Adfinis, ein führender Open-Source-Dienstleister, ist stolz darauf, als einer der ersten HashiCorp-Partner die Auszeichnung “HashiCorp Competency holder for Infrastructure and Security” erhalten zu haben. Diese Auszeichnung unterstreicht das unermüdliche Engagement von Adfinis für technische Exzellenz, die umfassende Erfahrung im Bereich der HashiCorp-Lösungen und die aussergewöhnliche Kundenzufriedenheit.
Mit dem Erwerb des HashiCorp Competency Holder Status unterstreicht Adfinis seinen Status als vertrauenswürdiger Partner für Unternehmen, die modernste IT-Infrastruktur- und Sicherheitslösungen suchen. Die zertifizierten Experten von Adfinis sind bereit, Unternehmen bei der Implementierung des HashiCorp Cloud Operating Model zu unterstützen, damit Kunden ihre Ziele mit verbesserter IT-Sicherheit und Skalierbarkeit effizient erreichen können.
HashiCorp, ein weltweit führender und renommierter Anbieter von Infrastruktur-Automatisierungs- und Sicherheitslösungen, hat ein Zertifizierungsprogramm für Systemintegratoren wie Adfinis ins Leben gerufen. Im Rahmen dieses Programms vergibt HashiCorp Zertifizierungen an Servicepartner, die in der Lage sind, HashiCorp-Produkte nach Best Practices zu planen, zu integrieren und zu betreiben. HashiCorp stellt die höchsten Standards sicher, indem es seine Servicepartner einer strengen Evaluierung unterzieht, bei der ihre Kenntnisse der HashiCorp Enterprise-Produkte, ihre technische Expertise und der Kunden Support bewertet werden. Dieser Evaluierungsprozess umfasst umfangreiche Audits und die Überprüfung von Referenzinstallationen, so dass Kunden auf die Fähigkeiten der Partner und ihr Engagement für die Bereitstellung herausragender HashiCorp-Lösungen vertrauen können.
Die Infrastruktur-Kompetenz konzentriert sich auf die Nutzung von Infrastructure as Code mit HashiCorp Terraform und das Image-Management mit Packer. Darüber hinaus konzentriert sich die Sicherheits-Kompetenz auf die Verwaltung von Secrets mittels HashiCorp Vault, verbunden mit zusätzlicher Zero-Trust Expertise durch die Integration von HashiCorp Vault, Terraform und Consul. Adfinis zeichnet sich in dieser Kompetenz durch fortschrittliche Lösungen aus und transformiert Organisationen in Richtung identitätsbasiertes Service Mesh und dynamisches Secrets Management.
Als international tätiger Implementierungspartner von HashiCorp verfügt Adfinis über beispiellose Kompetenz für die gesamte Produktpalette von HashiCorp, einschliesslich Terraform, Vault, Consul und Boundary. Mit zahlreichen Produktzertifizierungen und umfangreicher Erfahrung sprechen die Kompetenzen von Adfinis Bände über die Fähigkeit und das Engagement, aussergewöhnliche Ergebnisse zu liefern.
HashiDays is HashiCorp’s regional cloud conference that brings together cloud technical experts, platform teams, thought leaders, and executives in person and online to share their insights and learn about the latest advances from HashiCorp. In this blog, we invite you to join us as we explore the dynamic world of HashiDays, where ground-breaking innovations in cloud technology take center stage.
HashiDays made a successful debut this year. As partners, we were impressed by the top-notch organization of the event. The agenda was thoughtfully planned, and the technical sessions were well-structured, which facilitated a seamless flow of the conference.
We set off from Zurich the day before the conference itself, as we were kindly invited to a dinner organized by HashiCorp at the Harlachinger beer garden in Munich, followed by a refreshing drink on the roof of the Cloud One Bar.
The following day, we started our adventures with breakfast at the INNSiDE hotel, right next to the conference venue, from where we could directly launch into the keynote. The keynote briefing by HashiCorp CEO Dave McJannet and Armon Dadgar brought us up to speed with the latest developments in the HashiCorp products Vault, Boundary, Consul, and Terraform (in that order). We would like to highlight the high quality of that keynote particularly.
