Infraestrutura Livre: Construindo um Datacenter Soberano com VyOS, Ansible e Código Aberto
Ao som de
Há pelo menos quatro meses venho programando uma arquitetura orientada por código que busca resolver um problema que raramente é discutido de forma honesta: como construir infraestrutura digital fora do modelo colonial das BigTechs, sem depender de AWS, Google Cloud ou Azure para cada camada do stack.
Não se trata apenas de reduzir custos.
Se trata de recuperar o controle técnico sobre a infraestrutura.
Esse processo exige estudar coisas que a maioria das equipes de desenvolvimento simplesmente nunca toca: protocolos de rede, failover real, comportamento de roteadores, sincronização de estado de conexão, arquitetura de identidade federada, automação de infraestrutura e principalmente a integração entre todas essas camadas.
Alta disponibilidade real com VyOS
Nos últimos dias conseguimos validar uma peça fundamental dessa arquitetura: um par de roteadores de borda totalmente automatizados com VyOS, operando em alta disponibilidade real, com sincronização de estado e failover automático, tudo descrito como código e preparado para ser controlado por Ansible.
Para quem não vive o dia a dia de infraestrutura isso pode parecer apenas mais uma configuração de rede. Mas na prática isso significa algo muito mais profundo: a capacidade de operar um provedor de infraestrutura sem depender de appliances proprietários.
- Nenhum Cisco
- Nenhum Fortinet
- Nenhum firewall proprietário
- Nenhum load balancer fechado
A arquitetura que estamos montando é composta por dois nós de borda:
edge01
edge02Esses dois sistemas operam como roteadores ativos de um datacenter soberano, utilizando VRRP (Virtual Router Redundancy Protocol) para manter endereços IP virtuais que continuam funcionando mesmo quando um dos nós falha.
Como funciona o failover
Em termos simples, criamos um sistema onde:
- dois roteadores compartilham endereços IP virtuais
- um atua como MASTER
- o outro permanece como BACKUP
- se o MASTER falhar, o BACKUP assume automaticamente
Mas o interessante não é apenas o VRRP.
O que realmente muda o jogo é que o estado das conexões também é sincronizado entre os nós.
Isso significa que se um servidor interno está transferindo dados ou mantendo sessões TCP ativas com o mundo exterior, essas conexões não são interrompidas quando ocorre um failover.
Esse comportamento é garantido através de um mecanismo chamado conntrack-sync.
Na prática, os dois roteadores compartilham continuamente o estado das tabelas de conexão, permitindo que o segundo nó continue exatamente de onde o primeiro parou.
Esse tipo de arquitetura é comum em grandes infraestruturas corporativas. A diferença é que normalmente ela depende de equipamentos extremamente caros e fechados.
Aqui estamos fazendo isso com software livre.
Arquitetura de redes internas
A topologia que montamos segue um modelo bastante claro.
Cada rede interna possui três endereços principais:
- endereço físico do roteador A
- endereço físico do roteador B
- endereço virtual VRRP (gateway da rede)
Esse padrão se repete em diversas VLANs internas dedicadas a serviços e ambientes de clientes.
Redes de serviços
10.x.2.0/24 → serviços internos
10.x.3.0/24 → aplicações distribuídas
10.x.4.0/24 → infraestrutura de autenticaçãoRedes de clientes
10.y.2.0/24 → cliente A
10.y.3.0/24 → cliente B
10.y.4.0/24 → cliente C
...Cada uma dessas redes possui um grupo VRRP próprio. Isso permite que o roteamento interno continue funcionando mesmo durante manutenção ou falha de um dos nós.
Alta disponibilidade na borda pública
Na borda pública também utilizamos VRRP.
Os endereços públicos não pertencem fisicamente a nenhum roteador específico. Eles são endereços virtuais flutuantes, que podem migrar entre os dois nós dependendo do estado do cluster.
Isso garante que serviços externos continuem acessíveis mesmo que um dos sistemas de borda precise ser reiniciado ou substituído.
DHCP em alta disponibilidade
Além do roteamento e do failover, implementamos também DHCP em alta disponibilidade.
O serviço DHCP está configurado em modo active-passive, utilizando sincronização de estado entre os dois nós para garantir que a base de leases seja compartilhada.
Isso significa que:
- se o roteador primário cair
- o secundário já possui todas as informações de leases
- nenhum cliente perde conectividade
- nenhum equipamento precisa renegociar IP
Esse tipo de detalhe é o que diferencia uma rede funcional de uma infraestrutura realmente resiliente.
Infraestrutura como código
Mas talvez o aspecto mais importante de tudo isso seja outro.
Toda essa configuração não está sendo tratada como configuração manual.
Ela está sendo tratada como prova de código.
Cada configuração dos roteadores é exportada como comandos declarativos:
set high-availability vrrp group ...
set service conntrack-sync ...
set service dhcp-server ...
Esses comandos são armazenados em repositórios Git, permitindo:
- auditoria completa
- versionamento da infraestrutura
- reprodutibilidade do ambiente
- automação total da rede
O próximo passo: Ansible
A próxima etapa desse trabalho é transformar esse estado atual em playbooks Ansible idempotentes.
Isso significa que toda a infraestrutura poderá ser reconstruída automaticamente a partir de código.
Se amanhã precisarmos:
- recriar um roteador
- substituir hardware
- levantar um novo datacenter
- replicar a arquitetura em outro país
bastará executar os playbooks.
A rede nascerá novamente a partir do código.
Esse conceito é conhecido como Infrastructure as Code, mas quando aplicado à camada de rede ele ainda é raríssimo fora de ambientes hyperscale.
É justamente isso que estamos tentando democratizar.
IA como aliada técnica
Enquanto faço esse trabalho, frequentemente sinto que estou correndo em um ritmo difícil de acompanhar. São muitas camadas técnicas interagindo ao mesmo tempo: automação, rede, segurança, identidade, infraestrutura física.
Nesses momentos as redes neurais têm sido companheiras importantes.
Elas ajudam a validar ideias, acelerar a escrita de código, navegar documentação complexa e testar hipóteses de configuração.
Não substituem o trabalho humano — longe disso — mas ampliam significativamente a capacidade de explorar soluções.
Soberania tecnológica
No fundo, todo esse esforço tem um objetivo muito simples:
mostrar que é possível operar infraestrutura moderna fora das plataformas coloniais da internet.
Não é trivial.
Não é rápido.
E definitivamente não é fácil.
Mas a cada linha de código, a cada playbook, a cada rede configurada, fica mais claro que a dependência absoluta das BigTechs não é uma inevitabilidade técnica.
É apenas uma falta de imaginação operacional.
E imaginação é algo que nunca faltou para quem acredita no poder do conhecimento livre.
Nenhum software proprietário.
Nenhuma infraestrutura fechada.
Apenas código, colaboração e a convicção de que a internet ainda pode ser reconstruída como um espaço verdadeiramente aberto.
Infraestrutura Livre: Construindo um Datacenter Soberano com VyOS, Ansible e Código Aberto
Ao som de
Há pelo menos quatro meses venho programando uma arquitetura orientada por código que busca resolver um problema que raramente é discutido de forma honesta: como construir infraestrutura digital fora do modelo colonial das BigTechs, sem depender de AWS, Google Cloud ou Azure para cada camada do stack.
Não se trata apenas de reduzir custos.
Se trata de recuperar o controle técnico sobre a infraestrutura.
Esse processo exige estudar coisas que a maioria das equipes de desenvolvimento simplesmente nunca toca: protocolos de rede, failover real, comportamento de roteadores, sincronização de estado de conexão, arquitetura de identidade federada, automação de infraestrutura e principalmente a integração entre todas essas camadas.
Alta disponibilidade real com VyOS
Nos últimos dias conseguimos validar uma peça fundamental dessa arquitetura: um par de roteadores de borda totalmente automatizados com VyOS, operando em alta disponibilidade real, com sincronização de estado e failover automático, tudo descrito como código e preparado para ser controlado por Ansible.
Para quem não vive o dia a dia de infraestrutura isso pode parecer apenas mais uma configuração de rede. Mas na prática isso significa algo muito mais profundo: a capacidade de operar um provedor de infraestrutura sem depender de appliances proprietários.
- Nenhum Cisco
- Nenhum Fortinet
- Nenhum firewall proprietário
- Nenhum load balancer fechado
A arquitetura que estamos montando é composta por dois nós de borda:
edge01
edge02Esses dois sistemas operam como roteadores ativos de um datacenter soberano, utilizando VRRP (Virtual Router Redundancy Protocol) para manter endereços IP virtuais que continuam funcionando mesmo quando um dos nós falha.
