32 KiB
32 KiB
Portfolio Ops/DevOps: Posicionamiento Estratégico
Resumen Ejecutivo
Este documento analiza el portfolio de cinco proyectos desde la perspectiva Ops/DevOps, posicionándolos frente a herramientas establecidas del mercado:
| Proyecto | Dominio | Compite Con |
|---|---|---|
| Provisioning | IaC + Orquestación | Terraform, Pulumi, Ansible, CloudFormation |
| SecretumVault | Gestión de Secretos | HashiCorp Vault, AWS Secrets Manager, Azure Key Vault |
| Vapora | Orquestación de Agentes | Jenkins, GitHub Actions, Tekton, ArgoCD |
| TypeDialog | Configuración + IaC Gen | Terraform modules, Cookiecutter, Yeoman |
| Kogral | Knowledge Management | Confluence, Notion, Internal wikis |
1. Matriz de Funcionalidades Ops
Capacidades por Proyecto
| Capacidad | Provisioning | SecretumVault | Vapora | TypeDialog | Kogral |
|---|---|---|---|---|---|
| Multi-cloud | AWS, UpCloud, Local | N/A (storage agnostic) | N/A | Sí (prov-gen) | N/A |
| IaC declarativo | Nickel (tipado) | N/A | N/A | Genera Nickel | N/A |
| Secrets management | Integra KMS | ✅ 4 engines | Usa vault | N/A | N/A |
| Orquestación | Rust orchestrator | N/A | NATS JetStream | N/A | N/A |
| Post-Quantum Crypto | Via SecretumVault | ✅ ML-KEM/ML-DSA | N/A | N/A | N/A |
| Rollback automático | ✅ Checkpoints | N/A | Pipeline rollback | N/A | N/A |
| Policy engine | Cedar RBAC/ABAC | Cedar ABAC | Cedar multi-tenant | N/A | N/A |
| Audit logging | 7 años retención | ✅ Completo | ✅ SurrealDB | N/A | Git history |
| IA-assisted | MCP + RAG | N/A | LLM routing | Agent backend | MCP search |
| API REST | Axum control-center | Axum vault API | Axum backend | Axum web backend | N/A (MCP) |
| Storage backends | SurrealDB | FS/etcd/SurrealDB/PostgreSQL | SurrealDB + NATS | Multi-formato | FS + SurrealDB |
| CLI | 80+ shortcuts | svault CLI | vapora CLI | typedialog CLI | kogral CLI |
Stack Tecnológico Común (Ops Perspective)
┌─────────────────────────────────────────────────────────────────┐
│ TECNOLOGÍAS COMPARTIDAS │
├─────────────────────────────────────────────────────────────────┤
│ Lenguaje: Rust (performance, memory-safety) │
│ Config: Nickel (validación pre-runtime, lazy eval) │
│ DB: SurrealDB (multi-modelo, scopes, time-series) │
│ Web: Axum (async, composable routing) │
│ Messaging: NATS JetStream (at-least-once, persistence) │
│ Policy: Cedar (ABAC, AWS-compatible) │
│ Crypto: OpenSSL, OQS (PQC), AWS-LC, RustCrypto │
│ Logging: tracing (structured, JSON output) │
└─────────────────────────────────────────────────────────────────┘
2. Posicionamiento vs Competencia (Ops Tools)
Provisioning vs Terraform
| Aspecto | Provisioning | Terraform |
|---|---|---|
| Lenguaje IaC | Nickel (tipado, lazy) | HCL (sin tipos) |
| Validación | Pre-runtime (compilación) | Runtime (terraform plan) |
| Multi-cloud | AWS, UpCloud, Local | Sí (100+ providers) |
| IA nativa | MCP + RAG (1000x Python) | Terraform Cloud AI (limitado) |
| Orquestación | Rust orchestrator híbrido | State file + lock |
| Rollback | Automático con checkpoints | Manual (terraform destroy) |
| Seguridad | 39K líneas (12 componentes) | Vault plugin, externos |
| Ecosystem | ⚠️ Pequeño | ✅ Enorme (Terraform Registry) |
| Learning curve | Alta (Nickel + Nushell) | Moderada (HCL familiar) |
| Best For | Equipos Rust, IaC tipado, IA-assisted | General use, large ecosystem |
Diferenciador clave: Provisioning combina IaC declarativo tipado (Nickel) con generación asistida por IA (MCP + RAG) y orquestación híbrida Rust/Nushell, eliminando errores de configuración en compilación.
