Blog
Notizen vom Cloud-Maschinenraum
Praxisnahe Texte zum Betrieb von AWS, GCP und Azure im großen Maßstab.
30. Mai 2026 · 1 Min. Lesezeit
MySQL-zu-Postgres-Migration — wann es sich lohnt, die Stolperfallen und der pgloader-Workflow
Wir haben Datenbanken in beide Richtungen migriert. Hier ist der ehrliche Entscheidungsrahmen, die Datentyp-Fallen, die jedes Team beißen, und das Migrations-Runbook, das wir über Kundenengagements verfeinert haben.
Artikel lesen28. Mai 2026 · 1 Min. Lesezeit
RHEL 9 zu RHEL 10 mit Leapp — die Pre-Flight-Checks und die Stolperfallen, die wir treffen
In-Place-Major-Version-Upgrades sind auf RHEL jetzt echt machbar. Sie sind aber nicht Fire-and-Forget. Hier ist der Leapp-Workflow, den wir fahren, die Probleme, die wir zutage fördern, und wann wir noch Fresh-Installs bevorzugen.
Artikel lesen28. Mai 2026 · 1 Min. Lesezeit
OpenTelemetry für Node.js — die Verdrahtung, die in Produktion tatsächlich funktioniert
OpenTelemetry hat die Distributed-Tracing-Debatte gewonnen. So instrumentieren wir Node-Services, so exportieren wir nach OTLP, und die Fehler, die wir schon gemacht haben, damit Sie sie nicht wiederholen müssen.
Artikel lesen27. Mai 2026 · 1 Min. Lesezeit
WP-CLI-Operationen im großen Stil — 200 WordPress-Sites aus einem Terminal betreiben
Die WP-CLI-Patterns, mit denen wir Hunderte von WordPress-Sites betreiben, ohne den Verstand zu verlieren — die Multi-Site-Schleife, die Dry-Run-Disziplin und das Audit-Skript.
Artikel lesen27. Mai 2026 · 1 Min. Lesezeit
Postgres-Replikations-Patterns 2026 — Patroni, Managed Services und die Failover-Story
Wann Sie Ihren eigenen Patroni-Cluster betreiben sollten, wann Managed Postgres, und die Failover-Semantiken, die niemand erklärt, bevor die Produktion kaputtgeht.
Artikel lesen27. Mai 2026 · 1 Min. Lesezeit
Die Laravel-Migrationen, die Produktion brechen — und die sicheren Patterns, die wir stattdessen nutzen
Spalte umbenennen, Spalte droppen, Typ ändern, NOT NULL hinzufügen — jedes davon hat einen „funktioniert auf Staging, bricht um Mitternacht in Produktion“-Fehlermodus.
Artikel lesen26. Mai 2026 · 1 Min. Lesezeit
SELinux in Produktion — der Workflow, der tatsächlich funktioniert, und die AVC-Denials, die wir immer wieder finden
Setenforce 0 ist keine Strategie. Hier ist der SELinux-Workflow, den wir auf jedem gemanagten RHEL-Host nutzen, einschließlich der Custom-Policy-Module und der Debugging-Schritte in Reihenfolge.
Artikel lesen26. Mai 2026 · 1 Min. Lesezeit
Upgrade auf PHP 8.3 in Produktion — das Migrations-Playbook für Laravel-, Symfony- und WordPress-Flotten
PHP 8.3 ist reif, schnell, und die Deprecation-Oberfläche von 8.1/8.2 aus ist klein, aber scharf. Hier ist das gestaffelte Playbook, das wir nutzen, um Kunden-Flotten ohne Vorfall umzustellen.
Artikel lesen26. Mai 2026 · 1 Min. Lesezeit
Die npm-Supply-Chain 2026 — Lockfiles, Sigstore, Socket und die Angriffe, die wir gesehen haben
npm ist die größte Software-Supply-Chain der Geschichte und die am meisten angegriffene. Hier ist das Threat Model für 2026 und die Kontrollen, die wir auf jedem gemanagten Node.js-Stack ausliefern.
Artikel lesen26. Mai 2026 · 1 Min. Lesezeit
MySQL-Slow-Query-Tuning — der EXPLAIN-getriebene Workflow, den wir auf Kundendatenbanken nutzen
Slow Query Logs, EXPLAIN ANALYZE, performance_schema und die sieben Antipatterns, die wir bei fast jedem Audit finden.
Artikel lesen26. Mai 2026 · 1 Min. Lesezeit
Multi-Arch-Docker-Builds 2026 — ARM und x86 aus derselben Pipeline ausliefern
Graviton, Ampere und Apple Silicon machen ARM in Produktion real. So bauen wir Multi-Arch-Images, die überall laufen, ohne 3× Build-Zeit.
Artikel lesen24. Mai 2026 · 1 Min. Lesezeit
Nginx vs HAProxy vs Envoy — ein ehrlicher Vergleich 2026
Drei exzellente Proxies, drei verschiedene Sweet Spots. Wo wir jedes für Kunden deployen, und die Fehlermodi, die entscheiden, welches zu wählen.
Artikel lesen24. Mai 2026 · 1 Min. Lesezeit
EKS vs GKE vs AKS 2026 — ein ehrlicher Feldvergleich
Wir betreiben alle drei für Kunden. Hier ist, wo jedes leise gewinnt, wo es verliert, und das Entscheidungsraster, das wir tatsächlich nutzen.
Artikel lesen23. Mai 2026 · 1 Min. Lesezeit
Postgres Autovacuum, entmystifiziert — das Tuning, das die 3-Uhr-Wraparound-Panik verhindert
Autovacuum-Fehler sind leise, bis sie es nicht mehr sind. Hier ist, wie es tatsächlich funktioniert, die Metriken, die zählen, und das Tuning pro Tabelle, das wir auf Kundendatenbanken anwenden.
Artikel lesen23. Mai 2026 · 1 Min. Lesezeit
PM2 vs Cluster vs Container — wie wir Node.js 2026 betreiben
PM2 war 2018 die richtige Antwort. Das Cluster-Modul war es davor. 2026 hängt die Antwort davon ab, worauf Sie optimieren.
Artikel lesen22. Mai 2026 · 1 Min. Lesezeit
Eine 50-GB-WooCommerce-Site ohne Downtime migrieren — das Runbook, das wir verwenden
Große WooCommerce-Migrationen scheitern auf vorhersehbare Weise. Hier ist das Runbook, dem wir folgen, die Stolperfallen, die zu planen sind, und das Cutover-Skript, das alles zusammenbindet.
Artikel lesen22. Mai 2026 · 1 Min. Lesezeit
Composer-Supply-Chain 2026 — die Audits, Locks und Signaturkontrollen, die wir standardmäßig ausliefern
Composer ist der größte Einstiegspunkt in PHP-Anwendungen. Nach drei Jahren Angriffen auf Packagist sind die Kontrollen, die jeder PHP-Shop haben sollte, nicht mehr optional.
Artikel lesen22. Mai 2026 · 1 Min. Lesezeit
Nginx, HTTP/3 und eine TLS-Konfig, die tatsächlich aktuell für 2026 ist
QUIC-Support, TLS 1.3, OCSP-Stapling, Cipher-Härtung und die kleinen Details, die entscheiden, ob Ihr Edge auf jedem TLS-Scanner ein A+ oder ein C bekommt.
Artikel lesen22. Mai 2026 · 1 Min. Lesezeit
Von Docker Compose zu Kubernetes — die Migration, die nicht schmerzhaft sein muss
Ein gestaffeltes Migrations-Playbook von docker-compose zu Kubernetes, inklusive der Patterns, die sauber übersetzen, und derer, die ein Umdenken erfordern.
Artikel lesen21. Mai 2026 · 1 Min. Lesezeit
kpatch auf RHEL — Kernel-CVEs patchen ohne den Reboot
Live-Kernel-Patching ist real, supportet und nützlich. Es ist auch keine Silver Bullet. Hier ist, wie wir kpatch in Produktion nutzen, und wo wir noch rebooten.
Artikel lesen21. Mai 2026 · 1 Min. Lesezeit
Postgres-Connection-Pooling mit PgBouncer — die Patterns, die wir in Produktion fahren
Transaction-Mode, Session-Mode, Prepared Statements und die Cluster-Topologie-Entscheidungen, die bestimmen, ob PgBouncer hilft oder schadet.
Artikel lesen21. Mai 2026 · 1 Min. Lesezeit
Das Node.js-Memory-Leak-Playbook — Heap-Snapshots, clinic.js und die vier Patterns, die wir immer wieder finden
Die meisten Node.js-Memory-Leaks sind nicht exotisch. Es sind dieselbe Handvoll Patterns, die in Produktion immer wieder auftauchen. So diagnostizieren wir sie.
Artikel lesen20. Mai 2026 · 1 Min. Lesezeit
Gestaffeltes Rate Limiting in Nginx — von limit_req_zone bis Cloudflare und zurück
Wie wir Rate Limiting auf Edge, Perimeter und Origin stapeln, um Scraper, Brute-Force-Versuche und gelegentliches volumetrisches DDoS zu absorbieren, ohne den Bereitschaftsdienst zu wecken.
Artikel lesen20. Mai 2026 · 1 Min. Lesezeit
Zero-Downtime-Laravel-Deploys — die Atomic-Symlink-Pipeline, die Queues ehrlich hält
Was es tatsächlich braucht, um Laravel zu deployen, ohne Requests fallen zu lassen oder Jobs zu verlieren: atomare Releases, der Queue-Worker-Tanz, OPcache-Reset-Timing, und die Envoyer-artige Pipeline, die wir ausliefern.
Artikel lesen20. Mai 2026 · 1 Min. Lesezeit
Das CIS-orientierte Kubernetes-Sicherheits-Baseline, das wir am ersten Tag ausliefern
Pod Security Standards, Kyverno-Policies, NetworkPolicies, Audit-Logging — die Kontrollen, die wir auf jeden Kundencluster anwenden, bevor Workloads ankommen.
Artikel lesen19. Mai 2026 · 1 Min. Lesezeit
OPcache und JIT in PHP-8.3-Produktion — was tatsächlich den Unterschied macht
OPcache ist Pflicht. JIT ist bedingt. Hier ist die Produktions-Konfig, die wir ausliefern, die JIT-Modus-Debatte mit Zahlen geklärt, und die Workloads, bei denen JIT wirklich schadet.
Artikel lesen19. Mai 2026 · 1 Min. Lesezeit
MySQL-Backups, die wirklich wiederherstellen — XtraBackup, Binlogs und der vierteljährliche Drill
mysqldump ist keine Produktions-Backup-Strategie. Hier ist das Percona-XtraBackup + Binlog-PITR-Setup, das wir deployen, und der Restore-Drill, der es ehrlich hält.
Artikel lesen19. Mai 2026 · 1 Min. Lesezeit
WordPress 2026 härten — die Checkliste, die wir auf Kundensites tatsächlich anwenden
Die meisten WordPress-Sicherheits-Guides sind zu 80 % Rauschen. Hier sind die Kontrollen, die die Angriffe, die wir jede Woche sehen, tatsächlich stoppen.
Artikel lesen19. Mai 2026 · 1 Min. Lesezeit
Dockerfile Best Practices 2026 — die Patterns, die wirklich zählen
Die meisten Dockerfile-Guides sind veraltet. Hier sind die Patterns, die sich in Produktion auszahlen: Multi-Stage-Builds, Cache-Mounts, Distroless-Basen und die Rootless-Story.
Artikel lesen18. Mai 2026 · 1 Min. Lesezeit
Die Nginx-Reverse-Proxy-Patterns, die wir tatsächlich in Produktion fahren
Upstream-Blöcke, Keepalive-Tuning, Header-Forwarding und die X-Forwarded-For-Kette. Die Reverse-Proxy-Konfig, die wir auf den Edge jedes Kunden kopieren.
Artikel lesen18. Mai 2026 · 1 Min. Lesezeit
Ein pragmatisches Argo-CD-Setup — GitOps, das den Kontakt mit der Realität übersteht
GitOps wird als Magie verkauft. In der Praxis passiert die Magie, wenn Repo-Struktur, Sync-Wave-Orchestrierung und Ihre Secrets-Strategie zusammenarbeiten. Hier ist das Layout, das wir betreiben.
Artikel lesen17. Mai 2026 · 1 Min. Lesezeit
Apache zu Nginx migrieren — die Übersetzungs-Patterns und das Playbook, das wir nutzen
Die meisten Apache-zu-Nginx-Migrationen bleiben bei .htaccess hängen. Hier sind die Übersetzungstabelle, die Stolperfallen und das Playbook, das eine echte Site ohne Überraschungen umstellt.
Artikel lesen16. Mai 2026 · 1 Min. Lesezeit
Ubuntu-Server-24.04-Fresh-Install-Härtungs-Checkliste
Die exakten Schritte, die wir auf jedem neuen Ubuntu-24.04-Host ausführen, bevor irgendeine Workload landet — SSH, UFW, fail2ban, AppArmor, auditd, und die kleinen Details, die tatsächlich zählen.
Artikel lesen15. Mai 2026 · 1 Min. Lesezeit
FastAPI auf Kubernetes — das Produktions-Deployment, das wir standardmäßig ausliefern
Pydantic v2, ASGI-Server-Wahl, OpenAPI in CI, Health Checks und die Kubernetes-Manifeste, die wir auf jeden neuen FastAPI-Service anwenden.
Artikel lesen15. Mai 2026 · 1 Min. Lesezeit
Den CIS-Ubuntu-Benchmark anwenden — die Kontrollen, die zählen, und die, die wir überspringen
Ein pragmatischer Durchlauf durch CIS Ubuntu 22.04 und 24.04 Level 1 und Level 2: welche Kontrollen die Angreifer-Ökonomie bewegen, welche gelbe Häkchen für Auditoren erzeugen, und wie man im großen Stil auditiert.
Artikel lesen15. Mai 2026 · 1 Min. Lesezeit
Apache-TLS-Härtung 2026 — Cipher, OCSP-Stapling und die Cert-Renewal-Pipeline
TLS 1.3 ist der Default, aber die meisten Apache-Installationen haben noch Konfig aus den Ciphersuite-Kriegen von 2018. Hier ist, was heute tatsächlich in Ihre SSL-Konfig gehört.
Artikel lesen14. Mai 2026 · 1 Min. Lesezeit
Canonical Livepatch in Produktion — Kernel-CVEs patchen, ohne neu zu starten
Wie Livepatch tatsächlich funktioniert, was es patchen kann und was nicht, die Ökonomie der Pro-Subscription, und die Alternativen, falls Sie es nicht nutzen können oder wollen.
Artikel lesen14. Mai 2026 · 1 Min. Lesezeit
RHEL im großen Stil managen — Satellite, Content Views und der Lifecycle, den wir tatsächlich ausliefern
subscription-manager ist okay, bis Sie 300 Hosts haben. Hier ist das Satellite-Layout, das RHEL-Flotten gesund, gepatcht und auditierbar hält.
Artikel lesen14. Mai 2026 · 1 Min. Lesezeit
Python-Abhängigkeitssicherheit 2026 — pip-audit, Lockfiles und die PyPI-Angriffe, die wir immer wieder sehen
Supply-Chain-Angriffe auf PyPI sind mittlerweile Routine. Hier ist die Toolchain, die wir fahren, die Lockfile-Disziplin, die wir erzwingen, und die Alerts, auf die wir tatsächlich reagieren.
Artikel lesen14. Mai 2026 · 1 Min. Lesezeit
ModSecurity und das OWASP CRS — die WAF-Regeln, die wir tatsächlich auf Apache ausliefern
Die meisten ModSecurity-Installationen sind entweder standardmäßig aus oder so laut, dass niemand die Logs liest. So tunen wir es, damit es nützlich ist, ohne in False Positives zu ertrinken.
Artikel lesen13. Mai 2026 · 1 Min. Lesezeit
unattended-upgrades auf Ubuntu so konfigurieren, wie Produktion es wirklich braucht
Welche Sicherheits-Patches Sie automatisch angewendet haben wollen, welche nicht, und wie wir Reboots über eine Flotte von Tausenden Servern handhaben.
Artikel lesen13. Mai 2026 · 1 Min. Lesezeit
Celery in Produktion — Broker-Wahl, Retry-Semantik und was Flower Ihnen tatsächlich sagt
Redis vs RabbitMQ, idempotente Tasks, das Retry-Backoff, das wir standardmäßig anwenden, und das Monitoring, das Probleme fängt, bevor Nutzer es bemerken.
Artikel lesen13. Mai 2026 · 1 Min. Lesezeit
MySQL-Hochverfügbarkeit 2026 — Galera, InnoDB Cluster oder asynchrone Replicas?
Drei echte HA-Ansätze für MySQL, was jeder tatsächlich bringt, und der Entscheidungsbaum, den wir beim Aufbau von Kunden-Clustern nutzen.
Artikel lesen13. Mai 2026 · 1 Min. Lesezeit
Laravel Octane in Produktion — RoadRunner vs Swoole vs FrankenPHP
Wir haben Dutzende Laravel-Apps auf Octane mit drei verschiedenen Runtimes migriert. So vergleichen sich RoadRunner, Swoole und FrankenPHP bei Durchsatz, Speicher, Deployment-Ergonomie und Fehlermodi.
Artikel lesen13. Mai 2026 · 1 Min. Lesezeit
Apache MPM event 2026 — den Thread-Pool dimensionieren, den wir tatsächlich betreiben
Prefork ist ein Museumsstück. Worker ist okay. Event ist, was Sie wollen — und die meisten Apache-Installationen, die wir auditieren, haben es falsch getunt.
Artikel lesen12. Mai 2026 · 1 Min. Lesezeit
Der WordPress-Cache-Stack, der Black Friday tatsächlich übersteht
Page Cache, Object Cache, Opcode Cache, Edge Cache — was jeder bringt, wo sie sich in die Quere kommen, und die Schichtreihenfolge, die unter Spitzenlast hält.
Artikel lesen12. Mai 2026 · 1 Min. Lesezeit
Gunicorn und Uvicorn in Produktion — das Worker-Tuning, das wir tatsächlich anwenden
Sync vs Async, die CPU-Zähl-Mathematik, das Gunicorn-mit-Uvicorn-Workers-Pattern und die Timeouts, die Python-Services unter Last gesund halten.
Artikel lesen12. Mai 2026 · 1 Min. Lesezeit
PHP-FPM-Pool-Tuning in Produktion — die static-vs-dynamic-vs-ondemand-Entscheidung
Die meisten PHP-Performance-Probleme sind kein PHP. Es ist Pool-Dimensionierung, Process-Manager-Modus, und ein Slowlog, das niemand liest. So tunen wir PHP-FPM auf echten Workloads.
Artikel lesen10. Mai 2026 · 1 Min. Lesezeit
Wöchentlich einen PostgreSQL-PITR-Restore-Drill fahren (hier ist unser Runbook)
Backups, die Sie nie wiederhergestellt haben, sind keine Backups. Unser wöchentlicher Point-in-Time-Recovery-Drill — was er testet, was wir automatisieren, und was wir noch von Hand machen.
Artikel lesen8. Mai 2026 · 1 Min. Lesezeit
Sechs Kubernetes-Kostenlecks, die wir auf fast jedem Cluster finden
Leere Namespaces, überdimensionierte Requests, EBS-Snapshot-Wucherung, NAT-Egress-Rechnungen — die wiederkehrenden Wege, wie K8s 25-40 % Ihres Compute-Budgets verbrennt.
Artikel lesen6. Mai 2026 · 1 Min. Lesezeit
Laravel Horizon in Produktion — Worker dimensionieren, Redis überleben, und die Retry-Strategie
Was wir aus dem Betrieb von Horizon für Laravel-Kunden gelernt haben, die Millionen Jobs am Tag verarbeiten: Worker-Autoscaling, Queue-Isolation, Retry-Semantik und die Konfigurationsfehler, die still Geld verbrennen.
Artikel lesen6. Mai 2026 · 1 Min. Lesezeit
Eine praktische Docker-Image-Supply-Chain: signiert, gescannt, attestiert
Cosign, Trivy, SBOMs und Admission-Policies — das Minimum an Container-Supply-Chain-Setup, das wir auf jedem Kundencluster ausliefern.
Artikel lesen