О Малом и Среднем... Торговые сети

Вдохновленные реакцией читателей на предыдущий пост об ИТ-инфраструктуре HR-агентства мы решили продолжить тему "О Малом и Среднем..." описанием инфраструктуры абстрактной "Торговой сети". По большому счету нет серьезных отличий между ИТ-инфраструктурами сети аптек, сети салонов косметики, сети товаров повседневного спроса, алкогольных салонов или сети магазинов автозапчастей. Не спорим, есть нюансы, но на данном уровне абстракции эти отличия непринципиальны.
Главное понятие, объединяющее все эти разновидности бизнеса - "Сеть", т.е. группа взаимосвязанных территориально удаленных торговых точек, что в свою очередь, с точки зрения ИТ-инфраструктуры декомпозируется в "телекоммуникационную сеть", образующую основу инфраструктуры этой модели бизнеса.
Для простоты, понимая, что Малому и Среднему бизнесу проблематично поддержать другие архитектуры, мы будем рассматривать только централизованную сетевую архитектуру где все каналы связи сводятся в единый центр, так называемый Головной Офис. Также мы немного затронем вариант когда все внешние, по отношению к Головному офису, магазины и офисы соединены еще и между собой, образуя кольцевые маршруты для резервирования каналов связи. Но давайте все по порядку, сначала максимально просто опишем объекты инфраструктуры. В этот раз мы немного изменим группировки объектов инфраструктуры, чтобы точнее соответствовать разным видам "Торговых сетей" и легче было воспринимать материал.

Торговая сеть(ИТ-инфраструктура)

1. Ядро - глобальный объект инфраструктуры объединяющий основные финансовые, учетные и управленческие системы бизнеса состоящий из:
1.1  ERP - часть ядра, обеспечивающая операционный и складской учет, взаимодействие с контрагентами, логистику и т.д.
1.2 Бухгалтерия - часть ядра реализующая финансовый, налоговый учет и процессы финансового управления, кадровый учет и отчетность

1.3 Контроль - часть ядра реализующая функции взаимодействия согласно требованиям регуляторов, фискализацию, эквайринг и т.п. в соответствии с конкретным видом деятельности  

2. Сеть - объект инфраструктуры обеспечивающий обмен информации, в соответствии с бизнес-процессами состоящий из трех глобальных групп:
2.1 Сеть интернет -
2.1.1 Доступ сотрудников к ресурсам сети интернет, В2В взаимодействие, веб-сайт и электронная коммерция
2.1.2 Электронная почта, удаленный доступ для мобильных сотрудников
2.1.3 Взаимодействие с регуляторами и контролирующими органами

2.2 Внутренняя сеть -
2.2.1 Сегментированная сеть обеспечивающая контролируемый доступ сотрудников к системам "Ядра" инфраструктуры
2.2.2 Внутренние ресурсы хранения и обработки информации, корпоративная почта, документооборот
2.2.3 Виртуальные частные сети обеспечивающие контролируемый доступ из Внешней сети к ресурсам Внутренней сети и к системам "Ядра"

2.3 Внешняя сеть -
2.3.1 Внутренние сети магазинов и удаленных офисов, являющиеся внешние по отношению к Головному офису
2.3.2 Технологические сервисы, IP-телефония, видеоконференции используемые для взаимодействия с Головным офисом
2.3.3 Внешние сервисы требующие для своей работы доступ из внутренней сети(веб-сайт, В2В и электронная коммерция)

3. Разное - глобальный объект инфраструктуры объединяющий сопутствующие информационные системы и рабочие места, непосредственно не участвующие в бизнес-процессах, но влияющие на внутренние организационные процессы. Например системы видео-наблюдения, телефонии, контроля доступа, охранные системы, трекеры  автоперевозки и т.п.

Довольно нетипичное описание сети связано с желанием сократить описательную часть и вывести на один уровень абстракции ИТ и информационную безопасность, совместив в описании схему эшелонированной защиты информации, построенной таким образом, чтобы любой маршрут информации из внешней сети магазинов в Головной офис и обратно сопровождался 2-3 переходами с анализом и фильтрацией трафика.

- Что Проект Collax.ME может предложить?

Как и в случае с HR-агентством, в части "Ядра" Проект Collax.ME может помочь в организации технологий непрерывности и бесперебойности, разместив бизнес приложения в виде виртуальных машин в отказоустойчивый, высокодоступный кластер виртуализации Collax V-Cube+. Однако в случае с Торговой сетью экономия на уровне первоначальных затрат может исчисляться пятизначными цифрами в валюте, только за счет сокращения количества физических серверов на которых должны быть размещены приложения "Ядра" и их резервные копии.
 
