Switching‑Register
Version: 2025-09-19
- Kontakt: security@ayedo.de · billing@ayedo.de
- Rechtsnatur: Dieses Register konkretisiert Art. 26 EU Data Act. Maßgeblich bleiben Vertrag inkl. der AGB. Für jeden Vertrag ist die zum Vertragsschluss übergebene Fassung maßgeblich (Export/PDF als Anlage). Spätere Aktualisierungen wirken nicht zu Lasten laufender Verträge.
1) Zweck und Anwendungsbereich
Dieses Register beschreibt Verfahren, Datenstrukturen/-formate, Standards und Schnittstellen für den Anbieterwechsel. Es gilt für folgende ayedo‑Leistungsbereiche:
- Managed Kubernetes (Public-Cloud, Private-Cloud, Enterprise-Cloud)
- Managed Apps
- Bring-Your-Own-Apps
Hinweis zu On‑Premises‑Zielumgebungen: Der Wechsel in kundeneigene Rechenzentren wird unterstützt (siehe Abschnitt 9).
2) Prozessübersicht (Notice → Transit → Abschluss)
Notice (Einleitung)
Der Kunde leitet den Wechsel mit einer Ankündigung spätestens 2 Monate vor dem gewünschten Start ein. ayedo bestätigt innerhalb von 5 Werktagen und benennt technische Ansprechpartner sowie Zugänge zu den Export‑Schnittstellen.
Transitional Period
Während der in der Regel 30 Kalendertage fortlaufenden Übergangsphase bleibt der Service nutzbar. ayedo wirkt in guter Treue mit.
Verlängerungen.
Es bestehen zwei Mechanismen:
- Technische Unmöglichkeit/Abhängigkeiten – Mitteilung binnen 14 Arbeitstagen; maximale Gesamtdauer bis zu 7 Monate.
- Kundenrecht auf einmalige Verlängerung nach Art. 25 Abs. 5.
Retrieval und Abschluss
Nach Ende der Transitional Period stellt ayedo ein Abruffenster von mindestens 30 Tagen bereit. Anschließend erfolgt die Löschung der exportierten Daten (inkl. Backups) mit Bestätigung.
SLA/Eskalation für Switching‑Tickets richten sich nach § 18 der AGB.
3) Daten‑Mapping (Kategorien, Formate, Methoden)
| Kategorie | Format/Spec | Methode / Endpoint (Beispiele) | Hinweise |
|---|---|---|---|
| Cluster‑Konfigurationen | YAML/JSON (Kubernetes), Helm, Kustomize | Git/Artifact‑Export; Bündel‑ZIP | CRDs/Policies dokumentiert; keine Secrets im Klartext; Separatbehandlung siehe Abschnitt 7 |
| Container‑Artefakte | OCI Image/Artifact, OCI Distribution | Registry‑to‑Registry (Pull/Push); Digest‑Manifeste | Signaturen/Provenance optional; Namespace‑/Tag‑Mapping projektbezogen |
| Persistente Daten | CSI Snapshots/Backups | Snapshot → Transfer → Restore | Konsistenz via App‑Quiesce; RPO/RTO projektbezogen; Longhorn‑basierte Volumes über CSI‑Pfad |
| Objektspeicher | S3‑kompatible API | Bucket‑Replikation/Export | Versionierung/ACL‑Mapping dokumentiert |
| Logs | JSON Lines | Bulk‑Export API / Blob‑Export | Zeitfenster und Filter vereinbar; PII‑Filterung optional |
| Metriken | OpenMetrics | Prometheus Remote Write / Bulk‑Export | Standard‑Retention 30 Tage; typische Auflösung 60 s |
| Traces | OpenTelemetry (OTLP) | Collector‑Export / Datei‑Dump | Service‑/Span‑Schema dokumentiert |
| Identitäten/Rollen | OIDC/SAML, RBAC (Kubernetes) | Rollen-/Gruppen‑Export; IdP‑Mapping | Kundeneigener IdP empfohlen |
| Secrets/Keys | BYOK/HYOK (kein Klartext) | Re‑Injection über KMS/Vault | Rotation zum Transit‑Start; kein Klartext‑Export |
4) Backups mit Velero (Restic/Kopia auf S3)
Backups und Wiederherstellungen werden mit Velero durchgeführt. Datenträger‑Inhalte werden über Restic/Kopia in S3‑kompatible Objektspeicher gesichert.
- Export. Für den Wechsel werden Backup‑Sätze dediziert gekennzeichnet und auf ein kundenseitig benanntes S3‑Ziel übertragen.
- Verschlüsselung. Kunden können BYOK verwenden; Schlüsselverwaltung erfolgt über das kundenseitige KMS.
