heise PlusAbo
Anzeige

KubeCon EU 2026: Kubernetes wird erwachsen – BSD, eBPF und mTLS

Kubernetes nach 12 Jahren: KubeCon zeigt BSD-Integration via Lima und urunc, Cilium vereinfacht mTLS mit eBPF und ztunnel. Souveränität bleibt ein Randthema.

vorlesen Druckansicht
Containerschiff im Sonnenuntergang auf See

(Bild: Aun Photographer / Shutterstock.com)

Lesezeit: 5 Min.
Developer
Von
  • Dr. Udo Seidel
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Vom 24. bis 26. März 2026 war Amsterdam zum zweiten Mal das Zentrum des (europäischen) Cloud-Native-Universums. Über 13.000 Teilnehmende hatten sich nach offizieller Verlautbarung der CNCF auf den Weg zur KubeCon EU in die niederländische Metropole gemacht, um die neuesten Infos von Kubernetes und Co. zu erfahren. Der erste Tag war – wenig überraschend – dem Thema KI gewidmet.

Im Frühjahr 2026 kann man keine Open-Source-Konferenz in Europa ausrichten, ohne das Thema (Daten-)Souveränität deutlich anzusprechen. In diesem Punkt hat die KubeCon EU jedoch Potenzial verspielt. Es gab im Vorfeld lediglich eine kleine Satelliten-Veranstaltung zu dem Thema. Zwar stellten europäische Kubernetes-Anwender wie der IT-Dienstleister der Bundeswehr BWI oder die französische Eisenbahngesellschaft SNCF ihre Cloud-Native-Reise auf der großen Hauptbühne vor, es bleibt aber der Eindruck einer eher stiefmütterlichen Behandlung des Themas zurück. Die Thesen: „Global zusammenarbeiten und lokal installieren“ und „You can always fork“ sind nur bedingt hilfreich.

CLC 2026: Konferenz fĂĽr DevEx und Platform Engineering

Die auf Developer Experience (DX) und Platform Engineering spezialisierte CLC-Konferenz findet vom 11. bis 12. November 2026 in Mannheim statt. Beim Call for Proposals werden bis zum 21. April Vorschläge für Workshops und Talks gesucht – vor allem Praxisberichte.

Weitere Informationen finden sich auf derCLC-Website.

Neue Laufzeiten und Plattformen: Lima, urunc und die BSD-Welt

Obwohl Kubernetes bereits 12 Jahre existiert und sich zu einem Standard gemausert hat, sind noch wichtige Arbeiten an fundamentalen Bauteilen notwendig. Technisch ist die Container-Orchestrierung zu weiten Teilen mit Linux verknĂĽpft. Das betrifft sowohl die darunterliegende Infrastruktur als auch die Applikationen in den Containern. Bei Letzteren gibt es gute Neuigkeiten fĂĽr die BSD-Freunde und auch fĂĽr macOS-Anwender: das Projekt Lima (Linux Machines). Dieses ist schon seit 2022 Teil der CNCF-Familie. Das ursprĂĽngliche Ziel war eine bessere UnterstĂĽtzung von Containern auf macOS-Rechnern. Inzwischen ist es unter anderem auch fĂĽr Linux verfĂĽgbar und fokussiert sich auf leichtgewichtige virtuelle Maschinen.

Im Vorfeld der KubeCon EU 2026 ist Version 2.1 des Projekts erschienen, die nun auch macOS und FreeBSD als Gäste unterstützt. Das Feature ist allerdings noch im experimentellen Stadium. Anwender können mit Lima leichtgewichtige virtuelle Maschinen nutzen – vergleichbar mit Containern. Letztere und auch Kubernetes-Pods lassen sich ebenfalls mit Lima verwalten. In der Dokumentation finden sich Beispiele für K3s, k0s und RKE2. Alternativ gibt es aber noch weitere Projekte wie KubeVirt, die ebenfalls virtuelle Maschinen und Container gleichwertig behandeln.

Videos by heise

Neuigkeiten wurden auch für OpenBSD verkündet. Das Projekt urunc liefert eine weitere Laufzeitumgebung für Container, die auf das Unikernel-Konzept zurückgreift. Daraus leitet sich auch der Name des Projekts ab. Das runc für Unikernels: urunc. Anstatt eines Prozesses in einem Container startet hier quasi ein kleiner Betriebssystemkern in abgeschotteter Umgebung. Das ist mit einer speziellen virtuellen Maschine vergleichbar und bereits von den Kata-Containern und Nabla bekannt. Das urunc-Projekt will einen speziellen Unikernel liefern, der mit BSD kompatibel ist. Dazu kommt ein minimalistisches Basissystem, um eine Anwendung ausführen zu können. Damit entfällt das Portieren von BSD-Anwendungen für Container. Sie müssen nicht mehr Linux-kompatibel sein. Es ist lediglich der Mehraufwand zum Verwalten der zusätzlichen Laufzeitumgebung urunc zu erbringen. Seit knapp einem Jahr ist das Projekt Teil der CNCF-Familie.

mTLS ohne Sidecars: Cilium integriert ztunnel

Ein wichtiges Thema im Netzwerkbereich der Container ist noch immer mTLS (mutual Transport Layer Security). Das Schlüsselwort dabei lautet CNI (Container Network Interface). Eine bekannte Größe hier ist Cilium. Das Projekt startete vor zehn Jahren und steht seit 2021 unter der Obhut der CNCF. Seit Version 1.19 beherrscht Cilium auch mTLS, und zwar ohne die Verwendung sogenannter Sidecars oder die Notwendigkeit zur Anpassung der Container-Anwendungen. Ein wesentlicher Baustein ist eBPF. Das Format erlaubt einerseits umfassende Einblicke in die Vorgänge in Containern und Pods, darüber hinaus lassen sich damit Sicherheitsrichtlinien implementieren und durchsetzen.

Der andere Baustein ist ztunnel, das man vom Service Mesh Istio kennt. Im sogenannten Ambient-Modus hat hier jeder Knoten einen kleinen Proxy, der sich um die TLS-Vorgänge kümmert. Diese in Rust geschriebene Komponente hat Cilium nun ebenfalls integriert. Damit ließen sich ein paar bekannte Probleme aus dem eBPF-Ansatz lösen. Die Authentisierung ist spezifisch für jede Sitzung und nicht nur per Knoten. Es gehen nun keine initialen Pakete beim Handschlag verloren. Außerdem steigt der Durchsatz insgesamt, da ztunnel größere Datenmengen zusammenfasst und verschlüsselt. Das Loslegen ist recht einfach und erfolgt in drei Schritten. Zunächst muss man das ztunnel-Feature in den Helm-Charts für Cilium einschalten. Danach gilt es den ztunnel auszurollen. Am Schluss muss man das Label io.cilium/mtls-enabled=true auf den entsprechenden Namensraum setzen. Alle Pods, die dann dort landen, verwenden automatisch mTLS.

ResĂĽmee und der Blick nach vorn

Nach drei Tagen KubeCon-Konferenz lässt sich festhalten, dass es zwar auch im 12. Jahr noch sehr viel Energie und Leidenschaft für Kubernetes und Co. gibt, allerdings auch noch recht grundlegende Probleme in verschiedenen Bereichen zu lösen sind – und das auch ganz ohne den KI-Hype.

Angesichts weiter wachsender Besucherzahlen muss die CNCF die Planung ihrer Hausmessen entsprechend langfristig vorbereiten: Die nächste KubeCon EU findet vom 15. bis 18. März 2027 in Barcelona statt. Auch der Termin für 2028 steht bereits fest: Berlin soll vom 24. bis 27. April zum Mittelpunkt des Cloud-Native-Universums werden.

Lesen Sie auch

(map)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten