Arquitectura de telemetría
TopicFrom the PointSav Documentation
La plataforma recopila análisis de tráfico web de nodos perimetrales de producción y los enruta a un entorno de procesamiento controlado localmente a través de una ruta cifrada sin pasar por servicios de análisis de terceros en la nube.
El sistema de telemetría de la plataforma recopila analítica de tráfico web desde los nodos de borde en producción y la enruta a través de la malla WireGuard hacia un entorno de procesamiento local, coherente con los principios de custodia de datos del cliente, sin pasar por ningún servicio de agregación en la nube de terceros.
[edit]Puntos clave
- La telemetría sigue una ruta de cuatro niveles: captura en el borde → tránsito cifrado WireGuard → nodo de procesamiento local → extracción al nodo de control. Ningún payload pasa por un servicio de agregación en la nube de terceros en ningún paso.
- El aislamiento por inquilino se aplica a nivel del ledger. La analítica de cada inquilino se escribe en registros CSV separados en el nodo de procesamiento local y nunca se mezcla en una tabla compartida en la nube.
- El nodo de control extrae únicamente informes Markdown compilados — no los datos CSV en bruto. Los datos en bruto permanecen en el nodo de procesamiento local; lo que se mueve al analista es el resumen extraído. Este diseño limita el alcance de un posible compromiso del nodo de control a los datos de resumen, no al registro de tráfico completo.
- La telemetría local es una condición previa del modelo de aislamiento por inquilino y de la propiedad de custodia de datos del cliente. El operador conserva la custodia completa de la analítica de tráfico; ningún tercero almacena ni procesa los datos en bruto.
[edit]Ruta de enrutamiento en cuatro niveles
Nivel 1 — Captura en el borde. Los relays Nginx en los nodos de borde capturan payloads JSON del tráfico web orgánico y los enrutan a la red local a través de puertos designados: 10.50.0.2:8081 para el inquilino PointSav y 10.50.0.2:8082 para el inquilino Woodfine.
Nivel 2 — Tránsito cifrado. Los payloads atraviesan una malla WireGuard (wg0) entre el borde en la nube y el nodo de procesamiento local. El túnel termina en el firewall local; los datos están cifrados en tránsito y no pasan por ningún servicio intermediario.
Nivel 3 — Procesamiento local. Un daemon de telemetría en Rust, ejecutándose en el nodo de procesamiento local, recibe los payloads descifrados, los escribe en registros CSV por inquilino y produce informes Markdown estructurados cruzando los datos con la base de datos GeoLite2 City para resolver direcciones IP a regiones geográficas.
Nivel 4 — Extracción para análisis. El nodo de control ejecuta un script de extracción que obtiene los informes compilados del nodo de procesamiento sin tocar los datos en bruto del registro CSV.
[edit]Justificación del diseño
Enrutar la telemetría hacia un nodo bajo control local significa que el operador conserva la custodia completa de los datos de tráfico. Ningún tercero almacena ni procesa la analítica en bruto, lo que es una condición previa del modelo de aislamiento por inquilino de la plataforma.
[edit]Véase también
- sovereign-telemetry — la arquitectura de telemetría de estado cero que opera sobre esta ruta de enrutamiento
- worm-ledger-architecture — el diseño del registro WORM que comparte el modelo de escritura de solo adición
- edge-deployment — la arquitectura de ingesta en el perímetro
- compounding-substrate — el contexto más amplio del sustrato para la custodia de datos local