AUTOMATIZUJTE
INFRASTRUKTURU.
NE RUTINU.

Pampeliška 3.0 je open-source IaC platforma pro automatizaci správy ICT technologií. Nasaďte, konfigurujte a monitorujte jakoukoliv SW nebo HW technologii jako programovatelný objekt — bez komerčních licencí, bez vendor lock-inu.

v3.0 K3s + Ansible Open Source 100 % self-hosted

→ Jak to funguje ↗ Dokumentace

$ kubectl get pods -n pampeliska
NAME READY STATUS AGE
semaphore-ui-7d9f8b-xk2p4 1/1 Running 14d
postgrest-api-5c6d4f-mn8q1 1/1 Running 14d
grafana-dashboards-9h2j3-... 1/1 Running 14d
step-ca-issuer-3f7k2p-vw5r1 1/1 Running 14d

scroll

Každá ruční konfigurace je technický dluh

4×

Delší doba nasazení změn u organizací s vysokou mírou manuálních procesů

State of DevOps Report 2023

3×

Vyšší míra selhání změn oproti organizacím s plnou automatizací

State of DevOps Report 2023

⚠

Nekonzistentní konfigurace, „zombie" objekty a konfigurační ostrovy jako přímý důsledek manuální správy

Z pohledu ITIL 4 se jedná o nedostatečnou implementaci praktik Service Configuration Management a Change Enablement. Z pohledu COBIT 2019 jde o selhání BAI10 Managed Configuration. Pampeliška 3.0 tento stav napravuje systematicky.

Infrastructure as Code. Prakticky.

Každá SW nebo HW technologie je programovatelný objekt.

⚡

Zjednodušení a zrychlení

Ansible playbooky a Python skripty spouštěné přes webové rozhraní Semaphore UI. Žádné přihlašování na servery, žádné manuální kroky.

⬡

Konzistence konfigurací

Git jako jediný zdroj pravdy (Single Source of Truth). Flux CD zajistí, že skutečný stav infrastruktury vždy odpovídá deklarovanému stavu.

◎

Centralizace dat

Všechna konfigurační data v PostgreSQL s automatickým REST API. Napojení na CMDB, CI/CD pipeline nebo vlastní nástroje přes standardní HTTP.

↗

Škálovatelnost

Kubernetes-nativní architektura (K3s). Spustitelné na 3 VM on-premise, v cloudu nebo hybridně. Přidání nové technologie = nový Ansible modul.

⬢

Zero-Trust bezpečnost

Automatická rotace TLS certifikátů, mTLS komunikace, Sealed Secrets v Gitu, WireGuard šifrování mezi uzly. Bezpečnost by default, ne jako doplněk.

Tři servery. Plně redundantní. Připravené k produkci.

WEBOVÝ PROHLÍŽEČ / REST API

TRAEFIK PROXY

Ingress + TLS terminace

SEMAPHORE UI

Ansible / Python

POSTGREST API

REST + CRUD

GRAFANA

Dashboardy

GITEA

GitOps

POSTGRESQL 16

Config DB

PROMETHEUS / LOKI

Observability

LONGHORN — distribuované úložiště

K3s HA Cluster (3× embedded etcd)

SPRAVOVANÉ TECHNOLOGIE

Cisco · F5 BIG-IP · Check Point · VMware · Linux · Certifikáty · Kubernetes · Custom API

KOMPONENTA	VRSTVA	ROLE
K3s v1.30	Orchestrace	HA cluster, 3 server uzly, embedded etcd
Semaphore UI	Automatizace	Webové UI pro Ansible, Python, Bash
PostgreSQL 16	Konfigurace DB	Relační DB + grafový model (nodes/edges)
PostgREST	API vrstva	Automatické REST API z DB schématu
Gitea	Source Control	Interní Git server, playbooky, manifesty
Flux CD	GitOps	Deklarativní správa stavu z Gitu
step-ca	PKI / CLM	Online Issuing CA, ACME server
cert-manager	CLM	Automatický request/renew certifikátů
Longhorn	Úložiště	Replikované blokové úložiště (CSI)
Traefik v3	Edge routing	Ingress, TLS terminace, load balancing
Prometheus	Observability	Sběr a ukládání metrik (TSDB)
Grafana + ECharts	Vizualizace	Dashboardy, alerting, grafové zobrazení
Loki + Promtail	Log management	Agregace logů, retence 18 měsíců
Sealed Secrets	Bezpečnost	Šifrované Secrets v Git repozitáři
Trivy Operator	Bezpečnost	Automatické CVE skenování images

MINIMÁLNÍ NASAZENÍ

Počet VM: 3 (K3s HA)
vCPU / VM: 4
RAM / VM: 8 GB
Disk / VM: 80 GB SSD
OS: Ubuntu 24.04 LTS
Celkem RAM: 24 GB
Baseline: ~5.1 GB (79% headroom)

Certifikáty, které se obnovují samy

Detekce expirace

30 dní před vypršením

Automatický CSR

cert-manager generuje žádost

Vydání step-ca

ACME protokol, validace + podpis

Nasazení

Kubernetes Secret aktualizován

Hot-reload

Aplikace bez výpadku

Audit log

v Loki + Grafana alert

Pro externí zařízení (Cisco, F5, Check Point) zajistí deployment certifikátu Ansible playbook spuštěný automaticky ze Semaphore UI. Celý životní cyklus certifikátů je auditovatelný a reportovatelný v Grafana dashboardu Certificate Expiry.

VRSTVA	KOMPONENTA	POPIS
Root CA (Tier 1)	Offline Root CA	Samo-podepsaný kořenový cert; offline HSM/USB; platnost 10–20 let
Issuing CA (Tier 2)	step-ca	Online CA; ACME server; běží jako K8s Pod
Cert Manager	cert-manager	K8s operátor pro automatický request/renew
Trust Distribution	trust-manager	Distribuce CA bundle do všech workloadů

Vidíte celou infrastrukturu. Živě.

ICT Topology Graph

Force-directed síťový graf všech spravovaných zařízení a jejich propojení.

Stack: Grafana + Apache ECharts plugin

Firewall Rule Flow

Sankey diagram toků dat mezi bezpečnostními zónami.

Stack: Grafana + ECharts Sankey

Certificate Chain Tree

Hierarchický strom PKI řetězců (Root CA → Issuing CA → leaf certs).

Stack: Grafana + ECharts Tree

Dependency Impact Map

Vizualizace dopadu výpadku jednoho prvku na závislé služby.

Stack: Grafana + ECharts + Apache AGE (openCypher)

Prometheus Grafana Loki Promtail Apache ECharts node-exporter kube-state-metrics

Soulad s regulacemi. Od prvního dne.

Pampeliška 3.0 je navržena v přímé vazbě na platný regulatorní rámec. Každá architektonická volba má konkrétní mapování na standard nebo zákon.

Mapování compliance požadavků na regulatorní rámce a konkrétní implementaci v Pampelišce 3.0
POŽADAVEK	STANDARD / REGULACE	IMPLEMENTACE
Síťová segmentace	ISO 27001 A.8.20Zákon č. 264/2025 Sb. (NIS2)	K8s NetworkPolicy, WireGuard
Auditní záznamy	ISO 27001 A.8.15DORA čl. 12	Loki + PromtailRetence ≥ 18 měsíců
Šifrování při přenosu	DORA čl. 9ISO 27001 A.8.24	mTLS (step-ca + cert-manager)Minimum TLS 1.2
Správa aktiv	COBIT 2019 BAI09NIST CSF 2.0 ID.AM	Trivy SBOMFlux CD inventarizace
Řízená konfigurace	COBIT 2019 BAI10	GitOps (Flux CD)PostgreSQL audit log
Viditelnost závislostí	COBIT 2019 BAI10DORA čl. 8	Grafový model (nodes/edges)ECharts vizualizace
Kontinuita provozu	ISO 22301COBIT 2019 DSS04	K3s HA, Longhorn replikaceRPO ≤ 1 h, RTO ≤ 2 h
Ochrana osobních údajů	GDPR čl. 17	API právo na výmazBezpečná likvidace dat

ENTERPRISE ARCHITECTURE MAPPING

TOGAF 10 Phase D – Technology Architecture (Technology Building Blocks)
COBIT 2019 BAI10 Managed Configuration, BAI09 Managed Assets, DSS04
ITIL 4 Service Configuration Management, Change Enablement

