Kubernetes-Hosting im Vergleich

Kubernetes ist längst Standard für den Betrieb moderner Anwendungen. Die eigentliche Herausforderung beginnt aber bei der Frage: Wo und wie betreiben wir Kubernetes?

Hyperscaler wie AWS, Azure und Google Cloud versprechen Skalierbarkeit und günstige Einstiegspreise. Deutsche Anbieter hingegen punkten mit Compliance, Transparenz und klaren Verantwortlichkeiten.

Für einen unserer Kunden haben wir eine aktuelle Marktanalyse erstellt. Die Anforderung lautete, eine containerisierte Anwendung im Umfeld der deutschen Versicherungslandschaft in der Cloud zu hosten.

Dafür haben wir zunächst einmal eine grobe technische Lösungsarchitektur für die vorgesehene Applikationslandschaft geschaffen. Die Zusammenfassung zeigt, welche technischen Bausteine heute notwendig sind, um eine containerisierte Applikation im Versicherungsbereich sicher und hochverfügbar zu betreiben:

• Managed Kubernetes-Cluster mit Umgebungstrennung (Produktion- und Staging-Umgebungen)
• HA-fähige Datenhaltung (PostgreSQL oder MySQL)
• IAM-Services
• Security-Layer mit Firewall, WAF und DDoS-Schutz
• GitOps-basierte Deployment-Pipelines
• vollständiges Monitoring, Logging und Backup
• Compliancefähiger Betrieb inkl. Dokumentation

In unserer Analyse vergleichen wir die beiden Ansätze Hyperscaler vs. ausgesuchte deutsche Anbieter aus unserem Lösungsportfolio entlang der wichtigsten Kriterien: Compliance, Kosten und Betriebsaufwand.

Die Ergebnisse zeigen: Die technisch beste Lösung ist nicht automatisch die wirtschaftlich oder organisatorisch sinnvollste.

Ein zentrales Ergebnis der Analyse betrifft das Thema Compliance – insbesondere DSGVO und DORA.

Hyperscaler stellen umfangreiche Dokumentationen, Self-Service-Guides und Vertragsbausteine bereit. Die Verantwortung für die korrekte Umsetzung liegt jedoch vollständig beim Kunden. Vor-Ort-Audits sind für kleine und mittlere Unternehmen faktisch nicht möglich. Auch DORA-Anforderungen müssen eigenständig interpretiert, umgesetzt und dauerhaft nachgehalten werden.

Deutsche Anbieter verfolgen hier einen anderen Ansatz. Hosting erfolgt ausschließlich in Deutschland oder der EU, Vor-Ort-Audits sind vertraglich geregelt und Compliance-Unterstützung kann aktiv eingekauft werden. Besonders relevant für regulierte Unternehmen: Prüfungen nach Standards wie IDW PS 951 sind möglich und organisatorisch vorgesehen.

Kurz gesagt:

Hyperscaler bieten Werkzeuge. Deutsche Anbieter bieten Verantwortung.

Auf den ersten Blick wirken Hyperscaler deutlich günstiger. Reine Infrastrukturkosten für eine Kubernetes-Produktivumgebung liegen teilweise unter 1.000 Euro pro Monat. Doch dieser Vergleich greift zu kurz.

Die Analyse zeigt klar:

Bei Hyperscalern ist kein voll gemanagter Kubernetes-Betrieb enthalten. Updates, Security-Patches, Cluster-Betrieb und Störungsmanagement müssen selbst übernommen oder teuer eingekauft werden. Managed-Support-Modelle lohnen sich erst bei sehr großen Umgebungen und sind für viele Mittelständler wirtschaftlich nicht sinnvoll.

Deutsche Full-Service-Anbieter liegen preislich höher, bieten dafür aber:

• 24/7-Betrieb bis Kubernetes-Ebene
• definierte Ansprechpartner
• integrierte Staging-Umgebungen
• optionales Compliance-Paket
• kalkulierbare monatliche Kosten

Das Ergebnis:
Höhere laufende Kosten, aber deutlich geringerer interner Aufwand.

Ein besonders wichtiger Punkt wird in vielen Cloud-Entscheidungen unterschätzt: interne Fähigkeiten.

Der Betrieb einer Kubernetes-Plattform erfordert Know-how in:

• Cloud-Architektur
• Netzwerk- und Security-Konfiguration
• IAM und Zugriffssteuerung
• Kubernetes-Betrieb und Upgrades
• CI/CD und Monitoring

Die entscheidende Frage lautet daher nicht: Was kann der Anbieter?
sondern:
Was können wir selbst leisten – dauerhaft und revisionssicher?

Fehlen diese Kapazitäten, werden Hyperscaler schnell zur organisatorischen Belastung.

Aus der Analyse lassen sich drei typische Betriebsmodelle ableiten:

1. Hyperscaler ohne externe Unterstützung

   Geeignet für Unternehmen mit starkem internen Cloud- und Kubernetes-Know-how. Compliance und Betrieb liegen vollständig in eigener Verantwortung. Restrisiken, etwa fehlende Vor-Ort-Audits, müssen bewusst akzeptiert werden.

2. Hyperscaler mit externer Unterstützung

   Technologisch attraktiv, aber komplex in der Steuerung. Neben dem Cloud-Anbieter kommt mindestens ein weiterer Dienstleister hinzu. Compliance, Betriebsauslagerung und Dienstleistersteuerung bleiben dennoch beim Unternehmen.

3. Deutscher Full-Service-Anbieter

   Implementierung, Betrieb und Compliance-Unterstützung aus einer Hand. Klare Zuständigkeiten, planbare Kosten und geringste interne Aufwände. Besonders geeignet für regulierte Unternehmen oder Organisationen mit begrenzten Cloud-Ressourcen.

AWS, Azure und Google Cloud sind technologisch führend und für viele Szenarien die richtige Wahl. Gleichzeitig zeigt die Analyse deutlich: Kubernetes ist kein Selbstläufer. Wer Compliance, Betrieb und Sicherheit ernst nimmt, muss Zeit, Personal und Verantwortung einplanen.

Für viele Unternehmen – insbesondere im regulierten Umfeld – ist ein deutscher Full-Service-Anbieter daher keine Notlösung, sondern die wirtschaftlich und organisatorisch sauberste Entscheidung.

Am Ende gilt: Die richtige Kubernetes-Plattform passt nicht nur zur Anwendung, sondern auch zur Organisation dahinter.

Zentrales Element ist eine Kubernetes-Infrastruktur mit mindestens zwei klar separierten Clustern:

• Produktivsystem
• Abnahmesystem / Staging

Beide Cluster werden als Managed Kubernetes betrieben, inklusive Cluster-Management und Support (24x7 in Produktion, 10x5 in Abnahme). Damit werden typische Enterprise-Anforderungen an Betrieb und Verfügbarkeit erfüllt.

Die Kubernetes-Cluster basieren auf dedizierten Worker-Nodes:

• jeweils drei Worker-Nodes pro Cluster
• typische Dimensionierung: 8 CPU / 16 GB RAM
• ergänzt durch schnellen Flash-Storage für Persistenz

Diese Architektur erlaubt horizontale Skalierung und stabile Workload-Verteilung.

Für zustandsbehaftete Anwendungen sind mehrere Storage-Klassen vorgesehen:

• All-Flash File Storage für Persistent Volumes (z. B. via NetApp Trident)
• S3-basierter Storage für Logging und Archivierung
• Snapshot-Services zur zusätzlichen Absicherung

Damit wird sowohl Performance als auch Datensicherheit gewährleistet.

Die Plattform setzt auf mehrere Sicherheitsebenen:

• Virtual Private Firewall
• zentrale „Virtual Private Firewall“
• optional zonenredundant über mehrere Availability Zones

Zwei mögliche Schutzvarianten:

• klassische IP-basierte DDoS-Protection
• umfassendere App- und API-Protection (WAF-ähnlich) inkl. Edge DNS

Damit wird der sichere Betrieb internetexponierter Versicherungsanwendungen unterstützt.

Für Authentifizierung und Autorisierung wird ein IAM-System auf Basis von Keycloak eingeplant:

• Betrieb direkt als Kubernetes-Pods möglich
• alternativ als externes HA-Cluster auf virtuellen Servern

Zur Persistenz kommen MySQL-Instanzen bzw. Active-Active-Cluster zum Einsatz.

Für den durchgängigen Software-Lifecycle sind Plattform-Services integriert:

• Harbor Container Registry
• GitOps-Service (ArgoCD)
• PostgreSQL und Redis als Backend-Komponenten

Damit wird eine moderne Deployment-Pipeline nach GitOps-Prinzipien unterstützt.

Ein vollständiges Betriebsmonitoring ist Bestandteil der Architektur:

• Prometheus (Metrics)
• Alertmanager (Alarmierung, optional)
• Grafana (Dashboards)
• zentrales Log-Management mit S3-Storage

Damit wird eine Enterprise-Observability-Basis geschaffen, die auch Audit-Anforderungen unterstützt.

Die Umgebung beinhaltet ein mehrstufiges Backup-Konzept:

• Backup-Storage mit frei skalierbarem Volumen
• optionale Backup-Verschlüsselung
• zonenübergreifende Backup-Optionen
• Premium-Snapshots als zusätzliche Recovery-Ebene

Diese Maßnahmen adressieren Business-Continuity-Anforderungen im Versicherungsumfeld.

Neben der technischen Infrastruktur werden auch organisatorische Anforderungen berücksichtigt:

• Erstellung eines Betriebshandbuchs
• Unterstützung bei regulatorischen Vorgaben (z. B. DORA-Compliance)

Dies ist besonders relevant für kritische IT-Systeme in regulierten Branchen.