LB-08 – Managed Harbor

Leistungsgegenstand

Der Auftragnehmer betreibt für den Auftraggeber eine Managed Harbor Registry (CNCF Container & Artifact Registry) innerhalb der durch b'nerd bereitgestellten Systemumgebung. Die Leistung umfasst insbesondere: - Bereitstellung und Betrieb einer standardisierten Harbor-Instanz - Betrieb der notwendigen Systemkomponenten und Basisdienste (u. a. Registry, Datenbank, Objektspeicher-Anbindung) - Betrieb der integrierten Sicherheitsfunktionen (Vulnerability-Scanning auf Basis Trivy, Image-Signing, Content Trust) - Monitoring, Incident-Handling und Wiederherstellung gemäß SLA - Einspielen sicherheitsrelevanter Updates sowie Minor- und Patch-Releases - Technischer Betrieb der Plattform einschließlich Basis-Backup und Wiederherstellbarkeit - Unterstützung bei allgemeinen Betriebsfragen im Rahmen des vereinbarten Supports

Der Schwerpunkt dieser Leistung liegt auf dem sicheren und stabilen Betrieb einer standardisierten Harbor-Plattform.

Nicht Bestandteil dieser Leistungsbeschreibung sind insbesondere: - individuelle Anpassungen oder Sonderkonfigurationen außerhalb der Standardplattform - Verwaltung von Projekten, Repositories, Image-Inhalten und Nutzern im Tagesgeschäft - inhaltliche Bewertung und Behebung von Schwachstellen-Findings (Remediation) - Aufbau und Pflege kundenspezifischer Replikations-, Signatur- oder Retention-Policies - Migrationen, größere Versionswechsel oder komplexe Integrationsprojekte - Verantwortung für die in der Registry gespeicherten Artefakte und deren Lizenz-/Rechtmäßigkeit

Kurzform: Der Auftragnehmer stellt den technischen Betrieb der Harbor-Plattform sicher. Images, Repositories, Projekte, Nutzerverwaltung und Inhalte verbleiben im Verantwortungsbereich des Auftraggebers.

Technische Grundlage

Die Bereitstellung erfolgt innerhalb der b'nerd.cloud Systemumgebung gemäß: - Anlage LB-00 – Systemumgebung - Anlage LB-01 – Cloud & Storage Plattform - Anlage LB-02 – Managed Kubernetes

Die Harbor-Umgebung wird standardisiert auf Basis der von b'nerd freigegebenen Architektur- und Betriebsmodelle betrieben. Der Auftragnehmer entscheidet über: - eingesetzte Basisarchitektur - Betriebs- und Deploymentmodell - Sicherheits- und Wartungsmechanismen - Monitoring- und Backup-Integration - technische Betriebsparameter der Plattform

Leistungsumfang

Standardbetrieb Der Auftragnehmer übernimmt: - Bereitstellung und Betrieb der Harbor-Instanz - Betrieb der notwendigen Datenbank- und Storage-Komponenten (inkl. Anbindung S3-kompatiblen Objektspeichers) - Verwaltung technischer Systemkonfigurationen - Betrieb der Scanning-Engine (Trivy) und der Signatur-/Content-Trust-Komponenten - Überwachung des Plattformzustands - Incident-Handling gemäß SLA - Einspielen sicherheitsrelevanter Updates - Durchführung regulärer Minor- und Patch-Upgrades - Wiederherstellung der Betriebsfähigkeit im Störungsfall

Die Leistungen erfolgen innerhalb des standardisierten Betriebsmodells des Auftragnehmers.

Projekt-, Repository- und Nutzerverwaltung Der Auftraggeber verwaltet Projekte, Repositories, Image-Tags, Quotas, Robot-Accounts, Nutzer und Berechtigungen (RBAC) grundsätzlich eigenständig innerhalb der bereitgestellten Harbor-Umgebung. Der Auftragnehmer unterstützt bei technischen Problemen oder Plattformstörungen gemäß SLA. Nicht Bestandteil der Standardleistung sind: - Pflege von Projekt- und Berechtigungsstrukturen - Anlage und Organisation von Repositories - Definition projektspezifischer Quotas, Retention- und Replikationsregeln - inhaltliche Verwaltung von Images und Artefakten im Tagesgeschäft

Updates und Versionsmanagement Sicherheitsupdates sowie Minor- und Patch-Releases werden vom Auftragnehmer im Rahmen regulärer Wartungsfenster durchgeführt. Major-Upgrades oder größere Architekturänderungen werden - vorab angekündigt - gemeinsam abgestimmt - gesondert geplant - nach Aufwand abgerechnet

Der Auftragnehmer informiert den Auftraggeber über mögliche Auswirkungen auf: - CI/CD-Integrationen und Pull/Push-Workflows - Replikationsbeziehungen - Authentifizierungs-/OIDC-Anbindung - API-Nutzung - kundenspezifische Erweiterungen

Die Analyse und Anpassung kundenspezifischer Konfigurationen liegt im Verantwortungsbereich des Auftraggebers.

