Spezifisch für Service-Provider (MSPs) entwickelte Datensicherung mit „Förderiertem Modus“. Als erste Plattform wird Gardener Kubernetes unterstützt…
Hintergrund
Betreiben MSPs eine K8s Plattform, mit der ihre Kunden arbeiten, kann die Datensicherung unter den Aspekten Sicherheit und Compliance zu einer Herausforderung werden. Dienstleister müssen die Cloud-Zugangsdaten ihrer Mandanten verwalten und die Sicherungsprozesse selbst können mit teils erheblichem manuellen Aufwand versehen sein – von der praktischen Bereitstellung von Kubernetes-Clustern, Anwendungen und VMs bis hin zu komplexen Tasks, die Backup-Statusinformationen über isolierte Kundenumgebungen hinweg abzugleichen.
Gängige Backup-Tools basieren meist auf einem zentralen Betriebsmodell, bei dem sich nachträglich implementierten Funktionen für die Mandantenfähigkeit (Multi-Tenancy) sowie rollenbasierte Zugriffssteuerung (RBAC) laut dem Anbieter als nicht ideal erweisen können.
Portworx Backup 3.0.0 von Portworx by Everpure verfolgt nach Angaben der Entwickler deshalb einen anderen Ansatz und führt den für MSPs konzipierten föderierten Modus ein. Als erste Plattform wird Gardener Kubernetes unterstützt; weitere Managed-Kubernetes-Plattformen sollen in der Zukunft folgen. (Quelle: Portworx)
Neues Betriebsmodell für Service-Provider
Wenn der Betreiber die Plattform verwaltet, die Ressourcen aber dem Mandanten (Tenant) gehören, ergeben sich laut Anbieter drei strukturelle Einschränkungen:
„Der Anbieter kann die Cloud-Zugangsdaten der Mandanten nicht zentral speichern, ohne ein Sicherheitsrisiko hinsichtlich der Verwaltung dieser sensiblen Daten einzugehen.
Er kann nicht davon ausgehen, dass für die gesamte Flotte ein einheitliches Cloud-Konto, ein einziger Identitätsanbieter oder ein einheitliches Compliance-Regelwerk gilt – jeder Mandant bringt seine eigenen Vorgaben mit, und das Backup-Produkt muss diese Heterogenität nativ unterstützen.
Zudem benötigt der Anbieter einen Überblick über den Betrieb der gesamten Flotte, ohne jeden Mandanten dazu zu zwingen, eingehende Netzwerkverbindungen zu seinen eigenen Clustern zu öffnen.“
Abb.: Screeshot, Portworx Backup 3.0.0: Purpose-Built Data Protection for Service Providers (Bildquelle: Portworx by Everpure).
Hinweis: Anmerkung: Portworx Backup 3.0.0 erfordert die Begleitversion Stork 26.3.0.
Externe Quelle > https://docs.portworx.com/portworx-backup-on-prem/release-notes
Externer link > https://hub.docker.com/r/openstorage/stork/tags
Föderierter Modus: Control Plane ohne gespeicherte Zugangsdaten
„Portworx Backup 3.0.0 realisiert die neue Architektur durch einen föderierten Modus. Durch die Bereitstellung parallel zu Portworx Enterprise auf den einzelnen Mandanten-Clustern verbleibt die Ausführung auf dem jeweiligen Cluster, während eine zentrale Control Plane Richtlinien, Zeitplanung und Transparenz für die gesamte Flotte verwaltet.
Im föderierten Modus werden Cloud-Zugangsdaten nicht auf dem Portworx Backup-Server gespeichert. Stattdessen authentifiziert sich jeder Anwendungscluster direkt am Backup-Speicherort mittels „Workload Identity“, während Stork die Backup-Vorgänge lokal abwickelt.
Keine Mandanten-Zugangsdaten auf dem zentralen Server
Der föderierte Modus ist direkt in Portworx Enterprise auf den Mandanten-Clustern integriert und nutzt so die bestehende Plattformkonfiguration ohne zusätzlichen Einrichtungsaufwand. Portworx Backup greift auf die bereits in Portworx Enterprise hinterlegte „Workload Identity“ zurück, was den Konfigurationsaufwand für Kunden verringern soll.
Die Unterstützung beginnt mit Azure Workload Identity; die entsprechenden Pendants für GCP und AWS (IRSA) folgen laut Anbieter in späteren Releases. Da die Zugangsdaten auf dem Cluster verbleiben, erhöht Portworx Backup 3.0.0 die Sicherheit für Managed Service Provider.“ Weitere Leistungsmerkmale der neuen Lösung betreffen (Quelle, Anbieter):
Keine Speicherung von Cloud-Zugangsdaten auf dem zentralen Server für Azure-basierte Workloads
Keine mandantenspezifischen Geheimnisse (Secrets), die rotiert werden müssen
Reduzierter Compliance-Umfang für den Anbieter.
Ausführung am Edge
Backup-Synchronisierung, Prüfungen auf fehlende Cloud-Dateien und das Löschen von Backups erfolgen innerhalb des Mandanten-Clusters über Stork – unter Verwendung der Identität des jeweiligen Mandanten und auf dessen eigenem Backup-Speicherort. Dies bedeutet:
"Unterstützung von Backup-Speichern, die innerhalb der Cluster-Umgebung des jeweiligen Mandanten isoliert sind
Isolierung von Sicherheitsvorfällen auf Kundenseite auf einen einzelnen Mandanten, wodurch die gesamte Flotte geschützt bleibt
Unabhängige, parallele Ausführung, die den Datenschutz organisch über große Flotten hinweg skaliert."
