American Express

Migración Doble de la Red de Pagos de American Express con Cero Downtime: De Legacy a Microservicios y a Nuevo Kubernetes

human-error

causa raíz

Timeline del incidente

2018 · American Express

Inicio de la modernización de la red de pagos de American Express.

Stage 1 · Equipo de Ingeniería

Migración de Conexiones: Introducción del Global Transaction Router (GTR) en el flujo de transacciones, enrutando todo el tráfico a la red de pagos legacy. Migración en pequeños lotes.

Stage 2 · Equipo de Ingeniería

Tráfico Sombra: Replicación del tráfico de producción en una instancia dedicada de la nueva plataforma de procesamiento de pagos para validar la lógica de negocio.

Stage 3 · GTR

Enrutamiento Canary: El GTR comienza a enrutar pequeños porcentajes de tráfico real a la nueva plataforma de procesamiento de pagos, aumentando gradualmente.

Post Migración #1 · N/A

La nueva plataforma de procesamiento de pagos basada en microservicios está operativa.

Migración #2 · Equipo de Ingeniería

Establecimiento de un nuevo entorno Kubernetes utilizando Infrastructure-as-Code.

Migración #2 · Equipo de Ingeniería

Pruebas de rendimiento y resiliencia en el nuevo entorno Kubernetes, ajustando configuraciones.

Migración #2 · GTR / Envoy Proxy

Reutilización de la estrategia de enrutamiento canary, esta vez para el tráfico interno gRPC entre el GTR y las plataformas de procesamiento de pagos en diferentes entornos Kubernetes (multi-region canary routing).

March 12, 2026 · Benjamin Cane

Publicación del artículo sobre las migraciones.

Análisis técnico

Este artículo describe dos migraciones complejas de la red de pagos de American Express, ambas logradas con cero downtime. La primera migración fue de una plataforma legacy a una nueva arquitectura basada en microservicios. La segunda fue una migración de infraestructura de un entorno Kubernetes legacy a uno nuevo. La clave del éxito en ambas migraciones fue una estrategia meticulosa de control de tráfico, implementada a través de un Global Transaction Router (GTR) y, en la segunda fase, con Envoy Proxy y un control plane personalizado.

La estrategia de migración se dividió en etapas bien definidas: migración de conexiones, tráfico sombra y enrutamiento canary. La migración de conexiones permitió introducir el GTR como un punto de control centralizado sin afectar la lógica de negocio. El tráfico sombra fue crucial para validar la paridad funcional de la nueva plataforma en un entorno de producción sin riesgo. Finalmente, el enrutamiento canary, aplicando principios de despliegue gradual, permitió desviar pequeños porcentajes de tráfico real a la nueva plataforma o entorno, con la capacidad de revertir instantáneamente en caso de anomalías. Esta aproximación minimizó el riesgo y evitó "big-bang cutovers".

Las salvaguardas clave que permitieron el éxito fueron una inversión profunda en observabilidad, la capacidad de rollback como una característica de primera clase, y el uso extensivo de Infrastructure-as-Code para la segunda migración. La observabilidad proporcionó la visibilidad necesaria para tomar decisiones informadas durante las fases de canary. La capacidad de rollback garantizó que cualquier problema detectado pudiera ser mitigado rápidamente sin impacto al cliente. Infrastructure-as-Code aseguró la consistencia y repetibilidad de los nuevos entornos. La lección más importante fue la paciencia y la disciplina, priorizando la fiabilidad sobre la velocidad.

Remediaciones y action items

✓ Implementación de un Global Transaction Router (GTR) como componente central para el control de tráfico, failover y traffic-shaping.
✓ Desarrollo de una capacidad de tráfico sombra para validar la lógica de negocio de nuevas plataformas en producción sin impacto en el tráfico real.
✓ Implementación de enrutamiento canary basado en atributos de transacción para desviar tráfico gradualmente a nuevas plataformas o entornos.
✓ Integración de Envoy Proxy y un control plane personalizado para el enrutamiento canary multi-región en la migración de Kubernetes.
✓ Adopción de Infrastructure-as-Code para la gestión y despliegue de entornos Kubernetes, asegurando consistencia y repetibilidad.
✓ Diseño de sistemas y procesos con la capacidad de rollback rápido y seguro como una característica fundamental.
✓ Inversión continua en observabilidad (métricas de negocio, logs de aplicación, métricas de salud) para una visibilidad profunda del sistema.

Lecciones para arquitectos

→ Centralizar el control de tráfico en el edge de la red para una gestión robusta de enrutamiento, failover y traffic-shaping.
→ Utilizar tráfico sombra para validación funcional en producción antes de desviar tráfico real, reduciendo drásticamente el riesgo.
→ Adoptar patrones de despliegue canary para migraciones de gran escala, permitiendo rollouts graduales y reversiones rápidas.
→ Diseñar sistemas para que el rollback sea una capacidad de primera clase, no una ocurrencia tardía.
→ Invertir en observabilidad profunda es crítico para la toma de decisiones informadas durante cambios de infraestructura y despliegues.
→ Infrastructure-as-Code es fundamental para la consistencia, repetibilidad y gestión de cambios en entornos distribuidos complejos.
→ La paciencia y la disciplina son esenciales en sistemas de misión crítica, donde la fiabilidad es la métrica principal de éxito.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp