Aperçu de Kers

Kers est une solution de Kubernetes managé, mutualisé, conçue et opérée par Waays.

Chaque client dispose de son propre cluster virtuel (vCluster), totalement isolé, hébergé sur une infrastructure partagée bare-metal.

Qu’est-ce que Kers ?

Kers fournit un accès Kubernetes complet sans avoir à gérer l’infrastructure sous-jacente. L’équipe Waays s’occupe des montées de version, de la surveillance et de l’exploitation de la plateforme.

Accessible via https://kers.sh.

Architecture

Composants

Composant	Rôle
RKE2	Distribution Kubernetes (certifiée CNCF)
vCluster	Isolation multi-tenant — un cluster Kubernetes virtuel par client
Cilium	CNI avec Network Policies avancées, remplacement complet de kube-proxy
Ceph (RBD & CephFS)	Stockage distribué, haute disponibilité, réplication multi-AZ
FluxCD	Déploiement continu (GitOps)
cert-manager	Certificats TLS automatiques (Let’s Encrypt / ZeroSSL, DNS-01 & HTTP-01)
NGINX Ingress	Exposition HTTP/HTTPS
Velero	Sauvegarde avec stockage Object Storage S3
VictoriaMetrics + Grafana	Observabilité et dashboards

Composant

Rôle

RKE2

Distribution Kubernetes (certifiée CNCF)

vCluster

Isolation multi-tenant — un cluster Kubernetes virtuel par client

Cilium

CNI avec Network Policies avancées, remplacement complet de kube-proxy

Ceph (RBD & CephFS)

Stockage distribué, haute disponibilité, réplication multi-AZ

FluxCD

Déploiement continu (GitOps)

cert-manager

Certificats TLS automatiques (Let’s Encrypt / ZeroSSL, DNS-01 & HTTP-01)

NGINX Ingress

Exposition HTTP/HTTPS

Velero

Sauvegarde avec stockage Object Storage S3

VictoriaMetrics + Grafana

Observabilité et dashboards

Localisation

Infrastructure hébergée chez OVHcloud, datacenter PARIS (eu-west-par) en 3 Az, sur des serveurs bare-metal interconnectés via vRack.

Isolation par client

Chaque client dispose de :

Un vCluster dédié (API Kubernetes complète, isolée)
Des Network Policies Cilium pour l’isolation réseau inter-tenants
Des ResourceQuotas pour encadrer la consommation
Des PriorityClasses par environnement (prod, staging, dev)

Environnements

Environnement	Description
Production	Haute priorité — jamais évincé en cas de saturation du cluster.
Préprod / Staging	Priorité moyenne — idéal pour la validation avant mise en production.
Développement	Priorité basse — ressources libérées en premier si nécessaire.

Environnement

Description

Production

Haute priorité — jamais évincé en cas de saturation du cluster.

Préprod / Staging

Priorité moyenne — idéal pour la validation avant mise en production.

Développement

Priorité basse — ressources libérées en premier si nécessaire.

Les PriorityClasses sont appliquées automatiquement en fonction du label env du namespace.

Sécurité

Mécanisme	Description
Isolation réseau	Cilium Network Policies strictes entre les tenants
Isolation compute	vCluster + namespaces dédiés par client
Chiffrement TLS	Communications chiffrées de bout en bout
RBAC	Contrôle d’accès par client et par environnement
Pod Security Standards	Baseline appliquée par défaut sur tous les namespaces
Audits de sécurité	Scans réguliers (kubescape / MITRE framework)
Mises à jour	Waays assure les montées de version de l’infrastructure et des composants

Mécanisme

Description

Isolation réseau

Cilium Network Policies strictes entre les tenants

Isolation compute

vCluster + namespaces dédiés par client

Chiffrement TLS

Communications chiffrées de bout en bout

RBAC

Contrôle d’accès par client et par environnement

Pod Security Standards

Baseline appliquée par défaut sur tous les namespaces

Audits de sécurité

Scans réguliers (kubescape / MITRE framework)

Mises à jour

Waays assure les montées de version de l’infrastructure et des composants