Una empresa tecnológica de call center con sede en EE. UU. necesitaba modernizar una infraestructura legacy autogestionada hacia una plataforma segura de cloud y DevOps. El entorno del cliente debía soportar entrega rápida de software mientras mantenía consistentes los requisitos de gobierno, control de acceso, observabilidad y cumplimiento SOC 2 en cargas de desarrollo, producción, servicios compartidos y on-premises.
HDWEBSOFT ayudó a diseñar e implementar una plataforma híbrida que conectó clústeres AWS EKS, nodos de datacenter on-premises en Las Vegas y DTLA, entrega GitOps, identidad centralizada, gestión de secretos, automatización CI/CD y monitoreo de seguridad en un único modelo operativo auditable.
Contexto del proyecto
La plataforma del cliente daba soporte a operaciones de call center donde la confiabilidad, la seguridad y la velocidad de entrega eran importantes. A medida que el negocio crecía, el modelo de infraestructura legacy se volvió más difícil de operar de forma consistente, reflejando los riesgos de planificación, dependencias y operación comunes en la migración de cargas legacy. Los equipos necesitaban una forma más clara de aprovisionar entornos, controlar accesos, desplegar cargas, monitorear incidentes y demostrar que los cambios de infraestructura eran deliberados y trazables.
El objetivo de la modernización no era solo trasladar cargas a la nube. El objetivo era crear una base de plataforma repetible que pudiera soportar migración legacy, modernización de servidores autogestionados, operaciones basadas en Kubernetes y entrega orientada al cumplimiento sin ralentizar a los equipos de ingeniería. Las necesidades de controles SOC 2 dieron forma al diseño de la plataforma desde el inicio, incluyendo logging centralizado, identidad gobernada, etiquetado consistente, cambios de infraestructura auditables y acceso trazable a herramientas operativas.
Entrevista con partes interesadas
“Este proyecto fue desafiante porque el entorno de TI legacy no tenía suficiente documentación confiable. Antes de poder diseñar la ruta de migración, tuvimos que investigar los servidores directamente, recopilar información del sistema operativo y los paquetes, y entender qué servicios eran realmente necesarios para el software en ejecución.”
— Duy Duong, Senior DevOps en HDWEBSOFT
El trabajo de discovery fue más allá de leer diagramas o notas de despliegue. El equipo inspeccionó servidores Linux legacy, recopiló inventarios de paquetes instalados, revisó servicios en ejecución y mapeó dependencias entre componentes de infraestructura y comportamiento de aplicaciones. Cada paquete y servicio tuvo que evaluarse cuidadosamente: si era necesario para cargas de producción, si soportaba una dependencia operativa o si creaba riesgos innecesarios de mantenimiento y seguridad.
Esta investigación ayudó a convertir un entorno autogestionado poco claro en un plan de migración que los equipos de ingeniería, seguridad y operaciones podían revisar. También redujo el riesgo de trasladar supuestos no documentados a la nueva plataforma cloud.
Características clave
Base segura de cloud híbrida
La plataforma utilizó AWS Organizations para separar gestión, servicios de plataforma compartidos, desarrollo, producción y almacenamiento centralizado de logs. Esta estructura ayudó al equipo a mantener claros los límites entre cuentas mientras daba soporte a distintas necesidades operativas entre entornos.
Los clústeres Amazon EKS soportaron desarrollo, producción y servicios de plataforma compartidos. Las cargas de desarrollo usaron una estrategia de cómputo consciente de costos, mientras que producción se apoyó en capacidad estable bajo demanda con autoescalado basado en Karpenter. Los servicios compartidos actuaron como un hub de plataforma para herramientas centralizadas.
La red se diseñó en torno a conectividad gobernada entre AWS y entornos on-premises. La plataforma usó redes VPC, peering, Direct Connect, NAT gateways, flow logs y baselines de seguridad para soportar cargas híbridas en AWS y nodos de datacenter.
Gestión de identidad, acceso y secretos
Okta funcionó como proveedor central de identidad para herramientas de ingeniería y plataforma. Federó el acceso a AWS IAM Identity Center, GitHub, Grafana, Datadog, Vault, Rancher, Flux UI, Jenkins y herramientas de seguridad de endpoints.
HashiCorp Vault proporcionó gestión centralizada de secretos para ingenieros, pipelines CI/CD y cargas Kubernetes. Vault se ejecutó en modo de alta disponibilidad sobre la plataforma EKS de servicios compartidos, mientras External Secrets Operator sincronizó secretos aprobados en namespaces de aplicaciones.
La plataforma también utilizó IAM Roles for Service Accounts para otorgar permisos AWS granulares a cargas Kubernetes. Esto redujo la necesidad de credenciales amplias e hizo que el acceso de las cargas fuera más fácil de auditar.
Entrega de aplicaciones con GitOps
FluxCD gestionó la reconciliación continua desde Git. La plataforma usó dependencias de Kustomization por capas para que infraestructura, secretos, aplicaciones, observabilidad y componentes de seguridad pudieran desplegarse en un orden controlado.
Flux Image Toolkit automatizó las actualizaciones de tags de imágenes para servicios seleccionados. Esto ayudó a los equipos a reducir pasos manuales de release mientras mantenía el comportamiento de despliegue vinculado a cambios revisados en control de código fuente.
Los servicios principales de plataforma incluyeron ingress, automatización DNS, gestión de certificados, autoescalado, soporte WebRTC TURN, observabilidad y gestión multiclúster. En conjunto, estos servicios dieron a los equipos de aplicaciones una ruta consistente desde el código hasta el runtime.
CI/CD y experiencia de desarrollador
GitHub Actions usó runners self-hosted en la plataforma EKS de servicios compartidos. La capacidad de runners podía escalar con la demanda, incluida capacidad orientada a spot para una ejecución consciente de costos.
Los workflows de OpenTofu soportaron operaciones plan y apply por stack de infraestructura. Los comentarios de plan en pull requests, la detección programada de drift y los secretos de pipeline respaldados por Vault ayudaron a que los cambios de infraestructura fueran más visibles y deliberados.
Jenkins proporcionó orquestación centralizada de builds, mientras Nexus gestionó el almacenamiento de artefactos. Esto permitió a la plataforma soportar tanto entrega cloud-native moderna como procesos de build existentes durante el recorrido de modernización.
Observabilidad y operaciones de seguridad
El stack de observabilidad combinó Grafana, Loki, Alloy, Datadog y workflows de alertas. Esto dio a los ingenieros una visión más clara a través de capas de cloud, Kubernetes e infraestructura híbrida.
CrowdStrike Falcon endpoint protection se desplegó en clústeres EKS, mientras AWS GuardDuty añadió detección de amenazas del lado cloud. Estos controles ayudaron al cliente a fortalecer su postura de seguridad mientras cumplía requisitos de cumplimiento SOC 2.
Retos técnicos
Coordinar varias capas de automatización
La plataforma involucraba infraestructura como código, GitOps, gestión de configuración, CI/CD, gestión de secretos y automatización de seguridad. Estas capas debían trabajar juntas a través de varios repositorios sin crear dependencias ocultas ni propiedad poco clara.
Gobernar múltiples entornos a escala
Las cuentas de desarrollo, producción, servicios compartidos, logging centralizado y gestión tenían necesidades diferentes. El reto fue mantener consistentes el acceso, etiquetado, controles de red, logging y reglas de despliegue sin hacer la plataforma demasiado rígida para los equipos de ingeniería.
Gestionar operaciones de cloud híbrida
La modernización incluyó cargas tanto en AWS como en datacenters on-premises. Soportar EKS, Proxmox, clústeres gestionados por Rancher y patrones operativos legacy exigió una integración cuidadosa entre redes cloud, identidad, despliegue y monitoreo.
Reducir la deriva de documentación e inventario
Los sistemas legacy suelen crear una deriva entre lo que está documentado y lo que realmente se ejecuta. El cliente necesitaba definiciones respaldadas por Git, verificaciones automatizadas y aprovisionamiento repetible para que la plataforma pudiera seguir siendo comprensible a medida que cambiaba.
Equilibrar costo, confiabilidad y estabilidad
El equipo necesitaba optimizar el costo de cómputo sin debilitar la confiabilidad de producción. Esto requirió una estrategia práctica de capacidad entre cargas orientadas a spot, capacidad de producción bajo demanda, reglas de autoescalado y salvaguardas operativas.
Soportar cumplimiento SOC 2 bajo cambios rápidos
La plataforma debía cumplir requisitos de cumplimiento SOC 2 sin dejar de permitir que los equipos entregaran con rapidez. Los cambios de infraestructura, flujos de acceso, uso de secretos y eventos operativos debían ser trazables y gobernados. La plataforma también necesitaba puntos de evidencia consistentes para auditorías, incluyendo historial de cambios, registros de control de acceso, logs centralizados y salidas de detección de drift.
