Cloud-Migration und k3s-Plattform für FinTech-Verarbeitung
Konzeption und Aufbau einer hochverfügbaren k3s-Plattform auf Hetzner Cloud als Ablösung der bestehenden Hosting-Infrastruktur bei einem klassischen Hoster. Der Cluster umfasst drei ARM-Control-Plane-Nodes über drei Rechenzentren (Falkenstein, Nürnberg, Helsinki) und spezialisierte Agent-Nodepools für CI/CD, allgemeine Workloads und CPU-intensive Verarbeitung.
Die gesamte Infrastruktur ist über Terraform provisioniert — vom Cluster-Setup über Nodepools bis zu Cloudflare-WAF-Regeln. Packer erzeugt OpenSUSE-MicroOS-Snapshots als immutable Basis-Images. Wireguard verschlüsselt die Inter-Node-Kommunikation.
Zentrales Sicherheitskonzept: Zero-Trust über Cloudflare Tunnels. Kein öffentlicher SSH-Zugang, keine öffentliche Kube-API, keine öffentlichen IPs. Alle Dienste sind ausschließlich über Cloudflare erreichbar. WAF-Regeln mit dynamischen Hetzner-IP-Allowlists (via HCloud API) und ASN-basierter Zugangskontrolle schützen interne Routen.
Die CI/CD-Pipeline wurde vollständig auf Jenkins-on-Kubernetes umgebaut: dynamische Build-Pods mit Buildah, parallele Frontend/Backend-Builds und automatische Feature-Branch-Namespace-Provisionierung. MongoDB läuft als Replica Set mit automatischem wal-g-Backup auf Hetzner S3 Object Storage. Die Migration der bestehenden Build-Pipelines erforderte die Entfernung sämtlicher Proxy-Konfigurationen und SSH-Abhängigkeiten des vorherigen Hosters.
Technologien
- Terraform, Hetzner Cloud, Packer (OpenSUSE MicroOS) |
- k3s, Helm, Kustomize, Kured, system-upgrade-controller |
- Cloudflare Tunnels, Cloudflare WAF (Terraform) |
- Traefik, cert-manager, Let's Encrypt |
- Jenkins (Kubernetes Plugin), Buildah |
- AWS ECR, AWS Route53 |
- Hetzner S3 Object Storage, wal-g |
- MongoDB Community Operator, Replica Set |
- Wireguard