Saltar a contenido

Roadmap

Etapas cerradas

Etapa 0 - Workspace documental

  • Cerrada

Etapa 0.5 - Publicacion a GitHub privado

  • Cerrada
  • Repo privado openclawai-vps-lab creado y publicado

Etapa 1 - Auditoria VPS

  • Cerrada
  • Host srv977009 validado
  • Docker, ufw, fail2ban, ssh, NPM y Portainer auditados

Etapa 2 - Arquitectura multi-app del VPS

  • Cerrada
  • Aislamiento por stack aprobado
  • Publicacion solo por NPM aprobada

Etapa 3 - Arquitectura OpenClaw

  • Cerrada
  • Compose conservador definido y desplegado

Etapa 4 - Seguridad y acceso base

  • Cerrada parcialmente
  • Secretos fuera de Git: si
  • TLS por NPM: si
  • Flujo autenticado de operador: validado formalmente

Etapa 5 - VPS baseline hardening + preparacion operativa

  • Cerrada
  • Snapshot, updates, reboot, swap y revalidacion completados

Etapa 6 - Revalidacion post-hardening

  • Cerrada
  • Host estable despues del reboot

Etapa 7 - Preparacion deployment Docker

  • Cerrada
  • /opt/stacks/openclaw preparado y validado

Etapa 8 - Implementacion OpenClaw

  • Cerrada
  • OpenClaw desplegado y healthy

Etapa 9 - Publicacion operativa

  • Cerrada
  • DNS activo
  • Proxy Host activo
  • SSL activo
  • HTTPS 200 OK
  • Control UI publica cargando
  • Reinicio post-go-live validado

Etapa actual

Etapa 10 - Validacion funcional autenticada

  • Estado: cerrada
  • Auth OpenAI del agente main validada
  • token_missing clasificado como comportamiento esperado sin token
  • trustedProxies corregido con el proxy real de NPM
  • Restart controlado y persistencia auth validados

Etapa 10.5 - Auditoria final de Portainer

  • Estado: cerrada
  • Backup de metadata Portainer realizado
  • Docker, docker.sock, snapshots y data store revalidados
  • El endpoint local sigue funcional por backend
  • La incidencia DOWN queda clasificada como Portainer UI / compatibilidad Portainer 2.33.1 con Docker 29.x
  • No se aplico mutacion de metadata por falta de una reparacion minima segura y oficial bajo las restricciones aprobadas

Etapa 10.6 - Portainer modernization

  • Estado: cerrada
  • Backup nuevo del volumen real realizado y validado
  • Upgrade conservador aplicado a portainer/portainer-ce:2.39.2
  • Mismo volumen, mismos puertos, mismo docker.sock, misma policy y misma red
  • Logs confirman migracion de base 2.33.1 -> 2.39.2
  • OpenClaw y NPM revalidados sin impacto

Etapa 10.7 - Auditoria y cleanup Docker post-modernizacion

  • Estado: cerrada
  • Inventario Docker revalidado por SSH sobre openclaw-vps
  • Portainer activo confirmado en 2.39.2 con portainer_data_new
  • Imagenes legacy eliminadas:
  • alpine:latest
  • portainer/portainer-ce:latest
  • Legado conservado con criterio:
  • volumen portainer_data
  • red portainer2_default
  • No se tocaron OpenClaw, NPM, DNS ni firewall

Etapa 10.8 - Certificacion operativa final end-to-end

  • Estado: cerrada
  • Validacion visual final confirmada por Gabi
  • OpenClaw UI accesible en https://openclaw.alpuntodeventa.com.ar/chat?session=main
  • Pairing aprobado
  • Chat funcional confirmado
  • OpenClaw CLI auditado con:
  • modelo efectivo openai/gpt-5.5
  • provider OpenAI autenticado
  • agente default main
  • health --json en ok
  • Smoke tests no destructivos cerrados:
  • inferencia directa OpenClaw_OK
  • agente main OpenClaw_OK
  • HTTPS publico HTTP/2 200
  • gateway interno valido desde la red Docker
  • Check en host a 127.0.0.1:18789 clasificado como esperado fuera de alcance por topologia sin puertos publicados al host
  • Estado operativo final:
  • VPS VERDE
  • Docker VERDE
  • NPM VERDE
  • Portainer VERDE
  • OpenClaw VERDE

Etapa 10.9 - Disaster Recovery certification

  • Estado: cerrada
  • Auditoria DR ejecutada en modo de solo lectura sobre produccion
  • Inventario completo de reconstruccion desde cero documentado
  • Backups restaurables dedicados generados para OpenClaw, NPM y Portainer
  • Simulacion controlada no destructiva ejecutada en /tmp/dr-green-*
  • Persistencia real de auth OpenAI trazada a archivos concretos en config/
  • Estrategia formal creada en docs/BACKUP-RESTORE-STRATEGY.md
  • Runbook actualizado en docs/DISASTER-RECOVERY-RUNBOOK.md
  • Certificacion DR emitida: VERDE

Cierre final de frentes

  • Infraestructura: cerrada
  • Hardening: cerrado
  • DR: cerrado
  • Backup/Restore: cerrado
  • OpenClaw Platform: cerrada

Etapa 11 - VPS GOVERNANCE PLATFORM v1

  • Estado: cerrada
  • docs/governance/ queda creada como nueva autoridad documental del VPS
  • Tabla maestra, catalogos, servicios, runbooks, auditoria baseline y plantillas obligatorias creadas
  • Regla permanente activa: NINGUN SERVICIO NUEVO SE CONSIDERA TERMINADO SI NO ACTUALIZA GOVERNANCE
  • Estructura preparada para futura copia o sincronizacion en /opt/governance
  • Alcance gobernado:
  • servicios
  • redes
  • volumenes
  • dominios
  • puertos
  • backups
  • usuarios
  • restore
  • usos compartidos
  • trazabilidad tecnica completa por servicio
  • trazabilidad tecnica completa por uso

Etapa 11.1 - Governance v1 technical traceability

  • Estado: cerrada
  • SERVICE-TEMPLATE.md ampliada con identidad, ubicacion, Docker, red, proxy, persistencia, backups, usos, dependencias, operacion, seguridad y decisiones
  • USAGE-TEMPLATE.md ampliada con ejemplo PostgreSQL y campos obligatorios por uso
  • INVENTORY-TEMPLATE.md ampliada para activos con relacion tecnica real
  • Reglas nuevas creadas:
  • GOVERNANCE-CONTRACT.md
  • ID-CONVENTIONS.md
  • SERVICE-REGISTRY-RULES.md
  • Reglas de cierre reforzadas:
  • no se cierra un cambio si falta ficha, red, volumen, dominio, NPM, uso o backup documentado
  • Fichas reales reforzadas:
  • svc-openclaw
  • svc-nginx-proxy-manager
  • svc-portainer

Etapa 11.2 - VPS GOVERNANCE PLATFORM v2

  • Estado: cerrada en VERDE
  • Nueva etapa: VPS GOVERNANCE PLATFORM v2
  • Subetapas:
  • Knowledge Graph
  • Validation System
  • Regression Matrix
  • Governance Control Tower
  • Entregables creados:
  • docs/governance/catalog/TESTS.md
  • docs/governance/TEST-TEMPLATE.md
  • docs/governance/REGRESSION-MATRIX.md
  • docs/governance/VALIDATION-STATE.md
  • docs/governance/GOVERNANCE-CONTROL-TOWER.md
  • Cobertura estimada post-v2:
  • Governance: 95%
  • Knowledge Graph: 94%
  • Regression Control: 92%
  • Control Tower: 97%
  • Cierre formal:
  • TEST-WEBSOCKET-001 revalidado en PASS con connect.challenge, connect, hello-ok y device aprobado real

