Métodos de Conexión
Te contamos los métodos de conexión disponibles para una comunicación segura entre nuestras plataformas.
___
##Introducción
Desde Pomelo, te ofrecemos distintas opciones de conectividad para lograr una comunicación segura y confiable entre tus sistemas y nuestra plataforma.
Esta guía describe los métodos de conexión disponibles, sus requisitos y cuándo recomendamos usar cada uno.
Conexión a través de Internet Público
Este modelo permite la comunicación directa entre tus servicios y los nuestros a través de la red pública de internet. Las solicitudes desde tus sistemas deben dirigirse hacia los dominios listados debajo, mientras que nosotros enviaremos las solicitudes salientes al dominio que proporciones durante el proceso de onboarding.
.
Requisitos:
- Tu dominio: tendrás que especificar el nombre de dominio completo (FQDN) que usaremos para callbacks salientes o notificaciones.
- Nuestras IPs de salida: Te acercamos la lista de IPs de salida tanto para entornos de Stage como de Producción por si necesitas autorizarlas en una allowlist:
| Ambiente | IPs |
|---|---|
| Stage | 34.226.254.178 y 44.198.3.59 (Virginia)100.20.205.117 y 34.223.185.46 (Oregon) |
| Producción | 34.206.159.176 y 52.0.20.124 (Virginia)35.84.78.117 y 52.43.46.111 (Oregon) |
Nuestros dominios:
Stage: https://api-stage.pomelo.la
Produccion: https://api.pomelo.la
Mutual TLS (mTLS)
Mutual TLS establece un mecanismo de autenticación bidireccional que fortalece la seguridad de toda la comunicación. Ambos, presentamos y validamos certificados digitales durante el handshake TLS, asegurando la verificación de identidad y el transporte encriptado.
Nosotros soportamos dos flujos, dependiendo de la dirección de la conexión:
- Cliente → Pomelo: para solicitudes entrantes desde tu infraestructura.
- Pomelo → Cliente: para autorizaciones y notificaciones de eventos.
Ambos flujos requieren certificados, pero el proceso de intercambio y la propiedad del CSR difieren:
| Dirección | Quién genera el CSR | Quién firma el CSR |
|---|---|---|
| Cliente → Pomelo | Tú generas el CSR | Nosotros lo firmamos |
| Pomelo → Cliente | Nosotros generamos el CSR | Tú lo firmas |
Nuestros dominios
Stage: https://mtls-stage-api.pomelo.la
Producción: https://mtls-api.pomelo.la
Ahora, veamos cada flujo en profundidad:
PrivateLink
PrivateLink habilita conectividad privada de baja latencia entre tu VPC de AWS y nuestros servicios sin atravesar el internet público.
A través de AWS VPC Endpoint Services, dos VPCs privadas pueden comunicarse de forma segura manteniendo aislamiento total de redes públicas.
Beneficios:
- Evita la exposición al internet público.
- Reduce la latencia de red.
- Mejora la seguridad restringiendo la comunicación a espacios de direcciones privadas.
Nuestros dominios
Stage:
- API Gateway: https://kh9qzowt4h.execute-api.us-east-1.amazonaws.com
- Host (opcional): private-api-stage.pomelo.la
Produccion:
- API Gateway: https://mrkf3owih4.execute-api.us-east-1.amazonaws.com
- Host (opcional): private-api.pomelo.la
👉 Resumen de Responsabilidades
Para conexiones Cliente a Pomelo (Ingreso)
- Crear VPC Endpoint
- Proveer detalles del endpoint y la cuenta de AWS
- Opcional: aceptar RAM share/configurar CNAME.
Para conexiones Pomelo a Cliente (Egreso)
- Exponer VPC Endpoint Service
- Proveer nombre o dominio del servicio
- Configurar Security Groups para los CIDRs de Pomelo
- Proveer los identificadores reales de AZ
Cliente → Pomelo
Este flujo aplica si quieres acceder a nuestras APIs usando PrivateLink. Para eso, tendrás que:
- Crear un VPC Endpoint apuntando al servicio AWS API-Gateway.
- Compartir la configuración del VPC Endpoint y el AWS Account ID que usaste para acceder a Pomelo.
- Tras validación, podrás interactuar con nuestras APIs usando el dominio estándar.
Validación de Dominio Personalizado (paso opcional)
Si requieres validación usando un certificado propiedad de Pomelo (*.pomelo.la):
- Te compartiremos el dominio del API Gateway usando AWS Resource Access Manager (RAM). Ir a la documentación de AWS
- Deberás aceptar el recurso compartido en 24 horas en la consola AWS RAM.
- Crea una zona y registro DNS CNAME mapeando el host al endpoint de acuerdo al entorno. Esto habilita la validación de dominio a través de una ruta de red privada.