Uw gegevens. Uw keuze.

Als je alleen het noodzakelijke kiest, verzamelen we met cookies en vergelijkbare technologieën informatie over je apparaat en je gebruik van onze website. Deze hebben we nodig om je bijvoorbeeld een veilige login en basisfuncties zoals het winkelwagentje te kunnen bieden.

Als je overal mee instemt, kunnen we deze gegevens daarnaast gebruiken om je gepersonaliseerde aanbiedingen te tonen, onze website te verbeteren en gerichte advertenties te laten zien op onze eigen en andere websites of apps. Bepaalde gegevens kunnen hiervoor ook worden gedeeld met derden en advertentiepartners.

Wettelijke kennisgevingPrivacybeleid
Achter de schermen
9826

Digitale soevereiniteit: Waarom we onze ontwikkelaars meer vertrouwen dan big tech

Thomas Gfeller
14-11-2025
Vertaling: machinaal vertaald

Cloudbeperkingen, propriëtaire interfaces, vendor-locked hardware, inflexibele en verouderde VPN-protocollen, te dure "managed" diensten - wat velen als gemak beschouwen voldoet niet langer aan de eisen van Galaxus.

We hebben nu ongeveer 30 locaties bij Galaxus. Magazijnen, winkels, kantoren, clouds, allemaal verspreid over Europa, verbonden met glasvezel, koper of zelfs mobiele communicatie. Afhankelijk van de use case draait onze software op Azure, GCP, Hetzner of op onze eigen servers direct in onze magazijnen of kantoorgebouwen. De veelzijdigheid van clouds, verbindingstypes en locaties neemt voortdurend toe.

Daarom investeren we in een flexibele IT-infrastructuur. Dit is vooral belangrijk helemaal onderaan de abstractie: het netwerk.

Het DNS is altijd de schuldige...
Het DNS is altijd de schuldige...

Wie bouwt het zenuwstelsel van een bedrijf - het netwerk dat alles en iedereen verbindt - op basis van contracten die inflexibel en duur zijn? Van hardware die dicteert wat werkt en dit zelfs afhankelijk maakt van hoge licentiekosten? Van providers die rekenen in jaren en niet in weken voor netwerkontwikkelingsprojecten?

Niet bij ons.

Het Planet Express ontwikkelteam - dat verantwoordelijk is voor de IT-infrastructuur bij Galaxus - heeft de afgelopen twee jaar besteed aan het bouwen van een eigen netwerk dat volledig is gebaseerd op open source technologieën. Geen cloud lock-in. Geen knevelcontracten. Gewoon gratis, versleutelde en schaalbare peer-to-peer verbindingen. En dat alles met software die we zelf beheren.

Dit is een slimme strategische positionering: open standaarden betekenen keuzevrijheid, concurrentie en betere voorwaarden. Afhankelijkheid van individuele aanbieders kost ons flexibiliteit en geld. Dankzij ons flexibele netwerk kunnen we onze build pipelines bijvoorbeeld draaien op goedkope servers van Hetzner of op ongebruikte capaciteit op onze eigen infrastructuur.

En nee, dit is geen proof of concept. Geen "we proberen het eens". Het is in productie. Al maanden. Het transporteert je bestellingen en pakketlabels naar het magazijn in Wohlen. Het stelt onze online winkel in staat om in realtime API's van Azure en Google op te halen terwijl jij door onze winkel bladert.

De bouwstenen

1. infrastructuur

Laten we beginnen met de hoogste discipline van de community: het samenstellen van pc's. Voor onze eigen locaties gebruiken we MinisForum MS-01 computers met 2×10 Gbit/s SFP-poorten. Hierdoor kunnen we onze internetproviders rechtstreeks op onze hardware aansluiten en gemakkelijk 10 gigabit doorschakelen.

Minisforum MS-01 (Intel Core i9-13900H)
Barebone
EUR709,–

Minisforum MS-01

Intel Core i9-13900H

De houders voor de Minisforum computers, inclusief het teamlogo en door ons 3D-geprint.
De houders voor de Minisforum computers, inclusief het teamlogo en door ons 3D-geprint.

We installeren de volgende software erop:

Proxmox: De hypervisor die alles bij elkaar houdt. Hiermee kunnen we als het ware onze eigen (netwerk)cloud bouwen. Het geeft ons ook interessante noodtoegang voor het geval er iets mis gaat met de VM's.
OpenWRT: Het besturingssysteem voor onze routers. Het draait gevirtualiseerd op de Proxmox nodes. Waarschijnlijk benadert ongeveer de helft van alle lezers van dit artikel dit blogartikel via een afgeleide van OpenWRT.

2. netwerk & verbinding

Tailscale: De client die de verbindingen tot stand brengt. Het maakt van elke router of computer een deel van het netwerk zonder dat je te maken hebt met IP-adressen of firewalls.
Headscale: Het zelf gehoste control plane alternatief voor de managed tailscale service. Geen SaaS-service die om wat voor reden dan ook de voorwaarden verandert. Headscale beheert wie met wie kan communiceren

3. automatiseren & schalen

En hoe maken we het geheel schaalbaar? Hoe voorkomen we dat onze ontwikkelaars configuraties moeten maken op 30 gateways?

Terraform: voor het automatisch instantiëren van de gateways op Proxmox of bij onze cloudproviders.
Ansible: voor configuratie met Jinja2 sjablonen en YAML-bestanden. Hiermee kunnen we alle gateways met één run configureren. We hebben onze code over hoe we dit moeten doen open gesourced. Je kunt de link hieronder vinden.

Hoe werkt het geheel technisch?

Dit is geen diagram uit een technisch concept, dit is een directe export uit onze technische documentatie.
Dit is geen diagram uit een technisch concept, dit is een directe export uit onze technische documentatie.

De rode stippellijnen tonen directe peer-to-peer VPN-verbindingen tussen onze locaties en clouds. We gebruiken eindpunten bij Google, Microsoft, Hetzner en on-premise omgevingen. Ons VPN brengt automatisch directe verbindingen tot stand tussen de locaties die met elkaar mogen communiceren.

De groene lijnen geven aan dat alle locaties hun configuratie krijgen van onze besturingsserver (headscale), die het netwerk configureert maar zelf geen VPN-verbindingen routeert.

Opensourcing van ons Ansible OpenWRT framework

Zoals hierboven vermeld, hebben we ons Ansible OpenWRT framework open source gemaakt op Github. Dus als iemand van jullie dit graag zelf wil gebruiken: Ga je gang. We kijken uit naar PR's en discussies in de repository.

Conclusie: Verantwoordelijkheid nemen loont meerdere malen!

We hebben gezien waar ongezonde afhankelijkheden van individuele bedrijven toe leiden: tot onaantrekkelijke sales, langzame en ingewikkelde processen en moeizame samenwerking. Ons netwerk is het alternatief: snel, veilig, flexibel en controleerbaar.

En het beste? Onze ontwikkelaars werken er graag mee en je kunt het zelf bouwen, in welke vorm dan ook: Voor je eigen bedrijf? Voor je Arrr stack thuis? Heb je technische vragen? Schrijf ze in de comments!

P.S: Wat is er eigenlijk gebeurd met de Linux thin clients?

Ze worden nog steeds productief gebruikt en hun gebruik is in de afgelopen drie jaar gegroeid tot ongeveer 640 gelijktijdig actieve clients. Dit betekent dat het aantal apparaten dat in gebruik is sinds het begin ongeveer is verdubbeld.

En de Github repository is nog steeds actief en ontvangt veel techniekliefde van ons!

98 mensen vinden dit artikel leuk

User Avatar
User Avatar
Thomas Gfeller
Teamleader Engineering
Thomas.Gfeller@digitecgalaxus.ch

Mijn eerste server stond nog bij mijn ouders thuis: Debian, vol met video's en spelletjes. Na vele jaren als Windows-gamer viel ik in het open source konijnenhol, en ik wil niet meer terug. De kracht die het ecosysteem je als engineer geeft is gewoon te geweldig. Teamlead bij Galaxus sinds 2018. Hacker, knutselaar, knutselaar thuis en op het werk. 

Achter de schermen

Nieuws over functies in de winkel, informatie van marketing of logistiek en nog veel meer.

Alles tonen

Deze artikelen kunnen je ook interesseren

  • Achtergrond

    Google Chrome heeft een nieuw pictogram: Dit is wat erachter zit

    van Dominik Bärlocher

  • Achter de schermen

    Gezocht en gevonden: Kwetsbaarheid in Zyxel router

    van Martin Wrona

  • Producttest

    Synology, wat hebben jullie gedaan? DS925+ getest

    van Martin Jud

26 opmerkingen

Avatar
later