OpenShift vs Kubernetes: Was OpenShift hinzufügt und wann Sie es brauchen
OpenShift ist Kubernetes, so wie Ubuntu Linux ist. Kubernetes ist die Kerntechnologie (auf GitHub verfügbar, wie der Linux-Kernel), aber niemand betreibt einen nackten Kernel auf seinen Servern. Teams wählen eine Distribution, die den Kernel mit dem nötigen Tooling bündelt: Installer, Networking, Authentifizierung, Monitoring und Upgrade-Mechanismen. Manche Distributionen sind schlank und überlassen die meisten Entscheidungen Ihnen; andere kommen vollständig integriert.
OpenShift ist eine Kubernetes-Distribution von Red Hat. Jeder kubectl-Befehl und jedes Kubernetes-Manifest funktioniert unverändert. Was OpenShift hinzufügt, ist das Plattform-Tooling rund um Kubernetes: Entwicklerkonsole, CI/CD, Service Mesh, Operator-Lifecycle und ein getesteter Upgrade-Pfad, damit Ihr Team diese Komponenten nicht selbst zusammenbauen und pflegen muss. Die eigentliche Frage lautet nicht "OpenShift oder Kubernetes", sondern wie viel Tooling vom Hersteller vorintegriert sein soll und was Ihr Team selbst baut und pflegt.
Diese Seite vergleicht alle über VSHN verfügbaren Optionen: Vanilla Kubernetes, Managed Kubernetes, OpenShift Kubernetes Engine (OKE), OpenShift Container Platform (OCP) und OCP+.
Das Plattform-Spektrum
VSHN bietet mehrere Stufen, um unterschiedliche Anforderungen und Budgets abzudecken:
| Vanilla Kubernetes | Managed Kubernetes (demnächst) | OpenShift Kubernetes Engine (OKE) | OpenShift Container Platform (OCP) | OpenShift Container Platform Plus (OCP+) | |
|---|---|---|---|---|---|
| Was es ist | Open-Source-Container-Orchestrator | Standardisiertes, lifecycle-verwaltetes K8s | Enterprise Kubernetes mit OpenShift-Betriebstools | Vollständiges OpenShift mit Entwickler- und Betriebstools | OCP mit erweiterter Sicherheit, Compliance und Multi-Cluster-Management |
| Betrieben von | Ihrem Team | VSHN | VSHN | VSHN | VSHN |
| Entwicklerkonsole | Nein (nur kubectl) | Nein (API-first) | Nur Admin-Konsole | Volle Entwickler- + Admin-Konsole | Volle Entwickler- + Admin-Konsole |
| CI/CD integriert | Nein | Nein | Nein | Ja (Tekton Pipelines, Source-to-Image) | Ja |
| Networking / Service Mesh | DIY (Istio, Linkerd) | Cilium OSS | Cilium (Isovalent Enterprise) | Cilium + OpenShift Service Mesh | Cilium + OpenShift Service Mesh |
| Serverless | DIY (Knative) | DIY (Knative) | DIY (Knative) | Ja (OpenShift Serverless / Knative) | Ja |
| Logging | DIY | Basis (Logs + Metriken) | Cluster-Monitoring | Plattform-Logging + Cluster-Monitoring | Plattform-Logging + Cluster-Monitoring |
| Operator-Ökosystem | Community-Operatoren | Kein OLM | OLM enthalten | OLM + Red Hat Marketplace | OLM + Red Hat Marketplace |
| Red Hat Support | Keiner | Keiner (Open-Source-Stack) | Red Hat Subskription enthalten | Red Hat Subskription enthalten | Red Hat Subskription enthalten |
| SLA | Keines (eigenes) | Bis 99.9% (Bürozeiten) | Bis 99.99% | Bis 99.99% | Bis 99.99% |
| Geeignet für | Platform-Engineering-Teams mit voller Kontrolle | Kostensensitive Workloads auf Schweizer Cloud | Enterprise K8s mit 99.99%-SLA zum tieferen Preis (eigenes CI/CD mitbringen) | Entwickler bauen, deployen und routen über eine Plattform, ohne separate Tools zusammenzusetzen | Regulierte Branchen mit Multi-Cluster-Governance |
Wann Kubernetes ausreicht
Reines Kubernetes ist die richtige Wahl, wenn:
- Ihr Team über starke Kubernetes-Expertise verfügt (3+ Ingenieure, die täglich Cluster verwalten)
- Sie bereits eine eigene CI/CD-Pipeline betreiben (GitHub Actions, GitLab CI, Jenkins)
- Sie keinen Red Hat Enterprise Support oder zertifizierte Operatoren benötigen
- Sie maximale Flexibilität bei der Komponentenwahl wollen
- Budget die primäre Einschränkung ist und Sie den Betriebsaufwand absorbieren können
Der Trade-off: Sie bauen und pflegen jede Schicht über dem Orchestrator selbst - Networking-Policies, Ingress, Observability, Image-Builds, Security-Scanning und Upgrades.
