Kubernetes — Avanzado

Este curso está dirigido a ingenieras e ingenieros de plataforma, SREs y arquitectos de infraestructura que ya operan clústeres Kubernetes en producción y necesitan dominar los patrones avanzados que marcan la diferencia entre una plataforma estable y una realmente resiliente. A lo largo de ocho horas intensivas, las participantes afrontarán escenarios reales: diseñarán clústeres multi-zona con alta disponibilidad, optimizarán la utilización de recursos mediante políticas de escalado automático, auditarán la seguridad de un clúster con herramientas de referencia del sector, construirán pipelines GitOps completos con gestión de secretos y rollback automatizado, y trazarán una estrategia de observabilidad end-to-end que cubre métricas, logs y trazas distribuidas. Al finalizar, cada participante será capaz de tomar decisiones de arquitectura fundamentadas, detectar y resolver fallos de scheduling complejos, y extender el API de Kubernetes mediante Operators, aportando valor directo y medible al ciclo de vida de sus plataformas productivas.

1. Describir los principios de alta disponibilidad multi-zona en Kubernetes, identificando las decisiones clave de topología de nodos, distribución del control plane y estrategia de networking que determinan la resiliencia de un clúster.
2. Analizar las implicaciones de seguridad de un clúster productivo, explicando cómo se articulan las políticas RBAC, Pod Security Admission y las herramientas de análisis estático para priorizar hallazgos por nivel de riesgo.
3. Diseñar la topología de un clúster Kubernetes multi-zona con alta disponibilidad, justificando cada decisión de arquitectura frente a un conjunto de requisitos de negocio concretos.
4. Optimizar la utilización de recursos de un clúster productivo configurando requests/limits, LimitRanges, ResourceQuotas y políticas HPA/VPA, y demostrando una mejora medible en densidad de carga sin degradar los SLOs definidos.
5. Automatizar el ciclo de vida de aplicaciones mediante un pipeline GitOps completo —ArgoCD o Flux— que incluya gestión de secretos externos, estrategia de rollback y validación previa de manifiestos.
6. Arquitecturar una estrategia de observabilidad end-to-end integrando métricas, logs y trazas distribuidas, y definiendo SLIs/SLOs con alertas accionables para un clúster en producción.
7. Diagnosticar y resolver fallos de scheduling en escenarios complejos —taints, affinity rules en conflicto y recursos fragmentados— identificando la causa raíz a través de eventos del scheduler y métricas de nodo.
8. Evaluar el trade-off entre soluciones de service mesh (Istio, Linkerd, Cilium) y extender el API de Kubernetes desarrollando un Operator con patrón controller que gestione el ciclo de vida completo de un recurso custom (CRD).

Bloque 1 — Arquitectura de alta disponibilidad y resiliencia multi-zona Se parte de los fundamentos que gobiernan la distribución del control plane en múltiples zonas de disponibilidad: topología de nodos, consideraciones de latencia entre replicas de etcd, y estrategias de networking (CNI, load balancing externo e interno) para garantizar la continuidad del servicio ante fallos de zona. Las participantes analizan casos reales donde los requisitos de negocio —RTO, RPO, presupuesto de infraestructura— determinan las decisiones de diseño, y producen una propuesta de arquitectura razonada que servirá de hilo conductor durante el resto del curso.

Bloque 2 — Gestión avanzada de recursos y escalado automático El foco se desplaza hacia la eficiencia operativa: cómo evitar tanto el desperdicio de capacidad como la degradación de SLOs mediante la configuración precisa de requests y limits a nivel de contenedor, LimitRanges y ResourceQuotas por namespace, y la coordinación entre Horizontal Pod Autoscaler y Vertical Pod Autoscaler. Se trabaja sobre métricas reales para demostrar que las decisiones de configuración producen mejoras medibles en la densidad de carga del clúster.

Bloque 3 — Seguridad en profundidad: RBAC, Pod Security Admission y análisis automatizado Este bloque aborda la auditoría de seguridad como disciplina sistemática. Se revisan los vectores de ataque más frecuentes en clústeres Kubernetes —exceso de permisos RBAC, contenedores privilegiados, imágenes con vulnerabilidades conocidas— y se aplican herramientas como kube-bench y Trivy para obtener un inventario priorizado de hallazgos. Se establece una metodología de triaje basada en CVSS y contexto operativo que permite centrar el esfuerzo de remediación donde el riesgo es mayor.

Bloque 4 — GitOps y automatización del ciclo de vida de aplicaciones Las participantes construyen un pipeline GitOps completo usando ArgoCD o Flux, integrando gestión de secretos externos (External Secrets Operator o Sealed Secrets), validación estática de manifiestos con herramientas como kubeconform o conftest, y una estrategia de rollback automatizado ante fallo de health checks. Se discuten las implicaciones de este enfoque sobre la trazabilidad de cambios, el cumplimiento normativo y la colaboración entre equipos de desarrollo y operaciones.

Bloque 5 — Observabilidad end-to-end, troubleshooting avanzado y extensibilidad del API El curso cierra abordando tres capacidades que distinguen a los equipos de plataforma maduros. Primero, la construcción de una estrategia de observabilidad coherente que integre métricas con Prometheus y Alertmanager, logs estructurados con Loki o la pila EFK, y trazas distribuidas con Tempo o Jaeger, todo ello articulado alrededor de SLIs y SLOs con alertas accionables. Segundo, el diagnóstico de fallos de scheduling en escenarios complejos —combinaciones de taints, node affinity en conflicto y clústeres con recursos fragmentados— utilizando los eventos del scheduler y métricas de nodo como fuentes primarias de evidencia. Tercero, la evaluación comparativa de service meshes (Istio, Linkerd, Cilium) y la extensión del propio API de Kubernetes mediante el patrón Operator con Operator SDK o Kubebuilder, completando así la visión de una plataforma que se adapta a los requisitos del negocio en lugar de limitarlos.

• Acceso a un clúster Kubernetes 1.28 o superior con permisos de administrador de clúster (cluster-admin); se recomienda un clúster de práctica dedicado (p. ej., aprovisionado con kind multi-nodo o un entorno cloud como GKE/EKS/AKS con al menos tres nodos trabajadores en dos zonas).
• kubectl 1.28+ instalado y configurado en la máquina local.
• Helm 3.x instalado.
• CLI de ArgoCD o Flux instalada según la elección del participante.
• Acceso a un registro de imágenes de contenedor (Docker Hub, GHCR o registro privado).
• Herramientas instaladas localmente: kube-bench, trivy, kubeconform y conftest (o capacidad para ejecutarlas vía contenedor).
• Operator SDK o Kubebuilder instalado para el bloque de extensibilidad (instrucciones de instalación facilitadas en el repositorio del curso).
• Navegador web moderno con acceso a las interfaces gráficas de ArgoCD, Prometheus y Grafana (accesibles vía port-forward o Ingress en el clúster de práctica).

Se requiere haber completado el curso KUB02 o disponer de experiencia equivalente: las participantes deben ser capaces de desplegar y gestionar workloads en Kubernetes con fluidez, conocer el modelo de red del clúster (Services, Ingress, NetworkPolicies), trabajar con Helm y gestionar el ciclo de vida básico de aplicaciones en un entorno productivo. Se asume soltura con la línea de comandos Linux, familiaridad con YAML y comprensión de los conceptos fundamentales de contenedores (imagen, runtime, registro).