Care must be taken, however, not to confuse announcements or features of enterprise releases (typically, binaries that are installed and used on-prem in a self-managed fashion) with new capabilities in the HashiCorp Cloud Platform (HCP) SaaS-based offerings.
We would love to talk to you about your journey with the HashiCorp product line. Don’t hesitate to contact us so we can learn about your business needs and how you plan to streamline and improve your IT landscape using the HashiCorp tools.
Dan Barr (HashiCorp) introduced us to the new import and check blocks in the latest Terraform 1.5 release. Cole Morrisons (HashiCorp) presentation discussed the scalability issues of larger teams and software and how service mesh approaches with Consul can solve common communication issues in these phases of technological and organizational/business growth.
After lunch of salad, curry, and burgers, the HashiCorp presenters were followed by two applied, down-to-earth testimonials (ironically, on the top floor of one of the tallest buildings in Munich). They realistically portrayed the usage of Terraform in real-world scenarios.
Pedro Miranda (Adidas) presented the optimisation and modularisation phases of their Databricks Lakehouse infrastructure with Terraform. It was fascinating to see how they were able to reduce the time it takes to apply code from roughly 20 minutes to 20 seconds just by separating parts of the Terraform state with modules and template scripts. The approach taken with Jenkins and the migration between the different Terraform module versions was conventional but inspiring nonetheless. Eventually, the new release helps to create “Data Products” in a self-service fashion from the start through parametrization. In contrast, earlier deployments required extensive tuning of the deployments (ticketing workflow) to provide the required infrastructure features.
Patrick Koch (AVL List GmbH) presented the migration journey from the Concerto legacy Windows application (used for engine testing in the automotive industry) to a cloud-native application running in a Linux container running on Azure. It was shown how Infrastructure as Code with Terraform supported the migration to the cloud. Patrick demonstrated vividly why it pays to perform such migrations slowly with a “lift and shift” approach first. This makes it much easier to argue about the necessary components for a complete re-implementation as a cloud-native workload later on.
The last two sessions in the technical track were hands-on labs, where we could follow the step-by-step instructions by Robin Beck and Robin Norwood (HashiCorp) on how to inject SSH certificate in HCP Boundary and how to authenticate Terraform providers in Terraform cloud with dynamic credentials. It was exciting to see how HCP Boundary can now use the Vault SSH secrets engine of an on-prem Vault installation by using a self-hosted Boundary Enterprise (PKI) worker node. Again, it was important to differentiate between the capabilities of the SaaS-based HCP Boundary offering and the on-prem Boundary Enterprise worker node. Whereas “credential brokering” can be achieved with Boundary control plane deployed locally, the “credential injection” is currently only available for deployments with control-plane nodes managed by the HashiCorp Cloud Platform.
In addition to the technical sessions, the event offered an exclusive leadership track with speeches from SBB, Roche, Deutsche Börse, and ITZBund. Each talk was informative and blended smoothly into the overall program.
Networking was a central aspect of the HashiDays. There were numerous opportunities for discussions with customers, distributors, and competitors that were enlightening and productive. Moreover, we had the chance to meet with HashiCorp’s sales management. This interaction allowed us to solidify our partnership and discuss how we can further enhance our collaboration.
In summary, the first edition of HashiDays was a success. The combination of a great organization, high-quality presentations, and productive networking contributed to a very positive experience. We are already looking forward to the next edition!
If the article resonates with you or you have some questions regarding the technical topics mentioned above, we would love to hear back from you and continue discussing your IT infrastructure plans.
The advent of multi-cloud environments with a variety of “Kubernetes as a service” offerings has spurred the deployment of applications in the cloud. In the cloud operating model, HashiCorp Vault provides security teams a baseline for identity based secrets management and encryption procedures. Due to the confidential nature of the secret data, Vault is commonly deployed on isolated infrastructure, ideally on bare metal, for the purpose of isolating the credentials as good as possible.
