Delivery Operations: Der Weg von Code zu Production
Fabian Peter 10 Minuten Lesezeit

Delivery Operations: Der Weg von Code zu Production

GitLab, Harbor und ArgoCD: Moderner Delivery-Workflow
compliance-campaign-2026 delivery-operations ci-cd gitops deployment workflow
Ganze Serie lesen (40 Artikel)

Diese Serie erklärt systematisch, wie moderne Software compliant entwickelt und betrieben wird – von EU-Regulierungen bis zur technischen Umsetzung.

  1. Compliance Compass: EU-Regulierungen für Software, SaaS und Cloud-Hosting
  2. GDPR: Privacy by Design als Fundament moderner Software
  3. NIS-2: Cyber-Resilienz wird Pflicht für 18 Sektoren
  4. DORA: IKT-Resilienz für den Finanzsektor ab Januar 2025
  5. Cyber Resilience Act: Security by Design für Produkte mit digitalen Elementen
  6. Data Act: Portabilität und Exit-Fähigkeit werden Pflicht ab September 2025
  7. Cloud Sovereignty Framework: Digitale Souveränität messbar gemacht
  8. Wie die EU-Regulierungen zusammenhängen: Ein integrierter Compliance-Ansatz
  9. 15 Factor App: Die Evolution der Cloud-Native Best Practices
  10. 15 Factor App Deep Dive: Faktoren 1–6 (Grundlagen & Lifecycle)
  11. 15 Factor App Deep Dive: Faktoren 7–12 (Networking, Skalierung, Operations)
  12. 15 Factor App Deep Dive: Faktoren 13–15 (API First, Telemetry, Auth)
  13. Der moderne Software Development Lifecycle: Von Cloud-Native zu Compliance
  14. Cloud Sovereignty + 15 Factor App: Die architektonische Brücke zwischen Recht und Technik
  15. Software-Logistik standardisiert: OCI, Helm, Kubernetes API
  16. Sicherheits-Standards deterministisch prüfen: Policy as Code, CVE-Scanning, SBOM
  17. ayedo Software Delivery Platform: High-Level Überblick
  18. ayedo Kubernetes Distribution: CNCF-konform, EU-souverän, compliance-ready
  19. Cilium: eBPF-basiertes Networking für Zero-Trust und Compliance
  20. Harbor: Container Registry mit integriertem CVE-Scanning und SBOM
  21. VictoriaMetrics & VictoriaLogs: Observability für NIS-2 und DORA
  22. Keycloak: Identity & Access Management für GDPR und NIS-2
  23. Kyverno: Policy as Code für automatisierte Compliance-Prüfung
  24. Velero: Backup & Disaster Recovery für DORA und NIS-2
  25. Delivery Operations: Der Weg von Code zu Production
  26. ohMyHelm: Helm Charts für 15-Factor Apps ohne Kubernetes-Komplexität
  27. Let's Deploy with ayedo, Teil 1: GitLab CI/CD, Harbor Registry, Vault Secrets
  28. Let's Deploy with ayedo, Teil 2: ArgoCD GitOps, Monitoring, Observability
  29. GitLab CI/CD im Detail: Stages, Jobs, Pipelines für moderne Software
  30. Kaniko vs. Buildah: Rootless, Daemonless Container-Builds in Kubernetes
  31. Harbor Deep Dive: Vulnerability-Scanning, SBOM, Image-Signing
  32. HashiCorp Vault + External Secrets Operator: Zero-Trust Secrets Management
  33. ArgoCD Deep Dive: GitOps-Deployments für Multi-Environment-Szenarien
  34. Guardrails in Action: Policy-basierte Deployment-Validierung mit Kyverno
  35. Observability im Detail: VictoriaMetrics, VictoriaLogs, Grafana
  36. Alerting & Incident Response: Von der Anomalie zum Abschlussbericht
  37. Polycrate: Deployment-Automation für Kubernetes und Cloud-Migration
  38. Managed Backing Services: PostgreSQL, Redis, Kafka auf ayedo SDP
  39. Multi-Tenant vs. Whitelabel: Deployment-Strategien für SaaS-Anbieter
  40. Von Zero zu Production: Der komplette ayedo SDP-Workflow in einem Beispiel

TL;DR

  • Delivery Operations beschreiben den Weg von Code in Ihrer Versionsverwaltung bis zu laufenden Workloads in Production – inklusive Build, Test, Packaging, Security-Scans, Deployment und Monitoring.
  • Im Gegensatz zu Platform Operations (Cluster, Netzwerk, Basisdienste) kümmern sich Delivery Operations um reproduzierbare, nachvollziehbare und automatisierte Abläufe, die technische Qualität und regulatorische Anforderungen gleichermaßen adressieren.
  • Ein sauber gestalteter End-to-End-Workflow – Code → CI → Package → Scan → Deploy → Monitor – ist der effektivste Hebel, um Vorgaben aus Cyber Resilience Act, NIS‑2, DORA und Data Act pragmatisch umzusetzen.
  • Zentrale Compliance-Bausteine sind SBOMs, CVE-Scanning, signierte Artefakte, ein belastbarer Audit-Trail und Exit-Fähigkeit Ihrer Plattform – alles eingebettet in schlanke Developer-Experience.
  • ayedo stellt mit der Software Delivery Plattform eine integrierte Umgebung bereit, in der Delivery Operations, Compliance und moderne Cloud-Native-Technik zusammengeführt werden – inklusive vorkonfigurierter Workflows, Guardrails und einer konsistenten Delivery Workflow Demo.

Delivery Operations als Gegenstück zu Platform Operations

Wenn wir über moderne Cloud-Native-Umgebungen sprechen, fallen häufig Begriffe wie Kubernetes, Observability oder Infrastructure as Code. Das sind klassische Themen der Platform Operations: Aufbau und Betrieb der technischen Basis – also Cluster, Netzwerk, Storage, Logging, Identity und die zugrunde liegende Plattform.

Delivery Operations ergänzen diese Perspektive: Sie beschreiben alles, was zwischen Commit und Production passiert. Während Platform Teams sicherstellen, dass Ihre Kubernetes-Cluster verfügbar, sicher und performant sind, stellen Delivery Teams sicher, dass Änderungen an Ihrer Fachanwendung zuverlässig, reproduzierbar und auditierbar in genau diesen Clustern landen.

Typische Aufgaben von Delivery Operations:

  • Gestaltung standardisierter CI/CD-Workflows
  • Definition von Qualitätsgateways (Tests, Security-Scans, Reviews)
  • Umgang mit Container-Images, Charts und anderen Release-Artefakten
  • Etablierung von GitOps-Mechanismen für Deployments
  • Aufbau von Guardrails, die Best Practices und Compliance-Anforderungen automatisiert durchsetzen

In einer regulierten Umgebung – etwa im Finanzsektor oder bei kritischen Infrastrukturen – sind Delivery Operations die Brücke zwischen technischen Anforderungen und gesetzlichen Vorgaben. Sie übersetzen Regulatorik in konkrete, alltäglich gelebte Workflows.

Vom Commit bis zum Monitoring: der End-to-End-Workflow

Ein reifer Delivery-Workflow folgt einem klaren, wiederholbaren Muster. Ein bewährtes Referenzmodell lautet:

Code → CI → Package → Scan → Deploy → Monitor

Jeder dieser Schritte trägt einen Teil zur Gesamtverantwortung bei – technisch, organisatorisch und regulatorisch.

1. Code und Continuous Integration (CI)

Am Anfang steht der Code in einem Versionierungssystem wie GitLab oder GitHub. Hier werden:

  • Feature-Branches angelegt
  • Merge Requests erstellt
  • Code Reviews durchgeführt
  • Qualitätschecks wie Linting und Tests angestoßen

Aus Sicht der Delivery Operations sind zwei Punkte entscheidend:

  1. Automatisierung: Jeder Commit in relevante Branches triggert eine CI-Pipeline. Damit wird gewährleistet, dass Tests und Analysen nicht „vergessen“ werden.
  2. Nachvollziehbarkeit: Merge Requests, Reviews, Approvals und Pipeline-Ergebnisse bilden gemeinsam einen chronologischen Audit-Trail. Für NIS‑2 und DORA ist diese Nachvollziehbarkeit eine tragende Säule des Sicherheits‑ und Risikomanagements.

