Как настроить удаленную работу сотрудников
Выстраиваем рабочие процессы на удаленке: практические рекомендации
Всем привет. Следующую статью, в преддверии старта курса «Team Lead 2.0», написал один из наших подписчиков. А как вы переходили на удаленку? Пишите в комментарии о своем опыте.
Практически все компании, в том числе IT, а также косвенно относящиеся к этой сфере, испытывают сейчас проблемы, связанные с переходом на удаленку. Какие рекомендации сформировать своим работникам? Какую линию поведения стоит выбрать начальству? Как выстраивать коммуникацию? Мы разберем некоторые проблемы, связанные с переходом на удаленную работу.
Техническая сторона процесса
Проблема заключается в развертывании процесса удаленной работы всей команды. В частности, мой знакомый тестировщик первую неделю самоизоляции почти ничего не делал и не потому, что не хотел или что-то в этом роде, а потому, что никто из его отдела не знал, как поднять k8s на своей локальной машине и почему-то работа отдела была так выстроена, что никто не смог помочь ему поднять сервер для тестирования. Но такие проблемы продолжались первые несколько дней, потом работа более-менее выстроилась.
На другой работе сотруднику дали доступ с айпи только домашнего компа, и потом, когда он захотел переехать на дачу, пришлось настраивать целый VPN. И пускай с точки зрения соображения безопасности это было верно, это потребовало много времени на настройку.
Я надеюсь, что к настоящему моменты вы смогли перестроить свой пайплайн разработки для работы на удаленке. В другом случае, нужно что-то делать, иначе итог будет печален.
Когда удаленка не в радость
Одна из самых больших проблем, которые возникают в удаленной работе — это, вне сомнения, размывание линии работа/дом. Вполне известный всем удаленщикам эффект, при котором твоя работа, которую ты делаешь дома, из стандартных 8-9 растягивается до 15 и у тебя просто не остается какого-то личного своего времени, в которое ты имеешь полное право на то, на что хочешь. Теперь ты не можешь после окончания своего рабочего времени написать «прости, я не в офисе, не могу решить проблему», потому что в домашнем офисе ты на работе практически все время.
Решение Решение здесь напрашивается достаточно простое: каждому сотруднику необходимо самостоятельно выстроить свои временные зоны совместно с работодателем, иначе это закончится выгоранием через несколько месяцев. Вы далеко не первый it — специалист, оказавшийся на удаленке, так что стоит использовать опыт коллег.
Потеря ощущения целостности с коллективом
Пока вы работаете очно в офисе, вы постоянно встречаетесь с коллегами, здороваетесь с ними за руку, получаете совместные положительные эмоции на днях рождениях и корпоративах. Однако на самоизоляции становится куда сложнее поддерживать контакт — появляется чувство, что вы никак не связаны с этой компанией и этих людей особо не знаете, теряется чувство личной принадлежности к коллективу и важность поддержания нормальных личных отношений (они же мои друзья и боевые товарищи, как я могу их подвести). Поэтому и мотивация в таких случаях начинает страдать — ведь кроме денежной мотивации (которая в период самоизоляции тоже плохо работает, потому что по сути все, на что ты можешь сейчас тратиться — только еда и небольшое улучшение бытовых условий, поездки за границу, какие-то оффлайн развлечения пока откладываются на неизвестный срок), у работника есть еще и нематериальная мотивация в виде связи с коллективом, в которой он себе может быть даже напрямую не отдает отчет — но она все равно крайне важна.
Решение Постарайтесь поддерживать связи и по вопросам, не связанными с рабочими. Организуйте на какой-нибудь платформе для массовых встреч регулярные (но не больше 1 раза в неделю, лучше 1-2 раза в месяц) встречи в формате Show & Tell, в которых можно поздравлять тех, у кого был день рождения/праздник или произошли какие-то другие приятные события, не связанные напрямую с работой. Постарайтесь организовать какое-то подобие совместного досуга коллег — к примеру, кооперативные интеллектуальные игры, совместные ланчи по вебкам и что-нибудь в таком роде. Создайте отдельный канал в Slack, близкий по содержанию к курилке, где люди могут обсудить то, что их связывало в свободное время на работе — где можно обсудить свои хобби, личные проблемы, последние новости…
Удаленная коммуникация
Ну, казалось бы, здесь вопросов особо не будет, и особенно на этом разделе я останавливаться не хочу. Здесь можно сделать несколько замечаний:
— Постарайтесь по возможности включать вебки, чтобы ощущать личное общение со своими собеседниками (если конечно у них есть для этого возможность потому, что люди у которых нет своего отдельного пространства, будут чувствовать себя некомфортно, если их попросят демонстрировать своих домашних)
— Zoom на самом деле не так уж и хорош;
— Дискорд хорош, но иногда сервера не выдерживают перегрузки пользователей;
Мотивация сотрудника
Вопрос мотивации на удаленке стоит поставить отдельно. Что должно двигать сотрудника вперед? Лично я работаю в нескольких местах и в каждом из них была трогательная и долгая часовая речь начальника для всех сотрудников о том, что сейчас кризис и «это непросто» если опустить все детали. Некоторые начальники даже оказались не готовы к речи на удаленную аудиторию (произносить речи подобного характера без реакции аудитории достаточно тяжело, надо сказать), и кроме того, не смогли сформировать линию дальше «окей, работаем в условиях кризиса дальше».
Здесь стоит вопрос, насколько велико доверие сотрудников к вам. Стоит задуматься, а есть ли у вас точные план действия на текущий кризис (в котором условия ведения бизнеса на самом деле вполне ясны), и готовы ли вы их озвучивать.
Принципы Remote: как организовать удалённую работу
В моих руках книга «Remote» от 37signals. Это книга о том, что такое удалённая работа, о том, как использовать её преимущества и как сгладить недостатки. Книга очень пригодится предпринимателям, которые думают о полном или частичном переходе на удалённую работу. Но книга также пригодится и, собственно, удалённым сотрудникам (или фрилансерам), желающим работать эффективно. Предыдущие мои статьи были по книгам Getting Real и Rework.
Почему в офисе не работается
Лично я за собой замечал такую штуку: максимальная производительность достигается очень рано утром (на моих часах, кстати, 05:08) или в выходные. Почему? Потому что в это время меньше всего отвлекающих факторов. В этом плане офис не очень хорош, т. к. он дробит ваш день на множество маленьких отрезков. 15 минут одно, 15 минут другое, третье. День наполнен встречами, конференциями, мгновенными сообщениями и болтовнёй. Но осмысленная и творческая работа требует длительных периодов концентрации, когда ничего не отвлекает и можно погрузиться в то, чем ты занимаешься.
В офисе коллега может подойти, чтобы по-дружески хлопнуть вас по плечу, может подойти другой коллега для получения «срочной» консультации и т.д. и т.п. Поэтому когда мы приходим поработать в выходные, у нас получается сделать намного больше.
Хватит тратить жизнь на дорогу
Поездки на работу и с работы занимают какое-то количество вашего времени. Вы теряете время в пробках, приходится всё делать быстро, чтобы успеть вовремя на работу. Вы едите полуфабрикаты, видите детей всё реже и реже и не находите сил уделить 15 минут жене (или мужу?). К субботе у вас целый список дел по дому и ваши выходные становятся не днями отдыха, а просто возможностью уделить внимание домашним делам.
Сколько времени уходит на дорогу? Если вы добираетесь до работы 30 минут и ещё 15 минут тратите на сборы, — это получается 1.5 часа в день на дорогу. Это 7.5 часов в неделю и примерно 300-400 часов в год. Итак, 400 часов в год вы тратите на второстепенное занятие, которое не приносит вообще никакой пользы. Можно пойти дальше и выразить это в рублях. Для регионов это будет 33000/21/8*400=78571 руб. потерь. Для Москвы это будет уже не 400 часов в год, а раза в полтора больше: 76000/21/8*600=271428 руб. в год.
Будет хорошо в комментариях обсудить с жителями Москвы и Санкт-Петербурга, кто сколько времени тратит на поездки на работу/с работы. Лично мне кажется, что хорошему специалисту переезжать из родного провинциального города в столицу глупо, ибо найти удалённую работу несложно, причём можно найти работу за столичные деньги, живя в Красножопске.
Технологии
Отговорки
Чудеса случаются, когда мы вместе.
Речь о том, что когда вы собираетесь за одним столом или просто в одной комнате, вы можете организовать какой-то мозговой штурм и выдумать какую-то очень классную идею. Но вопрос: сколько таких мозговых штурмов вы проводите в год? Мне кажется, не очень много. К тому же, сколько гениальных идей сможет переварить и воплотить ваша компания? Как правило, не так уж много и растрачивать время на подробное обдумывание того, что вы всё равно ближайший год не сможете воплотить не имеет никакого смысла.
Как узнать, работают ли сотрудники, если я их не вижу?
Вот, что говорит об этом Крис Хоффман из IT Collective: «Если вы перестаём доверять сотрудникам значит, мы ошиблись при найме. С человеком, который не способен выдать хороший результат, не выдерживает свой собственный график и не справляется с нагрузкой, мы работать не будем. Мы берём только опытных профессионалов, способных управлять своим временем и внести значительный вклад в общее дело И не собираемся быть им няньками».
Всё просто. Работа сотрудника оценивается по результату. Если его нет, — сотрудник должен быть уволен.
Дома люди постоянно отвлекаются
Действительно дома соблазнов и возможностей отвлечься гораздо больше. Весь вопрос в организации. Сидя на диване работать сложнее, чем в отдельной комнате с закрытой дверью. Если это невозможно или не помогает, — можно попробовать работать вне домашних стен. Отправляйтесь в кафе, парк, библиотеку или коворкинг-центр.
Большинство людей хотят работать, это приносит удовлетворение. Но если вы занимаетесь бесперспективным делом, надо думать не о том, как работать над ним удалённо а о новой работе.