However, we observe that day2 operations of the Vault platform itself can be accomplished faster and more reliably on Kubernetes (e.g., routine maintenance tasks or frequent upgrades). In that sense, Vault as an application itself can also benefit from the recent advances in cloud native deployment and maintenance patterns. Moreover, HashiCorp supports these latest deployment practices on Kubernetes clusters with some considerations pertinent to most Kubernetes offerings.
This article with the accompanying example code demonstrates how HashiCorp Vault Enterprise can be deployed on a dedicate Exoscale Scalable Kubernetes Service (SKS) cluster. The deployment in Swiss datacenters can be recommended for a secrets management solution which focuses on the implementation of high cloud security standards without compromising the advantages of the recent advances in cloud native deployment methodologies.
Check out the official Vault on Kubernetes Deployment Guide, especially the contained “Production Deployment Checklist” before starting any (productive) deployments.
Kubernetes Cluster Deployment with Terraform Module
The Exoscale SKS Terraform module of Camptocamp already provides us with an excellent basis for bootstrapping a small Kubernetes cluster. Head over to the excellent Exoscale blog post to find out more about the invocation of the module.
For demonstration purposes we decided to improve that module invocation with following best-practices:
Use a GitLab pipeline which allows to run the Terraform module in a secure environment and perfectly integrates the Terraform plan and output in GitLab merge requests
As an input, the pipeline expects the Exoscale API credentials (CI/CD variables). The module relies on the exo CLI utility to retrieve the Kubeconfig. The example pipeline ensures the availability of the binary in each job. The binary is downloaded in the first job. Subsequent jobs copy the binary from the cache.
Finally, the pipeline outputs the sensitive Kubeconfig and a Terraform report artifact. The GitLab widget interprets this artifact by presenting the number of added/changed or new Terraform resource in the merge request UI.
⚠️ Make sure you understand how to restrict privileges on the Terraform state backend, the CI/CD pipeline input variables and the sensitive Kubeconfig output artifacts:
Note that you should plan with several SKS environments or test stages for production environments.
Deploy Argo CD on Kubernetes
Argo CD allows us to define the state of resource in a Kubernetes cluster in a declarative and version-controlled manner. The state of each resources is described through Helm charts and YAML manifests that can be enriched with specific traits when instantiating a specific Application. The state of the resource in the cluster is continuously compared against the desired state in Git to detect any configuration drift.
The Argo CD AppProject defines the Application scope:
Type of Kubernetes resources that can be created
Kubernetes cluster and target namespace
Allowed repository sources
Leveraging the App of Apps Pattern
Even though an Argo CD instance can continously compare and sync the current cluster state with the state defined in Git, the initial AppProject and Application need to be created manually (Argo CD bootstrapping).
After these initial configuration steps, the first Application is used as an abstract container to keep all configuration objects in sync. This is called the “App of Apps Pattern”, where the first Argo CD app consists only of other apps.
When deploying Argo CD as an “unmanaged” service on a Kubernetes cluster, one Argo CD Application can also be reserved to recursively manage the state of the Argo CD deployment itself (cyclic dependency).
The App of Apps approach is especially useful to categorise and structure applications in a way such that they “work well together”. At Adfinis we maintain an opinionated version of this categorisation in Applications with “umbrella charts”, where each Application chart may have multiple subcharts, which represent the actual target Application.
This has shown to be a very useful pattern to focus the maintenance efforts in a central location. As maintainers of several applications in multiple clusters, it allows us to document and control the lifecycle and target revisions of downstream consumers (i.e., Argo CD instances on customers premises).
HashiCorp Vault Enterprise on SKS
With the above concepts in mind, we can deploy HashiCorp Vault Enterprise on SKS using the security-apps App provided by Adfinis.
There are a few common pitfalls in a Vault Enterprise deployment:
Enterprise Vault clusters require a highly available storage backend such as Consul or Raft. For instance, the Vault Enterprise Docker image fails to boot with the file storage backend. We typically recommend Raft integrated storage for any project, because that is already integrated with HashiCorp Vault and provides the ability to easily create automated snapshot schedules without third-party agents.
