Konzeption und Implementierung von Data Philter, einer Sovereign AI Enterprise-Grade Plattform für datenschutzkonforme KI-Agenten. Der Ansatz verfolgt eine Local-First -Strategie (Air-Gapped,On-Premise, Edge), bei der spezialisierte "Tool-Calling Agents" lokal oder in privaten Clustern laufen. Die Architektur ist über Kubernetes skalierbar und nutzt GPU-Beschleunigung (Nvidia GPU Operator) für High-Performance-Inferenz, integriert bei Bedarf aber auch Cloud-Modelle wie Azure OpenAI Service oder AWS Bedrock. Architektur und Entwicklung von Data Philter, einer agentenbasierten "Sovereign AI" Middleware. Fokus auf Public Sector (VS-NfD), DORA-konforme Umgebungen (Banken) und Industrial Edge. Bringt eine fertige "AI-in-a-Box" Architektur mit. Spart dem Kunden 6+ Monate Entwicklungszeit für Compliance-konforme KI. Die Architektur ist über Kubernetes skalierbar und nutzt GPU-Beschleunigung (Nvidia GPU Operator) für High-Performance-Inferenz. Sie bietet eine fertige "AI-in-a-Box" Lösung, die Entwicklungszeit massiv reduziert.

• Time-Series Datenbanken: Implementierung der Unterstützung für Time-Series-Datenbanken wie Apache Druid und ClickHouse für performante Echtzeitanalysen mittels natürlicher Sprache.
• Enterprise SQL: Direkte integration klassischer SQL-Datenbanken (PostgreSQL, MySQL, MariaDB, SQL Server, SAP HANA) um eine breite Unterstützung für relationale Standard-Datenbanken sicherzustellen.
• Dynamic Tooling: Entwicklung einer Agentic Workflow Engine zur dynamischen Generierung von MCP-Tools aus existierenden APIs (via Swagger/OpenAPI). Ergänzend wurde ein "SearchTool" für LLMs implementiert, das Agenten befähigt, aus einer umfangreichen Tool-Bibliothek selbstständig das passendste Werkzeug zu wählen und so Context-Window-Limitierungen zu umgehen.
• Multi Model Tool Calling: Flexibler Einsatz spezialisierter Modelle (Llama 3, Phi-4) für komplexe Aufgabenketten.
• Model Fine-Tuning: Implementierung effizienter Fine-Tuning-Pipelines (LoRA/QLoRA) zur Anpassung von Modellen an hochwertige interne Daten. Ergänzend wurden Techniken für iteratives Fine-Tuning basierend auf Feedback-Loops (Human-in-the-Loop) integriert.
• Agentic Mesh: Entwicklung und Validierung von "Agentic Mesh"-Konzepten zur effektiveren Sequenzierung und Clusterung von MCP- und API-Tool-Aufrufen, optimiert für kleinere Modelle.
• Grounding & Decontextualization: Sicherstellung von Fakten-Treue (Grounding) durch Tool-Verifikation und automatische Tool-Discovery. Nutzung von Vektorsuche in Tool-Calls sowie automatische Zusammenfassungen vorheriger Interaktionen zur Kontextoptimierung.
• Sovereign & Air-Gapped AI: Architektur läuft ohne Internetverbindung (Offline-First) auf Edge-Devices (Dell Precision, HP Z) und in Kubernetes-Clustern.
• LLM Optimization & Edge Engineering: Einsatz von Quantisierung (GGUF, AWQ) zur Maximierung der Inferenz-Performance auf begrenzter Hardware (NPU/Consumer GPU) und Reduktion des VRAM-Footprints.