Крупные компании этого не делают. Почему мы должны?
Многие гиганты бизнеса погрязли в неэффективности и бюрократии. Не стоит на это равняться. Но есть довольно много крупных компаний, которые применяют удалённую работу: IBM, eBay, Microsoft, Intel, CiscoMersedes-Benz.
Ответ мне нужен прямо сейчас
Когда все работают в офисе, легко приобрести дурную манеру беспокоить друг друга в любой момент по любому поводу. Это порождает всё то же дробление рабочего дня на кучу маленьких 15-минутных отрезков между отвлечениями: телефон, вопрос коллеги, ответ в скайп, письмо, обед, опять вопрос коллеги, перерыв на чаепитие и т. д.
Как минимум, срочных вопросов можно избежать. Следует признать, что далеко не каждый вопрос требует немедленного ответа. Да, возможно, нам хочется получить ответ как можно раньше, но что будет, если ответ будет через два часа? Скорее всего, у вас получится, что 80% вопросов можно задать по электронной почте и получить ответ асинхронно. В случаях более важных дел можно задать вопрос по скайпу. И когда уже совсем всё рушится, можно позвонить по телефону.
Для нашей компании/отрасли это не сработает
Вот небольшой перечень сфер, в которых можно прекрасно работать удалённо: аудит, госуслуги, дизайн, кинопроизводство, издательство, консалтинг, маркетинг, подбор персонала, производство компьютерной техники, производство ПО, реклама, страхование, финансы, юридические услуги, переводы. На самом деле, дело не ограничивается этим списком. Есть множество отраслей, в которых применима удалённая работа. Половина из 35000 сотрудников компании Aerna (она входит в Fortune 100) работают удалённо. У Intel регулярно трудятся удалённо 82% сотрудников.
Как организовать удалённую работу
Перекрывайтесь.
Рабочее время ваших сотрудников должно перекрываться. Т.е. должно быть несколько часов для совместной работы с другими членами команды, когда можно задать вопрос и ответить на чьё-то письмо. Это важный момент, потому что будет странно, кода важное дело из-за разности в рабочем времени будет отложено на сутки. Некоторые вещи не могут ждать так долго.
Общий доступ к экрану
Без этого в IT-проектах вообще и совсем никак. Расшарьте свой экран и обсудите с коллегами новый интерфейс, который вы разработали. Ещё можно записывать скринкасты. Это тоже очень помогает, когда вы хотите показать новую функцию. Только не нужно переписывать скринкаст по 4 раза, чтобы было «идеально». Это не стоит потраченного времени. Просто возьмите и запишите.
Всё в общий доступ
Расписание, файлы презентаций, материалы проектов, состояние переговоров с клиентами: всё должно быть в общем доступе. Почему? Потому что при возникновении вопроса при удалённой работе может возникнуть ситуация «спроси того не знаю кого». Выход прост: в любой момент всё должно быть доступно всем. Самое главное — это исключить ситуации, когда что-то важное храниться на компьютере или в почте одного человека.
Виртуальный кулер
Видимо, в США сотрудники собираются для болтовни у кулера. У нас в компании это происходит в кальянной. Я слышал, что бывает, что люди болтают в курилках.
Идея в том, что помимо работы должно быть ещё и простое человеческое общение. Можно обсудить последнюю серию какого-то сериала, выход нового продукта от Apple или ещё что-то. Всё это сильно усложняется при удалённой работте. Для этого в 37signals используют общий чатик в Campfire, а мы используем Slack.
Введите всех в курс дела
В офисе есть общий информационный поток. Особенно, когда офис построен по принципу open-space. Большинство сотрудников прекрасно представляют, что происходит в компании и кто над чем работает. В случае с удалённой работой так не получается. Удалённый сотрудник общается, в основном в постановщиком задач и обычно это один человек (руководитель проекта). В результате, единственный человек, владеющий полной картиной — этот тот самый руководитель проекта.
Для того чтобы не потерять эту связь, можно проводить встречи/созвоны/переписки в отдельной ветке, где каждый пишет, над чем он работает. Лично я веду блог по каждому проекту. Встретился с клиентом, тут же написал об этом. Заполучил новые фотографии, — выложил в общий доступ и тут же описал, как мне это удалось и что будет с ними дальше.
Готовность к неприятностям
Офис может стать единой точкой отказа. Предположим, у вас в офисе развёрнута вся нужная инфраструктура. Вопрос: что будет, если при ремонте теплосетей повредят электрический кабель, подходящий к зданию? Вы можете застраховаться от таких неприятностей, предусмотрев всю необходимую инфраструктуру для работы из за пределов офиса.
Осторожнее с совещаниями и начальниками
Когда вы организуете совещание, — помните, что вы тратите время. При этом 30 минут совещания для 8 человек выливаются в общие временные затраты в 4 человеко-часа. Таким образом, при оплате в 300 р/час вы потратили 1200 руб. компании. В совещаниях нет ничего плохого, но важно обращать внимание на частоту проведения этих совещаний. Они сильно отвлекают от работы.
Руководитель — это тот, кто предпринимает руководящие действия. Если он весь свой день пытается занять этими самыми руководящими действиями, — фактически, он не даёт никому работать.
Как найти и удержать?
Просто ищите по всему миру или стране. Чтобы нанять сотрудника вам достаточно, чтобы он обладал профессиональными навыками в заданной сфере, очень хорошо владел языком общения и умел письменно излагать свои мысли.
Избегайте хитростей, обманов и странных приёмов при найме. Просто дайте тестовое задание и оплатите его выполнение. При этом, задание должно быть практичным, нужным и из реальной жизни. Не нужно придумывать вакуумных коней для тестовых заданий.
Платите сотрудникам столько, сколько нужно без дискриминации по географическому признаку. В конце концов, удалённая работа, — это возможность нанять лучших, а не возможность нанять подешевле. Т.е. если вы основали компанию в Москве, — платите удалённым сотрудникам московские зарплаты. Ваш сотрудник не должен получать 25 тыс только потому, что это средняя зарплата программиста в Урюпинске.
Если вы решили работать с конкретным человеком, — организуйте личную встречу. Оплатите ему билет, проживание и встретьтесь с ним. Если это проблематично, — хотя бы скайп.
Личная эффективность
Несколько рекомендаций о том, как эффективно организовать вашу удалённую работу.
Распорядок дня. Сделайте для себя определённый распорядок дня. Это дисциплинирует. Бывает так, что когда нам никуда не нужно, мы можем пролежать в постели до обеда, а потом засидеться за работой допоздна, хотя вечер лучше проводить с семьёй. Хорошо разбивать сам рабочий день на временные зоны: «текучка», «работа с коллегами», «серьёзная работа».
Граница. Проведите чёткую и всем понятную границу между работой и домом. Организуйте рабочую зону и работайте только в ней. Можно даже переодеваться в рабочую одежду. Один из сотрудников 37signals использует для этого отдельные рабочие тапочки.
Утром дома, днём в офисе. Это может быть очень удачной схемой. Дома вы (возможно) можете поработать над чем-то серьёзным в более-менее спокойной обстановке и переждать утренние пробки. А к середине дня можно подойти в офис и там поработать в режиме общения с коллегами, если оно требуется.
Разные компьютеры. Поставьте один компьютер в рабочей зоне для работы. И заведите отдельный компьютер для развлечений. Пусть они будут несовместимы и вы не сможете работать на отдыхательном компьютере. У них могут быть разные операционки и разное ПО. Не ставьте рабочие инструменты на нерабочий компьютер. Это поможет вам избежать соблазна «быстренько проверить почту» или ответить на сообщение коллеги в скайпе. Теоретически, на iPad можно сделать дизайн, но, говорят, это не очень удобно.
Когда не хочется полной изоляции. Не всегда хочется сидеть одному и работать дома. Иногда появляется странное желание видеть других людей. Тогда вставайте и идите в кафе, коворкинг-центр, библиотеку или офис. Кстати, можно снять один или два стола в офисе другой компании. Это, кстати, и полезно в плане смены декораций. Если вам сильно надоело каждый день делать одно и то же одной и той же обстановке, — смените декорации.
Мотивация. Единственный способ поднять мотивацию — поощрять людей работать над тем, что им нравится и только с теми людьми, которые не оставляют их равнодушными.
———
PS: я начал применять удалённую работу несколько месяцев назад, а книжку прочитал совсем недавно. Подозреваю, что это чтение не пройдёт бесследно и выльется в какие-то положительные сдвиги. Если с вами уже произошли подобные сдвиги и вам есть чем поделиться, — прошу в комментарии.
Как быстро и безопасно организовать удалённую работу сотрудников? Рассказываем о разных подходах: с VDI и не только
С необходимостью удобно и безопасно организовывать удалённую работу своих сотрудников бизнес столкнулся давно. Но если раньше эту задачу можно было регулярно откладывать и продолжать обдумывать, то сейчас времени уже нет: «удалёнка» – главный тренд весны 2020 во всём мире. В этом материале мы хотели бы поделиться своим опытом организации удалённой работы сотрудников, потому что плотно занимаемся этим вопросом уже почти 25 лет.
Удалённый формат работы абсолютно привычен для любого сотрудника Dell Technologies, и наши российские офисы в этом плане не являются исключением. Конкретно сегодня мы бы хотели сконцентрироваться на вариантах решения задачи с помощью имеющейся техники, то есть оперативных решениях без применения VDI, и развёртывании VDI в максимально короткие сроки. Под катом мы дадим развёрнутые ответы на четыре вопроса, которые наши действующие и потенциальные заказчики в последнее время задают чаще всего.
Можно ли минимальными усилиями сделать так, чтобы сотрудники работали из дома прямо так же, как и в офисе?
Можно. Для этого сотруднику, переходящему на «удалёнку», потребуется ноутбук с установленными программами, которые он обычно использует, и набор ПО для групповой работы вроде Microsoft Teams, Skype for Business, возможно, Zoom и так далее. Это позволит общаться и обмениваться информацией со своей командой примерно так же, как и в офисе. При этом абсолютно необходима ещё одна вещь: VPN-клиент. Вариантов очень много, и выбор конкретного явно будет продиктован инструкциями от отдела информационной безопасности вашей компании.
Поскольку устройство сотрудника будет у него дома, а не в офисе, то нужно закладывать риск того, что к нему может получить доступ человек со стороны. Поэтому следует использовать средства многофакторной авторизации: смарт-карты, сканер отпечатков пальцев, токены или одноразовые пароли. Нельзя забывать и про ПО для безопасности: антивирусы и средства предотвращения утечек информации.
Но самое важное – это ПО для дистанционного управления. Именно оно позволит специалистам IT-отдела вашей компании настраивать ПК сотрудников, находящиеся вне локальной сети. Те заказчики, которые пользуются корпоративными компьютерами Dell Technologies (в частности, серий Latitude и OptiPlex), в этом плане находятся в привилегированном положении. Дело в том, что на них предустановлена программа Dell Client Command Suite, которая даёт в текущей ситуации ощутимые преимущества.
По сути, это KVM-решение, функциональностью которого можно пользоваться даже в том случае, если устройство, на которое оно установлено, находится за пределами предприятия. Делать с его помощью можно очень много всего: разворачивать и конфигурировать устройство, устанавливать драйверы, мониторить состояние и даже обновлять BIOS. Здесь, правда, есть тонкий момент: нужна поддержка технологии vPro, а это зависит от конкретной конфигурации и использованного в компьютере процессора.
Если такая поддержка есть, то с помощью модулей Deploy и Configure системный администратор может удалённо подготовить устройство к выдаче пользователю: дистанционно установить сборки нужных драйверов и обновлений прошивок. Модуль Monitor позволяет следить за аппаратным состоянием всего парка техники, находящегося на руках у удалённых сотрудников.
Корпоративных компьютеров не хватает. Как организовать «удалёнку» на устройствах самих сотрудников?
И это тоже можно. Здесь мы со своей стороны можем рекомендовать другое специальное ПО – Workspace ONE от VMware. Оно состоит из трех частей. vIDM отвечает за идентификацию пользователей и реализацию технологии единого входа, причём это происходит вне зависимости от того, в какой сети находится устройство – корпоративной или внешней.
Следующая часть – управление мобильными устройствами. Если вы пользовались программой раньше, то наверняка помните её по названию AirWatch. К сегодняшнему дню функциональность расширилась, и действующие возможности распространились с мобильных устройств на любые ПК с Windows 10 на борту. Здесь можно распространять политики настройки устройств, ограничивать их в каких-то возможностях, принудительно устанавливать или удалять ПО, отслеживать геопозицию и – это важно – можно удалённо очистить устройство, если стало понятно, что оно украдено или скомпрометировано.
И это только вершина айсберга, возможностей гораздо больше. Самое главное, что нужно запомнить, – это то, что работает всё это не только в локальной корпоративной сети, но и, так сказать, «за» интернетом. И маленькая ремарка о продуманности ПО: всё это шлифовалось годами, и теперь в Workspace ONE, например, учитывается даже расход батареи удалённого устройства. То есть ваш сотрудник, который трудится без подключения к электросети, точно не останется без компьютера из-за того, что действия, которые назначил администратор, внезапно «съели» весь оставшийся заряд в ходе каких-нибудь обновлений.
Третья составная часть Workspace ONE – это VMware Horizon, и это не просто решение для доступа к рабочим столам внутри корпоративной сети, а полноценная VDI-платформа. Тут очень много функциональности, связанной именно с работой с ресурсами дата-центров. Имеется как возможность работы в локальной сети (при этом сервера могут быть развернуты на управление устройствами, находящимися на руках у удалённых сотрудников), так и в рамках облачного решения. Оба варианта доступны на территории России, решение очень масштабное и всеобъемлющее.
Но в рамках сегодняшней темы остановимся на том, что с его помощью можно подключать к серверной инфраструктуре сотрудников, у которых на руках есть стационарные ПК, ноутбуки, тонкие клиенты или даже планшеты с iOS/Android.
Для примера в общих чертах расскажем об одном из живых примеров создания инфраструктуры безопасных рабочих мест для удалённых сотрудников с помощью Workspace ONE. При таком подходе на стороне пользователя появится своего рода «магазин приложений», в котором он сможет загружать необходимые для работы программы, при этом для каждой из них можно организовать отдельный VPN-канал. При этом при выборе приложения Gmail, скажем, в Android, у юзера будут две иконки почтового клиента: его личная почта и отдельно корпоративный аккаунт, который прежде, чем открыться, будет устанавливать защищённое соединение. Обмен данных между приложениями из личной зоны пользователя и корпоративной зоны невозможен.
Разумеется, здесь тоже есть возможность подстраховаться на случай потери устройства: администратор может удалённо очистить систему. Важный нюанс: личные данные пользователя при этом не удаляются. И в целом функциональность получается очень широкая: автоматическая настройка, шифрование, запрет хранения персональных данных и так далее. Безусловно, перед тем, как всё это дело разворачивать на устройстве конечного пользователя, гаджет обязательно должен проверяться на соответствие корпоративным политикам. Если вдруг что-то в прошивке изменилось после проверки соответствия, то автоматически может применяться запрет на работу с данными или запускаться процесс принудительного обновления.
Используем ли мы решения на базе Workspace ONE в своей собственной работе? Конечно, да. Вот так выглядит тот самый «магазин приложений» на рабочем устройстве одного из наших сотрудников, который сейчас, как и многие из нас, трудится удалённо.
VDI – это сложно, дорого и долго. Можно ли как-то организовать его попроще, побыстрее и подешевле?
Как большинство людей представляет себе VDI? Как много виртуальных машин с разными ОС, которые выполняются в дата-центре. К ним с помощью удалённого доступа с клиентского устройства пользователь получает доступ и взаимодействует с приложениями, запущенными на виртуальной машине. В плане систем всё в основном сводится к Windows и Linux.
Главное преимущество всего этого – безопасность: данные абсолютно всегда остаются в дата-центре, они никогда не выходят за его пределы и не попадают в компьютеры пользователей. Удалённый сотрудник на своем экране лишь видит то, что происходит в виртуальной машине, а на свою машину даже не может ничего скопировать. Разумеется, если это не разрешит системный администратор. Одновременно это можно рассматривать и как ограничение при работе с VDI.
Второе преимущество – это управляемость. Обновление приложений и версий операционных систем, применение различных политик к виртуальным машинам происходит централизованно и очень быстро. Ещё важнее то, что виртуальная машина развёртывается не на каждом ПК отдельно, а клонируется из образов: тысячи их могут быть созданы буквально за минуты. И это третье преимущество VDI.
Главный минус VDI в том, что это сложное решение: оно состоит из большого количества компонентов. Многие заказчики считают, что использовать его в нынешней ситуации для быстрого развёртывания домашних рабочих мест непрактично и дорого. Так ли это?
Рассмотрим ситуацию на примере VMware Horizon. Безусловно, есть другие, не менее эффективные варианты, но мы у себя применяем именно такой подход. Из чего состоит вся структура в схематическом упрощённом виде? Прежде всего, это клиент: он может быть любым – Windows, Linux, Mac OS, и пользовательский опыт в большинстве случаев совпадает на разных устройствах. Если сотруднику сложно установить VDI-клиент самостоятельно, то можно работать через браузер. В таком случае доступ к своей персональной виртуальной машине превращается в переход по ссылке и ввод логина, пароля и, возможно, каких-то дополнительных данных.
Следующий компонент – VMware Unified Access Gateway. Это «сторож», который с точки зрения внешнего пользователя выглядит как веб-сервер. Он располагается в так называемой «демилитаризованной зоне» предприятия и скрывает локальную сеть от интернета. То есть любой человек вне локальной сети видит только UAG.
Connection Server – это сервис соединений, который отвечает за то, с какой виртуальной машиной, терминальным сервером приложений или физическим компьютером будет соединён тот или иной пользователь. С чем именно он будет соединён – задаёт администратор, сам пользователь на настройки повлиять не может.
К чему можно получить доступ, с помощью VMware Horizon? Например, к Windows-десктопу удалённой машины. Это может быть Windows 10, Windows 7 или индивидуальная машина Windows Server. Последнее актуально, если есть задача сэкономить на лицензиях, но на этом сегодня останавливаться не будем. Самый бюджетный вариант развёртывания, разумеется, – виртуальные машины с Linux. Ещё можно экономить на серверном «железе» с помощью настройки терминального доступа. На данный момент на одном физическом сервере в среднем можно запустить больше сотни виртуальных машин и порядка 400-500 сессий терминального доступа.
И во всём этом есть одно «но», про которое нередко забывают, когда говорят про VDI. Дело в том, что технология позволяет получать доступ не только к виртуальным машинам, но и к физическим ПК. Да, тем самым, на которых до «эпохи всемирной удалёнки» сотрудники работали в офисе. Для того, чтобы это можно было сделать, на компьютер в офисе потребуется установить Horizon Agent, а затем настроить удалённый доступ к нему как к виртуальной машине через сервер соединений и UAG. Если администратор этого не разрешил, то больше никто, кроме самого пользователя, этот ПК не увидит. И все остальные сотрудники тоже будут видеть только свои личные машины из офиса, которые перешли в статус как бы «виртуальных».
Про один из вариантов такого доступа к ПК мы сняли красивое видео. В данном случае в качестве компьютера выступает рабочая станция Dell Precision с картой Teradici в стоечном форм-факторе: она находится в серверной, а сотрудник получает к ней доступ с тонкого клиента. Обратите внимание на то, что пользовательский опыт практически аналогичен тому, если работать с такой же графической станцией без VDI, а речь идёт о весьма ресурсоёмкой задаче — 3D-моделировании. Получается, что для пользователя разницы практически нет, а организация получает преимущества: улучшает управляемость и повышает безопасность.
Соединяться с реальными и виртуальными машинами, работающими под управлением VMware Horizon можно по протоколам VMware Blast Extreme, Teradici PCoIP, RDP, Remote FX и HTML5, то есть через браузер доступ тоже возможен. Если смотреть на всё это «снаружи», то UAG покажет только 443-й порт, то есть стандартный зашифрованный HTTP. Таким образом, решение ограничивает доступ в локальную сеть одним портом удалённого доступа, обращаться к VPN не нужно.
Какое устройство выбрать для доступа через VDI, если оно будет располагаться дома вне корпоративной сети?
Самый надёжный, на наш взгляд, вариант – тонкий клиент. Главные его плюсы: безопасность, управляемость, невысокая стоимость. Минус заключается в том, что даже эти гаджеты нужно покупать, из-за чего работа на какое-то время будет приостановлена.
Можно взять уже имеющийся корпоративный ноутбук или купить дополнительные машины. Плюс здесь заключается в том, что его можно использовать для работы и после окончания пандемии, в том числе для замены тех ПК, которые уже выработали свой срок службы. Минусы ещё существеннее: ноутбуки тоже нужно покупать, они дороже, а главное – на них нужно развёртывать систему внешнего управления. Для «надомного» варианта это очень неудобно и долго.
Ещё один очевидный вариант – домашний ПК сотрудника, но, полагаем, все понимают, чем это грозит. Если сотрудник согласен использовать его для работы, то это быстро, дёшево, поэтому – мы узнавали – некоторые компании идут сейчас именно этим путём. Только вот работает всё до тех пор, пока не появится кто-то, кто к этому ПК тоже имеет доступ: ребёнок, муж или «компьютерный мастер». Они вольно или невольно вносят изменения в ПО или даже «железо», и затем в большинстве случаев доступ к корпоративной сети сразу же прекращается. И по телефону проблему не устранить – нужно отправлять специалиста.
Следущий вариант – мобильные устройства. На наш взгляд, это тоже приемлемый вариант, если они находятся под контролем платформы Workspace ONE, про которую мы рассказывали выше. Но здесь тоже свои минусы. Во-первых, многие сотрудники боятся отдавать свои мобильные гаджеты под управление корпорации, и их в этом стремлении можно понять. Во-вторых, на планшетах тяжело продуктивно работать, а подключение периферии не всегда возможно.
В связи с этим возникает дополнительный вопрос: а можно ли превратить имеющийся ПК в тонкий клиент?
Вновь зайдём немного издалека. Что такое тонкий клиент? Это маленький специализированный компьютер с ОС общего назначения или специализированной ОС, которая кастомизирована для работы именно в режиме VDI. На него установлены клиенты VDI, дополнительное ПО для управления, и он готов выполнять только свою максимально конкретную задачу, помимо неё он ничего делать не может. Выбор огромен: по цене, по производительности, по форм-фактору. Многие сегодня перепрофилируют офисные тонкие клиенты и раздают перешедшим на «удалёнку» сотрудникам.
Управлять тонким клиентом очень просто, делать это можно очень быстро. Такие устройства по умолчанию имеют гораздо меньше как программных, так и аппаратных вариаций, чем обычные ПК. Кроме того, ПО для них максимально автоматизировано, порой не требует вообще никакого участия со стороны конечного пользователя, его без проблем осваивает даже младший IT-персонал компании.
Что здесь можем предложить со своей стороны мы? У нас есть Wyse ThinOS, и именно она отличает тонкие клиенты Dell Technologies от решений конкурентов. Разработка очень матёрая – на данный момент ей около 17 лет. Так что система прошла через огромное количество доработок, она максимально отлажена и на сегодняшний день имеет минимальный размер в 30 МБ. Время обновления тонкого клиента с ThinOS на борту занимает около 30 секунд по быстрому каналу связи, а в случае с плохими каналами связи счёт идёт на минуты, но никак не на дни, если сравнивать с удалённой установкой образа Windows.
ThinOS не позволяет устанавливать никакое стороннее ПО, в ней недоступна файловая система хранилища данных, и благодаря этому тонкий клиент не подвержен вообще никаким вирусным атакам или попыткам взлома. Если немного «пошаманить», то с сетевой точки зрения тонкий клиент вообще можно превратить в «чёрный ящик»: даже если кто-то решится его атаковать, то просто не поймёт, с чем именно имеет дело. При этом здесь есть средства оптимизации не только обычных приложений, но и мультимедиа, работы со Skype for Business, Jabber, средствами конференц-связи Cisco, а при работе с тяжёлыми 3D-приложениями вроде Autodesk, Solidworks или Siemens NX поддерживается аппаратное декодирование трафика. Так что даже конструкторы могут работать из дома.
Словом, по уровню закрытости ThinOS приближает устройство, на котором она установлена, к параметрам аппаратного нулевого клиента, но при этом позволяет работать с VMware Horizon, Citrix, VDI от Microsoft и других вендоров. Система поддерживает четыре протокола удалённого доступа (VMware Blast Extreme, PCoIP, HDX 14, RDP / Remote FX 10) и позволяет соединяться с различными типами VPN-серверов.
Естественно, ThinOS поддерживает управление со стороны Wyse Management Suite. И, отвечая на вопрос в начале этого блока, – да: мы можем сконвертировать обычный ПК в тонкий клиент. Наше решение называется Wyse Converter for PCs. Это ПО, которое подходит для обычных Windows 7/10, причём с поддержкой русской версии, предоставляется оно по подписке, и это важно: когда текущая ситуация разрешится, и большинство сотрудников вернётся обратно в офисы, то её можно будет просто не продлевать. Поставка осуществляется электронно, поэтому ни о каких неделях на внедрение речи не идёт, счёт будет идти максимум на дни.
Главная задача этой программы – превратить выбранный ПК в Wyse Software Thin Client – программный клиент Wyse с операционной системой Windows. Все периферийные устройства, драйверы для которых уже установлены на машине, будут продолжать работать. Если это необходимо, то будут поддерживаться все возможные клиенты VPN, но главное – такой ПК может управляться с помощью Wyse Management Suite. И его будет сложно вывести из строя, поскольку после установки система фактически блокируется на состоянии нулевого клиента. Вернуть всё обратно к исходному состоянию тоже можно с помощью того же самого софта.
Настройки Wyse Management Suite позволяют автоматизировать процесс подключения к VDI, то есть передать адрес сервера соединений, установить необходимый клиент – скажем, VMware Horizon или Citrix Workspace Up, и запустить на этом ПК. Случайно выйти из режима VDI практически невозможно, поскольку есть настройки, которые перезапускают клиент VDI после того, как пользователь нажимает кнопку включения. И всё это можно попробовать заранее в демо-режиме.
А можно ли сделать решение для удалённой работы без VDI, но управляемо и безопасно?
На этот вопрос мы тоже отвечаем утвердительно, но с поправкой на некоторые условия, которые необходимо строго соблюдать. Прежде всего, нужно использовать тонкий клиент с Wyse ThinOS – это вопрос безопасности и удобства управления. Рабочее место на такой основе просто физически не позволит никому сделать ничего из того, что не предусмотрено администратором. А требуется от него только одно: подключиться по VPN и запустить сеанс удалённой связи с офисным ПК. При таком подходе отпадает необходимость установки Horizon Agent или агента другого VDI на офисном ПК. Следующее условие – осуществлять управление всем этим через Wyse Management Suite Cloud.
Почему мы не предлагаем тонкие клиенты на Windows? Потому что VPN – это открытие очень большого канала внутрь предприятия. При таком уровне риска на стороне пользователя, с нашей точки зрения, должно быть максимально безопасное устройство, которое не позволит сделать ничего лишнего.
Для подключения предлагаются всего два протокола, потому что именно их можно использовать напрямую с офисными ПК без задействования инфраструктуры VDI: это RDP / Remote FX и PCoIP.
Говоря об управлении, важно подчеркнуть, что Wyse Management Suite существует как в бесплатной, так и в платной версиях. Бесплатная может быть развёрнута только на ваших серверах. Поскольку задача, которую мы решаем в рамках ответа на поставленный вопрос, сводится к минимуму действий при максимуме безопасности. А в рамках бесплатного варианта проблемы, которые отнимут много времени у ваших сотрудников службы информационной безопасности, неизбежны. Однако у нас есть также и облачное решение Wyse Management Suite Cloud, которое работает достаточно давно – сейчас с его помощью управляется более миллиона рабочих мест.
Его нельзя купить напрямую, но вместе с платной версией Wyse Management Suite Pro вы получаете Cloud бесплатно. Лицензии выдаются в том же личном кабинете, который используется для управления устройствами. Для отработки конфигурации можно использовать WMS, развёрнутый внутри сети, а потом просто перенести эту конфигурацию тонких клиентов в облако.
Важное преимущество Wyse Management Suite Pro и Cloud в сочетании с тонкими клиентами Dell Technologies – это не только возможность управления самой ОС, приложениями и настройками, но и управление BIOS. Таким образом, полностью исключается внешний доступ к ПК такими способами как загрузка с внешнего устройства или изменение административных ролей.
Вот так выглядит браузерная консоль управления. В случае с WMS Pro и Cloud для удобства администраторов можно также развернуть мобильное приложение.
И, пожалуй, это всё, что мы хотели рассказать сегодня. Если у вас есть какие-то вопросы по теме, то постараемся ответить в комментариях. А если вдруг после прочтения материала у вас возникло желание попробовать или реализовать у себя какие-то из описанных решений, то ждём вас в личных сообщениях – оперативно соединим с ответственными людьми, и они всё организуют. Спасибо за внимание!