Plattformarchitektur & Build-Pipeline
API-first bis auf Komponentenebene · offen als Standard · EU zuerst, Deutschland wo vertretbar · ein Mensch gibt jede Änderung frei.
Verbunden durch den OpenAPI-Vertragsbus
Edge & Perimeter
Jede Anfrage tritt hier ein — Routing, Sicherheit, Edge-Compute, das API-Gateway.
Domänendienste
Unabhängig deploybar; jeder Dienst besitzt seine Daten und spricht nur über die API.
Intelligenz
Reasoning, Deep Research & agentischer Build, modellunabhängig hinter einem Gateway. Anthropic-Modelle laufen über die Gemini Enterprise Agent Platform von Google Cloud (vormals Vertex AI), via Model Garden — Frankfurt oder der EU-Multiregion-Endpunkt, sodass die Inferenz in der EU bleibt. Team-Chat über ein Claude-Abonnement; Produkt- & Dev-Inferenz auf der Agent Platform.
Compute, Daten & Observability
Schwere Workloads, das Data Warehouse und die kundenseitigen Dashboards.
Kommunikation
Transaktionsmails, Benachrichtigungen, der direkte Incident-Kanal, Intake.
Büro & Zusammenarbeit
Nur internes Team — Mail, Docs, Drive, Kalender. Kundendaten landen hier nie.
Wo technisch & finanziell vertretbar: GCP Frankfurt · OSS rückholbar auf deutsche Infrastruktur (z. B. Hetzner) · die Kundin betreibt den offenen Kern auf eigener Infrastruktur.
Cloudflare EU-Datenlokalisierung · Brevo (FR) · Workspace EU-Region · EU-ansässige Inferenz. Nichts verlässt die EU ohne benannten Grund.
Nur mit EU-Datenlokalisierung und einem OSS-Ausstiegspfad eingesetzt. Ehrlicher Vorbehalt: Die US-Muttergesellschaft bringt ein CLOUD-Act-Risiko mit sich — abgemildert durch Speicherung in der Region und das Recht, jede Schicht zurückzuholen.
Die Souveränitäts-Zonierung beantwortet, welche Jurisdiktion; die Platzierung beantwortet, wessen Hardware. Weil jede Schicht hinter dem OpenAPI-Vertragsbus liegt, ist das Substrat ein Regler, keine Neuschreibung — der Vertrag ist die Invariante, und dasselbe ausgelieferte System läuft an einem von drei Orten, pro Workload danach gewählt, wessen Eigenschaften passen.
Ubuntu-Services-Ebene — k3s, PostgreSQL, MinIO (S3), Ory/Zitadel, Observability. Mac Studio M3 Ultra als Inferenz-Ebene — Open-Weight-Modelle via MLX/Ollama, auf dem Gerät.
Am besten für: souveräne & sensible Datenverarbeitung, Dauerlast-Inferenz, Dev/Test. Am souveränsten, kein Egress, am günstigsten bei Dauerlast.
Die vier managed Säulen tragen die öffentliche Oberfläche, Lastspitzen und E-Mail — der gekaufte Wert ist übertragene Betriebsverantwortung, nicht rohe Rechenleistung.
Am besten für: die öffentliche SLA-Oberfläche, Verfügbarkeitszusagen, E-Mail-Zustellbarkeit, schwankende Nachfrage. Sie kaufen den Pager, nicht den Server.
Container → EKS/ECS · Postgres → RDS · OIDC föderiert zum IdP · Objekte → S3 · IaC zielt um · Claude → Bedrock. Das Ergebnis wird neu deployt, nicht neu geschrieben.
Am besten für: Kundinnen mit bestehender Cloud-Bindung oder eigener Residenzvorgabe. Das System landet in ihrem Konto, ihrem Perimeter, ihren Schlüsseln.
Frontier-Reasoning ist immer ein gehosteter Aufruf — Claude ist Closed-Weight und wird per API erreicht (Agent Platform oder Bedrock in der AWS der Kundin), egal wo der Rest läuft; der Mac Studio bedient die Open-Weight-Stufe, der Vertragsbus routet dazwischen. Und produktive E-Mail braucht auf jedem Substrat ein Relay — Zustellbarkeit ist ein IP-Reputationsspiel, das ein selbstgehosteter Mailserver verliert. Alles andere lässt sich wirklich verschieben.
