Das ist der Teil von «Betreiben Sie Ihr eigenes Kubernetes», den niemand für die Konferenzfolie fotografiert: Der Cluster ist nur so zuverlässig wie sein erster Bootvorgang. Ein Entwickler namens Onat auf onatm.dev hat gerade eine saubere Anleitung zum Bereitstellen eines privaten Talos-Clusters auf Hetzner Cloud veröffentlicht — keine öffentlichen IPs auf der Control-Plane, keine öffentlichen IPs auf den Workern, Zugriff nur über ein Tailscale Tailnet. Der Cluster ist vom ersten Boot privat, nicht privat, nachdem Sie sich erinnern, die Tür zu schliessen.

Für eine kleine Architektur- oder Computational-Design-Praxis ist dieser Satz wichtiger als das Wort «Kubernetes» selbst. Sie jagen nicht nach Hyperscale. Sie wollen eine Handvoll EU-gehosteter Maschinen, die Ihre Tools betreiben, die Sie tatsächlich verstehen, und die jemand neu aufbauen kann, wenn Sie gehen.

←TODAY: Im Jahr 2026 können Sie einen in Deutschland gehosteten (Hetzner, nbg1) Cluster mit null öffentlichen IPs hochfahren — der API-Endpunkt ist eine private 10.0.x-Adresse eines Nodes, erreichbar nur innerhalb Ihres Tailnets.
→3012: Nach den Archivstandards von 3012 ist Infrastruktur, die nicht aus Klartext reproduzierbar ist, bereits verlorene Infrastruktur.
Fulcrum: Ein Cluster, der ganz in Terraform plus YAML definiert ist, ist heute lauffähig und für jeden, der ihn an einem Dienstag 2051 übernimmt, lesbar.

Das Tool: Der Protagonist ist Talos Linux, bereitgestellt durch die offene hcloud-talos/terraform-hcloud-talos-Referenz (Terraform + Packer). Talos ist ein unveränderliches, API-gesteuertes Linux, das nur zum Kubernetes-Node wird — kein Paketmanager, kein SSH, niemand pokert auf Servern um 23:00. Sie übergeben ihm die Maschinenkonfiguration; es wird ein Node. Das ist die ganze Persönlichkeit. Für jeden, der elf Jahre lang gesehen hat, dass «jemand ändert etwas auf der Box und schreibt es nicht auf» einen Workflow zerstört, ist ein OS ohne Shell zum Anmelden keine Limitation. Es ist Therapie.

Einrichtung:

# 1. Holen Sie sich die Referenz Terraform + Packer
git clone https://github.com/hcloud-talos/terraform-hcloud-talos.git
cd terraform-hcloud-talos

# 2. Bauen Sie einen bootbaren Talos-Snapshot auf Hetzner (Packer)
export HCLOUD_TOKEN=your_hetzner_api_token
packer init .
packer build -var 'talos_version=v1.11.3' .

# 3. Bereitstellen Sie den privaten Cluster
terraform init
terraform apply

# 4. Beweisen Sie, dass es funktioniert (von innen in Ihrem Tailnet)
export TALOSCONFIG=./talosconfig
export KUBECONFIG=./kubeconfig
kubectl get nodes -o wide

Erste Schritte:

1. Image bauen. Hetzner bietet Talos nicht als Standardimage an, daher startet Packer einen Wegwerf-Server, schreibt das rohe Talos-Image aus der Talos Image Factory auf die Festplatte und speichert einen Snapshot – gekennzeichnet mit os=talos,version=v1.11.3,arch=amd64, damit Terraform ihn nach Selektor findet, nie nach brüchigem Namen.
2. Cluster gestalten. In der Worker-Pool-Map deklarieren Sie zwei Pools – einen platform-Pool (cx33, führt ArgoCD und Platform-Teile aus) und einen general-Pool (cx23, führt Ihre eigentlichen Apps aus). Jeder Pool bekommt sein eigenes CIDR und eine Hetzner-Platzierungsgruppe, damit die Nodes über physikalische Hosts verteilt werden.
3. Anwenden, dann schauen. terraform apply erstellt Hetzner-Server mit deaktiviertem öffentlichen Netz, Talos generiert die Geheimnisse und bootstrapt den ersten Control-Plane-Node, und Sie erhalten eine kubeconfig zurück. Führen Sie Schritt 4 aus – wenn kubectl get nodes antwortet, sprechen Sie mit einem Cluster, den das öffentliche Internet buchstäblich nicht sehen kann.

Der Kompromiss, deutlich gesagt: «privat vom ersten Boot an» bedeutet, Sie sind jetzt das Netzwerk. Wenn Ihr Tailnet falsch konfiguriert ist, haben Sie sich selbst aus Ihrer eigenen Control-Plane ausgesperrt, und es gibt kein SSH-Rettungsloch beim Design. Der Tailscale Kubernetes Operator Quickstart lohnt sich zu lesen, bevor Sie ihn brauchen, nicht während. Das KSail-Projekt dokumentiert einen alternativen Talos-auf-Hetzner-Pfad, falls Sie ein zweites mentales Modell zum Vergleichen möchten.

Atelier: Das ist das Rückgrat der souveränen Rechnerleistung, nach dem ein Schweizer Studio greift, wenn es einen Speckle-Server, ShapeDiver-Grasshopper-Compute oder ein internes BIM-Tool auf EU-Boden hosten will – in Hetzners Nürnberg- oder Helsinki-Regionen – statt einen Black-Box von einem US-Hyperscaler zu mieten. Datensouveränität ist nicht mehr bloss eine Klausel, über die Ihr Anwalt nachdenkt, sondern wird zu einem CIDR-Bereich, auf den Sie zeigen können. PAZ hat diesen angrenzenden Thread bereits behandelt: Unser Artikel über ZTASPs Zero-Trust-Architektur argumentierte, dass «jeden Agenten verifizieren» «dem Umfang vertrauen» schlägt – ein von-Boot-privater Cluster ist dieser gleiche Instinkt, angewandt auf Ihre eigenen Maschinen.

Hack: Dieser Hack lehrt Sie, jeden Node auf Private-Only zu bestätigen, bevor Sie dem Cluster echte Arbeit vertrauen. Die Domäne ist Workflow – der Zug ist das Prüfen von Adressen, nicht das Annehmen. Führen Sie dies von innen im Tailnet aus; jede routbare öffentliche Adresse in der Ausgabe ist ein Leck, das Sie heute beheben, nicht nächsten Sprint.

# jede Node-IP sollte RFC-1918 sein (10.x / 172.16-31 / 192.168)
kubectl get nodes -o wide --no-headers | awk '{print $1, $6}'
talosctl --nodes 10.0.128.17 get addresses | grep -vE '10.|172.(1[6-9]|2[0-9]|3[01]).|192.168.'

Falls die zweite Zeile nichts druckt, Glückwunsch – nichts Öffentliches versteckt sich auf Ihren Nodes.

Das ist die Langzeitansicht, denn das ist mein ganzer Schwerpunkt. Die Gebäude, die in meiner Zeit schlecht alterten, waren nicht die hässlichen; sie waren jene, die niemand reparieren konnte, weil das proprietäre Format 2041 obsolet wurde. Das gleiche Schicksal verzehrt Infrastruktur. Ein verwalteter Cluster ist praktisch, bis die Konsole sich ändert, die API veraltet, und die institutionelle Erinnerung zur Tür hinausgeht. Ein Talos-Cluster ist Klartext den ganzen Weg – HCL, YAML, ein beschrifteter Snapshot, eine Git-Historie. Wenn der Hersteller verschwindet, kann ein 25-Jähriger ihn aus dem Repo noch aufbauen? Mit diesem Stack, ja. Wählen Sie dieses Quartal den Tool-Stack, der diese Frage mit Ja beantwortet, und geben Sie das Ganze in Git ein, bevor Sie damit angeben.

Quelle: Hacker News · kubernetes