Er is een moment waarop alles klikt. Je plugt je YubiKey in, typt je PIN één keer, en daarna werkt gewoon alles. SSH naar servers? Geen wachtwoord. Git commits signen? Automatisch. Wachtwoord uit pass halen? Touch de key en klaar. Dat moment duurde bij mij ongeveer drie avonden van frustratie om te bereiken. Maar nu het werkt, wil ik nooit meer terug. Waarom Deze Setup? Ik had een probleem: te veel authenticatiemethoden. ...
Als kind had ik een woord voor dingen die me fascineerden: onkapotbaar. Niet “onverwoestbaar” — dat impliceert dat iets nooit kapot gaat. Onkapotbaar is anders. Het betekent dat iets zelfs kapot nog werkt. Ik weet nog precies wanneer die fascinatie begon. Een foto van een A-10 Thunderbolt II, teruggekeerd van een missie. Halve vleugel weg. Staart aan flarden. Romp vol gaten. En toch had dat ding zijn piloot thuisgebracht. Dat is geen geluk. Dat is design. ...
Je kunt niet fixen wat je niet kunt zien. Je kunt niet optimaliseren wat je niet kunt meten. Prometheus is de standaard voor Kubernetes metrics. Het werkt prachtig — totdat je lange-termijn opslag nodig hebt, of meerdere clusters, of hoge beschikbaarheid. Dan loop je tegen de limieten aan. Thanos breidt Prometheus uit zonder het te vervangen. Behoud je bestaande setup, voeg Thanos componenten toe, krijg onbeperkte retentie en globale queries. ...
Wanneer alles cluster-admin heeft, is niets veilig. Kubernetes RBAC (Role-Based Access Control) bestaat om één vraag te beantwoorden: wie kan wat doen met welke resources? De meeste clusters antwoorden verkeerd: “iedereen kan alles doen.” Dit is niet alleen een security probleem — het is een resilience probleem. Wanneer een service account wordt gecompromitteerd, hoeveel schade kan het aanrichten? Wanneer iemand het verkeerde commando uitvoert, wat is de blast radius? Least privilege beperkt die radius. ...
Kubernetes Secrets zijn geen secrets. Het zijn base64-gecodeerde platte tekst, opgeslagen in etcd, vaak zichtbaar voor iedereen met cluster toegang. Dit is de default, en het is beangstigend. Elke cloud provider biedt een Key Management Service. AWS heeft Secrets Manager, Google heeft Secret Manager, Azure heeft Key Vault. Ze werken prima — totdat je moet migreren, of je wilt begrijpen wat er met je secrets gebeurt, of je simpelweg je meest gevoelige data niet in andermans infrastructuur wilt. ...