Co se stane s AKS node pooly na Windows Server 2019 po 1. březnu 2026?

Microsoft přestal vydávat nové node images a bezpečnostní patche pro Windows Server 2019 na AKS. Existující node pooly zatím běží, ale bez security updatů. Při dalším upgradu clusteru nebo Kubernetes verze se node pool s WS2019 nepodaří upgradovat. Migrujte na Windows Server 2022 nebo 2025 co nejdříve.

Jak zjistím, jestli moje AKS clustery používají Azure Linux 2.0?

Spusťte příkaz az aks nodepool list s dotazem na osSku. Pokud vidíte hodnotu AzureLinux s Kubernetes verzí nižší než 1.31, pravděpodobně běžíte na Azure Linux 2.0. Od 31. března 2026 Microsoft přestává vydávat node images a nebudete moci škálovat node pooly. Upgrade na Kubernetes 1.31+ automaticky přepne na Azure Linux 3.

Lze migrovat z Windows Server 2019 na 2022 bez výpadku aplikací?

Ano, pomocí blue-green strategie node poolů. Přidejte nový node pool s os-sku Windows2022, přesuňte workloady přes cordon a drain starého poolu, ověřte funkčnost a pak starý pool smažte. S PodDisruptionBudgets a rolling update strategií dosáhnete nulového výpadku.

Jaký je rozdíl mezi Azure Linux 2.0 a Azure Linux 3?

Azure Linux 3 (dříve CBL-Mariner 3.0) přináší novější kernel, Containerd 2.0 jako výchozí runtime, lepší podporu FIPS a vyšší výkon díky optimalizacím pro AKS. Migrace je přímočará – stačí upgradovat Kubernetes verzi na 1.31+ a nové node images automaticky použijí Azure Linux 3. Pozor na custom kernel moduly, které mohou vyžadovat rekompilaci.

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

Březen 2026 přinesl do AKS hned tři retirement deadlines naráz. Windows Server 2019, Azure Linux 2.0 a kubelet certificate rotation tag – tři věci, které pokud jste ještě nemigrovali, máte poslední chvíli. Z mých auditů vím, že minimálně 40 % enterprise clusterů má stále alespoň jeden node pool na zastaralém OS. Tady je konkrétní návod, jak to vyřešit.

1. Windows Server 2019 – konec podpory od 1. března

Microsoft přestal vydávat nové AKS node images pro Windows Server 2019 od 1. března 2026. To znamená:

Žádné security patche – nové CVE zůstanou neopravené
Upgrade clusteru selže – nová Kubernetes verze nepodporuje WS2019 node pooly
Škálování může přestat fungovat – nové nody nedostanou čerstvý image

Zjistěte, jestli vás to zasahuje

# Výpis všech node poolů s Windows Server 2019
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[?osSku=='Windows2019'].{Name:name, OsSku:osSku, Count:count, VMSize:vmSize}" \
  --output table

Pokud vidíte Windows2019 v sloupci OsSku, musíte migrovat.

Migrace na Windows Server 2022 (blue-green)

Nejbezpečnější cesta je přidat nový node pool a přesunout workloady:

# 1. Přidejte nový node pool s Windows Server 2022
az aks nodepool add \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name npwin22 \
  --os-type Windows \
  --os-sku Windows2022 \
  --node-count 3 \
  --node-vm-size Standard_D4s_v5
 
# 2. Cordon starý pool (zakáže scheduling nových podů)
kubectl cordon -l agentpool=npwin19
 
# 3. Drain starý pool (přesune existující workloady)
kubectl drain -l agentpool=npwin19 \
  --ignore-daemonsets \
  --delete-emptydir-data \
  --grace-period=120
 
# 4. Ověřte, že všechny pody běží na novém poolu
kubectl get pods -o wide --all-namespaces | grep npwin22
 
# 5. Smažte starý node pool
az aks nodepool delete \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name npwin19

Tip: Pokud zvažujete Windows Server 2025, je od března k dispozici v preview s Containerd 2.0 a Gen2 VM jako výchozí. Pro produkci ale doporučuji zatím zůstat na WS2022 – preview znamená možné breaking changes.

2. Azure Linux 2.0 – konec podpory 31. března

Azure Linux 2.0 (dříve CBL-Mariner 2.0) dosáhne konce životnosti 31. března 2026. Po tomto datu:

Žádné nové node images – stávající image zůstanou, ale bez patchů
Node pooly nelze škálovat – přidání nových nodů selže
Kubernetes upgrade selže pokud cílová verze nemá Azure Linux 2.0 image

Zjistěte svoji verzi

# Kontrola OS SKU a Kubernetes verze na všech node poolech
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[].{Name:name, OsSku:osSku, K8sVersion:currentOrchestratorVersion, OSType:osType}" \
  --output table

Pokud máte AzureLinux s Kubernetes verzí nižší než 1.31, běžíte na Azure Linux 2.0.

