Best practices
-
April 13, 2026

Ihr Renovate CronJob ist höchstwahrscheinlich gerade defekt

Jan Lepsky
Renovate CronJob defekt - Wechsel zum Kubernetes Operator

Warum mangelnde Visibility bei CronJobs ein Risiko darstellt

Hier ist eine Frage, die die meisten Platform-Engineers nicht mit Gewissheit beantworten können: Wie viele der Repositories in Ihrer Organisation hatten diese Woche eigentlich einen erfolgreichen Renovate-Scan?

Wenn Sie Renovate über CronJobs ausführen (das gängigste Self-Hosted-Setup), lautet die ehrliche Antwort wahrscheinlich: "Ich weiß es nicht". CronJobs bieten keine Visibility. Sie melden nicht, wenn ein Scan aufgrund eines Ressourcenkonflikts übersprungen wurde. Sie alarmieren nicht, wenn ein Secret abgelaufen ist und jeder Job im Stillen fehlschlägt. Und sie zeigen Ihnen definitiv nicht, welche Ihrer 150 Repos bereits seit drei Monaten einen "Dependency Drift" aufweisen.

Der Renovate Operator ersetzt dieses gesamte Setup durch einen Kubernetes-nativen Operator. Sie definieren Update-Policies als CRDs, der Operator übernimmt das Scheduling sowie die Ausführung und Sie erhalten ein Web-Dashboard, das die tatsächlichen Vorgänge visualisiert.

Was Renovate leistet und wo die Grenzen liegen

Renovate von Mend ist die Engine. Sie scannt Repositories nach veralteten Abhängigkeiten, wie npm-Pakete, Go-Module, Helm-Chart-Versionen, Docker-Image-Tags, Kustomize-Bases oder Terraform-Provider, und öffnet Pull Requests mit den Updates. Die Engine unterstützt Gruppierungen, Automerge-Regeln und Scheduling; sie ist exzellent in dem, was sie tut.

Das Problem liegt nicht an der Engine, sondern am Deployment-Modell.

Wer Renovate über das CLI oder einen einfachen CronJob betreibt, muss Scheduling, Secret-Injection, Ressourcen-Limits und das Failure-Handling selbst verwalten. Bei 5 Repositories ist das in Ordnung. Bei 50 wird es mühsam. Bei über 200 Repositories entsteht genau der administrative Aufwand, den Renovate eigentlich eliminieren sollte.

Die Mend Community Edition (CE) verbessert dies zwar, läuft aber als einzelner Container mit eingeschränkter Beobachtbarkeit und ohne Kubernetes-native Integration. Es fehlen CRDs, RBAC-Anbindung und Prometheus-Metriken.

Der Operator-Ansatz: CRDs statt CronJobs

Der Renovate Operator (MIT-lizenziert) behandelt das Dependency Management als erstklassigen Kubernetes-Workload. Anstelle eines CronJob-Manifests definieren Sie eine CRD:

apiVersion: mogenius.com/v1alpha1
kind: Renovate
metadata:
  name: backend-services
  namespace: renovate-operator
spec:
  schedule: "0 2 * * 1"   # Jeden Montag um 02:00 Uhr
  parallelism: 3
  renovateConfig:
    extends: ["config:base"]
    platform: github
    automerge: true

Dies bietet Vorteile, die CronJobs nicht leisten können:

  • Schema-Validierung zur Apply-Zeit: Wenn Sie ein Feld falsch schreiben oder einen ungültigen Wert verwenden, lehnt kubectl apply dies sofort ab. Konfigurationsfehler fallen nicht erst um 2 Uhr morgens bei der Job-Ausführung auf.
  • RBAC-Integration: Steuern Sie über Standard-Kubernetes-Role-Bindings, wer Update-Policies erstellen oder ändern darf. Ihre Governance nutzt dasselbe Zugriffsmodell wie der Rest des Clusters.
  • Status-Tracking: Der CRD-Status spiegelt den tatsächlichen Zustand jedes Projekts wider (scheduled, running, completed oder failed). Er lässt sich wie jede andere Ressource mit kubectl get renovate abfragen.

Architektur: Das Zusammenspiel der drei Komponenten

Der Operator betreibt drei Komponenten in einem Control Loop:

  1. Der Controller überwacht die Renovate-CRDs und verwaltet das Scheduling. Er gleicht alle 60 Sekunden den Soll-Zustand mit dem Ist-Zustand ab.
  2. Der Discovery Agent eliminiert das manuelle Onboarding. Mit dem Flag -autodiscover scannt er Ihre Organisationen auf GitHub, GitLab, Bitbucket, Azure DevOps, Gitea oder Forgejo, findet alle Repositories und registriert diese beim Operator. Neue Projekte werden im nächsten Zyklus automatisch erfasst.
  3. Der Executor Loop läuft alle 10 Sekunden, greift geplante Projekte auf und startet Kubernetes Batch-Jobs. Er respektiert strikt den Wert spec.parallelism. Wenn dieser auf 3 gesetzt ist, laufen maximal 3 Renovate-Jobs gleichzeitig. Dies verhindert API-Rate-Limiting-Probleme bei den Git-Providern.

Installation via Helm in fünf Minuten

Der schnellste Weg zur Installation:

helm -n renovate-operator upgrade --install renovate-operator \
  oci://ghcr.io/mogenius/helm-charts/renovate-operator \
  --create-namespace --wait

Alternativ über das klassische Helm-Repository:

helm repo add mogenius https://helm.mogenius.com/public --force-update
helm -n renovate-operator upgrade --install renovate-operator \
  mogenius/renovate-operator --create-namespace --wait

Die aktuelle Version ist 3.2.1. Das Chart ist ebenfalls auf Artifact Hub verfügbar.

Exklusive Features gegenüber Standard-CronJobs

  • Web-Dashboard: Eine integrierte Benutzeroberfläche zeigt alle entdeckten Projekte, deren Scan-Status, die Historie und Logs. Dies ist die wichtigste betriebliche Verbesserung: Sie sehen endlich, was wirklich passiert.
  • Prometheus-Metriken: Der Operator liefert Endpunkte für Ihr Monitoring. Verfolgen Sie Erfolgsraten, Ausführungszeiten und die Tiefe der Job-Warteschlange.
  • Webhook-Support: Konfigurieren Sie Webhooks für GitHub oder GitLab, um Scans sofort nach einem Release auszulösen, statt auf das nächste Zeitfenster zu warten.
  • Leader Election: Für HA-Deployments unterstützt der Operator eine Leader-Election. Fällt der aktive Pod aus, übernimmt ein Standby, ohne den Job-Status zu verlieren.
  • Health Checks: Integrierte Liveness- und Readiness-Probes stellen sicher, dass die Self-Healing-Mechanismen des Clusters greifen.

Sicherheit als Standard

Der Operator wird mit sicheren Standardeinstellungen ausgeliefert. Alle Worker-Jobs laufen als non-root mit RuntimeDefault seccomp-Profilen. Ressourcen-Requests und Limits werden für jeden Job gesetzt, damit Scans keine produktiven Workloads beeinträchtigen. Git-Credentials werden als Kubernetes Secrets gespeichert und zur Laufzeit injiziert; sie verlassen den Cluster nie. Der Operator unterstützt zudem den External Secrets Operator für die Integration von Vault oder AWS Secrets Manager.

Plattform-Unterstützung

Der Operator unterstützt alle gängigen Git-Plattformen:

  • GitHub: PAT- und GitHub-App-Authentifizierung, nativer Webhook-Support.
  • GitLab: PAT-Authentifizierung, nativer Webhook-Support.
  • Bitbucket / Azure DevOps / Gitea / Forgejo: PAT-Authentifizierung.

Wann sollten Sie den Operator nutzen? Wählen Sie den Renovate Operator, wenn Sie Kubernetes nutzen, mehr als eine Handvoll Repositories verwalten und Wert auf CRD-basierte Konfiguration, ein Web-Interface sowie natives Monitoring legen. Der Operator ist unter der MIT-Lizenz vollständig Open-Source verfügbar.

Ressourcen:

FAQ

Was ist der Unterschied zwischen dem Renovate CLI und diesem Operator?

Das CLI ist die Scan-Engine. Der Operator kapselt diese in einem Kubernetes-nativen Control Loop inklusive Parallelisierung, Dashboard und Metriken.

Wie gehe ich mit Git-API-Rate-Limits um?

Setzen Sie spec.parallelism in Ihrer CRD. Der Executor Loop reiht Jobs ein und arbeitet sie innerhalb dieses Limits ab.

Funktioniert der Operator mit privaten Registries?

Ja. Konfigurieren Sie imagePullSecrets in den Helm-Values; der Operator reicht diese an alle Worker-Jobs weiter.

Ist das Projekt produktionsreif?

Mit über 139 Releases, 500 Commits und 24 Mitwirkenden ist das Projekt stabil. Die aktuelle Version 3.2.1 wurde im März 2026 veröffentlicht.

Interesting Reads

Best practices
-
Jan Lepsky
-
April 14, 2026

Dependency Updates sollten kein betriebliches Risiko darstellen

Dependency Drift ist ein stiller Zuverlässigkeitskiller. Erfahren Sie, wie der Open-Source Renovate Operator self-hosted Dependency Governance für Kubernetes liefert.
Best practices
-
Jan Lepsky
-
December 17, 2025

GitOps for Developers: Fundamentals, Practical Challenges and How to Make It Work

Master GitOps fundamentals and overcome developer hurdles. Learn how platform abstractions and templates simplify Kubernetes deployments for faster scaling.

The latest on DevOps and Platform
Engineering trends

Subscribe to our newsletter and stay on top of the latest developments