Als kind had ik een woord voor dingen die me fascineerden: onkapotbaar. Niet “onverwoestbaar” — dat impliceert dat iets nooit kapot gaat. Onkapotbaar is anders. Het betekent dat iets zelfs kapot nog werkt. Ik weet nog precies wanneer die fascinatie begon. Een foto van een A-10 Thunderbolt II, teruggekeerd van een missie. Halve vleugel weg. Staart aan flarden. Romp vol gaten. En toch had dat ding zijn piloot thuisgebracht. Dat is geen geluk. Dat is design. ...
Je kunt niet fixen wat je niet kunt zien. Je kunt niet optimaliseren wat je niet kunt meten. Prometheus is de standaard voor Kubernetes metrics. Het werkt prachtig — totdat je lange-termijn opslag nodig hebt, of meerdere clusters, of hoge beschikbaarheid. Dan loop je tegen de limieten aan. Thanos breidt Prometheus uit zonder het te vervangen. Behoud je bestaande setup, voeg Thanos componenten toe, krijg onbeperkte retentie en globale queries. ...
Wanneer alles cluster-admin heeft, is niets veilig. Kubernetes RBAC (Role-Based Access Control) bestaat om één vraag te beantwoorden: wie kan wat doen met welke resources? De meeste clusters antwoorden verkeerd: “iedereen kan alles doen.” Dit is niet alleen een security probleem — het is een resilience probleem. Wanneer een service account wordt gecompromitteerd, hoeveel schade kan het aanrichten? Wanneer iemand het verkeerde commando uitvoert, wat is de blast radius? Least privilege beperkt die radius. ...
Je scande je images met Trivy. Je dwingt policies af met Kyverno. Je workloads hebben cryptografische identiteit via SPIFFE. Maar wat gebeurt er na deployment? Wat als een container wordt gecompromitteerd tijdens runtime? Wat als een aanvaller een zero-day exploiteert? Preventie is niet genoeg. Je hebt detectie nodig. Falco is een runtime security tool die system calls monitort in je cluster. Het ziet alles wat containers doen — bestandstoegang, netwerkverbindingen, procesuitvoering — en alert wanneer iets er verkeerd uitziet. ...
Hoe weet Service A dat Service B echt Service B is? In traditionele netwerken vertrouwden we netwerk locatie. Als traffic van het juiste IP kwam, was het legitiem. Zero trust doodde die aanname. Nu moet elke service zijn identiteit bewijzen, elke keer, ongeacht netwerkpositie. SPIFFE (Secure Production Identity Framework for Everyone) is een standaard voor service identity. SPIRE is de productie-klare implementatie. Samen geven ze elke workload een cryptografische identiteit — automatisch, zonder statische secrets. ...