Leistungen
Senior-Platform-Entwickler, die EKS, GKE, AKS und Bare-Metal-Cluster produktiv betreiben — kein Foliendeck. Wir entwerfen die Cluster-Topologie, bauen interne Developer-Plattformen, schreiben die GitOps-Pipeline, härten die Sicherheit nach CIS Benchmark, senken Cloud-Kosten um 30–45 % mit FinOps und stehen in den ersten drei Releases gemeinsam mit Ihrem Team on-call. Dedizierte Platform-Teams ab 12.000 EUR/Monat. Migrations- und Upgrade-Sprints ab 35.000 EUR Festpreis.
Kubernetes ist nicht das Produkt — der gepflasterte Weg, den Ihre Entwickler täglich beschreiten, ist es. Die meisten Teams kommen mit denselben drei Problemen: ein Cluster, der organisch gewachsen ist und dem niemand wirklich überblickt, eine Cloud-Rechnung, die sich verdoppelt hat, obwohl der Traffic nur um 30 % gewachsen ist, und ein Deploy-Prozess, der noch immer einen Senior-Entwickler am Keyboard erfordert. Wir lösen alle drei. Woche 1 ist ein Architektur- und FinOps-Audit mit schriftlichem ADR. Ab Woche 2 liefern wir: GitOps mit Argo CD, Karpenter oder Autopilot für Compute, Cilium für Netzwerk und Observability, Kyverno für Policy, External Secrets für Credentials und Backstage für Self-Service. Ihre Entwickler hören auf, YAML zu schreiben, und fangen an, Features auszuliefern.
EKS, GKE, AKS oder On-Premises (kubeadm, Talos, Rancher RKE2). Multi-AZ Control Plane, Node-Group-Strategie, Namespace-Tenancy-Modell, Multi-Cluster-Federation mit Cluster API bei entsprechendem Skalierungsbedarf. Schriftliche ADRs gegen Ihre SLOs.
Argo CD oder Flux mit App-of-Apps, Helm + Kustomize je Umgebung, signierte Images via Cosign und Sigstore, Renovate für Upstream-Updates, Progressive Delivery mit Argo Rollouts oder Flagger (Canary, Blue/Green, Traffic-Shifting).
Pod Security Standards restricted, Kyverno oder OPA Gatekeeper Admission, Cilium-Netzwerkrichtlinien default-deny, IRSA/Workload Identity, Falco Runtime Detection, External Secrets via Vault oder AWS/GCP Secret Manager, CIS Benchmark v1.9 Evidence Pack.
Kubecost oder OpenCost für Chargeback, Karpenter oder Autopilot für elastisches Compute, Spot/Preemptible-Adoption mit PDBs, VPA-gesteuertes Right-Sizing, HPA mit KEDA Custom Metrics. Typische Ersparnis im ersten Quartal: 30–45 % bei sechsstelligen Cluster-Rechnungen.
OpenTelemetry-Kollektoren, Prometheus + Thanos oder Grafana Mimir für Langzeit-Metriken, Loki oder Elastic für Logs, Tempo oder Jaeger für Traces, Grafana für Dashboards, Alertmanager gekoppelt an PagerDuty/Opsgenie/Slack. SLO-basierte Alerts, keine CPU-Spitzen.
Backstage Developer-Portal, Crossplane oder Terraform-Controller für Self-Service-Infrastruktur-Claims, Golden-Path-Templates je Workload-Typ, gepflasterte Dokumentation in Backstage TechDocs. Service-Onboarding sinkt von zwei Wochen auf einen PR.
Woche 1: Überprüfung der Cluster-Topologie, kube-bench- & kubescape-Scan, Kubecost-Installation, IaC-Inventarisierung, On-Call-Interviews. Wir liefern ein schriftliches ADR-Paket mit den Top-10-Risiken und den Top-10-Kosteneinsparungen nach Auswirkung gerankt.
Wochen 2–4: GitOps-Pipeline in Betrieb, Pod Security Standards restricted durchgesetzt, Kyverno-Policies gemergt, External Secrets von Klartext umgestellt, Karpenter oder Autopilot hinter einem Feature-Flag ausgerollt.
Wochen 5–12: IDP-Aufbau — Backstage-Portal, Golden-Path-Templates, Crossplane-Claims für die fünf meistgefragten Infrastruktur-Primitiven, OpenTelemetry-Pipeline, SLO-basierte Alerting. Co-gebaut mit Ihrem Platform-Team, nicht über den Zaun geworfen.
90-tägiges Post-Go-Live-Support-Fenster. Wöchentliches Platform-Review, On-Call-Rotation gemeinsam mit Ihrem Team, Runbooks in Backstage TechDocs, monatlicher FinOps-Bericht mit Einsparungen im Vergleich zur Baseline.
Zweiwöchiger Fixed-Scope-Audit. Cluster-Topologie, Sicherheits-Baseline, FinOps, GitOps-Reife, Observability-Lücken. Schriftliches ADR-Paket mit priorisierter Remediation-Roadmap. Ab 18.000 EUR Festpreis.
8–12-wöchiger Fixed-Scope-Sprint: Lift-and-Shift von VMs/ECS/App Service zu EKS/GKE/AKS oder v1.24-auf-v1.31-Upgrade über eine ganze Fleet. Schriftlicher SOW, meilensteinbasierte Rechnungsstellung, 90-tägiger Post-Cutover-Support. Ab 35.000 EUR Festpreis.
2 Senior-Platform-Entwickler + Tech Lead, eingebettet in Ihr Team, MEZ-Arbeitstag mit Überlappung zur US-Ostküste. Betreibt die Plattform, baut das IDP, steht on-call. Ab 12.000 EUR/Monat pro Dedicated Team.
Mindestlaufzeit drei Monate bei Retainern, danach monatlich kündbar mit 30 Tagen Kündigungsfrist. NDA, DPA und IP-Abtretung werden vor Projektstart unterzeichnet.
Consumer-WireGuard-VPN-App für iOS und Android mit Zero-Log-Architektur, eingeführt in den USA und der EU.
Android- + iOS-Refaktorierung und -Neuentwicklung für einen deutschen Last-Mile-Logistikbetreiber — Mehrpunkt-Routenplanung, Echtzeit-Fahrer-Tracking und In-App-Rechnungsstellung im EU-Betrieb.
Native iOS- und Android-E-Signatur-Clients mit einem Symfony + React CRM für eine grenzüberschreitende Anwaltskanzlei — KYC-Onboarding und eine rechtssichere Beweiskette für US- & EU-Mandate.
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · DSGVO Schrems II + SCC + EU-Datenhaltung
Jeder Senior im Engagement ist seit über 5 Jahren on-call für produktives Kubernetes — CKA/CKS-zertifiziert, Contributor für CNCF-Upstream-Projekte und die Person, die um 3 Uhr nachts etcd debuggt, nicht diejenige, die Boxen auf Folien zeichnet.
Wir betreiben EKS, GKE, AKS und On-Premises produktiv und haben keine kommerzielle Präferenz. Das ADR, das Sie in Woche 1 erhalten, wird gegen Ihre Workload bewertet — nicht gegen die Cloud, die uns im letzten Quartal Rabatte gewährt hat.
CIS Kubernetes Benchmark v1.9, SOC 2 Type II Evidence Packs, ISO 27001 Annex A Controls, HIPAA Technical Safeguards, EU-Datenhaltung mit Schrems II und SCC-Klauseln im DPA — wir haben alles davon ausgeliefert.
Für regulierte Workloads (FinTech, HealthTech, GovTech) richten wir Cluster mit ausschließlich EU-basierter Data Plane, kundenverwalteten Verschlüsselungsschlüsseln (KMS BYOK) und einem prüfbaren Kyverno-Policy-Bundle ein, das für das nächste ISO- oder SOC-2-Audit bereit ist.
Die Entscheidung hängt selten von der Control Plane ab (alle drei sind konform und stabil), sondern fast immer vom Ökosystem drumherum. Wählen Sie EKS, wenn Ihre Data Plane bereits in AWS läuft — VPC CNI, IRSA für IAM, ALB Ingress, Karpenter für Autoscaling und EBS CSI sind erstklassig und fügen sich nahtlos in die übrige AWS-Infrastruktur ein. Wählen Sie GKE, wenn Sie das ausgereifteste opinionated Erlebnis benötigen: Autopilot übernimmt das Node-Management vollständig, Workload Identity bietet die sauberste Service-Account-zu-IAM-Bindung am Markt, und die Upgrade-Kadenz ist die aggressivste. Wählen Sie AKS, wenn Sie ein Enterprise mit Entra ID und Azure Policy sind — die IAM- und Compliance-Geschichte ist die reibungsloseste. Für Greenfield-Projekte ohne bestehende Cloud-Präferenz empfehlen wir in der Regel GKE Autopilot. Wir führen die Evaluierung in Woche eins jedes Engagements durch und erstellen ein ADR mit konkreten, nach Workload bewerteten Abwägungen.
Wir setzen standardmäßig auf Argo CD für die App-Auslieferung und Flux für das Cluster-Bootstrap, beide mit dem App-of-Apps-Muster. Die Cluster-Infrastruktur (VPC, Node-Gruppen, IAM, KMS-Schlüssel, IRSA-Rollen) ist in Terraform oder Pulumi abgebildet und in einem separaten Repository mit OPA/Conftest-Policy-Gates in der CI gespeichert. Anwendungs-Manifeste liegen in Helm-Charts, die durch Kustomize-Overlays je Umgebung gekapselt werden. Die Image-Promotion läuft über eine signierte Registry (Cosign + Sigstore) mit einem Renovate-Bot, der PRs gegen das GitOps-Repository öffnet. Ein Merge in main löst den Argo-Sync aus. Rollback ist ein git revert. Wir erlauben niemals manuelles kubectl apply in der Produktion.
Sechs nicht verhandelbare Maßnahmen. (1) Pod Security Standards auf restricted mit Kyverno oder OPA Gatekeeper Enforcement. (2) Netzwerkrichtlinien default-deny mit Cilium oder Calico, Traffic explizit pro Namespace erlaubt. (3) IRSA auf EKS oder Workload Identity auf GKE/AKS — niemals langlebige statische Credentials in Secrets. (4) Image-Signierung via Cosign mit Kyverno verifyImages Admission Policy. (5) Laufzeit-Erkennung via Falco oder Tetragon, die an Ihr SIEM weiterleitet. (6) Secrets via External Secrets Operator, gesichert durch AWS/GCP/Azure Secret Manager oder HashiCorp Vault — kein Klartext-Secret in git, niemals. Wir härten gegen CIS Kubernetes Benchmark v1.9 und liefern das Audit-Evidence-Paket für SOC 2 und ISO 27001.
Ja, und Kubernetes FinOps ist der Bereich, in dem wir bei EKS- und GKE-Kunden am meisten einsparen. Standardvorgehen: Kubecost oder OpenCost für Namespace-Level-Chargeback installieren, überprovisionierte statische Node-Gruppen auf Karpenter oder GKE Autopilot umstellen, zustandslose Workloads auf Spot/Preemptible mit PodDisruptionBudgets und Topology-Spread-Constraints migrieren, Requests und Limits via Vertical Pod Autoscaler-Empfehlungen richtig dimensionieren sowie HPA mit Custom Metrics aus KEDA statt reinem CPU-Basis. Typische Einsparung im ersten Quartal bei einer EKS-Rechnung von 100k EUR/Monat: 30 bis 45 Prozent, ohne Einbußen bei den Zuverlässigkeitszielen. Wir teilen das Einsparmodell mit der Finanzabteilung in einem monatlichen Schriftbericht.
Ja — das ist der typische Verlauf bei Engagements, die über sechs Monate hinausgehen. Ein typischer IDP-Stack: Backstage für das Developer-Portal, Crossplane oder Terraform-Controller für Self-Service-Infrastruktur-Claims, Argo CD für die Auslieferung, Argo Workflows für Batch- und ML-Prozesse, Tekton oder GitHub Actions Runner für CI, Istio oder Linkerd für das Service Mesh, Cilium Hubble für Observability, OpenTelemetry-Kollektoren, die an Ihr APM senden. Wir erfinden keine eigenen Abstraktionen — wir fügen Best-of-Breed-CNCF-Projekte zu einem gepflasterten Weg zusammen und dokumentieren ihn in Backstage. Das Onboarding eines neuen Services sinkt von zwei Wochen YAML auf ein Backstage-Template plus einen PR.
Zwei Engagement-Formen. Dediziertes Platform-Team (2 Senior-SRE/Platform-Entwickler + Tech Lead) ab 12.000 EUR/Monat pro Dedicated Team, mindestens drei Monate, danach monatlich kündbar mit 30 Tagen Kündigungsfrist. Fixed-Scope-Migrations-Sprint (Lift-and-Shift von VMs/ECS/App Service zu EKS/GKE/AKS oder v1.24-auf-v1.31-Upgrade über eine ganze Fleet) ab 35.000 EUR Festpreis für ein 8-wöchiges Engagement mit schriftlichem SOW, meilensteinbasierter Rechnungsstellung und einem 90-tägigen Post-Cutover-Support-Fenster inklusive. Reisen innerhalb der EU werden nicht berechnet, US-Vor-Ort-Einsätze werden zu Selbstkosten ohne Aufschlag abgerechnet.