Registry-Funktionen (Scanning, Signing, Replikation) Die Registry-Funktionen stehen im Rahmen der Standardplattform grundsätzlich zur Verfügung. Nicht Bestandteil dieser Leistung sind insbesondere: - inhaltliche Bewertung, Priorisierung und Behebung von Schwachstellen-Findings - Erstellung und Pflege kundenspezifischer Scan-, Signatur- und Retention-Policies - Einrichtung und Betrieb kundenspezifischer Replikationsziele - Integration externer Build-, Deployment- oder Registry-Systeme - Anbindung externer Scanner oder Compliance-Werkzeuge

Diese Leistungen können gesondert gemäß LB-06 „DevOps as a Service" beauftragt werden.

Backup & Wiederherstellbarkeit

Der Auftragnehmer integriert die Harbor-Plattform in die standardisierten Backup- und Wiederherstellungsmechanismen gemäß Anlage LB-04. Dies umfasst insbesondere: - Sicherung der Harbor-Systemdaten - Sicherung relevanter Persistenz- und Metadaten (Datenbank) - technische Wiederherstellbarkeit der Plattform - regelmäßige Überwachung der Backup-Prozesse

Nicht Bestandteil dieser Leistung sind: - fachliche Validierung wiederhergestellter Daten - Wiederherstellung einzelner Images/Artefakte ohne vorhandene Sicherung - Wiederherstellung versehentlich gelöschter Inhalte außerhalb vereinbarter Retention - Garantien für bestimmte RTO- oder RPO-Werte

Monitoring & Incident Handling

Der Auftragnehmer überwacht die Harbor-Plattform im Rahmen des standardisierten Monitoring- und Alerting-Systems gemäß LB-05. Dies umfasst insbesondere: - Verfügbarkeitsüberwachung - Ressourcenüberwachung - Monitoring kritischer Plattformkomponenten (Registry, Datenbank, Scanner) - Alarmierung bei technischen Störungen - Incident-Bearbeitung gemäß SLA

Nicht Bestandteil sind: - inhaltliche Auswertung von Scan-Ergebnissen - Analyse kundenspezifischer Push-/Pull-Fehler aus Build-Pipelines - Troubleshooting kundenspezifischer Integrationen

Nutzungsvoraussetzungen

Der Auftraggeber verpflichtet sich, die bereitgestellte Harbor-Umgebung ausschließlich innerhalb des vorgesehenen Betriebsmodells zu verwenden. Nicht zulässig ohne vorherige Abstimmung sind insbesondere: - Eingriffe in System- oder Plattformkonfigurationen - Installation nicht freigegebener Erweiterungen oder Plugins - Änderungen an Betriebs- oder Sicherheitsmechanismen - Umgehung definierter Backup-, Sicherheits- oder Betriebsprozesse

Eigene administrative Eingriffe dürfen ausschließlich nach Abstimmung und Freigabe durch den Auftragnehmer erfolgen.

Abgrenzung der Verantwortung

Bereich	b'nerd	Auftraggeber
Betrieb der Harbor-Plattform	✔
Betrieb von Scanning-, Signatur- und Replikations-Engine	✔
Monitoring & Incident Response	✔
Sicherheitsupdates & Lifecycle	✔
Projekt-, Repository- & Nutzerverwaltung (RBAC)		✔
Images, Artefakte & Inhalte		✔
Bewertung & Behebung von Schwachstellen-Findings		✔
Scan-/Retention-/Replikations-Policies (fachlich)		✔
Individuelle Anpassungen & Integrationen		✔

Kurzform: Image-Inhalte, Repository- und Projektorganisation, RBAC, Schwachstellen-Remediation sowie kundenspezifische Policies und Integrationen verbleiben vollständig im Verantwortungsbereich des Auftraggebers. b'nerd übernimmt Betrieb, Wartung, Monitoring und Incident Response der Harbor-Plattform selbst.

Zusatzleistungen / Abrechnung zusätzlicher Leistungen

Nicht Bestandteil des Standardbetriebs sind insbesondere: - größere Konfigurationsänderungen - Architektur- oder Prozessberatung - Migrationen und Plattformumbauten - individuelle Integrationen (z. B. externe Replikation, SSO-Anbindung) - individuelle Sicherheits- oder Compliance-Anforderungen - Datenmigrationen oder Repository-Restrukturierungen - Betrieb individueller Sonderlösungen

Diese Leistungen werden ausschließlich nach gesonderter Beauftragung gemäß - Anlage LB-06 – DevOps as a Service - aktueller Preisliste nach Aufwand erbracht und abgerechnet.

Sicherheits- und Compliance-Hinweis

Der Auftragnehmer betreibt die Harbor-Plattform nach allgemein anerkannten technischen Best Practices. Eine automatische Erfüllung regulatorischer Anforderungen wie beispielsweise - NIS2 - DORA - CRA - KRITIS - branchenspezifischer Compliance-Vorgaben ist nicht Bestandteil dieser Leistungsbeschreibung. Insbesondere ersetzt das bereitgestellte Vulnerability-Scanning keine vollständige Schwachstellen- oder Lieferketten-Sicherheitsbewertung. Die Bewertung und Umsetzung regulatorischer Anforderungen verbleibt im Verantwortungsbereich des Auftraggebers und kann gesondert beauftragt werden.

Bezug zur Preisübersicht

Die Preise für Leistungen dieser Anlage ergeben sich aus „Anlage – Preisliste (2026)".