BlogKI/MLKI-Agenten mittels GitLab in GKE bereitstellen

Veröffentlicht am: 10. November 2025

5 Minuten Lesezeit

KI-Agenten mittels GitLab in GKE bereitstellen

Systematisches Deployment von AI-Agents nach Google Kubernetes Engine mit GitLab – integrierte Security-Scans, OIDC-Authentifizierung und Audit-Trails.

Regnard RaquedanRegnard Raquedan

KI/ML

Google

Cloud-native

Tutorial

KI-Agents für Production-Umgebungen bereitzustellen erfordert systematische Absicherung. Dieser Leitfaden beschreibt, wie die native Integration zwischen GitLab und Google Kubernetes Engine (GKE) sichere AI-Agent-Deployments ermöglicht – mit integrierten Security-Scans und OIDC-Authentifizierung ohne Service-Account-Keys. Das Tutorial nutzt Googles Agent Development Kit (ADK) für die Anwendungsentwicklung.

Warum GKE für AI-Agent-Deployment?

GKE bietet unternehmenstaugliche Orchestrierung, die sich direkt mit GitLab CI/CD-Pipelines verbindet. Die Authentifizierung erfolgt über OIDC (OpenID Connect). Entwicklungsteams können AI-Agents deployen und behalten dabei vollständige Nachvollziehbarkeit, Compliance und Kontrolle über die Cloud-Infrastruktur.

Drei Hauptvorteile:

Vollständige Infrastruktur-Kontrolle – Daten, Regeln und Umgebung bleiben unter eigener Verwaltung. Teams bestimmen, wo AI-Agents ausgeführt werden und wie diese konfiguriert sind. Besonders für deutsche und europäische Unternehmen relevant: GKE-Cluster lassen sich in EU-Regionen wie Frankfurt oder Belgien betreiben. Dies ermöglicht Daten-Souveränität und erfüllt DSGVO-Anforderungen für Datenverarbeitung im EU-Raum.

Native GitLab-Integration – Bestehende CI/CD-Pipelines funktionieren ohne komplexe Anpassungen. Die Integration zwischen GitLab und Google Cloud ist nativ implementiert. OIDC-Authentifizierung über Workload Identity Federation eliminiert das Risiko gestohlener Service-Account-Keys. Es werden keine Credentials im Code oder in Umgebungsvariablen gespeichert. Dies reduziert Angriffsflächen und vereinfacht Compliance-Audits, da keine Credential-Rotation erforderlich ist.

Production-Grade Scaling – GKE übernimmt automatisch Scaling und Orchestrierung bei wachsenden AI-Workloads. Die Horizontal Pod Autoscaler-Konfiguration skaliert basierend auf CPU-Auslastung, beispielsweise von 2 bis 10 Replicas.

Der systematische Deployment-Ansatz mit integrierten Security-Scans erfüllt beispielsweise Anforderungen der NIS2-Richtlinie für Cybersicherheit. Die Pipeline erzeugt vollständige Audit-Trails vom Code-Commit bis zur Production-Bereitstellung. Jeder Deployment-Schritt ist nachvollziehbar und dokumentiert – eine Grundvoraussetzung für regulierte Branchen und Enterprise-Compliance.

Voraussetzungen

Folgende APIs müssen aktiviert sein:

  • GKE API
  • Artifact Registry API
  • Vertex AI API

Zusätzlich erforderlich:

  • GitLab-Projekt erstellt
  • GKE-Cluster bereitgestellt
  • Artifact Registry Repository erstellt

Der Deployment-Prozess

Der Workflow umfasst sechs Schritte vom Code-Commit bis zur laufenden Anwendung:

  1. Code-Commit → GitLab Source Code Repository
  2. Automatische Security-Scans → Schwachstellen werden erkannt, bevor Code Production erreicht
  3. CI/CD-Pipeline → GitLab orchestriert Build und Deployment
  4. Push zu Artifact Registry → Container-Images werden in Google Artifact Registry gespeichert
  5. GKE Deployment → Kubernetes-Cluster pullt Images und deployt
  6. Anwendung läuft → Zugriff auf deployed AI-Agent

Das Ergebnis: Eine durchgängig nachvollziehbare, auditierbare und kontrollierte Pipeline vom Code-Commit bis Production – mit integrierter Sicherheit, Artifact-Management und unternehmenstauglicher Orchestrierung.

1. IAM und Permissions konfigurieren

Navigieren zu GitLab Integrations, um Google Cloud-Authentifizierung zu konfigurieren.

Unter Settings > Integrations die Google Cloud Integration konfigurieren. Bei Nutzung einer Group-Level-Integration werden Default-Einstellungen automatisch von Projekten geerbt. Dies bedeutet: Einmalige Konfiguration auf Group-Level, alle Projekte profitieren.

Für Setup von Grund auf folgende Angaben erforderlich:

  • Project ID
  • Project Number
  • Workload Identity Pool ID
  • Provider ID

GitLab stellt ein Script bereit, das in der Google Cloud Console über Cloud Shell ausgeführt wird. Das Ergebnis ist ein Workload Identity Federation Pool mit dem notwendigen Service Principal für korrekten Zugriff.

2. Artifact Registry Integration konfigurieren

In den GitLab Integration Settings Artifact Management konfigurieren:

  1. Artifact Management anklicken
  2. Google Artifact Registry auswählen
  3. Angaben bereitstellen:
    • Project ID
    • Repository Name (vorab erstellt)
    • Repository Location

GitLab stellt ein weiteres Script für die Google Cloud Console bereit.

Wichtig: Vor dem nächsten Schritt folgende zusätzliche Rollen zum Workload Identity Federation Pool hinzufügen:

  • Service Account User
  • Kubernetes Developer
  • Kubernetes Cluster Viewer

Diese Permissions ermöglichen GitLab das Deployment nach GKE in den folgenden Schritten.

3. CI/CD-Pipeline erstellen

Die CI/CD-Pipeline für das Deployment definiert vier Stages:

  • Build – Docker erstellt das Container-Image
  • Test – GitLab Auto DevOps stellt integrierte Security-Scans bereit (Dependency-Scanning, Container-Scanning, Secret-Detection)
  • Upload – GitLab CI/CD Component pusht zu Google Artifact Registry
  • Deploy – Kubernetes-Konfiguration deployt nach GKE

Die Pipeline nutzt OIDC-Authentifizierung (identity: google_cloud), wodurch keine Service-Account-Keys gespeichert werden müssen. Die Kubernetes-Konfiguration umfasst Deployment, Service (LoadBalancer) und Horizontal Pod Autoscaler (2-10 Replicas basierend auf 70% CPU-Auslastung).

Die vollständige Pipeline-Konfiguration im englischen Original.

4. Kritische GKE-Konfiguration

Für funktionierende AI-Agents ist ein Kubernetes Service Account erforderlich, der mit Vertex AI arbeiten kann. Dieser Service Account benötigt Permissions für den Zugriff auf Google Cloud AI-Capabilities.

Ohne diese Konfiguration lässt sich die Anwendung deployen, der AI-Agent funktioniert jedoch nicht. Der Kubernetes Service Account muss Zugriff auf Vertex AI erhalten.

Das einmalige Setup-Script konfiguriert:

  • GCP Service Account mit Vertex AI-Permissions
  • Kubernetes Service Account im Cluster
  • Workload Identity Federation-Binding zwischen beiden Accounts

Das vollständige Setup-Script im englischen Original.

5. Deployment nach GKE

Nach dem Push der Pipeline-Änderungen startet das Deployment automatisch.

Unter CI/CD > Pipelines sind die vier Stages sichtbar:

  • Build
  • Test (mit allen definierten Security-Scans)
  • Upload zu Artifact Registry (erfolgreich)
  • Deploy zu Kubernetes in GKE (erfolgreich)

Zusammenfassung

GitLab und Google Cloud ermöglichen gemeinsam sichere AI-Agent-Deployments nach GKE mit Kontrolle und Nachvollziehbarkeit. Die native Integration zwischen beiden Plattformen vereinfacht den Prozess erheblich.

Video-Demonstration:

Regnard Raquedan, Senior Ecosystem Solutions Architect bei GitLab, demonstriert den kompletten Workflow:

Das komplette Code-Beispiel zum Testen: GitHub Repository. Noch kein GitLab-Kunde? Die DevSecOps-Plattform lässt sich mit einer kostenlosen Testversion erkunden. Startups auf Google Cloud erhalten spezielle Konditionen für GitLab.

Wir möchten gern von dir hören

Hat dir dieser Blogbeitrag gefallen oder hast du Fragen oder Feedback? Erstelle ein neues Diskussionsthema im GitLab-Community-Forum und tausche deine Eindrücke aus.
Share your feedback

Mehr als 50 % der Fortune-100-Unternehmen vertrauen GitLab

Stelle jetzt bessere Software schneller bereit

Erlebe, was dein Team mit der intelligenten

DevSecOps-Plattform erreichen kann.

Kostenlose Testversion anfordern Vertrieb kontaktieren