rapidsolutions
EnglishEN DeutschDE FrançaisFR EspañolES NederlandsNL ItalianoIT
Plan een gesprek
Plan een gesprek
ENDEFRESNLIT
June 2, 2026

Wat is een sovereign cloud en hoe bouw je er een (open source)

sovereign cloudopen sourceprivate cloudOpenStackKubernetesdatasoevereiniteitGDPREU-dataresidentieKubeVirtProxmox

Een sovereign cloud is infrastructuur waarbij je juridisch, operationeel en technisch de controle over je data en systemen behoudt, in plaats van die controle van iemand anders te huren. De data staat waar jij dat bepaalt, jij beheert de encryptiesleutels, en geen enkele buitenlandse jurisdictie kan stilletjes in je systemen graaien. Voor organisaties in Europa, en Duitsland in het bijzonder, is dit van een nice-to-have veranderd in een eis op directieniveau, gedreven door GDPR, NIS2, DORA en de reikwijdte van de Amerikaanse CLOUD Act.

Het goede nieuws: er is geen enkel “juist” sovereign-cloudproduct dat je kunt kopen. Een sovereign private cloud kan op veel manieren worden gebouwd, vrijwel volledig op open source en open standaarden. Deze gids legt uit wat de term werkelijk betekent en loopt vervolgens door het echte landschap van manieren om er een te bouwen, zodat je de aanpak kunt afstemmen op je workloads in plaats van op de marketing van een leverancier.

Wat “sovereign” werkelijk betekent

Dataresidentie (waar de bytes fysiek staan) is slechts één onderdeel. Echte digitale soevereiniteit combineert verschillende lagen:

  • Jurisdictionele controle - je data blijft buiten het bereik van buitenlands recht, in lijn met EU-regimes zoals GDPR, NIS2, DORA en de EU Data Act.
  • Sleutelbeheer - jij houdt de encryptiesleutels (BYOK, of volledig HYOK), niet de platformbeheerder.
  • Operationele controle - jij bepaalt wie de omgeving mag benaderen, wijzigen en auditen.
  • Portabiliteit - open, standaard interfaces (Kubernetes API, OCI, S3) betekenen dat je kunt vertrekken of verhuizen zonder een herschrijving.
  • Transparantie - open-sourcecomponenten die je kunt inspecteren, plus optionele confidential computing (Intel TDX, AMD SEV-SNP) voor bescherming tijdens runtime.

Frameworks die het waard zijn om te kennen wanneer je een project afbakent: Gaia-X en de labels van het Trust Framework, de aankomende EUCS-certificeringsregeling van ENISA, de Duitse BSI C5-catalogus en de door de community gedreven Sovereign Cloud Stack (SCS). Deze geven je een gedeeld vocabulaire met auditors en inkoop.

De grote misvatting

Een veelvoorkomende mythe is dat “private cloud OpenStack betekent” of “je Proxmox nodig hebt.” Beide kloppen niet. Private cloud en IaaS zijn categorieën, geen producten. De juiste vraag is niet welke tool, maar welk control plane past bij jouw schaal, jouw team en jouw compliancepositie. Er zijn ten minste drie geloofwaardige architecturen, en een sovereign cloud kan op elk daarvan worden gebouwd.

Manier 1: Een volledig IaaS-control plane

Dit is het klassieke “bouw je eigen cloud”-model: een control plane abstraheert gepoolde compute, opslag en netwerken tot self-service, multi-tenant infrastructuur met API’s, quota’s en tenancy. Het past bij grotere omgevingen, serviceproviders en teams die echt cloud-achtige elasticiteit op hun eigen hardware nodig hebben.

Open-sourceopties in deze categorie zijn onder meer:

  • OpenStack - het meest complete IaaS-control plane, nu onder de OpenInfra Foundation (die zich in 2025 bij de Linux Foundation voegde). De ruggengraat van veel Europese sovereign clouds.
  • Apache CloudStack - een volwassen, eenvoudiger te beheren IaaS van de Apache Software Foundation.
  • OpenNebula - lichtgewicht, geschikt voor edge en middelgrote private clouds.
  • Sovereign Cloud Stack (SCS) - open standaarden en referentie-implementatie speciaal gebouwd voor soevereiniteit, vaak gelaagd bovenop OpenStack en Kubernetes.

OpenStack is vaak het toonaangevende alternatief voor VMware voor organisaties die volledige IaaS willen zonder licentie-lock-in.

Manier 2: Een hypervisor- of HCI-stack

Als je voornamelijk virtuele machines draait en operationele eenvoud boven hyperscale-elasticiteit verkiest, is een hypervisor- of hyperconverged stack vaak de betere keuze. Deze geven je VM-lifecycle, clustering en opslag zonder de operationele last van een volledig IaaS-control plane.

  • Proxmox VE - enorm populair open-sourceplatform voor virtualisatie en HCI, KVM plus LXC, steeds vaker gebruikt als VMware-vervanger.
  • oVirt - de upstream van enterprise-virtualisatiebeheer, op KVM gebaseerd.
  • XCP-ng - de open, op Xen gebaseerde hypervisor (XAPI), een direct alternatief voor gebruikers van Citrix Hypervisor.
  • Harvester - HCI gebouwd op Kubernetes en KubeVirt, dat de brug slaat naar Manier 3.

Onder al deze liggen dezelfde Linux-fundamenten: KVM en libvirt voor op KVM gebaseerde stacks, het Xen Project voor XCP-ng, en Ceph als de softwaregedefinieerde opslaglaag bij uitstek.

Manier 3: Kubernetes-native, waar Kubernetes de cloud is

Een groeiend patroon is om een traditionele IaaS-laag volledig over te slaan en Kubernetes zelf de cloud te laten zijn. Containers zijn de primaire eenheid, en VM’s draaien binnen Kubernetes wanneer dat nodig is. Dit past bij cloud-native organisaties en platform-engineeringteams.

  • KubeVirt - draait VM’s als eersteklas Kubernetes-workloads naast containers.
  • OpenShift Virtualization (en de upstream OKD Virtualization) - enterprisedistributie van hetzelfde idee.
  • Cluster API (CAPI) - declaratieve cluster-lifecycle, waarbij clusters zelf als beheerde resources worden behandeld.
  • Harvester, Incus - HCI- en system-containeropties die dit model aanvullen.

Hier is het “control plane” de Kubernetes API zelf, met het bredere CNCF-ecosysteem (Cilium voor netwerken, Rook/Ceph of Longhorn voor opslag, OpenBao of Vault voor secrets) dat de rest invult.

Kiezen tussen de opties

Er is geen universele winnaar. Een ruwe leidraad:

  • Grote multi-tenant omgeving of serviceproviderschaal: kies eerder voor OpenStack / CloudStack / SCS (Manier 1).
  • VM-gerichte workloads, kleiner team, snelle time-to-value: kies eerder voor Proxmox VE / oVirt / XCP-ng (Manier 2).
  • Cloud-native, container-first, platform-engineeringcultuur: kies eerder voor een Kubernetes-native KubeVirt / Harvester-aanpak (Manier 3).
  • Veel echte omgevingen zijn hybride, bijvoorbeeld OpenStack voor IaaS met Kubernetes daarbovenop.

De lagen rond het control plane

Op welke manier je ook bouwt, soevereiniteit hangt af van de ondersteunende lagen, en ook deze zijn open-source-first:

  • Opslag: Ceph, Rook, Longhorn, MinIO (S3-compatibel) - jouw data, op jouw hardware, via CSI en de S3 API.
  • Netwerken en beveiliging: Cilium (eBPF), Calico, WireGuard, plus zero-trust identiteit met SPIFFE/SPIRE en mTLS.
  • Secrets en sleutels: OpenBao of HashiCorp Vault voor BYOK/HYOK.
  • Infrastructure as Code: OpenTofu, Terraform, Pulumi, Crossplane, Ansible en Nix, zodat het hele platform reproduceerbaar en auditeerbaar is.
  • GitOps en delivery: Argo CD of Flux, met Tekton, GitHub Actions, GitLab CI of Jenkins voor builds.
  • Observability: OpenTelemetry, Prometheus en de Grafana LGTM-stack, allemaal op open standaarden zodat telemetrie portabel blijft.

Deze open standaarden (Kubernetes API, OCI, CSI/CNI, OpenTelemetry, S3) zorgen ervoor dat een sovereign cloud werkelijk portabel blijft in plaats van een nieuwe smaak van lock-in.

FAQ

Is een sovereign cloud hetzelfde als dataresidentie?

Nee. Dataresidentie betekent dat je data in een gekozen regio staat. Soevereiniteit voegt daarbovenop sleutelbeheer, operationele controle, jurisdictionele bescherming en portabiliteit toe.

Moet ik OpenStack draaien om soeverein te zijn?

Nee. OpenStack is één uitstekende optie, maar Apache CloudStack, OpenNebula, Proxmox VE, oVirt, XCP-ng en Kubernetes-native stacks (KubeVirt, Harvester) kunnen allemaal de basis vormen voor een sovereign cloud.

Is open source hiervoor eigenlijk wel veilig?

Ja, en het is meestal de veiligere keuze voor soevereiniteit. Open source is inspecteerbaar, vermijdt vendor lock-in en wordt ondersteund door neutraal bestuur (Linux Foundation, CNCF, OpenInfra, Apache).

Kan ik private AI draaien in een sovereign cloud?

Ja. Self-hosted inference (vLLM, Ollama, llama.cpp) met vector stores (pgvector, Qdrant) en PII-redactie (Presidio) laat je private LLM’s en RAG draaien waar prompts en gewichten je omgeving nooit verlaten.

Waar past confidential computing in?

Intel TDX en AMD SEV-SNP beschermen data tijdens gebruik, zodat zelfs de platformbeheerder het geheugen van de workload niet kan lezen. Nuttig voor de workloads met de hoogste zekerheidseisen.

Bouw het met de juiste partner

Een sovereign cloud is een architectuurbeslissing, geen productaankoop, en het lastigste deel is het afstemmen van de aanpak op je workloads, schaal en complianceverplichtingen. Rapid Solutions is een engineeringconsultancy en managed-servicesbedrijf (geen cloudprovider) met kantoren in Amsterdam en Dubai. Wij ontwerpen en beheren sovereign private clouds over het volledige open-source-ecosysteem, OpenStack en CloudStack, Proxmox VE en Harvester, of Kubernetes-native KubeVirt, met EU-dataresidentie als beschikbare mogelijkheid en een eenvoudig principe als rode draad: jouw data, jouw sleutels, jouw controle.

Of je nu vanaf nul wilt bouwen of wilt dat wij soeverein beheren wat je al draait, neem contact op met Rapid Solutions om de juiste aanpak af te bakenen.

← All articles