With the Raft backend, the API address of Vault needs to match the contents of the TLS certificate (and vice-versa). From our experience, a wrongly configured certificate or API address often leads to TLS certificate verification issues when new nodes join the cluster, while working with advanced features like plugins or during the DR replication setup.
Once installed and configured properly, HashiCorp Vault Enterprise opens many more possibilities to strengthen and secure modern cloud infrastructures. In case of any questions, please let us know. The Adfinis team is happy to support your business on the journey to establish and maintain modern secrets management practices.
Limitations of the Example Code
The example code is provided without any guarantee or warranty and should not be applied in productive environments. Specifically, this demo has the following limitations (there might be more):
No auto-unsealing
No persistent data storage and no audit logs
No Ingress, Vault API is not exposed outside of this Kubernetes cluster
If you decide start on your own journey with HashiCorp Vault Enterprise or the secrets management topic in general, we are interested to hear about your specific requirements and are eager to find out how we can help you to improve your security posture.
Ab dem 01. Oktober 2022 tritt Michael Hofer seine neue Position als CTO bei Adfinis an und verstärkt das Management-Team mit seiner langjährigen technischen Erfahrung und Open Source Expertise.
Adfinis, ein führendes Schweizer IT-Unternehmen für Open Source Lösungen, ernennt Michael Hofer zum Chief Technology Officer (CTO) ab 01. Oktober 2022. Mit diesem Wechsel baut Adfinis das Management-Team weiter aus und ermöglicht es dem CEO und bisherigen CTO Nicolas Christener, sich auf andere strategische Bereiche zu konzentrieren und gemeinsam mit dem neu ernannten CGO Michael Moser internationale Wachstumsthemen anzugehen. Als Unternehmen setzt sich Adfinis für nachhaltige Lösungen ohne Vendor Lock-in ein, um die digitale Souveränität zu fördern.
Michael Hofer, ehemaliger Head of Engineering, wird sich auf die Erweiterung und Verbesserung des Adfinis Open Source Portfolios auf Management- sowie internationaler Ebene konzentrieren. Dazu gehört ebenfalls die Unterstützung von Organisationen rund um den Globus, um Brücken zwischen Partnern, technischen Teams und der Open Source Community zu bauen mit dem Ziel, das Open- und Inner Source Mindset zu fördern.
“Ich bin begeistert und fühle mich geehrt, die Möglichkeit zu erhalten, unsere Kunden, Partner und Teams dabei zu unterstützen, Open Source Technologien voranzutreiben und ihr Inner Source Mindset zu fördern! Es ist ein aufregender Moment, eine solche Position in einer schnell und international wachsenden Organisation zu übernehmen. Ich freue mich darauf, diese Chance gemeinsam mit unseren exzellenten Engineering-Teams zu ergreifen, die den Schlüssel zur Bereitstellung qualitativ hochwertiger Dienstleistungen darstellen und mein vollstes Vertrauen haben!”
– Michael Hofer, CTO Adfinis
Im August 2014 begann Michael Hofer bei Adfinis als Linux System Engineer und wurde zu einer Schlüsselperson in vielen Projekten für unsere globalen Kunden und Partner. Zuletzt konzentrierte er sich als Head of Engineering darauf, Open Source Technologien für strategische Kunden zu etablieren und gleichzeitig das interne technische Wachstum und die Standardisierung sicherzustellen. Michael Hofer trieb viele erfolgreiche Initiativen voran, die zu neuen Produkt- und Serviceangeboten führten. Als öffentliches Gesicht vertrat Michael Hofer Adfinis auch auf Konferenzen und an Roundtables und baute ein grosses Netzwerk im Open Source Ökosystem auf.
“Mit der internen Übergabe einer wichtigen Funktion in unserem Management-Team setzen wir auf Kontinuität und ermöglichen es uns als Unternehmen, die nächsten Wachstumsschritte in Angriff zu nehmen. Ich freue mich sehr, die Zügel an Michael zu übergeben und mich weiterhin auf seine hervorragenden technischen Fähigkeiten verlassen zu können, um den Bedürfnissen des Marktes und unserer Kunden gerecht zu werden.”
– Nicolas Christener, CEO Adfinis
Adfinis freut sich, Michael Hofer als neuen CTO gewinnen zu können. Mit der Erweiterung des Management-Teams besteht das C-Level von Adfinis nun aus den folgenden Mitgliedern: Nicolas Christener (CEO und ehemaliger CTO), Michael Moser (CGO), Thomas Köchli (COO), Gil Oliveira (CCO) und Michael Hofer (CTO).
Gil Oliveira (CCO Adfinis) und Thomas Graf (CTO & Co-Founder Isovalent)
Ab September 2022 erweitert Adfinis ihr Cloud Native Portfolio mit Isovalent, um eine Vielzahl von Herausforderungen zu lösen, welche beim Betrieb von geschäftskritischen Kubernetes Plattformen auftreten.
Durch Isovalent erweitert Adfinis ihr Partnerportfolio im Bereich der eBPF-basierten Cloud Native Networking-Lösungen. Mit Isovalent Cilium Enterprise erhalten Kunden eine der besten CNI-Lösung, welche Sicherheit, Auditierbarkeit, Skalierbarkeit und eine hervorragende Performance bietet.
Unternehmen adaptieren Cloud Native Methoden und Technologien, um Dev-Teams bei der agilen Entwicklung und Integration von Anwendungen zu unterstützen und so die Time-to-Market zu verkürzen. Der Wechsel in den Cloud Native Bereich bedeutet oft auch die Einführung und den Betrieb von Kubernetes, was neue Herausforderungen in Bereichen wie Netzwerk-, Sicherheits- und Compliance-Anforderungen mit sich bringt, insbesondere im Umfeld von geschäftskritischen Services in einer Zero Trust Umgebung.
Isovalent Cilium Enterprise adressiert die komplexen Abläufe im Zusammenhang mit IT-Security, Forensik, Compliance, rollenbasierter Zugriffskontrolle sowie der Integration von Legacy-Infrastrukturen. So werden Plattformteams unterstützt, die mit Anwendungs- und Sicherheitsteams innerhalb einer Unternehmensorganisation zusammenarbeiten.
“Mit Adfinis erweitern wir unsere Partnerlandschaft in DACH, BENELUX und APAC und freuen uns darauf, gemeinsam qualitativ hochwertige technische Projekte und 24/7-Services zu liefern, um die Geschäftskontinuität in geschäftskritischen Umgebungen zu gewährleisten.”
– Philipp Meier, Global Head of Partner Ecosystem, Isovalent
Adfinis verfolgt seit vielen Jahren die Mission, ganzheitliche Cloud Native Lösungen für ihre Kunden anzubieten und begrüsst Cilium Enterprise als wichtige Ergänzung des Cloud Native und Security Journey Portfolios.
“Wir halten immer die Augen offen nach Lösungen, die in unser Portfolio passen. Cilium Enterprise entspricht perfekt unseren Anforderungen, um die fehlenden Netzwerk- und Sicherheitsfunktionen sowie die Auditierbarkeit für unsere Kubernetes-Kunden bereitzustellen. Die Lösung in Verbindung mit den richtigen Personen und der richtigen Denkweise passt hervorragend in unser Portfolio.”
– Gil Oliveira, CCO Adfinis
Wie alle unsere Partner wird auch Isovalent und ihre Lösung Cilium Enterprise in die Adfinis Journeys integriert, die nicht nur das Subscription-Geschäft, sondern auch professionelle Dienstleistungen und Expertise rund um Planung, Aufbau und Betrieb der Lösung umfassen.
In order to optimize our website for you and to continuously improve it, we use cookies. By continuing to use the website, you consent to the use of cookies. For more information on cookies, please refer to our Privacy Policy.AcceptRejectPrivacy Policy
Check out the official Vault on Kubernetes Deployment Guide, especially the contained “Production Deployment Checklist” before starting any (productive) deployments.
