Guía de despliegue de Node RED en Kubernetes y gestión segura de contraseñas
Desplegar Node RED en Kubernetes es una forma potente de ejecutar flujos low code a escala. A continuación tienes un procedimiento simplificado sobre GKE Google Kubernetes Engine con prácticas recomendadas para proteger credenciales y administrar contraseñas de forma segura. Esta guía es perfecta si buscas estabilidad, escalabilidad y un enfoque cloud nativo alineado con servicios cloud aws y azure, además de integración con automatización e inteligencia artificial.
Prerrequisitos
1. Un clúster de Kubernetes en GKE con kubectl configurado. 2. Imagen de contenedor Node RED nodered/node-red:4.0.8. 3. Opcional IP estática y certificado gestionado para HTTPS mediante Ingress de GKE.
Paso 1 Despliegue inicial
Deployment. Crea un manifiesto deployment.yml con un Deployment apps v1 que use la imagen nodered/node-red:4.0.8, exponga el puerto 1880, ejecute el contenedor con runAsUser 1000 y runAsGroup 1000, y monte dos volúmenes uno para persistencia en /data usando un PVC y otro para cargar el archivo de configuración settings.js en /config/settings.js desde un ConfigMap. Define livenessProbe y readinessProbe sobre la ruta raiz y puerto 1880, y solicita recursos de CPU y memoria acordes a tu carga. Aplica con kubectl apply -f deployment.yml -n namespace.
ConfigMap. Crea configmap.yml con un ConfigMap que incluya el archivo settings.js. Deja el campo de contraseña vacío por ahora para rellenarlo más adelante con un hash bcrypt. En settings.js define al menos httpAdminRoot y httpNodeRoot en la raiz, userDir en la ruta de datos, flowFile como flows.json, una credentialSecret aleatoria y adminAuth de tipo credentials con el usuario admin. Aplica con kubectl apply -f configmap.yml -n namespace.
Service. Crea service.yml con un Service ClusterIP sobre el puerto 1880 y selector app node-red para exponer el pod dentro del clúster. Aplica con kubectl apply -f service.yml -n namespace.
PVC. Crea pvc.yml con un PersistentVolumeClaim de 2Gi y modo de acceso ReadWriteOnce para persistir flows, credenciales y paquetes instalados. Aplica con kubectl apply -f pvc.yml -n namespace.
Opcional Ingress y HTTPS. Crea ingress.yml con un Ingress de GCE indicando el host deseado y la ruta a tu Service. Si usas IP estática y ManagedCertificate de GKE, añade las anotaciones correspondientes. Si necesitas controles adicionales crea también un BackendConfig y referencia su nombre en el Ingress.
Horizontal Pod Autoscaler. Define hpa.yml con un HPA autoscaling v2 apuntando al Deployment node-red con minReplicas 1, maxReplicas 3 y objetivos de utilización por CPU y memoria por ejemplo 70 por ciento CPU y 80 por ciento memoria. Aplica con kubectl apply -f hpa.yml -n namespace.
BackendConfig para health checks. Crea backend.yml con un BackendConfig que especifique health checks HTTP contra la ruta raiz en el puerto 1880 y aplica con kubectl apply -f backend.yml -n namespace. Asegúrate de referenciarlo en el Ingress si corresponde.
Paso 2 Generar la contraseña dentro del pod
Cuando el Deployment esté listo, genera el hash bcrypt desde el mismo contenedor para asegurar compatibilidad con la versión de Node js y librerías. Comandos útiles kubectl get pods -n namespace para localizar el pod y kubectl exec -it nombre-del-pod -n namespace -- node-red admin hash-pw. Introduce tu contraseña al solicitarla y copia el hash bcrypt generado.
Paso 3 Actualizar el ConfigMap con el hash
Edita el ConfigMap con kubectl edit configmap node-red-settings -n namespace y pega el hash bcrypt en el bloque adminAuth del usuario admin. Guarda los cambios.
Paso 4 Reiniciar el pod para recargar ajustes
Elimina el pod con kubectl delete pod nombre-del-pod -n namespace. Kubernetes recreará el pod automáticamente y Node RED cargará el nuevo settings.js con el hash bcrypt. Accede a la interfaz y autentícate con el usuario admin y la contraseña que has definido.
Paso 5 Cambiar la contraseña en el futuro
Repite el proceso de generación de hash con kubectl exec -it nombre-del-pod -n namespace -- node-red admin hash-pw, actualiza el ConfigMap y elimina el pod para que recargue la configuración. El cambio se aplica de forma inmediata tras el reinicio del contenedor.
Notas y buenas prácticas
Genera el hash bcrypt dentro del pod en ejecución para asegurar compatibilidad con la versión de Node y las dependencias. Nunca almacenes contraseñas en texto plano en ConfigMaps. Usa siempre hashes bcrypt. La clave credentialSecret cifra credenciales de flujo como contraseñas MQTT. Si la cambias, deberás regenerar el archivo flows_cred.json. Mantén el PVC para no perder flujos ni nodos instalados durante recreaciones. Ajusta límites y peticiones de recursos y los umbrales de HPA según tu tráfico real. Revisa los health checks del Ingress y del BackendConfig para evitar falsos positivos.
Cómo conectarlo con mejores prácticas cloud, seguridad e IA
En Q2BSTUDIO somos una empresa de desarrollo de software a medida y aplicaciones a medida que diseña soluciones cloud nativas para empresas exigentes. Integramos canalizaciones CI CD, observabilidad y seguridad de extremo a extremo para que tus flujos low code funcionen a escala sin comprometer la ciberseguridad. Si necesitas acompañamiento para arquitecturas híbridas, contenedores, Kubernetes o migraciones, descubre nuestros servicios cloud en AWS y Azure.
Además, impulsamos la innovación con inteligencia artificial e ia para empresas integrando agentes IA, modelos de lenguaje y automatización inteligente para escalado de procesos y toma de decisiones. Conoce cómo aplicamos IA responsable, MLOps y copilotos corporativos en nuestros servicios de inteligencia artificial.
Palabras clave útiles para tu estrategia tecnológica y de negocio aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
Conclusión
Desplegar Node RED en Kubernetes con una estrategia de contraseñas basada en hashes bcrypt y con configuración declarativa fiable te permite escalar con seguridad y control. Si deseas acelerar tu proyecto con un equipo experto en software a medida, automatización de procesos y plataforma cloud, en Q2BSTUDIO estaremos encantados de ayudarte a llevarlo a producción con calidad y observabilidad de nivel empresarial.