DevOps

Elk platform team vraagt zich uiteindelijk af: moeten we een Internal Developer Platform bouwen? Het antwoord is waarschijnlijk ja. De vraag is hoe. Ik heb platforms gezien die miljoenen kostten en nooit geadopteerd werden. Ik heb ook scrappy interne tools gezien die developer productiviteit van de ene op de andere dag transformeerden. Het verschil is geen budget of technologie — het is aanpak. Wat Is een Internal Developer Platform? Een Internal Developer Platform (IDP) is een self-service laag die infrastructuur complexiteit abstraheert van developers. In plaats van Kubernetes YAML te schrijven, beschrijven developers wat ze nodig hebben. Het platform regelt hoe. ...

Ik heb zowel Arch als NixOS gedraaid als mijn dagelijkse werkstation. Niet in VMs, niet als weekend-experiment — als mijn daadwerkelijke werkmachine waar ik professioneel DevOps/platform engineering werk doe, en als mijn persoonlijke machine waar ik al het andere doe. Beide zijn uitstekend. Beide hebben serieuze trade-offs. En de “beste” keuze hangt sterk af van je levenssituatie en hoeveel tijd je hebt voor systeemonderhoud. Dit is het punt: ik heb nu kinderen. De dagen van een zaterdagmiddag besteden aan het debuggen van een kapotte Xorg config zijn voorbij. Mijn systeem moet werken, betrouwbaar, elke keer dat ik mijn laptop open. Maar ik heb ook geleerd dat Arch’s “instabiliteit” grotendeels een skill issue is — met de juiste practices kan Arch net zo betrouwbaar zijn als NixOS. ...

Ik spendeer mijn avonden aan Hack The Box challenges en CTF competities. Niet omdat ik pentester wil worden — ik ben prima tevreden in platform engineering. Maar omdat de skills die ik daar leer me significant beter maken in mijn dagelijkse werk. Dit is niet meteen duidelijk. Wat heeft het pwnen van een kwetsbare web app te maken met het runnen van Kubernetes clusters? Meer dan je zou denken. Forensics en offensive security trainen je om anders over systemen na te denken. Je leert onderzoeken, traceren, begrijpen wat er daadwerkelijk gebeurt in plaats van wat er zou moeten gebeuren. En die mindset — plus de tooling — is precies wat je nodig hebt wanneer je productie-issues debugt om 3 uur ’s nachts. ...

“We willen voor november naar Kubernetes migreren.” Het was september. De klant was een e-commerce bedrijf. Hun grootste sales event van het jaar — Black Friday — was eind november. Ik zei nee. Ze vroegen of ik iemand kende die het misschien toch zou willen doen. Dat deed ik. Een collega platform engineer — iemand die ik respecteer, zeer capabel. Ik maakte de introductie, maar waarschuwde hem voor de timeline. Hij nam de opdracht aan, documenteerde dezelfde zorgen die ik had, liet ze aftekenen. De klant ging toch door. ...

Wanneer alles cluster-admin heeft, is niets veilig. Kubernetes RBAC (Role-Based Access Control) bestaat om één vraag te beantwoorden: wie kan wat doen met welke resources? De meeste clusters antwoorden verkeerd: “iedereen kan alles doen.” Dit is niet alleen een security probleem — het is een resilience probleem. Wanneer een service account wordt gecompromitteerd, hoeveel schade kan het aanrichten? Wanneer iemand het verkeerde commando uitvoert, wat is de blast radius? Least privilege beperkt die radius. ...