The advent of multi-cloud environments with a variety of “Kubernetes as a service” offerings has spurred the deployment of applications in the cloud. In the cloud operating model, HashiCorp Vault provides security teams a baseline for identity based secrets management and encryption procedures. Due to the confidential nature of the secret data, Vault is commonly deployed on isolated infrastructure, ideally on bare metal, for the purpose of isolating the credentials as good as possible.
However, we observe that day2 operations of the Vault platform itself can be accomplished faster and more reliably on Kubernetes (e.g., routine maintenance tasks or frequent upgrades). In that sense, Vault as an application itself can also benefit from the recent advances in cloud native deployment and maintenance patterns. Moreover, HashiCorp supports these latest deployment practices on Kubernetes clusters with some considerations pertinent to most Kubernetes offerings.
This article with the accompanying example code demonstrates how HashiCorp Vault Enterprise can be deployed on a dedicate Exoscale Scalable Kubernetes Service (SKS) cluster. The deployment in Swiss datacenters can be recommended for a secrets management solution which focuses on the implementation of high cloud security standards without compromising the advantages of the recent advances in cloud native deployment methodologies.
Check out the official Vault on Kubernetes Deployment Guide, especially the contained “Production Deployment Checklist” before starting any (productive) deployments.
Kubernetes Cluster Deployment with Terraform Module
The Exoscale SKS Terraform module of Camptocamp already provides us with an excellent basis for bootstrapping a small Kubernetes cluster. Head over to the excellent Exoscale blog post to find out more about the invocation of the module.
For demonstration purposes we decided to improve that module invocation with following best-practices:
Use a GitLab pipeline which allows to run the Terraform module in a secure environment and perfectly integrates the Terraform plan and output in GitLab merge requests
As an input, the pipeline expects the Exoscale API credentials (CI/CD variables). The module relies on the exo CLI utility to retrieve the Kubeconfig. The example pipeline ensures the availability of the binary in each job. The binary is downloaded in the first job. Subsequent jobs copy the binary from the cache.
Finally, the pipeline outputs the sensitive Kubeconfig and a Terraform report artifact. The GitLab widget interprets this artifact by presenting the number of added/changed or new Terraform resource in the merge request UI.
Make sure you understand how to restrict privileges on the Terraform state backend, the CI/CD pipeline input variables and the sensitive Kubeconfig output artifacts:
Note that you should plan with several SKS environments or test stages for production environments.
Deploy Argo CD on Kubernetes
Argo CD allows us to define the state of resource in a Kubernetes cluster in a declarative and version-controlled manner. The state of each resources is described through Helm charts and YAML manifests that can be enriched with specific traits when instantiating a specific Application. The state of the resource in the cluster is continuously compared against the desired state in Git to detect any configuration drift.
The Argo CD AppProject defines the Application scope:
Type of Kubernetes resources that can be created
Kubernetes cluster and target namespace
Allowed repository sources
Leveraging the App of Apps Pattern
Even though an Argo CD instance can continously compare and sync the current cluster state with the state defined in Git, the initial AppProject and Application need to be created manually (Argo CD bootstrapping).
After these initial configuration steps, the first Application is used as an abstract container to keep all configuration objects in sync. This is called the “App of Apps Pattern”, where the first Argo CD app consists only of other apps.
When deploying Argo CD as an “unmanaged” service on a Kubernetes cluster, one Argo CD Application can also be reserved to recursively manage the state of the Argo CD deployment itself (cyclic dependency).
The App of Apps approach is especially useful to categorise and structure applications in a way such that they “work well together”. At Adfinis we maintain an opinionated version of this categorisation in Applications with “umbrella charts”, where each Application chart may have multiple subcharts, which represent the actual target Application.
This has shown to be a very useful pattern to focus the maintenance efforts in a central location. As maintainers of several applications in multiple clusters, it allows us to document and control the lifecycle and target revisions of downstream consumers (i.e., Argo CD instances on customers premises).
