Advanced

“Autonomous cluster management” — de belofte dat een AI je Kubernetes cluster kan monitoren, problemen kan diagnosticeren, en misschien zelfs kan fixen zonder menselijke interventie. Het klinkt als de heilige graal voor platform engineers. De realiteit is genuanceerder. In deze post test ik K8sGPT met een lokaal draaiende Llama 3.3 70B model op Apple Silicon. Geen cloud APIs, geen data die je netwerk verlaat, volledig sovereign. Is dit bruikbaar voor echte cluster diagnose? Laten we het uitzoeken. ...

Je scande je images met Trivy. Je dwingt policies af met Kyverno. Je workloads hebben cryptografische identiteit via SPIFFE. Maar wat gebeurt er na deployment? Wat als een container wordt gecompromitteerd tijdens runtime? Wat als een aanvaller een zero-day exploiteert? Preventie is niet genoeg. Je hebt detectie nodig. Falco is een runtime security tool die system calls monitort in je cluster. Het ziet alles wat containers doen — bestandstoegang, netwerkverbindingen, procesuitvoering — en alert wanneer iets er verkeerd uitziet. ...

Hoe weet Service A dat Service B echt Service B is? In traditionele netwerken vertrouwden we netwerk locatie. Als traffic van het juiste IP kwam, was het legitiem. Zero trust doodde die aanname. Nu moet elke service zijn identiteit bewijzen, elke keer, ongeacht netwerkpositie. SPIFFE (Secure Production Identity Framework for Everyone) is een standaard voor service identity. SPIRE is de productie-klare implementatie. Samen geven ze elke workload een cryptografische identiteit — automatisch, zonder statische secrets. ...

Regels die alleen in documentatie bestaan worden niet gevolgd. Regels die door computers worden afgedwongen wel. Kubernetes geeft je ongelofelijke flexibiliteit. Elk team kan deployen wat ze willen, geconfigureerd zoals ze willen. Deze vrijheid wordt chaos zonder vangrails. Kyverno is een policy engine voor Kubernetes. Het valideert, muteert en genereert resources gebaseerd op policies die je definieert — als Kubernetes-native YAML. Waarom Kyverno? Er zijn meerdere policy engines: Open Policy Agent (OPA) met Gatekeeper, Kyverno, Kubewarden. Ik koos Kyverno omdat: ...

Elke deployment is een risico. De vraag is niet óf er iets fout gaat — maar hoeveel schade het veroorzaakt wanneer het gebeurt. Traditionele Kubernetes deployments zijn alles-of-niets. Je pusht een nieuwe versie, en binnen seconden raakt 100% van je traffic de nieuwe code. Als er een bug is, ziet iedereen het. Als de service crasht, zijn alle gebruikers getroffen. Progressive delivery verandert deze vergelijking. In plaats van naar iedereen tegelijk te deployen, verschuif je geleidelijk traffic naar de nieuwe versie, en valideer je bij elke stap. Als er iets misgaat, is slechts een fractie van de gebruikers getroffen. ...