Tom Meurs — Sovereign Systems

Kubernetes networking is berucht complex. CNI plugins, kube-proxy, iptables chains, service meshes — laag op laag van abstractie die uiteindelijk kapotgaat op manieren die niemand begrijpt. Cilium verandert dit. Het gebruikt eBPF om networking logica in de Linux kernel te plaatsen, waarbij iptables volledig wordt overgeslagen. Het resultaat: betere performance, meer zichtbaarheid, en network policies die daadwerkelijk logisch zijn. Dit draai ik in mijn clusters. Laat me je tonen waarom. Wat is eBPF? eBPF (extended Berkeley Packet Filter) laat je sandboxed programma’s draaien in de Linux kernel zonder kernel source code te wijzigen of kernel modules te laden. ...

Je hebt metrics die je vertellen dat iets traag is. Je hebt logs die vertellen dat er errors waren. Maar welke request faalde? Waar kwam de latency vandaan? Welke service in de keten veroorzaakte de timeout? Dit is waar distributed tracing om de hoek komt kijken. Het volgt individuele requests terwijl ze door je microservices stromen, en toont je precies wat er gebeurde en waar. De Observability Driehoek flowchart TD subgraph observability["Complete Observability"] M["Metrics<br/>(Prometheus/Thanos)<br/>WAT gebeurt er"] L["Logs<br/>(Loki)<br/>WAAROM gebeurde het"] T["Traces<br/>(Tempo)<br/>WAAR gebeurde het"] end M <--> L L <--> T T <--> M G["Grafana"] --> M G --> L G --> T Metrics beantwoorden: “Wat is de error rate? Wat is de latency?” Logs beantwoorden: “Welke error message? Wat was de context?” Traces beantwoorden: “Welke service? Welke call? Wat was het pad?” Samen geven ze je volledig begrip. ...

Je hebt Prometheus voor metrics. Je kunt zien wat er gebeurt in je clusters. Maar als iets kapotgaat, vertellen metrics je dat er iets mis is — logs vertellen je waarom. Het traditionele antwoord is Elasticsearch. Het is krachtig, flexibel, en… duur. Het indexeert alles, wat betekent dat je betaalt voor elke byte aan logdata in CPU, geheugen en opslag. Loki kiest een andere aanpak: indexeer labels, niet content. Het is dezelfde filosofie die Prometheus efficiënt maakt voor metrics, toegepast op logs. ...

In mijn vorige post over Prometheus en Thanos behandelde ik de sidecar architectuur — Thanos Sidecar draait naast Prometheus, uploadt TSDB blocks naar object storage, en stelt data beschikbaar aan de Querier. Het werkt uitstekend voor clusters met stabiele connectiviteit naar je centrale infrastructuur. Maar wat als je clusters aan de edge staan? Als ze uren of dagen connectiviteit kunnen verliezen? Als je tientallen of honderden kleine clusters draait en geen sidecar complexiteit op elk daarvan wilt? ...

Compliance audits zijn pijnlijk. Iedereen die ISO 27001 certificering heeft meegemaakt kent het ritueel: weken documentatie verzamelen, screenshots van configuraties, bewijs van change management processen, bewijzen dat wat je zegt te doen ook daadwerkelijk is wat je doet. Maar hier is iets wat ik heb gerealiseerd na jaren declaratieve infrastructuur draaien: systemen zoals Talos en NixOS maken infrastructuur niet alleen beter — ze maken compliance dramatisch makkelijker. Dezelfde eigenschappen die deze systemen betrouwbaar maken (immutability, reproduceerbaarheid, auditeerbaarheid) zijn precies wat auditors willen zien. ...