Volver al inicio
Galería

Arquitecturas,
moto y buceo.

Tres pasiones. Patrones cloud de referencia con consideraciones WAF, rutas en moto y buceo. Lo que me apasiona dentro y fuera del trabajo.

Arquitecturas Cloud

Patrones de referencia.

Arquitecturas multi-cloud alineadas con el Azure Well-Architected Framework. Cada patrón incluye las consideraciones críticas de despliegue que marcan la diferencia entre un proyecto exitoso y uno que falla en producción.

// ARCH 01
Enterprise Landing Zone — Hub-Spoke
MANAGEMENT GROUPS:RootPlatformCorp LZSandboxHUB VNetAzure FirewallExpressRoute GWAzure DNSAzure BastionSpoke: Corp ProdSpoke: Dev/TestSpoke: DMZOn-PremisesDatacenterERAzure Policy// IaC — Bicep/Terraform

Arquitectura de red Hub-Spoke para entornos enterprise multi-suscripción con Management Groups jerárquicos, Azure Policy centralizado, RBAC granular y conectividad privada. La base sobre la que se construye cualquier adopción cloud seria en el mercado enterprise.

Hub-SpokeAzure FirewallExpressRouteAzure PolicyIaC
// Consideraciones de despliegue · WAF
  1. Planificar el espacio de direcciones ANTES del primer spoke — modificar CIDR en VNets con peerings activos requiere destruir y recrear. No hay marcha atrás sin downtime.
  2. Centralizar la inspección de tráfico con Azure Firewall y UDRs en cada spoke. Sin esta configuración, el tráfico lateral entre spokes no se inspeccionará.
  3. Desplegar Azure Firewall en múltiples Availability Zones para SLA elevado. Un firewall en zona única es un SPOF para toda la conectividad de la Landing Zone.
  4. Activar IDPS en modo Alert & Deny desde el primer día. No activarlo en producción después es casi imposible sin revisión exhaustiva de reglas.
  5. ExpressRoute: circuitos redundantes en ubicaciones de peering distintas y proveedores diferentes. Un solo circuito equivale a no tener redundancia real.
  6. Todo el despliegue en IaC (Bicep/Terraform) — los cambios manuales en reglas de firewall o NSGs son la principal fuente de deriva de configuración en entornos enterprise.
SeguridadFiabilidadExcelencia OperacionalCoste
Ver caso real → Proyecto 001 Publicar en LinkedIn
// ARCH 02
Zero Trust Architecture — Cloud Native
IDENTIDADEntra ID · Conditional Access · MFA/FIDO2 · PIMDISPOSITIVOSIntune · Compliance Policies · Device HealthREDNSGs · Micro-segmentación · Private EndpointsAPLICACIONESApp Proxy · RBAC · App Registration · WAFDATOSPurview · DLP · Encryption · Information LabelsSIEM · SENTINEL · DEFENDER XDR// NEVER TRUST — ALWAYS VERIFY — ASSUME BREACH

Modelo Zero Trust end-to-end: identidad como nuevo perímetro, acceso condicional basado en riesgo en tiempo real, microsegmentación de red y visibilidad total con SIEM/XDR. Compatible con los requisitos técnicos de DORA, NIS2 y regulación financiera europea.

Entra IDConditional AccessDefender XDRSentinelPurview
// Consideraciones de despliegue · WAF
  1. MFA resistente a phishing (FIDO2/passkeys) como primer control obligatorio — MFA estándar por SMS o TOTP es bypasseable. No es suficiente bajo DORA.
  2. Nunca confiar en la red corporativa como factor de seguridad — el modelo "inside = trusted" es la raíz de la mayoría de brechas laterales en entornos enterprise.
  3. Políticas de Acceso Condicional basadas en señales de riesgo (usuario, dispositivo, localización, aplicación) — las políticas estáticas no detectan sesiones comprometidas activas.
  4. Privileged Identity Management (PIM) sin excepción — eliminar cuentas con privilegios permanentes. El 80% de brechas exitosas escalan privilegios desde una cuenta comprometida.
  5. Correlación de señales en Sentinel desde día 1 — XDR sin SIEM central no permite detectar ataques que cruzan identidad, red y datos simultáneamente.
  6. DORA/NIS2: automatizar la notificación de incidentes — el plazo de 24h (DORA) o 72h (NIS2) no es compatible con procesos manuales de escalado y reporte.
SeguridadCumplimiento regulatorioFiabilidad
Ver caso real → Proyecto 002 Publicar en LinkedIn
// ARCH 03
GenAI Platform — Multi-Cloud & Agnóstica
DATASOURCESSharePointSQL · FilesAPIsRAGPIPELINEChunkingEmbeddingsVector DBORCHES-TRATORSemantic KernelLangChainContext·Memory·GuardrailsLLMPROVIDERSGPT-4oClaude 3GeminiLlama 3INTER-FACESChat · APICopilotAgentsDATA GOVERNANCE · GDPR · PII Detection · Audit Logs · Model Registry

Plataforma de IA generativa agnóstica de proveedor: orquestación de LLMs (OpenAI, Anthropic, Gemini, Llama), RAG sobre datos corporativos con control de acceso, guardrails de seguridad y governance end-to-end. ROI medible, sin vendor lock-in.

LLM OrchestrationRAG / Vector DBGuardrailsAPI ManagementData Governance
// Consideraciones de despliegue · WAF
  1. Implementar guardrails de input/output antes de producción — los LLMs sin restricciones son impredecibles. Los fallos de alucinación o prompt injection en producción son críticos.
  2. La chunking strategy y el embedding model son críticos para RAG — un mal chunking produce respuestas incorrectas aunque el modelo sea excelente. Evaluar con datos reales.
  3. Abstraer el acceso a LLMs con una capa de orquestación (LangChain, Semantic Kernel) — cambiar de proveedor de modelo sin esta capa requiere reescribir toda la aplicación.
  4. Verificar la región de procesamiento de los LLMs — en Europa, GDPR exige control sobre dónde se procesan los datos. No todos los modelos tienen endpoints en UE.
  5. Evaluar latencia vs coste por modelo — GPT-4o es 10-20x más caro que modelos intermedios. Para mayoría de casos de uso, modelos más ligeros dan >90% de la calidad.
  6. Monitorización de calidad continua con evaluaciones automáticas (RAGAS, LLM-as-judge) en CI/CD — la calidad de los LLMs degrada con actualizaciones del modelo base.
CosteSeguridadRendimientoExcelencia Operacional
Ver caso real → Proyecto 004 Publicar en LinkedIn
// ARCH 04
FinOps Platform — Multi-Cloud Visibility
Microsoft AzureAmazon AWSGoogle CloudCOST AGGREGATION · Azure Cost Mgmt · AWS Cost Explorer · GCP BillingAUTOMATIONRightsizing · Auto-shutdown · AnsibleGOVERNANCETagging Policy · Budget Alerts · ChargebackREPORTING & INSIGHTS · Power BI · Executive Dashboard · Team Cost View

Plataforma FinOps con visibilidad unificada en Azure, AWS y GCP: dashboards ejecutivos de chargeback, alertas de presupuesto, rightsizing automatizado con Dynatrace y Ansible, y optimización continua de reservas y Savings Plans.