Schon in der CI-Phase lassen sich Compliance-Anforderungen kontrollierbar machen: etwa durch verbindliche Review-Regeln, verpflichtende Tests und SAST-/Dependency-Scans.

2. Build & Package: aus Code werden Artefakte

Im nächsten Schritt erzeugen Sie aus dem geprüften Code deploybare Einheiten:

  • Container-Images
  • Helm-Charts oder andere Deployment-Templates
  • ggf. zusätzliche Pakete (z.B. CLI-Tools, Libraries)

Wichtig ist hier:

  • Immutable Artefakte: Jedes Build-Ergebnis ist eindeutig versioniert und wird nicht mehr verändert. Das erleichtert Rollbacks und ist Voraussetzung für einen belastbaren Audit-Trail.
  • Zentrale Registry: Container-Images und Charts werden in einer vertrauenswürdigen Registry wie Harbor abgelegt. Zugriffe sind kontrolliert, und es existieren klare Regeln, welche Registries überhaupt als „trusted“ gelten.

Delivery Operations sorgen dafür, dass diese Schritte standardisiert erfolgen – in Form von wiederverwendbaren Pipeline-Templates statt individueller Skripte in jedem Projekt.

3. Scan & Sign: Security und Integrität verankern

Bevor Artefakte in Richtung Production wandern, werden sie geprüft und signiert. Drei Elemente spielen zusammen:

  1. CVE-Scanning: Container-Images und ggf. Bibliotheken werden automatisiert auf bekannte Schwachstellen geprüft. Moderne Registries können Images beim Push oder regelmäßig im Hintergrund scannen und Ergebnisse bereitstellen.
  2. SBOM-Erzeugung: Eine Software Bill of Materials (SBOM) beschreibt, aus welchen Komponenten Ihr Artefakt besteht. Sie ist zentral für den Cyber Resilience Act, der am 7. Januar 2024 in Kraft getreten ist und ab dem 7. Januar 2027 in weiten Teilen gilt. SBOMs ermöglichen Transparenz und schnellere Reaktion auf neue Schwachstellen.
  3. Signierte Artefakte: Signaturen stellen sicher, dass ein Image oder Chart unverändert aus Ihrem Build-Prozess stammt. Cluster oder Deploymentsysteme können Signaturen prüfen und nur freigegebene Artefakte akzeptieren.

Für Delivery Operations heißt das: Scans und Signaturen sind keine optionalen „Add-ons“ mehr, sondern fester Bestandteil des Standard-Workflows. Der Übergang „Package → Scan → Deploy“ erfolgt nur, wenn definierte Security-Gates erfüllt sind.

4. Deploy: GitOps und Guardrails

Deployment ist heute selten ein einzelner „kubectl apply“-Befehl, sondern ein Prozess, der:

  • den gewünschten Zustand der Anwendung in Git beschreibt (GitOps)
  • eine Automatisierung (z.B. ArgoCD) nutzt, um diesen Zustand auf Ziel-Cluster zu synchronisieren
  • in den Clustern selbst durch Policies und Guardrails abgesichert ist

Aus Delivery-Operations-Perspektive sind folgende Aspekte entscheidend:

  • Git als Single Source of Truth: Konfigurationen für Staging und Production liegen versioniert in separaten Repositories oder Ordnern. Änderungen an der Laufzeitumgebung durchlaufen denselben Review- und Approval-Prozess wie Code.
  • Guardrails im Cluster: Admission-Controller und Policy-Engines (z.B. Kyverno) setzen technische Leitplanken um: keine privilegierten Container, keine „latest“-Tags, verpflichtende Network Policies, Mindest-Replikazahlen in Production. Solche Guardrails standardisieren Security und Reliability – und reduzieren das Risiko von Fehlkonfigurationen erheblich.
  • Release-Strategien: Canary-Releases, Blue/Green oder progressive Rollouts sind Teil des Werkzeugkastens. Delivery Operations definieren hier Rahmenbedingungen, in denen Fachteams sicher experimentieren können.

Für NIS‑2 und DORA sind insbesondere die konsistenten Change-Prozesse, die Berechtigungsmodelle rund um Deployments und die technische Durchsetzung von Sicherheitsrichtlinien relevant.

5. Monitor: Feedback-Loop und Audit-Trail

Nach dem Deployment beginnt der eigentlich wichtige Teil: Beobachten, Lernen, Optimieren.

Dazu gehören:

  • Metriken und Dashboards: Latenz, Fehlerquoten, SLO-Tracking, Kapazitätsmetriken
  • Logs und Traces: Zur Fehleranalyse, aber auch zur forensischen Aufklärung im Incident-Fall
  • Deployment-Historie: Welche Version lief wann, durch wen wurde sie freigegeben, und welche Checks hat sie passiert?

Für DORA, das am 17. Januar 2025 anwendbar wird, ist dieser Teil kritisch: Operative Resilienz ist nicht nur eine Frage von Backups und SLAs, sondern auch von Transparenz, Reaktionsfähigkeit und klar definierten Prozessen im Störungsfall.

Delivery Operations und Regulierung: CRA, NIS‑2/DORA, Data Act

Regulatorische Anforderungen wirken oft abstrakt. Delivery Operations helfen, sie in konkrete, automatisierbare Bausteine zu übersetzen.

Cyber Resilience Act: SBOM, Schwachstellenmanagement, Updates

Der Cyber Resilience Act (in Kraft seit dem 7. Januar 2024, anwendbar weitgehend ab dem 7. Januar 2027) verlangt u.a.:

  • Transparenz über verwendete Komponenten (SBOM)
  • strukturiertes Schwachstellenmanagement
  • sichere Update-Mechanismen über den Lebenszyklus des Produkts

Delivery Operations adressieren diese Punkte, indem sie:

  • SBOM-Erstellung als festen Schritt in der Pipeline verankern
  • CVE-Scans automatisiert durchführen und dokumentieren
  • Prozesse definieren, wie auf neue Schwachstellen reagiert wird (Hotfix-Branches, beschleunigte Freigabepfade, Kommunikationsroutinen)
  • Update-Prozesse reproduzierbar gestalten – von der neuen Version bis zum tatsächlichen Rollout in Production

So entsteht ein belastbares Framework, das CRA-Anforderungen nicht nur „abhakt“, sondern in den Alltag der Teams integriert.

NIS‑2 und DORA: Governance, Auditierbarkeit, Resilienz

Die NIS‑2-Richtlinie (in Kraft seit dem 16. Januar 2023, Umsetzungsfrist für Mitgliedstaaten bis zum 17. Oktober 2024) und DORA (in Kraft seit dem 16. Januar 2023, anwendbar ab dem 17. Januar 2025) zielen auf eine erhöhte Resilienz kritischer und digitaler Dienste.

Relevante Aspekte im Kontext Delivery Operations:

  • Klare Verantwortlichkeiten: Wer darf was deployen? Welche Rollen sind an Freigaben beteiligt?
  • Audit-Trail über den gesamten Lifecycle: Von Commit und Review über Tests und Scans bis zum Deployment – alles ist nachvollziehbar dokumentiert.
  • Standardisierte Change-Prozesse: Änderungen an produktiven Systemen folgen definierten Pfaden; Notfallverfahren sind klar beschrieben und technisch unterstützt.
  • Regelmäßige Evaluierung von Maßnahmen: Die Wirksamkeit von Tests, Scans und Guardrails wird gemessen und bei Bedarf angepasst.

Hier werden Delivery Operations zur Schnittstelle zwischen technischen Teams, Risikomanagement und Compliance-Abteilung. Ein gut dokumentierter End-to-End-Workflow macht es deutlich einfacher, Prüfungen zu bestehen und Risiken transparent zu steuern.

Data Act: Exit-Fähigkeit und Portabilität

Der Data Act ist am 11. Januar 2024 in Kraft getreten und wird ab dem 12. September 2025 weitgehend anwendbar. Er stärkt u.a.:

  • die Portabilität von Daten
  • die Wechselmöglichkeit zwischen Cloud-Anbietern
  • Rechte rund um Datenzugang und -nutzung

Aus Sicht der Delivery Operations entstehen daraus klare Designprinzipien:

  • Portables Deployment-Modell: Infrastruktur-Beschreibungen, Konfigurationen und Deployments sollten nicht untrennbar an einen bestimmten Provider gebunden sein. GitOps und Kubernetes-native Workloads erleichtern einen späteren Wechsel.
  • Standardisierte Artefakt-Formate: Container-Images, Helm-Charts und SBOMs sind herstellerunabhängig nutzbar.
  • Dokumentierte Abhängigkeiten: Durch SBOMs und strukturierte Konfigurationen ist nachvollziehbar, welche externen Dienste genutzt werden – eine Grundvoraussetzung für Exit-Strategien.

Delivery Operations werden damit zum Hebel, um Exit-Fähigkeit nicht nur vertraglich, sondern auch technisch sicherzustellen.

Organisatorische Gestaltung von Delivery Operations

Technik allein reicht nicht. Wer Delivery Operations ernst nimmt, muss Rollen, Prozesse und Plattform-Angebote klar definieren.

Rollen und Verantwortlichkeiten

Ein bewährtes Modell:

  • Platform Team: Verantwortlich für Cluster, Basisdienste, zentrale Tools, Guardrails und generische CI/CD-Templates.
  • Delivery Team (oder zentraler DevOps-Bereich): Gestaltet und betreibt standardisierte Delivery-Workflows, berät Fachteams und übersetzt regulatorische Anforderungen in Pipeline-Logik.
  • Product-/Feature-Teams: Nutzen diese Workflows, verantworten fachliche Anforderungen und die inhaltliche Qualität ihrer Services.

Wichtig ist, dass die Grenzen nicht als Silos verstanden werden: Delivery Operations sind ein Gemeinschaftsprojekt, aber mit klar definierten Ownerships.

Standardisierte Pipelines als Produkt

Statt jedes Team eigene CI/CD-Skripte bauen zu lassen, werden Pipelines als internes Produkt verstanden:

  • vordefinierte Stages für Tests, Build, Scan, Deploy
  • integrierte SBOM- und Signing-Schritte
  • konfigurierbare, aber nicht beliebig veränderbare Sicherheits-Gates
  • wiederverwendbare Templates für häufige Szenarien (Webservice, Batch-Job, API-Gateway-Integration)

So entsteht Konsistenz, ohne Teams in ihrer Autonomie unnötig einzuschränken.

Policy as Code und Guardrails

Regeln werden nicht nur in Handbüchern beschrieben, sondern als maschinenlesbare Policies implementiert. Admission-Controller in den Clustern sorgen dafür, dass:

  • nur aus vertrauenswürdigen Registries deployt wird
  • sicherheitsrelevante Einstellungen (z.B. keine privilegierten Container) erzwungen werden
  • bestimmte Ressourcenanforderungen und Netzwerkregeln erfüllt sind

Ein pragmatisches Vorgehen ist, neue Policies zunächst im Audit-Modus zu betreiben und nach einer Einführungsphase in den Enforce-Modus zu schalten. So bleiben Teams handlungsfähig, während sie sich an die neuen Leitplanken anpassen.

Häufige Fragen

Wie unterscheiden sich Delivery Operations von „klassischem“ DevOps?

DevOps ist ein Kultur- und Organisationsbegriff: Entwicklung und Betrieb arbeiten eng zusammen, um Software schneller und zuverlässiger zu liefern. Delivery Operations sind die konkrete technische und prozessuale Ausprägung dieses Gedankens entlang des Weges von Code zu Production.

Sie beantworten Fragen wie:

  • Welche Pipeline-Stufen sind für alle Anwendungen verbindlich?
  • Wo werden SBOMs erzeugt und gespeichert?
  • Wie laufen Signierung und CVE-Scanning ab?
  • Wie werden Deployments freigegeben und auditiert?

DevOps ist damit eher das „Warum“ und „Wie zusammen“, Delivery Operations das „Wie konkret im täglichen Doing“.

Wie kann ich CRA-konforme SBOMs und Signaturen in meinen Workflow integrieren?

Der Schlüssel ist, SBOMs und Signaturen nicht als spätere Ergänzung zu betrachten, sondern als integralen Bestandteil Ihrer CI/CD-Pipelines:

  • In der Build-Phase: Erzeugen Sie SBOMs parallel zum Container-Image, speichern Sie beides gemeinsam in Ihrer Registry und referenzieren Sie die SBOM-Version im Release-Prozess.
  • In der Scan-Phase: Automatisieren Sie CVE-Scans und dokumentieren Sie die Ergebnisse als Teil der Pipeline-Historie.
  • Vor dem Deploy: Signieren Sie die Artefakte und lassen Sie Ihre Deploymentsysteme bzw. Cluster diese Signaturen prüfen.

Wichtig ist, dass die Developer Experience dabei möglichst reibungslos bleibt – idealerweise geschieht ein Großteil dieser Schritte „unter der Haube“ der Standard-Pipelines.

Wie unterstützt ayedo konkret bei Delivery Operations?

ayedo versteht Delivery Operations als Kernaufgabe einer modernen Software Delivery Plattform. Auf Basis von Kubernetes, GitOps und einem integrierten Tooling-Stack stellt ayedo:

  • vorintegrierte Registries, Scanning- und Signaturlösungen bereit
  • standardisierte Delivery-Workflows mit klaren Qualitäts- und Compliance-Gates
  • Guardrails im Cluster, die Security- und Verfügbarkeitsanforderungen automatisch durchsetzen
  • Dashboards und Reporting, mit denen technische und regulatorische Anforderungen gemeinsam betrachtet werden können

Dabei ist die Plattform explizit auf europäische Rahmenbedingungen ausgerichtet – von Cyber Resilience Act über NIS‑2 und DORA bis hin zum Data Act.

Weitere Fragen? Siehe unsere FAQ

Von der Theorie zur Umsetzung

Ein durchdachter Delivery-Workflow ist heute weit mehr als „Build & Deploy“. Er ist der Ort, an dem sich technische Exzellenz, Sicherheitsanforderungen und europäische Regulierung auf konstruktive Weise treffen. Wer hier investiert, schafft nicht nur Compliance, sondern eine robuste Grundlage für schnelle, verlässliche und vertrauenswürdige Softwarelieferung.

ayedo setzt genau an dieser Stelle an. Unsere Software Delivery Plattform bündelt:

  • eine Kubernetes-basierte Plattform, auf der Ihre Workloads sicher und skalierbar laufen
  • integrierte Delivery Operations mit GitOps, SBOM- und Scan-Pipelines, Signaturen und Guardrails
  • ein Betriebsmodell, das Compliance-Anforderungen aus Cyber Resilience Act, NIS‑2, DORA und Data Act in wiederverwendbare, alltagstaugliche Prozesse übersetzt

So entsteht eine Umgebung, in der Entwicklerteams sich auf Fachlogik konzentrieren können, während Security, Resilienz und regulatorische Anforderungen konsequent im Delivery-Workflow verankert sind.

Wenn Sie sehen möchten, wie ein solcher End-to-End-Prozess in der Praxis aussieht – von Commit über SBOM und Scans bis zum Deployment in Ihre Cluster – lohnt sich ein Blick in unsere Live-Umgebung.

Den besten Eindruck erhalten Sie in einer geführten Delivery Workflow Demo.

Vorheriger Post Alle Posts Nächster Post

Ähnliche Artikel