И вот теперь самое интересное, с нашей точки зрения - "Сеть"!
Для Торговых сетей объект ИТ-инфраструктуры "Сеть" один из самых важных. Не имеет смысла надежность и работоспособность приложений "Ядра" если по какой либо причине территориально удаленный магазин не может соединиться с "Ядром" в Головном офисе. Причин может быть множество, и не все они зависят от владельцев Малого или Среднего бизнеса, например банальное отключение электроэнергии в результате природных явлений, пожаров или наводнений. Но совершенно непростительна, на наш взгляд, ситуация когда в самый пик посещаемости магазина перестают работать кассы из-за отсутствия связи с Головным офисом или, что особенно обидно, кассы перестают принимать безналичную оплату. Мы в курсе про асинхронную передачу и в курсе про off-line режим работы, но так как речь идет об абстрактной модели Торговой сети, то мы вынуждены анализировать только online вариант ибо его статистически больше применяют современные Торговые сети. Конечно же можно построить территориально распределенную сеть на базе оборудования известных брендов со своей AS(автономной системой) и динамическими маршрутами, проложить "серую" оптику и т.д. Да, мы и сами так делали :) Но это бюджет совсем не Малого и Среднего бизнеса. По секрету, только никому не говорите: - даже торговые сети сотовых операторов не всегда строятся по Enterprise стандартам.


Рассмотрим минималистическую модель Торговой сети, когда Головной Офис и Магазин1 находятся в одном помещении, а Магазин2 территориально удален. Если сравнивать предыдущий рисунок, то в глаза сразу бросается оранжевая "Внешняя сеть" перекочевавшая в облако "Внутренней сети". Как мы писали выше, необходимо думать об информационной безопасности и соответственно необходимо обеспечить эшелонирование защиты, что в случае с объединенным Головным офисом и Магазином1 придется реализовать на одной площадке.

Для начала нам нужно понять как обеспечить резервирование каналов интернет, которые будут использованы для связи с Магазином 2. Простая вроде бы задача для крупной компании:

покупай пару хороших, уровня предприятия, брендовых маршрутизаторов поддерживающих Active-Active режим высокодоступности(HA) в Головной офис и еще пару midle-класса для Магазина 2. Только никак не вяжутся затраты на оборудование для маршрутизации доступа в интернет в 30-50 тысяч долларов с понятием Малый и Средний бизнес. Хотя можно воспользоваться UTM(унифицированное управление угрозами) решениями известных брендов, что сократит затраты примерно в половину, но потребует дальнейшего развития инфраструктуры в межсегментной части Внешний и Внутренней сетей, в том числе и на проприетарном программном обеспечении,  что в итоге нивелируется совокупной стоимостью решения. Мы знаем об использовании  UTM известного бренда в Крупной Торговой сети федерального уровня(около 2000 торговых точек) и знаем об использовании бесплатной домашней версии UTM известного бренда в крупной Торговой сети с сотней магазинов - во всех случаях ни о надежности, ни о высокодоступности или низкой стоимости технического сопровождения говорить не приходится.

Возвращаясь к теме резервирования каналов интернет, Проект Collax.ME реализует эту задачу простым и элегантным образом. Благодаря

Collax GmbH разрабатывающей свои решения со свойственной немецкой скрупулезностью, скоростные параметры переключения сетевых интерфейсов в продуктах Collax находятся на уровне аппаратных маршрутизаторов известных брендов. Балансировка и агрегация сетевых интерфейсов, виртуализация сетевых функций - одно из сильных наших мест, а глубокая интеграция с механизмами управления идентификацией, ролевыми схемами управления правами доступа и групповыми сетевыми политиками позволяет построить весь объект "Сеть" ИТ-инфраструктуры только на продуктах Collax. Собственно настройка каналов интернет и всю функциональность объекта "Интернет" реализуется с помощью Collax Security Gateway

Объект инфраструктуры "Внутренняя сеть" реализуется с помощью Collax Business Server, обеспечивая весь необходимый функционал от регистрации и управления учетными данными пользователей до резервного копирования и восстановления. Доступ к объекту "Интернет" из объекта "Внутренняя сеть" происходить на основании групповых политик, сетевых политик с фильтрацией трафика Матричным межсетевым экраном- простым и наглядным решением

визуализации правил фильтрации. "Внешняя сеть" в Головном офисе реализуется на уровне физического сегментирования и опять же терминируется Матричным межсетевым экраном и наследуемыми политиками.  Обратите внимание, что мы создаем систему фильтрации трафика в объекте "Интернет", в объекте "Внутренняя сеть" и в объекте "Внешняя сеть", тем самым реализуя разные уровни, эшелонирование, защиты информации. Закончив в Головном офисе переходим в территориально удаленный Магазин2, где нам также нужно организовать сеть "Интернет" с резервированием каналов связи и построить "Внешнюю сеть" из которой через сеть "Интернет" с помощью частных виртуальных сетей(VPN) нужно настроить доступ к объекту "Внутренняя сеть" Головного офиса. Все это также как в Головном офисе реализуется с помощью Collax Security Gateway и не вызывает сложностей. Частные виртуальные сети настраиваются исходя из описания

