Kommerzielle Kubernetes-Anbieter für die Verwaltungscloudfeedback
Warum kommerzielle K8s-Distributionen?feedback
Kubernetes ist das De-facto-Betriebssystem der modernen Cloud-Infrastruktur. Allerdings erfordert der Einsatz in hochregulierten Umgebungen wie der öffentlichen Verwaltung deutlich mehr als ein Vanilla-Kubernetes. Für den produktiven Betrieb benötigen Behörden:
- Enterprise-Support mit garantierten SLAs und Incident Response
- Gehärtete Images mit minimaler Angriffsfläche (CIS-Benchmarks, STIG-Profile)
- Zertifizierte SBOM-Lieferketten (Software Bill of Materials) für volle Transparenz
- Compliance-Nachweise (BSI C5, ISO 27001, Common Criteria)
- Long-Term-Support (LTS) mit Sicherheits-Backports
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert im Rahmen des BSI IT-Grundschutz-Kompendiums und der Technischen Richtlinie TR-03183 (Cyber Resilience Requirements) explizit:
- TR-03183-2: Software-Hersteller müssen eine maschinenlesbare SBOM (CycloneDX oder SPDX) bereitstellen, die alle Abhängigkeiten lückenlos dokumentiert.
- BSI-C5-Katalog (2023): Abschnitt DEV-05 bis DEV-08 verlangen die Integrität der Software-Lieferkette, inkl. Signierung von Artefakten und Prüfung auf bekannte Schwachstellen (CVE).
- IT-Grundschutz SYS.1.6 (Containerisierung): Fordert den Einsatz gehärteter Basis-Images, regelmäßige Schwachstellenscans und eine lückenlose Nachvollziehbarkeit der Image-Herkunft.
- EU Cyber Resilience Act (CRA, 2024): Ab 2027 verpflichtend; fordert SBOM-Bereitstellung für alle in der EU vertriebenen Software-Produkte.
Diese Anforderungen machen den Einsatz kommerzieller Kubernetes-Distributionen mit professioneller Supply-Chain-Security für die öffentliche Verwaltung faktisch unverzichtbar.
compare Anbietervergleichfeedback
Übersichtfeedback
Die Übersicht liefert die wichtigsten Anbieterprofile auf einen Blick. Sie dient als Einstieg in den tieferen Vergleich.
SUSE Rancher Prime
Herkunft: SUSE (Deutschland/Luxemburg, seit 1992)
Stack:
- Rancher Prime: Enterprise K8s-Management, Multi-Cluster, Fleet GitOps
- Harvester: HCI auf KubeVirt-Basis (Open Source, Apache 2.0)
- NeuVector: Full-Lifecycle Container Security (CNCF-donated)
- SLE BCI: SUSE Linux Enterprise Base Container Images (gehärtet, SBOM)
Stärken:
- ✅ Vollständig Open Source (Apache 2.0)
- ✅ SBOM für alle Images (SPDX + CycloneDX)
- ✅ FIPS 140-2/140-3 validiert
- ✅ CIS-gehärtete Images, STIG-Profile
- ✅ EU-Jurisdiktion (SUSE SE, Luxemburg)
- ✅ evroc-Partnerschaft für EU-Sovereign-Cloud
Referenz ÖV: KRZN (Kommunales RZ Niederrhein, NRW), versorgt 800+ öffentliche Einrichtungen
Red Hat OpenShift
Herkunft: Red Hat / IBM (USA, seit 1993)
Stack:
- OpenShift Container Platform (OCP): Enterprise K8s mit integrierter CI/CD
- OpenShift Virtualization: KubeVirt-basierte VM-Verwaltung
- Advanced Cluster Security (ACS): StackRox-basiert, Runtime-Protection
- Red Hat UBI: Universal Base Images (gehärtet, SBOM)
Stärken:
- ✅ Marktführer im Enterprise-K8s-Segment
- ✅ SBOM für alle UBI-Images (CycloneDX)
- ✅ FIPS 140-2 validiert, Common Criteria EAL2+
- ✅ CIS-Benchmarks, DISA STIG, FedRAMP High
- ✅ Umfangreicher Operator-Katalog (OperatorHub)
- ✅ Starkes Partner-Ökosystem in der ÖV
Referenz ÖV: ITZBund (Informationstechnikzentrum Bund), Bundeswehr ITZBw
Canonical Kubernetes (Charmed K8s)
Herkunft: Canonical (UK/Isle of Man, seit 2004)
Stack:
- Charmed Kubernetes / MicroK8s: Modular, Juju-orchestriert
- Ubuntu Pro: Expanded Security Maintenance (ESM), 12 Jahre LTS
- Landscape: Systems Management
- Ubuntu-basierte OCI-Images: Rockcraft-basiert, minimale Angriffsfläche
Stärken:
- ✅ 12 Jahre LTS mit Sicherheits-Backports
- ✅ SBOM-Bereitstellung über Ubuntu Pro
- ✅ FIPS 140-2 validiert (Ubuntu Pro FIPS)
- ✅ CIS-Benchmarks, DISA STIG
- ✅ Niedrigste TCO durch kostenlose Community-Tier
- ✅ Starke IoT/Edge-Unterstützung (MicroK8s)
Referenz ÖV: Diverse europäische Verwaltungen, ESA, CERN
Detailvergleichfeedback
Der Detailvergleich stellt Kriterien nebeneinander und macht Unterschiede transparent. Er ist als Entscheidungsgrundlage für Architekturteams gedacht.
| Kriterium | SUSE Rancher Prime | Red Hat OpenShift | Canonical Charmed K8s |
|---|---|---|---|
| Lizenzmodell | Open Source (Apache 2.0) | Open Core (OKD vs. OCP) | Open Core (Community vs. Pro) |
| K8s-Upstream-Nähe | ★★★★★ Vanilla CNCF K8s | ★★★☆☆ Stark angepasst (OCP) | ★★★★☆ Nah am Upstream |
| Multi-Cluster-Mgmt | Rancher + Fleet (GitOps) | ACM (Advanced Cluster Mgmt) | Juju + MAAS |
| Gehärtete Images | ✅ SLE BCI, CIS, STIG | ✅ UBI, CIS, STIG, FedRAMP | ✅ Ubuntu Pro, CIS, STIG |
| SBOM-Bereitstellung | ✅ SPDX + CycloneDX | ✅ CycloneDX | ✅ SPDX (Ubuntu Pro) |
| FIPS 140-2/3 | ✅ Validiert | ✅ Validiert | ✅ Validiert (Ubuntu Pro FIPS) |
| BSI C5-Eignung | ✅ Attestierbar | ✅ Attestierbar | ✅ Attestierbar |
| Container Security | NeuVector (Runtime) | ACS/StackRox (Runtime) | Landscape + AppArmor |
| Virtualisierung (KubeVirt) | ✅ Harvester (eigenes HCI) | ✅ OpenShift Virtualization | ◐ Via Addon |
| Service Mesh | Istio (via Rancher) | OpenShift Service Mesh (Istio) | Istio (via Charmed Operator) |
| GitOps / IaC | Fleet (nativ integriert) | OpenShift GitOps (ArgoCD) | Juju + Terraform |
| Secrets Management | External Secrets Operator | HashiCorp Vault (integriert) | HashiCorp Vault (via Juju) |
| Registry | Harbor (empfohlen) | Quay.io (integriert) | Docker Registry / Harbor |
| EU-Jurisdiktion | ✅ SUSE SE (Luxemburg) | ⚠️ IBM (USA), EUCS prüfen | ⚠️ Canonical (UK/IoM) |
| ÖV-Referenzen (DE) | KRZN NRW | ITZBund, Bundeswehr | Diverse EU-Verwaltungen |
| Support-SLA | 24/7, bis zu 1h Response | 24/7, bis zu 1h Response | 24/7 (Ubuntu Pro) |
| LTS-Dauer | 5+ Jahre | 4 Jahre (EUS bis 18 Mo.) | Bis zu 12 Jahre (ESM) |
| Kosten (Indikation) | €€ (pro Node/Cluster) | €€€ (pro Core, Premium) | € – €€ (pro Node, Pro) |
Souveränitäts-Scorecard (SCS-Kriterien)feedback
Die folgende Scorecard priorisiert Souveränität und Supply-Chain-Sicherheit über TCO oder Marktposition. Grundlage sind SCS- und BSI-orientierte Anforderungen (SBOM, gehartete Images, Attestation, Jurisdiktion).
| Kriterium | SUSE Rancher Prime | Red Hat OpenShift | Canonical Charmed K8s |
|---|---|---|---|
| EU-Jurisdiktion / Datenhoheit | Hoch (EU) | Mittel (US-Mutterkonzern) | Mittel (UK/IoM) |
| SCS-Kompatibilität / Open Standards | Hoch | Mittel | Mittel |
| SBOM + Supply-Chain-Attestation | Hoch (SPDX/CycloneDX, SLSA 3) | Hoch (CycloneDX, SLSA 3) | Mittel (SPDX, SLSA 2) |
| Gehartete Basis-Images | Hoch (SLE BCI, CIS L2) | Hoch (UBI, CIS L2) | Mittel (Ubuntu Minimal, CIS L1) |
| Air-Gap-Fähigkeit | Hoch | Hoch | Mittel |
| Exit / Portabilität | Hoch (Open Source) | Mittel (Open Core) | Mittel (Open Core) |
Bewertungsmatrix: Eignung für die Verwaltungscloudfeedback
Die Bewertungsmatrix verdichtet den Vergleich in einer klaren Punktesicht. Sie soll Diskussionen strukturieren, nicht ersetzen.
Die folgende Bewertung vergleicht die drei betrachteten Angebote direkt miteinander:
Bewertet werden sechs Kriterien auf einer Skala von 0–10. 🟢 = 8–10 · 🟡 = 6–7 · 🔴 = ≤ 5
| Anbieter | SupplyChain | Compliance | MultiCluster | Souverän. | Community | TCO | Ø |
|---|---|---|---|---|---|---|---|
| SUSE Rancher Prime | 🟢 9 | 🟢 8 | 🟢 9 | 🟢 10 | 🟢 10 | 🟢 8 | 9,0 |
| Red Hat OpenShift | 🟢 9 | 🟢 9 | 🟢 8 | 🔴 5 | 🟡 6 | 🔴 5 | 7,0 |
| Canonical Charmed K8s | 🟡 7 | 🟡 7 | 🟡 6 | 🟡 6 | 🟢 8 | 🟢 9 | 7,2 |
link Supply-Chain-Security im Detailfeedback
Warum SBOM für die öffentliche Verwaltung unverzichtbar istfeedback
Eine Software Bill of Materials (SBOM) dokumentiert nachvollziehbar, aus welchen Komponenten ein Container-Image oder Softwarepaket besteht. Für die öffentliche Verwaltung ist das kein optionaler Komfort, sondern eine zentrale Voraussetzung für Sicherheitsnachweis, Beschaffungsfähigkeit und Revisionssicherheit.
SBOMs sind insbesondere aus fünf Gründen unverzichtbar:
- Nachvollziehbarkeit der Lieferkette: Behörden müssen im Störungs- oder Prüfungsfall schnell erkennen können, welche Bibliotheken, Basis-Images und Drittkomponenten produktiv eingesetzt werden.
- Schnelle Reaktion auf CVEs: Wenn neue Schwachstellen bekannt werden, lässt sich über die SBOM sofort feststellen, welche Systeme betroffen sind und mit welcher Priorität gehandelt werden muss.
- Compliance und Audit: Für BSI-C5, IT-Grundschutz, NIS2-nahe Anforderungen und interne Prüfpfade braucht es belastbare Nachweise darüber, was tatsächlich ausgeliefert wurde.
- Kontrolle über Open-Source- und Fremdanteile: SBOMs machen sichtbar, welche externen Pakete genutzt werden, unter welchen Lizenzen sie stehen und ob unerwünschte oder veraltete Komponenten eingebracht wurden.
- Durchsetzbare Sicherheitsregeln im Betrieb: Admission Controller, Signaturprüfungen und Policy Engines können nur dann automatisiert entscheiden, wenn Artefakte mit verwertbaren Metadaten beschrieben sind.
Für den D-Stack bedeutet das praktisch: Jedes produktive Artefakt sollte mit SBOM, Signatur und Herkunftsnachweis in die Registry gelangen. Erst dadurch wird aus einer Container-Lieferkette ein belastbarer, prüfbarer und im Behördenkontext verantwortbarer Betriebsprozess.
Vergleich: Supply-Chain-Featuresfeedback
Die Tabelle zeigt, welche Anbieter welche Supply-Chain-Mechanismen liefern. Damit lassen sich Mindestanforderungen objektiv prüfen.