HashiCorp Vault Enterprise on SKS
With the above concepts in mind, we can deploy HashiCorp Vault Enterprise on SKS using the security-apps App provided by Adfinis.
There are a few common pitfalls in a Vault Enterprise deployment:
Enterprise Vault clusters require a highly available storage backend such as Consul or Raft. For instance, the Vault Enterprise Docker image fails to boot with the file storage backend. We typically recommend Raft integrated storage for any project, because that is already integrated with HashiCorp Vault and provides the ability to easily create automated snapshot schedules without third-party agents.
With the Raft backend, the API address of Vault needs to match the contents of the TLS certificate (and vice-versa). From our experience, a wrongly configured certificate or API address often leads to TLS certificate verification issues when new nodes join the cluster, while working with advanced features like plugins or during the DR replication setup.
Once installed and configured properly, HashiCorp Vault Enterprise opens many more possibilities to strengthen and secure modern cloud infrastructures. In case of any questions, please let us know. The Adfinis team is happy to support your business on the journey to establish and maintain modern secrets management practices.
Limitations of the Example Code
The example code is provided without any guarantee or warranty and should not be applied in productive environments. Specifically, this demo has the following limitations (there might be more):
No auto-unsealing
No persistent data storage and no audit logs
No Ingress, Vault API is not exposed outside of this Kubernetes cluster
If you decide start on your own journey with HashiCorp Vault Enterprise or the secrets management topic in general, we are interested to hear about your specific requirements and are eager to find out how we can help you to improve your security posture.
Ab dem 01. Oktober 2022 tritt Michael Hofer seine neue Position als CTO bei Adfinis an und verstärkt das Management-Team mit seiner langjährigen technischen Erfahrung und Open Source Expertise.
Adfinis, ein führendes Schweizer IT-Unternehmen für Open Source Lösungen, ernennt Michael Hofer zum Chief Technology Officer (CTO) ab 01. Oktober 2022. Mit diesem Wechsel baut Adfinis das Management-Team weiter aus und ermöglicht es dem CEO und bisherigen CTO Nicolas Christener, sich auf andere strategische Bereiche zu konzentrieren und gemeinsam mit dem neu ernannten CGO Michael Moser internationale Wachstumsthemen anzugehen. Als Unternehmen setzt sich Adfinis für nachhaltige Lösungen ohne Vendor Lock-in ein, um die digitale Souveränität zu fördern.
Michael Hofer, ehemaliger Head of Engineering, wird sich auf die Erweiterung und Verbesserung des Adfinis Open Source Portfolios auf Management- sowie internationaler Ebene konzentrieren. Dazu gehört ebenfalls die Unterstützung von Organisationen rund um den Globus, um Brücken zwischen Partnern, technischen Teams und der Open Source Community zu bauen mit dem Ziel, das Open- und Inner Source Mindset zu fördern.
“Ich bin begeistert und fühle mich geehrt, die Möglichkeit zu erhalten, unsere Kunden, Partner und Teams dabei zu unterstützen, Open Source Technologien voranzutreiben und ihr Inner Source Mindset zu fördern! Es ist ein aufregender Moment, eine solche Position in einer schnell und international wachsenden Organisation zu übernehmen. Ich freue mich darauf, diese Chance gemeinsam mit unseren exzellenten Engineering-Teams zu ergreifen, die den Schlüssel zur Bereitstellung qualitativ hochwertiger Dienstleistungen darstellen und mein vollstes Vertrauen haben!”
– Michael Hofer, CTO Adfinis
Im August 2014 begann Michael Hofer bei Adfinis als Linux System Engineer und wurde zu einer Schlüsselperson in vielen Projekten für unsere globalen Kunden und Partner. Zuletzt konzentrierte er sich als Head of Engineering darauf, Open Source Technologien für strategische Kunden zu etablieren und gleichzeitig das interne technische Wachstum und die Standardisierung sicherzustellen. Michael Hofer trieb viele erfolgreiche Initiativen voran, die zu neuen Produkt- und Serviceangeboten führten. Als öffentliches Gesicht vertrat Michael Hofer Adfinis auch auf Konferenzen und an Roundtables und baute ein grosses Netzwerk im Open Source Ökosystem auf.
