Kolik stoji provoz AKS clusteru v produkci?

AKS control plane je zdarma -- platite pouze za worker node VM, storage a networking. Typicky produkcni cluster se 3 nody Standard_D4s_v5 vyjde na priblizne 350-450 EUR/mesic v regionu West Europe. Oproti self-managed Kubernetes na VM usetrite 15-25% nakladu na spravu etcd, API serveru a certifikatu.

Jak resit upgrade AKS clusteru bez vypadku aplikaci?

Nastavte node image auto-upgrade na kanal "node-image" pro automaticke bezpecnostni patche. Pro minor verze (napr. 1.28 na 1.29) pouzijte blue-green strategii node poolu: pridejte novy pool s cilovou verzi, cordon a drain stary pool, pak ho odstrante. Vzdy mit nakonfigurovane PodDisruptionBudgets pro kriticke workloady.

Kdy pouzit Azure CNI Overlay misto klasickeho Azure CNI?

Azure CNI Overlay je lepsi volba pro clustery nad 250 podu, protoze oddeluje pod CIDR od adresniho prostoru VNetu. Klasicky Azure CNI alokuje IP adresy primo z VNet subnetu, coz rychle vycerpa adresni rozsah. Overlay zachovava vsechny vyhody CNI (Network Policy, Private Endpoints) bez omezeni adresniho prostoru.

Je mozne provozovat AKS v souladu s NIS2 a GDPR pozadavky?

Ano. AKS podporuje Azure Private Cluster (API server neni verejne pristupny), Workload Identity pro bezpecny pristup ke sluzbam bez hesel, a integraci s Microsoft Defender for Containers pro runtime detekci hrozeb. Pro NIS2 compliance doporucuji aktivovat audit logy do Log Analytics, nastavit Azure Policy pro cluster hardening a implementovat network policies pro segmentaci workloadu.

Kubernetes AKS: Produkční checklist pro architekty

Azure Kubernetes Service (AKS) je fantastický pro běh kontejnerizovaných workloadů, ale přechod z dev/test prostředí do plnohodnotné produkce vyžaduje pečlivou přípravu. Tento checklist vychází z mých reálných zkušeností s nasazováním AKS clusterů pro FinTech a enterprise klienty.

Networking – základna všeho

Azure CNI vs Kubenet

Pro produkci vždy Azure CNI (nebo Azure CNI Overlay pro větší clustery). Kubenet je fajn pro dev, ale v produkci potřebujete:

Přímou IP adresaci podů v Azure VNet
Network Policy support (Calico/Azure)
Integraci s Azure Private Link

resource aksCluster 'Microsoft.ContainerService/managedClusters@2024-02-01' = {
  name: 'aks-prod-westeurope'
  location: 'westeurope'
  properties: {
    networkProfile: {
      networkPlugin: 'azure'
      networkPolicy: 'calico'
      serviceCidr: '10.250.0.0/16'
      dnsServiceIP: '10.250.0.10'
      loadBalancerSku: 'standard'
      outboundType: 'userDefinedRouting'
    }
    apiServerAccessProfile: {
      enablePrivateCluster: true
      privateDNSZone: 'system'
    }
  }
}

Private Cluster je povinný

Veřejně přístupný API server v produkci? Absolutně ne. Private cluster + Azure Private DNS Zone + VPN/ExpressRoute pro přístup z on-premises.

Identity & RBAC

Workload Identity (ne Pod Identity!)

Pod Identity je deprecated. Přecházíme na Workload Identity Federation:

Vytvořte Managed Identity v Azure
Nastavte federované credentials na Service Account v Kubernetes
Aplikace automaticky získá Azure tokeny bez uložených secrets

Kubernetes RBAC + Entra ID

# ClusterRoleBinding – pouze Entra ID skupina má admin přístup
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: aks-cluster-admins
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: Group
    name: "00000000-0000-0000-0000-000000000000"  # Entra ID Group Object ID
    apiGroup: rbac.authorization.k8s.io

Scaling & High Availability

Node pool strategie

System pool: Minimálně 3 nody, dedikovaný pro systémové pody (CoreDNS, kube-proxy)
User pool(s): Oddělené pro různé workloady, s tainty a toleracemi
Spot pool: Pro batch joby a non-critical workloady (úspora až 90 %)

Cluster Autoscaler + KEDA

Cluster Autoscaler pro horizontální škálování nodů. KEDA pro event-driven škálování podů na základě metrik (Azure Service Bus queue depth, HTTP requests).

Monitoring & Observability

Povinný stack

Azure Monitor + Container Insights – metriky nodů a podů
Prometheus + Grafana (managed přes Azure Monitor) – custom dashboardy
Alerting – CPU/Memory node pools > 80 %, pod restart count, OOMKilled eventy

Log aggregace

Všechny application logy do Log Analytics Workspace. Nastavte retention minimálně 90 dní pro compliance (NIS2).

Backup & Disaster Recovery

Velero nebo Azure Backup for AKS – zálohování PV a cluster state
Multi-region deployment – Active/Passive s Azure Traffic Manager nebo Front Door
GitOps (ArgoCD/Flux) – celý cluster stav verzovaný v Gitu, obnova = git push

Produkční checklist (shrnutí)

Oblast	Požadavek	Priorita
Networking	Azure CNI + Private Cluster	Kritická
Identity	Workload Identity + Entra ID RBAC	Kritická
Scaling	Cluster Autoscaler + min 3 systémové nody	Vysoká
Monitoring	Container Insights + alerting	Vysoká
Security	Network Policy (Calico) + Pod Security Standards	Vysoká
Backup	Velero/Azure Backup + GitOps	Střední
Cost	Spot node pools + right-sizing	Střední

Závěr

AKS je skvělá platforma, ale vyžaduje architektonický přístup. Nepodceňte networking a identity – tyto dva pilíře rozhodují o tom, jestli váš cluster přežije první bezpečnostní audit. Pro zabezpečení přístupu k AKS pomocí identitních kontrol se podívejte na náš průvodce Zero Trust Conditional Access.

Potřebujete pomoc s návrhem AKS architektury pro váš projekt? Prozkoumejte naši kompletní nabídku služeb cloudové architektury nebo se ozvěte pro bezplatnou konzultaci.