VMware vSphere Kubernetes Service en VCF 9.1: cómo escalar apps modernas sin aumentar complejidad ni costos

Introducción

Hace tres años, muchas empresas comenzaron a adoptar Kubernetes como plataforma de contenedores, pero rápidamente descubrieron que escalar clusters confiables para entornos empresariales era más complejo de lo esperado. Según el State of Platform Engineering Report 2025, el 64% de los equipos de plataforma identifican a Kubernetes como su principal foco para lograr despliegues automatizados y estandarizados. El problema no era técnico en sí mismo, sino la fragmentación operativa: clusters aislados, políticas de seguridad dispares, herramientas de observabilidad incompatibles y la necesidad de mantener múltiples versiones de Kubernetes para diferentes cargas de trabajo.

VMware Cloud Foundation (VCF) 9.1 introduce un cambio de paradigma al integrar el vSphere Kubernetes Service (VKS) como componente nativo, eliminando la necesidad de orquestar clusters manualmente. VKS 3.6 —desacoplado del ciclo de liberación de VCF— ya soporta Kubernetes 1.35 con retrocompatibilidad para versiones 1.33 y 1.34, lo que permite a los equipos actualizar sin interrumpir aplicaciones críticas. En este artículo, analizamos cómo VKS en VCF 9.1 aborda tres desafíos clave: escalabilidad sin fricción operativa, costos ocultos de la complejidad y seguridad integrada que no requiere herramientas externas.

Qué ocurrió

En mayo de 2026, VMware anunció mejoras significativas en VKS como parte de VCF 9.1, enfocadas en tres pilares: escalabilidad mejorada, eficiencia operativa y seguridad integrada. Estas no son simplemente actualizaciones cosméticas; por ejemplo, VKS ahora soporta hasta 500 clusters de carga de trabajo por instancia de plano de control, un salto desde los 200 clusters que manejaba la versión anterior en entornos estándar. Esto no es un dato aislado: en pruebas internas de VMware con cargas de trabajo de IA que requieren GPUs, VKS logró reducir el tiempo de aprovisionamiento de clusters desde 45 minutos a menos de 5 minutos, gracias a la automatización de VCF Automation (VCFA).

Otra novedad clave es la introducción del Container as a Service (CaaS) en VCF 9.1, que permite ejecutar contenedores directamente sobre ESXi sin la sobrecarga de un cluster Kubernetes completo. Esta capacidad es crítica para equipos que necesitan migrar cargas de trabajo legacy sin reescribirlas, pero también para modernizar aplicaciones en etapas. El CaaS genera automáticamente YAML consistente para VKS cuando la arquitectura evoluciona, evitando la necesidad de reescribir manifiestos manualmente.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

DevOps

Para los equipos de DevOps, VKS en VCF 9.1 reduce la fricción entre desarrollo y operaciones al unificar la gestión de VMs y contenedores bajo un mismo plano de control. La capacidad de manejar 500 clusters por plano de control —y escalar horizontalmente con múltiples instancias gestionadas centralmente— significa que los equipos pueden aislar cargas de trabajo críticas sin multiplicar la complejidad. Por ejemplo, un equipo de e-commerce puede desplegar clusters separados para checkout, catálogo y recomendaciones, cada uno con políticas de recursos y seguridad independientes, todo desde una misma consola.

Infraestructura y Cloud

Desde la perspectiva de infraestructura, VKS elimina los costos ocultos de Kubernetes en la nube pública. Según cálculos de VMware, las empresas que migran desde clusters auto-gestionados en EKS o AKS a VKS en VCF reducen sus costos operativos en un 30% en el primer año, principalmente por:

• Eliminación de overhead de gestión de nodos (VKS usa nodos estáticos con balanceo automático).
• Reducción del 50% en el tiempo de aprovisionamiento de clusters.
• Simplificación de backups y recuperaciones al integrarse con vSphere Storage Policies.

Para equipos en la nube híbrida, VKS 3.6 introduce soporte nativo para GPUs NVIDIA con scheduling basado en afinidad, lo que permite a los equipos de IA desplegar modelos sin preocuparse por la configuración manual de drivers o recursos compartidos.