Etapa 11.3 - VPS OPERATIONS & SECURITY PLATFORM v1

  • Estado: certificada en VERDE para el estado actual de produccion
  • Nueva etapa: VPS OPERATIONS & SECURITY PLATFORM v1
  • Subetapas:
  • Operations
  • Security
  • Monitoring
  • Maintenance
  • Updates
  • AI Administration
  • Entregables creados:
  • docs/governance/operations/README.md
  • docs/governance/operations/OPERATIONS-CONTROL-TOWER.md
  • docs/governance/operations/MAINTENANCE-SCHEDULE.md
  • docs/governance/operations/UPDATE-POLICY.md
  • docs/governance/operations/CLEANUP-POLICY.md
  • docs/governance/operations/PERFORMANCE-BASELINE.md
  • docs/governance/operations/MONITORING-CATALOG.md
  • docs/governance/operations/ADMIN-QUESTIONS.md
  • docs/governance/security/README.md
  • docs/governance/security/SECURITY-STATE.md
  • docs/governance/security/SECURITY-CHECKLIST.md
  • docs/governance/security/VULNERABILITY-RUNBOOK.md
  • docs/governance/security/PATCHING-RUNBOOK.md
  • docs/governance/security/SSH-ACCESS-POLICY.md
  • docs/governance/security/FIREWALL-POLICY.md
  • docs/governance/security/EXPOSED-SERVICES.md
  • docs/governance/security/SECURITY-ADMIN-QUESTIONS.md
  • Estados documentales de la etapa:
  • Operations: VERDE
  • Security: VERDE
  • Monitoring: VERDE
  • AI Administration: VERDE
  • Gaps restantes:
  • quedan pendientes change-gates de update para Docker, Portainer, OpenClaw y NPM

Etapas siguientes

Etapa 15.1 - O1 Observabilidad fundacional

  • Estado: cerrada en VERDE
  • Implementada como stack privado en Docker al 2026-06-01
  • Sin puertos publicos nuevos
  • Documento rector: OBSERVABILITY-O1-ARCHITECTURE.md
  • Alcance implementado:
  • Prometheus
  • Grafana
  • Alertmanager
  • Node Exporter
  • cAdvisor
  • Blackbox Exporter
  • Entregables:
  • infra/observability/
  • svc-observability-o1
  • red obs-observability-internal
  • volumenes obs_prometheus_data, obs_grafana_data, obs_alertmanager_data
  • dashboards operativos O2: Executive Overview, Infrastructure Health, Docker Operations, Service Availability, Capacity Planning
  • backup extendido para O1
  • Estado validado:
  • targets Prometheus UP
  • datasource Grafana OK
  • dashboards provisionados OK
  • Alertmanager UP
  • probe HTTPS de OpenClaw OK

Etapa 15.2 - O1.2 Proteccion externa de artefactos criticos

  • Estado: cerrada documentalmente en VERDE
  • Sin cambios en VPS, Docker, OpenClaw, NPM ni Portainer
  • Se audito y formalizo que O1 queda protegido en tres capas:
  • Git para compose, provisioning, dashboards y reglas
  • backup local VPS para stack y volumenes obs_*
  • copia externa manual validada en C:\APV\backups\openclaw\
  • Estrategia minima recomendada:
  • copiar por corrida observability-stack.tgz, obs-prometheus-volume.tgz, obs-grafana-volume.tgz, obs-alertmanager-volume.tgz, SHA256SUMS y manifest.txt
  • Objetivos operativos formalizados:
  • RPO 24h
  • RTO 30-60 min
  • Gap residual explicitado:
  • falta una simulacion dedicada de restore O1 desde la copia externa hacia staging
  • Proximos pasos documentados:
  • ejecutar restore drill O1 en staging dedicada
  • evaluar automatizacion controlada de la copia externa en ventana separada

