Procedurer og foranstaltninger skal implementeres for sikkert at administrere softwareinstallation på operativsystemer.
Kontrollerede og verificerede implementeringer
Kubernetes-software og Helm-diagrammer følger en GitOps-workflow med begrænsede tilladelser, verificerede kilder og kryptografisk signering. ArgoCD håndhæver ensartet ønsket tilstand på tværs af klynger.
Serversoftware og -pakker installeres kun via godkendte Puppet-roller og betroede lagre. Konfigurationer på OS-niveau håndhæves for at forhindre uautoriserede installationer.
Ugentlige versionsopgraderinger og trinvise udrulninger
Med KubeAid har over 50+ applikationer versionstags opdateret ugentligt. Disse opdateringer synkroniseres ved hjælp af ArgoCD og implementeres inden for definerede servicevinduer pr. klynge, der går fra test → produktion ved hjælp af versionsbaserede, trinvise udrulninger for at sikre klyngestabilitet og pålidelighed.
Serveropdateringer sker i planlagte servicevinduer efter versionsbaserede, trinvise udrulninger fra test/validering til produktionsmiljøer for at opretholde driftsstabilitet.
Understøttelse af air-gapped-operationer (Supply Chain Security)
Selvhostet Harbor implementeres som et privat containerregister til klynger, hvilket muliggør air-gapped-operationer, hvor Kubernetes-noder ikke kræver direkte internetadgang, mens de stadig modtager verificerede, signerede billeder.
LinuxAid leverer en repository-server til air-gapped-operationer, automatiske snapshots og GPG-signerede pakker til servere. Commits valideres på separate runners for at forhindre skadelig kode i at komme ind i serverudgivelser, hvilket sikrer en sikker og kontrolleret softwareforsyning.