Como funciona o failover
Em termos simples, criamos um sistema onde:
- dois roteadores compartilham endereços IP virtuais
- um atua como MASTER
- o outro permanece como BACKUP
- se o MASTER falhar, o BACKUP assume automaticamente
Mas o interessante não é apenas o VRRP.
O que realmente muda o jogo é que o estado das conexões também é sincronizado entre os nós.
Isso significa que se um servidor interno está transferindo dados ou mantendo sessões TCP ativas com o mundo exterior, essas conexões não são interrompidas quando ocorre um failover.
Esse comportamento é garantido através de um mecanismo chamado conntrack-sync.
Na prática, os dois roteadores compartilham continuamente o estado das tabelas de conexão, permitindo que o segundo nó continue exatamente de onde o primeiro parou.
Esse tipo de arquitetura é comum em grandes infraestruturas corporativas. A diferença é que normalmente ela depende de equipamentos extremamente caros e fechados.
Aqui estamos fazendo isso com software livre.
Arquitetura de redes internas
A topologia que montamos segue um modelo bastante claro.
Cada rede interna possui três endereços principais:
- endereço físico do roteador A
- endereço físico do roteador B
- endereço virtual VRRP (gateway da rede)
Esse padrão se repete em diversas VLANs internas dedicadas a serviços e ambientes de clientes.
Redes de serviços
10.x.2.0/24 → serviços internos
10.x.3.0/24 → aplicações distribuídas
10.x.4.0/24 → infraestrutura de autenticaçãoRedes de clientes
10.y.2.0/24 → cliente A
10.y.3.0/24 → cliente B
10.y.4.0/24 → cliente C
...Cada uma dessas redes possui um grupo VRRP próprio. Isso permite que o roteamento interno continue funcionando mesmo durante manutenção ou falha de um dos nós.
Alta disponibilidade na borda pública
Na borda pública também utilizamos VRRP.
Os endereços públicos não pertencem fisicamente a nenhum roteador específico. Eles são endereços virtuais flutuantes, que podem migrar entre os dois nós dependendo do estado do cluster.
Isso garante que serviços externos continuem acessíveis mesmo que um dos sistemas de borda precise ser reiniciado ou substituído.
DHCP em alta disponibilidade
Além do roteamento e do failover, implementamos também DHCP em alta disponibilidade.
O serviço DHCP está configurado em modo active-passive, utilizando sincronização de estado entre os dois nós para garantir que a base de leases seja compartilhada.
Isso significa que:
- se o roteador primário cair
- o secundário já possui todas as informações de leases
- nenhum cliente perde conectividade
- nenhum equipamento precisa renegociar IP
Esse tipo de detalhe é o que diferencia uma rede funcional de uma infraestrutura realmente resiliente.
Infraestrutura como código
Mas talvez o aspecto mais importante de tudo isso seja outro.
Toda essa configuração não está sendo tratada como configuração manual.
Ela está sendo tratada como prova de código.
Cada configuração dos roteadores é exportada como comandos declarativos:
set high-availability vrrp group ...
set service conntrack-sync ...
set service dhcp-server ...
Esses comandos são armazenados em repositórios Git, permitindo:
- auditoria completa
- versionamento da infraestrutura
- reprodutibilidade do ambiente
- automação total da rede
O próximo passo: Ansible
A próxima etapa desse trabalho é transformar esse estado atual em playbooks Ansible idempotentes.
Isso significa que toda a infraestrutura poderá ser reconstruída automaticamente a partir de código.
Se amanhã precisarmos:
- recriar um roteador
- substituir hardware
- levantar um novo datacenter
- replicar a arquitetura em outro país
bastará executar os playbooks.
A rede nascerá novamente a partir do código.
Esse conceito é conhecido como Infrastructure as Code, mas quando aplicado à camada de rede ele ainda é raríssimo fora de ambientes hyperscale.
É justamente isso que estamos tentando democratizar.
IA como aliada técnica
Enquanto faço esse trabalho, frequentemente sinto que estou correndo em um ritmo difícil de acompanhar. São muitas camadas técnicas interagindo ao mesmo tempo: automação, rede, segurança, identidade, infraestrutura física.
Nesses momentos as redes neurais têm sido companheiras importantes.
Elas ajudam a validar ideias, acelerar a escrita de código, navegar documentação complexa e testar hipóteses de configuração.
Não substituem o trabalho humano — longe disso — mas ampliam significativamente a capacidade de explorar soluções.
Soberania tecnológica
No fundo, todo esse esforço tem um objetivo muito simples:
mostrar que é possível operar infraestrutura moderna fora das plataformas coloniais da internet.
Não é trivial.
Não é rápido.
E definitivamente não é fácil.
Mas a cada linha de código, a cada playbook, a cada rede configurada, fica mais claro que a dependência absoluta das BigTechs não é uma inevitabilidade técnica.
É apenas uma falta de imaginação operacional.
E imaginação é algo que nunca faltou para quem acredita no poder do conhecimento livre.
Nenhum software proprietário.
Nenhuma infraestrutura fechada.
Apenas código, colaboração e a convicção de que a internet ainda pode ser reconstruída como um espaço verdadeiramente aberto.
Por que isso é importante para o Brasil
Existe um ponto que raramente aparece nas discussões sobre tecnologia no Brasil: infraestrutura digital é também infraestrutura de soberania.
Hoje, praticamente toda a economia digital brasileira depende de plataformas estrangeiras. Grande parte das startups, universidades, governos e até empresas consolidadas operam diretamente dentro de infraestruturas controladas por três grandes corporações: Amazon, Google e Microsoft.
Essas plataformas oferecem ferramentas poderosas, mas também criam uma dependência estrutural. Quem controla a infraestrutura controla:
- o custo de operação da economia digital
- a localização dos dados
- a governança das plataformas
- as regras de acesso aos serviços
- e em muitos casos até os padrões tecnológicos utilizados
O que estamos construindo aqui não é apenas um experimento técnico. É uma tentativa concreta de mostrar que é possível operar infraestrutura moderna, automatizada e resiliente fora desse modelo de dependência.
A arquitetura baseada em VyOS, automação com Ansible, redes definidas por código e infraestrutura open-source nos permite operar datacenters com capacidades que, até pouco tempo atrás, pareciam restritas às grandes plataformas globais.
Alta disponibilidade de rede, automação completa da infraestrutura, failover automático de roteadores, sincronização de conexões e provisionamento reprodutível são tecnologias que fazem parte do núcleo das arquiteturas hyperscale.
A diferença é que aqui estamos fazendo isso com software livre.
E isso abre uma possibilidade extremamente importante para o Brasil.
Hoje não existe no país uma alternativa nacional de infraestrutura digital que combine:
- automação total da rede
- arquitetura IPv6-first
- infraestrutura definida por código
- controle completo de roteamento
- alta disponibilidade real na camada de rede
- plataforma totalmente baseada em software livre
Empresas tradicionais de hospedagem brasileiras — como provedores de hosting ou cloud locais — normalmente operam infraestruturas baseadas em modelos mais antigos, muitas vezes dependentes de appliances proprietários ou arquiteturas que não foram desenhadas desde o início para automação completa e escalabilidade distribuída.
Isso significa que existe hoje um enorme espaço para a construção de uma nova geração de infraestrutura digital brasileira, construída sobre princípios diferentes:
- soberania tecnológica
- conhecimento aberto
- infraestrutura auditável
- automação total
- independência de fornecedores proprietários
Quando conseguimos operar roteadores de borda em alta disponibilidade, controlados por código, com automação total da infraestrutura, não estamos apenas resolvendo um problema técnico.
Estamos demonstrando que o Brasil pode desenvolver e operar sua própria infraestrutura digital em nível global.
Isso nos coloca em uma posição extremamente interessante: não apenas como consumidores de tecnologia, mas como produtores de arquitetura.
A mesma lógica que sustenta grandes plataformas globais pode ser reconstruída com ferramentas abertas, conhecimento compartilhado e comunidades técnicas comprometidas com a liberdade tecnológica.
Se essa arquitetura se consolidar e se tornar replicável, ela poderá servir de base para:
- datacenters soberanos
- infraestruturas públicas digitais
- plataformas de cloud nacionais
- redes comunitárias e cooperativas
- ecossistemas digitais independentes
Talvez esse seja o ponto mais importante de todo esse processo: a soberania digital não nasce de discursos — nasce de arquitetura técnica.
E arquitetura técnica nasce de algo muito simples: conhecimento livre, código aberto e pessoas dispostas a construir.
