Zum Inhalt springen

K8S-Clusterumgebung

Konzeption und Aufbau einer Kubernetes-Infrastruktur fuer den oeffentlichen Sektor bei Ionos. BSI-konforme Haertung, Helm-Charts, GitLab CI/CD und automatisierte Datenbank-Replikation im behoerdlichen Umfeld.

2023

Projektjahr

Behörde

Branche

Kubernetes

Plattform

Architekt

Rolle

Ausgangslage

Eine Behörde plante den Aufbau einer sicheren Cloud-Computing-Umgebung auf Basis von Docker und Kubernetes. Die Infrastruktur musste strengen Datensicherheitsanforderungen genügen und die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) vollständig erfüllen. Gleichzeitig sollten bestehende Behördenverfahren neu definiert und in die containerisierte Umgebung überführt werden.

Als Architekt für Server, Netzwerk und Security war die Aufgabe, eine Infrastruktur zu konzipieren, die sowohl den hohen Sicherheitsanforderungen des öffentlichen Sektors als auch den Anforderungen an Flexibilität und Skalierbarkeit gerecht wurde.

Herausforderung & Ansatz

Herausforderung

  • BSI-konforme Kubernetes-Infrastruktur in einer Behördenumgebung
  • Strenge Datensicherheitsanforderungen und Compliance-Vorgaben
  • Neudefinition bestehender Behördenverfahren für Container-Betrieb
  • Hochverfügbare Datenbankreplikation im regulierten Umfeld

Ansatz

  • Container-Infrastruktur bei IONOS mit gehärteter Konfiguration
  • Systematische Härtung nach BSI IT-Grundschutz
  • Helm Charts und GitLab Pipelines für standardisierte Deployments
  • Proof of Concept für Datenbank-Replikation im Cluster

Umsetzung

Container-Infrastruktur bei IONOS

Die Kubernetes-Cluster wurden bei IONOS aufgebaut, einem deutschen Cloud-Anbieter, der die Anforderungen an Datensouveränität und Rechenzentrumsstandort in Deutschland erfüllte. Die Cluster-Architektur umfasste getrennte Umgebungen für Entwicklung, Staging und Produktion, jeweils mit eigenen Netzwerksegmenten und Zugriffsrichtlinien.

BSI-Härtung und Betriebshandbuch

Die gesamte Infrastruktur wurde nach BSI IT-Grundschutz gehärtet. Dazu gehörten die Absicherung der Kubernetes-API, die Einschränkung von Container-Privilegien, Netzwerkpolicies für die Pod-zu-Pod-Kommunikation und die Verschlüsselung aller Daten in Transit und at Rest. Ein umfassendes Betriebshandbuch nach BSI-Vorgaben dokumentierte alle Prozesse, Verantwortlichkeiten und Notfallverfahren.

Deployment-Pipelines und Helm Charts

Für die Standardisierung der Deployments wurden Helm Charts entwickelt, die die Konfiguration der einzelnen Behördenverfahren als Code abbildeten. GitLab Pipelines übernahmen das automatisierte Building, Testing und Deployment der Container-Images. Jede Änderung durchlief einen definierten Review- und Freigabeprozess, bevor sie in die Produktivumgebung übernommen wurde.

BSI-Compliance

Im behördlichen Umfeld ist die Einhaltung der BSI-Vorgaben keine optionale Best Practice, sondern eine verbindliche Anforderung. Jede Architekturentscheidung muss dokumentiert und gegen den IT-Grundschutz-Katalog geprüft werden. Das Betriebshandbuch ist ein lebendes Dokument, das bei jeder Änderung aktualisiert werden muss.

POC Datenbank-Replikation

Ein gesonderter Proof of Concept untersuchte die Machbarkeit einer Datenbank-Replikation innerhalb des Kubernetes-Clusters. Ziel war es, die Datenverfügbarkeit auch bei Ausfall einzelner Nodes sicherzustellen, ohne die strengen Sicherheitsanforderungen zu kompromittieren. Die Ergebnisse flossen in die finale Architekturentscheidung für den Produktivbetrieb ein.

Kenntnisse

Cloud & Container

  • Docker
  • Kubernetes
  • Rancher UI
  • Helm Charts

Tools & Methodik

  • GitLab CI/CD
  • Prometheus
  • Grafana
  • Scrum

Betriebssysteme

  • SLES
  • Ubuntu

Ergebnis & Fazit

Ergebnis

  • BSI-konforme Kubernetes-Infrastruktur bei deutschem Cloud-Anbieter
  • Vollständiges Betriebshandbuch nach BSI IT-Grundschutz
  • Standardisierte Deployments über Helm Charts und GitLab Pipelines
  • Validierter POC für hochverfügbare Datenbank-Replikation

Fazit

Der Aufbau einer Kubernetes-Umgebung im behördlichen Kontext erfordert weit mehr als technisches Know-how. Die Kombination aus BSI-Compliance, Datensouveränität und modernen DevOps-Praktiken stellte hohe Anforderungen an Architektur und Prozesse. Das Projekt bewies, dass auch im öffentlichen Sektor eine agile, containerbasierte Infrastruktur realisierbar ist, wenn Sicherheit von Anfang an mitgedacht wird.

← Alle Projekte Kontakt aufnehmen