Azure Cost MgmtAWS Cost ExplorerDynatraceAnsiblePower BI
// Consideraciones de despliegue · WAF
  1. Tagging obligatorio como prerequisito absoluto — sin etiquetado consistente el chargeback es imposible. Implementar con Policy/SCP antes de desplegar el primer recurso.
  2. Definir KPIs FinOps antes de empezar: coste/unidad de negocio, % recursos etiquetados, % utilización de reservas. Sin métricas baseline, no hay mejora medible.
  3. Reservas y Savings Plans: analizar 12 meses de uso antes de comprometerse — el sobrecommitment es más caro que el pago por uso. Empezar con compromisos cortos (1 año).
  4. Rightsizing: período de observación de 30 días antes de aplicar — ajustar recursos en producción sin datos históricos suficientes genera incidentes de rendimiento.
  5. Apagado automático de entornos no-productivos con lógica de excepciones — sin excepciones documentadas, los desarrolladores desactivan el sistema completo después del primer fallo.
  6. FinOps es cultura, no solo herramienta — los equipos de desarrollo deben ver el coste como métrica de calidad. Publicar dashboards de coste por equipo genera cambio de comportamiento.
Optimización de CosteExcelencia OperacionalRendimiento
Ver caso real → Proyecto 006 Publicar en LinkedIn
// ARCH 05
Sovereign Cloud Architecture — Europe
UNIÓN EUROPEA · EU Data ResidencySOVEREIGN CLOUD REGION · Germany/EuropeComputeStorageNetworkAI ServicesPersonal 100% Europeo · Código fuente local · Autonomía operativaBSI C5ENS AltoGDPRNIS2DORASector PúblicoBanca · DORASanidadCLOUD ACTUSA ✗ No access// Soberanía operativa real — no solo residencia de datos

Arquitectura de nube soberana para sectores regulados europeos: aislamiento operativo completo, residencia de datos en UE, personal técnico europeo y cumplimiento demostrable bajo GDPR, NIS2, DORA y Cyber Resilience Act.

AWS ESCAzure SovereignBSI C5ENS AltoPolicy-as-Code
// Consideraciones de despliegue · WAF
  1. Residencia de datos ≠ Soberanía operativa — verificar que el personal con acceso privilegiado sea europeo. Datos en Europa con acceso desde EE.UU. no es nube soberana.
  2. CLOUD Act americana aplica incluso a datos en Europa — los CSPs americanos están sujetos a la ley americana globalmente. Evaluación jurídica independiente es obligatoria.
  3. NIS2/DORA: mapear todos los sistemas críticos antes del diseño — las multas por incumplimiento alcanzan el 2% del volumen de negocio global anual.
  4. Probar la autonomía operativa periódicamente — simular la operación sin conectividad al proveedor para verificar que la independencia declarada es real, no teórica.
  5. Certificaciones BSI C5 o ENS Alto como evidencia ante reguladores — las declaraciones contractuales no son suficientes para auditores de CNMV, BdE o ENISA.
  6. Facturación separada del cloud estándar obligatoria para trazabilidad y auditoría regulatoria. Sin segregación de facturación, el cumplimiento es imposible de demostrar.
SeguridadCumplimientoFiabilidad
Ver caso real → Proyecto 007 Publicar en LinkedIn
// ARCH 06
Cloud-Native Modernisation — Containers & K8s
CI/CD PIPELINE · GitHub Actions · Azure DevOps · Helm · ArgoCD0–6 mesesFASE 1LIFT & SHIFTVMware VMsSAP IaaSAzure VMwareSolution (AVS)HCX Migration6–18 mesesFASE 2REFACTORContainersDocker ImagesHelm ChartsACR RegistryMicroservices18–36 m.FASE 3CLOUD-NATIVEAKS / OpenShiftGitOpsHPA + Cluster ASPrivate APIZone redundancyOBSERVABILIDAD · Azure Monitor · Dynatrace · Prometheus · Grafana

Hoja de ruta de modernización progresiva de legacy a cloud-native: lift & shift inicial con AVS/IaaS, refactoring incremental a microservicios, adopción de Kubernetes/OpenShift y pipelines CI/CD. Sin big bang, sin interrupciones de producción.

AKS / OpenShiftAzure Container RegistryHelmGitHub ActionsAzure Monitor
// Consideraciones de despliegue · AKS WAF
  1. Estrategia lift-and-shift primero con IaaS — modernizar aplicaciones directamente en cloud es más arriesgado que migrarlas primero y modernizarlas después en entorno cloud estable.
  2. Clústeres AKS privados con API server allowlist — exponer el API server a internet es un riesgo crítico. El 40% de incidentes en Kubernetes provienen de APIs expuestos.
  3. Node pools dedicados: separar cargas de sistema de aplicación (mínimo 2 nodos por pool). La contaminación de recursos entre workloads afecta a la estabilidad del plano de control.
  4. Nodos distribuidos en múltiples Availability Zones — un nodo en zona única es un SPOF para aplicaciones críticas. AZ deployment es gratuito y obligatorio en producción.
  5. Solo imágenes firmadas de registros privados (ACR/Quay) — los ataques de supply chain son el vector de crecimiento más rápido en entornos containerizados.
  6. Cluster Autoscaler + HPA configurados antes de ir a producción — el escalado manual no es operativamente viable. Sin autoscaling, los picos de tráfico causan indisponibilidad.
FiabilidadSeguridadRendimientoCoste
Ver caso real → Proyecto 005 Publicar en LinkedIn
// ARCH 07
Multi-Agent Credit Risk Analysis — AWS Bedrock

