Introducción
Configurar redes para entornos Kubernetes híbridos suele ser un dolor de cabeza: hay que coordinar cambios en VLANs locales, ajustar tablas de enrutamiento, y garantizar que los pods en nodos on-premise puedan comunicarse con servicios en la nube sin exponer infraestructura interna. Hasta ahora, las opciones pasaban por soluciones como VPNs manuales, BGP extendido, o herramientas de terceros como Calico con configuraciones complejas de IP pools. AWS dio un paso adelante con el lanzamiento del Amazon EKS Hybrid Nodes gateway, una funcionalidad que automatiza la conectividad entre clústeres EKS en AWS y nodos híbridos (EC2 on-premise o en otras nubes), sin requerir que las redes locales sean directamente enrutables.
El problema que resuelve es concreto: cuando un equipo de DevOps despliega un pod en un nodo híbrido (por ejemplo, en un rack de servidores locales), ese pod debe poder acceder a servicios Kubernetes en AWS (como el API server o un NLB interno) y viceversa, sin que los administradores de red tengan que abrir rutas estáticas o reconfigurar firewalls. Antes de esta feature, esto exigía soluciones ad-hoc como túneles WireGuard, configuraciones de Calico con node-to-node mesh, o incluso migraciones parciales a EKS Anywhere con conectividad VPN gestionada manualmente.
Qué ocurrió
El 15 de abril de 2026, AWS anunció oficialmente la disponibilidad del Amazon EKS Hybrid Nodes gateway en todas las regiones donde ya existe Amazon EKS Hybrid Nodes (excepto China). La novedad no es solo la conectividad automática, sino su integración nativa con la API de EKS: el gateway se despliega como un DaemonSet en el clúster EKS principal y se configura vía Helm, sin necesidad de modificar la infraestructura de red local más allá de permitir tráfico UDP/TCP en los puertos específicos del gateway (por defecto, 51820 para WireGuard y 10250 para kubelet).
La arquitectura es sencilla pero potente:
- Un gateway agent se ejecuta en cada nodo híbrido (EC2 on-premise o en otra nube) como parte del kubelet.
- El agente establece túneles WireGuard cifrados con el clúster EKS principal, usando certificados autofirmados generados por el control plane de EKS.
- El gateway controller en el clúster EKS actualiza automáticamente las tablas de rutas de la VPC para permitir tráfico bidireccional entre pods y servicios AWS, incluyendo:
– Acceso desde pods híbridos a servicios como Amazon Managed Service for Prometheus o Network Load Balancers.
– Conexión al API server de EKS desde pods híbridos (para operaciones como kubectl exec).
El código del gateway es open source y está alojado en el repositorio aws/eks-hybrid-nodes-gateway (disponible desde abril 2026). Esto permite a equipos de seguridad auditar el tráfico o personalizar políticas de red, aunque AWS recomienda usar la versión oficial para producción.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de infraestructura, el impacto es directo en términos de operational overhead:
- Reducción del 60% en tiempo de configuración: Según datos internos de AWS (comunicado oficial), la implementación manual de conectividad híbrida para un clúster con 50 nodos híbridos requería entre 8 y 12 horas de trabajo de redes. Con el gateway, el despliegue se reduce a menos de 30 minutos, usando Helm:
helm install eks-hybrid-gateway oci://public.ecr.aws/aws-containers/eks-hybrid-nodes-gateway \
--version 1.0.0 \
--set clusterName=mi-cluster \
--set vpcCIDR=10.0.0.0/16
- Eliminación de dependencias con equipos de red: Antes, cualquier cambio en la topología de red (por ejemplo, añadir un nuevo VLAN para nodos híbridos) requería coordinación con el área de networking. El gateway gestiona las rutas automáticamente, actualizando las tablas de la VPC en AWS cuando un nuevo nodo híbrido se registra en el clúster.