• Konzeption, Implementierung und Veröffentlichung eines Enterprise-grade MCP Servers für Apache Druid, mit Fokus auf Skalierbarkeit, Sicherheit und Hochverfügbarkeit. Der MCP Server ermöglicht die nahtlose Integration von KI-Assistenten in Apache DruidCluster und leistet einen wesentlichen Beitrag im Bereich der Integration von KI mit BigData-Plattformen
• Die Lösung nutzt das Model Context Protocol (MCP), um eine robuste Schnittstelle für die Verwaltung und Analyse von Druid-Datenbanken durch KI-gestützte Prompts zu schaffen
• Die funktionsbasierte Architektur stellt Tools, Resources und anpassbare PromptTemplates zur Verfügung. Zu den Kernmerkmalen zählen die automatische Generierung von JSON-Schemata, multiple Transportmodi (STDIO, SSE, Streamable HTTP), umfassende Fehlerbehandlung, OAuth 2.0 und ein schreibgeschützter Modus
• Die Funktionsweise des Servers wird im YouTube-Video demonstriert
  • Konzeption und Implementierung einer robusten, Tool-basierten Architektur, die dem MCP-Protokoll folgt und automatisch JSON-Schemas für eine validierbare API-Definition generiert
  • Etablierung einer funktionsbasierten Paketstruktur zur Gewährleistung von Wartbarkeit und Skalierbarkeit
  • Entwurf eines flexiblen Systems für anpassbare Prompt-Vorlagen, das eine einfache Adaption an unternehmensspezifische Anforderungen ermöglicht
  • Entwicklung des hochverfügbaren MCP-Servers unter Verwendung von Spring Boot und Spring AI, um eine nahtlose Integration von KI-Assistenten mit Apache Druid zu gewährleisten
  • Implementierung und Unterstützung für diverse Transportmodi (STDIO, SSE und Streamable HTTP), um eine breite Konnektivität sicherzustellen
  • Implementierung einer automatischen Erkennung von Tools, Ressourcen und Prompts durch Annotationen zur Vereinfachung der Konfiguration und Erweiterung
  • Implementierung eines schreibgeschützten Modus als Reaktion auf Community-Feedback, um die Datenintegrität zu gewährleisten und um unbeabsichtigte Änderungen am Druid-Cluster zu verhindern
  • Absicherung der Anwendung auf Enterprise-Niveau mittels Spring Security und OAuth2
  • Containerisierung mit Docker und Orchestrierung durch Kubernetes für einen skalierbaren und ausfallsicheren Betrieb
  • Unterstützung einer Vielzahl von Anwendungsfällen, von Datenexploration über Data-Science bis hin zum DevOps-Management und Operations-Betrieb
  • Implementierung eines umfassenden Monitorings zur Erfassung von Nutzungsmetriken zur kontinuierlichen Optimierung
• Das Projektergebnis ist ein hochfunktionaler und sicherer MCP-Server, der die Verwaltung und Analyse von Apache Druid Clustern mittels KI-Assistenten vereinfacht. Das Projekt demonstriert tiefgreifende Kenntnisse in der Entwicklung komplexer, KI-gestützter Datenlösungen und deren Umsetzung in die Praxis

Auf Basis der Open-Source-Plattform LibreChat wurde die prototypische Entwicklung eines persönlichen KI-Assistenten für Investitionsentscheidungen vorangetrieben. Das Kernkonzept war die Nutzung von Retrieval-Augmented Generation (RAG) zur Analyse von Finanzdaten und -nachrichten. Zusätzlich wurde prototypisch die Integration von YouTube-Transkriptionen bekannter Finanzinfluencer implementiert. Ziel war es, Anlegern ein Werkzeug zur Verfügung zu stellen, das komplexe Fragen zu Aktien und Märkten beantworten kann Die technische Umsetzung umfasste folgende Punkte:

• Konzeption, Implementierung und Veröffentlichung eines Helm-Charts für die Bereitstellung von LibreChat auf Kubernetes
• MCP Servers für die Bereitstellung von aktuellen Finanzmarktdaten und MCP Server for die Bereitstellung von RAG Funktionalität
• Das Helm-Chart ermöglicht eine einfache und schnelle Bereitstellung von LibreChat inklusive aller Abhängigkeiten wie MongoDB und Meilisearch
• Das Chart ist für den Einsatz in Produktionsumgebungen konzipiert und bietet eine hohe Konfigurierbarkeit
• Behebung von Sicherheitsproblemen im ursprünglichen Helm-Chart, insbesondere im Umgang mit Credentials (CREDS_*, JWT_*).
• Implementierung der Fähigkeit, MCP-Server als Docker-Container (über Docker-Socket-Mounting, FS-Berechtigungen und Docker-CLI) oder als Kubernetes-Pods (mit RBAC und Service-Accounts) auszuführen
• Automatisierte Tests und CI/CD-Pipelines für das Helm-Chart
• Erstell?ung einer umfassenden Dokumentation für die Installation und Konfiguration

