Best practices voor het opzetten van een Kubernetes-cluster

Best practices for setting up a Kubernetes cluster
Back to overview
We laten de componenten en beslissingen zien die komen kijken bij het bouwen van een production-ready Kubernetes-cluster (op een veilige manier). Je krijgt inzicht in deze cutting-edge technologieën en de beschikbare oplossingen. Daarnaast delen we best practices uit de praktijk.
Published on 01 december 2025
Written by Vincent Blaas
Cloud migratie Platform Engineering

Introductie

Klaar voor productie

Hoewel containers (en Kubernetes) breed worden ingezet binnen Europese enterprise-omgevingen, blijven er bij developers vragen bestaan over veilige en schaalbare implementatiestrategieën. In dit blog laten we bewezen methodologieën, kritische security-overwegingen en operationele valkuilen zien die het verschil maken tussen een experimentele setup en een production-grade cluster. Hopelijk inspireert dit je om je Kubernetes-reis te starten, met best practices als leidraad.

Kies een offering

De complexiteit van Kubernetes-orchestratie vraagt om een systematische aanpak van cluster architectuur, security policy enforcement en operationele procedures. Productieomgevingen vereisen zorgvuldige keuzes rondom etcd (de gedistribueerde key-value store topologie), certificaat- en externe secret management, netwerk isolatie en monitoring strategieën die verder gaan dan basis container orchestration. Europese organisaties krijgen daarnaast te maken met aanvullende compliance-eisen, zoals uitgebreide audit trails, data soevereiniteit en geautomatiseerde security policies via tools zoals Kyverno. Een alternatief is het gebruik van een managed Kubernetes-aanbod, zoals Amazon EKS of SUE Managed Kubernetes Services.

Secure by design

Traditionele Linux-distributies introduceren onnodig aanvalsoppervlak en operationele complexiteit in Kubernetes-omgevingen. Purpose-built besturingssystemen zoals Talos Linux elimineren SSH-toegang, shell-interfaces en configuratiedrift, terwijl immutable infrastructure-principes behouden blijven. Hiermee verdwijnen veelgebruikte aanvalsvectoren die bij conventionele server-deployments voorkomen.

Voorkom veelgemaakte fouten

Kubernetes-securityfouten kunnen via container escape en privilege escalation leiden tot het volledig overnemen van de infrastructuur. Recente analyses tonen aan dat verkeerd geconfigureerde RBAC-policies en te ruime security contexts aanvalspaden creëren van container workloads naar het hostsysteem. Organisaties die Kubernetes uitrollen zonder grondige security hardening zijn kwetsbaar voor lateral movement, waardoor complete infrastructuur-stacks gevaar lopen.

De juiste beslissingen nemen

We richten ons op fundamentele architectuur-gedreven beslissingen, security hardening procedures, schaalbaarheid en operationele werkwijzen die bepalend zijn voor de langetermijnlevensvatbaarheid van je Cluster. Daarom nemen we concrete configuratievoorbeelden, beleidsimplementaties en Monitoring strategieën op die gevalideerd zijn in productieomgevingen.

Wat is Kubernetes – technisch gezien – precies?

Over meerdere locaties

Kubernetes is een gedistribueerd container orchestration platform dat horizontaal kan schalen over meerdere fysieke nodes of virtuele machines, zelfs over verschillende fysieke locaties en datacenters. Het abstraheert de onderliggende infrastructuur-complexiteit via declaratief configuratiemanagement en geautomatiseerde scheduling van workloads.

Control plane-onderdelen

De control plane bestaat uit kritische componenten zoals de API server, de gedistribueerde etcd key-value store, de scheduler en de controller manager. De kube-apiserver verzorgt authenticatie, autorisatie en validatie van API-requests voordat wijzigingen in etcd worden opgeslagen. De scheduler analyseert resource-eisen, node-constraints en affinity rules om pods optimaal te plaatsen over beschikbare worker nodes.

De waarheid van het cluster

etcd fungeert als single source of truth voor alle cluster-configuratie en runtime-informatie. Het slaat pod-specs, Kubernetes services, secrets en ConfigMaps op, evenals cluster membership data. etcd draait doorgaans in een oneven aantal instanties (bijvoorbeeld 3) om quorum-gebaseerde leader election mogelijk te maken en consistentie te behouden tijdens onderhoud. Alle control plane-componenten communiceren met etcd via de API server, wat transactionele consistentie waarborgt en herstel mogelijk maakt via etcdctl snapshots.

Control mechanisms

De controller manager bevat meerdere gespecialiseerde controllers die continu de cluster state bewaken en corrigerende acties uitvoeren om de gewenste configuratie te handhaven. Denk aan deployment controllers voor replica sets, service controllers voor load balancing en namespace controllers voor isolatie. Controllers werken via watch-mechanismen op de API server en reageren op relevante wijzigingen.

Houd je kubelets gezond

Worker nodes draaien de container workloads via drie hoofdcomponenten: kubelet, kube-proxy en de container runtime. De kubelet beheert de pod lifecycle, container health en resource reporting richting de control plane. Via de Container Runtime Interface (CRI) start, stopt en monitort hij containers en rapporteert statusinformatie terug.

Networking in de Kubernetes-wereld

Container networking maakt gebruik van de Container Network Interface (CNI) om pod-to-pod communicatie mogelijk te maken over nodes heen. CNI-plugins creëren network namespaces, wijzen IP-adressen toe en configureren netwerkinterfaces. Populaire implementaties zijn Cilium (eBPF-based), Calico (policy-based routing) en Flannel (eenvoudige overlay-netwerken). kube-proxy verzorgt service load balancing over pod endpoints.

Compute-units

Pods zijn de fundamentele deployment-unit in Kubernetes en bevatten één of meerdere nauw samenwerkende containers die netwerk en storage delen. Elke pod krijgt een uniek cluster-IP. In de praktijk wordt meestal het single-container patroon gebruikt, met multi-container pods voor sidecar-patterns zoals logging, monitoring of proxies.

Schedulers brengen balans

De scheduler evalueert pod-eisen ten opzichte van node-capaciteit (CPU, geheugen, storage en custom resources). Geavanceerde features zijn node affinity, anti-affinity, taints en tolerations en topology spread constraints. Het doel is balans tussen efficiënt resourcegebruik, performance en operationele randvoorwaarden.

Storage zoals jij het nodig hebt

Kubernetes abstraheert storage via persistent volumes en persistent volume claims. storage classes definiëren beschikbare storage types met specifieke performance- en provisioning-eigenschappen. Dynamic provisioning maakt automatisch volumes aan wanneer applicaties daarom vragen. Dit zorgt voor portability over verschillende infrastructuur-providers heen.

Sidecar of niet?

Service mesh-oplossingen breiden networking uit via sidecar proxies voor traffic management, security en observability. Ze bieden onder andere mTLS, retries, circuit breaking en tracing zonder applicatiecode aan te passen. Bekende oplossingen zijn Linkerd, Istio en NGINX Service Mesh. Cilium kiest een alternatief pad via eBPF op kernel-niveau, zonder sidecar-patterns.

Aan de slag

 Complexiteit beheersen (of kies een offering)

Een production-grade Kubernetes-deployment vraagt om een systematische voorbereiding, inclusief infrastructuurvereisten, toolchain configuratie en het opzetten van een solide security-baseline. Kubernetes-clusters vereisen aanzienlijke rekenkracht en doordachte netwerkplanning vóórdat de eerste deployment plaatsvindt. Organisaties onderschatten vaak de complexiteit van de overgang van development-omgevingen naar production-ready clusters die geschikt zijn voor enterprise workloads.

Minimale vereisten

Infrastructuurvereisten vormen de basis voor betrouwbare clusteroperaties en beginnen bij correcte hardware-dimensionering en netwerkarchitectuur. Control plane-nodes vereisen minimaal 4 CPU-cores, 8GB RAM en high-performance storage voor etcd-operaties. Worker nodes moeten schaalbaar zijn op basis van de verwachte workload. Netwerkvereisten omvatten dedicated subnets voor pod networking, service load balancing en cluster management traffic, inclusief firewall-configuraties die de juiste poorten toestaan. Onvoldoende netwerkplanning kan leiden tot connectiviteitsproblemen tijdens cluster scaling en cross-node communicatie.

Kies je tools

De essentiële toolchain start met de configuratie van de kubectl-client, de keuze van een container runtime en aanvullende cluster management utilities. De kubectl binary is de primaire interface voor clusterbeheer en vereist correcte authenticatie via kubeconfig-bestanden of service account tokens.
 De keuze van de container runtime beïnvloedt de performance van het cluster. containerd biedt in productieomgevingen doorgaans betere resource-efficiëntie dan Docker. Aanvullende tools zoals Helm voor package management, stern voor logaggregatie en k9s voor interactieve cluster monitoring vergroten de operationele slagkracht tijdens de initiële setup.

Initialiseer je cluster

De manier waarop je een cluster initialiseert verschilt sterk per infrastructuurdoel en operationele eisen. Kubeadm biedt een standaard bootstrap-procedure die geschikt is voor bare metal en virtual machine deployments. Managed cloud services zoals SUE Managed K8s Services, Amazon EKS, Google GKE en Azure AKS abstraheren een groot deel van de infrastructuurcomplexiteit.
 Self-managed benaderingen met tools als Terraform en Ansible maken maatwerkconfiguraties mogelijk, maar vereisen diepgaande operationele expertise.