Soluciones
Separación clara de responsabilidades
HDWEBSOFT ayudó a separar responsabilidades de plataforma entre las capas de infraestructura, secretos, cargas, observabilidad y seguridad. Los contratos de integración documentados facilitaron que los equipos entendieran qué sistema era propietario de cada parte del flujo de entrega.
Infraestructura como código modular
Los stacks de OpenTofu se organizaron alrededor de límites de estado aislados y gates CI automatizados. Los comentarios de plan en pull requests ayudaron a los revisores a entender los cambios de infraestructura antes de la aprobación, mientras que la detección programada de drift destacó diferencias entre la infraestructura declarada y la real.
Reconciliación GitOps por capas
FluxCD se organizó con dependencias explícitas entre capas de plataforma. Esto redujo el riesgo de rollout e hizo más sencilla la recuperación, porque los cambios podían revisarse, aplicarse, revertirse y trazarse mediante Git.
Gobierno unificado de identidad y acceso
La federación SSO de Okta dio a ingenieros y operadores un modelo de acceso centralizado en herramientas cloud y de plataforma. AWS IAM Identity Center, Vault, GitHub, Grafana, Datadog, Rancher, Jenkins y otros sistemas pudieron seguir un patrón de identidad más consistente.
Diseño de plataforma Kubernetes consciente de costos
Karpenter ayudó a la plataforma a adaptar la capacidad de cómputo a las necesidades de las cargas. Las cargas de desarrollo podían usar capacidad consciente de costos, mientras producción se mantenía alineada con requisitos de confiabilidad.
Pipelines CI/CD respaldados por Vault
Los workflows CI/CD usaron autenticación respaldada por Vault para operaciones sensibles de pipeline. Esto apoyó una entrega de infraestructura más segura sin exponer secretos amplios y de larga duración a sistemas de build.
Resultados de negocio
Entrega más segura y rápida
Los planes de OpenTofu revisados mediante pull request, la reconciliación GitOps y la detección automatizada de drift hicieron que los cambios de infraestructura fueran más deliberados y auditables. Los ingenieros podían reproducir entornos desde Git, revertir mediante control de código fuente y diagnosticar problemas a partir de un historial de cambios más claro.
Seguridad más fuerte y cumplimiento SOC 2
SSO centralizado, acceso AWS gobernado, gestión de secretos basada en Vault, protección de endpoints, logging centralizado, monitoreo de seguridad y registros de infraestructura respaldados por Git ayudaron a la plataforma a cumplir requisitos SOC 2 mientras soportaba el trabajo diario de ingeniería.
Mejor control de costos sin sacrificar confiabilidad
Karpenter y las estrategias de capacidad específicas por entorno ayudaron al cliente a optimizar el uso de cómputo. Las cargas de desarrollo podían usar infraestructura consciente de costos, mientras que las cargas de producción mantenían la estabilidad necesaria para operaciones de call center.
Observabilidad y respuesta a incidentes mejoradas
Grafana, Loki, Alloy, Datadog, GuardDuty y las alertas de seguridad de endpoints dieron a los equipos una visión operativa más sólida en infraestructura cloud e híbrida. Esto mejoró la capacidad del equipo para detectar, investigar y responder a problemas de plataforma.
Base de plataforma modernizada
El proyecto creó una base más sólida para la migración de infraestructura legacy, la modernización de servidores autogestionados, operaciones cloud y futura automatización DevOps. En lugar de depender de procesos operativos desconectados, el cliente obtuvo un modelo de plataforma más gobernado para una entrega segura de call center.
Conclusión
Este proyecto de modernización DevOps ayudó a una empresa tecnológica de call center con sede en EE. UU. a pasar de infraestructura legacy autogestionada hacia una plataforma segura de cloud híbrida. Al combinar AWS, Kubernetes, GitOps, identidad centralizada, gestión de secretos, observabilidad, controles de seguridad y gobierno de plataforma orientado al cumplimiento, HDWEBSOFT respaldó un modelo de entrega más rápido, más auditable y alineado con los requisitos de cumplimiento SOC 2.
Si su equipo está modernizando infraestructura legacy o preparando una plataforma cloud segura para entrega lista para auditoría, explore los servicios DevOps de HDWEBSOFT o contáctenos para analizar la hoja de ruta de plataforma adecuada.
Explore contenido relacionado
Vea más casos de estudio, servicios, industrias y experiencia regional relacionada.