Por que isso é importante para o Brasil
Existe um ponto que raramente aparece nas discussões sobre tecnologia no Brasil: infraestrutura digital é também infraestrutura de soberania.
Hoje, praticamente toda a economia digital brasileira depende de plataformas estrangeiras. Grande parte das startups, universidades, governos e até empresas consolidadas operam diretamente dentro de infraestruturas controladas por três grandes corporações: Amazon, Google e Microsoft.
Essas plataformas oferecem ferramentas poderosas, mas também criam uma dependência estrutural. Quem controla a infraestrutura controla:
- o custo de operação da economia digital
- a localização dos dados
- a governança das plataformas
- as regras de acesso aos serviços
- e em muitos casos até os padrões tecnológicos utilizados
O que estamos construindo aqui não é apenas um experimento técnico. É uma tentativa concreta de mostrar que é possível operar infraestrutura moderna, automatizada e resiliente fora desse modelo de dependência.
A arquitetura baseada em VyOS, automação com Ansible, redes definidas por código e infraestrutura open-source nos permite operar datacenters com capacidades que, até pouco tempo atrás, pareciam restritas às grandes plataformas globais.
Alta disponibilidade de rede, automação completa da infraestrutura, failover automático de roteadores, sincronização de conexões e provisionamento reprodutível são tecnologias que fazem parte do núcleo das arquiteturas hyperscale.
A diferença é que aqui estamos fazendo isso com software livre.
E isso abre uma possibilidade extremamente importante para o Brasil.
Hoje não existe no país uma alternativa nacional de infraestrutura digital que combine:
- automação total da rede
- arquitetura IPv6-first
- infraestrutura definida por código
- controle completo de roteamento
- alta disponibilidade real na camada de rede
- plataforma totalmente baseada em software livre
Empresas tradicionais de hospedagem brasileiras — como provedores de hosting ou cloud locais — normalmente operam infraestruturas baseadas em modelos mais antigos, muitas vezes dependentes de appliances proprietários ou arquiteturas que não foram desenhadas desde o início para automação completa e escalabilidade distribuída.
Isso significa que existe hoje um enorme espaço para a construção de uma nova geração de infraestrutura digital brasileira, construída sobre princípios diferentes:
- soberania tecnológica
- conhecimento aberto
- infraestrutura auditável
- automação total
- independência de fornecedores proprietários
Quando conseguimos operar roteadores de borda em alta disponibilidade, controlados por código, com automação total da infraestrutura, não estamos apenas resolvendo um problema técnico.
Estamos demonstrando que o Brasil pode desenvolver e operar sua própria infraestrutura digital em nível global.
Isso nos coloca em uma posição extremamente interessante: não apenas como consumidores de tecnologia, mas como produtores de arquitetura.
A mesma lógica que sustenta grandes plataformas globais pode ser reconstruída com ferramentas abertas, conhecimento compartilhado e comunidades técnicas comprometidas com a liberdade tecnológica.
Se essa arquitetura se consolidar e se tornar replicável, ela poderá servir de base para:
- datacenters soberanos
- infraestruturas públicas digitais
- plataformas de cloud nacionais
- redes comunitárias e cooperativas
- ecossistemas digitais independentes
Talvez esse seja o ponto mais importante de todo esse processo: a soberania digital não nasce de discursos — nasce de arquitetura técnica.
E arquitetura técnica nasce de algo muito simples: conhecimento livre, código aberto e pessoas dispostas a construir.
Nosso próximo passo disponibilizar um E-commerce onde qualquer brasileiro possa subir infraestrutura soberana (com nosso apoio) para poder dar continuidade a contaminação viral do movimento software livre.
Se há algo que temos que aproveitar da pandemia de COVID-19 é que virus se espalham muitos mais rápidos do que idéias de pessoas inteligentes. Por isso nosso objetivo é viralizar esta iniciativa através deste portal de código
Assim que tivermos certeza de que é o caminho mais sólido e adptável abriremos o código (por questões de segurança e falta de corpo técnico) sabemos que para que tenha eficiẽncia e visto o nosso inimigo as BigTechs podem lançar uma vacina antes mesmo de que nosso virus tenha se espalhado.
Temos que lutar juntos para isso
Para os interessad@s sabem onde me encontrar
VHF no Canl 73 e SSB-USB em 14.175 Se quiser falar no digital tem que garimpar o caminho
Sincero e fraterno abraço diretamente do front digital
Helmsman Commander Navigator