизнес компании сильно зависел от приложений, которые работали в Deutsche UFG.
Как выбирались техническое решение и подрядчик?
Политика Deutsche Bank такова, что в каждой стране он выбирает на определенный срок генерального поставщика и все ИТуслуги заказывает у него. Сейчас в России это компания «Крок» — я считаю, что банк сделал вполне адекватный, хороший выбор. Когда встала задача обеспечить доступ сотрудников Deutsche UFG, которые будут работать в сети Deutsche Bank, к их старым приложениям, решение о том, какую систему использовать, мы принимали вместе со специалистами «Крока».
При этом речь шла о довольно большом количестве одновременно работающих пользователей (порядка 250) и поддерживаемых приложений (примерно 50—70). После анализа ситуации стало понятно, что если доступ организовывать напрямую через межсетевой экран, то объем работ будет колоссальным. Переносить приложения Deutsche UFG в Deutsche Bank было нежелательно, поскольку это потребовало бы ресурсов сети банка и затрат на их поддержку. Поэтому мы задумались о системе дистанционного доступа посредством ПО Citrix, которое очень хорошо уменьшает количество необходимых ресурсов. Забегая вперед, скажу, что сейчас вся поддержка системы осуществляется одним инженером, отвечающим за серверную ферму Deutsche UFG. Если нужно проверить каналы связи, подключается еще сетевой администратор. То есть фактически полтора специалиста обеспечивают работу 250 пользователей. В случае переноса и поддержки приложений UFG в Deutsche Bank понадобились бы три сотрудника на полной ставке.
Кроме того, принимая такое решение, мы заботились о максимальном удобстве для сотрудников и о минимизации поддержки. Дело в том, что Citrix богаче, чем простой терминальный доступ, который предлагает Microsoft в рамках своих серверных операционных систем. Citrix дает пользователю возможность работать как обычно, в среде, практически не отличимой от локальной. Приложение, которое публикуется в Citrix, отображается в специальной клиентской программе Citrix Neighbourhood Client или просто в Webбраузере в виде пиктограммы; пользователь стандартным образом его открывает и работает точно так же, как работал бы с программой, установленной на его компьютере. Окна редактора Word, запущенного локально и в Citrix, можно отличить друг от друга разве что по количеству цветов (у Citrix их меньше), а для пользователя они выглядят одинаково, несмотря на совершенно разное окружение. Таким образом, у пользователей не возникает никаких вопросов по работе в новой среде.
Изза ограничений, которые требования безопасности накладывали на связь между сетями, было решено всю работу пользователей в Citrix организовать только по протоколу HTTPS. Таким образом, мы оставили минимальное число портов и протоколов, необходимых для работы системы, и это ускорило ее внедрение. А чтобы не загромождать рабочие станции, мы отказались от установки Citrix Neighbourhood Client — используется только Webклиент, и соответственно упростилась эксплуатация системы.
Расскажите о ходе проекта и техническом решении.
Проект стартовал в самом начале 2006 года, команда состояла из шести человек — троих специалистов «Крока» и троих от Deutsche UFG/Deutsche Bank. Все работы проходили очень оперативно: в общей сложности они заняли около двух месяцев, считая и разработку проекта, и закупку оборудования и ПО, и этап установки, запуска, настройки и тестирования.
Полностью построение системы, в том числе её резервирование и наполнение приложениями, было закончено к марту.
Приложения, с которыми работают пользователи, размещены на четырех серверах, образующих собственно ядро системы — Citrix Farm. Её средний компонент образуют серверы аутентификации, которая у нас является двухфакторной — на базе Active Directory и ключей защиты RSA. На четырех серверах установлено ПО, поддерживающее Webинтерфейс для доступа к приложениям, — эти серверы понадобились, так как мы не используем Citrix Neighbourhood Client, являющийся фактической точкой доступа в Citrix. На обеих точках доступа Citrix Web Interface (для локальной сети и для Интернета) организованы кластеры с балансировкой нагрузки на базе Microsoft Windows 2003 Server. Соответственно поддержку Citrix обеспечивают двенадцать серверов.
