Administración de operaciones

Práctica de infraestructura como código con AWS CloudFormation - Diseño de plantillas y gestión de stacks

Defina infraestructura con plantillas y previsualice el impacto con change sets antes del despliegue. Detecte drift de configuración con detección de drift y despliegue en toda su organización con StackSets.

約 7 分で読めます

Descripcion general de CloudFormation

CloudFormation es un servicio de IaC que define declarativamente recursos AWS en plantillas YAML o JSON y los despliega como stacks. Comparado con la creacion manual de recursos, ofrece reproducibilidad de entornos, control de versiones y automatizacion. Las plantillas se gestionan en Git y se integran en revisiones de codigo y pipelines CI/CD, aplicando los mismos procesos de control de calidad del desarrollo de software a los cambios de infraestructura. SAM es una extension de CloudFormation que simplifica la definicion de aplicaciones serverless. A traves del CloudFormation Registry se pueden gestionar tipos de recursos de terceros y personalizados ademas de los tipos nativos de AWS.

Diseno de plantillas y gestion de stacks

Las plantillas definen Parameters (hasta 200) para valores de entrada en tiempo de despliegue, Mappings para configuraciones por entorno y Conditions para logica condicional. Un stack puede gestionar hasta 500 recursos, y el limite de tamano del cuerpo de la plantilla es 1 MB cuando se sube via S3. Cuando se excede, se usan nested stacks referenciando URLs de plantillas hijas mediante recursos AWS::CloudFormation::Stack. Los change sets se crean antes de actualizar un stack para previsualizar que recursos se agregaran, modificaran o eliminaran. Los recursos que disparan reemplazo causan interrupcion temporal del servicio, haciendo critica la revision del change set. La seccion Outputs combinada con Export/ImportValue permite compartir ARNs e IDs entre stacks, facilitando la separacion de responsabilidades en una arquitectura de micro-stacks. El atributo DeletionPolicy permite especificar Delete (por defecto), Retain (preservar recurso tras eliminar el stack) o Snapshot (tomar snapshot antes de eliminar), protegiendo datos criticos de forma sistematica.

Deteccion de drift y StackSets

La deteccion de drift identifica si los recursos del stack se han desviado de sus definiciones en la plantilla. Cambios manuales desde la consola o scripts se detectan como drift, permitiendo revisar las diferencias respecto a la plantilla. Automatice la deteccion periodica de drift con programaciones de EventBridge para detectar desviaciones de configuracion tempranamente. Tenga en cuenta que la deteccion de drift no soporta todos los tipos de recursos; consulte la lista de recursos soportados en la documentacion. StackSets despliega la misma plantilla en multiples cuentas y regiones en una sola operacion. Con la integracion de Organizations, los despliegues se automatizan a nivel de OU. Cuando se agrega una nueva cuenta a una OU, el StackSet se despliega automaticamente, evitando brechas en la cobertura de guardrails. Configure MaxConcurrentCount y FailureToleranceCount adecuadamente para controlar el riesgo durante despliegues a gran escala. Para profundizar sus conocimientos sobre CloudFormation, libros especializados en Amazon pueden ser utiles.

Mejores practicas de diseno y errores comunes

En el diseno de plantillas, tenga precaucion al cambiar nombres logicos (LogicalId). Cambiar un LogicalId dispara el reemplazo del recurso, lo que puede causar perdida de datos en recursos con estado como instancias RDS o volumenes EBS. Use stack policies para prevenir actualizaciones o eliminaciones de recursos importantes, y establezca UpdateReplacePolicy: Retain en recursos criticos. Las dependencias circulares son un error comun que causa fallos en el despliegue, frecuentemente en referencias mutuas entre security groups; resuelvalas usando recursos separados AWS::EC2::SecurityGroupIngress/Egress. Cuando ocurre un fallo de rollback (UPDATE_ROLLBACK_FAILED), use la API ContinueUpdateRollback para especificar recursos a omitir y recuperar el stack. Para plantillas grandes, combine cfn-lint con TaskCat para pruebas simultaneas multirregion y cfn-guard para validacion automatica de cumplimiento de politicas.

Eleccion entre Terraform y CDK

CloudFormation destaca en entornos exclusivamente AWS que no requieren multi-nube, especialmente al aprovechar funcionalidades nativas como StackSets e integracion con Organizations. El estado es gestionado automaticamente por AWS, eliminando la necesidad de aprovisionar buckets S3 o tablas de bloqueo. Terraform ofrece soporte multi-nube y un amplio ecosistema de providers, permitiendo gestionar recursos fuera de AWS en el mismo flujo de trabajo, aunque la gestion del archivo de estado (S3 + bloqueo DynamoDB) agrega carga operativa. CDK define infraestructura en lenguajes de programacion de proposito general como TypeScript o Python, aprovechando caracteristicas del lenguaje como bucles, condicionales y clases de abstraccion para expresar infraestructura compleja de forma concisa. Dado que CDK genera plantillas CloudFormation, se mantiene acceso a funcionalidades como limites y deteccion de drift. Guia de seleccion: StackSets para despliegue de guardrails organizacionales, CDK para abstracciones programables y Terraform para escenarios multi-nube.

Precios y consideraciones de limites

CloudFormation en si es gratuito. Solo paga por los recursos AWS aprovisionados. Los recursos de terceros (tipos de extension via CloudFormation Registry) generan cargos por operacion de handler (operaciones CREATE/UPDATE/DELETE/READ/LIST). Los limites principales incluyen: 2,000 stacks por cuenta por defecto (ampliable), 200 Outputs por plantilla y 200 Mappings por plantilla. Para mejorar la eficiencia de desarrollo de plantillas, use cfn-lint para detectar errores de sintaxis tempranamente y revise change sets para confirmar el impacto antes del despliegue. Reutilice recursos comunes (VPCs, security groups) con nested stacks para eliminar duplicacion de plantillas. El CLI Rain puede optimizar el formateo y despliegue de plantillas.

Resumen

CloudFormation es un servicio de IaC basado en plantillas que ofrece reproducibilidad y automatizacion de infraestructura. Los change sets permiten previsualizar el impacto antes del despliegue, y la deteccion de drift identifica desviaciones de configuracion. StackSets despliega plantillas en toda la organizacion, automatizando la gestion de infraestructura multi-cuenta y multirregion. Proteja recursos con estado mediante DeletionPolicy y stack policies, y combine con CDK o Terraform para construir una estrategia de IaC optimizada para los requisitos de su proyecto.

Servicios relacionados

AWS CloudFormationUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAmazon S3Servicio de almacenamiento de objetos escalableAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

Diseño visual de aplicaciones serverless con AWS Application Composer - Generación automática de plantillas IaCExplica el diseño visual de arquitecturas serverless con Application Composer, la generación automática de plantillas SAM y la integración con VS Code.IaC con lenguajes de programación usando AWS CDK - Diseño de Constructs y StacksAprenda sobre la definición de infraestructura con TypeScript/Python usando CDK, la elección entre constructs L1/L2/L3 y técnicas de pruebas.Ingeniería de plataformas con AWS Proton - Provisión de autoservicio de plantillas de infraestructuraProton permite a los equipos de plataforma gestionar plantillas de infraestructura y a los desarrolladores aprovisionar entornos mediante autoservicio. Explicamos el versionado de plantillas y la automatización de pipelines.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

AWS CloudFormationServicio de Infrastructure as Code que permite definir y gestionar infraestructura AWS como código mediante plantillas JSON o YAML, automatizando la creación, actualización y eliminación de recursosHasta dónde ve la detección de drift de CloudFormation - Cómo rastrea cambios manuales y sus limitacionesAprenda cómo la detección de drift de CloudFormation compara internamente el estado actual de los recursos con el estado esperado definido en las plantillas, el límite entre cambios detectables y no detectables, y estrategias para la remediación de drift.Qué sucede durante una actualización de stack de CloudFormation - Detrás de change sets, rollbacks y reemplazosAprenda sobre el flujo de procesamiento interno cuando CloudFormation actualiza un stack, incluyendo cómo los change sets detectan diferencias, la lógica detrás de las decisiones de actualización, reemplazo y eliminación de recursos, y cómo funcionan los rollbacks.Madurez de IaC en AWS - La ventaja de la gestión declarativa de infraestructura construida por CloudFormation, CDK y SAMComparamos la madurez del ecosistema Infrastructure as Code de AWS centrado en CloudFormation, CDK y SAM con Azure ARM/Bicep y GCP Deployment Manager, explicando la diferencia en experiencia de desarrollo que aporta CDK con soporte multilenguaje.