Kontinuierliche, föderierte Validierung
Die Erreichbarkeit der Cluster und der Status der Backup-Speicherorte werden innerhalb des gesamten föderierten Verbunds kontinuierlich überprüft. So soll der Betreiber jederzeit einen genauen Überblick darüber erhalten können, welche Mandanten-Cluster und Backup-Ziele einsatzbereit sind.
Die Validierung bleibt auch bei Änderungen der Flotte robust: Vorübergehend nicht erreichbare Mandanten-Cluster beeinträchtigen die Gesamtansicht der Flotte nicht. Diese Verbesserungen führen zu:
- Keinem Stillstand der Validierung durch einen einzelnen Offline-Cluster
- Deterministischer Übersicht über den Status der gesamten Flotte für den Betreiber.
Natives Onboarding für Gardener Kubernetes
Gardener ist ein von der Community verwaltetes Kubernetes-Angebot, das von Dienstanbietern genutzt wird, um Tausende von Clustern in großem Maßstab bereitzustellen und zu betreiben – mit einheitlichen Day-1- und Day-2-Abläufen über die unterstützten Infrastrukturen hinweg. Für Dienstanbieter, die auf Gardener setzen, erfolgt die Integration von Version 3.0.0 nativ, anstatt jeden „Shoot“-Cluster lediglich als generischen Kubernetes-Cluster zu behandeln.
Gardener-native Cluster-Erkennung
„Shoot“-Cluster werden automatisch über die Gardener-API mittels eines Service-Accounts auf Projektebene erkannt; zudem ruft Portworx Backup kurzlebige Kubeconfigs ab und rotiert diese. Dies soll ermöglichen:
Onboarding, das von Dutzenden bis zu Tausenden von „Shoot“-Clustern skaliert
Keine unkontrollierte Vermehrung von Kubeconfigs und keine langlebigen Zugangsdaten
Kein manuelles Eingreifen bei Änderungen im Cluster-Lebenszyklus
Unterstützung für Garden Linux und Gardener Kubernetes.
Die Portworx Backup-Runtime und die Kernel-Module laufen auf dem angepassten Kernel von Garden Linux, und die gesamte Control Plane wird auf von Gardener bereitgestellten „Shoots“ unterstützt. Dies kann folgende Vorteile haben:
- Keine strukturellen Hindernisse für auf Gardener basierende Dienstanbieter
- Keine Enterprise-Linux-Lizenzanforderungen für den Datenschutz-Stack
- Eine für Gardener und föderierte Workflows entwickelte Benutzeroberfläche.
Die Benutzeroberfläche der Version 3.0.0 ermöglicht Cluster-Onboarding, föderiertes Management von Backup-Speicherorten sowie die Konfiguration von Workload-Identitäten über Gardener-spezifische Ansichten. Die Identitätsprüfung erfolgt zudem per OIDC gegen Microsoft Entra ID; Anbieter können so ihren bestehenden Identitätsbereich auf das in Gardener bereitgestellte Portworx Backup ausweiten, ohne eine parallele Authentifizierungslösung einrichten zu müssen.“
Betriebstransparenz durch Pure1-Telemetrie
Portworx Backup 3.0.0 führt einen Pure1-Telemetriekanal ein, der laut dem Anbieter allen Portworx Backup-Kunden – ob im föderierten Modus oder anderweitig – zur Verfügung steht. Die Nutzung erfolgt auf Opt-in-Basis: Erst wenn der Kunde die Funktion aktiviert, werden Telemetriedaten an Pure1 übermittelt.
Deaktivierung ist laut Anbieter jederzeit möglich. Die Datenübertragung erfolgt gemäß den im „Everpure Trust Center“ veröffentlichten Richtlinien, sodass Kunden stets die Kontrolle darüber behalten sollen, welche Informationen sie an Portworx by Everpure weitergeben.
Überwachung des Backup-Status
"Der Cluster registriert sich bei Pure1, ruft signierte Zertifikate ab und überträgt Betriebsmetriken sowie Protokolle über diesen Kanal. Durch die Verknüpfung der Kunden-ID mit den UUIDs der integrierten Anwendungscluster steht dem Support-Team bei Anfragen sofort der richtige Kontext zur Verfügung.
Opt-in-Verfahren: Der Kunde entscheidet, wann die Telemetriefunktion aktiv ist
Umfang und Aufbewahrungsdauer der Telemetriedaten richten sich nach den veröffentlichten Richtlinien des Trust Centers
Keine manuelle Protokollerfassung bei Störfällen erforderlich."
Portworx Backup 3.0.0 ist laut Anbieter ab sofort allgemein verfügbar, ebenso wie die erforderliche Begleitversion Stork 26.3.0. Dies umfasst nach vorliegenden Informationen die Installation und Konfiguration des föderierten Modus für Portworx Backup parallel zu Portworx Enterprise.
Stand 01. Juni 2026.
Querverweis:
Unser Beitrag > Kubermatic kündigt Virtualization 1.1 KubeV Release und Load Balancer KubeLB 1.4 an
Unser Beitrag > Rubrik Agent Cloud (RAC): Neue Kontrollebene zu Agent Deployment und Cyberresilienz für Google Gemini Enterprise
Unser Beitrag > Everpure stellt ActiveCluster für Files, Anomalie-Erkennung mit Veeam und Evergreen//One für FlashBlade//EXA vor