Konzeption und Implementierung einer produktionsbereiten NLWeb-Implementierung auf der Wordpress-Seite. Entwicklung eines Chatbots, der das Wissen von der Unternehmenswebsite, einschließlich Blog und Wiki, nutzt

• Erstellung von JSON-LD und Schema .org-konformen Datenstrukturen aus Blog und Wiki Seiten
• Containerisierung der Anwendung mittels Docker als Contribution von NLWeb und Bereitstellung als Helm-Chart
• Entwicklung der Benutzeroberfläche (UI) für den Chatbot
• Implementierung von Embedding- und Vektorsuch-Funktionen mit Azure AI Search
• Einsatz von Retrieval-Augmented Generation (RAG) zur Verbesserung der Chatbot-Antworten
• Konfiguration von CI/CD-Pipelines mit Github Actions
• Integration von Wordpress-Plugins:
  • NLWebView for Wordpress
  • JSONLD exporter
  • Wordpress JSONLD exporter Plugin
• Einbindung der nlweb-js-client Javascript-Bibliothek
• Deployment der NLWeb-Instanz in Kubernetes nach GitOps-Prinzipien mit FluxCD

• Konzeption und Entwicklung einer dezentralen Opensource Plattform für Software-Lizenzierung mittels Krypto-Token (OCTL - Open Compensation Token License) unter Verwendung von NFTs und Smart Contracts auf der Ethereum/Arbitrum-Blockchain
• Implementierung von Smart Contracts zur Automatisierung der Lizenzvergabe, der Berechnung von Lizenzgebühren (basierend auf "Story Points") und der Verteilung der Einnahmen an die Ersteller
• Erstellung von "Code Tokens" (NFTs), die Eigentums- und Lizenzgebührenrechte für digitale Artefakte wie Code-Commits oder Bibliotheken repräsentieren
• Aufbau einer Website mit Node.js, Angular und MongoDB zur Verwaltung und Darstellung der Lizenzen
• Aufbau einer Website mit Node.js und Angular für das Projekt, inklusive eines Metamask-Logins für die Front- und Backend-Authentifizierung incl. Caching, Angular SSR und Markdown-zu-HTML-Darstellung im Wiki
• Entwicklung eines gehärteten und rate-limitierten Backends mit Node.js, Express und MongoDB
• Automatisierte Erstellung von Website-Content mithilfe eines KI-generierten CMS (OpenAI, AI Agents) zur Erläuterung des Lizenzmodells und zur Generierung von SEO optimierten Wikiartikeln
• Automatisierte Veröffentlichung und Bewerbung der generierten Artikel (Social-Media-Outreach) auf Plattformen wie Bluesky, Steemit, Nostr und dev .to unter Verwendung von Bots zur Maximierung der Reichweite
• Definition und Implementierung von CI/CD-Pipelines mit GitHub Actions, Docker, Kubernetes und Helmcharts für automatisierte Tests und Deployments
• Nutzung von Cloudflare für Sicherheit und Performance-Optimierung der Web-Anwendungen
• Anwendung des "Faircode"-Prinzips zur fairen Vergütung von Open-Source-Beiträgen
• Einsatz von KI-Assistenten und Agenten für Coding-Aufgaben (Agentic Web, Professional Developer Vibe Coding)

Konzeption, Implementierung und Betrieb einer Cloudlösung für den Betrieb der iunera Microservice Architektur zur Analyse und Auswertung von Ein-/Aussteigerdaten und der Vorhersage von Belegungsdaten einzelner Busse und Bahnen. Die Cloudlösung ist komplett auf einem selbstgehosteten baremetal Kubernetes Cluster bereitgestellt mit einer vollständigen Containerisierung aller Dienste (incl. redundante Datenbanken). Entwicklung- und Testsysteme werden auf AKS bereitgestellt. Die Gesamtlösung besteht aus folgenden Eckpunkten:

• Spring Boot Microservice Architektur für Business Logik (Kappa, Lambda to Kappa (Streamification))
• DevOps /GitOps Continuous Deployment aller Container, Dienste und Konfigurationen mittels Azure Devops und Flux
• Flink Cluster zur Analyse & Prozessierung der Echtzeitdaten
• Verteilte Apache Druid Datenbank für Timeseries Aggregierte Daten
• Containerisierter Kafka Cluster (incl. Zookeeper) als verteilter Datastream der Echtzeitdaten
• Multimandantenfähiges Juypterhub als Datascience/AI Workbench
• Metabase, Zeppelin, Superset für Adhoc Auswertungen und Dashboards
• MongoDB für NoSQL basierte Daten
• Minio S3 als Objektspeicher und Dropzone für die Lieferantendaten (Multimanadtenfähig)
• Azure Storageaccount als Spiegel des Objektspeichers
• Single Sign-on mit EntraID und Dex (Bereitstellung der EntryID Einstellungen per Devops mit Terraform)
• Postgres für relationale Datenbanken
• Verteilter Rook Ceph FS als Block Storage Backend
• Hoch verfügbarer Nginx-Ingress als SSL Reverse Proxy
• Cert Manager Operator für Ingress Zertifikate (Lets Encrypt) und als interne PKI
• Zentrale Logs und Metriken mit Grafana, Prometheus, Loki Stack
• Baremetal Knoten (Ubuntu) Konfiguration & Administration per Ansible
• Umsetzung von Entwicklung- und Testsysteme auf AKS & Terraform basis
• Hochverfügbarer (keepalived) nativer Kubernetes Cluster
• VPC-like privates Netzwerk per VLANs und Weave Networks mit Node-to-Node Encryption at transit (IPSec)
• Single-Sign On and allen Komponenten mit Azure Active Directory (Oauth2)
• BMDV Projekt Fahrbar20
  • Veröffentlichung des vom Bundesministerium für Verkehr geförderten Projekts "fahrbar20" zur KI-basierten Optimierung der Auslastung im öffentlichen Nahverkehr. Die technischen Projektergebnisse wurden als Open Source auf GitHub veröffentlicht
  • Ein produktionsbereiter, Kubernetes-nativer Apache Druid Cluster, der über GitOps mit druid-operator und fluxcd verwaltet wird und ein Zookeeper-less Setup verwendet
  • Das Setup ermöglicht Autoscaling durch Kubernetes-Jobs und horizontales Pod-Autoscaling für Historical-Knoten und beinhaltet TLS-Verschlüsselung, OAuth2-Login und ein Autorisierungskonzept
  • Eine Druid-Erweiterung zur Ausführung von Python- und Java-Code während der Druid-Ingestion-Jobs
  • Konfiguration für einen Jupyterhub-Cluster auf Kubernetes-Basis unter Verwendung des Jupyterhub-Helm-Charts und FluxCD als GitOps-Tool. Es bietet dedizierte IDEs für Benutzer mit Single-Sign-On (SSO) über Azure DevOps
  • Generische Java-Datentypen für den öffentlichen Nahverkehr mit einer Fuzzy-Hashing-Technik zum Abgleich von Daten aus verschiedenen Quellen
  • Konfiguration für einen Apache Kafka Cluster auf Kubernetes-Basis, der den Strimzi Kafka Operator und FluxCD für die GitOps-Bereitstellung verwendet. Beinhaltet die Bereitstellung von CMAK und AKHQ zur Überwachung
  • Konfiguration für einen MongoDB Cluster auf Kubernetes-Basis, der den mongodb-kubernetes-operator und FluxCD für die GitOps-Bereitstellung verwendet. Das Setup umfasst dedizierte MongoDB-Cluster pro Projekt, RBACs und die Verwaltung von Secrets mit SOPS
  • Generische Azure DevOps-Pipeline-Vorlagen für Docker- und Helm-basierte Bereitstellungen
  • GitOps-basierter Flink Cluster auf Basis des Apache Flink Kubernetes Operators

• Aus Kostengründen sind alle Dienste auf gemieteter dedizierter Hardware implementiert, was den Preis beim Dauerbetrieb vergleichbarer Microsoft Azure und Amazon Webservices auf ein Zehntel deren reduziert. Bei hoher Last von Microservices und Analytics Jobs können vorübergehen Public Cloudressourcen (Azure) hinzugefügt werden (Public Cloud Burstout). Entwicklung- und Testsysteme werden temporär und bei Bedarf automatisiert auf AKS bereitgestellt

Umfassende Architektur- und Implementierungstätigkeiten in den Bereichen Cloud Governance, Automatisierung und Betrieb der konzernweiten AWS und Azure Clouds

• Beratung und Governance (DB Systel):
  • Beratung der Stakeholder, des Managements und der Umsetzungsteams zur Implementierung neuer projektspezifischer Cloud Accounts und Cloud Account Klassen
  • Anforderungsanalyse unter Einhaltung der konzernweiten Cloud Governance und Security-Vorgaben sowie Gitops Prinzipien
  • Ausarbeitung und Einreichung eines Umsetzungsvorschlags zur Erweiterung der Cloud Governance
  • Erstellung und Pflege von Architektur- und Design-Dokumentationen
  • Fachliche Beratung und Coaching des Azure-Teams zu Best Practices für GitOps, Terraform, Kubernetes und Bootstrapping-Prozesse
  • Beratung des Cloud Governance Teams bei der Weiterentwicklung und Anpassung von AWS Service Control Policies (SCPs)
• Cloud-Automatisierung (DB Systel) im Bereich Microsoft Azure:
  • Entwurf und Umsetzung von Disaster Recovery und Bootstrapping-Szenarien für AWS- und Azure-Landezonen
  • Architektur, Konzeption und Implementierung einer umfassenden Management-Infrastruktur für unternehmensweite Azure Landing Zones. Die Umsetzung mittels Bicep schuf eine skalierbare, sichere und konforme Cloud-Infrastruktur nach GitOps-Prinzipien, welche die vollständige Wiederherstellbarkeit im Desasterfall (Bootstrap-Ready) gewährleistet. Die Lösung deckt die Bereiche Logging, Express Routes, Networking, DNS, Security, Identity und Monitoring ab
  • Durchführung eines Proof of Technology (PoT) zur Evaluierung des Einsatzes von Azure Firewalls im Unternehmenskontext
  • Konzeption und Implementierung einer hochverfügbaren und skalierbaren, unternehmensweiten Azure Private Resolver Strategie für eine nahtlose und sichere DNS-Namensauflösung in hybriden Cloud-Umgebungen. Die Umsetzung erfolgte mittels Bicep und ersetzte das aufwändige, Subscription- und VNet-spezifische Konfigurieren von DNS-Einstellungen. Dies ermöglichte die direkte Nutzung von Azure Private Link und Private Endpoint Funktionalität ohne die Notwendigkeit von Umleitungen im zentralen, konzernweiten DNS
  • Entwicklung einer Gitlab-Pipeline zur zentralen und äquivalenten Verwaltung von DNS-Weiterleitungen für AWS und Azure durch das zentrale DNS-Team, implementiert mittels AWS CDK (Typescript) und Azure Bicep
  • Konzeption einer Blue/Green-Deployment-Strategie für GitLab Fleet-Runner zur Gewährleistung von Zero-Downtime-Deployments (umgesetzt mit GitLab-CI und Azure Bicep)
  • Evaluierung und Durchführung eines Proof-of-Concepts von Terraform-basierten Kubernetes Operatoren (Terraform Operator, Tofu-Controller, Azure Service Operator) für das Bereitstellung von Konventionierten Azure Landzonen und Einhaltung der Cloud Governance Richtlinien
  • Architektur und Implementierung einer Automatisierungslösung für Azure Cloud Subscriptions, analog zur bestehenden AWS-Lösung. Kernstück ist ein entwickelter Kubernetes Azure Terraform Operator (Terraform HCL/CDK, OpenTofu), der den gesamten Lebenszyklus von Azure Landing Zones (Subscriptions, Rollen, Policies, VNets) verwaltet
  • Ablösung einer skriptbasierten Automatisierung für Azure Policies und Rollendefinitionen durch eine stabile, idempotente Lösung (Powershell wegen Rückwärtskompatibilität) sowie Konzeption der Migration zu einer neuen Terraformbasierten Architektur
  • Planung und Prototyp der Migration der Landing-Zone-Bereitstellung von Azure Blueprints zu einer modernen, auf einem Terraform-Operator basierenden Architektur
• Cloud-Automatisierung (DB Systel) im Bereich AWS:
  • Stabilisierung und Weiterentwicklung der bestehenden GitOps-Automatisierung für AWS Cloud Landzonen