Seguridad

La seguridad en Kubernetes suele ser un parche de herramientas externas (Vault, Istio, Falco, etc.), cada una con su propio ciclo de actualización y posibles brechas de configuración. VKS en VCF 9.1 aborda esto con seguridad integrada por diseño:

• Autenticación y autorización unificadas: VKS 3.6 usa las credenciales de vCenter para autenticar usuarios en clusters, eliminando la necesidad de gestionar secretos manualmente.
• Políticas de red basadas en etiquetas: Las políticas de Calico se aplican automáticamente según etiquetas de namespaces, reduciendo el riesgo de misconfiguraciones.
• Auditoría centralizada: Todos los eventos de Kubernetes se envían a vRealize Log Insight con retención configurable, cumpliendo con estándares como ISO 27001 o SOC 2.

El impacto es cuantificable: en un caso de uso documentado por VMware, una empresa del sector financiero redujo sus incidentes de seguridad relacionados con Kubernetes en un 78% al migrar a VKS 3.6, gracias a la eliminación de cuentas de servicio sobrepermisadas y la aplicación consistente de políticas.

Detalles técnicos

Límites de escalabilidad

VCF 9.1 con VKS introduce cambios arquitectónicos que permiten manejar cargas de trabajo antes impensables:

• Máxima cantidad de clusters: 500 clusters de carga de trabajo por instancia de plano de control (antes: 200 en VCF 8.x).
• Máxima cantidad de nodos por cluster: 1,000 nodos (antes: 500).
• Soporte para Kubernetes: Versiones 1.33, 1.34 y 1.35 simultáneamente.
• Aislamiento de recursos: Los clusters pueden configurarse con ResourceQuotas específicos para CPU, memoria, GPUs y almacenamiento, aplicados en el momento de creación del cluster.

Estos límites no son teóricos. En pruebas de rendimiento con VKS 3.6 en VCF 9.1 sobre hardware Dell PowerEdge R750 con 2x Intel Xeon Gold 6338 (32 cores cada uno) y 1TB de RAM, se lograron:

• Tiempo de creación de cluster: 4 minutos (incluyendo aprovisionamiento de nodos, configuración de red y políticas de seguridad).
• Throughput de pods: 15,000 pods por minuto en clusters con alta densidad.

Container as a Service (CaaS)

El nuevo CaaS en VCF 9.1 ejecuta contenedores directamente sobre ESXi sin necesidad de un cluster Kubernetes completo. Esto se logra mediante:

• Runtime de contenedores optimizado: Basado en containerd 1.7.22 (incluido en VCF 9.1), con soporte para imágenes OCI y Docker.
• Aislamiento de recursos: Cada contenedor se ejecuta en una VM ligera con vSphere Resource Pools, lo que permite aplicar límites de CPU y memoria sin afectar otros workloads.
• Escalabilidad automática: El CaaS escala horizontalmente según la demanda, con un límite de 200 contenedores por nodo ESXi (ajustable vía vSphere DRS).

Para migrar cargas de trabajo existentes, VKS genera automáticamente manifiestos YAML para clusters de producción cuando se detecta que la aplicación requiere escalabilidad avanzada. Por ejemplo, este comando convierte un deployment de contenedores en un cluster VKS:

kubectl apply -f deployment-legacy.yaml --context=caas-context

El sistema genera un YAML para VKS que incluye:

• PersistentVolumes configurados según las políticas de almacenamiento de VCF.
• NetworkPolicies basadas en Calico con reglas predefinidas.
• HorizontalPodAutoscaler configurado para escalar según métricas de Prometheus.

Seguridad integrada

VKS 3.6 implementa los siguientes controles de seguridad:

• Autenticación: Integración con vCenter SSO (LDAP/Active Directory o SAML 2.0). Los tokens de Kubernetes se firman con certificados X.509 generados automáticamente por vSphere.
• Autorización: Role-Based Access Control (RBAC) sincronizado con vCenter, donde los roles de Kubernetes se mapean a grupos de vCenter.
• Políticas de red: Calico 3.26 con políticas basadas en etiquetas de namespaces. Por defecto, todos los pods están en modo «deny» hasta que se configure una política explícita.
• Secretos: Integración con vSphere Secrets Manager (basado en HashiCorp Vault), donde los secretos se inyectan en los pods como variables de entorno cifradas.

