Platform Engineering

Elk platform team vraagt zich uiteindelijk af: moeten we een Internal Developer Platform bouwen? Het antwoord is waarschijnlijk ja. De vraag is hoe. Ik heb platforms gezien die miljoenen kostten en nooit geadopteerd werden. Ik heb ook scrappy interne tools gezien die developer productiviteit van de ene op de andere dag transformeerden. Het verschil is geen budget of technologie — het is aanpak. Wat Is een Internal Developer Platform? Een Internal Developer Platform (IDP) is een self-service laag die infrastructuur complexiteit abstraheert van developers. In plaats van Kubernetes YAML te schrijven, beschrijven developers wat ze nodig hebben. Het platform regelt hoe. ...

Elk Kubernetes cluster heeft uiteindelijk persistent storage nodig. De vraag is: welke oplossing? Voor self-hosted clusters zonder cloud provider storage classes domineren twee opties: Longhorn en Rook-Ceph. Beide zijn CNCF projecten. Beide bieden gerepliceerde block storage. Beide werken goed. Maar ze zijn heel verschillend in filosofie, complexiteit en use cases. Ik heb beide in productie gedraaid. Laat me delen wat ik heb geleerd. Het Fundamentele Verschil Longhorn: Simpele gedistribueerde block storage gebouwd voor Kubernetes. Elk volume wordt gerepliceerd over nodes met standaard Linux storage primitieven. ...

Handmatig certificaat management is een recept voor outages. Certificaten verlopen om 3 uur ’s nachts in een feestdagenweekend. Renewal processen leven in tribal knowledge. Teams deployen services zonder HTTPS omdat “het te ingewikkeld is.” cert-manager automatiseert alles. Definieer welke certificaten je nodig hebt, en cert-manager regelt uitgifte, vernieuwing en Kubernetes Secret management. Voor altijd. Dit is een van de eerste dingen die ik installeer in elk cluster. Hoe cert-manager Werkt flowchart TD subgraph cluster["Kubernetes Cluster"] CM["cert-manager"] CERT["Certificate<br/>Resource"] SECRET["TLS Secret"] INGRESS["Ingress"] end subgraph external["Extern"] LE["Let's Encrypt<br/>ACME Server"] DNS["DNS Provider"] end CERT -->|"watched"| CM CM -->|"maakt"| SECRET CM <-->|"ACME protocol"| LE CM <-->|"DNS challenge"| DNS SECRET -->|"mount"| INGRESS Je maakt een Certificate resource cert-manager vraagt een certificaat aan bij de issuer (Let’s Encrypt, Vault, etc.) cert-manager voltooit de challenge (HTTP-01 of DNS-01) cert-manager slaat het certificaat op in een Kubernetes Secret Je Ingress/Gateway gebruikt de Secret voor TLS Vernieuwing gebeurt automatisch 30 dagen voor expiratie. ...

Kubernetes networking is berucht complex. CNI plugins, kube-proxy, iptables chains, service meshes — laag op laag van abstractie die uiteindelijk kapotgaat op manieren die niemand begrijpt. Cilium verandert dit. Het gebruikt eBPF om networking logica in de Linux kernel te plaatsen, waarbij iptables volledig wordt overgeslagen. Het resultaat: betere performance, meer zichtbaarheid, en network policies die daadwerkelijk logisch zijn. Dit draai ik in mijn clusters. Laat me je tonen waarom. Wat is eBPF? eBPF (extended Berkeley Packet Filter) laat je sandboxed programma’s draaien in de Linux kernel zonder kernel source code te wijzigen of kernel modules te laden. ...

Ik heb geschreven over Talos Linux als het immutable Kubernetes OS, en ik heb Arch vs NixOS voor werkstations vergeleken. Maar er is een vraag die ik vaak krijg: wat dacht je van NixOS voor Kubernetes nodes? Zowel NixOS als Talos zijn declaratief. Beide kunnen immutable zijn. Beide versioneren hun configuratie. Dus waarom zou je de ene boven de andere kiezen voor Kubernetes? Ik heb beide in productie gedraaid. Dit is wat ik geleerd heb. ...