• Die Automatisierung basiert auf zwei Kernkomponenten: einem in Kotlin (Quarkus Operator Framework) entwickelten CloudAccount Operator und einem in Go entwickelten AWS Account Operator. Letzterer nutzt AWS CDK (TypeScript) zur Bereitstellung von AWS Cloud Accounts und den zugehörigen Ressourcen wie VPCs, IAM-Rollen, Policies, Service control policies und Konfigurationen für Logging, Monitoring, DNS und Security
• Die Steuerung des CloudAccount Operators erfolgt über Manifeste, die mittels HelmCharts und Kustomize generiert werden. Die gesamte GitOps-basierte Automatisierung wird durch ArgoCD orchestriert
  • Überarbeitung und Härtung der Kubernetes-Plattform als Fundament für die GitOps-basierten Bereitstellungsprozesse
  • Fehleranalyse und Behebung von Bootstrapping-Problemen in der GitLab-Runner-Infrastruktur (GitLab Fleet-Runner und EKS Runner)
  • Konzeption und Implementierung einer durchgängigen Automatisierungsstrategie für das Secret Management (SOPS, AWS Secret Manager, External Secrets Operator) zur Sicherstellung des konsistenten Handlings von Secrets über Kubernetes- und AWS-Umgebungen hinweg
  • Erweiterung des Cloud Account Operators um umfassende Observability-Funktionen durch Integration von Prometheus und Alertmanager

Neubewertung der Anforderungen sowie Refactoring, Anpassung der Architektur und die Implementierung eines konzernweiten Datalakes ATLAS auf Basis der Data Management Platform (DMP) zur Speicherung, Aufbereitung, Weiterverarbeitung und Analyse von Echtzeitdaten. Die Architektur ist im Projektzeitraum mit folgenden Eckpunkten bewerten, abgepasst und teilweise neu entworfen sowie dessen Implementierung, durch das Entwicklungsteam und mich selbst umgesetzt worden:

• Requirements Engineering sowie architekturelle Bewertung der nötigen und möglichen Einsatzszenarien, Tools und Datenstrukturen unter der Betrachtung von Separation of Concern, Konzernvorgaben, Dynamische Anpassung, Kosteneffizient und technischen Skills des betriebsführenden Teams
• Der Datenlake war selbst ein Konsument des Produktionsereignisbrokers (zu Beginn Active MQ/Später Kafka)
• Vorgabe war die Nutzung der Konzern Data Management Platform (DMP), eine Lambda Architektur ohne Echtzeitfunktionalität
• Konzeption und Implementierung der Echtzeitdatenintegration des Kappa Systems mittels dedizierter Azure Container Instance Umgebung mit Fokus auf Ausfallsicherheit, Hochverfügbarkeit, Monitoring und hohem Schutzbedarf im Kontext der Security-, Compliance- und Governance Vorgaben
• Konzeption und Implementierung des Monitoring und Alerting
• Konzeption einen Pseudonymisierung- und Löschverfahren mit unterschiedlichen Regeln je nach Datenart
• Entwurf des multidimensionalen Rollenkonzept der Datalake Nutzer, der verschiedenen Konzerngeschäftsfelder und Datenarten
• Konzeption des Backup und Recovery
• Ablösung des vorhandenen eigenentwickelten Anzeigeportals der Echtzeitdaten durch eine PowerBI basierte Lösung zur Kostenreduktion von ca. 80%
• Konzeption und Implementierung der Infrastructure as Code Devops Integration
• Architekturelle und technische Planung und Betreuung des Penetration Tests

