Hatten wir mal, hat mehr Probleme verursacht als gelöst. Haben wir dann wieder abgedreht. Vielleicht in Zukunft mal, wenn der use-case wirklich relevant wird, aber aktuell nicht geplant.
Wir verwenden das freie Openshift/OKD, macht k8s management um vieles leichter und bringt auch ansonsten viele Features mit (logging, metrics, authentication/authorization, build pipelines, etc...), die man sonst händisch nachbauen muss. Auch viele Sicherheitsstandards, die man bei k8s erst konfigurieren oder dazubasteln muss sind hier schon per default aktiviert.
@aaaaaaaaargh@feddit.org : Wir haben hier ein halbes Rack voll Infra für die Instanzen, inkl. dedizierte reverse proxies, redundantes 10GbE Netzwerk, Blade Chassis für die Server und Enterprise Storage. Wird alles von uns selbst gewartet und gemanaged. Virtualisierung läuft aktuell noch auf Debian/KVM, ziehen wir aber gerade auf Proxmox um. Die ganzen Apps betreiben wir in Openshift, für Middleware und Backend Komponenten haben wir dedizierte VMs.
Das alles läuft privat gehosted in einem ISO-zertifizierten RZ bei einem mittelständischen Wiener IT-Dienstleister.
Die Instanz hier ist noch im Aufbau, es sind noch nicht alle Instanz- und Email Blocklists konfiguriert. Bitte noch etwas gedulden, kommt alles noch 🙏
Per default geht mal OAuth/OpenID/LDAP/AD
Wir verwenden LDAP, damit bekommt man schon mal out-of-the-box recht gute RBAC policies, um namespace und cluster permissions zu segmentieren.
SAML gibt's derzeit nur eine community Implementierung:
Für security hilft ja schon mal der Ansatz, dass CoreOS praktisch "immutable" ist, und auch die ganzen SELinux und container policies, die per default strikt eingestellt sind. Damit bekommt jeder namespace eine zufällige ID zugewiesen, die dann für pods als UID/GID verwendet wird. Auch sämtliche capabilities usw. sind standardmäßig eingeschränkt. Network namespace isolation kann man auch ganz einfach haben, muss man nur bei der Installation des overlay network intial angeben.
Und dann gibt's noch support für alle möglichen Technologoien, die ggf für Compliance relevant sein können, siehe hier: