Skip to content

1. Contextualización e Presentación do Proxecto

Este documento define, xustifica e materializa o deseño e a implantación dunha arquitectura de aloxamento híbrida multicloud, desenvolvida especificamente para profesionalizar a infraestrutura dixital de pequenas e medianas empresas (pemes) e plataformas de comercio electrónico de alto rendemento.

No contexto actual dos negocios dixitais, a estabilidade operativa e a seguridade da información non son simples valores engadidos, senón requisitos críticos de viabilidade. A indispoñibilidade dun servidor web durante un pico de vendas, a exfiltración dunha base de datos transaccional ou a inclusión do dominio corporativo nunha lista negra de correo lixo (spam) conlevan perdas económicas inmediatas e un grave dano á reputación. O propósito central deste proxecto é dar resposta a estes retos mediante a exposición dun modelo técnico e organizativo robusto que substitúa definitivamente o clásico esquema de hosting compartido por un sistema avanzado, segmentado e altamente dispoñible.


1.1. Natureza do Sistema Dual Cloud

O proxecto aséntase sobre un cambio de paradigma estrutural: a separación física e lóxica dos servizos en función do seu nivel de exposición pública e da súa criticidade interna. Esta estratexia materialízase en dúas contornas diferenciadas que interactúan de xeito seguro:

A) Frontend: Alta Dispoñibilidade Pública

A capa de presentación e interacción co usuario final delégase nunha contorna de Hosting Reseller (multidominio). Esta infraestrutura xestionada garante tempos de carga mínimos grazas ás súas políticas de caché e proporciona unha estabilidade absoluta cara ao exterior fronte a picos de tráfico. Neste espazo alóxanse exclusivamente servizos de presentación: * Comercio Electrónico: O xestor de contidos dinámico (PrestaShop), que actúa como "escaparate" transaccional. * Portal Documental: O xerador de sitios estáticos (MkDocs), encargado de servir os manuais e procedementos técnicos. Ao estar baseado en compoñentes HTML estáticos, elimina calquera vector de ataque relacionado con bases de datos expostas no frontend.

B) Backend: Soberanía, Optimización e Illamento

A retagarda técnica confínase nun Servidor Privado Virtual (VPS) robusto, parametrizado sobre a distribución estábel Debian GNU/Linux 12 (Bookworm). En lugar de instalar todos os servizos no sistema base, utilízase a virtualización lixeira por contedores de sistema (LXD) para crear un clúster de microservizos completamente illados. Cada contedor cumpre unha única función: * Búnker de Datos: Un contedor dedicado en exclusiva a MariaDB, pechado ao exterior e que só acepta conexións cifradas procedentes da tenda PrestaShop. * Comunicacións Corporativas: Un nodo que aloxa a pila de correo corporativo seguro (Postfix como MTA e Dovecot como MDA), bastionado con políticas criptográficas (SPF, DKIM, DMARC) para garantir a entregabilidade. * Proxy de Optimización: Un contedor dedicado a APT-Cacher-NG, que actúa como servidor de caché de paquetería para toda a rede virtual. * Monitorización Proactiva: Un núcleo central baseado en Zabbix Server, encargado de vixiar en tempo real a saúde de toda a infraestrutura.


1.2. Xustificación Tecnolóxica

A transición cara a este modelo híbrido xustifícase pola necesidade imperativa de superar as limitacións, opacidades e riscos inherentes ao aloxamento tradicional:

  1. Erradicación do Risco Colateral: Nun hosting compartido clásico, o servidor web, a base de datos e o correo electrónico conviven no mesmo espazo lóxico. Unha inxección de código nunha páxina vulnerable pode comprometer todos os sistemas. A segmentación por contedores LXD deste proxecto aplica o principio de privilexio mínimo: se un servizo é comprometido, o atacante queda confinado nese contedor sen acceso ao resto da infraestrutura.
  2. Soberanía e Control Absoluto: A administración reactiva e opaca dos plans compartidos impiden realizar auditorías de baixo nivel. Ao dispoñer dun VPS, o administrador ten acceso root para aplicar regras de firewall (CSF/UFW) personalizadas, xestionar chaves asimétricas OpenSSH e definir subredes privadas.
  3. Optimización do Ancho de Banda Interno: A xestión de múltiples contedores Debian require constantes actualizacións de seguridade. A integración de APT-Cacher-NG resolve o problema do consumo masivo de rede centralizando as descargas; o servidor descarga o paquete unha soa vez de Internet e distribúeo á velocidade da rede local (LAN) a todos os demais contedores, aforrando recursos e tempo.
  4. Transición dunha Administración Reactiva a Proactiva: Un dos maiores fallos nas pemes é descubrir os erros de infraestrutura cando o servizo xa caeu. A posta en marcha de Zabbix Server elimina esta debilidade. Mediante o despregamento de axentes lixeiros en cada contedor e no propio host VPS, o administrador recibe métricas en tempo real (consumo de CPU, RAM, saturación de disco, dispoñibilidade de portos) e alertas automatizadas antes de que se produza unha parada do servizo.

1.3. Obxectivos do Proxecto

Para acadar a implantación exitosa desta arquitectura, establécense os seguintes obxectivos fundamentais no ámbito da enxeñaría de sistemas:

  • Despregar e orquestrar unha infraestrutura baseada na virtualización por contedores (LXD) dentro dun host VPS bastionado, garantindo que o acceso administrativo só sexa posible mediante autenticación por chaves criptográficas asimétricas de 4096 bits.
  • Implantar a capa de servizos web no Hosting Reseller público, aloxando tanto a plataforma de comercio electrónico PrestaShop como o portal estático MkDocs, asegurando a separación do tráfico fronte ao procesamento de backend.
  • Confinar e blindar o motor relacional de bases de datos MariaDB nun contedor illado dentro do VPS, establecendo regras estritas de enrutamento e túneles seguros para a comunicación coa tenda web.
  • Construír un ecosistema de correo corporativo autónomo (Postfix e Dovecot), parameterizando e despregando sinaturas dixitais e políticas DNS para evitar listas negras e maximizar a reputación do dominio.
  • Optimizar o uso de recursos de rede despregando o proxy de caché local APT-Cacher-NG, estandarizando as rutinas de mantemento e actualización en todo o clúster.
  • Garantir a vixilancia continua e a estabilidade da infraestrutura poñendo en produción un servidor Zabbix, deseñado para a recollida de métricas distribuídas e a emisión de alertas temperás sobre o estado dos servizos críticos.