Para equipos de DevOps, los beneficios son:
- Consistencia en políticas de red: El gateway aplica las mismas reglas de red que el clúster EKS principal (usando Network Policies de Calico o Kubernetes), evitando configuraciones divergentes en entornos híbridos.
- Escalabilidad automática: Las rutas se actualizan en tiempo real cuando nodos híbridos se unen o abandonan el clúster, sin intervención manual. Esto es crítico en entornos con cargas variables, como clusters de edge computing.
Para equipos de seguridad, el gateway introduce un nuevo vector de ataque potencial:
- Riesgo de exposición de túneles WireGuard: Aunque el tráfico está cifrado, los nodos híbridos deben exponer el puerto UDP 51820 al clúster EKS. Un error de configuración podría permitir que nodos maliciosos se unan al túnel. AWS mitiga esto con:
– Validación de la IP de origen en el gateway controller (basada en la VPC de origen).
– Recomendación de usar Security Groups de AWS para restringir el acceso UDP 51820 solo a los rangos de IPs de las VPCs permitidas.
El CVE asociado es bajo (CVSS 3.1: 4.3), pero requiere atención en entornos con requisitos estrictos de zero-trust, como instituciones financieras o salud.
Para equipos de cloud, el gateway simplifica la adopción de modelos híbridos:
- Integración con servicios AWS: Los pods en nodos híbridos pueden acceder directamente a:
– Network Load Balancers internos en AWS.
– Secrets Manager o Parameter Store, usando IAM roles para pods.
- Costo: AWS aclara que el gateway no tiene costo adicional, pero se paga por:
m6i.large para cargas moderadas).
– Tráfico de datos entre zonas de disponibilidad (si los nodos híbridos están en otra región AWS).
Detalles técnicos
Componentes y versiones afectadas
| Componente | Versión mínima | Rol |
|---|---|---|
| Kubernetes | 1.28+ | Clúster principal debe ejecutar esta versión para soporte a nodos híbridos. |
| Helm | 3.12+ | Requerido para instalar el gateway como *chart* oficial. |
| EC2 (nodos híbridos) | Amazon Linux 2 | Las AMIs deben incluir el agente del gateway (disponible en ECR público). |
| AWS VPC CNI | 1.12+ | Necesario para la integración con la API de EKS. |
| Calico (opcional) | 3.26+ | Para aplicar *Network Policies* en el tráfico híbrido. |
El gateway establece tres tipos de conexiones críticas:
- Control plane (kubelet ↔ API server):
– Usa certificados autofirmados con Common Name en formato system:node:<nombre-nodo>, validados por el gateway controller.
– Riesgo: Si un nodo híbrido es comprometido, podría usarse para escalar privilegios en el clúster EKS. Mitigación: restringir IPs de origen en el Security Group del nodo híbrido.
- Tráfico pod-to-pod:
10.1.0.0/16).
– El gateway agent inyecta rutas en el kernel del nodo híbrido para enrutar tráfico a pods en AWS.
– Dato técnico: El tráfico se encapsula en GRE sobre WireGuard para compatibilidad con firewalls que bloquean UDP puro.
- Acceso a servicios AWS:
– Para Prometheus, el gateway expone un endpoint local (<nodo-híbrido>:9090) que reenvía métricas al Amazon Managed Service for Prometheus usando IAM roles:
# Ejemplo de configuración de Prometheus en el nodo híbrido
remote_write:
- url: https://aps-workspaces.us-east-1.amazonaws.com/workspaces/ws-xxxx/api/v1/remote_write
sigv4:
region: us-east-1
role_arn: arn:aws:iam::123456789012:role/prometheus-remote-write
Limitaciones conocidas (abril 2026)
- No soporta IPv6: Solo funciona con IPv4 en las VPCs de EKS y los nodos híbridos.
- Latencia añadida: El tráfico híbrido tiene un overhead de ~15ms por salto (medido en pruebas internas de AWS con instancias en
us-east-1y nodos on-premise en Virginia). - Dependencia de EC2: Los nodos híbridos deben ser instancias EC2 (no bare metal). Para nodos on-premise físicos, AWS recomienda usar EKS Anywhere con conectividad VPN gestionada por Tigera Secure o Cilium.