Sistema multi-agente para análisis de riesgo crediticio PYME en banca regulada española. Cuatro agentes especializados coordinados por supervisor ReAct, RAG jerárquico con embeddings en DLC SageMaker dentro de VPC, paralelización de tool calls y auditabilidad DORA con tracing completo a CloudWatch.

Bedrock Agents (ReAct)Claude 3.5 SonnetOpenSearch ServerlessDLC SageMakerLambdaTextractCloudWatch Traces
// Consideraciones de despliegue · AWS
  1. Embeddings dentro de la VPC obligatorio: usar DLC de Titan Embeddings v2 en SageMaker Endpoint privado — el texto de la política de crédito nunca sale al endpoint público de Bedrock
  2. Nunca delegar cálculos numéricos al LLM: Textract extrae tablas; Python con tipo NUMERIC calcula ratios. El LLM solo interpreta
  3. Paralelizar tool calls sin dependencia de datos: las cuatro consultas iniciales se lanzan simultáneamente — de 24s a 7s
  4. Prompt caching para documentos estáticos: la política de crédito (180 páginas) cacheada en Bedrock — ~85% reducción en tokens y latencia
  5. enableTrace: ENABLED desde el primer deploy: el tracing ReAct completo es el expediente de auditoría que el regulador exigirá
  6. Preparar el pack de gobernanza antes de la primera demo: el comité de riesgos bloqueará el proyecto sin dictamen legal sobre responsabilidad en decisiones asistidas por IA
SeguridadFiabilidadCosteExcelencia Operacional
Ver caso real → Proyecto 008 Publicar en LinkedIn
// ARCH 08
Agentic Claims Management — AgentCore + EventBridge

Workflow agéntico end-to-end para tramitación de siniestros con Amazon Bedrock AgentCore como runtime de estado persistente (cada expediente = una sesión activa durante semanas), SageMaker DLC PyTorch para detección de fraude y Amazon EventBridge como bus de transiciones de estado auditable.

Bedrock AgentCoreSageMaker DLC PyTorchEventBridgeTextract MultimodalMSK KafkaSecurity Lake
// Consideraciones de despliegue · AWS
  1. AgentCore Memory para workflows de larga duración: cada expediente = una sesión con estado persistente accesible para todos los agentes durante semanas, sin construir esa infraestructura a mano
  2. DLC PyTorch en SageMaker dentro de VPC: el modelo de fraude procesa datos de pólizas y clientes — la inferencia nunca sale al endpoint público
  3. Pipeline de reentrenamiento mensual automático: los modelos de fraude degradan; configurar desde el inicio el pipeline con nuevos datos etiquetados + anomaly detection para patrones emergentes
  4. EventBridge con reintentos backoff exponencial: cada transición de estado es un evento auditable. El historial es el log de auditoría para la DGS
  5. Human-in-the-loop en pagos es obligatorio regulatoriamente: diseñar "aprobación en un clic" desde el inicio, no como concesión posterior
  6. Análisis multimodal para documentos no estructurados: combinar Textract + Bedrock multimodal — tasa de error del 23% al 3%
FiabilidadSeguridadRendimientoCoste
Ver caso real → Proyecto 009 Publicar en LinkedIn
// ARCH 09 ● EN CURSO
Mainframe Modernization — Kiro + Bedrock + EKS

Modernización incremental de sistema COBOL legacy (2,1M líneas) a arquitectura cloud-native AWS. Agente de análisis con Bedrock documenta el sistema en 6 semanas; Kiro (spec-driven) acelera el desarrollo 3,5x; Amazon EKS + Aurora PostgreSQL como plataforma target. MSK para sincronización durante la transición.