“Mit der internen Übergabe einer wichtigen Funktion in unserem Management-Team setzen wir auf Kontinuität und ermöglichen es uns als Unternehmen, die nächsten Wachstumsschritte in Angriff zu nehmen. Ich freue mich sehr, die Zügel an Michael zu übergeben und mich weiterhin auf seine hervorragenden technischen Fähigkeiten verlassen zu können, um den Bedürfnissen des Marktes und unserer Kunden gerecht zu werden.”
– Nicolas Christener, CEO Adfinis
Adfinis freut sich, Michael Hofer als neuen CTO gewinnen zu können. Mit der Erweiterung des Management-Teams besteht das C-Level von Adfinis nun aus den folgenden Mitgliedern: Nicolas Christener (CEO und ehemaliger CTO), Michael Moser (CGO), Thomas Köchli (COO), Gil Oliveira (CCO) und Michael Hofer (CTO).
Gil Oliveira (CCO Adfinis) und Thomas Graf (CTO & Co-Founder Isovalent)
Ab September 2022 erweitert Adfinis ihr Cloud Native Portfolio mit Isovalent, um eine Vielzahl von Herausforderungen zu lösen, welche beim Betrieb von geschäftskritischen Kubernetes Plattformen auftreten.
Durch Isovalent erweitert Adfinis ihr Partnerportfolio im Bereich der eBPF-basierten Cloud Native Networking-Lösungen. Mit Isovalent Cilium Enterprise erhalten Kunden eine der besten CNI-Lösung, welche Sicherheit, Auditierbarkeit, Skalierbarkeit und eine hervorragende Performance bietet.
Unternehmen adaptieren Cloud Native Methoden und Technologien, um Dev-Teams bei der agilen Entwicklung und Integration von Anwendungen zu unterstützen und so die Time-to-Market zu verkürzen. Der Wechsel in den Cloud Native Bereich bedeutet oft auch die Einführung und den Betrieb von Kubernetes, was neue Herausforderungen in Bereichen wie Netzwerk-, Sicherheits- und Compliance-Anforderungen mit sich bringt, insbesondere im Umfeld von geschäftskritischen Services in einer Zero Trust Umgebung.
Isovalent Cilium Enterprise adressiert die komplexen Abläufe im Zusammenhang mit IT-Security, Forensik, Compliance, rollenbasierter Zugriffskontrolle sowie der Integration von Legacy-Infrastrukturen. So werden Plattformteams unterstützt, die mit Anwendungs- und Sicherheitsteams innerhalb einer Unternehmensorganisation zusammenarbeiten.
“Mit Adfinis erweitern wir unsere Partnerlandschaft in DACH, BENELUX und APAC und freuen uns darauf, gemeinsam qualitativ hochwertige technische Projekte und 24/7-Services zu liefern, um die Geschäftskontinuität in geschäftskritischen Umgebungen zu gewährleisten.”
– Philipp Meier, Global Head of Partner Ecosystem, Isovalent
Adfinis verfolgt seit vielen Jahren die Mission, ganzheitliche Cloud Native Lösungen für ihre Kunden anzubieten und begrüsst Cilium Enterprise als wichtige Ergänzung des Cloud Native und Security Journey Portfolios.
“Wir halten immer die Augen offen nach Lösungen, die in unser Portfolio passen. Cilium Enterprise entspricht perfekt unseren Anforderungen, um die fehlenden Netzwerk- und Sicherheitsfunktionen sowie die Auditierbarkeit für unsere Kubernetes-Kunden bereitzustellen. Die Lösung in Verbindung mit den richtigen Personen und der richtigen Denkweise passt hervorragend in unser Portfolio.”
