Wenn Systeme miteinander kommunizieren, stellt sich immer die Frage: Wie weist sich ein System gegenüber einem anderen aus? Ein Microservice, der nachts einen Batchjob ausführt, ein CI/CD-System, das Deployments anstößt, oder ein Backend, das im Hintergrund auf eine API zugreift – all diese Szenarien brauchen eine Systemidentität.

Die klassischen Lösungen für dieses Problem – API-Keys, technische Benutzerkonten oder Shared Secrets – haben alle ihre Schwächen. Keycloak bietet mit Service Accounts eine deutlich bessere Alternative, die auf dem bewährten OAuth 2.0 Standard aufbaut.

Sensoren, Kameras und industrielle Geräte erzeugen kontinuierlich Daten, die zunehmend direkt durch AI analysiert werden, oft in Echtzeit und möglichst nahe an der Datenquelle. AI übernimmt mehr und mehr Aufgaben wie Vorhersage, Muster erkennung, Entscheidungsfindung und Ausführung sowie Datenmanagement. Literature Review on AI in IoT Systems Damit solche Systeme zuverlässig funktionieren, benötigen sie eine Kommunikationsschicht, die leichtgewichtig, skalierbar und eventbasiert ist.

Genau hier kommt MQTT ins Spiel.

Das Publish-Subscribe-Protokoll wurde ursprünglich für ressourcenbeschränkte Geräte und instabile Netzwerke entwickelt, hat sich jedoch schnell zu einem zentralen Baustein moderner IIoT-Architekturen entwickelt. Durch seinen geringen Overhead und die lose Kopplung zwischen Komponenten und Systemen eignet sich MQTT besonders gut, um Datenströme zwischen Geräten, AI-Systeme und Backend-Systemen zu orchestrieren.

In diesem Artikel werfen wir einen Blick darauf, warum MQTT eine ideale Grundlage für die Kommunikation von Agenten und Model Context Protocol (MCP) Systemen darstellt.

Beim Login über Keycloak werden Nutzer auf dessen Anmeldeseite weitergeleitet. Wer jedoch bereits mit Keycloak gearbeitet hat, weiß, dass das standardmäßige Styling der Login-Maske oft nicht zur visuellen Identität der eigenen Anwendung oder Website passt.

In den folgenden Abschnitten werfen wir einen genaueren Blick auf die verschiedenen Ansätze, mit denen sich das Erscheinungsbild der Keycloak-Seiten anpassen lässt. Dabei unterscheiden sich die Möglichkeiten nicht nur im Funktionsumfang, sondern auch im Grad der Flexibilität und im benötigten Implementierungsaufwand.

Ab und zu kommen Wünsche, die sich extrem einfach mit Kubernetes umsetzen lassen würde, aber …​
Kubernetes ist viel zu komplex!
Wir haben kein Kubernetes!
Es ist doch nur ein Server (aber Ausfallsicherheit brauchen wir schon) …​

Wie könnte also ein unterbrechungsfreies Deployment aussehen, wenn lediglich Docker und Docker Compose zur Wahl stehen, und was sind die Tradeoffs, die damit einher gehen?
Schauen wir es uns an einem praktischen Beispiel an.

GitLab hat mit GitLab CI eine angenehme Integration von Builds in die Repositoryverwaltung. Damit lassen sich Pipelines umsetzen, die schnelles Feedback liefern und damit helfen, die Software- und Systemqualität zu verbessern.
Die GitLab CI Runner helfen dabei, den Build zu skalieren, damit es auch hier nicht zu unnötigen Verzögerungen kommt.

Doch was, wenn der Wunsch besteht, dass genau das passiert? Es soll bis zu einem gewissen Zeitpunkt verzögert werden, da die bisherige Anwendung noch Session-basiert ist, und zu einem Zeitpunkt mit der geringsten Wahrscheinlichkeit für Störungen das Deployment erfolgen soll.

etcd spielt in Kubernetes Clustern typischerweise eine essentielle Rolle, denn hier wird der gesamte Zustand des Clusters gehalten. Die einzelnen Kubernetes API Server Instanzen selbst sind zustandslos.

etcd ist ein verteilter Key-Value-Store, der mit Multi-Version-Concurrency-Control arbeitet und darüber Change-Notification and Zugriff auf ältere Versionen ermöglicht.

Die Implementierung verwendet dazu einen Revisions-Zähler. Werden Daten gelöscht, hinzugefügt oder überschrieben, so werden diese Operationen stets zu einer neuen Revision assoziiert. Die vorheigen Zustände bleiben zunächst gespeichert, auch wenn sie überholt sind.

Damit diese quasi unendliche Geschichte nicht dazu führt, dass die Festplatte volläuft, müssen regelmäßig Wartungsaufgaben erfüllt werden.

Kubernetes speichert sämtliche Konfigurationsdaten des Clusters in einer Datenbank, typischerweise etcd.

etcd ist ein verteilter Key-Value-Store, durch mehrere Instanzen kann die Verfügbarkeit und Datensicherheit gewährleistet werden. Damit keine Daten verloren gehen, signalisiert etcd dem Betriebssystem per fsync()-Aufruf, dass ein sofortiges Schreiben auf Festplatte erfolgen soll.

Doch etcd kann auch zum Flaschenhals werden: Wenn keine Schreiboperationen möglich sind, ist auch die Clusteradministration blockiert. Ein weiterer Aspekt ist, dass selbst in einem relativ stabilen Cluster kontinuierliche Aktualisierungen diverser Kubernetes-Objekte erfolgen, wie z.B. zur Leader-Election.
Das führt zu recht hoher I/O-Last und kann bei günstigen SSDs/NVMe Speichern zu schneller Alterung führen.

Container haben den Betrieb von Softwaresystemen seit einigen Jahren modernisiert. Mit Docker, Podman und Kubernetes ist ein effizienter und automatisierter Betrieb möglich, der früher undenkbar war. Doch manchmal stört die Isolation, die Container mit sich bringen:
Was, wenn es gilt, den Inhalt eines Containers zur Laufzeit zu inspizieren und es ist keine Shell installiert?

Im Folgenden werden einige Methoden vorgestellt, mit denen das Frontend mit dem Backend kommunizieren kann, sowie weitere Methoden, die im Frontend und Backend eingesetzt werden können.