PTKE — Prime Telecom Kubernetes Engine

OpenStack zu betreiben bedeutet, Keystone, Nova, Neutron, Cinder, Swift und Octavia zu betreiben — jedes mit eigener API-Oberfläche, Authentifizierungsmodell und Fehlermodus. Darauf Kubernetes zu betreiben bedeutet, Rancher, RKE2, CAPI, Helm, Kubeconfig-Dateien und DaemonSets zu schichten. Mandanten eine saubere Self-Service-UI über all das zu geben — ohne die Low-Level-Verrohrung durchscheinen zu lassen oder die betriebliche Sicherheit zu brechen — ist der größte Teil der Arbeit.

Und alles muss strikt mandantenfähig sein. Quotas pro Mandant, getrennte OpenStack-Projekte, Audit-Trails bei jeder ändernden Aktion, SSH-Schlüssel nur auf den richtigen Nodes verteilt, Kubeconfig-Downloads, die nicht missbraucht werden können. Ein einziger geleakter Cluster oder eine mandantenübergreifende Aktion würde die Glaubwürdigkeit der Plattform für alle anderen zerstören.

Laravel 12 + Inertia v2 + Vue 3 + Tailwind CSS v4 bietet Operatoren eine schnelle, typisierte Erfahrung ohne separate Frontend-Build-Pipeline. Wayfinder generiert typisierte Route- und Action-Clients, sodass jede Vue-Seite über geprüfte Verträge mit dem Backend spricht. Fortify übernimmt Sessions, 2FA und E-Mail-Verifikation; Sanctum gibt API-Tokens für den Terraform-Provider und Automatisierungs-Consumer aus.

Das Backend ist als Controllers → Form Requests → Services → Jobs strukturiert. Arbeit, die länger als ein paar Sekunden dauert, geht immer über die Queue. Elf OpenStack-Service-Wrapper sitzen vor Keystone, Nova, Neutron, Cinder, Swift und Octavia; eine separate Wrapper-Ebene spricht mit Rancher (v1, v3 und CAPI) für den Cluster-Lebenszyklus. Achtundzwanzig Queue-Jobs orchestrieren Provisioning, Node-Pool-Änderungen, Backups, Health Checks, Nutzungsaufzeichnung und SSH-Key-Verteilung. Horizon überwacht sie; Reverb streamt WebSocket-Updates zurück in den Browser des Operators, sodass Zustandsänderungen sich unmittelbar anfühlen.

Die Mandantenfähigkeit wird Ende-zu-Ende durchgesetzt: Jede ändernde Aktion durchläuft eine Policy mit Mandantenprüfung plus einer Spatie-Berechtigung, Quotas werden bei jeder Ressourcenzuweisung angewendet, und Rate-Limiting läuft pro Benutzer und pro Mandant. Kubeconfig-Downloads werden im Audit-Log protokolliert und gedrosselt. SSH-Private-Keys berühren die Plattform nie — ein In-Cluster-DaemonSet (ptke-ssh-sync) verteilt nur öffentliche Schlüssel in Kubernetes Secrets innerhalb des eigenen Clusters jedes Mandanten.

PTKE ist in Produktion und liefert Managed Kubernetes auf souveräner rumänischer Infrastruktur. Operationen, die früher einen Plattformingenieur in einer Ticket-Warteschlange erforderten — Cluster-Provisioning, Upgrades, Volume-Attach/-Detach, Add-on-Installation, Backup/Restore — sind jetzt Zwei-Klick-Self-Service-Aktionen mit vollständigen Audit-Trails und einer typisierten REST-API. Ein Beta-Terraform-Provider erweitert denselben Vertrag auf Infrastructure-as-Code-Workflows.