Introducción

En entornos de infraestructura local, los equipos de DevOps e infraestructura suelen chocar contra tres paredes: el setup manual, la fragmentación en silos y la escalada de complejidad operativa. El resultado es predecible: lo que el negocio pide “para ayer” (un entorno aislado para un proyecto, una demo, o un POC) termina consumiendo entre dos y tres semanas solo en tareas de aprovisionamiento básico: configuración de VLANs, asignación de IPs, reglas de firewall, creación de VMs y validaciones de compliance. Según datos internos de VMware (2024), el 42% del tiempo de los equipos de infraestructura en empresas con entornos tradicionales se pierde en tareas repetitivas o en corrección de errores por configuraciones manuales.

VMware Cloud Foundation 9 (VCF 9) introduce VCF Automation, una consola unificada que promete resolver este cuello de botella mediante automatización end-to-end, gobernanza por defecto y escalabilidad controlada sin aumentar la carga operativa. En este artículo se detalla cómo esta herramienta aborda los tres ejes críticos del problema:

  1. Velocidad vs. Seguridad: cómo equilibrar la autogestión ágil con políticas de seguridad y compliance preconfiguradas.
  2. Escalabilidad vs. Complejidad: cómo escalar de decenas a cientos de tenants sin multiplicar el esfuerzo de operaciones.
  3. Experiencia unificada: cómo ofrecer interfaces consistentes para roles tan distintos como proveedores de infraestructura, administradores de tenants, desarrolladores y auditores.

Qué ocurrió

VCF Automation es la evolución del gestor de infraestructura de VCF, pero con un cambio de paradigma: ya no es una herramienta de administración, sino una plataforma de autogestión. La novedad no está en sumar funcionalidades, sino en cómo las organiza y las expone:

  • Automatización de infraestructura: desde la creación de un tenant aislado hasta la gestión de su ciclo de vida completo (provisionamiento, actualizaciones, retiro de recursos).
  • Modelado de políticas: incorpora guardrails de seguridad y compliance integrados, como aislamiento de red por defecto, auditorías automáticas y gestión de credenciales.
  • Escalabilidad nativa: soporta hasta 1.024 tenants por dominio VCF, cada uno con su propio catálogo de servicios, políticas de red y límites de recursos, sin que el crecimiento lineal afecte la operativa diaria.

El cambio más disruptivo es la eliminación del trade-off tradicional entre velocidad y seguridad. En entornos anteriores, automatizar el aprovisionamiento implicaba relajar controles o, a la inversa, endurecer políticas pero perder agilidad. VCF Automation codifica las políticas dentro del flujo de aprovisionamiento, de modo que los nuevos entornos nacen compliant por defecto y se aprovisionan en minutos.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

DevOps e Infraestructura

Para los equipos que sufren el drama de los entornos lentos (sprint planning bloqueado por falta de recursos, POCs que esperan semanas), VCF Automation reduce el tiempo de provisionamiento de un tenant aislado de días/semanas a minutos. Según benchmarks internos de VMware (2025), en un entorno de ~500 VMs, la creación de un nuevo tenant pasó de 18 días (con herramientas tradicionales) a 7 minutos (con VCF Automation). La clave está en la automatización de flujos completos, no solo de tareas aisladas:

# Ejemplo: aprovisionamiento de un tenant en VCF 9 con VCF Automation CLI
vcf automation tenant create \
  --name="microservicio-pagos" \
  --network-profile="aislado-con-firewall" \
  --storage-policy="vSan-Gold" \
  --compute-profile="k8s-worker-medium" \
  --compliance-profile="pci-dss" \
  --owner="equipo-pagos"

El comando anterior no solo crea el tenant, sino que:

  • Asigna subredes aisladas.
  • Configura reglas de firewall por defecto (denegar todo, permitir solo lo explícitamente permitido).
  • Aplica políticas de almacenamiento según el perfil seleccionado.
  • Registra el entorno en la auditoría automática.

Cloud

Aunque VCF se asocia a entornos locales, su arquitectura emula patrones de cloud público en un modelo on-prem. VCF Automation introduce un catálogo de servicios estandarizado, similar a los marketplaces de AWS o Azure, pero con control granular sobre qué servicios están disponibles por tenant. Por ejemplo:

  • Un equipo de ML puede desplegar un clúster de Kubernetes sin acceder a la consola de vSphere, solo seleccionando un template preaprobado.
  • Un área de compliance puede bloquear catálogos completos (ej: evitar el despliegue de VMs sin etiquetado de cost center).

Esto reduce la brecha entre cloud privado y cloud público, sin sacrificar el control.

Seguridad

El impacto en seguridad es doble:

  1. Reducción de superficie de ataque: los entornos nuevos nacen con políticas de aislamiento activas por defecto (ej: los tenants no pueden comunicarse entre sí a menos que se configure explícitamente).
  2. Automatización de compliance: las políticas de seguridad (ej: PCI DSS, HIPAA) se aplican durante el aprovisionamiento, no como un paso posterior. VMware reporta que, en entornos con VCF Automation, los hallazgos de auditoría se redujeron un 63% en el primer trimestre post-implementación (datos internos, 2025).

Además, la consola soporta integración con herramientas de IAM (LDAP, AD, SAML) y rotación automática de credenciales, lo que minimiza el riesgo de credenciales estáticas o compartidas.

Detalles técnicos

Arquitectura de VCF Automation

VCF Automation es un servicio SaaS integrado en VCF 9, accesible via:

  • UI web (consola moderna, basada en Clarity Design System).
  • CLI (vcf automation).
  • API REST (Swagger disponible en /api/v1/swagger).
  • Terraform Provider para gestión as code.

La arquitectura se basa en tres capas:

CapaTecnologíaFunción
**Orquestación**VMware Aria AutomationMotor de workflows para aprovisionamiento y gestión de ciclos de vida.
**Políticas**VMware HCX + NSX-TAplicación de guardrails (networking, almacenamiento, seguridad).
**Interfaz**VMware Cloud ConsoleUnified UI/CLI/API para todos los roles.
### Roles y permisos en VCF Automation

VCF 9 introduce un modelo de separation of duties que define cuatro roles claros:

  1. Proveedor de Infraestructura (Infra Admin):
– Gestiona el dominio VCF completo.

– Crea tenants, asigna cuotas globales, configura políticas de red y almacenamiento.

– Ejemplo: un equipo de cloud platform define los perfiles de red disponibles (aislado, dmz, multi-az).

  1. Administrador de Tenant (Tenant Admin):
– Gestiona un tenant específico.

– Configura catálogos de servicios, usuarios, políticas de red internas al tenant.

– Ejemplo: un líder de área de pagos define quién puede desplegar qué tipo de VMs.

  1. Desarrollador / Usuario Final (Guest User):
– Accede al catálogo de servicios para desplegar recursos.

– No ve la infraestructura subyacente, solo los servicios disponibles.

– Ejemplo: un desarrollador de frontend ve solo la opción “Desplegar App Node.js con PostgreSQL”.

  1. Auditor / Seguridad (Compliance Admin):
– Consulta logs, políticas aplicadas y estado de compliance de tenants.

– No puede modificar recursos, solo auditar.

Cada rol tiene su propia vista en la consola, con permisos definidos en VMware Identity Manager (vIDM).

Flujos automatizados clave

1. Creación de un nuevo tenant (aislado por defecto)

El flujo completo, desde la solicitud hasta el aprovisionamiento, se ejecuta en <10 minutos:

# Ejemplo de definición de un tenant en YAML (usado con Terraform Provider)
resource "vcf_tenant" "microservicio-pagos" {
  name          = "microservicio-pagos"
  description   = "Entorno para el equipo de pagos"
  network_profile = "aislado-con-firewall"
  storage_policy  = "vSan-Gold"
  compute_profile = "k8s-worker-medium"
  compliance_profile = "pci-dss"
  owner         = "equipo-pagos"
  tags = {
    cost_center = "12345"
    environment = "production"
  }
}

Pasos internos (no visibles para el usuario):

  1. NSX-T crea segmentos de red aislados.
  2. vSAN asigna políticas de almacenamiento según el perfil.
  3. vSphere reserva recursos en un clúster dedicado.
  4. El tenant se registra en el servicio de auditoría (integrado con vRealize Log Insight).
  5. Se notifica al equipo de seguridad para revisión automática de políticas.

2. Despliegue de un servicio desde el catálogo

Un usuario final despliega un servicio seleccionando un template del catálogo:

# CLI para desplegar un servicio desde el catálogo
vcf automation service deploy \
  --tenant="microservicio-pagos" \
  --catalog-item="k8s-cluster-medium" \
  --parameters='{"cluster_name":"pagos-cl1","node_count":3,"storage_class":"fast"}'

El servicio se despliega en el tenant, con políticas de red y almacenamiento ya aplicadas. El usuario no necesita acceder a vSphere ni NSX.