Amazon KiroBedrock (Claude)CodeCommitAmazon EKSAurora PostgreSQLAmazon MSKCodePipeline
// Consideraciones de despliegue · AWS + Kiro
  1. Fase 0 de análisis agéntico antes de cualquier código: el agente debe generar casos de prueba Y ejecutarlos sobre el COBOL real para validar sus propias predicciones
  2. Tipo NUMERIC (no FLOAT) en Aurora PostgreSQL para campos financieros: COBOL COMP-3 usa aritmética decimal exacta; IEEE 754 acumula errores en cálculos de intereses
  3. Análisis estático del COBOL antes de enviarlo al modelo: enmascarar datos personales + VPC endpoint privado para el tráfico de análisis
  4. Capa de reconciliación nocturna para el periodo de coexistencia: las inconsistencias entre mainframe y sistema nuevo son inevitables — diseñar desde el inicio
  5. El steering file de Kiro es el activo más crítico: contiene el análisis funcional completo y las reglas de negocio críticas. Sin él, las specs de Kiro son genéricas
  6. Documentar los descubrimientos regulatorios como activo de negocio: las reglas ocultas encontradas por el agente son valiosas para el área de negocio
FiabilidadSeguridadExcelencia OperacionalCoste
Ver caso real → Proyecto 010 Publicar en LinkedIn
Rutas en moto

Kilómetros que merecen la pena.

Concentraciones, rutas y momentos desde la silla. La moto como excusa para descubrir España.

Jesús Roales rodando en su moto cruiser por carretera secundaria
// Carretera secundaria · Castilla
En ruta

La moto como forma de estar en el presente. Carretera, horizonte y ninguna reunión en el calendario.

CruiserRutaCastilla
Concentración de motos en plaza mayor
// Plaza Mayor · España
Concentración motera

Una plaza llena de motos, terrazas y moteros. El ritual del café y el intercambio de rutas antes de salir.

ConcentraciónPlaza MayorComunidad
Motos aparcadas en plaza de tierra, diferentes modelos
// Plaza castellana · 2022
Quedada en la meseta

BMW, Suzuki, custom… la diversidad de motos como reflejo de la diversidad de quienes las montan.

QuedadaMesetaTodos los estilos
Exposición de motos clásicas y vintage en el interior de una iglesia histórica
// Iglesia histórica · 2024
Exposición de motos clásicas

Rieju, motos de los 50 y 60, piezas restauradas. Cuando el patrimonio mecánico se expone en el patrimonio arquitectónico.

Motos clásicasHistoriaRestauración
Motos custom aparcadas junto a fuente de piedra en plaza
// Fuente de piedra · 2025
Custom en la plaza

Choppers y custom bikes junto a una fuente medieval. El contraste entre la tradición de piedra y el cromo pulido.

CustomChopperPlaza medieval
Concentración motera en plaza, Honda Varadero y Moto Guzzi
// Plaza Mayor · 2024
Varadero y Guzzi en la plaza

Una Varadero, una Guzzi y la mía custom. Tres motos, tres estilos distintos y un punto en común.

Concentración2024Custom
Moto dorada aparcada en plaza medieval
// Plaza castellana · 2022
La custom aparcada

Mi moto custom aparcada frente a la plaza. Las baldosas históricas y el cromo son un contraste que no me canso de ver.

Custom2022Castilla
Motos aparcadas en plaza con soportales medievales
// Soportales medievales · 2026
Motos bajo los soportales

Cruisers y nakeds bajo los arcos de piedra. Las motos aparcadas en plazas medievales tienen algo especial.

Quedada2026Medieval
Jesús Roales posando con su moto en avenida arbolada
// Avenida arbolada · Mayo 2026
Parada en ruta

Un momento de pausa en una avenida arbolada. La moto y el verde de fondo, sin prisa.

