Kubernetes in restriktiven Umgebungen einsetzen

Cloud-native-Techniken verändern die IT-Landschaft radikal. Wenngleich für die Cloud entwickelt, sind sie nicht ausschließlich daran gebunden. Immer mehr Unternehmen möchten davon auch im eigenen Rechenzentrum profitieren. Allerdings ist der sichere Betrieb von Kubernetes eine Herausforderung – selbst für Unternehmen, die keine hoch restriktiven Infrastruk­turen bereitstellen müssen. Neben den vierteljährlichen Kubernetes-Releases ist die Cluster-Sicherheit eine große Hürde für SRE- (Site Reliability Engineering) und DevOps-Teams. Wer seine Work­loads auf hochverfüg­bare, redundante Kuber­netes-Cluster migriert, genießt zwar die Vorteile aller Kuber­netes-Funktionen, muss jedoch hohe Sicherheitsstandards einhalten und alle Cluster-Komponenten stets auf dem neuesten Stand halten.

In Infrastrukturen, die gleichzeitig hohe Sicherheitsstandards erfordern – etwa solchen ohne öffentlichen Internetzugang oder mit anderen Restriktionen aus Unternehmensrichtlinien –, gestaltet sich die Installation und Wartung von Kubernetes immer arbeits- und kostenintensiver. IT-Infra­struktur-­Ingenieure müssen die lokalen Mirrors von Build-Abhängigkeits­paketen und Docker-Images auf dem neuesten Stand halten, alle eingeführten Open-Source-­Komponenten auf Schwachstellen prüfen, DMZ-Bastion-Hosts für externe Verbindungen verwenden und vieles mehr. Während das Erstellen eines Clusters mit Tools wie kops oder kubeadm recht einfach ist, muss jedes Projekt Workloads bereitstellen, Stresstests durchführen, optimieren, sichern, prüfen und Cluster warten.