Configurar Nodos Gestionados de EKS con Proxy y Terraform

Guía para asegurar nodos EKS tras proxy corporativo mediante cloudinit_pre_nodeadm y Terraform: configura proxy a nivel OS, containerd y kubelet desde el primer arranque.

18 sept 2025 • 3 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

En entornos empresariales la seguridad y las políticas de red son prioritarias. Es habitual que servidores, incluidos los nodos worker de Kubernetes en Amazon EKS, residan en subredes privadas sin acceso directo a Internet y que todo el tráfico saliente tenga que pasar por un proxy HTTP/HTTPS centralizado y monitorizado. Esto mejora la seguridad pero plantea un reto de configuración para componentes que necesitan descargar imágenes de contenedor, comunicarse con las APIs de AWS y ejecutar tareas de arranque.

El módulo terraform-aws-modules/eks/aws ofrece un hook llamado cloudinit_pre_nodeadm que permite inyectar una configuración previa al agente de bootstrap nodeadm. La idea es asegurar que desde el primer arranque el sistema operativo, el runtime de contenedores containerd y los componentes de Kubernetes sean conscientes del proxy.

El reto principal es lograr una conciencia de proxy completa. No basta con exportar variables HTTP_PROXY y HTTPS_PROXY en el shell. Un nodo EKS moderno basado en la AMI optimizada de Amazon Linux necesita configuración independiente para varios elementos: el sistema operativo para sesiones y utilidades generales, containerd para poder tirar imágenes desde Docker Hub o Amazon ECR, el proceso de bootstrap nodeadm que debe comunicarse con el plano de control y en muchos casos debe evitar el proxy, y el gestor de paquetes yum si se instalan paquetes adicionales en user data.

cloudinit_pre_nodeadm actúa en el momento justo: después de la inicialización básica del SO pero antes de que nodeadm arranque. Al ejecutar un script cloud-init en este punto se garantiza que cuando nodeadm, containerd y kubelet se inicien heredarán la configuración de red correcta y podrán funcionar en una red restringida.

Resumen del enfoque recomendado sin incluir bloques de código literales: desde Terraform se pasa la variable de cluster service CIDR al módulo y se define cloudinit_pre_nodeadm con un script shell que realiza estos pasos principales. Primero obtiene un token de IMDSv2 para consultar de forma segura el metadata service y extraer la dirección MAC y los bloques CIDR de la VPC. Con esos datos se construye la lista NO_PROXY incluyendo el CIDR de la VPC, el CIDR de servicios de Kubernetes, localhost, 169.254.169.254 y sufijos como .amazonaws.com y .svc.cluster.local para asegurar acceso directo a APIs y servicios internos.

El script escribe las variables HTTP_PROXY HTTPS_PROXY NO_PROXY en /etc/environment en formas tanto en mayúsculas como en minúsculas para cubrir distintas convenciones. Para containerd y nodeadm se crean overrides de systemd que incluyen EnvironmentFile=/etc/environment, de forma que esos servicios carguen las variables al arrancar. Se añade además la línea proxy al archivo /etc/yum.conf para que yum use el proxy. Finalmente se recarga systemd y se reinicia containerd; nodeadm arranca posteriormente heredando la configuración.

Algunas buenas prácticas incluidas en el flujo: usar set -e y set -x en el script para detectar errores y facilitar el diagnóstico, construir dinámicamente NO_PROXY evitando valores hardcodeados, y aprovechar una solución declarativa en Terraform para mantener la reproducibilidad y el versionado de la infraestructura.

Este patrón permite que los nodos gestionados se unan al cluster, obtengan certificados, configuren kubelet y tiren imágenes de contenedores aun cuando estén detrás de un proxy corporativo, simplificando el despliegue en entornos restrictivos y cumpliendo requisitos de seguridad y auditoría.

En Q2BSTUDIO ayudamos a implementar soluciones cloud seguras y automatizadas que incluyen despliegue de Kubernetes y configuración con Terraform. Somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio y agentes IA. Si buscas apoyo en migraciones o en diseñar pipelines de infraestructura como código puedes conocer nuestros servicios de servicios cloud aws y azure y explorar cómo aplicamos inteligencia artificial para empresas y soluciones a medida.

Palabras clave integradas para mejorar posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi. Si quieres que adaptemos este patrón a tu arquitectura y políticas de seguridad contacta con Q2BSTUDIO para una propuesta personalizada.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat