Runbook: Disaster Recovery

Overview

Propósito: Recuperación del sistema ante fallas catastróficas (pérdida de servidor, corrupción masiva, etc.)

RTO (Recovery Time Objective): 4 horas

RPO (Recovery Point Objective): 24 horas (último backup diario)

Criticidad: 🔴 CRÍTICA - Solo ejecutar en caso de disaster real

---

Tipos de Desastres

Nivel	Escenario	Acción
L1	Servicio caído (Orchestrator/Sevastopol)	Reiniciar servicio
L2	Corrupción de datos de un tenant	Restore per-schema
L3	Pérdida de base de datos completa	Full database restore
L4	Pérdida de servidor completo	Provisionar nuevo servidor + restore

---

L1: Servicio Caído

Cuando un servicio individual no responde pero el servidor está accesible.

1. Verificar estado del servicio

   pm2 status

2. Revisar logs de errores

   pm2 logs orchestrator --err --lines 100

3. Reiniciar servicio

   pm2 restart orchestrator

4. Verificar recuperación

   curl http://localhost:8000/health

Si el reinicio falla repetidamente, escalar a L4.

---

L2: Corrupción de Tenant Individual

Cuando los datos de un solo tenant están corruptos pero el resto del sistema funciona.

1. Identificar tenant afectado

   SELECT schema_name, last_access, error_count
   FROM central.tenant_health
   WHERE status = 'corrupted';

2. Desactivar tenant temporalmente

   UPDATE central.tenants
   SET active = false
   WHERE id = '<TENANT_ID>';

3. Localizar backup del schema

   ls -lht /opt/backups/schemas/ | grep tenant_<ID>

4. Restaurar schema individual

   sudo -u postgres psql -d nostromo -c "DROP SCHEMA tenant_<ID> CASCADE;"
   gunzip -c /opt/backups/schemas/tenant_<ID>_<DATE>.sql.gz | sudo -u postgres pg_restore -d nostromo

5. Reactivar tenant

   UPDATE central.tenants
   SET active = true
   WHERE id = '<TENANT_ID>';

6. Verificar integridad

   SELECT COUNT(*) FROM tenant_<ID>.employees;
   SELECT COUNT(*) FROM tenant_<ID>.contracts;

---

L3: Pérdida de Base de Datos Completa

Cuando se pierde acceso a toda la base de datos PostgreSQL.

Danger

⚠️ DESTRUCCIÓN TOTAL - Esto eliminará TODOS los datos actuales.

1. Detener todos los servicios

   pm2 stop all

2. Verificar estado de PostgreSQL

   sudo systemctl status postgresql
   pg_isready

3. Si PostgreSQL corrupto, recrear cluster

   sudo systemctl stop postgresql
   sudo rm -rf /var/lib/postgresql/16/main/*
   sudo -u postgres /usr/lib/postgresql/16/bin/initdb -D /var/lib/postgresql/16/main
   sudo systemctl start postgresql

4. Localizar último backup válido

   ls -lht /opt/backups/ | head -20
   gunzip -t /opt/backups/<LATEST>/backup_<DATE>.sql.gz

5. Restaurar desde backup

   gunzip -c /opt/backups/<LATEST>/backup_<DATE>.sql.gz | sudo -u postgres psql

6. Verificar restauración

   \dn
   SELECT COUNT(*) FROM central.tenants;
   SELECT COUNT(*) FROM central.users;

7. Reiniciar servicios

   pm2 start all

8. Validar sistema completo

   curl http://localhost:8000/health
   curl http://localhost:4321/

---

L4: Pérdida de Servidor Completo

Cuando el servidor físico/VM se pierde completamente.

1. Provisionar nuevo servidor

   • Mínimo: 4 vCPU, 8GB RAM, 100GB SSD
   • OS: Ubuntu 22.04 LTS o Debian 12
   • Acceso SSH configurado

2. Instalar dependencias base

   sudo apt update && sudo apt upgrade -y
   sudo apt install -y postgresql-16 nodejs npm nginx certbot

3. Configurar PostgreSQL

   sudo -u postgres createuser nostromo_user
   sudo -u postgres createdb nostromo

4. Descargar backup desde storage remoto

   mkdir -p /opt/backups
   aws s3 cp s3://nostromo-backups/postgres/backup_<LATEST>.sql.gz /opt/backups/

5. Restaurar base de datos

   gunzip -c /opt/backups/backup_<LATEST>.sql.gz | sudo -u postgres psql

6. Clonar repositorios

   cd /opt/nostromo
   git clone [email protected]:org/orchestrator.git
   git clone [email protected]:org/sevastopol.git

7. Configurar variables de entorno

   cp .env.production.example .env.production
   nano .env.production

8. Instalar dependencias y build

   cd /opt/nostromo/orchestrator && npm ci && npm run build
   cd /opt/nostromo/sevastopol && npm ci && npm run build

9. Configurar PM2

   pm2 start dist/server.js --name orchestrator
   pm2 start "npm run preview" --name sevastopol --cwd /opt/nostromo/sevastopol
   pm2 save

10. Configurar Nginx y SSL

    sudo certbot --nginx -d app.nostromo.cl

11. Actualizar DNS

    Actualizar registros A en Cloudflare para apuntar a nueva IP.

12. Validar sistema completo

    curl https://app.nostromo.cl/health

---

Comunicación Durante Disaster

Notificación Inicial (T+0)

URGENTE: Sistema Nostromo - Incidente en Progreso

Tipo: [L1/L2/L3/L4]
Inicio: [HORA]
Impacto estimado: [DESCRIPCION]
ETA de resolución: [HORA]

Siguiente actualización: [HORA]

Actualizaciones (cada 30 min)

UPDATE: Sistema Nostromo - En Recuperación

Estado: [EN PROGRESO/RESUELTO]
Avance: [PASO ACTUAL]
Nuevo ETA: [HORA]

Cierre de Incidente

RESUELTO: Sistema Nostromo - Servicio Restaurado

Duración total: [X horas]
Datos perdidos: [Ninguno / X horas de transacciones]
Acciones preventivas: [PENDIENTE POST-MORTEM]

---

Post-Mortem

Después de todo disaster, crear documento post-mortem:

# Post-Mortem: [FECHA] [TIPO]

## Timeline

- HH:MM - Detección
- HH:MM - Inicio respuesta
- HH:MM - Resolución

## Root Cause

[Descripción técnica de la causa raíz]

## Impacto

- Usuarios afectados: X
- Downtime total: X horas
- Datos perdidos: [Ninguno / Descripción]

## Acciones Correctivas

1. [Acción inmediata]
2. [Mejora a mediano plazo]
3. [Mejora estructural]

---

Checklist de Prevención

• Backups diarios ejecutándose (verificar logs)
• Backups remotos sincronizados (S3/Azure)
• Test de restore mensual completado
• Documentación de recovery actualizada
• Contactos de emergencia disponibles
• Credenciales de cloud storage accesibles

---

Related Documentation

• Runbook: Backup - Procedimientos de backup
• Runbook: Deploy - Procedimiento de deploy estándar
• Infrastructure: Networking - Topología de red
• Infrastructure: Docker - Configuración de containers

---

Changelog

Fecha	Version	Cambios
2026-01-18	1.0	Runbook inicial creado