X-twitter

Galaxus planta cara al lock-in de la nube: así ha construido su propia red soberana con software libre

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Galaxus, el gigante suizo del comercio electrónico detrás de Digitec, ha decidido dejar de delegar el “sistema nervioso” de su empresa en grandes proveedores de red y servicios gestionados. En lugar de pagar licencias caras, aceptar contratos rígidos y depender de hardware propietario, la compañía ha optado por un camino más exigente, pero mucho más libre: construir su propia infraestructura de red basada íntegramente en tecnologías open source.

El resultado es una arquitectura en producción, no un experimento de laboratorio, que hoy conecta alrededor de 30 ubicaciones —almacenes, tiendas, oficinas y nubes públicas repartidas por Europa— mediante túneles cifrados peer-to-peer. Y lo más importante: todo bajo el control directo del equipo de ingeniería, sin intermediarios ni cadenas invisibles.

Del confort de Big Tech a la decisión de tomar el control

Durante años, Galaxus dependió de los mismos elementos que buena parte del sector:

  • Nubes públicas con limitaciones y costes crecientes.
  • Equipos de red propietarios con licencias de renovación obligatoria.
  • VPN tradicionales poco flexibles y difíciles de escalar.
  • Servicios “managed” que, bajo la promesa de comodidad, acababan imponiendo sus propias reglas.

Con más sedes, más proveedores de conectividad (fibra, cobre, móvil) y un uso intensivo de varias nubes —Azure, Google Cloud, Hetzner y servidores propios on-premise—, aquel modelo empezó a quedar pequeño. Las dependencias contractuales restaban agilidad y encarecían proyectos que necesitaban semanas… pero se presupuestaban en años.

Frente a ese escenario, el equipo interno responsable de la infraestructura, Planet Express, se hizo una pregunta incómoda:

“¿Tiene sentido que el tejido que conecta toda la empresa dependa de contratos cerrados, hardware con licencias y proveedores que marcan el ritmo?”

Su respuesta fue un no rotundo. Y de ahí nació el nuevo diseño de red.

Un backbone corporativo construido con piezas abiertas

El proyecto que Galaxus ha llevado a producción en los últimos dos años se apoya en un conjunto de tecnologías bien conocidas por la comunidad sysadmin y de software libre.

1. Hardware estándar, sin cajas negras

Para los puntos de presencia en sedes físicas utilizan MinisForum MS-01, pequeños equipos con procesadores Intel Core i9 y dos puertos SFP de 10 Gbit/s. Estos mini-PC actúan como nodos de red capaces de conectar directamente las líneas de los proveedores de Internet y mover tráfico a 10 Gbit/s sin depender de routers cerrados y caros.

Incluso los soportes físicos para montar estos equipos —con el logotipo del equipo— se imprimen en 3D internamente, un detalle que resume bien la filosofía del proyecto: control total, desde el hierro hasta el software.

2. Virtualización y sistema de enrutamiento

Sobre ese hardware se despliega:

  • Proxmox VE como hipervisor, creando una pequeña “nube de red” propia en cada ubicación y facilitando accesos de emergencia si alguna máquina virtual falla.
  • OpenWRT como sistema operativo de los routers, ejecutado en máquinas virtuales dentro de Proxmox. Millones de routers domésticos funcionan con derivados de OpenWRT; Galaxus aplica esa misma fiabilidad al entorno corporativo.

3. VPN peer-to-peer con Tailscale y Headscale

El verdadero salto de soberanía llega en la capa de conectividad:

  • Tailscale se encarga de establecer los túneles cifrados entre sedes y nubes, convirtiendo cada router o servidor en un nodo de la red privada, sin peleas con NAT, direcciones IP cambiantes o reglas de cortafuegos complejas.
  • En lugar de depender del servicio gestionado de Tailscale, Galaxus emplea Headscale, una control plane autoalojada y compatible, que define qué nodo puede hablar con cuál. No enruta tráfico, pero controla toda la topología.

Así, la empresa obtiene una red mallada cifrada extremo a extremo, donde las líneas rojas del diagrama interno representan conexiones VPN directas entre almacenes, oficinas y nubes públicas, siempre que la política de seguridad lo permita.

4. Automatización a escala: Terraform + Ansible

Con casi 30 localizaciones, nadie quiere editar a mano la configuración de cada gateway. Para evitarlo, el equipo Planet Express apoya toda la infraestructura en código:

  • Terraform crea y destruye instancias de gateways tanto en Proxmox como en los distintos proveedores cloud.
  • Ansible, con plantillas Jinja2 y ficheros YAML, aplica la configuración a todos los routers y nodos con una sola ejecución.

La compañía ha decidido liberar en GitHub su framework Ansible para OpenWRT, invitando a otros equipos a reutilizar, adaptar y mejorar la solución. No es solo un proyecto interno, sino una aportación al ecosistema abierto que les ha permitido llegar hasta aquí.

Menos dependencia, más opciones

Este nuevo enfoque no es un simple ejercicio de estilo. Tiene impactos directos en negocio:

  • Galaxus puede mover pipelines de build o cargas de trabajo entre Hetzner, Azure, Google Cloud o servidores propios en función de precio, capacidad o cercanía al usuario.
  • No existen contratos que les obliguen a seguir utilizando una pieza de hardware o un servicio concreto porque “ya está pagada la licencia”.
  • Nuevas sedes o nubes pueden integrarse en semanas —o días—, manteniendo un modelo de red homogéneo.

En la práctica, la red peer-to-peer ya está transportando tráfico crítico: desde los datos de pedidos y etiquetas de paquetes hacia el almacén de Wohlen, hasta las llamadas en tiempo real a APIs en Azure y Google mientras los usuarios navegan por la tienda.

Soberanía digital: confiar en los propios ingenieros

El mensaje de fondo es claro: Galaxus prefiere confiar en sus propios desarrolladores antes que en la comodidad de Big Tech. Donde otras empresas aceptan cajas negras y contratos de varios años, la compañía suiza apuesta por entender, controlar y evolucionar cada capa de su red.

No es un camino gratuito: construir y mantener una infraestructura así requiere talento interno, disciplina de automatización y asumir más responsabilidad. Pero, a cambio, Galaxus gana:

  • Independencia estratégica frente a proveedores específicos.
  • Capacidad de negociación mejorada, al no depender de una única plataforma.
  • Transparencia técnica, al conocer de primera mano cómo funciona cada componente.

Incluso iniciativas anteriores, como los thin clients Linux desplegados en la compañía, encajan en esta misma lógica. Esos equipos siguen creciendo en número —unos 640 clientes activos de forma simultánea— y su repositorio en GitHub continúa recibiendo mejoras.

Para la empresa, la conclusión es sencilla: asumir responsabilidad técnica multiplica la libertad de decisión y mejora las condiciones económicas. Lo que antes se consideraba “demasiado complejo” hoy es, gracias al ecosistema open source y a la automatización, una opción real para organizaciones que quieran reducir su dependencia de proveedores cerrados.

Preguntas frecuentes

¿Qué se entiende por “soberanía digital” en el contexto de redes corporativas?
Es la capacidad de una organización para controlar su propia infraestructura tecnológica: elegir proveedores, mover cargas de trabajo, auditar la seguridad y evitar dependencias contractuales o técnicas que limiten su capacidad de decisión. En redes, implica no atarse a hardware propietario ni a servicios gestionados que puedan cambiar condiciones de uso o precios de forma unilateral.

¿Qué piezas de software libre utiliza Galaxus en su nueva red?
La arquitectura combina varias tecnologías abiertas: Proxmox VE como hipervisor, OpenWRT como sistema de enrutamiento, Tailscale como cliente VPN, Headscale como control plane autoalojada y Terraform + Ansible para automatizar la creación y configuración de todos los gateways y nodos.

¿Qué ventaja tiene Headscale frente al servicio gestionado de Tailscale?
Headscale permite mantener el mismo modelo de red que ofrece Tailscale, pero con control total sobre la información, la autenticación y las políticas. Al no depender de un servicio SaaS externo, la empresa evita cambios unilaterales en precios o condiciones y reduce la exposición de metadatos sensibles sobre su topología interna.

¿Puede una pyme replicar un enfoque similar al de Galaxus?
Sí, a menor escala. El mismo patrón —hardware estándar, OpenWRT, Tailscale/Headscale, Proxmox y automatización con Ansible— puede aplicarse para unir oficinas, home office y servidores en la nube. La clave está en empezar pequeño, documentar la arquitectura desde el inicio y tratar la infraestructura como código, de forma que crecer de 3 a 10 sedes sea cuestión de repetir el mismo patrón, no de rediseñar todo desde cero.

vía: digitec.ch

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Galaxus planta cara al lock-in de la nube: así ha construido su propia red soberana con software libre

Qué es el programa Verified Peering Provider de Google

Ciberseguridad: Object First ofrece tres recomendaciones clave para proteger los datos

HPE refuerza su apuesta por la supercomputación: nueva generación HPE Cray para dominar la era de la IA y el HPC

×