AKS do produkce: Checklist pro Cloud Architekty

Azure Kubernetes Service (AKS) je fantastický pro běh kontejnerizovaných workloadů, ale přechod z dev/test prostředí do plnohodnotné produkce vyžaduje pečlivou přípravu. Tento checklist vychází z mých reálných zkušeností s nasazováním AKS clusterů pro FinTech a enterprise klienty.

Networking – základna všeho

Azure CNI vs Kubenet

Pro produkci vždy Azure CNI (nebo Azure CNI Overlay pro větší clustery). Kubenet je fajn pro dev, ale v produkci potřebujete:

• Přímou IP adresaci podů v Azure VNet
• Network Policy support (Calico/Azure)
• Integraci s Azure Private Link

resource aksCluster 'Microsoft.ContainerService/managedClusters@2024-02-01' = {
  name: 'aks-prod-westeurope'
  location: 'westeurope'
  properties: {
    networkProfile: {
      networkPlugin: 'azure'
      networkPolicy: 'calico'
      serviceCidr: '10.250.0.0/16'
      dnsServiceIP: '10.250.0.10'
      loadBalancerSku: 'standard'
      outboundType: 'userDefinedRouting'
    }
    apiServerAccessProfile: {
      enablePrivateCluster: true
      privateDNSZone: 'system'
    }
  }
}

Private Cluster je povinný

Veřejně přístupný API server v produkci? Absolutně ne. Private cluster + Azure Private DNS Zone + VPN/ExpressRoute pro přístup z on-premises.

Identity & RBAC

Workload Identity (ne Pod Identity!)

Pod Identity je deprecated. Přecházíme na Workload Identity Federation:

1. Vytvořte Managed Identity v Azure
2. Nastavte federované credentials na Service Account v Kubernetes
3. Aplikace automaticky získá Azure tokeny bez uložených secrets

Kubernetes RBAC + Entra ID

# ClusterRoleBinding – pouze Entra ID skupina má admin přístup
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: aks-cluster-admins
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: Group
    name: "00000000-0000-0000-0000-000000000000"  # Entra ID Group Object ID
    apiGroup: rbac.authorization.k8s.io

Scaling & High Availability

Node pool strategie

• System pool: Minimálně 3 nody, dedikovaný pro systémové pody (CoreDNS, kube-proxy)
• User pool(s): Oddělené pro různé workloady, s tainty a toleracemi
• Spot pool: Pro batch joby a non-critical workloady (úspora až 90 %)

Cluster Autoscaler + KEDA

Cluster Autoscaler pro horizontální škálování nodů. KEDA pro event-driven škálování podů na základě metrik (Azure Service Bus queue depth, HTTP requests).

Monitoring & Observability

Povinný stack

1. Azure Monitor + Container Insights – metriky nodů a podů
2. Prometheus + Grafana (managed přes Azure Monitor) – custom dashboardy
3. Alerting – CPU/Memory node pools > 80 %, pod restart count, OOMKilled eventy

Log aggregace

Všechny application logy do Log Analytics Workspace. Nastavte retention minimálně 90 dní pro compliance (NIS2).

Backup & Disaster Recovery

• Velero nebo Azure Backup for AKS – zálohování PV a cluster state
• Multi-region deployment – Active/Passive s Azure Traffic Manager nebo Front Door
• GitOps (ArgoCD/Flux) – celý cluster stav verzovaný v Gitu, obnova = git push

Produkční checklist (shrnutí)

| Oblast | Požadavek | Priorita | |--------|-----------|----------| | Networking | Azure CNI + Private Cluster | Kritická | | Identity | Workload Identity + Entra ID RBAC | Kritická | | Scaling | Cluster Autoscaler + min 3 systémové nody | Vysoká | | Monitoring | Container Insights + alerting | Vysoká | | Security | Network Policy (Calico) + Pod Security Standards | Vysoká | | Backup | Velero/Azure Backup + GitOps | Střední | | Cost | Spot node pools + right-sizing | Střední |

Závěr

AKS je skvělá platforma, ale vyžaduje architektonický přístup. Nepodceňte networking a identity – tyto dva pilíře rozhodují o tom, jestli váš cluster přežije první bezpečnostní audit.

Potřebujete pomoc s návrhem AKS architektury pro váš projekt? Nabízím bezplatnou konzultaci.