SCS biedt kant-en-klare cloud stack voor Europese soevereine cloud-omgevingen

Europa lijkt zich eindelijk bewust te zijn geworden van zijn digitale afhan­ke­lijk­heid van niet-Europese tech­gi­ganten. Toch lijken veel mensen zich nog altijd bezig te houden met het beschrijven van die digitale afhan­ke­lijk­heid. En dat terwijl Europa heeft allang de kennis en de tech­no­logie in huis heeft om volledige soeve­reine cloud services op te zetten. Kijk alleen al naar de resul­taten van het Duitse Sovereign Cloud Stack-project. Het enige wat nu nog moet gebeuren, is groot­scha­lige imple­men­tatie – in Duitsland, maar ook in andere Europese landen.

De Sovereign Cloud Stack (SCS) is een open-source initi­a­tief dat met Duits over­heids­geld is opgezet om een gestan­daar­di­seerde, modulaire en soeve­reine cloud- en contai­ner­in­fra­struc­tuur te bieden. Dit project, ontwik­keld door een brede gemeen­schap van cloud providers, soft­wa­re­ont­wik­ke­laars en over­heids­in­stan­ties, heeft als doel een volledig open, inter­o­pe­ra­bele en Europese cloud stack te creëren die voldoet aan strikte bevei­li­gings- en priva­cy­voor­schriften. De tech­ni­sche docu­men­tattie is hier te vinden.

SCS richt zich op het leveren van Infra­struc­ture as a Service (IaaS) en Container as a Service (CaaS) diensten. Het is ontworpen om te func­ti­o­neren als een alter­na­tief voor hypers­cale cloud providers, met een sterke nadruk op data-soeve­rei­ni­teit en inter­o­pe­ra­bi­li­teit. In dit artikel kijken we naar de tech­ni­sche archi­tec­tuur van SCS en bespreken we een aantal mogelijke voordelen van deze aanpak.

Architectuur en kerncomponenten van SCS

De SCS-archi­tec­tuur is opgebouwd uit meerdere lagen, die geza­men­lijk een volledige cloud-omgeving vormen. De stack is modulair en onder­steunt zowel publieke als private cloud-imple­men­ta­ties. Hieronder volgt een overzicht van de belang­rijkste componenten:

1. Infra­struc­ture as a Service (IaaS)-laag – Deze laag is verant­woor­de­lijk voor het leveren van virtuele machines, opslag en netwer­k­in­fra­struc­tuur. De belang­rijkste tech­no­lo­gieën die in deze laag worden gebruikt zijn:

• Compute Mana­ge­ment: Gebaseerd op OpenStack en Kuber­netes, biedt SCS een gedis­tri­bu­eerd compute-platform voor het beheren en schalen van virtuele machines en containers.
• Storage: Onder­steu­ning voor zowel object storage (Ceph, MinIO) als block storage (Cinder, Rook, LVM).
• Netwerk­be­heer: Gebruikt Calico, Cilium en OVN (Open Virtual Network) voor het opzetten van software-defined netwerken (SDN) binnen de infrastructuur.
• Hardware-inte­gratie: SCS onder­steunt bare-metal provi­si­o­ning via Ironic, waardoor fysieke servers kunnen worden opgenomen in de cloudomgeving.

2. Container as a Service (CaaS)-laag – Deze laag maakt het mogelijk om container-geba­seerde appli­ca­ties uit te voeren en te beheren. Dit wordt bereikt door middel van een Kuber­netes-geba­seerde infra­struc­tuur met de volgende kenmerken:

• Cluster Mana­ge­ment: Gebruik van KubeVirt voor het draaien van VM’s in een Kubernetes-omgeving.
• Orkestratie: Kuber­netes wordt versterkt met ArgoCD voor decla­ra­tieve GitOps-geba­seerde CI/​CD implementaties.
• Container Storage Interface (CSI): Onder­steunt Ceph, Rook en Longhorn voor persis­tent storage voor containers.
• Service Mesh: Inte­gratie van Istio of Linkerd voor het beheer van service-to-service communicatie.

3. Identity and Access Mana­ge­ment (IAM)-laag – De IAM-laag is essen­tieel voor authen­ti­catie en auto­ri­satie binnen de SCS-cloudom­ge­ving. Enkele kern­tech­no­lo­gieën die worden gebruikt:

• Keycloak – Open-source identity mana­ge­ment oplossing met onder­steu­ning voor SAML, OpenID Connect en LDAP.
• RBAC (Role-Based Access Control): Kuber­netes-native RBAC voor toegangs­be­heer tot resources.
• OAuth 2.0 en OIDC: Voor een veilige en gestan­daar­di­seerde authen­ti­catie binnen SaaS-oplossingen.

4. Opera­tions (Ops)-laag – Deze laag bevat alle tools en services die nodig zijn voor het monitoren en beheren van de infrastructuur:

• Obser­va­bi­lity-stack: Grafana, Prome­theus en Loki voor logging, moni­to­ring en metrics-visualisatie.
• Incident Mana­ge­ment: Inte­gratie met Alert­ma­nager en PagerDuty voor het afhan­delen van storingen.
• Security en compli­ance: Auto­ma­ti­sche security scanning met Falco en OpenSCAP.

Voordelen van SCS ten opzichte van traditionele cloud-omgevingen

Tradi­ti­o­nele data­cen­ters vereisen aanzien­lijke inves­te­ringen in hardware, koeling, ener­gie­be­heer en bevei­li­ging. De imple­men­tatie van SCS biedt een flexibele, software-defined infra­struc­tuur die schaal­baarder en effi­ci­ënter is dan conven­ti­o­nele oplossingen:

• Auto­ma­ti­se­ring: Volledig geau­to­ma­ti­seerd beheer via Terraform en Ansible.
• Schaal­baar­heid: Dankzij Kuber­netes en OpenStack kunnen resources flexibel worden ingezet zonder hand­ma­tige configuraties.
• Kosten­be­spa­ring: Vermin­dert afhan­ke­lijk­heid van prop­ri­ë­taire hardware en licentiekosten.
• Flexi­bi­li­teit: Onder­steu­ning voor hybride en multi-cloud strategieën.

Uitdagingen bij adoptie

SCS biedt hiermee een vrijwel complete archi­tec­tuur voor een soeve­reine cloud-omgeving. Natuur­lijk zijn er ook nog een aantal uitda­gingen die over­wonnen moeten worden: 

- Opleiding en expertise: SCS vereist kennis van Kuber­netes, OpenStack en DevOps-tools.

- Migratie: Het omzetten van tradi­ti­o­nele workloads naar een cloud-native omgeving vergt planning en herstruc­tu­re­ring. Hetzelfde geldt voor het migreren van cloud workloads die bij tech­gi­ganten zijn onder­ge­bracht. Hier zullen bovendien de nodige kosten voor moeten worden gemaakt.

SaaS-oplossingen en SCS

SaaS-oplos­singen kunnen uiteraard profi­teren van de gestan­daar­di­seerde infra­struc­tuur van SCS. Dit omvat:

1. Schaal­bare archi­tec­tuur voor SaaS: 

• Multi-tenancy support: Gebruik van Kuber­netes Names­paces en Istio voor isolatie en separatie van klanten.
• Data­be­heer: Opslag­mo­ge­lijk­heden met object storage en distri­buted databases zoals Cock­ro­achDB en Vitess.
• Server­less computing: Onder­steu­ning voor Knative en OpenFaaS voor server­loze applicaties.

2. Bevei­li­ging en compliance:

• Gege­vensen­cryptie: Onder­steunt end-to-end encryptie met HashiCorp Vault en LetsEncrypt.
• Identity Fede­ra­tion: Gebruik van Single Sign-On (SSO) en fede­ra­tieve authen­ti­catie met Keycloak.
• GDPR en ISO 27001 compli­ance: SCS is ontworpen met Europese regel­ge­ving in gedachten.

3 SaaS use cases binnen SCS:

• Big Data en AI-workloads: Inte­gratie van Apache Spark, Jupy­terHub en MLFlow.
• DevOps-plat­formen: Naadloze inte­gratie met GitLab CI/​CD en ArgoCD.
• ERP- en CRM-appli­ca­ties: Open-source alter­na­tieven zoals Odoo en Nextcloud draaien efficiënt binnen SCS.

De discussie in Europa over digitale soeve­rei­ni­teit lopen al jaren. Vaak gaat de aandacht hierbij vooral uit naar het beschrijven van het probleem van een onge­wenste digitale afhan­ke­lijk­heid. Nog te weinig zien we dat er daad­wer­ke­lijk soeve­reine cloud-omge­vingen worden gecreëerd. We zien wel dat Ameri­kaanse tech­gi­ganten proberen om klanten aan zich te binden – of beter gezegd: niet kwijt te raken – door omge­vingen te creëren die zij ’soeve­reine cloud-omge­vingen’ noemen, maar die wel degelijk volledig afhan­ke­lijk zijn van niet-Europese software- en infrastructiuurproducten. 

Het SCS-project laat echter zien dat er wel degelijk Europese soeve­reine cloud-omge­vingen ontwik­keld kunnen worden die geheel om open source-producten zijn gebaseerd en die daarmee onaf­han­ke­lijk zijn van niet-Europese leve­ran­ciers. Sovereign Cloud Stack biedt een robuuste, schaal­bare en soeve­reine cloud-omgeving die tradi­ti­o­nele cloud-infra­struc­turen kan vervangen en SaaS-aanbie­ders een veilig en flexibel platform biedt. Dankzij de modulaire opbouw en sterke focus op open-source stan­daarden, stelt SCS bedrijven in staat om cloud-native applicatie