Warum Data Transfer Fees (Egress) bei Container-Updates die Cloud-Kosten treiben

Wer die Betriebskosten seiner IT-Infrastruktur in der Cloud kalkuliert, wirft meist einen standardmäßigen Blick auf die offensichtlichen Posten: Was kosten die virtuellen Maschinen (Compute) und wie viel berechnet der Anbieter für den reinen Speicherplatz (Storage) pro Gigabyte? Auf Basis dieser zwei Variablen werden Budgets freigegeben und Migrationspläne geschmiedet. Doch sobald die containerisierte Infrastruktur in den Live-Betrieb geht und moderne CI/CD-Pipelines mehrmals täglich frische Software-Releases ausrollen, folgt am Monatsende nicht selten das böse Erwachen beim Blick auf die Cloud-Rechnung.

Die Ursache für diese unvorhersehbare Budget-Explosion liegt an einer oft übersehenen, aber hochprofitablen Einnahmequelle der großen US-Hyperscaler: den Data Transfer Fees, genauer gesagt den Egress-Kosten. Während das Hochladen von Container-Images in die Cloud (Ingress) konsequent kostenlos ist, lassen sich Anbieter wie AWS, Azure oder Google jedes Gigabyte, das ihre internen Netzwerkgrenzen verlässt, teuer bezahlen. Für Unternehmen, die auf agile, Microservice-basierte Architekturen setzen, mutiert dieses Abrechnungsmodell bei der Image-Verwaltung zu einer systematischen Kostenfalle.

Die Mechanik der Falle: Wie jeder docker pull Geld kostet

Um das wirtschaftliche Ausmaß der Egress-Kosten zu verstehen, muss man den Lebenszyklus eines modernen Container-Updates betrachten. Ein Container-Image besteht aus verschiedenen logischen Schichten (Layers). Wird eine Anwendung aktualisiert, ändert sich meist nur die oberste Schicht mit dem neuen Anwendungscode. Die darunterliegenden Basis-Schichten (z. B. das Betriebssystem-Image oder die Laufzeitumgebung) bleiben identisch.

In einer perfekt optimierten Welt müsste das Kubernetes-Cluster beim Update nur wenige Megabytes herunterladen. In der dynamischen Realität von Multi-Region-Clustern und skalierten Umgebungen greift dieser Caching-Vorteil jedoch an drei Stellen ins Leere:

1. Das “Cross-Region”-Dilemma

Betreibt ein Unternehmen seine Container Registry in der Cloud-Region Frankfurt, das dazugehörige Kubernetes-Cluster aber aus Redundanzgründen verteilt über die Regionen Frankfurt, Irland und Spanien, schlägt die Egress-Falle gnadenlos zu. Jedes Mal, wenn ein Worker-Node in Irland ein Image-Update anfordert, verlässt der Datenstrom die Region Frankfurt. Der Hyperscaler berechnet hierfür die sogenannten Inter-Region Data Transfer Fees.

2. Die Skalierungs-Multiplikation

Ein Container-Image hat im Enterprise-Umfeld (inklusive aller Basis-Bibliotheken, Debug-Tools und OS-Schichten) schnell eine Größe von 500 MB bis 1 GB. Skaliert eine Anwendung in einem Cluster über 20 oder 30 Worker-Nodes hinweg, und wird dieses Image im Zuge von kontinuierlichen CI/CD-Deployments fünfmal am Tag aktualisiert, multipliziert sich der Datenverkehr dramatisch:

Datenverkehr=30 Nodes×1 GB Image×5 Updates/Tag=150 GB Transfer / Tag

Am Monatsende summiert sich dieser scheinbar unschuldige Update-Prozess auf mehrere Terabytes an reinem Netzwerk-Transfer – allein für das Bereitstellen der Software auf den eigenen Servern.

3. Der “Cold-Start” bei Autoscaling

In elastischen Cloud-Umgebungen werden Worker-Nodes bei Lastspitzen vollautomatisch hochgefahren (Autoscaling) und bei Inaktivität wieder gelöscht. Startet ein frischer, “nackter” Node, besitzt er keinerlei lokalen Image-Cache. Er muss alle benötigten Container-Images der Plattform komplett neu aus der Registry abrufen. Die Egress-Kosten steigen linear mit jeder Lastspitze Ihres Kerngeschäfts.

Die souveräne Alternative: Das Flat-Storage-Prinzip ohne Mautgebühren

Dass der Betrieb von CI/CD-Pipelines und globalen Registries auch ohne versteckte Netzwerk-Mautgebühren wirtschaftlich kalkulierbar ist, beweisen europäische Edge- und Cloud-Plattformen. Sie entkoppeln die Kostenstruktur radikal von den unvorhersehbaren Netzwerkströmen und setzen auf ein reines, volumenbasiertes Speichermodell.

Eine souveräne Container-Registry (auf Basis von Harbor) funktioniert nach einer klaren kaufmännischen Logik:

• 0,05 € pro Gigabyte – All-inclusive: Abgerechnet wird ausschließlich der physisch belegte Speicherplatz auf dem S3-kompatiblen Hintergrund-Speicher (Object Storage). Ob ein Image einmal oder einhunderttausendmal von Ihren Clustern heruntergeladen wird, hat keinerlei Einfluss auf die Rechnung.
• Kompromissloser Verzicht auf Ingress- und Egress-Kosten: Der Datenverkehr zwischen der Registry und Ihren Kubernetes-Clustern innerhalb des europäischen Plattform-Netzwerks ist zu 100 % kostenfrei. Entwickler können Pipelines so oft triggern, wie es der Innovationszyklus erfordert, ohne dass die IT-Leitung Angst vor der nächsten Lastspitze haben muss.

Strategischer Mehrwert: Befreiung der Innovationsgeschwindigkeit

Der Wechsel zu einer Registry-Architektur ohne künstliche Transfer-Barrieren bietet Unternehmen weit mehr als nur eine reine Kostenersparnis auf der Infrastruktur-Rechnung. Er verändert die Dynamik in den DevOps Teams grundlegend:

• Echtes Continuous Deployment ohne Reue: Entwickler müssen Container-Images nicht länger künstlich “kleinhacken” oder Updates aus Angst vor Netzwerkgebühren hinauszögern. Die Frequenz der Software-Releases wird wieder ausschließlich von fachlichen Anforderungen bestimmt, nicht von kaufmännischen Restriktionen.
• Sorgenfreies Multi-Cluster- und Hybrid-Design: Da der Image-Transfer kostenfrei ist, lassen sich komplexe Disaster-Recovery-Szenarien und Geo-Replikationen spielend einfach umsetzen. Sie können Ihre Images spiegelbildlich über mehrere Regionen und lokale Rechenzentren verteilen, um Ausfallsicherheit (HA) nach höchsten Standards (wie unter NIS-2 oder DORA gefordert) zu garantieren, ohne dass die Replikation Ihr IT-Budget auffrisst.
• Volle Transparenz für das FinOps-Management: Die Budgetierung der IT-Infrastruktur für das nächste Geschäftsjahr wird zu einer einfachen Rechenaufgabe. Die Kosten korrespondieren linear mit dem Speicherbedarf Ihrer Repositories, wodurch unvorhersehbare Ausreißer auf der monatlichen Abrechnung der Vergangenheit angehören.

Fazit: Digitale Souveränität ist auch eine Budgetfrage

Die Cloud-Transformation sollte Unternehmen Agilität und Freiheit bringen. Wer seine Container-Registries jedoch bei Anbietern betreibt, die den lebenswichtigen Datenfluss zwischen Entwicklung und Betrieb mit künstlichen Egress-Gebühren belegen, begibt sich in eine wirtschaftliche Abhängigkeit. Echte digitale Souveränität erfordert faire, transparente und offene Spielregeln, auch und gerade bei den Finanzen. Eine standardkonforme OCI-Registry im europäischen Rechtsraum, die auf Ingress- und Egress-Kosten verzichtet, schützt den Mittelstand vor der Cloud-Kostenfalle und stellt sicher, dass jeder investierte Euro direkt in die Innovation des eigenen Produkts fließt.

FAQ: Egress-Kosten & Registry-Wirtschaftlichkeit

Warum erheben die großen US-Hyperscaler überhaupt Egress-Gebühren?

Aus technischer Sicht entstehen beim Datentransfer über Regions- und Netzwerkgrenzen hinweg zwar reale Kosten für die Wartung und den Betrieb der Glasfaser-Infrastruktur. Allerdings stehen die erhobenen Gebühren der großen Anbieter oft in keinem Verhältnis zu den tatsächlichen Selbstkosten. Wirtschaftlich betrachtet fungieren Egress-Fees als hochwirksames Werkzeug zur Kundenbindung (Customer Lock-in): Da der Abzug von großen Datenmengen zu einem Konkurrenten extrem teuer ist, werden Unternehmen effektiv davon abgehalten, ihre Cloud-Infrastruktur zu wechseln.

Hilft uns der EU Data Act gegen diese Egress-Gebühren an der Registry?

Ja, genau hier setzt der Gesetzgeber an. Der EU Data Act verpflichtet Cloud-Anbieter dazu, künstliche Wechselbarrieren abzubauen. Das betrifft insbesondere das Verbot von überhöhten Gebühren für den reinen Datenexport im Falle eines Anbieterwechsels (Switching). Wer seine gesamte Infrastruktur portieren möchte, wird durch den Data Act rechtlich geschützt. Für den alltäglichen, laufenden Pipeline-Betrieb und regelmäßige Container-Updates im normalen Geschäftsalltag greift dieses Wechsel-Privileg jedoch nicht - hier bestimmen weiterhin die regulären Vertragskonditionen des Anbieters die Kosten, weshalb eine von Natur aus egress-freie Plattform die sicherere Wahl ist.

Wie können wir den Speicherbedarf in Harbor optimieren, um die 0,05 € / GB ideal zu nutzen?

Harbor bietet hierfür ein mächtiges, integriertes Werkzeug: die Retention Policies (Aufbewahrungsregeln) in Kombination mit der automatisierten Garbage Collection (Müllabfuhr). Sie können im Dashboard fein definieren, dass beispielsweise in Ihren Entwicklungs-Projekten nur die jeweils letzten 5 Versionen eines Image-Tags dauerhaft auf dem S3-Speicher aufbewahrt werden sollen. Ältere, verwaiste Schichten, die von keinem aktiven Container mehr referenziert werden, löscht Harbor automatisch. Das hält das Speicher-Volumen dauerhaft schlank und minimiert die monatlichen Fixkosten auf ein Minimum.