Migrace na Azure Linux 3

Dobrá zpráva – migrace je v podstatě upgrade Kubernetes verze:

# 1. Zkontrolujte dostupné verze
az aks get-upgrades \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --output table
 
# 2. Upgrade control plane na 1.31+
az aks upgrade \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --kubernetes-version 1.31.0 \
  --control-plane-only
 
# 3. Upgrade jednotlivých node poolů
az aks nodepool upgrade \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name systempool \
  --kubernetes-version 1.31.0

Kubernetes 1.31+ automaticky používá Azure Linux 3 node images. Nepotřebujete blue-green – stačí standardní rolling upgrade.

Na co si dát pozor

Oblast	Azure Linux 2.0	Azure Linux 3
Kernel	5.15 LTS	6.6 LTS
Containerd	1.7.x	2.0.x
FIPS	Omezená podpora	Plná podpora
Systemd	250	255
Secure Boot	Ne	Ano (výchozí)

Pozor na custom kernel moduly – nový kernel 6.6 může vyžadovat rekompilaci. Pokud používáte vlastní DaemonSety s kernel-level ovladači (GPU, síťové akcelerátory), otestujte na staging clusteru nejdříve.

3. Kubelet Certificate Rotation – konec tagu 30. března

Node pool tag aks-disable-kubelet-serving-certificate-rotation=true přestane fungovat od 30. března 2026. Pokud jste ho používali pro potlačení automatické rotace kubelet certifikátů, musíte ho odstranit:

# Zkontrolujte, jestli tag používáte
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[].{Name:name, Tags:tags}" \
  --output json | grep -i "certificate-rotation"
 
# Odstraňte tag z node poolu
az aks nodepool update \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name systempool \
  --tags "aks-disable-kubelet-serving-certificate-rotation="

Po odebrání tagu AKS automaticky zajistí rotaci kubelet certifikátů. Je to bezpečnější výchozí chování – manuální správa certifikátů byla častým zdrojem výpadků.

Migrační checklist (shrnutí)

Retirement	Deadline	Dopad	Akce
Windows Server 2019	1. březen 2026	Žádné security patche, upgrade selže	Blue-green migrace na WS2022
Azure Linux 2.0	31. březen 2026	Node images přestanou vycházet, scaling selže	Upgrade K8s na 1.31+
Kubelet cert rotation tag	30. březen 2026	Tag ignorován, možné chyby	Odstraňte tag z node poolů

Co přichází dál

Březen je jen začátek. V nadcházejících měsících se připravte na:

Flatcar Container Linux – retirement v červnu 2026
Ingress NGINX – konec plné podpory v listopadu 2026, přechod na Application Routing add-on
Ubuntu 24.04 jako výchozí OS od Kubernetes 1.35+

Závěr

Tři retirements v jednom měsíci není běžné, ale ukazuje to rychlost, jakou se AKS ekosystém posouvá vpřed. Nejdůležitější je Azure Linux 2.0 migrace (31. března je tvrdý deadline pro scaling) a Windows Server 2019 pokud provozujete .NET Framework workloady. Neodkládejte to – upgrade na staging clusteru zabere hodinu, v produkci s blue-green strategií odpoledne.

Potřebujete pomoc s migrací AKS clusterů nebo plánováním upgrade strategie? Podívejte se na naše služby cloudové architektury nebo se ozvěte pro bezplatnou konzultaci.

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

1. Windows Server 2019 – konec podpory od 1. března

Microsoft přestal vydávat nové AKS node images pro Windows Server 2019 od 1. března 2026. To znamená:

Žádné security patche – nové CVE zůstanou neopravené
Upgrade clusteru selže – nová Kubernetes verze nepodporuje WS2019 node pooly
Škálování může přestat fungovat – nové nody nedostanou čerstvý image

Zjistěte, jestli vás to zasahuje

# Výpis všech node poolů s Windows Server 2019
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[?osSku=='Windows2019'].{Name:name, OsSku:osSku, Count:count, VMSize:vmSize}" \
  --output table

Pokud vidíte Windows2019 v sloupci OsSku, musíte migrovat.

Migrace na Windows Server 2022 (blue-green)

Nejbezpečnější cesta je přidat nový node pool a přesunout workloady:

# 1. Přidejte nový node pool s Windows Server 2022
az aks nodepool add \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name npwin22 \
  --os-type Windows \
  --os-sku Windows2022 \
  --node-count 3 \
  --node-vm-size Standard_D4s_v5
 
# 2. Cordon starý pool (zakáže scheduling nových podů)
kubectl cordon -l agentpool=npwin19
 
# 3. Drain starý pool (přesune existující workloady)
kubectl drain -l agentpool=npwin19 \
  --ignore-daemonsets \
  --delete-emptydir-data \
  --grace-period=120
 
# 4. Ověřte, že všechny pody běží na novém poolu
kubectl get pods -o wide --all-namespaces | grep npwin22
 
# 5. Smažte starý node pool
az aks nodepool delete \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name npwin19

2. Azure Linux 2.0 – konec podpory 31. března

Azure Linux 2.0 (dříve CBL-Mariner 2.0) dosáhne konce životnosti 31. března 2026. Po tomto datu:

Žádné nové node images – stávající image zůstanou, ale bez patchů
Node pooly nelze škálovat – přidání nových nodů selže
Kubernetes upgrade selže pokud cílová verze nemá Azure Linux 2.0 image

Zjistěte svoji verzi

# Kontrola OS SKU a Kubernetes verze na všech node poolech
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[].{Name:name, OsSku:osSku, K8sVersion:currentOrchestratorVersion, OSType:osType}" \
  --output table

Pokud máte AzureLinux s Kubernetes verzí nižší než 1.31, běžíte na Azure Linux 2.0.

Migrace na Azure Linux 3

Dobrá zpráva – migrace je v podstatě upgrade Kubernetes verze:

# 1. Zkontrolujte dostupné verze
az aks get-upgrades \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --output table
 
# 2. Upgrade control plane na 1.31+
az aks upgrade \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --kubernetes-version 1.31.0 \
  --control-plane-only
 
# 3. Upgrade jednotlivých node poolů
az aks nodepool upgrade \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name systempool \
  --kubernetes-version 1.31.0

Kubernetes 1.31+ automaticky používá Azure Linux 3 node images. Nepotřebujete blue-green – stačí standardní rolling upgrade.

Na co si dát pozor

Oblast	Azure Linux 2.0	Azure Linux 3
Kernel	5.15 LTS	6.6 LTS
Containerd	1.7.x	2.0.x
FIPS	Omezená podpora	Plná podpora
Systemd	250	255
Secure Boot	Ne	Ano (výchozí)

3. Kubelet Certificate Rotation – konec tagu 30. března

# Zkontrolujte, jestli tag používáte
az aks nodepool list \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --query "[].{Name:name, Tags:tags}" \
  --output json | grep -i "certificate-rotation"
 
# Odstraňte tag z node poolu
az aks nodepool update \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name systempool \
  --tags "aks-disable-kubelet-serving-certificate-rotation="

Po odebrání tagu AKS automaticky zajistí rotaci kubelet certifikátů. Je to bezpečnější výchozí chování – manuální správa certifikátů byla častým zdrojem výpadků.

Migrační checklist (shrnutí)

Retirement	Deadline	Dopad	Akce
Windows Server 2019	1. březen 2026	Žádné security patche, upgrade selže	Blue-green migrace na WS2022
Azure Linux 2.0	31. březen 2026	Node images přestanou vycházet, scaling selže	Upgrade K8s na 1.31+
Kubelet cert rotation tag	30. březen 2026	Tag ignorován, možné chyby	Odstraňte tag z node poolů

Co přichází dál

Březen je jen začátek. V nadcházejících měsících se připravte na:

Flatcar Container Linux – retirement v červnu 2026
Ingress NGINX – konec plné podpory v listopadu 2026, přechod na Application Routing add-on
Ubuntu 24.04 jako výchozí OS od Kubernetes 1.35+

Závěr

Potřebujete pomoc s migrací AKS clusterů nebo plánováním upgrade strategie? Podívejte se na naše služby cloudové architektury nebo se ozvěte pro bezplatnou konzultaci.

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

1. Windows Server 2019 – konec podpory od 1. března

Zjistěte, jestli vás to zasahuje

Migrace na Windows Server 2022 (blue-green)

2. Azure Linux 2.0 – konec podpory 31. března

Zjistěte svoji verzi

Migrace na Azure Linux 3

Na co si dát pozor

3. Kubelet Certificate Rotation – konec tagu 30. března

Migrační checklist (shrnutí)

Co přichází dál

Závěr

O autorovi

Nejcastejsi dotazy

Kubernetes AKS: Produkční checklist pro architekty

Terraform Azure moduly: Privátní registr a testování

Terraform Azure: Best practices pro produkci

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

AKS Breaking Changes: Co se ruší v březnu 2026 a jak migrovat

1. Windows Server 2019 – konec podpory od 1. března

Zjistěte, jestli vás to zasahuje

Migrace na Windows Server 2022 (blue-green)

2. Azure Linux 2.0 – konec podpory 31. března

Zjistěte svoji verzi

Migrace na Azure Linux 3

Na co si dát pozor

3. Kubelet Certificate Rotation – konec tagu 30. března

Migrační checklist (shrnutí)

Co přichází dál

Závěr

O autorovi

Nejcastejsi dotazy

Kubernetes AKS: Produkční checklist pro architekty

Terraform Azure moduly: Privátní registr a testování

Terraform Azure: Best practices pro produkci

O autorovi

Nejcastejsi dotazy

Mohlo by vás zajímat

Kubernetes AKS: Produkční checklist pro architekty

Terraform Azure moduly: Privátní registr a testování

Terraform Azure: Best practices pro produkci

O autorovi

Nejcastejsi dotazy

Mohlo by vás zajímat

Kubernetes AKS: Produkční checklist pro architekty

Terraform Azure moduly: Privátní registr a testování

Terraform Azure: Best practices pro produkci