Networking y Recursos de Red en SleakOps
Entendé la arquitectura de red que SleakOps despliega en los entornos de los clientes — cómo se organiza, cómo se protegen los recursos y cómo se facilita la comunicación tanto interna como externa.
La red está diseñada para garantizar seguridad, escalabilidad y alta disponibilidad. Permite separar ambientes, proteger datos sensibles y exponer servicios de manera controlada y segura.
1. Descripción General de la Arquitectura
La infraestructura de red en SleakOps se basa en los siguientes componentes principales:
- VPC (Virtual Private Cloud): Segmenta la red por entorno (management, production, development).
- Subredes: Separan el tr�áfico según su función: públicas (expuestas a Internet), privadas (acceso restringido, acceden a Internet a través de un NAT Gateway) y de persistencia (bases de datos, almacenamiento).
- Internet Gateway: Permite la comunicación entre la VPC y el exterior (Internet).
- Route Tables: Definen las rutas de tráfico entre subredes y hacia/desde Internet.
- Security Groups: Firewalls virtuales que controlan el tráfico de entrada y salida de los recursos.
- DNS Interno: Permite que los recursos se comuniquen usando nombres en vez de IPs.
- External-DNS: Servicio que corre dentro de cada clúster Kubernetes (EKS), encargado de gestionar automáticamente los registros DNS públicos en Route53 para los servicios expuestos desde el clúster.
2. Flujo Típico de Comunicación
- Acceso desde Internet: Un usuario accede a un servicio expuesto (por ejemplo, una API). El tráfico llega al Internet Gateway y es dirigido a la subred pública.
- Control de acceso: El Security Group asociado al recurso valida si la conexión está permitida.
- Comunicación interna: Los servicios internos (en subredes privadas o de persistencia) pueden comunicarse entre sí usando el DNS interno, siempre bajo las reglas de los Security Groups.
- Exposición de servicios: Si un servicio dentro del clúster Kubernetes debe ser accesible desde Internet, se expone a través de un Application Load Balancer — External-DNS se encarga de registrar automáticamente el nombre en Route53.
Esta segmentación asegura que solo los servicios necesarios sean expuestos y que los datos sensibles permanezcan protegidos.
3. External-DNS y Route53
Se utiliza una solución automatizada para gestionar los registros DNS públicos de los servicios desplegados, integrando la infraestructura con Route53. Esto permite que los servicios sean accesibles de forma segura y sencilla desde Internet. External-DNS no expone servicios directamente, sino que automatiza la gestión de registros DNS públicos para recursos ya expuestos (por ejemplo, mediante Application Load Balancer).
4. Conectividad entre Entornos mediante VPC Peering
Para permitir la comunicación controlada entre entornos (por ejemplo, entre management y production), SleakOps configura conexiones VPC Peering de manera explícita entre las VPCs de los distintos entornos.
Un VPC Peering permite que dos VPCs puedan intercambiar tráfico interno como si estuvieran en la misma red, sin pasar por Internet, NAT Gateway ni VPN. Es una conexión directa entre dos redes.
Además del acceso mediante Internet Gateway, SleakOps contempla otros mecanismos de conectividad como Pritunl VPN, NAT Gateway y Transit Gateway, dependiendo del caso de uso y el nivel de aislamiento requerido.
Referencia de DNS por Ambiente
| Ambiente | DNS VPC |
|---|---|
| DEV | 10.110.0.2 |
| MGT | 10.120.0.2 |
| PRD | 10.130.0.2 |