Infraestructura Escolar de Servicios Centralizados y Asistente IA

Autor / Ponente Abel Vilariño Gerpe
Centro de Estudios C.P.R. Liceo La Paz
Ciclo / Convocatoria SMR | 2025-2026

Portada oficial y datos generales de la defensa del proyecto Velion.

  • Saludar cordialmente al tribunal y presentarse.
  • Indicar el título del proyecto: "Velion", un sistema operativo institucional adaptado a entornos educativos, con un stack de servicios en la nube y asistencia por inteligencia artificial.
  • Mencionar que este proyecto aborda un nivel técnico elevado combinando administración de sistemas, seguridad en redes y el paradigma de IA agéntica.

1. Contexto y Problemática

Slide 02 / 10
  • Hardware Limitado: Equipos de aula obsoletos (2-8 GB RAM, discos mecánicos HDD).
  • Alta Itinerancia: Profesores sin equipos asignados; inicio de sesión constante en aulas distintas.
  • Inseguridad Lógica: Dependencia de pendrives USB para mover datos (riesgo alto de malware).
  • Soporte Saturado: Exceso de incidencias repetitivas locales para el personal de informática.

La Práctica Insegura

Ante la ausencia de una nube privada, el profesorado recurre a cuentas personales en nubes públicas o memorias externas, perdiendo el control y la privacidad de los datos escolares.

Análisis de los problemas del hardware obsoleto de las aulas, la alta itinerancia del profesorado y las brechas de seguridad generadas por el uso de pendrives.

  • Mencionar que el problema clave es el hardware: la falta de presupuesto impide renovar decenas de equipos en el centro escolar.
  • Explicar que la itinerancia obliga a los profesores a iniciar sesión local en equipos distintos cada hora, perdiendo la personalización de su entorno y archivos.
  • Recalcar la insostenibilidad de las licencias de software propietario en presupuestos públicos o concertados.

2. La Solución Velion

Slide 03 / 10
  • Servidor de Servicios (Fase Actual): Orquestación Docker para gestionar identidad (Keycloak), ficheros (MinIO) y chat (WebSockets).
  • Cliente Ligero LFS (Evolución): SO compilado desde el código fuente bajo Linux From Scratch (< 300 MB RAM).
  • Asistente IA Agéntico (ReAct): Inferencia local gemma4 sobre SSH para control de Wayland sin contraseñas locales.
  • Independencia de Capas: Desacoplamiento total mediante Tokens JWT para garantizar portabilidad absoluta del docente.

La Filosofía del Diseño

Al desacoplar el perfil del docente del sistema operativo del equipo mediante JWT, el profesor accede a sus herramientas web y de IA desde cualquier navegador, sin depender del hardware local.

Descripción del enfoque dual de Velion: el stack de servicios de la nube escolar y la futura compilación del sistema operativo ligero (LFS).

  • Hacer hincapié en el enfoque dual: la parte servidora (FastAPI, Docker, Keycloak) está completamente funcional e implementada en esta entrega.
  • Comentar que el cliente ligero basado en LFS se documenta como hoja de ruta estratégica para la fase de evolución del ciclo superior (ASIR), demostrando la viabilidad a largo plazo.

3. Arquitectura Lógica

Slide 04 / 10
  • Nginx (Proxy Perimetral): Canaliza HTTPS y atiende pre-vuelos OPTIONS de CORS con código 204 No Content.
  • FastAPI (Backend): API asíncrona encargada de interceptar y validar localmente la firma criptográfica del JWT.
  • Canal Web (HTTPS): Sincronización de ficheros en MinIO, chat instantáneo y llamadas al LLM.
  • Canal de Control (SSH/Ed25519): Sesiones directas sin contraseñas gestionadas con Paramiko.
Arquitectura del Sistema Figura 1. Esquema de Arquitectura Lógica. Haz clic para ampliar.

Arquitectura técnica de seguridad y flujos de red: proxy Nginx perimetral, backend asíncrono FastAPI y doble canal de comunicación HTTPS y SSH.

  • Explicar la Figura 1: detallar el flujo desde que el navegador cliente solicita acceso, pasa por Nginx y es redirigido a Keycloak o FastAPI.
  • Mencionar la importancia de gestionar de forma nativa en Nginx la directiva CORSOPTIONS: esto evita que los navegadores bloqueen peticiones cruzadas (policy ORB).
  • Describir cómo se integra el canal de control SSH remoto con clave Ed25519 para las acciones agénticas sobre el cliente.

4. Topología y Virtualización

Slide 05 / 10
Topología de Red Figura 2. Topología del Laboratorio. Haz clic para ampliar.
  • Servidor Velion (192.168.100.2): VM Ubuntu Server 24.04 corriendo orquestación en Docker Compose.
  • Cliente Velion (192.168.100.10): VM CachyOS Wayland para pruebas del comportamiento del asistente.
  • Red Interna NAT: Aislamiento de tráfico seguro y simulación de la intranet del centro.
  • Offloading del LLM: Ollama se deriva a la GPU del Host (RTX 4060) para obtener respuestas instantáneas en menos de 2s.

Topología de red del laboratorio virtual de desarrollo: segmentación por red NAT y redirección externa de la inferencia de la IA a la GPU dedicada.

  • Describir brevemente que el hipervisor utilizado en el desarrollo es QEMU/KVM sobre Arch Linux.
  • Explicar la Figura 2: destacar que en producción el servidor se alojaría en un rack local del centro y los clientes se conectarían vía LAN local.
  • Hacer hincapié en el "offloading" del LLM: la IA Ollama se aloja en el anfitrión físico para beneficiarse del hardware con GPU dedicada, optimizando los tiempos del bucle ReAct.

5. Identidad y Zero Trust

Slide 06 / 10
  • Filosofía Zero Trust: Desconfianza por defecto. Cada consulta a la API de FastAPI valida el token JWT de forma independiente.
  • Keycloak (IAM OIDC): Emisor de la firma digital de los JWT. Protege las credenciales sin exponerlas al cliente.
  • Validación Local Eficiente: FastAPI verifica asíncronamente firma, expiración y claims contra las llaves públicas JWKS.
  • Login Personalizado: Temas CSS corporativos aplicados en la pasarela de autenticación de Keycloak.
Panel de Keycloak Figura 3. Keycloak Admin Console. Haz clic para ampliar.
Pantalla de Login Figura 4. Interfaz de Acceso. Haz clic para ampliar.

Implementación del modelo Zero Trust: servidor central de Keycloak, firma digital en JWT y validación local descentralizada en FastAPI.

  • Definir Zero Trust: "El servidor nunca asume la identidad del cliente; cada petición HTTP debe venir firmada y es verificada de forma independiente".
  • Mencionar la Figura 3: captura real del panel de usuarios y roles de Keycloak.
  • Mencionar la Figura 4: la tarjeta de inicio de sesión tiene un estilo de cristal traslúcido y fuentes que casan con el diseño de Velion.

6. Asistente IA Agéntico (ReAct)

Slide 07 / 10
Consola IA Figura 5. Ventana del Asistente. Haz clic para ampliar.
Ejecución Agente Figura 6. Sesión SSH en ejecución. Haz clic para ampliar.
  • Bucle ReAct (Reason + Act): El modelo de Ollama gemma4 decide qué comandos Bash escribir en tiempo real (sin hardcoding).
  • Inyección en Wayland: Exporta variables del compositor gráfico (`WAYLAND_DISPLAY`) y usa `nohup` para independizar procesos.
  • Diagnóstico Activo: Inspecciona el árbol de procesos con `pgrep`. En caso de fallo, re-evalúa e intenta alternativas (máx 5 iteraciones).
  • Canal SSH Seguro: Autenticación asimétrica Ed25519 gestionada con la librería Paramiko.

El motor inteligente: razonamiento-acción en tiempo real (ReAct), ejecución remota bajo compositor Wayland y diagnóstico activo en el cliente.

  • Destacar que el bucle ReAct evita el "hardcoding" (no hay respuestas de comando pregrabadas; la IA decide qué comando escribir en tiempo real).
  • Explicar la inyección en Wayland (Figura 6): un reto técnico importante, ya que Wayland restringe la apertura de ventanas gráficas remotas por motivos de seguridad; el agente solventa esto inyectando el socket correspondiente.
  • Resaltar que la conexión usa clave Ed25519 cifrada sin introducir contraseñas.

7. Plataforma Web Unificada

Slide 08 / 10
  • Nube Privada Escolar (MinIO): Almacenamiento rápido compatible con S3. Acceso securizado mediante token JWT.
  • Chat Bidireccional (WebSockets): Mensajería en tiempo real estructurada por departamentos. Independencia de redes comerciales.
  • Base de Datos Híbrida: PostgreSQL almacena metadatos y conversaciones. La extensión `pgvector` permite guardar embeddings vectoriales.
  • Memoria IA Contextual: Búsqueda semántica por similitud coseno sobre chats previos para alimentar el contexto del agente.
Plataforma Web Figura 7. Interfaz Web en React. Haz clic para ampliar.

Servicios integrados en React: almacenamiento en nube privada S3 con MinIO, mensajería en tiempo real por WebSockets y memoria a largo plazo vectorial con pgvector.

  • Mostrar la Figura 7: interfaz limpia de almacenamiento y chat desarrollada en React.
  • Explicar la memoria del asistente: al usar pgvector, cuando el docente le habla a la IA, el servidor vectoriza el texto, busca interacciones parecidas en la base de datos de PostgreSQL y añade esa "memoria semántica" como contexto a Ollama.
  • Asegurar que todas las peticiones a MinIO e historiales se validan en FastAPI mediante la cabecera JWT del docente.

8. Viabilidad y Hoja de Ruta

Slide 09 / 10
  • Viabilidad Económica: Coste de licencias de 0 € (código abierto). Se reutilizan los equipos antiguos de las aulas.
  • Mantenimiento Sencillo: Actualización centralizada en servidor mediante comandos simples `docker compose`.
  • Línea ASIR (Evolución): Compilación de la distribución cliente LFS base para optimizar el hardware.
  • Entorno Wayland Nativo: Integración del compositor labwc y la shell Quickshell (consumo < 300 MB RAM).
  • Login de Hardware Local: Módulos PAM/SSSD para autenticación local en el arranque física contra Keycloak.

Costes Estimados (30 Equipos)

Concepto Coste
Servidor Perimetral 600 €
Dispositivos de Red (Switch/SAI) 300 €
Licencias de Software y Modelos IA 0 €
Total Inversión 900 €

Ahorro anual frente a software comercial: 1.500 € - 3.000 €.

Análisis económico con ahorro total en licencias (0 €) y hoja de ruta futura para la fase ASIR: sistema LFS, entorno labwc/Quickshell y convergencia PAM/SSSD.

  • Explicar la tabla económica: la inversión en hardware es muy reducida (900 €) y se recupera en pocos meses gracias al ahorro total en licencias de sistemas y ofimática.
  • Describir cómo la fase ASIR integrará el cliente nativo LFS para permitir que ordenadores antiguos vuelen con labwc y Quickshell.
  • La autenticación del sistema local se resolverá con los módulos PAM y SSSD conectándose al Keycloak que ya hemos desplegado.

Conclusiones

  • Despliegue Funcional: Backend en FastAPI, Keycloak SSO, almacenamiento MinIO y chat por WebSockets 100% operativos.
  • Inteligencia Agéntica: Integración exitosa del bucle ReAct local con diagnóstico y control de Wayland sobre SSH seguro.
  • Diseño de Evolución: Arquitectura Zero Trust desacoplada mediante JWT, lista para recibir el cliente LFS nativo (Fase ASIR).

¡Muchas gracias por su atención! Quedo a disposición del tribunal.

Logros del proyecto: stack de servicios en Docker funcional, control de IA agéntica Wayland y base flexible Zero Trust lista para la evolución hardware.

  • Concluir agradeciendo formalmente al tribunal y al tutor del proyecto por su tiempo y tutorización.
  • Declarar que las metas prácticas de este ciclo formativo medio se han superado holgadamente.
  • Dar paso al turno de preguntas de los miembros del tribunal.
Notas del Ponente (Guion de Apoyo)
/ Espacio Siguiente Anterior O Vista General N Notas L Puntero Láser G Guion