1. Panel de Control

El Panel de Control (Dashboard) es la pantalla principal que ofrece visibilidad centralizada sobre los costes cloud agregados del tenant. Proporciona una perspectiva consolidada y en tiempo real sobre el consumo y la eficiencia financiera de tus recursos e infraestructura en la nube.

Métricas Clave y KPIs

En la parte superior del panel se visualizan tarjetas con métricas esenciales para la toma de decisiones:

• Gasto Total: El coste incurrido acumulado en el mes corriente, acompañado de una proyección predictiva (forecast) a fin de mes calculada por el motor de estimación.
• Ahorro Potencial: La suma estimada de reducción de costes mensuales que podrías obtener si aplicas el total de las recomendaciones y remediaciones activas identificadas.
• Presupuestos Activos: Indicador del estado general de tus presupuestos y si existen desviaciones importantes que requieran atención.
• Alertas de Consumo: Cantidad de alertas y anomalías de facturación detectadas sin leer en tu bandeja de entrada.

Gráficos Interactivos de Análisis

El panel desglosa la información mediante elementos visuales interactivos:

Además, incluye un widget específico de Recursos Sin Etiquetar / Huérfanos para cuantificar de forma rápida el gasto no asignado a proyectos específicos y facilitar su asignación.

2. Gestor de Credenciales

El Gestor de Credenciales es el almacén criptográfico seguro de FinOps Hub. Permite guardar claves de acceso, archivos de cuentas de servicio y tokens Git necesarios para auditar e integrar los diferentes servicios cloud sin exponer credenciales en archivos locales o código fuente.

Tipos de Credenciales Soportadas

• AWS Access Keys (aws_keys): Credenciales IAM compuestas por Access Key ID, Secret Access Key y opcionalmente Session Token y Región por defecto.
• GCP Service Account JSON (gcp_json): Contenido del archivo JSON de clave de cuenta de servicio descargado de Google Cloud Platform.
• Secret Text (secret_text): Texto plano genérico para almacenar contraseñas, tokens de Infracost, API Keys o Tokens de Acceso Personal (PAT) de Git.

Cómo Agregar una Nueva Credencial

3. Cuentas Cloud

El apartado de Cuentas Cloud permite gestionar las conexiones activas con tus distintos proveedores en la nube y configurar las importaciones manuales. Es el primer paso operativo para nutrir a la plataforma de métricas de coste.

Integración de Proveedores Cloud

Permisos Mínimos Requeridos y Políticas

Para recuperar de forma segura métricas de coste e inventario, configura tus cuentas con permisos de sólo lectura mínimos:

1. AWS: IAM Policy

Crea una política en tu consola de AWS con el siguiente formato JSON y asóciala a las credenciales provistas:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:GetCostAndUsage",
        "ce:GetCostForecast",
        "compute-optimizer:GetEC2InstanceRecommendations",
        "compute-optimizer:GetEnrollmentStatus",
        "eks:ListClusters",
        "eks:DescribeCluster",
        "ec2:DescribeVolumes",
        "ec2:DescribeInstances",
        "ec2:DescribeAddresses",
        "elasticloadbalancing:DescribeLoadBalancers",
        "rds:DescribeDBInstances",
        "lambda:ListFunctions",
        "cloudwatch:GetMetricStatistics",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    }
  ]
}

2. Azure: Asignación de Roles

En el portal de Azure, accede a tu suscripción, ve a Access Control (IAM) y asigna a tu aplicación registrada (Service Principal) los siguientes roles:

• Reader (Lector): Para recuperar inventario de recursos y gobernanza.
• Billing Reader (Lector de Facturación): Para consultar la API de Azure Consumption y Cost Management.

3. GCP: Roles y BigQuery

Asigna a la cuenta de servicio los siguientes roles a nivel de proyecto:

• Billing Account Viewer: Para visualizar datos de facturación global.
• Recommender Viewer: Para recolectar recomendaciones de optimización.
• BigQuery Data Viewer / User: En el dataset donde esté habilitado el Billing Export de GCP a BigQuery.

Importación Manual (Bulk Import JSON)

Si deseas simular costes o testear la plataforma sin APIs de red, selecciona el proveedor Manual / Bulk Import al añadir la cuenta. Podrás pegar una lista de recursos en formato JSON directamente en el formulario:

[
  {
    "name": "Base de Datos RDS Postgres",
    "cost": 180.50
  },
  {
    "name": "Almacenamiento S3 Buckets",
    "cost": 42.10
  },
  {
    "name": "Instancia EC2 Bastion",
    "cost": 15.00
  }
]

4. Clústeres Kubernetes

La sección de Clústeres Kubernetes desglosa el consumo de tus cargas de trabajo contenerizadas agrupando los costes por Namespace, CPU, Memoria y almacenamiento persistente.

Métodos de Sincronización

FinOps Hub admite tres formas de integrar y calcular el coste de Kubernetes:

Detalle del Modo Pull

En el Modo Pull, el portal de FinOps Hub actúa como cliente HTTP. Realiza una petición GET programada al endpoint configurado de tu clúster (por ejemplo, https://k8s.miempresa.com/opencost/allocation/compute) para descargar el histórico de asignaciones de coste.

La petición incluye una cabecera HTTP estándar para validar la identidad de la llamada:

GET /allocation/compute?window=1d HTTP/1.1
Host: k8s.miempresa.com
Authorization: Bearer TU_TOKEN_DEL_CLUSTER_GENERADO

Asegúrate de configurar tu API Gateway o Ingress Controller para validar que el token de la cabecera coincide con el asignado al clúster antes de reenviar la llamada al servicio interno de OpenCost.

Detalle del Modo Push (Agente Integrado)

En el Modo Push, tu clúster es el que inicia la comunicación. Configuras un CronJob de Kubernetes que se ejecuta a intervalos regulares (ej. cada 10 minutos). Este CronJob realiza dos acciones:

1. Consulta internamente al servicio OpenCost local en su puerto por defecto: http://opencost.opencost.svc.cluster.local:9003/allocation/compute.
2. Envía la respuesta JSON al endpoint público de FinOps Hub (https://portal.finopshub.es/api/metrics/ingest) en una petición POST autenticada con la cabecera Authorization: Bearer <Token>.

Manifiesto del CronJob para Modo Push

Puedes desplegar el siguiente manifiesto YAML en tu clúster para automatizar el envío de datos. Reemplaza TU_TOKEN_DEL_CLUSTER con el token provisto por la plataforma al crear el clúster:

apiVersion: batch/v1
kind: CronJob
metadata:
  name: finops-cost-agent
  namespace: opencost
spec:
  schedule: "*/10 * * * *" # Se ejecuta cada 10 minutos
  concurrencyPolicy: Forbid
  jobTemplate:
    spec:
      template:
        spec:
          containers:
          - name: metrics-pusher
            image: alpine:latest
            command:
            - /bin/sh
            - -c
            - |
              apk add --no-cache curl
              # 1. Consultar OpenCost local
              METRICS=$(curl -s "http://opencost.opencost.svc.cluster.local:9003/allocation/compute?window=10m")
              # 2. Enviar a FinOps Hub
              curl -X POST -H "Content-Type: application/json" \
                   -H "Authorization: Bearer $CLUSTER_TOKEN" \
                   -d "$METRICS" \
                   https://portal.finopshub.es/api/metrics/ingest
            env:
            - name: CLUSTER_TOKEN
              value: "TU_TOKEN_DEL_CLUSTER"
          restartPolicy: OnFailure

Despliegue Paso a Paso (Modos Push/Pull)

helm install opencost opencost/opencost --namespace opencost --create-namespace

5. Costes de Infraestructura como Código (IaC)

El módulo de Costes IaC ayuda a predecir y auditar el impacto financiero que tendrán tus plantillas de Terraform u OpenTofu antes de que los recursos sean desplegados o modificados en las consolas de los proveedores.

Vinculación de Repositorios Git

Para auditar tus proyectos automáticamente en busca de costes de infraestructura:

6. Simulador GitOps

El Simulador GitOps es un visor interactivo e instantáneo para estimar variaciones en tus costes a partir de los planes de Terraform de tu máquina local o flujos de CI/CD, sin necesidad de registrar repositorios o automatizaciones Git.

Exportación de Plan de Terraform

Genera la representación del plan de Terraform en formato JSON ejecutando los siguientes comandos en la terminal de tu máquina local:

terraform plan -out=tfplan.binary
terraform show -json tfplan.binary > plan.json

Carga e Interpretación de Resultados

7. Gobernanza

El módulo de Gobernanza integra un motor de análisis de cumplimiento y políticas cloud (impulsado por Cloud Custodian) encargado de velar por la higiene del gasto y la correcta clasificación de recursos.

Políticas Cloud Automatizadas

La plataforma audita de forma recurrente tus entornos cloud para reportar infracciones a las siguientes directivas:

• Recursos Huérfanos: Localización de volúmenes de disco (EBS) sin asociar, IPs elásticas sin vincular, snapshots antiguos y balanceadores sin instancias asociadas.
• Cumplimiento de Etiquetas (Tagging Compliance): Detección de recursos que carezcan de los tags definidos como obligatorios en la organización (ej: Project, Owner, o CostCenter).
• Optimización de Namespaces: Identificación de namespaces de Kubernetes que promedien un uso inferior al 5% en la memoria o CPU configurada.

Escaneos Bajo Demanda

Puedes forzar una auditoría de cumplimiento inmediata pulsando el botón Ejecutar Escaneo en la pestaña Gobernanza. La lista de violaciones a las directivas se actualizará detallando el ID de recurso, la cuenta afectada y la regla incumplida.

8. Recomendaciones

La sección de Recomendaciones reúne todas las oportunidades de optimización y reducción de costes encontradas por los motores de auditoría financiera de la plataforma.

Tipos de Recomendación

• Eliminar desperdicio (Cleanup): Sugerencias para borrar discos sin uso, almacenamiento huérfano o instancias de computación que han estado apagadas o inactivas de forma continua por más de 30 días.
• Ajuste de Dimensionamiento (Right-sizing): Recomendación de rebajar la categoría o familia de instancias EC2/VMs y bases de datos RDS cuya utilización de procesador y memoria sea menor al 10%, sugiriendo la alternativa óptima con menor coste mensual.

Aplicación de Remediaciones

Cada recomendación se presenta como una tarjeta descriptiva con el ahorro mensual potencial estimado. Al hacer clic en Aplicar, la recomendación se marca como resuelta, desapareciendo de la lista activa y sumando su impacto económico mensual al panel de Ahorros de la organización.

9. Ahorro

La pestaña de Ahorro realiza un seguimiento detallado y cuantificable del valor financiero que el equipo de FinOps ha devuelto al negocio mediante la ejecución de remediaciones y optimizaciones.

Indicadores Clave de Ahorro

El portal calcula y consolida las siguientes métricas:

• Ahorro Realizado Total: Suma acumulativa de la reducción mensual de gasto recurrente obtenida al ejecutar remediaciones (ej: borrar discos huérfanos o reducir instancias).
• Remediaciones Aplicadas: Historial numérico del volumen de optimizaciones completadas satisfactoriamente por los administradores.

Registro Histórico de Remediaciones

Se dispone de una tabla de auditoría que documenta cronológicamente cada remediación aplicada. Registra:

• Nombre del recurso y descripción de la acción correctiva ejecutada.
• Nombre de la cuenta cloud asociada.
• Fecha y hora exacta en que se marcó la optimización como aplicada.
• El impacto económico mensual neto en dólares ahorrado al presupuesto general.

10. Presupuestos

El módulo de Presupuestos permite fijar límites económicos máximos de gasto de forma personalizada para cada una de tus cuentas de nube y monitorizar en tiempo real las desviaciones.

Creación y Configuración

Desviación Presupuestaria (Budget Drift)

La plataforma evalúa la proyección de gasto y cambia dinámicamente el color de la barra del presupuesto:

• Verde: Consumo inferior al 70% del presupuesto mensual.
• Amarillo: Consumo en el rango de 70% a 99%, advirtiendo de cercanía al límite.
• Rojo: Consumo excedido o con proyección inminente de superar el 100% del límite mensual.

11. Alertas

La sección de Alertas centraliza las notificaciones urgentes e informativas sobre anomalías en la facturación y picos de consumo inesperados en tu infraestructura.

Tipos de Alerta por Severidad

• Información (Info): Avisos del sistema como sincronizaciones completadas correctamente o creación de credenciales nuevas.
• Advertencia (Warning): Presupuestos que han superado el 80% de su capacidad o desviaciones menores proyectadas en GitOps.
• Crítica (Critical): Sobrecostes imprevistos de un día para otro (anomalías) o presupuestos que han superado el 100% de su límite asignado.

Puedes filtrar y ordenar las alertas por fecha y severidad. Una vez revisada una alerta, puedes marcarla como leída para despejar la bandeja de notificaciones activas del portal.

12. Administración de Usuarios

La pestaña de Administración de Usuarios (anteriormente Administrar Inquilinos) centraliza el control de accesos de seguridad a tu espacio de trabajo (Tenant).

Control de Acceso Basado en Roles (RBAC)

La seguridad de la plataforma restringe las acciones en base a dos roles definidos de usuario:

Cómo Cambiar tu Contraseña

Todos los usuarios del portal pueden cambiar su contraseña local de forma autónoma desde el formulario superior de esta pestaña:

13. Ajustes y SSO Corporativo

La sección de Ajustes permite a los administradores personalizar los parámetros globales de la aplicación, habilitar asistentes virtuales e integrar la autenticación federada.

Configuración de IA Integrada

Controla el chatbot interactivo disponible en el portal. Configura el proveedor del LLM (Ollama para despliegues locales, OpenAI o Anthropic en la nube), ingresa el endpoint API y la API Key correspondiente.

SSO Corporativo (OpenID Connect / OIDC)

FinOps Hub permite federar la autenticación a través de protocolos seguros OpenID Connect (OIDC) utilizando tu proveedor de identidad corporativo (Okta, Keycloak, Google Workspace o Microsoft Entra ID / Active Directory).