Koncem roku 2019 jsme začali experimentovat s plně vzdálenou prací pro část týmu. Netušili jsme, jak moc se nám tato investice vrátí. Zde jsou naše zkušenosti s budováním remote-first infrastruktury.
Proč remote work před pandemií?¶
Důvod byl prozaický — chtěli jsme přilákat talenty mimo Prahu. Senior Java vývojář v Brně nechtěl dojíždět, ale byl to přesně ten člověk, kterého jsme potřebovali. Tak jsme začali budovat infrastrukturu, která umožní plnohodnotnou práci odkudkoli.
Naše výchozí situace nebyla ideální. Většina interních systémů běžela on-premise, VPN byla dimenzovaná na 10 současných připojení, a firemní kultura počítala s tím, že všichni sedí v kanceláři. Změna musela být technická i kulturní.
VPN — nutné minimum, ne řešení¶
Z OpenVPN na jednom serveru jsme přešli na WireGuard s redundancí. WireGuard je rychlejší, jednodušší na konfiguraci a má výrazně nižší latenci. Pro vývojáře, kteří potřebují přistupovat k interním Git repozitářům a CI/CD pipeline, to byl game changer.
Ale VPN je jen tunel. Nezajišťuje, že uživatel na druhé straně je ten, za koho se vydává. Nezajišťuje, že jeho zařízení je bezpečné. Proto jsme začali zkoumat alternativy — o Zero Trust přístupu budeme psát v dalším článku.
Virtual Desktop Infrastructure¶
Pro přístup k citlivým datům klientů jsme nasadili Apache Guacamole jako clientless remote desktop gateway. Vývojář se připojí přes prohlížeč k virtuálnímu desktopu, kde má vše potřebné. Data nikdy neopustí datacentrum.
VDI má nevýhody — latence při psaní kódu, IDE se chová jinak než lokálně, potřebujete dost výkonu na serveru. Ale pro compliance-heavy projekty (banky, pojišťovny) je to často jediná akceptovatelná varianta.
Cloudové nástroje místo on-premise¶
Paralelně jsme migrovali nástroje do cloudu:
- GitLab — z self-hosted na GitLab.com (SaaS)
- Jira + Confluence — migrace na Atlassian Cloud
- Slack — nahradil interní XMPP server
- Google Workspace — dokumenty, kalendáře, meet
Výsledek: žádný nástroj nevyžaduje VPN, vše běží v prohlížeči, a správa je jednodušší.
Bezpečnost a kulturní změna¶
S remote work přichází nové výzvy. Zavedli jsme MFA všude, device management, segmentaci sítě a audit logy. Překvapivě nejtěžší část nebyla technologie, ale lidé. Manažeři museli přejít na outcome-based management — žádné rozhodnutí u kávovaru, vše v písemné formě.
Klíčové pravidlo: co není v písemné formě, neexistuje. Každý meeting má zápis v Confluence. Každý task je v Jiře. Je to víc práce, ale zajistí to, že remote kolegové mají stejné informace.
Investice, která se vyplatila¶
Remote work infrastruktura není jen VPN a laptop. Je to celý ekosystém nástrojů, procesů a kultury. Investovali jsme do ní měsíce práce — a brzy se ukáže, jak moc prozíravá ta investice byla.