Kubernetes & Orchestrierung

Kubernetes ist das Herzstück moderner, skalierbarer Infrastrukturen.
Ich plane, installiere und betreibe Kubernetes-Cluster, die containerisierte Workloads sicher, reproduzierbar und automatisiert verwalten.
Mein Fokus liegt auf Self-Hosting, Sicherheit, Transparenz und Automatisierung – also auf einem Kubernetes-Betrieb, der unabhängig von Cloud-Anbietern funktioniert, aber denselben Komfort bietet.

Ich setze auf Kubespray (Ansible) zur Provisionierung, Helm und Kustomize für das Deployment, und GitOps-Prozesse zur automatisierten Pflege von Clustern und Workloads.
Mit KubeVirt verbinde ich klassische Virtualisierung mit Kubernetes, sodass virtuelle Maschinen und Container gemeinsam auf einer Plattform orchestriert werden können.

Comeli als Kubernetes-Operator mit Bauhelm stapelt Container-Blöcke zur Orchestrierung von Kubernetes-Workloads.

Architektur & Clusteraufbau

Ich entwerfe Cluster-Architekturen, die Performance, Sicherheit und Skalierbarkeit kombinieren.
Dabei setze ich auf eine klare Trennung von Steuer- und Datenebene, redundante Control-Planes und automatisierte Provisionierung.

  • Clusteraufbau mit Kubespray (Ansible) oder manuell via kubeadm
  • Multi-Master-Designs mit HAProxy / Keepalived
  • Integration von Longhorn, Ceph oder ZFS als Persistent-Volume-Backends
  • Cluster-Härtung (RBAC, Network Policies, PodSecurityStandards)
  • Automatisierte Node-Registrierung und Labeling

Deployment & Konfiguration

Ich strukturiere Deployments modular und wiederverwendbar, um Workloads klar zu trennen und reproduzierbar zu halten.

  • Helm-Charts, Kustomize, kubectl apply Pipelines
  • Namespace-Design und Multi-Tenant-Konzepte
  • ConfigMaps, Secrets und PodPresets
  • Lifecycle-Management über GitOps und ArgoCD
  • Automatisierte Validierung von YAMLs und Templates

Sicherheit & Richtlinien

Sicherheit in Kubernetes ist mehrschichtig – ich kombiniere Zugriffskontrolle, Isolation und Compliance-Checks in einem geschlossenen Konzept.

  • RBAC, OPA/Gatekeeper und Pod Security Policies
  • TLS-/Certificate-Management für API und Services
  • Secrets-Verschlüsselung und Rotation
  • Audit-Logs und Admission Controller
  • Compliance-Scans über OpenSCAP oder kube-bench

Netzwerk & Service Mesh

Ich implementiere leistungsfähige, nachvollziehbare Cluster-Netzwerke – vom Pod-Netz bis zur externen Service-Kommunikation.

  • CNI-Plugins wie Calico, Flannel oder Cilium
  • Ingress-Controller (NGINX, Traefik) und LoadBalancer-Integration
  • DNS, CoreDNS-Tuning und Service-Discovery
  • Service Mesh mit Istio oder Linkerd für Monitoring und Traffic Control
  • Netzwerksegmentierung mit Network Policies

Monitoring & Betrieb

Ich integriere Kubernetes vollständig in Monitoring-, Logging- und Alerting-Strukturen.
So bleibt der gesamte Cluster – vom Pod bis zur Node – transparent und messbar.

  • Prometheus Operator, Grafana Dashboards, Alertmanager
  • Loki, Fluentd, Elasticsearch/Kibana (EFK)
  • Health-Checks, Resource-Metriken, Cluster-Autoscaler
  • Audit- und Event-Monitoring mit Alert-Integration

Integration & Erweiterungen

Ich erweitere Kubernetes gezielt um Dienste und Integrationen, die den Betrieb abrunden und vereinfachen.
So entsteht ein vollständiges Ökosystem aus Infrastruktur, Automatisierung und Self-Hosting.

  • KubeVirt: Integration von KVM-basierten VMs in den Cluster
  • Longhorn / Ceph RBD: Verteilte Storage-Lösungen für Stateful Workloads
  • GitOps-Workflows mit ArgoCD oder Flux
  • Backup und Disaster Recovery mit Velero
  • Integration in zentrale Authentifizierung (LDAP / OIDC)

Seminare

Konkrete Seminare und aktuelle Schwerpunkte finden Sie in unserem Seminarkatalog.

Ob Inhouse bei Ihnen im Unternehmen, als Webinar oder als offener Termin – die Formate sind flexibel auf unterschiedliche Anforderungen zugeschnitten.

Zu den Seminaren

Häufig gestellte Fragen zu Kubernetes

In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Nehmen Sie gern Kontakt mit mir auf.

Drache Comeli steht an einem FAQ-Schild und beantwortet Fragen zu Kubernetes.

kubeadm oder Kubespray – was nehme ich für Bare Metal/VMs?

kubeadm ist minimal und gibt volle Kontrolle – ideal für manuelles Fine-Tuning. Kubespray automatisiert HA-Cluster reproduzierbar (Ansible, Idempotenz, Rollbacks). Wahl hängt von Teamgröße, Standardisierung und Lifecycle-Automation ab.

Calico, Cilium oder Flannel – welches CNI?

Flannel: Simpel für Labs. Calico: Robuste Policies, bewährt in Prod (VXLAN/BGP). Cilium: eBPF-basiert mit feinem Observability/Policy-Stack und Mesh-Features – erste Wahl, wenn Performance & Visibility zählen.

Wie setze ich Multi-Tenancy und Security sauber um?

Namespaces + RBAC, NetworkPolicies und Pod Security Admission/Standards (PSA). Admission-Kontrollen (OPA/Gatekeeper/Kyverno), Image-Signierung (cosign), Secret-Verschlüsselung am etcd, kurzlebige Tokens/OIDC – plus regelmäßige Audits & Benchmarks.