– Gil Oliveira, CCO Adfinis
Wie alle unsere Partner wird auch Isovalent und ihre Lösung Cilium Enterprise in die Adfinis Journeys integriert, die nicht nur das Subscription-Geschäft, sondern auch professionelle Dienstleistungen und Expertise rund um Planung, Aufbau und Betrieb der Lösung umfassen.
Michael Moser übernimmt ab dem 1. Juli 2022 die neue Position als CGO. Gil Oliveira wird seine Nachfolger als CCO antreten.
Die Firma Adfinis, eine führende Schweizer IT-Dienstleisterin für Open Source Lösungen, hat per 1. Juli 2022
Michael Moser zum Chief Strategy & Growth Officer (CGO) und Gil Oliveira zum neuen Chief Commercial Officer (CCO) ernannt. Die Adfinis treibt ihr internationales Wachstum erfolgreich voran, welches zu einer neuen Strukturierung der Führungspositionen leitete. Als Unternehmen ist Adfinis fest entschlossen, nachhaltige Lösungen ohne Vendor Lock-in und mit digitaler Souveränität anzubieten.
Neues C-Level mit internationalem Fokus
Michael Moser, Gründer von Adfinis und Verwaltungsratspräsident, wird in seiner Rolle als CGO das internationale Wachstum vorantreiben. Er wird eng mit bestehenden und neuen Niederlassungen zusammenarbeiten und eine nachhaltige Unternehmensentwicklung, unter Berücksichtigung der lokalen Marktbedürfnisse, sicherstellen.
Adfinis schätzt ihre starken Partnerschaften mit Anbietern von Open Source Software, wie HashiCorp, Red Hat, SUSE und GitLab. Michael Moser wird diese Partnerschaften mit einem internationalen Fokus ausbauen und gezielt entwickeln. Darüber hinaus werden sein Know-how sowie sein Branchenverständnis dazu beitragen, das Portfolio von Adfinis durch die Implementierung neuer Produkte zu erweitern und das Wachstum mit skalierbaren Lösungen zu beschleunigen. Er wird auch weiterhin das Sales-Team bei der Betreuung von strategischen Kunden mit seiner umfangreichen Erfahrung unterstützen. Adfinis freut sich sehr, dass Michael Moser diese neuen Aufgaben übernimmt und die hervorragenden sowie langjährigen Partnerschaften weiter stärkt.
Gil Oliveira übernimmt die Rolle als CCO
Als langjähriges Mitglied des Sales-Teams und mit seiner umfassenden Erfahrung mit Kunden sowie dem Partner-Ökosystem von Adfinis wird Gil Oliveira die Rolle des CCO übernehmen.
Seit 2006 hielt Gil Oliveira verschiedene Positionen bei Adfinis inne – vom System Engineer über Support-Manager bis hin zur Pre-Sales-Rolle. Zuletzt war er als Leiter des Sales-Operations-Teams tätig. Die Übernahme der neuen Verantwortung ist ein konsequenter Schritt und unterstreicht seine hervorragende Erfolgsbilanz im Adfinis Sales-Team. In seiner Rolle als CCO wird er sich für die Führung des Schweizer Sales-Teams, die Überwachung der Verkaufsziele sowie die Umsetzung von Vertriebsstrategien verantwortlich zeichnen.
Als ownCloud Channel Partner und Service Provider bietet Adfinis gemeinsam mit ownCloud vollumfängliche Dienstleistungen für Kunden, welche eine sichere Lösung zur Verwaltung und Bearbeitung ihrer Daten suchen. Dank jahrelanger Erfahrung im Open Source Bereich ist Adfinis der ideale Ansprechpartner auf jeder Stufe der Collaboration Journey, von Beratung und Planung (Plan), über technische Integration (Build), zu Betrieb und Support (Run).
ownCloud ist eine Open-Source-Software zur Synchronisierung und gemeinsamen Nutzung von Dateien und Inhalten, die Teamarbeit überall und auf jedem Gerät unkompliziert möglich macht. ownCloud kann auf einem Server vor Ort oder in jedem vertrauenswürdigen Rechenzentrum eines Drittanbieters, sowie der Cloud betrieben werden. Zudem kann ownCloud via ownCloud.online als Software-as-a-Service-Lösung bezogen werden.
Mit ownCloud haben Kunden jederzeit die volle Kontrolle über Speicherort und Zugriffsrechte ihrer Daten. Damit bietet ownCloud maximale Sicherheit für sensible Daten, Compliance Einhaltung und Nachvollziehbarkeit. Dazu sorgen die Open Source Spezialisten von Adfinis für die unkomplizierte Migration von bestehenden Daten in die eigene Cloud, integrieren ownCloud nahtlos in bestehende IT-Infrastrukturen und ermöglichen die bedürfnisgerechte sowie sorgenfreie Nutzung von ownCloud. Dabei kann Adfinis auf Erfahrungen aus ownCloud Kundenprojekten und über 20 Jahre Erfahrung im Bereich Open Source zurückgreifen.
ownCloud bietet unter anderem die folgenden Features:
Verbesserung der Zusammenarbeit: Steigerung der Produktivität durch einfache, flexible und sichere gemeinschaftliche Nutzung von Dateien und Ordnern, sowie Einsparung von Speicherkapazität und Bandbreite.
Standortunabhängige Produktivität: Finden, bearbeiten und teilen von Dokumenten auf Mobilgeräten, ob im Büro, zu Hause oder unterwegs. Nahtlos und in Echtzeit gerät- und plattformunabhängig zusammenarbeiten.
Teilen von Dateien mit externen Kontakten: Benutzern eine einfache, sichere und vertrauenswürdige Möglichkeit bieten, sensible Informationen mit Externen auszutauschen.
Sicherheit geht vor: Berechtigten Nutzern Dateien und Ordner zur Verfügung stellen und diese vor unberechtigtem Zugriff schützen.
Datenschutzkonformität gewährleisten: Modernste Zusammenarbeit per Fernzugriff, die selbst die strengsten Vorschriften erfüllt.
File Lifecycle: Archivieren und Löschen von Dateien, deren Fälligkeitsdatum überschritten ist, um den Datenschutz zu gewährleisten.
Adfinis hat die Entwicklung von ownCloud immer mit grossem Interesse verfolgt. Dabei ist die kürzlich angekündigte neue ownCloud Infinite Scale in den Fokus gerückt. ownCloud Infinite Scale ist komplett neu in Go programmiert und mit moderner Microservice-Architektur ausgestattet, wodurch die neue ownCloud schnell und skalierbar wird. Bei internen Tests zeigte sich Adfinis begeistert von der Geschwindigkeit und geringen Latenz der neuen ownCloud Infinite Scale.
ownCloud entwickelt und integriert Open-Source-Software für die digitale Zusammenarbeit, mit der Teams von überall und von jedem Gerät aus problemlos gemeinsam auf Dateien zugreifen und sie bearbeiten können. Bereits mehr als 100 Millionen Menschen weltweit nutzen ownCloud als Alternative zu öffentlichen Clouds – und entscheiden sich damit für mehr digitale Souveränität, Sicherheit und Datenschutz. Weitere Informationen befinden sich unter https://owncloud.com/ und auf Twitter unter @ownCloud.
In order to optimize our website for you and to continuously improve it, we use cookies. By continuing to use the website, you consent to the use of cookies. For more information on cookies, please refer to our Privacy Policy.AcceptRejectPrivacy Policy
Check out the official Vault on Kubernetes Deployment Guide, especially the contained “Production Deployment Checklist” before starting any (productive) deployments.
Make sure you understand how to restrict privileges on the Terraform state backend, the CI/CD pipeline input variables and the sensitive Kubeconfig output artifacts:
