Unidad 1.2: La Arquitectura en Capas Canónica
Introducción
Existe una forma de arquitectura que se repite en casi todos los despliegues empresariales regulados en IONOS, y vale la pena aprenderla como predeterminada antes de estudiar cualquier producto individual. La decisión que codifica es dónde se permite que el tráfico entre, cómo lejos se permite que viaje y qué permanece inaccesible desde internet por completo. Establecer ese límite correcto a nivel de topología es mucho más barato que adaptarlo más tarde, porque en IONOS la capa de red en la que se encuentra un recurso es la cosa principal que determina si está expuesto. Esta unidad dibuja la forma canónica y explica la razón, para que los productos por capa en los Módulos 3 a 6 cada uno tengan un hogar obvio.
1. La forma canónica: L7 pública, cómputo sin estado, L4 privada, datos privados
La forma se lee de arriba a abajo como una secuencia de confianza que se estrecha.
En el borde se encuentra un L7 público Load Balancer. El Managed Application Load Balancer (ALB) distribuye el tráfico de capa de aplicación entrante a los objetivos según las políticas definidas por el usuario, enrutando en contenido como host y ruta. Es el único componente destinado a enfrentar internet, y es donde se termina el TLS. Debido a que enruta en contenido de aplicación, también es donde se expresan las preocupaciones a nivel de solicitud (enrutamiento basado en ruta, enrutamiento basado en host).
Detrás de él se encuentra el nivel de cómputo sin estado: los servidores de aplicaciones. Estos no tienen estado duradero propio. Esa es una propiedad deliberada, no un accidente, porque permite que el nivel se escale, se reemplace o se conmute libremente. Cualquier cosa que deba persistir se empuja hacia abajo.
Entre el nivel de aplicación y los datos en los que depende se encuentra un L4 privado Load Balancer. El Managed Network Load Balancer (NLB) opera en la capa 4 de TCP/IP; distribuye cualquier tráfico basado en TCP y sus reglas y comprobaciones de salud son estrictamente de capa 4. Colocado en privado, se distribuyen las conexiones a través de los nodos del nivel de datos sin ser nunca accesible desde internet, y no termina el TLS, por lo que el cifrado de extremo a extremo puede ejecutarse directamente hasta el backend.
En la parte inferior se encuentra el nivel de datos privado: bases de datos gestionadas, caché, almacenamiento compartido. Estos se acceden solo a través de LAN privadas a través del equilibrador interno. No tienen interfaz pública en absoluto.
La composición, de L7 pública a cómputo sin estado a L4 privada a datos privados, es la expresión idiomática de la plataforma de defensa en profundidad. Cada paso hacia abajo elimina la accesibilidad: internet puede hablar con el ALB, el ALB puede hablar con el nivel de aplicación, el nivel de aplicación puede hablar con el nivel de datos a través del NLB, y el nivel de datos no puede hablar con nadie sin invitación.
Para FinCorp, esta es la envoltura en la que se inserta su Workload regulado. El ALB público lleva HTTPS de cara al cliente y termina el TLS en el borde de la UE; los servidores de aplicaciones sin estado ejecutan la lógica de negocio y externalizan su estado; el NLB privado se encuentra frente a la Cluster relacional y el caché; y la base de datos en sí nunca se expone. La historia de cumplimiento, que se desarrolla en la Unidad 1.4, es materialmente más fácil de hacer cuando el nivel de datos es incapaz arquitectónicamente de aceptar una conexión entrante desde fuera del centro de datos virtual.
2. Por qué Private-by-Default y dónde se conecta todo lo demás
El diseño no se elige por su elegancia; se deriva de cómo se comporta realmente la red de IONOS y cómo se unen sus protecciones.
Un LAN dentro de un VDC es privado hasta que se conecta explícitamente a Internet; la exposición es algo que se agrega, no algo que se elimina. Esa sola propiedad es lo que hace que private-by-default sea el camino de menor resistencia: dejar un nivel en un LAN privado y ya es inaccesible. La lógica se complica con dónde se aplican los controles de seguridad de IONOS. Los firewalls de nivel NIC y Network Security Groups se unen a los NIC de servidor en el nivel de VDC solo; no se aplican al Managed ALB o NLB, ni a la abstracción Managed Kubernetes Cluster. Como no se puede envolver el equilibrador de carga administrado en un grupo de seguridad, no se puede confiar en un Firewall para compensar la colocación de una base de datos en una ruta pública. La topología en sí, lo que se encuentra en un LAN privado, tiene que hacer la isolación. La segmentación es, por lo tanto, el control que soporta la carga, y la división de tres niveles (borde público, aplicación privada, datos privados) es el mínimo que lo expresa de manera clara.
La misma forma absorbe la REST de la plataforma sin cambiar:
- Contenedores. Un grupo de Managed Kubernetes Node se conecta a las LAN como cualquier otro cálculo y toma el papel del nivel de aplicación sin estado. Un manifiesto no aprovisiona automáticamente un equilibrador de carga de IONOS; el ALB público y cualquier NLB privado se aprovisionan por separado y se apuntan al Cluster, así que el Cluster se ajusta a la forma existente en lugar de reemplazarla.
- Dedicated VMware (Private Cloud). Un VMware regulado Workload se ejecuta en el SDDC dedicado y se conecta al estado de cálculo estándar a través de la conectividad híbrida, ocupando la capa de cálculo para cargas de trabajo que necesitan aislamiento de inquilino único mientras el borde elástico permanece en el cálculo estándar.
- Servicios de IA. El AI Model Hub administrado es un API de inferencia completamente administrado y accesible públicamente (sus puntos de conexión compatibles con OpenAI y nativos son de acceso a Internet, no solo de LAN privado); el nivel de aplicación lo llama a través de una ruta de salida de la misma manera que llamaría a cualquier SaaS API externo, mientras que los conjuntos de datos en los que se basa pueden seguir viviendo en Object Storage y una base de datos administrada en el nivel de datos privado debajo de la capa de aplicación.
- Conectividad híbrida. Las puertas de enlace VPN y NAT y las interconexiones privadas se conectan en el borde y la ruta de salida, extendiendo la misma tela privada a los sitios locales en lugar de hacer nuevos agujeros a través de los niveles.
Cada módulo posterior llena una banda de este diagrama: la red construye el borde y los dos equilibradores de carga, el cálculo construye el nivel de aplicación, los datos construyen el nivel inferior, los contenedores y la IA se conectan encima y al lado. La forma no cambia; el contenido sí.
Resumen de la decisión
| Nivel | Construcción de IONOS | Exposición | Regla de gobierno |
|---|---|---|---|
| Borde público | ALB administrado (Capa 7) | De frente a Internet | Único punto de entrada público previsto; termina TLS; enrutado según contenido. |
| Aplicación | Computación sin estado o grupo de Kubernetes Node | LAN privado, accesible a través del ALB | No mantiene estado duradero, por lo que puede escalarse o conmutarse libremente. |
| Equilibrio interno | NLB administrado (Capa 4) | Solo privado | Paso de TCP, sin terminación de TLS; nunca de frente a Internet. |
| Datos | Bases de datos administradas, caché, almacenamiento compartido | Solo privado, sin interfaz pública | Accesible solo a través del equilibrador interno a través de LANs privadas. |
Utilice esta forma por defecto y justifique cualquier desviación. La segmentación, no un conjunto de reglas, mantiene la capa de datos segura, por lo que coloque una capa en un LAN público solo cuando esté destinada a enfrentar Internet.
Resumen
La arquitectura empresarial canónica de IONOS reduce la confianza en cuatro pasos: un ALB de capa 7 público en el borde, un nivel de cómputo sin estado detrás de él, un NLB de capa 4 privado delante de los datos y un nivel de datos privado-only en la parte inferior. Es privado por defecto porque las LAN son privadas hasta que se conectan y porque los equilibradores gestionados no pueden estar rodeados de un grupo de seguridad, lo que hace que la topología sea el control real de aislamiento. Los contenedores, los VMware dedicados, la inteligencia artificial y los enlaces híbridos se conectan a esta forma sin alterarla, lo que explica por qué cada módulo posterior simplemente rellena una banda del mismo diagrama.
Puntos clave:
- La forma predeterminada es ALB L7 público a cómputo sin estado a NLB L4 privado a datos privado-only, con cada paso hacia abajo eliminando la accesibilidad.
- Privado por defecto se mantiene porque un LAN es privado hasta que se conecta explícitamente a Internet, por lo que la exposición es algo que se agrega deliberadamente.
- Los firewalls de NIC y los NSG se vinculan a las NIC del servidor, no al ALB/NLB gestionado o a la abstracción de Kubernetes Cluster, por lo que la segmentación por topología es el control que soporta la carga.
- Los contenedores, los VMware dedicados, los servicios de inteligencia artificial y la conectividad híbrida se conectan a la misma forma en lugar de cambiarla; los módulos posteriores rellenan una capa cada uno.