Entwicklungs-Pipeline
Vertrag vor Code · Agenten schlagen vor, ein Mensch entscheidet · reproduzierbar, nachvollziehbar, umkehrbar.
- 01
Vertrag zuerst
Jedes Feature beginnt als OpenAPI-Vertrag und abgegrenztes Briefing. Der Vertrag ist die Spezifikation — der Code folgt ihm, interne Komponenten eingeschlossen.
- 02
Agentischer Build
Claude-Code-Agenten erzeugen kleine, atomare Pull Requests gegen den Vertrag und seine Tests. Schmale Diffs, jeder einzeln prüfbar.
Claude Code · Agent Platform authGitHubOpenAPI tests - 03
/meeting — menschliche Freigabe, auf echten Geräten
Keine Agenten-Änderung wird zusammengeführt, ohne dass ein Mensch den atomaren PR über die Geräteflotte prüft und testet — Desktop, Laptop, Tablet, Smartphone — und die Änderung so sieht, wie ein Nutzer sie sehen wird.
Mac Studio M3 UltraMacBook Air M4iPad AiriPhone 17 ProEin Mensch entscheidet — by design. Die täglichen Arbeitsgeräte dienen zugleich als erster Hardware-Prüfstand, und der Mac Studio M3 Ultra betreibt Open-Weight-Modelle lokal — diese Inferenz bleibt auf dem Gerät. Diese Freigabe ist nicht verhandelbar und wird niemals wegautomatisiert. - 04
Continuous Integration
Lint · Typecheck · OpenAPI-Konformität · Unit & Integration · SAST/DAST-Sicherheitsscan — die Zero-Trust-, Break-it-first-Haltung im Gate.
GitHub ActionsOpenAPI conformanceSAST · DAST - 05
Infrastruktur als Code
Cloudflare und GCP deklarativ bereitgestellt — reproduzierbar, nachvollziehbar und rückholbar auf EU-/deutsche Infrastruktur durch einen Zielwechsel, nicht durch eine Neuschreibung.
OpenTofuOCI images - 06
Deployment — isoliert pro Mandant
Die statische Website und die dynamischen Edge-Routen gehen über die Kette unten live; schwerere Dienste deployen nach Cloud Run / GKE in GCP Frankfurt. Ein isolierter Build pro Kunde, übergeben zum Betrieb auf eigener Infrastruktur.
GitHubGitHub ActionsWranglerCloudflare Pages / Workers - 07
Beobachten
OpenTelemetry → Prometheus / Grafana; Live-Dashboards an die Kundin geliefert; Incidents in den direkten Kanal geleitet.
OpenTelemetryGrafanaBrevo channel - 08
Care-Kreislauf
Automatisierung übernimmt die deterministischen ~80 % der Wartung; Menschen treffen die Ermessensentscheidungen; die Nutzung wird pro Mandant gemessen für eine ehrliche Durchreich-Abrechnung — und fließt zurück in den Vertrag.
Managed nur, wo es sich rechtfertigt — überall sonst offen, jederzeit rückholbar.
Vier managed Säulen tragen, was sie am besten können: Cloudflare (Edge), GCP (schweres Compute & Daten, Frankfurt), Brevo (EU-Kommunikation), Google Workspace (internes Büro). Jede andere Schicht ist Open Source, und jede managed Abhängigkeit behält einen OSS-, EU-hostbaren Ausstieg — so ist keine Schicht ein Lock-in, und die Kundin besitzt den Kern stets unter Apache-2.0.
Cloudflare, Google und der GitHub-Code-Host haben ihren Hauptsitz in den USA; das wird benannt, nicht verschwiegen. EU-Datenlokalisierung, ein gepflegter Open-Source-Ausstieg auf jeder Schicht und eine verteilte Git-Historie, die sich mit einem einzigen Befehl wegspiegeln lässt, bedeuten: Die Ansässigkeit ist heute durchgesetzt und die Rückholung morgen verfügbar — dasselbe Prinzip wie das Produkt: offen als Standard, zuverlässig per Abonnement und umkehrbar by design.
Apuna · Plattformarchitektur & Pipeline · 18. Juni 2026