RutaPausa2026
Foto profesional rodando en curva por montaña
// Montaña · Foto: Mark Berdomas
En la curva

Foto de acción en una curva de montaña, captada por el fotógrafo Mark Berdomas (enfoqueatres.es). El instante perfecto.

AcciónMontañaProfesional
Foto profesional rodando en carretera
// Carretera · Foto: Mark Berdomas
En movimiento

Otro instante capturado por Mark Berdomas durante una concentración. La sensación de velocidad en una imagen.

AcciónVelocidadProfesional
Foto profesional rodando en carretera verde
// Verde montaña · Foto: Mark Berdomas
Naturaleza y motor

La custom volando por una carretera rodeada de verde. Foto de Mark Berdomas que resume perfectamente por qué salgo a rodar.

NaturalezaCustomProfesional
Foto profesional en ruta, panning
// Ruta · Foto profesional
Panning

Técnica panning que congela la moto y desenfoca el fondo. El resultado habla solo.

PanningTécnicaArte
Buceo

Bajo la superficie.

El silencio y la concentración bajo el agua no se parecen a nada más. Pecios, fauna y aguas mediterráneas.

Buceador enmarcado en el ojo de buey de un pecio
// Pecio · Mediterráneo
El ojo de buey

Exploración de un pecio. El metal oxidado y el agua azul crean una ventana hacia otro mundo. Una de las inmersiones más fotogénicas.

PecioWreck divingMediterráneo
Dos buceadores explorando la estructura de un barco hundido
// Pecio · Mediterráneo
Explorando el barco hundido

Navegando sobre la cubierta de un naufragio. La estructura metálica cubierta de organismos marinos y el azul infinito al fondo.

PecioExploraciónNaufragio
Jesús Roales en superficie con equipo de buceo, pulgar arriba
// Superficie · Mar Mediterráneo
Todo bien arriba

La señal universal del buceador satisfecho al salir. Equipo Cressi, agua transparente y ganas de volver a bajar.

SuperficieCressiMediterráneo
Pulpo común escondido en una oquedad submarina
// Fondo rocoso · Mediterráneo
El pulpo en su guarida

Encuentro cara a cara con un pulpo común. Camouflage perfecto en su agujero, rodeado de sus tentáculos con ventosas. Uno de los momentos más especiales bajo el agua.

FaunaPulpoFondo rocoso
Jesús Roales buceando en aguas verdes, primer plano
// Inmersión · Aguas atlánticas
En el fondo

Primer plano bajo el agua. Equipo Cressi completo, máscara amarilla y la concentración que da saber que estás en otro elemento.

SubmarinismoCressiInmersión
Felipe y Jesus en superficie con equipo de buceo
// Superficie · Mediterráneo
Salida en pareja

Felipe y yo en superficie, listos para la siguiente inmersión. Las mejores inmersiones son siempre en buena compañía.

CompañíaCressiSuperficie
Estrella de mar naranja sobre roca submarina
// Fondo rocoso · Mediterráneo
Estrella naranja

Una estrella de mar naranja sobre las rocas. El color vibrante contrasta con el verde del fondo mediterráneo.

FaunaEstrellaMediterráneo
Banco de peces naranja en arrecife mediterráneo
// Arrecife · Mediterráneo
Banco de peces

Un banco de peces naranjas en sincronía perfecta. Ese momento en que el agua parece fuego.

BancoFaunaColor
Estrella de mar roja junto a erizo marino
// Fondo marino · Mediterráneo
Estrella roja y erizo

Estrella roja junto a un erizo. Dos criaturas con millones de años de historia evolutiva bajo los pies.

FaunaErizoEstrella roja
Primer plano de Jesus Roales en inmersion submarina
// Inmersión · Fondo rocoso
En el elemento

Primer plano bajo el agua. Equipo Cressi y la concentración de quien sabe que está en otro mundo.

InmersiónCressiPrimer plano
Dos buceadores en aguas azules con pulgar arriba
// Aguas profundas · Azul
Todo bien abajo

Dos buceadores en aguas azules. El pulgar arriba: la señal universal que dice que todo va bien y merece la pena.

ProfundidadAzulSeñales
Volver al inicio