Provisioning vs Pulumi
| Aspecto | Provisioning | Pulumi |
|---|---|---|
| Lenguaje IaC | Nickel (functional) | TypeScript/Python/Go |
| Paradigma | Declarativo | Imperativo (código) |
| State management | SurrealDB multi-modelo | Pulumi Cloud / self-hosted |
| Secrets | SecretumVault integrado | Pulumi ESC (SaaS) |
| Multi-cloud | AWS, UpCloud, Local | Sí (100+ providers) |
| IA-assisted | MCP + RAG nativo | Pulumi AI (experimental) |
| Testing | Nickel contracts | Unit tests en código |
| Best For | Declarativo puro, IaC tipado | Developers, código imperativo |
Diferenciador clave: Provisioning es declarativo puro (Nickel) vs imperativo (Pulumi código), con validación pre-runtime y orquestador Rust para workflows complejos.
Provisioning vs Ansible
| Aspecto | Provisioning | Ansible |
|---|---|---|
| Paradigma | Declarativo (Nickel IaC) | Imperatativo (playbooks) |
| Agentless | Sí (SSH) | Sí (SSH) |
| Idempotencia | Nickel contracts | YAML tasks (depende módulo) |
| Performance | Rust orchestrator (10-50x) | Python interpreter |
| Multi-cloud | AWS, UpCloud, Local | Sí (módulos cloud) |
| Dependency resolution | Topological sort automático | Manual (pre_tasks, post_tasks) |
| Rollback | Automático con checkpoints | Manual (rescue blocks) |
| Best For | IaC tipado, performance crítica | Configuration management, ad-hoc |
Diferenciador clave: Provisioning es IaC declarativo (no playbooks imperativos) con orquestador Rust 10-50x más rápido que Python, rollback automático y resolución de dependencias topológica.
SecretumVault vs HashiCorp Vault
| Aspecto | SecretumVault | HashiCorp Vault |
|---|---|---|
| Lenguaje | Rust (memory-safe) | Go (CGO overhead) |
| Post-Quantum | ✅ ML-KEM-768, ML-DSA-65 | ❌ Sin roadmap |
| Crypto backends | 4 (OpenSSL, OQS, AWS-LC, RustCrypto) | 1 (OpenSSL) |
| Storage backends | 4 (FS, etcd, SurrealDB, PostgreSQL) | 10+ (etcd, Consul, S3, etc) |
| Policy engine | Cedar ABAC (AWS-compatible) | HCL policies |
| Shamir unsealing | ✅ Nativo | ✅ Nativo |
| Secrets engines | 4 (KV, Transit, PKI, Database) | 10+ (incluye cloud-specific) |
| Ecosystem | ⚠️ Pequeño | ✅ Enorme (plugins, integrations) |
| Licencia | Apache-2.0 | BSL (Enterprise paywall) |
| Best For | PQC hoy, Rust stacks, data sovereignty | General use, mature ecosystem |
Diferenciador clave: SecretumVault es el único vault Rust con criptografía post-cuántica lista para producción (ML-KEM-768, ML-DSA-65 NIST FIPS 203/204), proporcionando agilidad criptográfica para organizaciones que despliegan hoy.
SecretumVault vs AWS Secrets Manager
| Aspecto | SecretumVault | AWS Secrets Manager |
|---|---|---|
| Multi-cloud | ✅ Cualquier cloud o on-premise | ❌ AWS-only |
| Self-hosted | ✅ Full control | ❌ SaaS only |
| Post-Quantum | ✅ ML-KEM + ML-DSA | ❌ None |
| Crypto backends | 4 conectables | 1 (AWS KMS) |
| Dynamic secrets | ✅ Database engine | ✅ RDS integration |
| Vendor lock-in | ✅ Portable | ⚠️ High (AWS-specific) |
| Cost | Self-hosted (infra cost) | $0.40/secret/month + API calls |
| Best For | Multi-cloud, PQC, data sovereignty | AWS-native apps, managed service |
Diferenciador clave: SecretumVault es multi-cloud y self-hosted con PQC nativo, vs AWS Secrets Manager cloud-only sin roadmap post-quantum.
Vapora vs Jenkins
| Aspecto | Vapora | Jenkins |
|---|---|---|
| Paradigma | Agent orchestration (IA) | Pipeline orchestration (CI/CD) |
| Agentes | LLM-powered (Claude, GPT, Gemini) | Build agents (workers) |
| Orquestación | NATS JetStream | Master-worker |
| Learning | Expertise profiles, recency bias | No (estático) |
| Budget control | Per-role limits, fallback | No aplica |
| Pipeline definition | Tasks + agent roles | Jenkinsfile (Groovy) |
| UI | Leptos WASM (Kanban) | Web UI (Java) |
| Best For | IA-assisted operations, LLM orchestration | Traditional CI/CD, build automation |
Diferenciador clave: Vapora orquesta agentes LLM inteligentes con aprendizaje y control de costos, no build agents tradicionales.
Vapora vs GitHub Actions
| Aspecto | Vapora | GitHub Actions |
|---|---|---|
| Self-hosted | ✅ Kubernetes native | ✅ Self-hosted runners |
| Agentes | LLM-powered con roles | Workflow runners |
| Orquestación | NATS JetStream | GitHub infrastructure |
| Learning | Expertise profiles | No (estático) |
| Budget control | LLM cost limits | Minutes-based billing |
| Multi-tenant | SurrealDB scopes + Cedar | Repository-level |
| Best For | IA operations, agent coordination | GitHub-native CI/CD, simple workflows |
Diferenciador clave: Vapora es una plataforma de orquestación de agentes IA con aprendizaje, no un runner de workflows CI/CD.
TypeDialog (prov-gen) vs Terraform Modules
| Aspecto | TypeDialog (prov-gen) | Terraform Modules |
|---|---|---|
| Input method | Formularios TOML (CLI/TUI/Web) | Variables (.tfvars) |
| Validation | Nickel contracts (pre-runtime) | Variable validation (runtime) |
| Output format | Nickel IaC | HCL |
| Multi-backend | 6 (CLI/TUI/Web/AI/Agent/Prov-gen) | CLI only |
| IaC generation | Templates Tera + validation | Module composition |
| Best For | Wizards interactivos, self-service | Reusable modules, Terraform ecosystem |
Diferenciador clave: TypeDialog unifica captura de inputs (CLI/TUI/Web) con generación de IaC validado (Nickel), no solo modules reutilizables.
Kogral vs Confluence
| Aspecto | Kogral | Confluence |
|---|---|---|
| Target | Equipos desarrollo/ops | Equipos generales |
| Git-native | ✅ Markdown + YAML frontmatter | ❌ Cloud/Server |
| Tipos de nodo | 6 especializados (ADR, Pattern, etc) | Pages genéricas |
| MCP Server | ✅ Claude Code native | ❌ No |
| Búsqueda semántica | fastembed + cloud embeddings | Search interno |
| Self-hosted | ✅ Filesystem + SurrealDB | Cloud o Data Center |
| Best For | Dev/Ops knowledge, IA integration | General documentation, wikis |
Diferenciador clave: Kogral está diseñado específicamente para conocimiento técnico (runbooks, ADRs, postmortems) con integración IA nativa vía MCP.
3. Casos de Uso y Contexto (Ops Perspective)
Cuándo Usar Cada Proyecto
┌─────────────────────────────────────────────────────────────────┐
│ "Necesito provisionar infraestructura multi-cloud con IaC" │
│ → Provisioning (Nickel IaC, multi-cloud, orchestrator) │
├─────────────────────────────────────────────────────────────────┤
│ "Quiero gestión de secretos con preparación post-cuántica" │
│ → SecretumVault (PQC ML-KEM/ML-DSA, 4 backends crypto) │
├─────────────────────────────────────────────────────────────────┤
│ "Necesito orquestar agentes IA para tareas operativas" │
│ → Vapora (DevOps/Monitor/Security agents, NATS, budget) │
├─────────────────────────────────────────────────────────────────┤
│ "Quiero wizards de configuración que generen IaC" │
│ → TypeDialog (prov-gen backend, CLI/TUI/Web) │
├─────────────────────────────────────────────────────────────────┤
│ "Necesito preservar runbooks y postmortems de incidentes" │
│ → Kogral (6 node types, MCP, git-native) │
└─────────────────────────────────────────────────────────────────┘
Matriz de Decisión por Contexto Ops
| Contexto | Proyecto Principal | Proyectos de Soporte |
|---|---|---|
| Provisión multi-cloud | Provisioning | TypeDialog (wizards), SecretumVault (certs), Kogral (ADRs) |
| Gestión de secretos PQC | SecretumVault | Provisioning (infraestructura), Kogral (policies) |
| Incident response | Vapora (Monitor/DevOps agents) | Kogral (runbooks/postmortems), SecretumVault (credentials) |
| CI/CD automation | Vapora (DevOps agent) | Provisioning (deploy), SecretumVault (secrets), Kogral (guidelines) |
| Infrastructure self-service | TypeDialog (prov-gen) | Provisioning (apply IaC), Kogral (docs) |
| Knowledge preservation | Kogral | Vapora (execution tracking), TypeDialog (export) |
| Disaster recovery | Provisioning (rollback) | SecretumVault (backup), Kogral (procedures) |
4. Por Qué Son Necesarios (Ops Perspective)
Problemas que Resuelven
Provisioning: El Problema del YAML Frágil
ANTES DESPUÉS (Provisioning)
───────────────────────────────── ─────────────────────────────────
YAML sin tipos, errores runtime Nickel tipado, errores compilación
Scripts imperativos frágiles Workflows declarativos con rollback
Terraform state drift SurrealDB con time-series
Sin asistencia IA MCP + RAG (1000x Python)
Manual dependency management Topological sort automático
SecretumVault: El Problema de la Criptografía Cuántica
ANTES DESPUÉS (SecretumVault)
───────────────────────────────── ─────────────────────────────────
Vault en Go (sin memory-safety) Rust con garantías de memoria
Solo crypto clásica (vulnerable) Post-quantum (ML-KEM, ML-DSA)
Backend crypto fijo Backends conectables (agilidad)
SaaS lock-in (AWS, Azure) Self-hosted completo
Sin preparación amenazas cuánticas Despliega PQC hoy, migra gradual
Vapora: El Problema de la Coordinación Ops Manual
ANTES DESPUÉS (Vapora)
───────────────────────────────── ─────────────────────────────────
Scripts ad-hoc sin coordinación NATS JetStream orchestration
LLMs sin control de costos Budget enforcement + fallback
Agentes sin contexto histórico Expertise profiles + recency bias
Manual handoffs (deploy → monitor) Pipelines automatizados con roles
Sin visibilidad de ejecuciones Prometheus metrics + SurrealDB
TypeDialog (prov-gen): El Problema de Configuración Manual
ANTES DESPUÉS (TypeDialog)
───────────────────────────────── ─────────────────────────────────
Configuración manual error-prone Formularios validados (Nickel)
CLI ≠ Web ≠ TUI interfaces 1 TOML → 6 backends
Sin generación de IaC prov-gen → Nickel multi-cloud
Validación en runtime Validación pre-runtime (contracts)
Kogral: El Problema del Conocimiento Ops Perdido
ANTES DESPUÉS (Kogral)
───────────────────────────────── ─────────────────────────────────
Runbooks en Confluence dispersos Git-native, versionados
Postmortems no buscables Semantic search + MCP
ADRs de infra perdidos Decision nodes con relaciones
Incidentes sin contexto histórico Execution nodes con timeline
Onboarding de SREs semanas Búsqueda semántica días
5. Qué los Hace Diferentes (Ops Perspective)
Características Únicas por Proyecto
Provisioning
- Nickel IaC: Único con language tipado lazy-eval como primary (no HCL, no YAML)
- Orquestador híbrido: Rust (performance) + Nushell (flexibilidad)
- MCP 1000x faster: Rust-native vs Python implementations
- 39K líneas seguridad: 12 componentes enterprise (JWT, Cedar, MFA, audit, KMS)
- 80+ CLI shortcuts: Developer experience optimizada con guided wizards
SecretumVault
- Post-Quantum nativo: ML-KEM-768, ML-DSA-65 (NIST FIPS 203/204) listos para producción hoy
- 4 backends crypto: OpenSSL, OQS, AWS-LC, RustCrypto (agilidad criptográfica sin cambiar código)
- 4 backends storage: Filesystem, etcd, SurrealDB, PostgreSQL (flexibilidad deployment)
- Shamir Secret Sharing: Unsealing distribuido con threshold configurable (3-of-5, 5-of-7, etc)
- Cedar ABAC: Políticas de autorización AWS-compatible (portable, no vendor lock-in)
Vapora
- Learning-based selection: Scoring
0.3*load + 0.5*expertise + 0.2*confidencecon 3x recency bias (últimos 7 días) - Budget enforcement: Hard caps per-role (monthly/weekly) con fallback automático a proveedores más baratos
- NATS JetStream: Coordinación at-least-once, message persistence, distributed
- 12 agent roles: Architect, Developer, CodeReviewer, Tester, Documenter, Marketer, Presenter, DevOps, Monitor, Security, ProjectManager, DecisionMaker
- Multi-tenant nativo: SurrealDB scopes + Cedar RBAC, completo aislamiento
TypeDialog
- 6 backends unificados: CLI/TUI/Web/AI/Agent/Prov-gen desde mismo TOML
- Prov-gen IaC generation: AWS/GCP/Azure/Hetzner/UpCloud desde formularios tipados
- Nickel contracts: Validación pre-runtime con type-safe schemas
- 3,818 tests: Cobertura exhaustiva (503% growth), producción-ready
- Multi-idioma nativo: Fluent bundles para i18n sin reimplementar lógica
Kogral
- 6 tipos de nodo especializados: Note, Decision (ADR), Guideline, Pattern, Journal, Execution (para ops/incidents)
- Hybrid embeddings: fastembed local (privacidad) + cloud (producción)
- MCP nativo: 7 tools para Claude Code, no requiere configuración extra
- Git-native: Todo markdown versionado, no SaaS externo, full control
- Herencia de guidelines: Org → Proyecto con prioridad, consistency cross-team
6. Sinergias y Reutilización (Ops Workflows)
Flujo de Integración Ops
┌──────────────────┐
│ Kogral │
│ (Runbooks, ADRs) │
└────────┬─────────┘
│ Operational knowledge
▼
┌──────────────┐ ┌──────────────────┐ ┌──────────────┐
│ TypeDialog │───▶│ Vapora │───▶│ Provisioning │
│ (Wizards) │ │ (Ops Agents) │ │ (IaC Deploy) │
└──────────────┘ └──────────────────┘ └──────────────┘
│ │ │
│ Configuration │ Orchestration │ Infrastructure
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────┐
│ SECRETUMVAULT │
│ PKI certs │ Dynamic DB creds │ API keys │ Encryption │
└─────────────────────────────────────────────────────────────┘
Componentes Reutilizables (Ops Stack)
| Componente | Origen | Reutilizado En |
|---|---|---|
| SurrealDB schemas | Vapora | Kogral, Provisioning, SecretumVault (optional) |
| Nickel contracts | Provisioning | TypeDialog (prov-gen validation) |
| Cedar policies | Provisioning | SecretumVault, Vapora (multi-tenant) |
| Axum API patterns | Vapora | Provisioning (control-center), SecretumVault (vault API) |
| tracing setup | Vapora | Todos (structured logging) |
| Crypto backends | SecretumVault | Provisioning (KMS integration) |
| NATS patterns | Vapora | Provisioning (future messaging), SecretumVault (HA) |
Escenarios de Sinergia (Ops Workflows)
Escenario 1: Zero-Touch Provisioning con IA
1. TypeDialog (prov-gen): SRE completa wizard web
- Cloud provider, región, cluster size, services
- Genera Nickel IaC validado con contracts
2. Kogral: MCP proporciona guidelines de deployment
- "¿Cuál es nuestra política de naming para clusters?"