Zijn sterke security foundations al aanwezig?

De initiële security-configuratie legt de basisbescherming vast voordat workloads worden uitgerold. Role-based access control (RBAC) definieert permissiegrenzen voor clusteroperaties en voorkomt ongeautoriseerde toegang tot gevoelige resources en namespaces. NetworkPolicy-implementaties (bekijk bijvoorbeeld ‘kubectl explain netpol’) beperken pod-to-pod communicatie en creëren microsegmentatie, waardoor het aanvalsoppervlak bij gecompromitteerde containers aanzienlijk wordt verkleind.

```
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: netpol-backend
namespace: backend
spec:
podSelector:
matchLabels:
app: backend
policyTypes:
- Egress
egress:
- to:
- podSelector:
matchLabels:
app: postgres
ports:
- protocol: TCP
port: 5432
- to: # Do NOT forget this second `- to`, to mark the start of an ADDITIONAL rule
- podSelector:
matchLabels:
app: mysql
ports:
- protocol: TCP
port: 3306
```

Copy code

De bovenstaande logica kan in pseudo-code worden geïnterpreteerd als: (destination pod heeft label app=postgres EN poort is 5432) OF (destination pod heeft label app=mysql EN poort is 3306)

Basis runtime tests

Validatieprocedures controleren of het cluster correct is geïnstalleerd en geconfigureerd voordat productie-workloads worden uitgerold. Basisconnectiviteitstests verifiëren of control plane-componenten correct communiceren met worker nodes via routing en firewallregels. Pod scheduling-tests bevestigen dat de scheduler workloads correct plaatst, rekening houdend met resource constraints en affinity rules. Storage provisioning-tests controleren of dynamische volumes correct worden aangemaakt via de geconfigureerde storage classes en CSI-implementaties.

Behoud state zonder drift

Configuration management zorgt voor een consistente cluster state door declaratieve definities en integratie met versiebeheer. Infrastructure as Code met tools zoals Terraform kan clusteroperaties beheren, waaronder node provisioning.
 Kubernetes resource manifests in version control maken reproduceerbare deployments mogelijk en ondersteunen drift-detectie via GitOps-methodologieën. Daarnaast raden we het gebruik van Helm charts aan voor op templates gebaseerde (Go-achtige) resource-definities, waarmee je omgevingsspecifieke configuraties kunt toepassen terwijl consistentie behouden blijft.

Iedereen een dashboard

Monitoring en Observability zijn essentieel vanaf de eerste dag. Installaties van Prometheus of Victoria Metrics leveren metrics voor clustercomponenten, node resources en applicatieperformance. Grafana-dashboards visualiseren deze data via vooraf gedefinieerde templates die kritieke indicatoren tonen, zoals CPU-gebruik, geheugengebruik en storagecapaciteit.
Logaggregatie met oplossingen zoals Fluentd of Fluent Bit centraliseert containerlogs en cluster events voor analyse en alerting.

Test je recovery-procedures grondig

Back-upstrategieën beschermen tegen verlies van cluster state en ondersteunen disaster recovery. Geautomatiseerde etcd-back-ups zorgen ervoor dat clusterconfiguraties en resource-definities herstelbaar blijven bij control plane-failures.
 Back-ups van persistent volumes beschermen applicatiedata. Disaster recovery-tests valideren restore-procedures en leggen recovery time objectives vast voor kritische workloads.

Host OS Best Practices

Kies je OS verstandig

Purpose-built besturingssystemen voor container orchestration bieden een betere security posture en operationele efficiëntie dan traditionele Linux-distributies in Kubernetes-omgevingen. Talos Linux is een optimaal host OS voor production Kubernetes-clusters dankzij het immutable infrastructure-design. Het besturingssysteem boot direct in Kubernetes node-functionaliteit zonder onnodige services, waardoor het aanvalsoppervlak met ongeveer 80% wordt verminderd ten opzichte van gangbare distributies zoals Ubuntu of CentOS.

Traditionele Linux-distributies brengen extra complexiteit met zich mee door package dependency management, configuratiedrift en persistente state-wijzigingen die de betrouwbaarheid van het cluster aantasten. Host hardening vereist daar uitgebreide service-disabling, firewallconfiguraties en security policies, wat de onderhoudslast vergroot.

Talos Linux gebruikt declaratieve configuratie via machine configuration files die de volledige systee-state definiëren zonder runtime-aanpassingen. De API-driven architectuur ondersteunt GitOps-workflows voor infrastructuurbeheer en voorkomt configuratiedrift door een immutable root filesystem. Security-updates verlopen via volledige image-replacements in plaats van package-level patching, waardoor partial updates en policy-bypasses worden voorkomen.