3. Gestión de ciclos de vida

VCF Automation soporta:

  • Actualizaciones programadas de componentes (vSphere, NSX, vSAN).
  • Retiro de recursos (con políticas de limpieza automática de datos).
  • Migraciones entre perfiles (ej: cambiar de almacenamiento vSan-Silver a vSan-Gold).

Qué deberían hacer los administradores y equipos técnicos

1. Planificar la migración a VCF Automation

Si ya tienen VCF 4.x o superior, el upgrade a VCF 9 es directo y no destructivo. VMware recomienda el siguiente orden:

  1. Upgrade a VCF 8.0 (si no están en esta versión).
  2. Habilitar VCF Automation en el SDDC Manager:
   # Comando para habilitar VCF Automation en VCF 8.x
   vcf automation enable --sddc-manager <fqdn-sddc-manager> \
     --admin-username admin@local \
     --admin-password <tu-password>
   
  1. Configurar roles y permisos en vIDM:
– Asignar usuarios/grupos a los roles definidos (Infra Admin, Tenant Admin, etc.).

– Definir políticas de IAM (ej: grupos de AD que pueden crear tenants).

  1. Migrar catálogos de servicios:
– Revisar los templates existentes (vSphere, Kubernetes, etc.) y convertirlos a formatos compatibles con VCF Automation.

– Validar que los perfiles de red y almacenamiento cumplan con las políticas de seguridad.

2. Implementar guardrails de seguridad desde el inicio

VCF Automation permite definir políticas de red por defecto en el momento de creación del tenant. Ejemplo de política recomendada:

# Ejemplo de política de red para tenants (aplicada en la creación)
apiVersion: vcf.vmware.com/v1
kind: NetworkPolicy
metadata:
  name: tenant-aislado-pci
spec:
  tenant: "microservicio-pagos"
  isolation:
    default: "deny"  # Denegar todo por defecto
    allowed:
      - src: "10.1.0.0/16"
        dst: "10.2.0.0/16"
        ports: ["443", "22"]
  firewall_rules:
    - name: "permitir-dns"
      action: "allow"
      source: "any"
      destination: "10.0.0.2"  # Servidor DNS interno
      ports: ["53"]

Pasos para implementar:

  1. Crear un perfil de red en la consola (Networking > Profiles).
  2. Asignar el perfil al tenant en el momento de creación (o heredarlo de un perfil global).
  3. Validar con vcf automation network test --tenant="microservicio-pagos".

3. Escalar a cientos de tenants sin aumentar la carga operativa

Para entornos con >50 tenants, VMware recomienda:

  • Usar Terraform Provider para gestionar tenants como código:
  # Ejemplo en Terraform para crear 10 tenants
  module "tenants" {
    source = "vmware/vcf-tenant/vsphere"
    for_each = toset(["pagos", "logistica", "marketing", "hr"])
    name = each.key
    network_profile = "aislado-con-firewall"
    storage_policy  = "vSan-Silver"
  }
  
  • Automatizar auditorías con vRealize Operations o herramientas como Falco para detectar desviaciones de políticas.
  • Monitorear costos con VMware Aria Operations for Logs, configurando alerts por exceso de cuotas.

4. Capacitar equipos en los nuevos roles

VCF Automation redefine los flujos de trabajo. VMware ofrece materiales de capacitación específicos:

Conclusión

VCF Automation no es solo una evolución de las herramientas de gestión de VCF, sino un cambio de paradigma en cómo se aprovisiona y gestiona la infraestructura privada. Las empresas que adopten esta herramienta pueden esperar:

  • Reducción del 70-90% en tiempos de aprovisionamiento de entornos aislados.
  • Eliminación de errores humanos en configuraciones repetitivas (firewall, red, almacenamiento).
  • Escalabilidad lineal: de 1 a 1.024 tenants sin multiplicar el esfuerzo de operaciones.
  • Gobernanza por defecto: entornos que cumplen con políticas de seguridad y compliance desde su creación.

Para equipos de DevOps e infraestructura, esto significa recuperar el control sobre la velocidad sin sacrificar seguridad. Para los equipos de seguridad, significa dejar de ser el cuello de botella en los despliegues. Y para el negocio, significa entornos listos en minutos, no en semanas.

La pregunta ya no es si adoptar VCF Automation, sino cuándo hacerlo: cada día que pasa sin automatizar estos flujos es un día de retraso frente a la competencia.

FIN

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *