Europa lijkt zich einde­lijk bewust te zijn geworden van zijn digitale afhan­ke­lijk­heid van niet-Europese techgi­ganten. Toch lijken veel mensen zich nog altijd bezig te houden met het beschrijven van die digitale afhan­ke­lijk­heid. En dat terwijl Europa heeft allang de kennis en de techno­logie in huis heeft om volle­dige soeve­reine cloud services op te zetten. Kijk alleen al naar de resul­taten van het Duitse Sovereign Cloud Stack-project. Het enige wat nu nog moet gebeuren, is groot­scha­lige imple­men­tatie – in Duits­land, maar ook in andere Europese landen.

De Sovereign Cloud Stack (SCS) is een open-source initi­a­tief dat met Duits overheids­geld is opgezet om een gestan­daar­di­seerde, modulaire en soeve­reine cloud- en contai­ner­in­fra­struc­tuur te bieden. Dit project, ontwik­keld door een brede gemeen­schap van cloud provi­ders, softwa­re­ont­wik­ke­laars en overheids­in­stan­ties, heeft als doel een volledig open, inter­o­pe­ra­bele en Europese cloud stack te creëren die voldoet aan strikte bevei­li­gings- en priva­cy­voor­schriften. De techni­sche documen­tattie is hier te vinden.

SCS richt zich op het leveren van Infra­struc­ture as a Service (IaaS) en Container as a Service (CaaS) diensten. Het is ontworpen om te functi­o­neren als een alter­na­tief voor hypers­cale cloud provi­ders, met een sterke nadruk op data-soeve­rei­ni­teit en inter­o­pe­ra­bi­li­teit. In dit artikel kijken we naar de techni­sche archi­tec­tuur van SCS en bespreken we een aantal mogelijke voordelen van deze aanpak.

Architectuur en kerncomponenten van SCS

De SCS-archi­tec­tuur is opgebouwd uit meerdere lagen, die gezamen­lijk een volle­dige cloud-omgeving vormen. De stack is modulair en onder­steunt zowel publieke als private cloud-imple­men­ta­ties. Hieronder volgt een overzicht van de belang­rijkste componenten:

1. Infra­struc­ture as a Service (IaaS)-laag – Deze laag is verant­woor­de­lijk voor het leveren van virtuele machines, opslag en netwer­k­in­fra­struc­tuur. De belang­rijkste techno­lo­gieën die in deze laag worden gebruikt zijn:

• Compute Manage­ment: Gebaseerd op OpenStack en Kuber­netes, biedt SCS een gedis­tri­bu­eerd compute-platform voor het beheren en schalen van virtuele machines en containers.
• Storage: Onder­steu­ning voor zowel object storage (Ceph, MinIO) als block storage (Cinder, Rook, LVM).
• Netwerk­be­heer: Gebruikt Calico, Cilium en OVN (Open Virtual Network) voor het opzetten van software-defined netwerken (SDN) binnen de infrastructuur.
• Hardware-integratie: SCS onder­steunt bare-metal provi­si­o­ning via Ironic, waardoor fysieke servers kunnen worden opgenomen in de cloudomgeving.

2. Container as a Service (CaaS)-laag – Deze laag maakt het mogelijk om container-gebaseerde appli­ca­ties uit te voeren en te beheren. Dit wordt bereikt door middel van een Kuber­netes-gebaseerde infra­struc­tuur met de volgende kenmerken:

• Cluster Manage­ment: Gebruik van KubeVirt voor het draaien van VM’s in een Kubernetes-omgeving.
• Orkestratie: Kuber­netes wordt versterkt met ArgoCD voor decla­ra­tieve GitOps-gebaseerde CI/​CD implementaties.
• Container Storage Inter­face (CSI): Onder­steunt Ceph, Rook en Longhorn voor persis­tent storage voor containers.
• Service Mesh: Integratie van Istio of Linkerd voor het beheer van service-to-service communicatie.

3. Identity and Access Manage­ment (IAM)-laag – De IAM-laag is essen­tieel voor authen­ti­catie en autori­satie binnen de SCS-cloudom­ge­ving. Enkele kerntech­no­lo­gieën die worden gebruikt:

• Keycloak – Open-source identity manage­ment oplos­sing met onder­steu­ning voor SAML, OpenID Connect en LDAP.
• RBAC (Role-Based Access Control): Kuber­netes-native RBAC voor toegangs­be­heer tot resources.
• OAuth 2.0 en OIDC: Voor een veilige en gestan­daar­di­seerde authen­ti­catie binnen SaaS-oplossingen.

4. Opera­tions (Ops)-laag – Deze laag bevat alle tools en services die nodig zijn voor het monitoren en beheren van de infrastructuur:

• Obser­va­bi­lity-stack: Grafana, Prome­theus en Loki voor logging, monito­ring en metrics-visualisatie.
• Incident Manage­ment: Integratie met Alert­ma­nager en Pager­Duty voor het afhan­delen van storingen.
• Security en compli­ance: Automa­ti­sche security scanning met Falco en OpenSCAP.

Voordelen van SCS ten opzichte van traditionele cloud-omgevingen

Tradi­ti­o­nele datacen­ters vereisen aanzien­lijke inves­te­ringen in hardware, koeling, energie­be­heer en bevei­li­ging. De imple­men­tatie van SCS biedt een flexi­bele, software-defined infra­struc­tuur die schaal­baarder en effici­ënter is dan conven­ti­o­nele oplossingen:

• Automa­ti­se­ring: Volledig geauto­ma­ti­seerd beheer via Terra­form en Ansible.
• Schaal­baar­heid: Dankzij Kuber­netes en OpenStack kunnen resources flexibel worden ingezet zonder handma­tige configuraties.
• Kosten­be­spa­ring: Vermin­dert afhan­ke­lijk­heid van propri­ë­taire hardware en licentiekosten.
• Flexi­bi­li­teit: Onder­steu­ning voor hybride en multi-cloud strategieën.

Uitdagingen bij adoptie

SCS biedt hiermee een vrijwel complete archi­tec­tuur voor een soeve­reine cloud-omgeving. Natuur­lijk zijn er ook nog een aantal uitda­gingen die overwonnen moeten worden: 

• Oplei­ding en exper­tise: SCS vereist kennis van Kuber­netes, OpenStack en DevOps-tools.
• Migratie: Het omzetten van tradi­ti­o­nele workloads naar een cloud-native omgeving vergt planning en herstruc­tu­re­ring. Hetzelfde geldt voor het migreren van cloud workloads die bij techgi­ganten zijn onder­ge­bracht. Hier zullen boven­dien de nodige kosten voor moeten worden gemaakt.

SaaS-oplossingen en SCS

SaaS-oplos­singen kunnen uiter­aard profi­teren van de gestan­daar­di­seerde infra­struc­tuur van SCS. Dit omvat:

1. Schaal­bare archi­tec­tuur voor SaaS: 

• Multi-tenancy support: Gebruik van Kuber­netes Names­paces en Istio voor isolatie en separatie van klanten.
• Databe­heer: Opslag­mo­ge­lijk­heden met object storage en distri­buted databases zoals Cockro­achDB en Vitess.
• Server­less compu­ting: Onder­steu­ning voor Knative en OpenFaaS voor server­loze applicaties.

2. Bevei­li­ging en compliance:

• Gegevensen­cryptie: Onder­steunt end-to-end encryptie met Hashi­Corp Vault en LetsEncrypt.
• Identity Federa­tion: Gebruik van Single Sign-On (SSO) en federa­tieve authen­ti­catie met Keycloak.
• GDPR en ISO 27001 compli­ance: SCS is ontworpen met Europese regel­ge­ving in gedachten.

3 SaaS use cases binnen SCS:

• Big Data en AI-workloads: Integratie van Apache Spark, JupyterHub en MLFlow.
• DevOps-platformen: Naadloze integratie met GitLab CI/​CD en ArgoCD.
• ERP- en CRM-appli­ca­ties: Open-source alter­na­tieven zoals Odoo en Nextcloud draaien efficiënt binnen SCS.

De discussie in Europa over digitale soeve­rei­ni­teit lopen al jaren. Vaak gaat de aandacht hierbij vooral uit naar het beschrijven van het probleem van een ongewenste digitale afhan­ke­lijk­heid. Nog te weinig zien we dat er daadwer­ke­lijk soeve­reine cloud-omgevingen worden gecre­ëerd. We zien wel dat Ameri­kaanse techgi­ganten proberen om klanten aan zich te binden – of beter gezegd: niet kwijt te raken – door omgevingen te creëren die zij ’soeve­reine cloud-omgevingen’ noemen, maar die wel degelijk volledig afhan­ke­lijk zijn van niet-Europese software- en infrastructiuurproducten. 

Het SCS-project laat echter zien dat er wel degelijk Europese soeve­reine cloud-omgevingen ontwik­keld kunnen worden die geheel om open source-producten zijn gebaseerd en die daarmee onafhan­ke­lijk zijn van niet-Europese leveran­ciers. Sovereign Cloud Stack biedt een robuuste, schaal­bare en soeve­reine cloud-omgeving die tradi­ti­o­nele cloud-infra­struc­turen kan vervangen en SaaS-aanbie­ders een veilig en flexibel platform biedt. Dankzij de modulaire opbouw en sterke focus op open-source standaarden, stelt SCS bedrijven in staat om cloud-native appli­ca­ties te bouwen en te beheren. Maar dan zonder afhan­ke­lijk­heid van de bekende grote hypers­cale providers.