K3s cluster draaiend op mini-PCs

K3s cluster setup op refurbished mini-PCs

Drie mini-PCs staan op een plank bij mij thuis. Samen draaien ze mijn GitLab, mijn monitoring stack, home automation, file sync, password manager, en een stapel andere dingen die ik weiger toe te vertrouwen aan andermans computer. De hele setup kostte minder dan één maand van de vergelijkbare managed Kubernetes rekening, en ik begrijp elke laag ervan omdat ik het zelf heb gebouwd. Jij kunt hetzelfde hebben. Geen cloud account, geen rack, geen budget met vijf nullen. Je hebt drie tweedehands machines nodig en een middag waarop niemand je lastigvalt. Dit is het cluster waar ik op terugkom als ik het heb over sovereign infrastructuur, en hier is precies hoe het in elkaar zit. ...

24 april 2026 · 11 min leestijd · Tom Meurs
Longhorn vs Rook-Ceph storage vergelijking

Longhorn vs Rook-Ceph: Kubernetes-storage vergeleken

De eerste keer dat je een stateful workload op een self-hosted cluster draait, loop je tegen een muur. Geen cloud provider storage class om op te leunen. Alleen je nodes, hun disks, en een Postgres pod die weigert te schedulen omdat niets hem een PersistentVolume kan geven. Dus je gaat lezen, en binnen een uur heb je het teruggebracht tot twee namen die steeds terugkomen: Longhorn en Rook-Ceph. Ik heb beide in productie gedraaid. Dus laat me mijn bias meteen op tafel leggen: op kleine clusters kies ik standaard Longhorn, en waarom precies leg ik verderop uit. Houd dat in je achterhoofd terwijl je leest, want het kleurt hoe ik dingen weeg. Beide zijn CNCF projecten, beide geven je gerepliceerde block storage die overleeft als een node sterft, en beide zijn goede software. Ze zijn het alleen oneens over hoeveel complexiteit je zou moeten tekenen. ...

20 april 2026 · 12 min leestijd · Tom Meurs
Isometrische illustratie van een centrale sleutel met drie identiteitsvertakkingen afgeschermd door een quantum-barrière

Quantum-safe GPG-identiteit met meerdere aliassen

Een cryptografische signature is een van de weinige dingen online die nog precies betekent wat er staat. Is de key van jou en verifieert de signature, dan komt de inhoud van jou. Punt. Geen vendor heeft je deze identiteit gegeven, geen CA kan hem intrekken, geen platform kan hem schorsen. Hij bestaat omdat jij de key hebt gegenereerd, en hij blijft van jou precies zolang jij de private helft in handen houdt. Het meeste wat we losjes “online identiteit” noemen is geleend: een handle die iemand kan bannen, een blauw vinkje dat iemand kan weghalen, een e-mailadres dat een domein-eigenaar terugeist op de dag dat het hem uitkomt. Een GPG-signature staat daar volledig buiten. De key die deze alinea heeft ondertekend is van jou of van iemand anders, en niemand krijgt daar een stem in. ...

18 april 2026 · 14 min leestijd · Tom Meurs
Effectieve alerting strategie visualisatie

Alerting dat werkt: van alert fatigue naar actionable notificaties

Een tijdlang werkte mijn alerting prima. Een handvol regels, pages waren zeldzaam, en als er een binnenkwam betekende het iets. Toen groeide de cluster, schroefde ik de Prometheus Operator defaults erop, en veranderde “prima” stilletjes in ruis. Het kantelpunt was een page om 3 uur ’s nachts. Mijn telefoon trilde, ik checkte slaperig: “High CPU usage on node-worker-3.” Ik keek naar de grafiek, zag dat hij al tien minuten op 75% stond, en ging weer slapen. Volgende nacht, dezelfde alert. Een week later checkte ik niet eens meer. ...

16 april 2026 · 11 min leestijd · Tom Meurs
cert-manager automatische TLS certificaat flow

cert-manager: automatische TLS certificaten in Kubernetes

Lange tijd vernieuwde ik mijn certificaten zoals de meeste mensen dat doen: een agenda-reminder, een handmatige certbot-run en de stille hoop dat ik er op tijd aan zou denken. Dat werkte. Het werkte precies tot de ochtend waarop een service me om de oren sloeg met certfouten en ik geen idee had waarom, omdat de renewal-cron al weken stilletjes faalde. Dat is het stuk dat niemand je vertelt over handmatige TLS. De fout kondigt zichzelf niet aan. Het certificaat verloopt gewoon, meestal op het slechtst denkbare moment, en je komt erachter omdat een browser tegen iemand staat te schreeuwen. De kennis over vernieuwing eindigt in het hoofd van één persoon. Teams slaan HTTPS over op interne services omdat het handmatig optuigen vervelend genoeg is om uit te stellen. ...

12 april 2026 · 11 min leestijd · Tom Meurs