Un ejemplo de política de red aplicada automáticamente:

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  selector: all()
  types:
  - Ingress
  - Egress

Esta política se aplica a todos los namespaces al crear un nuevo cluster VKS, reduciendo el riesgo de exposición de puertos innecesarios.

Qué deberían hacer los administradores y equipos técnicos

1. Actualizar a VCF 9.1 y VKS 3.6

El primer paso es actualizar a VCF 9.1, seguido de la actualización de VKS a la versión 3.6. VMware recomienda el siguiente orden:

# Verificar versión actual de VCF
vcd version

# Actualizar VCF a 9.1 (usando SDDC Manager)
sudo sddc-manager update --bundle vcf-9.1.0-22545750

# Actualizar VKS a 3.6
sudo vks-admin upgrade --version 3.6.0

• Todos los clusters existentes estén en un estado saludable (kubectl get nodes debe devolver todos los nodos en Ready).
• Tengan backups de los clusters actuales (VCF incluye integración con Velero para esto).
• Revisen la matriz de compatibilidad de VKS 3.6 para versiones de Kubernetes soportadas.

2. Migrar cargas de trabajo a VKS

Para equipos con cargas de trabajo existentes en clusters auto-gestionados (ej: EKS, AKS), VMware proporciona una herramienta de migración llamada VKS Migration Assistant. Los pasos son:

# Clonar el repositorio de migración
git clone https://github.com/vmware/vks-migration-assistant.git
cd vks-migration-assistant

# Ejecutar el asistente en modo análisis (sin aplicar cambios)
./migrate.sh analyze --source-context=eks-context --target-context=vks-context

# Aplicar cambios con validación
./migrate.sh apply --source-context=eks-context --target-context=vks-context --validate-only

• Aplicaciones con PersistentVolumes (asegúrense de que los PVCs se migren correctamente).
• Servicios con Ingress (verifiquen que los LoadBalancers se reconfigurem en VKS).
• Aplicaciones con GPUs (usen nvidia.com/gpu en los resource requests).

3. Configurar políticas de seguridad antes de escalar

Antes de aprovechar los nuevos límites de escalabilidad de VKS, configuren políticas de red y RBAC:

# Ejemplo: Política de red para un namespace de producción
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: production-allow-frontend
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: frontend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: api
    ports:
    - protocol: TCP
      port: 8080

• Usen vRealize Network Insight para auditar políticas de red antes de aplicarlas.
• Configuren vRealize Operations para monitorear el uso de recursos en clusters VKS y ajustar los ResourceQuotas.

4. Aprovechar el Container as a Service (CaaS)

Para equipos que no necesitan Kubernetes completo, migren cargas de trabajo a CaaS:

# Desplegar un contenedor en CaaS (requiere vSphere 8.0 U2 o superior)
kubectl apply -f caas-deployment.yaml --context=caas-context

# Verificar el estado del contenedor
kubectl get pods --context=caas-context

• Reducción del 40% en consumo de recursos vs. clusters Kubernetes completos.
• Integración con vSphere Distributed Resource Scheduler (DRS) para balanceo automático.
• Soporte para vSphere Storage Policies sin configuración manual de CSI.

Conclusión

VKS en VCF 9.1 no es solo otra actualización de Kubernetes; es una respuesta concreta a los cuellos de botella que han frenado a las empresas en su adopción de aplicaciones modernas. Con soporte para hasta 500 clusters por plano de control, seguridad integrada con RBAC y redes basadas en Calico, y la capacidad de ejecutar contenedores directamente sobre ESXi con CaaS, los equipos de infraestructura y DevOps pueden reducir costos operativos sin sacrificar rendimiento o seguridad.

La clave está en la migración gradual: comiencen con cargas de trabajo no críticas, aprovechen las herramientas de migración de VMware, y configuren políticas de seguridad antes de escalar. Con VKS 3.6 y VCF 9.1, el desafío ya no es «cómo desplegar Kubernetes», sino «cómo escalarlo sin aumentar la complejidad».

Fuentes

• VMware: Deploy Modern Apps Faster, Scale Smarter, and Lower Your TCO with VMware vSphere Kubernetes Service in VCF 9.1
• VMware VKS 3.6 Release Notes
• VMware VKS Compatibility Matrix
• State of Platform Engineering Report 2025