Jak Model Group získal kontrolu nad hybridním prostředím skupiny a přestal platit za nástroje, které přestal potřebovat.
Tři sady nástrojů. Desítky lokalit napříč Evropou. Stovky serverů. Jeden IT tým, který na to celé dohlíží. A rozstříštěný tooling bez jednotné správy. Pomohli jsme to v Model Group změnit.
1. dubna 2026 · Průběh projektu: 2025 · Autor: EnterCloud
Model Group je mezinárodní výrobce lepenkových obalů s výrobními závody ve Švýcarsku, Německu, České republice, Polsku a Chorvatsku. Skupina zaměstnává přes 4 600 lidí v 15 závodech po celé Evropě.
Česká pobočka Model Obaly, a.s. provozuje pět závodů (v Opavě, Nymburku, Hostinném, Moravských Budějovicích a Pack Shopu Praha) s přibližně 1 340 zaměstnanci. Firma roste pomalu a záměrně: poslední závod přibyl v roce 2003. Rodinné vlastnictví, konzervativní řízení, důraz na stabilitu a spolehlivost. Průmyslová výroba na tři směny, kde výpadek systémů není IT problém. Je to výrobní problém.
Infrastruktura neroste podle plánu. Roste podle potřeb. Každý rok přibyde server, nová aplikace, nová lokalita. A každý z nich dostane vlastní nástroj, vlastní proces, vlastní tým.
Model Group skončil přesně tady: Windows servery spravované jedním způsobem, Linux servery jiným, Azure VM třetím. Bez společného pohledu. Bez jednotné bezpečnostní politiky. A s konkrétní hrozbou na obzoru, blížícím se koncem rozšířené podpory pro kritické systémy, které nešlo migrovat přes noc.
Nejbolestivější otázka nebyla technická. Byla provozní: kolik serverů má teď aktuální záplaty? Nikdo nedokázal odpovědět s jistotou.
Roztříštěný tooling, tři sady nástrojů a žádný jednotný přehled. Tady jsou 3 kroky, kterými jsme to změnili:
Místo toho, aby se vše migrovalo do cloudu (což není pro výrobní firmu realistická ani vždy vhodná volba), vznikl nad celým prostředím jednotný správní layer.
Azure Arc propojil on-premises servery, Azure VM i fyzické stroje do jednoho pohledu v Azure portálu. Každý server, bez ohledu na to, kde fyzicky stojí, je od té chvíle spravovatelný stejnými nástroji, stejnými politikami a stejným týmem.
Klíčové je pochopit, co Arc nedělá: nepřesouvá workloady, nezasahuje do běhu systémů, nevyžaduje výpadek. Přidává vrstvu správy. Vše ostatní zůstává tam, kde je.
Co to v praxi znamená?
Server v Opavě a VM v Azure portálu vypadají a chovají se identicky. Stejné tagy, stejné politiky, stejné reporty. IT tým přestane přepínat mezi kontexty a začne skutečně řídit.
Onboarding serverů do Arc probíhá instalací lightweight agenta. Pro větší prostředí, jako je Model Group s desítkami lokalit napříč Evropou, se agent nasazuje hromadně přes Group Policy nebo skripty. IT tým nechodí ke každému stroji zvlášť.
Po onboardingu se automaticky aplikují Azure Policy: Defender se nasadí na všechny servery jednou politikou, logy začnou proudit do centrálního Log Analytics workspace, servery se zařadí do patchovacích vln podle přiřazených tagů.
Jedna věc, která překvapí: onboarding odhalí stav, který byl dosud neviditelný. Linux servery s nestandardními konfiguracemi, stroje bez aktuálních agentů, systémy bez pokrytí. Arc sám o sobě nic neopraví, ale poprvé ukáže, co opravit.
Právě proto doporučujeme počítat s fází čištění po onboardingu. Není to komplikace. Je to hodnota.
Příklady dotazů, které IT tým po implementaci poprvé mohl položit:
“Seřaď servery podle počtu kritických chyb v logu za poslední týden.” / “Vypiš servery, kterým podle trendu dojde místo na disku příští měsíc.” / “Upozorni mě, když CPU na produkčním serveru překročí 2× běžnou hodnotu pro tuto denní dobu.”
První konzultace vám zabere jen 30 minut. Je zdarma, nezávazná a budete hned vědět jak a s čím vám můžeme pomoci.
Roztříštěný tooling, tři sady nástrojů a žádný jednotný přehled. Tady jsou výsledky, kterými jsme to změnili:
Každý nástroj v prostředí stojí víc než jen jeho licenci. Stojí čas na správu, integraci, školení a údržbu. A pro prostředí kolem 500 VM a 30 hypervisorů se tyto náklady rychle sečtou. Bez Azure Arc by Model Group potřeboval System Center pro Windows část, samostatný nástroj pro Linux management a další vrstvu pro centralizované logování. TCO bez Azure Arc se pohybuje mezi přibližně 601 000 až 891 000 EUR za 5 let. S Azure Arc a Software Assurance klesá tento náklad na přibližně 197 000 EUR za 5 let. Průměrná úspora: přes 9 000 EUR měsíčně.
Z čeho se skládá úspora?
S Azure Arc nevznikají náklady na samostatný Linux management nástroj (65–130 tis. EUR / 5 let) ani na log management stack (43–87 tis. EUR / 5 let). Windows část je pokryta Software Assurance bez extra poplatku za Arc.
Původně byly logy pro Windows Server uloženy lokálně nebo přesměrované přes WEF, Linux logy lokálně nebo přes Syslog forwarding. Každý incident znamenal ruční přepínání mezi systémy a zdlouhavé hledání příčiny. Po nasazení Azure Arc začala data z on-premises serverů proudit do stejného centrálního Log Analytics workspace. Poprvé v jednom místě — Windows, Linux, Azure, kontejnery. Retence až 2 roky. Logy navíc slouží jako základ pro automatizace přes Logic Apps a Azure Functions.
Co to znamená při řešení incidentu?
„Který proces měl problém s připojením k ověření CRL certifikátu?" Místo přepínání mezi nástroji jeden dotaz — a odpověď platí pro celé prostředí najednou.
Původní stav: WSUS pokrýval jen Windows a jen část z nich. Linux se záplatoval ručně nebo vůbec. Nikdo nevěděl, kolik procent prostředí je skutečně aktuální. Po nasazení Azure Arc a Azure Update Manager získal Model Group jednotný přehled o stavu aktualizací u 100 % serverů. Pomocí tagů byly servery rozřazeny do maintenance windows — výroba, testování, kanceláře. Patching běží automaticky v daném pořadí. Pro komplexní scénáře se závislostmi — například SAP servery — byla nastavena orchestrace pomocí Logic Apps a Azure Automation.
Tip z praxe
Patchování je nudné — a to je dobře. Pokud je vaše patchování dramatické, něco se děje špatně. Cílem je dělat ho tak pravidelně a automaticky, aby o něm nikdo nepřemýšlel.
Některé produkční systémy běžely na Windows Server 2012 R2 — verzi, které Microsoft ukončil rozšířenou podporu. Plná migrace před termínem nebyla realistická. Řešení: Extended Security Updates aktivované přímo pro Arc-spravované servery, v režimu pay-as-you-go — stejný přístup platí i pro SQL Server. Model Group platí jen za stroje, které ESU skutečně potřebují. Jak migrace postupuje, licence se uvolňují. Žádný compliance gap, žádný krizový projekt.
Model Group potřeboval audit Microsoft SQL napříč celým prostředím — z důvodu licencování a plánované konsolidace. Standardně jde o zdlouhavý manuální proces: někdo obchází servery, sbírá data, sestavuje tabulky. Azure Arc měl SQL extension. Auditor se přihlásil a okamžitě viděl aktuální přehled celého SQL prostředí skupiny:
Žádná příprava navíc. Arc byl již nasazen — data byla prostě tam.
„Získáme přehled o tom, kde SQL skutečně běží, v jakém rozsahu a v jakém stavu — ne jen o tom, kde si myslíme, že běží."
IT tým má jeden dashboard místo tří nástrojů. Patchování je automatizovaný proces s reportem, ne manuální agenda. SQL audit, který by dříve trval týdny, trvá hodiny. Bezpečnostní stav celého prostředí skupiny je viditelný na jednom místě.
A možná nejdůležitější změna: IT tým přestal platit za věci, které nepotřebuje, a přestal řešit věci, které systém může řešit sám.
Co říká zákazník
“Poprvé jsme měli kompletní přehled o celém prostředí: každý server viditelný, každý spravovaný.”
IT Director
Model Group
Nepůsobili jsme jako externí dodavatel, který přijde, nasadí a odejde. ESU licencování jsme nastavili tak, aby Model Group platil jen za to, co skutečně potřebuje, a přestal platit, jakmile systémy migruje.
Celé řešení předáno internímu týmu s cílem transferu znalostí, ne závislosti.
* Úspora za tooling vychází z modelového výpočtu TCO pro prostředí Model Group (30 hypervisorů, ~500 VM). Ostatní metriky vycházejí z dokumentace projektu.
Setkali jsme se s tím u desítek firem. Na prvním 30 minutovém hovoru s expertem se dozvíte, jestli je Azure Arc pro vás to správné řešení.