Wann Sie OpenShift brauchen
OpenShift bringt Mehrwert, wenn:
- Kaufen günstiger ist als selber bauen. Bei kleineren Deployments (Hunderte, nicht Tausende subskribierte CPU-Kerne) ist es günstiger, die integrierten Services in OpenShift zu kaufen, als ein Plattform-Team zu beschäftigen, das sie aus einzelnen Open-Source-Komponenten zusammenbaut und pflegt. Das ist eine klassische Make-or-Buy-Entscheidung. Da OpenShift auf Standard-Kubernetes basiert, bleibt eine spätere Migration auf eine selbst gebaute Plattform jederzeit möglich, sobald das Deployment gross genug wird, um ein dediziertes Team zu rechtfertigen.
- Red Hat Enterprise Support wichtig ist. Zertifizierte Operatoren, getestete Upgrade-Pfade und ein einziger Anbieter für den gesamten Plattform-Stack.
- Sie eine gemeinsame Plattform für mehrere Teams wollen. Alle OpenShift-Editionen ermöglichen es, die Applikationen mehrerer Teams auf demselben Cluster zu betreiben und Infrastruktur, Security-Policies und Betriebskosten zu teilen. OpenShift baut auf offenen Standards (OCI-Container, Kubernetes-API, Operator Framework), Teams wählen ihre Sprachen, Frameworks und CI/CD-Tools frei, während die Plattform das gemeinsame Fundament liefert. OCP bringt mehr integriertes Entwickler-Tooling mit; OKE überlässt diese Wahl vollständig den Teams.
- Compliance eine gehärtete Plattform erfordert. OpenShift liefert Security Context Constraints (SCCs), RBAC-Defaults und Sandboxed Containers - ab Werk, nicht nachgerüstet.
- Entwickler Self-Service brauchen. Die OCP-Entwicklerkonsole und der Applikationskatalog ermöglichen Deployments ohne YAML-Schreiben oder Ticket-Erstellung.
OpenShift-Editionen erklärt
OpenShift Kubernetes Engine (OKE)
OKE ist OpenShift ohne die Entwickler-Tools. Sie erhalten Enterprise-grade Kubernetes mit automatisierten Installationen, Over-the-Air-Upgrades, der Admin-Konsole, Operator Lifecycle Manager, Cluster-Monitoring und Cilium-Networking (Isovalent Enterprise) - aber ohne Entwicklerkonsole, integrierte CI/CD, OpenShift Service Mesh oder Serverless.
OKE eignet sich, wenn Sie Enterprise Kubernetes benötigen, aber nicht die volle Entwicklerplattform. Sie erhalten Red Hats zertifizierte Upgrade-Pfade und Kompatibilitätsmatrix, VSHNs Skaleneffekte aus dem Betrieb von Hunderten OpenShift-Clustern und vorintegrierten Komponenten (Cilium, Argo CD, k8up-Backups, AppCat-Services), zu einem tieferen Preis als OCP. Ihre Entwickler behalten ihr bestehendes CI/CD-Tooling; VSHN übernimmt den Cluster-Betrieb. OKE qualifiziert sich für das volle 99.99%-SLA, dieselbe Verfügbarkeitsgarantie wie OCP, ohne die Kosten und Komplexität der vollen Plattform.
OpenShift Container Platform (OCP)
OCP ist die Standard-OpenShift-Edition. Sie enthält alles aus OKE plus Entwicklerkonsole, Applikationskatalog, Tekton Pipelines, Source-to-Image-Builds, OpenShift Service Mesh, Distributed Tracing, Serverless (Knative) und Plattform-Logging.
OCP ist die richtige Wahl, wenn Ihre Entwickler Applikationen über eine einzige Plattform bauen, deployen und routen sollen, ohne separate Tools für CI/CD, Container-Builds, Service Mesh und Observability zusammenzusetzen. Die Entwicklerkonsole und der Applikationskatalog ermöglichen Deployments ohne Deployment-Manifeste oder Ops-Tickets.
OpenShift Container Platform Plus (OCP+)
OCP+ enthält alles aus OCP plus fünf zusätzliche Komponenten für Organisationen, die mehrere Cluster betreiben oder strenge Sicherheits- und Compliance-Anforderungen erfüllen müssen:
- Advanced Cluster Management (ACM): Lifecycle, Policies und Applikations-Deployment mehrerer OpenShift-Cluster über eine einzige Konsole verwalten. Enthält 60+ vorgefertigte Governance-Policies.
- Advanced Cluster Security (ACS): Kubernetes-native Sicherheitsplattform für Schwachstellenmanagement, Netzwerksegmentierung, Risikoprofilierung und Compliance-Prüfungen über den gesamten Applikationslebenszyklus.
- OpenShift Data Foundation Essentials: Software-definierter persistenter Speicher, integriert in OpenShift. Bietet Block-, File- und Object-Storage ohne Abhängigkeit von Cloud-Provider-spezifischen Speicherklassen.
- Red Hat Quay: Enterprise-Container-Registry mit Image-Scanning, Geo-Replikation und Zugriffskontrollen. Zentrale Quelle für alle Container-Images über Cluster hinweg.
- Zero Trust Workload Identity: weist Workloads verifizierbare Identitäten über Hybrid- und Multi-Cloud-Umgebungen hinweg zu, ohne manuelle Zertifikatsverwaltung.
Jede Komponente ist auch als Einzelsubskription erhältlich, aber das OCP+-Bundle ist in der Regel günstiger, sobald Sie zwei oder mehr davon benötigen. OCP+ ist verbreitet in regulierten Branchen (Finanz, Gesundheit, Behörden), die mehrere Cluster betreiben und zentralisierte Sicherheits-Policy-Durchsetzung und Audit-Trails benötigen.
Vollständige Preisdetails: VSHN OpenShift-Preise.
Kostenvergleich: 48 Worker-vCPUs (3 × 16-vCPU-Nodes)
Preise gelten nur für Worker-Node-Kapazität. Control Plane und Infrastruktur-Nodes (Logging, Monitoring) sind nicht in der vCPU-Anzahl enthalten.
| Option | VSHN-Servicegebühr (monatlich) | Enthalten | Sie ergänzen |
|---|---|---|---|
| Self-managed Kubernetes | CHF 0 (DIY) | Nichts - Sie betreiben alles | 3-6 FTE für 24/7-Betrieb (CHF 450'000-1,2 Mio./Jahr) + Tooling |
| VSHN Managed Kubernetes (demnächst) | TBD | Lifecycle-Management, Basis-Monitoring, reaktiver Support | Ihre CI/CD, Networking-Policies, Security-Tooling |
| OKE (Certified CSP, GA) | ~CHF 3'650/Monat | Enterprise K8s, Admin-Konsole, OLM, Red Hat Support, 24/7-Betrieb | Ihre Entwickler-Tools, CI/CD |
| OCP (Certified CSP, GA) | ~CHF 4'800/Monat | Volle Plattform: CI/CD, Service Mesh, Logging, Entwicklerkonsole, 24/7-Betrieb | Ihr Applikationscode |
| OCP+ (Certified CSP, GA) | ~CHF 10'850/Monat | Alles aus OCP + Multi-Cluster-Management, erweiterte Sicherheit | Ihr Applikationscode |
Infrastrukturkosten des Cloud-Providers kommen hinzu. Self-managed OpenShift erfordert Red Hat-Subskriptionen zusätzlich zu den FTE-Kosten. Self-managed Vanilla Kubernetes hat keine Lizenzkosten, aber die meisten Organisationen budgetieren trotzdem eine Support-Subskription bei einem Anbieter, damit jemand erreichbar ist, wenn etcd oder die Control Plane ausfällt.
VSHN Managed Kubernetes (demnächst)
VSHN entwickelt ein standardisiertes Managed-Kubernetes-Angebot für Organisationen, die Kubernetes ohne die Kosten einer Enterprise-Plattform benötigen. Basierend auf Open-Source-Komponenten (Cluster API, Cilium, Rook/Ceph) wird es bieten:
- Lifecycle-verwaltetes Kubernetes auf Schweizer Cloud-Providern
- Networking via Cilium, Storage via Rook/Ceph, Ingress via Gateway API
- Basis-Observability (Logs und Metriken)
- Standardisierte Konfigurationen für planbare Preise
- Keine Enterprise-Lizenzkosten
Dies füllt die Lücke zwischen Self-managed Kubernetes und Managed OpenShift. Falls Sie interessiert sind, kontaktieren Sie uns für die Early-Access-Liste.
Feature-Vergleich: OKE vs OCP vs OCP+
| Feature | OKE | OCP | OCP+ |
|---|---|---|---|
| Cilium-Networking (Isovalent Enterprise) | Ja | Ja | Ja |
| Automatisierte Installation und Upgrades | Ja | Ja | Ja |
| Enterprise-gesichertes Kubernetes | Ja | Ja | Ja |
| kubectl und oc CLI | Ja | Ja | Ja |
| Operator Lifecycle Manager | Ja | Ja | Ja |
| Admin-Webkonsole | Ja | Ja | Ja |
| OpenShift Virtualization | Ja | Ja | Ja |
| Cluster-Monitoring | Ja | Ja | Ja |
| User Workload Monitoring | Ja | Ja | Ja |
| Plattform-Logging | Nein | Ja | Ja |
| Entwickler-Webkonsole | Nein | Ja | Ja |
| Entwickler-Applikationskatalog | Nein | Ja | Ja |
| Source-to-Image / Tekton Builds | Nein | Ja | Ja |
| OpenShift Pipelines (Tekton) | Nein | Ja | Ja |
| OpenShift Service Mesh | Nein | Ja | Ja |
| Distributed Tracing (Jaeger) | Nein | Ja | Ja |
| OpenShift Serverless (Knative) | Nein | Ja | Ja |
| Sandboxed Containers | Nein | Ja | Ja |
| Advanced Cluster Management (ACM) | Nein | Nein | Ja |
| Advanced Cluster Security (ACS) | Nein | Nein | Ja |
| OpenShift Data Foundation Essentials | Nein | Nein | Ja |
| Red Hat Quay (Enterprise-Registry) | Nein | Nein | Ja |
| Zero Trust Workload Identity | Nein | Nein | Ja |
Quelle: VSHN OpenShift-Editionen, Red Hat OCP+, VSHN Cilium auf OpenShift
Nächste Schritte
Nicht sicher, welche Stufe zu Ihren Workloads passt? Buchen Sie ein Architektur-Review mit unserem OpenShift- und Kubernetes-Team. Wir analysieren Ihr aktuelles Setup, Ihre Workload-Anforderungen und Ihr Budget und empfehlen die richtige Plattformstufe.