| Feature | SUSE | Red Hat | Canonical |
|---|---|---|---|
| SBOM-Format | SPDX + CycloneDX | CycloneDX | SPDX |
| Image-Signierung | cosign (Sigstore) | cosign (Sigstore) | In Arbeit |
| Attestation (SLSA) | SLSA Level 3 | SLSA Level 3 | SLSA Level 2 |
| Basis-Image-Härtung | SLE BCI (CIS Level 2) | UBI (CIS Level 2) | Ubuntu Minimal (CIS Lvl 1) |
| CVE-Response-SLA | Critical: 24h | Critical: 24h | Critical: 24h (Pro) |
| Vulnerability-Scanner | NeuVector + Trivy | ACS (StackRox) + Clair | Landscape + Trivy |
| Admission Policy | OPA/Gatekeeper, Kubewarden | OPA/Gatekeeper (nativ) | OPA/Gatekeeper |
| FIPS-Mode K8s | ✅ | ✅ | ✅ (Ubuntu Pro FIPS) |
| Air-Gap-Fähigkeit | ✅ (Hauler) | ✅ (Mirror Registry) | ✅ (Snap Mirror) |
recommend Empfehlung für den D-Stackfeedback
Auf Basis der Analyse empfehlen wir eine Zwei-Anbieter-Strategie, um Vendor-Lock-in zu vermeiden und maximale Souveränität zu gewährleisten:
Primär: SUSE Rancher Primefeedback
- Vollständig Open Source (Apache 2.0), kein Open-Core-Lock-in
- EU-Jurisdiktion (SUSE SE, Luxemburg)
- Harvester als souveräne HCI-Plattform (VMware-Ablösung)
- evroc-Partnerschaft für European Sovereign Cloud
- Praxisbewährt in der ÖV (KRZN NRW, 800+ Einrichtungen)
Sekundär: Red Hat OpenShiftfeedback
- Marktführer mit breitstem Ökosystem und ÖV-Referenzen (ITZBund, Bundeswehr)
- Stärkste Compliance-Zertifizierungen (FedRAMP High, Common Criteria)
- Zu beachten: US-Jurisdiktion (IBM), höhere Lizenzkosten, stärkerer Vendor-Lock-in durch OCP-spezifische APIs
Ergänzend evaluieren: Canonical Charmed Kubernetesfeedback
- Attraktiv für Edge-/IoT-Szenarien und budgetrestriktive Umgebungen
- Längste LTS-Unterstützung (12 Jahre)
- UK-Jurisdiktion beachten (post-Brexit Datenschutzadäquanz noch gültig, aber potenzielles Risiko)
Mapping auf die Hybride Migrationsstrategiefeedback
| Phase | Maßnahme |
|---|---|
| Kurzfristig (2025–2026) | SUSE Harvester + Rancher pilotieren; OpenShift-Bestandsumgebungen (ITZBund) pflegen; SBOM-Pipeline aufbauen |
| Mittelfristig (2026–2028) | Multi-Cluster-Management mit Rancher Fleet + OpenShift ACM standardisieren; NeuVector/ACS als Container-Security-Standard; gehärtete Basis-Images als Pflicht-Policy |
| Langfristig (2028+) | K8s-native IaaS auf Harvester/KubeVirt konsolidieren; OpenStack-Workloads migrieren; alle Images über zertifizierte SBOM-Pipeline |
storefront Marktübersicht: Multi-Tenancy & Virtualisierungs-Lösungenfeedback
Die folgende Übersicht fasst aktuelle Open-Source-Projekte für Multi-Tenancy sowie deren kommerzielle Adoption in Enterprise-Plattformen zusammen. Dies ist besonders relevant für die mandantenfähige Bereitstellung von Kubernetes-Clustern in der Verwaltungscloud.
Multi-Tenancy-Lösungen (Open Source / CNCF)feedback
| Lösung | Beschreibung | Besonderheit |
|---|---|---|
| Capsule (CNCF Sandbox) | Namespace-basierte Tenant-Isolation | Policy-Engine, NetworkPolicies, native K8s-Experience |
| Kamaji (Clastix) | Hosted Control Planes | Effizienter Betrieb von 1000+ Clustern pro Host, API-Server-Isolation |
| vCluster (Loft Labs) | Virtuelle K8s-Cluster in Namespaces | Leichtgewichtig, extrem schnelles Provisioning, vollständige Admin-Rechte im vCluster |
Kommerzielle Adoption & Plattformenfeedback
| Plattform | Technologie-Basis | Fokus & Anwendungsfall |
|---|---|---|
| Red Hat OpenShift Virtualization | KubeVirt-basiert | Enterprise-VM-Management, direkte VMware-Ablösung, integriert in OCP |
| SUSE Harvester | HCI auf KubeVirt, Rancher-Integration | Hyperconverged Infrastructure, "EU Sovereign Stack" mit evroc, einfache Bedienung |
| Spectro Cloud / Palette | Full-Stack K8s-Management | Bare Metal bis Edge, starkes Cluster-Profil-Management (CAPI) |
| Sylva (Linux Foundation / ETSI) | K8s + Metal³ + Cluster API | Telco-Cloud-Referenzarchitektur, europäischer Fokus, offene Standardisierung |