Zum Inhalt

Features

Die ayedo Kubernetes Distribution beinhaltet eine umfassende Sammlung integrierter Plattform-Komponenten, die eine produktionsreife Container-Plattform ausmachen. Alle Komponenten sind aufeinander abgestimmt, vorkonfiguriert und werden zentral verwaltet.

Networking

Cilium - eBPF-basiertes Cloud-Native Networking

Cilium ist die Networking-Komponente der ayedo Kubernetes Distribution und nutzt eBPF (extended Berkeley Packet Filter) für hochperformante Netzwerkkommunikation direkt im Linux Kernel.

Kernfunktionen:

  • Container Networking Interface (CNI): Pod-zu-Pod-Kommunikation ohne Overhead
  • Network Policies: Mikrosegmentierung auf L3/L4 und L7
  • Load Balancing: Hochperformantes Load Balancing ohne kube-proxy
  • Service Mesh: Transparente Service-to-Service-Kommunikation
  • Observability: Flow-Logs und Netzwerk-Metriken

Vorteile von eBPF:

  • Bis zu 10x höhere Performance als traditionelle iptables
  • Geringere CPU-Auslastung
  • Bessere Skalierbarkeit für große Cluster
  • Erweiterte Security-Features auf Kernel-Level

Weitere Informationen:

Security

Certificate Management

Cert-Manager - Automatisierte TLS-Zertifikatsverwaltung

Cert-Manager automatisiert die Beschaffung, Erneuerung und Verwaltung von TLS-Zertifikaten in Kubernetes.

Kernfunktionen:

  • Let's Encrypt Integration: Kostenlose, automatische TLS-Zertifikate
  • Private PKI Support: Integration mit internen Certificate Authorities
  • Vault Integration: Nutzung von HashiCorp Vault als Zertifikatsquelle
  • Automatische Erneuerung: Zertifikate werden vor Ablauf automatisch erneuert
  • DNS-01 und HTTP-01 Challenges: Flexible Validierungsmethoden

Use Cases:

  • HTTPS für Ingress-Ressourcen
  • mTLS für Service-to-Service-Kommunikation
  • Interne Zertifikate für Datenbanken und Middleware

Weitere Informationen:

Policy Enforcement

Kyverno - Policy as Code

Kyverno ermöglicht die Definition und Durchsetzung von Sicherheitsrichtlinien als Code mit nativer Kubernetes-Syntax.

Kernfunktionen:

  • Admission Control: Validierung, Mutation und Generierung von Ressourcen
  • ClusterPolicies & Policies: Cluster-weite oder Namespace-spezifische Richtlinien
  • Audit-Modus: Identifizierung von Policy-Verletzungen
  • YAML-basierte Policies: Einfache Policy-Definition ohne spezielle Sprache
  • Pre-defined Policies: Umfangreiche Policy-Bibliothek

Typische Policies:

  • Verbot privilegierter Container
  • Erzwingung von Resource Limits
  • Label- und Annotation-Anforderungen
  • Image Registry Whitelisting
  • Network Policy Anforderungen
  • Automatische Label-Generierung

Weitere Informationen:

Container Registry

Harbor - Enterprise Container Registry

Harbor ist eine Open-Source Container Registry mit erweiterten Enterprise-Features.

Kernfunktionen:

  • Vulnerability Scanning: Automatisches Scannen von Container Images
  • Image Signing: Content Trust mit Notary
  • RBAC: Feingranulare Zugriffskontrollen
  • Replikation: Multi-Site-Registry-Replikation
  • Webhooks: Integration in CI/CD-Pipelines
  • Proxy Cache: Caching von externen Registries

Integration:

  • Automatische Integration mit Kubernetes ImagePullSecrets
  • Webhook-basierte Benachrichtigungen bei neuen Vulnerabilities
  • Integration mit CI/CD-Systemen (GitLab, Jenkins)

Preis: Ab 199,95 € pro Monat als Managed App

Weitere Informationen:

Monitoring & Observability

VictoriaMetrics - Metriken und Alerting

VictoriaMetrics ist eine schnelle, kostengünstige und skalierbare Monitoring-Lösung und Zeitreihendatenbank, vollständig Prometheus-kompatibel.

Kernfunktionen:

  • Prometheus-Kompatibilität: Drop-in Replacement für Prometheus
  • Time-Series Database: Effiziente, komprimierte Speicherung von Metriken
  • MetricsQL: Erweiterte Query-Sprache (PromQL-kompatibel + Erweiterungen)
  • Alerting: Flexible Alert-Regeln via vmalert
  • Horizontal Scaling: Cluster-Modus für große Deployments
  • Long-term Storage: Optimiert für langfristige Metrik-Speicherung

Vorteile gegenüber Prometheus:

  • Bis zu 10x geringerer Speicherverbrauch
  • Bessere Performance bei hoher Kardinalität
  • Einfachere Skalierung
  • Eingebautes Backup und Recovery

Überwachte Komponenten:

  • Kubernetes Control Plane
  • Nodes und Kubelet
  • Container und Pods
  • Platform Services (Cilium, Cert-Manager, etc.)
  • Anwendungs-Metriken via ServiceMonitor

Weitere Informationen:

Grafana - Visualisierung und Dashboards

Grafana bietet leistungsstarke Visualisierung und Dashboards für alle Metriken.

Features:

  • Vorkonfigurierte Dashboards: Cluster-Overview, Node-Details, Pod-Metriken
  • Alerting: Visuelle Alert-Verwaltung
  • Multi-Source: Integration mit VictoriaMetrics, VictoriaLogs, InfluxDB
  • Templating: Dynamische Dashboards mit Variablen
  • Teams & Permissions: Rollenbasierte Zugriffskontrolle

Weitere Informationen:

VictoriaLogs - Zentralisiertes Logging

VictoriaLogs ist eine benutzerfreundliche Open-Source-Datenbank für Logs, optimiert für Performance und Skalierbarkeit.

Kernfunktionen:

  • Log Aggregation: Sammlung aller Container-Logs
  • LogsQL: Einfache und mächtige Query-Sprache
  • High Performance: Schnelles Durchsuchen von Millionen Log-Einträgen
  • Kompression: Effiziente Speicherung mit hoher Kompression
  • Log Retention: Konfigurierbare Aufbewahrungsfristen
  • Grafana Integration: Nahtlose Integration mit Grafana

Vorteile:

  • Skalierbar: Horizontal skalierbar für große Log-Volumina
  • Kostengünstig: Geringerer Speicherbedarf als alternative Log-Systeme
  • Einfach: Weniger komplex als Elasticsearch-Cluster
  • Schnell: Optimierte Indizierung und Suche

Log-Quellen:

  • Container-Logs (stdout/stderr)
  • Kubernetes Audit Logs
  • System-Logs der Nodes
  • Anwendungs-spezifische Logs

Weitere Informationen:

Storage

Persistent Volumes

Die Plattform unterstützt verschiedene Storage-Backends:

  • Rook-Ceph: Verteiltes, hochverfügbares Block-, Object- und File-Storage
  • Longhorn: Hyperconverged Block-Storage speziell für Kubernetes
  • NFS: Network File System für shared storage
  • Local Persistent Volumes: High-Performance lokaler Storage
  • Cloud Provider Storage: Integration mit Hetzner, AWS, etc.

Storage Classes:

  • fast: SSD-basierter Block-Storage
  • standard: HDD-basierter Block-Storage
  • shared: NFS für shared access
  • replicated: Replizierter Storage via Longhorn oder Ceph

Weitere Informationen:

Backup & Disaster Recovery

Velero - Backup-Lösung

Velero ermöglicht Backup und Restore von Kubernetes-Ressourcen und Persistent Volumes.

Features:

  • Scheduled Backups: Automatische, regelmäßige Backups
  • Disaster Recovery: Vollständige Cluster-Wiederherstellung
  • Migration: Verschieben von Ressourcen zwischen Clustern
  • Selective Restore: Wiederherstellung einzelner Ressourcen

Backup-Ziele:

  • Object Storage (S3-kompatibel)
  • Europäische Rechenzentren
  • Verschlüsselte Speicherung

Weitere Informationen:

Identity & Access Management

Authentifizierung

Keycloak ist der Standard Identity Provider:

  • OIDC/SAML Support: Integration mit Enterprise SSO
  • LDAP/Active Directory: Anbindung an bestehende Verzeichnisse
  • Multi-Factor Authentication: 2FA via TOTP, WebAuthn
  • User Management: Self-Service Portal und Admin Console
  • Social Login: Integration mit Google, GitHub, etc.
  • User Federation: LDAP, Active Directory, custom providers

Weitere Informationen:

Autorisierung

RBAC (Role-Based Access Control):

  • Kubernetes Native: Integration mit Kubernetes RBAC
  • Namespace-basiert: Mandantentrennung via Namespaces
  • Fine-grained: Granulare Berechtigungen auf Ressourcen-Ebene

CI/CD & Source Control

GitLab - DevOps-Plattform

GitLab ist die zentrale DevOps-Plattform für Source Control, CI/CD und Collaboration:

Kernfunktionen:

  • Git Repository Management: Vollständige Versionskontrolle mit Branching, Merging, Tags
  • CI/CD Pipelines: Automatisierte Build-, Test- und Deployment-Workflows
  • Container Registry: Integrierte Docker Registry für Container Images
  • Package Registry: Hosting für NPM, Maven, PyPI, Helm Charts
  • Merge Requests: Code Review mit Approval Workflows
  • Issue Tracking: Projektmanagement und Bug Tracking
  • Wiki & Documentation: Integrierte Dokumentations-Plattform

CI/CD Integration:

  • Kubernetes Executor: Native Kubernetes-Integration für Pipeline-Jobs
  • Auto DevOps: Vorkonfigurierte CI/CD-Templates
  • Kaniko/Buildah Support: Rootless Container Image Builds
  • Harbor Integration: Automatischer Push zu Harbor Registry
  • ArgoCD Integration: GitOps-basierte Deployments

Security Features:

  • SAST/DAST: Static und Dynamic Application Security Testing
  • Dependency Scanning: Automatische Vulnerability Scans von Dependencies
  • Container Scanning: Image Security Scanning via Trivy
  • Secret Detection: Automatische Erkennung von Secrets in Code

OIDC-Integration:

  • Single Sign-On via Keycloak
  • LDAP/Active Directory-Anbindung
  • Multi-Factor Authentication

Weitere Informationen:

GitOps & Deployment

Flux - GitOps Operator

Flux ermöglicht GitOps-basierte Deployments:

  • Git as Source of Truth: Deklarative Konfiguration in Git
  • Automatic Sync: Automatische Synchronisation mit Git-Repository
  • Image Automation: Automatisches Update bei neuen Image-Tags
  • Multi-Tenancy: Mandantentrennung via Flux Tenants

Weitere Informationen:

ArgoCD - Declarative GitOps

ArgoCD bietet eine UI-fokussierte GitOps-Experience:

  • Web UI: Grafisches Dashboard für Deployments
  • Sync Waves: Geordnete Deployment-Reihenfolge
  • ApplicationSets: Templating für Multi-Cluster
  • SSO Integration: OIDC-basierte Authentifizierung
  • GitLab Integration: Direkter Zugriff auf GitLab Repositories

Weitere Informationen:

Secrets Management

HashiCorp Vault - Enterprise Secrets Management

Vault ist die zentrale, hochsichere Lösung für Secrets Management in der ayedo SDP:

Kernfunktionen:

  • Dynamic Secrets: Automatische, zeitlich begrenzte Credential-Generierung
  • Static Secrets: Sichere Speicherung von API Keys, Passwörtern, Zertifikaten
  • Encryption as a Service: Zentrale Verschlüsselung ohne Schlüsselverwaltung in Apps
  • PKI: Interne Certificate Authority für mTLS und Service-to-Service-Kommunikation
  • Database Secrets Engine: Automatische Generierung von DB-Credentials
  • Audit Logging: Vollständige, unveränderbare Nachvollziehbarkeit aller Zugriffe
  • Versioning: Automatisches Versionieren von Secrets mit Rollback-Möglichkeit

Security Features:

  • Zero-Trust Architecture: Jeder Zugriff erfordert Authentifizierung
  • OIDC-Integration: Single Sign-On via Keycloak für Entwickler
  • Kubernetes Auth: Native Kubernetes ServiceAccount-basierte Authentifizierung
  • Policy as Code: Fine-grained Access Control via HCL Policies
  • Sealed Secrets: Verschlüsselte Secrets in Git speicherbar
  • Auto-Unseal: Automatisches Unseal via Cloud KMS oder Transit

Integration mit Platform-Services:

  • CloudNativePG: Automatische Speicherung von PostgreSQL-Credentials
  • Harbor: Sichere Speicherung von Registry-Credentials
  • GitLab: CI/CD-Pipeline-Integration für Secrets
  • cert-manager: PKI-basierte Zertifikatsverwaltung

Developer Workflow:

  1. Platform Admin deployed Infrastruktur (z.B. PostgreSQL via CloudNativePG)
  2. Credentials werden automatisch in Vault gespeichert
  3. Entwickler referenziert Secrets via External Secrets Operator
  4. ESO synchronisiert Secrets automatisch in Kubernetes
  5. Application nutzt Standard Kubernetes Secrets

External Secrets Operator:

Der External Secrets Operator (ESO) ermöglicht sichere, compliance-freundliche Secrets-Verwaltung:

  • Automatic Sync: Kontinuierliche Synchronisation von Vault zu Kubernetes
  • RefreshInterval: Konfigurierbare Aktualisierungsintervalle
  • Multiple Sources: Unterstützung für mehrere Vault-Paths pro Secret
  • Secret Templating: Flexible Transformation von Vault-Daten
  • GDPR-konform: Secrets verlassen nie den Cluster

Use Cases:

  • Database Credentials (PostgreSQL, MySQL, MongoDB)
  • API Keys (Stripe, SendGrid, AWS)
  • TLS-Zertifikate und Private Keys
  • SSH Keys für Git-Zugriff
  • OAuth Client Secrets
  • Encryption Keys für Application-Level Encryption

Weitere Informationen:

Automatisierung

Polycrate Integration

Alle Platform-Komponenten werden über Polycrate verwaltet:

  • Deklarative Konfiguration: Infrastructure as Code
  • Version Control: Git-basierte Versionierung
  • Rollback: Einfaches Zurückrollen bei Problemen
  • Multi-Cluster: Verwaltung mehrerer Cluster
  • Dependency Management: Automatische Abhängigkeitsauflösung

Siehe auch: Polycrate Dokumentation

Updates & Wartung

Kubernetes Updates

  • Regelmäßige Updates: Neue Kubernetes-Versionen innerhalb von 4 Wochen
  • Minor Version Support: Unterstützung der letzten 3 Minor Versions
  • Rolling Updates: Zero-Downtime Updates
  • Testing: Umfangreiche Tests vor Produktions-Rollout

Component Updates

  • Security Patches: Automatische Security Updates
  • Feature Updates: Regelmäßige Updates der Platform-Komponenten
  • Breaking Changes: Rechtzeitige Kommunikation und Migration Support

Weiterführende Dokumentation