FAQ — Hardpipe

Warum nicht einfach VMware oder Nutanix verwenden?

DISA-STIG-Checklisten existieren für beide: Nutanix Acropolis STIG (NCP #1325, 03/2026) und mehrere Versionen von VMware vSphere. Das ist das Regelwerk. Aber weder Nutanix noch VMware veröffentlicht den tatsächlichen Scan-Bericht gegen diesen STIG: Die angekündigten Scores (90 %, 95 %) sind Marketing-Zahlen, nicht auditierbar. Hardpipe veröffentlicht den vollständigen HTML-OpenSCAP-Bericht — jede Regel, jedes PASS, jedes FAIL ist einsehbar. Sie können den Scan auf Ihrer eigenen ISO erneut durchführen und bestätigen.

Außerdem ist VMware Government / DoD eine US-Edition. Banner, Dokumentation und regulatorische Zuordnungen orientieren sich an US-Bundesanforderungen — nicht am EU-Rahmen (DSGVO, NIS2, RGS, HDS).

Warum Harvester und nicht oVirt, Proxmox oder ein Custom-Stack?

Harvester v1.8 vereint in einem einzigen Produkt:

• Natives Kubernetes (RKE2) — gleiche Steuerebene für VMs und Container
• SL Micro 6.2 — unveränderliches OS mit signiertem rootfs, ideal für Compliance
• SUSE upstream — europäischer (deutscher) Anbieter, Souveränität
• KubeVirt + Longhorn — bewährter CNCF-Stack, kein Lock-in

oVirt ist im Wartungsmodus. Proxmox ist nicht K8s-nativ. Ein Custom-Stack kostet Jahre der Entwicklung und hat keinen kommerziellen EU-Support.

Wie für ANSSI (RGS / SecNumCloud) qualifizieren?

Hardpipe liefert die technische Basis (gehärtetes OS, gehärtetes K8s, reproduzierbarer Scan). Die RGS-Qualifizierung erfordert zusätzlich:

• Drittprüfung durch ein CESTI
• Formale Sicherheitsdokumentation (Security Target, Schutzprofil)
• Penetrationstests
• Incident-Response-Prozess

Wir planen, Hardpipe 2027 zur ANSSI-Qualifizierung „Standard“ einzureichen, mit Zielrichtung „Verstärkt“ mittelfristig.

Wie beitragen?

• Upstream SUSE SSG: unsere OVAL-strict-Recipes können backportiert werden. Issue-Tracker: https://github.com/ComplianceAsCode/content
• Harvester upstream: SELinux-Fixes für KubeVirt / Longhorn sind für die gesamte Harvester-Community relevant. Offene Issues: https://github.com/harvester/harvester/issues
• Unser Repo: Zugriff auf Anfrage via Gitea.

Was ist der Unterschied zu Talos Linux oder Flatcar?

Talos und Flatcar sind unveränderliche Kubernetes-Betriebssysteme, liefern aber keinen HCI-Stack (kein integriertes KubeVirt + Longhorn, kein VM-Orchestrator). Hardpipe zielt auf den Anwendungsfall „VM + Container“ auf derselben Infrastruktur — Drop-in-Ersatz für vSphere.

Kann ich es heute produktiv einsetzen?

Hardpipe v29 ist Beta. Für kritische Produktion validieren:

1. Lasttests auf Ihrer Hardware
2. Validierung Ihrer Workloads (GPU-Treiber, vGPU, SR-IOV usw.)
3. Erprobtes Upgrade-Verfahren auf Ihrem Ziel

Für PoC, Compliance-Tests oder Labs: einsatzbereit.

Welche Kosten?

• Software: Open Source (SUSE Virtualization unter SUSE EULA; der Hardpipe-Layer wird MIT/Apache sein)
• Support: optional über SUSE (Harvester-Support)
• Hardware: standardmäßige x86_64-Server (32+ Threads, 128+ GB RAM, SSD/NVMe). Keine Lizenzierung pro Socket oder pro VM wie bei VMware.

Wie ist die Performance-Auswirkung?

Die OS-Härtung fügt < 2 % Overhead hinzu (gemessen an synthetischen Benchmarks). SELinux enforcing fügt 1-3 % je nach Last hinzu. Kernel-Audit (auditd) kann 3-8 % je nach Regelanzahl hinzufügen.

Für typische Workloads (Web, Datenbanken, ML) ist die Auswirkung vernachlässigbar. Für HFT-Trading sollte ein nicht gehärteter Stack bevorzugt werden.

Wie werden Updates gehandhabt?

Harvester verwendet Fleet + Elemental für atomare Upgrades (OS + K8s + Operatoren in einer Transaktion). Signierte Bundles werden über OCI-Registry verteilt. Automatisches Rollback bei Fehler.

Compliance-seitig löst jedes Upgrade einen erneuten OpenSCAP-Scan aus, um zu bestätigen, dass der Score ≥ 95 % bleibt.

Gibt es kommerziellen Support?

Noch nicht. Hardpipe ist ein Forschungs-/Demonstrationsprojekt. Bei Interesse an einer Partnerschaft (Hoster, Integrator, Sicherheitsberatung) kontaktieren Sie uns über Gitea.