- "¿Qué security groups aplicamos por defecto?"
3. Provisioning: Orquestador despliega infraestructura
- Servidores → networking → storage → services
- Checkpoints por paso, rollback automático si falla
4. SecretumVault: Genera certificados y secretos
- PKI engine: certs etcd, kube-apiserver, kubelet (ML-DSA-65 PQC)
- Database engine: credenciales dinámicas PostgreSQL (TTL 1h)
5. Vapora: Post-deployment automation
- Monitor Agent: Setup Prometheus alerts, health checks
- Security Agent: Vulnerability scan, compliance check
- DevOps Agent: Deploy baseline apps (Ingress, cert-manager)
6. Kogral: Documenta deployment
- Execution node con timestamp, recursos creados, configuración
- Links a ADRs de arquitectura, runbooks de mantenimiento
Escenario 2: Incident Response Automatizado
1. Vapora Monitor Agent: Detecta anomalía (PostgreSQL down)
- Alerta vía NATS JetStream
- Trigger incident response pipeline
2. Kogral: Claude Code consulta runbooks vía MCP
- search("postgresql outage troubleshooting")
- Retorna 3 postmortems similares con resoluciones
3. Vapora DevOps Agent: Ejecuta runbook automatizado
- Verificar proceso PostgreSQL (systemctl status)
- Check logs (/var/log/postgresql)
- Restart si necesario con parámetros ajustados
4. SecretumVault: Rota credenciales comprometidas
- Database engine genera nuevas credenciales dinámicas
- Actualiza apps conectadas vía secret injection
5. Vapora Security Agent: Post-incident audit
- Review logs de acceso, cambios de configuración
- Genera reporte de compliance
6. Kogral: Documenta postmortem
- Execution node con root cause, timeline, resolución
- Links a ADRs de configuración PostgreSQL
- Action items para prevenir recurrencia
Escenario 3: Migración Post-Quantum Gradual
1. Kogral: Documenta decisión estratégica
- ADR: "Migración gradual a criptografía post-cuántica"
- Rationale: Preparación para amenazas cuánticas (harvest now, decrypt later)
- Timeline: Q1 2026 testing, Q2 2026 staging, Q3 2026 production
2. SecretumVault: Migra secretos en staging
- Backend switch: openssl → oqs (ML-KEM-768)
- Re-encripta secretos existentes con PQC
- Dual-stack: classical para legacy, PQC para nuevos servicios
3. Provisioning: Actualiza infraestructura PKI
- Genera nuevos certificados con ML-DSA-65 (PQC signatures)
- Deploy certificados a servicios (etcd, K8s API, service mesh)
- Health checks: latency no degradada, handshakes correctos
4. Vapora: Orquesta validación integral
- Security Agent: Verifica algoritmos criptográficos correctos
- Monitor Agent: Benchmark latency (PQC vs classical)
- DevOps Agent: Integration tests con certificados PQC
5. TypeDialog: Portal self-service para teams
- Formulario: "Migrar servicio a PQC"
- Input: service name, migration strategy (gradual/immediate)
- prov-gen: Genera configuración actualizada (Nickel)
6. Kogral: Tracking de migración
- Execution nodes por servicio migrado
- Métricas: services migrated, performance impact, issues
- Lessons learned: qué funcionó, qué mejorar
Escenario 4: Multi-Cloud Disaster Recovery
1. Kogral: Runbook de disaster recovery
- Procedure: "Failover de AWS a UpCloud en <1h"
- Prerequisites, pasos detallados, validación
2. Vapora: Trigger automático (región AWS down)
- Monitor Agent detecta outage regional
- ProjectManager Agent declara disaster recovery mode
- DevOps Agent ejecuta runbook Kogral
3. Provisioning: Despliega réplica en UpCloud
- Nickel IaC multi-cloud (cambio: provider = "upcloud")
- Orquestador despliega: servers → networking → K8s → apps
- Checkpoints: rollback a AWS si UpCloud falla también
4. SecretumVault: Sincroniza secretos
- Replicación etcd cross-region (AWS → UpCloud)
- PKI engine genera certificados para UpCloud region
- Database engine: credenciales dinámicas nueva DB
5. TypeDialog: Wizard de DNS failover
- Formulario: Update DNS records (Route53 → NS1)
- Validación: TTL check, propagation time
6. Kogral: Documenta incident
- Execution node: timeline, decisiones, métricas
- RTO achieved, RPO achieved, issues encountered
- Postmortem: qué mejorar en runbook
7. Dependencias y Orden de Adopción (Ops Teams)
Grafo de Dependencias
SecretumVault (standalone)
│
│ provides secrets to
▼
Kogral ◄────────────────────────► Provisioning
(standalone) (puede integrar vault)
│ │
│ provides runbooks to │ deploys infrastructure for
▼ ▼
Vapora
(integra todos)
│
│ uses wizards from
▼
TypeDialog
(prov-gen → Provisioning)
Orden Recomendado de Adopción (Ops Perspective)
| Fase | Proyecto | Razón | Dependencias |
|---|---|---|---|
| 1 | SecretumVault | Gestión de secretos crítica, sin dependencias | Ninguna (standalone) |
| 2 | Kogral | Base de conocimiento operativo (runbooks, ADRs) | Ninguna (standalone) |
| 3 | Provisioning | IaC declarativo, puede integrar SecretumVault (opcional) | Opcional: SecretumVault (KMS) |
| 4 | TypeDialog | Wizards de configuración, prov-gen para Provisioning | Opcional: Provisioning (IaC apply) |
| 5 | Vapora | Orquestación de agentes, integra todos los anteriores | Kogral (runbooks), SecretumVault (creds), Provisioning (deploy) |
Nota: Cada proyecto es funcional de forma independiente, pero las sinergias emergen con adopción progresiva.
8. Comparación de Ecosistemas
STRATUMIOPS Ops vs HashiCorp Stack
| Componente | STRATUMIOPS | HashiCorp |
|---|---|---|
| IaC | Provisioning (Nickel tipado) | Terraform (HCL sin tipos) |
| Secrets | SecretumVault (Rust, PQC) | Vault (Go, sin PQC) |
| Orquestación | Vapora (LLM agents) | Nomad (workload scheduler) |
| Service Mesh | Integra Istio | Consul Connect |
| Policy | Cedar (AWS-compatible) | Sentinel (HCL) |
| Lenguaje | Rust (memory-safe) | Go (garbage collector) |
| IA-assisted | MCP + RAG nativo | Terraform Cloud AI (limitado) |
| Licencia | Apache-2.0 | BSL (Enterprise paywall) |
| Ecosystem | ⚠️ Pequeño | ✅ Enorme |
STRATUMIOPS Ops vs AWS Native Stack
| Componente | STRATUMIOPS | AWS Native |
|---|---|---|
| IaC | Provisioning (multi-cloud) | CloudFormation (AWS-only) |
| Secrets | SecretumVault (PQC, self-hosted) | Secrets Manager (SaaS, sin PQC) |
| Orquestación | Vapora (self-hosted K8s) | Step Functions (SaaS) |
| CI/CD | Vapora DevOps Agent | CodePipeline + CodeBuild |
| Storage | SurrealDB multi-modelo | DynamoDB + RDS |
| Policy | Cedar (portable) | IAM (AWS-specific) |
| Multi-cloud | ✅ AWS/UpCloud/Local | ❌ AWS-only |
| Vendor lock-in | ✅ Portable | ⚠️ High |
| Cost | Self-hosted (infra cost) | SaaS (per-use billing) |
9. Métricas del Portfolio (Ops Perspective)
| Métrica | Provisioning | SecretumVault | Vapora | TypeDialog | Kogral | Total |
|---|---|---|---|---|---|---|
| Lines of Code | ~40K | ~11K | ~50K | ~90K | ~15K | ~206K |
| Tests | 218 | 50+ | 218 | 3,818 | 56 | 4,360+ |
| CLI Commands | 80+ shortcuts | 10+ (svault) | 10+ (vapora) | 6 backends | 13 commands | 100+ |
| Storage Backends | SurrealDB | 4 (FS/etcd/SurrealDB/PostgreSQL) | SurrealDB + NATS | Multi-formato | FS + SurrealDB | 4 backends |
| API Endpoints | 40+ (control-center) | 20+ (vault API) | 40+ (backend) | 10+ (web) | N/A (MCP) | 100+ |
| Policy Engine | Cedar RBAC/ABAC | Cedar ABAC | Cedar multi-tenant | N/A | N/A | Cedar AWS-compatible |
| Crypto Backends | 5 KMS | 4 (OpenSSL, OQS PQC, AWS-LC, RustCrypto) | N/A | N/A | N/A | 4 backends |
| Multi-cloud | AWS/UpCloud/Local | N/A | N/A | Sí (prov-gen) | N/A | 3 clouds |
10. Conclusión (Ops/DevOps Teams)
Este portfolio representa un ecosistema cohesivo para operaciones modernas:
- Provisioning es el músculo: despliega infraestructura multi-cloud con IaC tipado y rollback automático
- SecretumVault es la bóveda: protege secretos con criptografía post-cuántica lista para producción
- Vapora es el cerebro: orquesta agentes Ops (DevOps, Monitor, Security) con aprendizaje y control de costos
- TypeDialog es la interfaz: wizards de configuración que generan IaC validado multi-cloud
- Kogral es la memoria: preserva runbooks, postmortems y conocimiento operativo
La diferenciación clave frente a alternativas (Ops perspective):
- Full Rust stack: Performance (10-50x Python), memory-safety, zero-cost abstractions
- Nickel IaC tipado: Errores de configuración detectados en compilación, no en runtime
- Post-Quantum ready: SecretumVault con ML-KEM-768/ML-DSA-65 nativos, despliega hoy
- IA-native desde diseño: MCP + RAG integrados, no retrofitted
- Multi-cloud unificado: Una configuración Nickel para AWS/UpCloud/Local
- Enterprise security: Cedar policies, audit logging, RBAC/ABAC, 7 años retención
La sinergia entre proyectos permite abordar operaciones con:
- Infraestructura tipada y validada (Provisioning)
- Secretos con agilidad criptográfica (SecretumVault)
- Orquestación inteligente de agentes Ops (Vapora)
- Wizards de configuración (TypeDialog)
- Conocimiento operativo preservado (Kogral)
Mejor para: Equipos DevOps/SRE que valoran type-safety, performance, PQC readiness, multi-cloud, y self-hosted infrastructure sobre ecosistemas maduros con vendor lock-in.
Documento generado: 2026-01-22 Tipo: info (posicionamiento Ops/DevOps)