Vertriebliche Beratung
Support
Vertriebliche Beratung:
+49 2203 1045 3500
Support:
+49 2203 1045 3600
plusserver-Blog-Kubernetes im Test
Blog

|

28.03.2023

Die plusserver Kubernetes Engine im Test

Annika Opitz
Der Heise-Verlag hat unsere plusserver Kubernetes Engine (PSKE) umfassend getestet und dabei den Schwerpunkt auf die Härtung der Kubernetes-Umgebung gelegt.

Inhalt

Der Beitrag „Kubernetes-Sicherheit: Wie Sie Open Telekom Cloud und plusserver härten“ ist am 7. März bei Heise Plus erschienen und steht somit allen Abonnent:innen im Volltext zur Verfügung. Als schnellen Überblick habe ich in diesem Blogpost die aus meiner Sicht relevantesten Punkte für Sie zusammengefasst.

Die Testumgebung

Jede/r Interessent/in hat die Möglichkeit, die PSKE 30 Tage lang kostenfrei zu testen. Dabei steht für die Clustererstellung und -verwaltung sowohl die auf SAP Gardener basierende Weboberfläche als auch API/CLI für den administrativen Zugriff zur Verfügung. Testkunden nutzen mit der PSKE die jeweils aktuellste Kubernetes-Version (im Test 1.25) und Cilium oder Calico als Container Network Interface.

Pluspunkte der PSKE

Die Möglichkeit, bei der Clustererstellung direkt ein Autoscaling für die Worker Nodes mit einzustellen, ist eher als Standard zu betrachten und wird daher vom Autor nicht besonders hervorgehoben. Jedoch sticht das Feature Hibernation als positiv heraus: „Ungewöhnlich ist die Option, einen täglichen Schlafrhythmus einzustellen. Für Cluster, die nur tagsüber – beispielsweise für die Entwicklung – im Einsatz sind, eine gute Option, Strom und Geld zu sparen.“

Mit Blick auf die Härtung ist die Aussage relevant, dass ein Wartungsfenster für automatische Updates der Kubernetes-Patch-Version und des OS der Worker Nodes konfigurierbar ist. Dies wird in der Vergleichstabelle als „Konzept für das Patch- und Änderungsmanagement“ geführt. Im Text heißt es: „Schon beim Erstellen des Clusters wird das Wartungsfenster definiert, in dem die automatischen Updates für das Betriebssystem und K8s erfolgen“.
Der Autor hebt zudem die Schnelligkeit der Clustererstellung hervor: Die „Konfiguration des Clusters steht in Sekunden zur Verfügung“. In der Tat ist die PSKE so ausgelegt, dass auch Nutzer ohne tiefes Know-how mit wenigen Klicks ihre Cluster provisionieren können. Auch die Verwaltung der Secrets der Service Accounts im Dashboard erhält eine positive Erwähnung in dem Beitrag.

Auch wird schon erwähnt, dass plusserver bereits an einer Erweiterung der Add-on Services für die PSKE arbeitet, um die Sicherheit der Cluster weiter zu steigern:

„Das [Funktionsangebot] soll die Überwachung von Images und Containern (Schwachstellen), Runtime Protection (XDR, File-Überwachung etc.), Scans von Quellcode und Infrastructure as Code (DevSecOps und IAC), Posture Management (Compliance und Auditing der Konfiguration etc.) sowie als Option eine SOC-Integration bieten.“

Optimierung

Zum Testzeitpunkt vermisste der Autor noch einige Sicherheitsfunktionen. So führt er zum Beispiel im Hinblick auf die „Hochverfügbarkeit von containerisierten Anwendungen“ an, dass bei der Clustererstellung nur eine Region zur Verfügung stand. Inzwischen sind neben Köln auch 2 Standorte in Hamburg als Region zur Clustererstellung auswählbar.
Die bemängelte fehlende „Registry für die Verwendung sicherer Images“ ist aktuell als Managed Service bei plusserver in der Umsetzung. Der Autor vermisste außerdem einen Backup-Dienst, dieser steht hoch oben auf unserer Roadmap. Die etcds der Kunden werden selbstverständlich jeden Tag in einem Full Backup und zusätzlich alle 5 Minuten inkrementell gesichert.

Fazit

Wir danken dem heise-Verlag für den ausgiebigen Test der PSKE, nehmen die Tipps zur Optimierung mit und freuen uns insgesamt, dass sich die PSKE mit Blick auf die Vergleichstabelle („Verwundbarkeiten gemäß AquaSec-eigener Bewertung“) nicht hinter dem Wettbewerb verstecken muss. Zu beachten ist bei dem Thema, dass die organisatorischen Anforderungen für eine Härtung – zum Beispiel Regelungen für den Betrieb von Containern, Freigaben oder Aktualisierungen – letztlich in der Verantwortung der Kunden liegen. Wir als Provider arbeiten aber beständig daran, unseren Kunden die nötigen Werkzeuge für diese Aufgabe zur Verfügung zu stellen und weiter zu verbessern.

Testen Sie unser Angebot 30 Tage kostenfrei

Interessierten Organisationen bietet plusserver einen kostenfreien Test der PSKE über 30 Tage an.
Jetzt testen
plusserver-Blog-Jetzt Testen

Über den Autor

Annika Opitz ist Product Owner für die plusserver Kubernetes Engine (PSKE) und ist in ihrer Rolle für die Produktvision, Ausrichtung und Weiterentwicklung der Lösung verantwortlich. Sie besitzt jahrelange Erfahrung in der IT- und Technologiebranche sowie umfangreiche Praxiserfahrung in der Planung und Weiterentwicklung von Produkten während des gesamten Produktlebenszyklus.

Weiterführende Inhalte

Blog

7 Tipps zur Container-Sicherheit

Moderne IT setzt zunehmend auf Container. Wir haben Tipps, wie sich diese absichern lassen.
Mehr erfahren
Produkt

Private Registry

Container Images und Helm Charts einfach speichern, verwalten und nutzen.
Mehr erfahren
Produkt

Managed Kubernetes

Mit unserem Managed Kubernetes erstellen und orchestrieren Sie Kubernetes-Cluster im Handumdrehen.
Mehr erfahren