2021年5月24日 星期一

[套件分享] 企業遠距作業解決方案架構圖

 



在去年 (2020) 疫情剛起的時候,我曾經寫過一篇遠距作業的軟體使用建議參考。這次我將今年 (2021) 所用到的軟體與架構搭配繪製成圖,並加以描述其用法與特性。





架構說明

我依據今年遠距作業需求最常使用的相關軟體繪製成圖,點選可以放大閱覽。


遠距作業軟體示意圖


加密通道

當公司成員開始在家遠距作業時,如何方便又能安全的讓員工連入使用,就是一個非常重要的課題。

除了使用防火牆所提供的 VPN 功能之外,採用開源的 pfSense 建置 OpenVPN 伺服器,可以彈性且無限制的擴展使用人數而且容易備份,還可以避免在企業原有防火牆上啟用 VPN 功能對防火牆造成的巨大效能負擔。

OpenVPN 所提供的 OpenVPN Connect 客戶端程式,不僅簡單好用而且跨平台,在桌機 Windows、Linux、macOS 與手機 Android、iOS 都有對應版本可以安裝。

若企業內有 AD/LDAP 伺服器,可以將 pfSense 接上 AD/LDAP 驗證,讓使用者登入 VPN 時可以更加方便。





郵件協作平台與郵件閘道

在商務往來需要倚賴電子郵件的今日,遠距作業之後更是不可或缺的重要服務,包括廠商與客戶往來的記錄與訂單等,都是以電子郵件為主要的正式管道。

採用 Zimbra 可以提供功能豐富的 Web Mail 界面,在遠距作業時依然可以容易處理郵件事務,不需要把所有信件全部收回個人電腦裡,降低流量與容量的需求。同時它也具有連絡人、行事曆、工作等功能,可以將商務作業安排的妥妥當當。

既然郵件服務這麼重要,那麼應該在郵件伺服器之前增加郵件閘道,除了保護郵件伺服器以阻擋海量垃圾信與病毒信之外,更重要的是將前端郵件處理的作業分擔出去,讓郵件伺服器可以更專心的服務員工所需要使用的重要事務。





網路硬碟與文件協作

當企業員工不進辦公室作業後,卻仍然有檔案與文件需要交換的需求,該怎麼在無法連線至企業內部檔案伺服器的情況下,繼續取用與交換重要檔案呢?直接開放內部的檔案伺服器 CIFS 445 Port 肯定是完全不切實際的幻想。

經由 Nextcloud 所提供的純網頁式網路硬碟功能,員工可以方便的在外網存取所需檔案,再經由 TOTP 雙因素驗證機制提升安全性;若要直接介接原有檔案伺服器,它也可以搭配「外部儲存」的功能將 Windows File Server 或 NAS Server 掛接進來,並且使用原有的權限進行存取。

對於文書軟體類型的檔案,若要使用者每次編輯都要先下載到電腦,編輯完成後再上傳回去 Nextcloud 肯定會讓使用者受不了。對於這種編輯需求,只要將 Nextcloud 搭配 OxOffice Online 後即可提供線上編輯文件的能力,不僅支援 Office 格式,還可以提供多人即時協作的能力,用在遠距作業且需要團隊文件協作的時候非常方便。





團隊溝通與視訊會議

平常在辦公室內工作時,要團隊開會可以很方便的找到相關人員進會議室討論,但遠距作業時可就沒這麼容易了。

建置自己的 Jitsi Meet 伺服器,可以擁有自己的視訊會議系統,面對面的溝通討論以及螢幕共享、影片同步播放的功能,還可以啟用會議錄影功能,讓企業的重要討論知識保存在自己公司的伺服器上,不用擔心存在它人主機上可能會有資料外洩的問題。

至於其它不需要語音與視訊討論的事務,採用 Zulip 作為團隊溝通平台,可以依據需求建立頻道進行事務討論與留下記錄,也可以容易傳輸檔案、針對題目回覆為討論串等,會比使用 LINE 討論公事來的更好,而且 Zulip 可以跟 Jitsi Meet 整合,當在 Zulip 中討論到需要面對面討論時,可以立即啟動 Jitsi Meet 的視訊會議。

除了 Zulip 之外,Mattermost、Rocket.Chat 也都是功能完整且成熟的同類型方案。





桌面閘道

有些作業沒有辦法在家裡進行的,但公司電腦也不方便搬回家使用,該如何解決?遠端搖控的各種方案如 Teamviewer、Anydesk 或是 Remote Desktop 等等,都會讓人對資安產生些許疑慮。

Apache 旗下的專案 Guacamole 可以協助我們解決這個難題,由它建立起一個閘道器,把公司裡的電腦、伺服器等等設定進來,可以使用 RDP、VNC 等協定與這些電腦接取。接著 Guacamole 提供了一個網頁式的平台,建立好帳戶以及他們所能使用的電腦,員工只要在家中以瀏覽器連上平台,登入帳號密碼以及 TOTP 雙因素驗證後,即可在平台上看到他們可以操作的電腦,並且直接使用,不需要安裝任何外掛軟體或應用程式。

更棒的是,它也能支援剪貼簿共用與檔案傳輸,由管理員決定是否給予權限;而操作的過程也可以由管理員啟用錄影功能,使用過程都可以留下記錄供做日後查證使用。

如果擔心直接把 Guacamole 讓使用者可以在家中連上有點危險,那麼可以把他擺在 VPN 後面,使用者需要先能夠連上 VPN,才能進來 Guacamole 平台。





系統監測

正因為大家都遠距作業了,沒有人在辦公室的機房更需要有自動化的監測系統幫 IT 人員看著系統,收集各種效能與系統狀況,以供 IT 人員判斷問題與處理依據。

在系統監測中最為重要的一件事,就是能否自動發出警報,越完善的資訊與越早發出的警報,可以讓管理者在問題尚未發生或惡化之前,就可以依據完整的內容做出適當的處置,將系統問題在剛發生時就讓它消弭於無形之中,LibreNMS 可以搭配簡訊、郵件、Telegram、LINE、Teams
、Slack 等等方式發送警報。





帳號管理

當企業越來越大,員工與系統越來越多的情況下,如果沒有一個中央的認證機制,IT 人員將會工作負擔大增,員工需要記住的密碼也會不斷增長,因此大都會開始導入 AD 或 LDAP 的中央認證系統。

UCS 是一個可以同時兼具 AD 與 LDAP 伺服器能力的神奇專案,可以將 Windows 加入 UCS 所建立的網域並可以使用群組原則進行管理,也可以做為 LDAP 伺服器將所有支援 LDAP 驗證的系統全部接過來,例如前面提到的 pfSense、Nextcloud、Zimbra、Zulip、Guacamole...等,方便集中管理帳號的可用性以及能夠登入的應用系統,而且具備良好的 WebUI 管理界面,讓管理者降低操作負擔。

由於 UCS 建基於 Linux 作業系統,所用到的兩大主要套件 Samba 與 OpenLDAP 都是開源專案,對於企業而言省下的授權費效益非常巨大。





虛擬化管理平台與備份伺服器

這些企業所需的遠距作業相關應用系統可以放到虛擬化平台上方便管理,而 Proxmox VE 這一款開源且功能完整的方案就是相當理想的選擇之一。

Proxmox VE 除了不太挑硬體且穩定,還內建了虛擬機、容器、叢集、高可用、快照、備份、複寫...等等豐富的功能,用來承載這些服務是再適合不過了。

搭配 Proxmox BS 做為備份伺服器,可以跟 Proxmox VE 無縫整合的再提供差異備份、加密備份、拉取備份、單一檔案還原、資料壓縮、重複資料刪除、備份驗證等等功能,確保這些重要的服務系統得到快速且紮實的備份保存,足以應付現今的各種潛在威脅,讓 IT 人員即便在家辦公仍然能高枕無憂。











補充說明

昨天 (5/24) 文章發出以後不少朋友詢問這張架構圖用什麼軟體繪製的,說明如下:




繪圖軟體


這款繪圖軟體名為 Drawio-desktop,可參考我之前撰寫過的文章。
Drawio-desktop






搭配圖示


圖表中所用的圖示是我之前在圖庫網站購買的,名為 750 Simple Line Icon x2 由 Just Icon 團隊所繪製。價格其實不貴,有需要用到的話可以購買支持,下方提供購買收據以及價格供參。

圖示購買收據與價格





如果喜歡這個 Simple Line Icon 但沒有需要用到全套內容的,作者也佛心的釋出了 50 個圖示供免費下載使用:



Simple Line Icon 免費圖示









發佈:
標籤: , , , , , , , , , , , , ,