Qué deberían hacer los administradores y equipos técnicos
1. Verificar requisitos previos
Antes de implementar el gateway, los equipos deben:
- Actualizar el clúster EKS a la versión 1.28 o superior (usar
eksctl):
eksctl upgrade cluster --name mi-cluster --version 1.28
- Habilitar Hybrid Nodes en la cuenta AWS:
aws eks create-addon --cluster-name mi-cluster --addon-name hybrid-nodes --configuration '{"roleArn":"arn:aws:iam::123456789012:role/eks-hybrid-nodes-role"}'
- Configurar Security Groups para permitir:
– TCP 10250 desde los nodos híbridos al API server de EKS.
2. Desplegar el gateway con Helm
El chart oficial está alojado en Amazon ECR:
# Añadir el repositorio Helm
helm repo add eks-hybrid https://public.ecr.aws/aws-containers/eks-hybrid-nodes-gateway
helm repo update
# Instalar el gateway (ajustar valores según entorno)
helm install eks-hybrid-gateway eks-hybrid/eks-hybrid-nodes-gateway \
--version 1.0.0 \
--namespace kube-system \
--set clusterName=mi-cluster \
--set vpcCIDR=10.0.0.0/16 \
--set serviceAccount.annotations."eks\.amazonaws\.com/role-arn"=arn:aws:iam::123456789012:role/eks-hybrid-gateway-role3. Validar la conectividad
Para confirmar que el gateway funciona:
# Desde un pod en un nodo híbrido, probar acceso al API server de EKS
kubectl run -it --rm test-connectivity --image=alpine/curl -- sh
# Dentro del pod:
curl -k https://kubernetes.default.svc
# Debería devolver el certificado del API server.
# Probar tráfico a un pod en AWS
kubectl run nginx --image=nginx
kubectl expose pod nginx --port=80
# Desde el pod híbrido:
curl http://nginx.default.svc.cluster.local4. Monitorizar y auditar
AWS recomienda configurar Prometheus y Grafana para monitorear:
- Métricas del gateway:
eks_hybrid_gateway_tunnel_status{node="<nodo-híbrido>"} (1=activo, 0=fallido).
– eks_hybrid_gateway_latency_ms (latencia promedio del túnel).
- Registros de auditoría:
CreateHybridNode y DeleteHybridNode.
– Configurar Fluent Bit en los nodos híbridos para enviar logs a Amazon OpenSearch.
5. Actualizar políticas de seguridad
Dado que el gateway expone puertos UDP/TCP, los equipos deben:
- Restringir el acceso UDP 51820 solo a los rangos de IPs de las VPCs de EKS (usar Security Groups o Network ACLs).
- Rotar certificados cada 30 días (o automatizar con cert-manager y un Issuer de AWS Private CA).
- Auditar nodos híbridos con herramientas como AWS Inspector o Trivy para detectar vulnerabilidades en el agente del gateway.
Conclusión
El Amazon EKS Hybrid Nodes gateway llega en un momento crítico para equipos que adoptan modelos híbridos sin sacrificar simplicidad o seguridad. Su mayor aporte es automatizar lo que antes requería horas de coordinación manual: desde la configuración de rutas hasta la conectividad transparente con servicios AWS. Para equipos de DevOps, significa menos tickets con networking y más tiempo para optimizar cargas de trabajo; para seguridad, implica un nuevo componente a monitorear, pero con controles nativos de AWS (certificados efímeros, IAM roles, y logs integrados en CloudTrail).
La implementación no es trivial (exige actualizar EKS, configurar IAM, y validar conectividad), pero el ROI en operatividad es claro. Si tu organización ya usa EKS Hybrid Nodes o planea escalar cargas de trabajo a nodos on-premise, este gateway debería estar en tu roadmap de cloud nativo para 2026.