In productieomgevingen profiteert Talos van vereenvoudigde disaster recovery dankzij de stateless node-architectuur: hosts worden volledig vervangen via geautomatiseerde provisioning in plaats van handmatig herstel. Security- en Compliance-frameworks zoals NIST 800-190 en de CIS Kubernetes Benchmark sluiten goed aan op deze architectuur, wat auditcomplexiteit en remediatie-inspanningen vermindert.

(Het codevoorbeeld voor secret management binnen één configuratiebestand blijft ongewijzigd.)

Certificate.yaml
{{- range .Values.ingress.tls }}
{{- if eq .provider "ckms" }}
# Option 1: automatic certificate and key from a key management store (rotated every 3
months)
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: {{ .secretName }}
namespace: {{ $.Release.Namespace }}
spec:
secretName: {{ .secretName }}
renewBefore: {{ $.Values.certificate.renewBefore }}
subject:
organizations:
- {{ $.Values.certificate.organization }}
countries:
- {{ $.Values.certificate.country }}
organizationalUnits:
- {{ $.Values.certificate.organizationalUnit }}
{{ with index .hosts 0 }}
commonName: {{ . }}
{{- end }}
isCA: false
privateKey:
algorithm: RSA
encoding: PKCS1
size: 4096
rotationPolicy: Always
usages:
- server auth
dnsNames:
{{- range .hosts }}
- {{ . }}
{{- end }}
issuerRef:
name: ckms--clusterissuer
kind: ClusterIssuer
group: cert-manager.io
{{- else if eq .provider "vault" }}
# Option 2: certificate and key from Hashicorp Vault key value store
---
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
name: {{ .secretName }}
namespace: {{ $.Release.Namespace }}
spec:
refreshInterval: "15s"
secretStoreRef:
# kubectl get css

name: {{ $.Values.vaultBackend }}
kind: ClusterSecretStore
target:
name: {{ .secretName }}
template:
type: kubernetes.io/tls
data:
- secretKey: tls.key
remoteRef:
key: otap/{{ $.Release.Namespace }}/{{ $.Release.Name }}/certificates/{{
.secretName }}
property: key
- secretKey: tls.crt
remoteRef:
key: otap/k8s-tst/{{ $.Release.Namespace }}/{{ $.Release.Name }}/certificates/{{
.secretName }}
property: certificate
{{- else if eq .provider "file" }}
# Option 3 (for debug): certificate and key from data in values (files)
---
apiVersion: v1
kind: Secret
metadata:
name: {{ .secretName }}
namespace: {{ $.Release.Namespace }}
type: kubernetes.io/tls
data:
tls.key: |
{{ .key | b64enc }}
tls.crt: |
{{ .certificate | b64enc }}
{{- end }}
{{- end }}
With the relevant value.yaml section of the helmchart:
ingress:
enabled: true
className: "nginx" # Already outdated.. Consider Gateway API from the SIG-Network project
labels: {}
annotations: {}
# depending on annotations: https://cert-manager.io/docs/usage/ingress/#optional-
configuration
# kubernetes.io/tls-acme: "true"
hosts:
- host: fqdn
paths:
- path: /
pathType: Prefix
tls:
- secretName: app-certificate
provider: ckms
hosts:
- fqdn

Copy code

Extra Kubernetes-expertise nodig?

Klaar om Kubernetes veilig en efficiënt op schaal te deployen? Wij zijn SUE, je betrouwbare partner in het bouwen van veerkrachtige infrastructuur. Laten we complexiteit omzetten in mogelijkheden. Neem vandaag nog contact met ons op en start je Kubernetes-reis.

Delen:
Delen:
Inhoudsopgave
Blijf op de hoogte
Door je in te schrijven voor onze nieuwsbrief verklaar je dat je akkoord bent met onze privacyverklaring.

Ready to deploy Kubernetes at scale?

stefan.behlen 1
Stefan Behlen

Let's talk!

info@sue.nl +31 345 656 666 LinkedIn

Ready to deploy Kubernetes at scale?

* required

By sending this form you indicate that you have taken note of our Privacy Statement.

Related articles

29.07.2024

Bootable containers: transformeer je businessinfrastructuur

Author: SUE
Applicatie Modernisatie Cloud migratie Platform Engineering
24.09.2025

Digitale Soevereiniteit; het is toch gewoon politiek? (Deel 1)

Author: Maurice Mouw
Cloud Security
08.12.2025

Van zero naar inzicht: hoe je start met observability met Elastic Cloud

Authors: Joost Lont, Ricky Latupeirissa
Cloud migratie Cloud Security Platform Engineering
Privacy Overview
This website uses cookies. We use cookies to ensure the proper functioning of our website and services, to analyze how visitors interact with us, and to improve our products and marketing strategies. For more information, please consult our privacy- en cookiebeleid.