объектов и состоят из четырех каналов которые отражают потоки информации в разрезе объектов инфраструктуры. Естественно в каждом канале может быть не одна частная виртуальная сеть. Хорошей практикой считается создание частной виртуальной сети под каждое приложение требующее удаленного доступа, агрегация или логическая группировка в каналы реализуется по мере необходимости. Однако нужно помнить, что частные виртуальные сети используют криптографию и сильно нагружают процессор, снижая общую производительность системы.

По мере роста предприятия, открытия новых Магазинов, складов или офисов и развития коммуникаций в Головном офисе, можно ничего не меняя подключить Магазины между собой в так называемое кольцо, добавив еще один уровень резервирования маршрутов связи.

Подводя итог: Минимальная торговая сеть в нашей реализации состоит из кластера виртуализации  Collax V-Cube+ для приложений "Ядра", из Collax Business Server формирующего пользовательское пространство во внутренней сети и из двух Collax Security Gateway один из которых установлен в Головном офисе, а второй в Магазине2. 

Стоимость? :) 

Нужно отметить, что все решения Collax изначально разработаны для массового удаленного администрирования, значительно снижающее временные и ресурсные затраты на обслуживание, мониторинг и сопровождение. Встроенный Nagios, специально разработанный Spotlight, совершенная система управления конфигурациями, а решение для анализа и отчетности на базе ELK-стека позволяет формировать необходимую управленческую и техническую отчетность.

О Малом и Среднем... HR-агентство

Буквально за несколько дней до Нового 2018 Года у меня состоялся телефонный разговор с руководителем HR-агентства, как я понимаю, специализирующегося на ИТ. После короткого представления и общих слов о Проекте Collax.ME мне был задан прямой вопрос:

- Вот я - Малый бизнес, 
- Что ваш Проект может мне предложить? 

Вопрос правильный, но он был для меня неожиданным и я не сразу нашелся, что сказать, став рассказывать об отказоустойчивом высокодоступном кластере, подсознательно понимая, что именно это и именно этому "Малому бизнесу" неинтересно.
Новогодние каникулы очень кстати дали время и возможность обсудить с коллегами этот "неожиданный вопрос", заодно сформировав четкую картину потребителя, о чем я собственно и хочу написать в этом блоге.

HR-агентство

Давайте разберем на объекты абстрактное HR-агентство с точки зрения ИТ- инфраструктуры. 

1. Главным объектом инфраструктуры является специализированная программа, назовем ее HR-core. В программе хранится информация о вакансиях и кандидатах, контакты, ссылки на резюме и информация о клиентах, собственно фактически бизнес-ядро. Таких программ много на рынке, включая Open Source и облачные сервисы, да и MS Exel на первом этапе развития Малого бизнеса вполне справляется.

2. Не менее важная программа в HR-агентстве в котором более 1-го сотрудника - бухгалтерия(учет, налоги, отчетность). Назовем ее HR-Acc. Опять же таких программ много, включая облачные и банковские сервисы. 

3. Доступ в интернет - совокупность административных(договоры) и технических(роутер, свитч, межсетевой экран, и тп) средств для обеспечения основных бизнес-процессов. HR-агентство, в виду особенностей бизнеса, зависит от доступа к сети интернет.

4. Электронная почта - совокупность административных и технических средств для обеспечения основных бизнес-процессов HR-агентства. Может быть как стационарная так и в виде облачного сервиса. 

5. Телефонная связь - совокупность административных и технических средств для обеспечения основных бизнес-процессов HR-агентства. Может быть как стационарная, мобильная, в виде облачного сервиса или все виды сразу.

6. Видеоконференция - совокупность административных и технических средств для обеспечения основных бизнес-процессов HR-агентства. Как правило это Skype, видео-чаты социальных сетей и публичные мессенджеры с поддержкой видео-вызова. За свою ИТ-карьеру ни разу не доводилось общаться с HR-агентством через частные системы видеоконференций, только публичные a la Skype, а ведь в процессе видео-интервью мы обсуждаем информацию подлежащую защите и за разглашение которой предусмотрено не только административное наказание. 

7. Внутренняя сеть - совокупность технических средств обеспечивающих печать, обмен(включая внешний), хранение, резервное копирование и восстановление внутренней информации бизнеса. Критичность этого объекта зависит от зрелости самого бизнеса, например информацию можно передать или распечатать с помощью флеш-носителя, а вот резервное копирование и восстановление требует более серьезных решений.

