從這周的周一開始，Stack Overflow公司開始100%遠(yuǎn)程辦公，這意味著我們所有的員工現(xiàn)在都在家工作。我們收集了來自員工的關(guān)于如何使遠(yuǎn)程工作高效、愉快和可持續(xù)的建議。

在軟件行業(yè)中，實(shí)現(xiàn)健壯遠(yuǎn)程工作的關(guān)鍵工具之一是良好的虛擬專用網(wǎng)絡(luò)——簡稱vpn。通常，當(dāng)你在辦公室之外工作時(shí)，從你的計(jì)算機(jī)發(fā)送的數(shù)據(jù)與來自消費(fèi)者服務(wù)(如視頻流平臺(tái)、在線游戲或購物網(wǎng)站)的數(shù)據(jù)通過相同的公共網(wǎng)絡(luò)傳輸。VPN創(chuàng)建了所謂的隧道:在您的設(shè)備和工作網(wǎng)絡(luò)之間的加密鏈接，允許您的數(shù)據(jù)以一種安全的方式移動(dòng)，就像您在辦公室使用有線連接一樣。

由于目前COVID-19造成的健康危機(jī)，許多國家和公司都要求人們?cè)诩夜ぷ?。這使得每天遠(yuǎn)程工作的員工數(shù)量突然大幅增加。對(duì)于許多公司來說，他們的VPN基礎(chǔ)設(shè)施并不是為了處理遠(yuǎn)程工作的整個(gè)組織而構(gòu)建的，因此快速擴(kuò)展的需求可能具有挑戰(zhàn)性。因此，我們與Stack Overflow上構(gòu)建我們VPN網(wǎng)絡(luò)的一些技術(shù)專家坐下來，就需要避免的缺陷和需要遵循的最佳實(shí)踐征求他們的意見。

“這些年來，我們使用了許多供應(yīng)商的VPN系統(tǒng)，”Brian Artschwager說，他是負(fù)責(zé)Stack Overflow網(wǎng)絡(luò)工作的內(nèi)部支持工程師?！拔覀兘?jīng)常遇到的一件事就是可靠性問題。開發(fā)人員將上傳一個(gè)大文件，連接會(huì)中斷，他們將不得不重新開始?！?/span>

為什么我們選擇開源

2019年Stack Overflow切換到OpenVPN，這是一個(gè)用C編寫的開源系統(tǒng)，最初由James Yohan編寫，并于2001年發(fā)布。Artschwager說:“很多人，尤其是IT行業(yè)以外的人，在談到開源的時(shí)候有時(shí)仍然會(huì)猶豫，因?yàn)樗麄冋J(rèn)為開源可能不太安全?！薄暗?dāng)一個(gè)項(xiàng)目有著悠久的歷史，并且有一大群人積極地為其做出貢獻(xiàn)時(shí)，現(xiàn)實(shí)情況是，它很可能是可用的最健壯和最新的軟件。”

有許多特性使OpenVPN成為我們的首選。自從切換后，斷開連接的情況變得非常少見。該服務(wù)適用于各種操作系統(tǒng)和設(shè)備類型。堆棧溢出的關(guān)鍵在于，它是SOC2兼容的，提供了雙因素身份驗(yàn)證，因此在處理企業(yè)級(jí)客戶端的工作時(shí)被批準(zhǔn)使用。

不要把工作和娛樂混為一談

如果您的公司即將建立第一個(gè)VPN，或者需要大幅增加使用VPN的用戶數(shù)量，Artschwager建議采用“分裂隧道”的方法。當(dāng)使用VPN時(shí)，用戶的數(shù)據(jù)似乎來自一個(gè)特定的、預(yù)先設(shè)置的IP地址。這就是為什么vpn有時(shí)被用來避免對(duì)互聯(lián)網(wǎng)流量的地域限制。使用VPN的用戶可以與服務(wù)器通信，并使其看起來好像他們位于該VPN服務(wù)器所在的任何地區(qū)或國家。

“我們?cè)谄渌麌液推渌萦虚_發(fā)人員，他們直接連接到我們的數(shù)據(jù)中心。用戶計(jì)算機(jī)上的軟件獲得一個(gè)位于同一網(wǎng)絡(luò)或子網(wǎng)中的內(nèi)部IP地址，就好像它是物理網(wǎng)絡(luò)上的一個(gè)客戶端一樣，”Artschwager說?！澳闵傻乃淼缹?shí)際上是封裝和加密的。你的流量看起來像一個(gè)巨大的加密數(shù)據(jù)流，但在連接的另一端，你就像直接連接了一樣。”

使用分割隧道方法，只有敏感的、與工作相關(guān)的數(shù)據(jù)通過安全VPN隧道發(fā)送到您的工作網(wǎng)絡(luò)。如果你在家看YouTube上的貓視頻，這些數(shù)據(jù)將通過普通網(wǎng)絡(luò)傳輸。這可以顯著減少您工作的VPN服務(wù)器和系統(tǒng)的負(fù)載，確保一切都能以最小的延遲保持正常運(yùn)行?！拔抑牢覀冇虚_發(fā)人員有千兆互聯(lián)網(wǎng)連接。我們不希望他們所有的流量都流向數(shù)據(jù)中心，因?yàn)檫@與我們無關(guān)，而且只會(huì)占用互聯(lián)網(wǎng)電路的帶寬。我們有數(shù)百名員工，他們?cè)诓煌牡攸c(diǎn)使用5臺(tái)VPN服務(wù)器，幾乎看不到任何流量，因?yàn)橥ㄟ^連接的流量只有流向我們內(nèi)部系統(tǒng)的流量?！?/span>

為你的系統(tǒng)增加額外的容量

一年來，Artschwager和他的同事們發(fā)現(xiàn)，無論是硬件約束還是許可約束，都有一個(gè)隱含的限制，即有多少人可以連接到同一個(gè)VPN。OpenVPN為我們提供了數(shù)千個(gè)連接和千兆字節(jié)的流量。

我們的確需要為OpenVPN購買“并發(fā)連接設(shè)備”許可證，但幸運(yùn)的是，我們購買的用戶數(shù)量是現(xiàn)有用戶數(shù)量的兩倍。這意味著遠(yuǎn)程辦公的人們現(xiàn)在可以選擇使用筆記本電腦、平板電腦和手機(jī)。“我正在閱讀reddit的/r/sysadmin/ subreddit，看看我的同齡人組里的對(duì)話。人們都在談?wù)撍麄內(nèi)绾尾淮_定他們將如何把一千人完全隔離。他們的VPN只能同時(shí)支持幾百人，因?yàn)樗菫檫h(yuǎn)程銷售人員(例如，他們參加會(huì)議的人員)構(gòu)建的。到目前為止，我們還沒有遇到這個(gè)問題，因?yàn)槲覀優(yōu)楫?dāng)時(shí)的兩倍多的人做了說明。”

避免途經(jīng)當(dāng)?shù)氐霓k公室

我們的大多數(shù)VPN端點(diǎn)實(shí)際上位于數(shù)據(jù)中心，而不是區(qū)域辦公室，這就為我們的員工騰出了帶寬。“我們的數(shù)據(jù)中心可以訪問非常高的帶寬連接。相比之下，小型區(qū)域辦公室或在共同辦公空間工作的人可能會(huì)與數(shù)十名員工甚至其他公司共享低吞吐量的互聯(lián)網(wǎng)接入?！?/span>

在考慮如何構(gòu)建您的VPN時(shí)，請(qǐng)對(duì)您的公司可以訪問的數(shù)據(jù)中心進(jìn)行評(píng)估，并嘗試尋找方法，以最大限度地提高到具有強(qiáng)大、高帶寬連接的位置的吞吐量。大多數(shù)數(shù)據(jù)中心都是圍繞潛在的中斷來規(guī)劃他們的運(yùn)營，為他們的電力和冷卻系統(tǒng)建立冗余，并向他們的客戶承諾讓他們的技術(shù)運(yùn)行24小時(shí)不間斷，這樣你的VPN連接就不太可能長時(shí)間中斷。

一個(gè)檢查表，以幫助您工作的規(guī)模

遠(yuǎn)程工作應(yīng)該和在辦公室工作一樣安全。如果您的組織突然發(fā)現(xiàn)自己需要一個(gè)新的或升級(jí)VPN解決方案，您將需要考慮以下幾件事:

• 帶寬:帶寬利用率將隨著客戶端的增加而增加，而住宅網(wǎng)速也在不斷提高。用戶希望快速連接，而不區(qū)分來自VPN連接和公共internet的連接，所以請(qǐng)確保您的VPN解決方案能夠容納每個(gè)人的流量。

• 穩(wěn)定性:遠(yuǎn)程用戶依賴于連接，它應(yīng)該像在辦公室一樣穩(wěn)定。我們?cè)谶x擇供應(yīng)商時(shí)進(jìn)行了24小時(shí)的壓力測(cè)試——我們建議每個(gè)人都這樣做。

• 每個(gè)用戶的價(jià)格:每個(gè)供應(yīng)商的許可可能不同。但一般來說，許可證越多，價(jià)格越低。如果用戶數(shù)量增加，這就為增長提供了空間。由于員工可能擁有多種設(shè)備，用戶數(shù)量可能比你預(yù)期的要多。

• 安全性:遠(yuǎn)程用戶將從不安全的互聯(lián)網(wǎng)連接連接。需要強(qiáng)加密來保護(hù)進(jìn)出公司網(wǎng)絡(luò)的流量。您的VPN的多因素身份驗(yàn)證可以防止未經(jīng)授權(quán)的連接。

如果您想做進(jìn)一步的研究，請(qǐng)點(diǎn)擊搜索相關(guān)內(nèi)容。你也可以在評(píng)論中留下一個(gè)問題，請(qǐng)保持尊重和主題。