Tailscale mesh netwerk dat apparaten verbindt

Tailscale voor homelab: veilige remote access zonder port forwarding

Mijn homelab cluster draait in een kast thuis. Ikzelf niet. Ik werk vanuit koffiebars, vanuit een klantkantoor, soms vanuit een hotel met WiFi die actief vijandig aanvoelt. En ik wil dan nog steeds bij mijn eigen machines kunnen terwijl ik daarbuiten zit. Jarenlang was het standaardantwoord daarop dat je gaten in je eigen voordeur prikt. Forward een poort op de router, zet dynamic DNS op zodat het wisselende thuis-IP niet alles breekt, schrijf firewall regels, en hoop dan stilletjes dat niemand die het internet scant op de SSH daemon stuit die je net hebt blootgesteld. Het werkt, in de zin dat je bij je spullen kunt. Het betekent ook dat een deel van je privénetwerk nu de hele dag, voor altijd, vragen van vreemden beantwoordt. ...

10 mei 2026 · 11 min leestijd · Tom Meurs
Cilium eBPF networking architectuur

Cilium: eBPF networking voor Kubernetes

De eerste keer dat een service niet meer resolvede in een van mijn clusters, zat ik een avond iptables chains te lezen. Honderden regels, gegenereerd door kube-proxy, van boven naar beneden geëvalueerd. Ik heb het echte probleem nooit gevonden. Ik herstartte een node en het was weg. Dat zat me meer dwars dan de outage zelf. Ik draaide iets dat ik niet kon lezen. Dat gevoel is waarom ik naar Cilium ben overgestapt. Het gebruikt eBPF om networking logica naar beneden te duwen, de Linux kernel in, en slaat iptables volledig over. Je krijgt betere performance, je kunt daadwerkelijk zien wat je verkeer doet, en network policies worden geen giswerk meer. ...

8 april 2026 · 10 min leestijd · Tom Meurs
Kubernetes Network Policies visuele handleiding

Kubernetes Network Policies: een visuele handleiding voor pod security

Stel je dit voor: een aanvaller kraakt één pod in je cluster, via een kwetsbare image of een gelekte token. Vanuit dat ene bruggenhoofd kan deze elke database, elke interne API en elke secret-ophalende sidecar bereiken die je draait. Niets houdt hem tegen, want standaard probeert niets dat. Network Policies zijn precies het ding dat hem tegenhoudt. Ze maken van “één gecompromitteerde pod” gewoon “één gecompromitteerde pod, en daar blijft het bij.” Iedereen weet dat ze ze zouden moeten gebruiken. Bijna niemand doet het echt, want de YAML ziet er eng uit en het gedrag is raar tot het mentale model klikt. ...

8 februari 2025 · 9 min leestijd · Tom Meurs