8. Внешняя сеть - исключительно для соблюдения приличий добавил этот объект, ибо в нашем случае его наличие или отсутствие ни на что не влияет. Тут может быть веб-сайт с формой обратной связи, домен для электронной почты или пользовательский портал для доступа удаленных сотрудников ко внутренним ресурсам HR-агентства.  

Нужно отметить, что "Доступ в интернет" является бизнес-критическим объектом для HR-агентства, так как пункты 4-6 напрямую связанные с бизнес-процессами HR-агентства и без доступа к сети интернет функционирование HR-агентства крайне затруднительно, а в случае если объекты HR-core и HR-Acc арендованы как сервис в облаках, то и невозможно.

Теперь попробуем ответить на вопрос поставленный в начале поста :)

- Что ваш Проект может мне предложить?

Ответ "-Всю ИТ-инфраструктуру!" мало кого устроит, но он наиболее верный :)

Решения Collax имеют модульную архитектуру, в основе которой лежит  Collax Platform Server, а подключаемые компоненты создают готовые решения в виде Collax Groupware Suite или Collax Business Server. Описанная выше объекты инфраструктуры HR-агентства могут быт реализованы как единый сервер, аппаратный или виртуальный, или разнесены на разные сервера. 

Но давайте по порядку...

Бизнес-приложения в случае с HR-агентством это объект 1. HR-core и объект 2. HR-Acc. Тут Проект Collax.ME может помочь только в организации технологий непрерывности и бесперебойности, разместив эти приложения в виде виртуальных машин в отказоустойчивый, высокодоступный кластер виртуализации Collax V-Cube+. Однако мы все понимаем, что Малый бизнес морально не готов инвестировать в непрерывность, по крайней мере до первой потери данных или суточного простоя, а вот Средний бизнес задумывается о непрерывности значительно чаще и останавливает его только цена решения, что в случае с Collax явное преимущество.

Объект 3.Доступ в интернет - компоненты Collax Security Gateway полностью покрывают потребность бизнеса любого размера. Резервирование и балансировка нескольких каналов интернет, фильтрация веб-трафика, антивирусная и анти-спам защита, межсетевое экранирование и детектирование вторжений, доступ из вне к внутренним ресурсам и межфилиальные/межофисные частные сети, и многое из того, что применяется в крупных корпоративных системах. 

Объект 4.Электронная почта - реализуется на основе Collax Groupware Suite, который в свою очередь построен на проекте Kopano, являющимся одним из лучших отрытых альтернатив MS Exchange Server. Функций Collax Groupware Suite настолько много, что нет смысла все перечислять. Достаточно будет упомянуть функциональность MDM(Mobile Device Management) и юридически значимый архив электронной почты.   

Объект 5.Телефонная сеть - конечно же Collax не может заменить сотовую связь :), но обеспечить внутреннюю цифровую телефонию и взаимодействие с внешним SIP провайдером -возможно. Компоненты популярной системы Asterisk встроены в Collax Platform Server.

Объект 6. Видеоконференция - как часть функций  Collax Groupware Suite и входящего в его состав Kopano. Возможность приглашать на видио-конференцию внешних участников без установки на их стороне дополнительного программного обеспечения(только браузер) - это дорогое удовольствие, ставшее доступным Малому и тем более Среднему бизнесу.

Объекты 7. и 8. Внутренняя и Внешняя сеть - компоненты Collax Business Server изначально спроектированы для решения задач описанных этими объектами. Встроенные системы резервного копирования и восстановления, файловое хранилище для Apple и Windows, сервер печати, контроль доступа с групповыми политиками, эмуляция или интеграция в MS Active Directory, поддержка домена(FDN) и основных интернет-протоколов, антивирусная защита, веб-сервер, база данных и многое другое.

И самое главное - Проект Collax.ME обеспечивает расширенную поддержку всех своих решений, и Малому или Среднему бизнесу не придется искать и нанимать на работу системных администраторов для обслуживания своей инфраструктуры - все в рамках контракта сопровождения Collax.ME.

Update 17.01.2018
После публикации статьи стали поступать вопросы о стоимости. Поймите меня правильно, не зная ничего о вашей инфраструктуре и потребности в ее развитии невозможно рассчитать точную стоимость. Для примерного понимания порядка цен: стоимость лицензии на 1 год  Collax Groupware Suite на 10 пользователей плюс годовое сопровождение с реакцией в 48 часов адекватно одному месяцу заработной платы вменяемого системного администратора. А высокодоступный, отказоустойчивый кластер виртуализации дешевле в 5-8 раз в сравнении с решением на VMware.  Наш прайс-лист полностью соответствует прайс-листу Collax GmbH.