Infraestructura segura para proyectos web e IA: Google Cloud, Docker y Cloudflare

Cómo hemos construido una infraestructura segura y modular en Google Cloud para proyectos web, IA y automatización

Muchos pequeños negocios y consultoras siguen alojando sus proyectos web en servidores tradicionales compartidos. El problema es que, cuando empiezan a crecer, aparecen nuevos retos: seguridad, mantenimiento, escalabilidad, aislamiento entre clientes, automatización o integración con herramientas de IA.

En nuestro caso, necesitábamos una infraestructura capaz de alojar:

• Sitios WordPress de clientes.
• Aplicaciones web modernas.
• Servicios de IA y agentes.
• APIs y automatizaciones.
• Herramientas internas.
• Entornos de pruebas y staging.

Y todo ello manteniendo un enfoque muy importante: seguridad, aislamiento y facilidad de mantenimiento.

Por eso terminamos construyendo una arquitectura basada en:

• Google Cloud Platform (GCP)
• Docker
• Traefik
• Cloudflare
• Redes privadas entre contenedores
• Certificados SSL de origen
• Segmentación por proyectos
• Modelo Zero Trust para servicios internos

La base: una máquina virtual en Google Cloud

Toda la infraestructura parte de una instancia VM en Google Cloud Platform.

No utilizamos hosting compartido. Tampoco paneles tipo cPanel o Plesk.

Trabajamos directamente sobre una máquina Linux configurada específicamente para:

• Ejecutar contenedores Docker.
• Aislar proyectos entre sí.
• Automatizar despliegues.
• Mantener control total del tráfico y la seguridad.

Esto nos da varias ventajas:

• Control absoluto del entorno.
• Mejor rendimiento.
• Capacidad de escalar servicios concretos.
• Menos superficie de ataque.
• Arquitectura más preparada para proyectos de IA y automatización.

Además, Google Cloud incorpora varias capas de seguridad adicionales:

• Firewall a nivel de infraestructura.
• Reglas de red configurables.
• Protección DDoS básica integrada.
• Gestión de permisos IAM.
• Redes privadas virtuales.
• Snapshots y backups de discos.

No todo queda expuesto a Internet. De hecho, una parte importante de los servicios vive únicamente en redes internas de Docker.

Docker: separar proyectos para evitar problemas

La pieza central de la arquitectura es Docker.

Cada proyecto funciona dentro de sus propios contenedores.

Esto significa que:

• Cada WordPress tiene su propia base de datos.
• Cada aplicación tiene sus dependencias aisladas.
• Un fallo en un proyecto no afecta al resto.
• Podemos actualizar servicios de forma independiente.
• Es posible mover proyectos entre servidores fácilmente.

En lugar de tener “todo mezclado” en el mismo sistema operativo, cada aplicación vive dentro de su propio entorno.

Redes Docker separadas por proyecto

Uno de los puntos más importantes de la arquitectura es que los proyectos no comparten red interna salvo que sea necesario.

Por ejemplo:

• Un WordPress no puede hablar directamente con otro WordPress.
• Una base de datos no queda accesible globalmente.
• Los servicios internos solo se comunican mediante redes privadas Docker específicas.

Esto reduce muchísimo el riesgo lateral.

Si un proyecto tuviera un problema de seguridad, no tendría acceso automático al resto de servicios.

WordPress aislado correctamente

En muchos servidores tradicionales todos los WordPress comparten:

• PHP
• MySQL
• Nginx
• Usuarios del sistema
• Recursos

Eso puede convertirse en un problema enorme.

Nosotros utilizamos una arquitectura más modular.

Cada WordPress suele tener:

Esto permite:

• Actualizar versiones progresivamente.
• Limitar daños si un plugin falla.
• Controlar recursos por proyecto.
• Mantener configuraciones específicas.
• Facilitar migraciones y backups.

Traefik: el proxy inteligente de entrada

Todo el tráfico web entra primero por Traefik.

Traefik actúa como:

• Reverse proxy.
• Router inteligente.
• Gestor SSL.
• Punto único de entrada.

En vez de abrir puertos manualmente para cada proyecto, Traefik detecta automáticamente los contenedores Docker y dirige el tráfico al servicio correcto.

Por ejemplo:

• midominio.com → WordPress A
• app.midominio.com → aplicación IA
• api.midominio.com → backend FastAPI
• chat.midominio.com → agente IA

Todo ello usando reglas declarativas y etiquetas Docker.

Cloudflare delante del servidor

Por delante del servidor usamos Cloudflare.

Esto añade otra capa crítica de seguridad.

Cloudflare nos proporciona:

• Protección DDoS.
• Ocultación de la IP real del servidor.
• Caché global.
• Firewall WAF.
• Filtrado de tráfico malicioso.
• Protección frente a bots.
• Rate limiting.
• DNS gestionado.

Además, muchos ataques nunca llegan siquiera al servidor porque se filtran antes en la red de Cloudflare.

SSL con certificados Origin Server

Uno de los detalles más importantes es que usamos certificados SSL de origen de Cloudflare.

El flujo es:

Usuario → Cloudflare → Servidor origen

Pero la conexión entre Cloudflare y nuestro servidor también va cifrada.

Esto evita configuraciones inseguras tipo:

• SSL parcial.
• Tráfico interno sin cifrar.
• Certificados autofirmados inseguros.

La comunicación permanece cifrada extremo a extremo.

Zero Trust para servicios internos

Algunos servicios no deberían estar abiertos públicamente.

Por ejemplo:

• Dashboards internos.
• Herramientas administrativas.
• APIs privadas.
• Paneles de agentes IA.
• Servicios experimentales.

Para esos casos usamos el modelo Cloudflare Zero Trust.

Esto permite proteger aplicaciones detrás de:

• Login corporativo.
• MFA.
• Restricciones por usuario.
• Políticas de acceso.
• Túneles seguros.

Así evitamos exponer herramientas sensibles directamente a Internet.

Seguridad adicional del sistema

Además de todo lo anterior, mantenemos varias medidas adicionales:

Firewall en Google Cloud

Solo se abren los puertos necesarios:

• 80
• 443
• SSH restringido

El resto permanece cerrado.

Contenedores mínimos

Muchos servicios usan imágenes ligeras:

• Alpine Linux
• Contenedores específicos
• Dependencias mínimas

Esto reduce superficie de ataque.

Backups y snapshots

Realizamos:

• Backups de bases de datos.
• Snapshots del servidor.
• Copias de volúmenes Docker.
• Exportaciones de proyectos.

Actualizaciones controladas

Los proyectos pueden actualizarse individualmente.

No hace falta reiniciar todo el servidor.

Preparado para IA y automatización

La arquitectura no está pensada únicamente para páginas web.

También está diseñada para:

• Agentes IA.
• APIs de automatización.
• RAGs industriales.
• Servicios Python.
• FastAPI.
• Workers.
• Redis.
• PostgreSQL.
• Qdrant.
• Integraciones Slack.
• Automatización empresarial.

Y eso cambia mucho la forma de diseñar la infraestructura.

No es simplemente “un hosting WordPress”.

Es una plataforma modular preparada para convivir con aplicaciones modernas y sistemas de inteligencia artificial.

La ventaja real: mantenimiento y evolución

Quizás lo más importante de toda esta arquitectura no es solo la seguridad.

Es la capacidad de evolucionar.

Cuando una empresa empieza a incorporar:

• IA,
• automatizaciones,
• APIs,
• chatbots,
• sistemas internos,
• dashboards,
• o servicios SaaS,

la infraestructura tradicional empieza a quedarse corta.

Docker, Traefik, Cloudflare y Google Cloud permiten construir una base mucho más flexible y preparada para crecer sin tener que rehacer todo desde cero más adelante.