• Architektur und Implementierung einer verteilten, automatisch skalierenden Bigdata Timeseries Database für die automatische Erfassung von Personen-, Objekt- und Bewegungsdaten mittels Überwachungskameras an großen deutschen Bahnhöfen. Folgende Eckpunkte sind relevant:
  • Verteilte Bigdata Apache Druid Database
  • Erfassung von kontinuierlichen Datenströmen von bis zu 6 Terabyte Daten pro Tag
  • Fokus auf Skalierbarkeit, Performance und Security im Kontext eines hohen Schutzbedarfs (hohe Anforderungen an Sicherheit und Verschlüsselung)
  • Grundlage Kubernetes Cluster (EKS) aus Gründen der Betriebsführung und Skalierbarkeit
  • TLS 1.3 Verschlüsselung aller Datenbank Komponenten
  • Authentifizierung und Autorisierung des Zugriffs mittels Konzern Active Directory
  • Deepstorage der Zeitreihensegmente auf AWS S3
  • Metadatabase auf AWS RDS Cluster (Postgres)
  • Automatische horizontale Skalierung der Datenbank und des Kubernetes Clusters limitiert auf 62 Cluster Komponenten auf Kostengründen
• Die Lösung benötigte einen, zu implementierenden, Kubernetes Cluster in der vorhanden AWS Cloud. Die Bereitstellung sollte in den vorhandenen Gitlab-CI Pipelines implementiert sein. Folgende Eckpunkte sind relevant:
  • Bereitstellung mittels AWS EKS
  • Sekundärfokus auf vollständige Automatisierung und automatischem Deployment und Update (Walking Skeleton) sowie automatischer Betriebsführung und Monitoring
  • Nutzung von vorhandenen Pipelines und Devops Methoden
  • Nutzung Terraform Deployment
  • Unterstützung der Anforderungen eines hohen Schutzbedarfs (hohe Anforderungen an Sicherheit und Verschlüsselung)
  • Devops der Kubernetes Cluster & Infrastruktur (IaC) mit Gitlab-Ci Pipelines, Terraform und Ansible
  • Gitops Ansatz per Kubernetes Konfiguration mit Flux (v2)
  • Hochverfügbarkeit und Zonentoleranz des Kubernetes Clusters
  • Kubernetes (API) Authentifizierung und Autorisierung mittels AWS IAM Rolles
  • Verschlüsselung aller Secrets im Git Repository (SOPS)
  • Erweiterung des Druid Metrics Exporter um h?orizontale Podskalierung (Kubernetes HPA) zu ermöglichen

Globale Architektur der Konzernsicherheitslösung Cooperate Security Platform für die konzernweite Erfassung von sicherheitsrelevanten Vorfällen. Die Architektur ist im Projektzeitraum mit folgenden Eckpunkten entworfen und die Implementierung, durch die Entwicklungsteams, entsprechend gemanaged worden:

• PegaCloud Plattform als eigentliche Applikation und die Workflow Engine
• Data Management Platform (siehe 2021) als Stammdatenhaltung, Stammdatenlieferung aus Fremdsystemen und die Grundlage für Analytic
• Datenintegration diverser Konzernsysteme für notwendige Stamm- und Abrechnungsdaten
• Fokus auf Multitenancy, Nutzung von vorhandenen Plattformangeboten, Security und Datenschutz
• Entwurf des multidimensionalen Rollenkonzept der Endnutzer, der verschiedenen Konzerngeschäftsfelder und Vorfallsarten nach Least Privilege Prinzip und des Datenimports sowie der -Weitergabe an Dritte (Polizeibehörden, Verkehrsverbünde, etc)
• Stufenweiser Golive mit online Migration des Altsystems

• Architektur und Implementierung der Data Analytics Platform (DMP) als standardisiertes Plattformangebot für DB Konzerngeschäftsfelder. Die DMP ist die Implementierung der Bigdata Referenz Architektur des DB Konzerns
• Die Lösung ist im Projektzeitraum mit folgenden Eckpunkten entworfen, entwickelt und betrieben worden:
  • Grundlage Azure Cloudnative Anwendungen unter Anbetracht DB Complaince und Securityvorgaben
  • Fokus auf ?one fits many? und IT Security
  • Vollautomatische Integration ins DB Systel Bestellwesen und die Abrechnung (Digitalportal)
  • Unterstützung von Anwendungen mit dem hohen Schutzbedarf (hohe Anforderungen an Sicherheit und Verschlüsselung)
  • Devops der Komponenten und Infrastruktur (IaC) mit Gitlab-Ci Pipelines, Terraform
  • Entwurf Rollenkonzept für Endnutzer mittels Azure Active Directory
  • Entwurf Domänenschema der IaC Lösung
  • Betrieb der Plattform
  • Betreuung des Teams bei der Entwicklung der CI/CD und bei neuen Features
  • Anpassung/Erweiterung der konzernweiten Azure Vorgaben in Abstimmung mit verschiedenen Security & Co?mpliance Teams und Kontrollgremien