Etapa 15.3 - O3 Alertas controladas

  • Estado: cerrada en VERDE
  • Implementada al 2026-06-01 sin puertos publicos nuevos
  • Alcance:
  • alertas de disco, RAM, CPU y load del host
  • alertas de contenedor clave, cAdvisor y Node Exporter
  • alertas de OpenClaw HTTPS, NPM local, Portainer local y probes
  • alertas de targets Prometheus y crecimiento de TSDB
  • Entregables:
  • infra/observability/prometheus/rules/host-alerts.yml
  • infra/observability/prometheus/rules/docker-alerts.yml
  • infra/observability/prometheus/rules/service-alerts.yml
  • infra/observability/prometheus/rules/prometheus-alerts.yml
  • docs/governance/operations/O3-ALERTS-CATALOG.md
  • Estado validado:
  • promtool en verde
  • Alertmanager con receiver local-null
  • targets UP
  • 0 alertas activas falsas
  • OpenClaw, NPM y Portainer siguen VERDE
  • Restriccion mantenida:
  • sin notificaciones externas todavia

Etapa 15.4 - O6 Living Knowledge Platform

  • Estado: cerrada en VERDE
  • Auditoria de realidad ejecutada por SSH y repo sobre evidencia real al 2026-06-01
  • Nueva capa creada: docs/governance/knowledge/
  • Entregables:
  • O6.0-REALITY-AUDIT.md
  • vista general del VPS
  • mapa de servicios y dependencias
  • diagramas Mermaid por arquitectura, redes, observabilidad, alertas, exposicion publica y persistencia
  • catalogo de componentes
  • data catalog tecnico inicial
  • data lineage tecnico
  • diseno documental del knowledge graph
  • runbook RESTORE-KNOWLEDGE-PLATFORM.md
  • Correcciones de verdad documental:
  • svc-openclaw deja de declarar un contenedor cli no observado en runtime
  • svc-nginx-proxy-manager deja el websocket en PASS
  • catalog/SERVICES.md reconoce que observabilidad ya esta activa en el VPS
  • Resultado:
  • ahora existe navegacion por niveles desde VPS hasta metrica/alerta
  • la documentacion queda mejor alineada con la infraestructura real

Etapa 15.5 - O7 Metadata Platform Foundation

  • Estado: cerrada en VERDE como base documental
  • Alcance:
  • diagnostico oficial de OpenMetadata
  • contraste contra recursos reales del VPS
  • decision de integracion sin despliegue
  • modelado completo del caso OpenClaw Infrastructure Knowledge Base
  • reglas de gobierno para futuros proyectos catalogables
  • Evidencia de realidad usada:
  • ssh openclaw-vps
  • docker ps
  • docker volume ls
  • docker network ls
  • docs/VPS-INVENTORY.md
  • docs/governance/operations/O6.0-REALITY-AUDIT.md
  • documentacion oficial de OpenMetadata
  • Decision resultante:
  • OpenMetadata es compatible por version con Docker actual
  • OpenMetadata no queda aprobado para instalarse en srv977009 por falta de capacidad prudente y porque hoy no existe PostgreSQL real en el VPS
  • O7 queda aprobado como capa de foundation only
  • Entregables:
  • docs/governance/knowledge/metadata-platform/README.md
  • docs/governance/knowledge/metadata-platform/O7-METADATA-PLATFORM-FOUNDATION.md
  • docs/governance/knowledge/metadata-platform/OPENCLAW-INFRASTRUCTURE-KB-MODEL.md

Etapa 15.6 - O8 Knowledge Population basada en evidencia real

  • Estado: cerrada en VERDE
  • Alcance:
  • fichas atomicas de observabilidad
  • capa Docker navegable por stacks, redes, volumenes y contenedores
  • runtime real de OpenClaw consolidado
  • integracion OpenAI clasificada con evidencia viva
  • diagramas Mermaid ampliados
  • runbook de mantenimiento de la Knowledge Platform
  • Entregables:
  • docs/governance/knowledge/observability/
  • docs/governance/knowledge/docker/
  • docs/governance/knowledge/runtime/README.md
  • docs/governance/knowledge/integrations/openai.md
  • docs/governance/knowledge/diagrams/07-runtime-openclaw.md
  • docs/governance/knowledge/diagrams/08-openai-integration.md
  • docs/governance/runbooks/MAINTAIN-KNOWLEDGE-PLATFORM.md
  • Resultado:
  • observabilidad, Docker, redes, volumenes, runtime y OpenAI pasan de cobertura dispersa a cobertura navegable
  • OpenAI deja de estar en ROJO porque existe evidencia funcional real
  • O8.8 agrega fichas propias para Runtime Host y DNS / TLS
  • O8 queda completamente VERDE para su alcance

Etapa 15.6.8 - O8.8 Cierre de brechas finales de Knowledge Platform

  • Estado: cerrada en VERDE
  • Evidencia real usada:
  • hostnamectl, uname -a, lscpu, free -h, df -h
  • ip -brief addr, ss -tulpn, ufw status numbered
  • docker ps, docker inspect, docker network ls, docker volume ls
  • getent ahostsv4
  • curl -I sobre openclaw.alpuntodeventa.com.ar y www.portainer.alpuntodeventa.com.ar
  • openssl x509 sobre certificados npm-2 y npm-3
  • lectura real de proxy_host/*.conf y letsencrypt/renewal/*.conf
  • APIs de Prometheus, reglas y probes blackbox
  • Entregables:
  • docs/governance/knowledge/infrastructure/dns-tls.md
  • docs/governance/knowledge/infrastructure/runtime-host.md
  • actualizacion de relaciones, catalogos y auditoria O8.0
  • Que cubre O8:
  • infraestructura navegable por componente, red, volumen, runtime, dominio, TLS, metricas y alertas
  • Que no cubre O8:
  • retiro operativo de artefactos legacy
  • aprobacion de un canal externo real para O3/O4
  • Proximos candidatos de expansion:
  • canal externo de alertas
  • decision final sobre portainer_data
  • decision final sobre portainer2_default

Etapa 15.7 - O9 Knowledge Portal

  • Estado: implementada en repo y lista para publicacion en VPS
  • Decision tomada: MkDocs Material
  • Motivos:
  • bajo consumo
  • busqueda integrada
  • Markdown nativo
  • Mermaid simple
  • deploy Docker liviano
  • actualizacion facil desde Git
  • Entregables:
  • mkdocs.yml
  • docs/index.md
  • infra/knowledge-portal/
  • docs/governance/runbooks/MAINTAIN-KNOWLEDGE-PORTAL.md
  • Regla de gobierno:
  • el repo sigue siendo la fuente de verdad
  • el VPS publica solo una copia navegable
  • URL sugerida:
  • https://knowledge.alpuntodeventa.com.ar/
  • Publicacion recomendada:
  • contenedor local en 127.0.0.1:8085
  • exposicion solo por NPM
  • proteccion con Access List o Basic Auth
  • Resultado esperado:
  • portal navegable
  • busqueda activa
  • Mermaid renderizado
  • actualizacion simple via git pull + docker compose up -d --build

Etapa 12 - Operacion asistida y backup

  • Estado: en curso, despues de VPS Operations & Security Platform v1
  • Backup recurrente VPS implementado y validado
  • Cron diario 03:00 instalado
  • Exportacion manual de evidencia fuera del VPS validada en C:\APV\backups\openclaw\
  • Automatizacion Windows pendiente de aprobacion
  • Documentar acceso operador y command owner
  • Cerrar warnings no bloqueantes de openclaw doctor
  • Definir monitoreo liviano de logs, disco y sesiones

Etapa 13 - Casos de uso y automatizaciones

  • Respaldar /opt/stacks/openclaw
  • Diseñar workflows reales sobre agente main
  • Priorizar automatizaciones de negocio
  • Mantener la infraestructura estable sin cambios innecesarios

Etapa 14 - Hardening y monitoreo continuo

  • Revisar monitoreo de disco, logs, RAM y swap
  • Revisar riesgo de superficie publica administrativa
  • Definir rutina de renovacion operativa y chequeos de salud

Etapa 15 - Operacion estable

  • Formalizar mantenimiento
  • Mantener documentacion viva

Proximo paso unico recomendado

Definir y aprobar un canal externo simple para O3/O4, sin habilitarlo todavia en produccion, ahora que O3.1 ya quedo revalidado en verde con drills controlados y la capa O8 ya quedo completamente verde para sostener ese cambio.