- Validierung. Nach dem Transfer werden Stichtags‑Backups stichprobenartig geprüft (Lesbarkeit, Checksums, Restore‑Dry‑Run nach Absprache).
5) Persistente Daten und Longhorn
Für persistente Volumes in Kubernetes‑Clustern, die Longhorn nutzen, werden Exporte standardmäßig über die CSI‑Schnittstellen orchestriert. Alternativ ist bei speziellen Zielumgebungen ein Export über Longhorn‑Snapshots und anschließende Re‑Hydrierung möglich. Die Wahl des Pfads richtet sich nach den Anforderungen des Ziel‑Providers und der geforderten Konsistenz.
6) Monitoring mit Prometheus
Für Metriken unterstützt ayedo Prometheus Remote Write in kundenseitige Systeme sowie zeitlich begrenzte Bulk‑Exporte. Die Standard‑Retention beträgt 30 Tage, die typische Auflösung 60 Sekunden. Details zu Label‑ und Namenskonventionen werden im Projektstart dokumentiert.
7) Secrets und Schlüsselmaterial
Secrets werden nicht im Klartext exportiert. Empfohlen ist eine Re‑Injection am Ziel über kundenseitige KMS-/Vault‑Mechanismen (BYOK/HYOK). Zum Start der Transitional Period wird eine Schlüssel‑ und Secret‑Rotation durchgeführt. Übergaben erfolgen über gesicherte Pfade; Protokolle dokumentieren Zeitpunkt, Verantwortliche und Hashes.
8) Offene Schnittstellen und Standards (Art. 30 Abs. 2–4)
ayedo stellt offene, dokumentierte Schnittstellen kostenfrei bereit und wahrt Kompatibilität mit gängigen offenen Spezifikationen:
- Kubernetes (CNCF), OCI (Image/Artifact/Distribution), CSI (Storage), CNI (Networking)
- OpenTelemetry (OTLP), OpenMetrics, Prometheus
- S3‑kompatible Objekt‑APIs, OIDC/SAML für Identitäten/Föderation
Technische Dokumentation und Beispiele werden projektbezogen bereitgestellt. Breaking‑Changes an Schnittstellen werden mindestens 6 Monate im Voraus angekündigt.
9) On‑Premises‑Zielumgebungen
Wechsel in kundeneigene Rechenzentren werden unterstützt. Der Datentransfer erfolgt primär über sichere Netzwerkpfade (VPN/Peering) in kundenseitige Registries/Objektspeicher.
Für air‑gapped Umgebungen stellt ayedo auf Wunsch offline‑fähige Artefakt‑Bundles und Datenträger bereit. Die Übergabe wird protokolliert (Hashes, Seriennummern, Verantwortliche). Sicherheitsvorgaben des Kunden werden in den Migrationsplan aufgenommen.
10) Exportdurchsatz und Betriebsfenster
Als Richtwert stellt ayedo bis zu 5 TB pro Tag je Tenant bereit. Höhere Volumina sind nach Abstimmung möglich. Betriebs‑ und Cutover‑Fenster werden gemeinsam geplant; Freeze‑Perioden nur bei begründetem Risiko.
11) Switching‑Charges bis 12.01.2027 – „at cost“
Bis zum 12.01.2027 dürfen leistungsbezogene Wechselaufwände berechnet werden, ausschließlich als Durchreichung direkt zurechenbarer Kosten (z. B. Migrations‑Compute/Runner, Egress/Transit, wechselbezogene Dritt‑Tools/Lizenzen, explizit beauftragte Ingenieurleistungen). Ab dem 12.01.2027 werden keine Switching‑Charges erhoben.
12) Sicherheit und Datenschutz
Der Kunde ist Verantwortlicher, ayedo Auftragsverarbeiter. Transfers sind verschlüsselt und werden mit Integritätsprüfungen begleitet. Nach Abschluss werden exportierte Daten (inkl. Snapshots/Backups) sicher gelöscht; der Kunde erhält eine Löschbestätigung. Betroffenenrechte nach DSGVO bleiben unberührt.
13) Ansprechpartner und Eskalation
- Technische Ansprechstelle (Switching): security@ayedo.de
- Recht & Compliance: billing@ayedo.de
- SLA/Eskalation: gemäß § 18 der AGB
14) Version und Vertragsbezug
Diese Fassung trägt die Version 2025-09-19. Für die Vertragsauslegung gilt die beigefügte PDF‑Fassung dieses Registers mit gleichem Versionsstand. Änderungen dieses Online‑Registers werden dokumentiert; laufende Verträge bleiben unberührt, sofern keine einvernehmliche Aktualisierung vereinbart wird.