Доступом через локальную сеть сотрудники пользуются, когда находятся в здании или в любом офисе Deutsche Bank, а доступом через Интернет — во время поездок. В принципе здесь возможны разные маршруты, так как у Deutsche Bank есть собственная мощная система удаленного доступа — Deutsche Bank Remote Access, позволяющая получить доступ и к приложениям банка, и к Citrix. Поэтому даже при отказе точки доступа остается некий обходной путь, и такая ситуация, чтобы пользователь вообще не мог получить доступ к своим данным и приложениям, совершенно невероятна — разве что у него пропала связь с Интернетом либо он забыл пароль или потерял электронный ключ.
Первыми пользователями созданной системы удаленного доступа к приложениям стали сотрудники важнейшего нашего отдела — трейдинга. Этот отдел переводился из офиса Deutsche UFG в офис Deutsche Bank, и нужно было, чтобы на новом месте пользователи получили доступ ко всем тем приложениям, с которыми работали раньше. После переезда отдела трейдинга мы начали подключать к Citrix уже и другие отделы, добавляя соответствующие приложения. В то же время мы постепенно переводили пользовательские документы и другие данные в сеть Deutsche Bank, и в результате количество необходимых приложений снижалось: например, офисное ПО, опубликованное в Citrix, сейчас практически не используется, поскольку все данные, нужные сотрудникам, уже находятся в сети Deutsche Bank. Вообще я доволен и сроками, и качеством работы.
Какие требования предъявлялись к системе с точки зрения безопасности?
Как я уже говорил, требования к безопасности в Deutsche Bank очень серьезные, и это был один из ключевых моментов при разработке проекта. Параметры безопасности мы настроили так, чтобы пользователи могли работать только в рамках разрешенных им приложений, — например, они не получают доступа к локальной файловой системе того сервера, на котором запущена программа. Перемещаемые профили хранятся на одном из файловых серверов сети и динамически подгружаются на тот сервер, где запускается приложение. Аутентификация пользователей, повторюсь, двухфакторная. Процедура выглядит следующим образом: пользователь открывает Internet Explorer, набирает известный ему адрес, попадает на страницу регистрации, вводит там свое имя, пароль и цифру с электронного ключа RSA, после чего получает Webдоступ к Citrix. Существенные ограничения были наложены на работу в приложениях Microsoft Office, так как требовалось не допустить их использования, к примеру, для доступа в Интернет.
Насколько удобной была такая схема работы для пользователей? Ведь хотя приложения выглядят для них одинаково, получается, что в момент перехода они работали с двумя наборами приложений Microsoft Office?
Это временная трудность, и сейчас необходимость в этом почти отпала. На рабочих станциях Deutsche Bank установлены приложения Microsoft Office (но без Outlook, поскольку в банке используется Lotus Notes), которые служат для работы с документами, находящимися в сети Deutsche Bank, а на данный момент туда перенесены все документы, нужные нашим сотрудникам. Но когда пользователи толькотолько перешли на рабочие станции Deutsche Bank, все их файловые данные еще оставались в сети Deutsche UFG. Соответственно им требовался доступ из этой сети к документам Word, к таблицам Excel, к презентациям PowerPoint, хранящимся в сети Deutsche UFG, и он обеспечивался с помощью приложений Microsoft Office, опубликованных в Citrix. Сейчас сохраняется только Microsoft Outlook, так как некоторые базы данных, нужные для работы, из него пока не перенесены в сеть Deutsche Bank.
Возвращаясь к требованиям безопасности, должен заметить, что система изначально строилась так, что нельзя было ни копировать файлы, ни пользоваться буфером обмена между приложениями Citrix и Deutsche Bank. Единственный легальный способ «переправить» свой документ из одной сети в другую заключался в том, чтобы послать его по электронной почте со своего адреса в Deutsche UFG на свой же адрес в Deutsche Bank. Потом мы всетаки несколько смягчили ограничения и легализовали буфер обмена, что, конечно, существенно упростило сотрудникам жизнь.
Но теперь все это уже в прошлом. Сейчас Citrix, как и все системы ОФГ, готовится к отключению. Его роль в интеграционном процессе закончится вместе с самим процессом, и уже понятно, что сыграна она весьма успешно.