Provozní parametry

≥ 99,5 %

dostupnost

měsíční průměr

≤ 1 h

RPO

maximální ztráta dat

≤ 2 h

RTO

maximální doba obnovy

PARAMETR	HODNOTA	POZNÁMKA
Dostupnost	≥ 99,5 %	Měřeno na HTTP healthcheck endpoints
Reakční doba P1	≤ 60 minut	Automatický alert Grafana/AlertManager
Reakční doba P2	≤ 4 hodiny	Ticket v integrovaném systému
Doba řešení P1	≤ 8 hodin	Eskalace na L3 po 4 hodinách
RPO	≤ 1 hodina	Longhorn snapshoty + PG streaming repl.
RTO	≤ 2 hodiny	K8s self-healing
Okno údržby	Neděle 02:00–06:00 CET	Rolling update bez downtime

100 % open-source. Nulové licenční náklady.

Svoboda výběru

Infrastrukturu provozujete vy. Bez závislosti na dodavateli.

Bez licenčních poplatků

Platíte pouze za provozní náklady. Žádné vendor tier-pricing, žádné roční předplatné.

Čistá exit strategie

ITIL 4 + TOGAF Phase F. Export dat do CSV/JSON, předání dokumentace, protokol o ukončení.

KOMPONENTA	LICENCE	SPRÁVCE
K3s	Apache 2.0	SUSE/Rancher
PostgreSQL	PostgreSQL License	PostgreSQL Global Dev. Group
PostgREST	MIT	PostgREST
Semaphore UI	MIT	komunita
Gitea	MIT	komunita
step-ca	Apache 2.0	Smallstep
cert-manager	Apache 2.0	CNCF Graduated
Longhorn	Apache 2.0	CNCF Sandbox
Traefik Proxy	MIT	Traefik Labs
Prometheus	Apache 2.0	CNCF Graduated
Grafana	AGPL 3.0	Grafana Labs
Flux CD	Apache 2.0	CNCF Graduated
Ansible Core	GPL 3.0	Red Hat

Pampeliška vs. komerční alternativy

Srovnání s nejčastějšími enterprise nástroji pro správu infrastruktury.

Srovnání Pampeliška 3.0, Red Hat Ansible Automation Platform, Rundeck Enterprise a SaltStack
FUNKCE	Pampeliška 3.0	Red Hat AAP	Rundeck Ent.	SaltStack
Licenční náklady	0 Kč	~50 000 Kč/uzel/rok	Komerční	Open-core
Plně open-source stack	✓ Apache/MIT/GPL	Komerční vrstva	Dual-license	Open-core
GitOps (deklarativní stav)	✓ Flux CD	Add-on	Imperativní	SaltFile
Kubernetes-nativní	✓ K3s HA	Operator	VM-based	Kubernetes Salt
Integrovaný PKI/CLM	✓ step-ca + cert-manager	Externí	Externí	Externí
Grafový model závislostí	✓ Apache AGE	—	—	—
Vendor lock-in	Žádný	Red Hat	PagerDuty	VMware
On-premise / air-gapped	✓ Plně podporováno	✓	✓	✓
Minimální HW	3× 4 vCPU / 8 GB	~16 vCPU / 32 GB	~8 vCPU / 16 GB	~12 vCPU / 24 GB

Srovnání vychází z veřejně dostupných ceníků a referenčních architektur (Q4 2025). Komerční varianty mají rozsáhlejší vendor support a certifikace; Pampeliška staví na otevřených standardech a komunitním ekosystému CNCF.

Často kladené otázky

Odpovědi na nejčastější dotazy enterprise architektů a IT managerů.

Kdo Pampelišku nasadí a kdo ji bude provozovat?

Nasazení zvládne tým 1–2 administrátorů se zkušeností s Linuxem a Kubernetes během 1–3 dnů dle dokumentace. Pro provoz je dostatečný stávající L2/L3 tým — komponenty jsou standardní (K3s, PostgreSQL, Grafana), takže odpadá nutnost vendor-specific školení. Pro organizace bez interních kompetencí lze využít implementačního partnera.

Jak funguje migrace z Ansible Tower / AWX?

Existující Ansible playbooky a role lze přenést bez úprav — Semaphore UI je s nimi přímo kompatibilní. Migrace inventářů probíhá importem z YAML/INI souborů. Credentials se reimportují přes UI nebo Sealed Secrets. Doporučený postup: paralelní provoz po dobu 1–2 sprintů, postupný cutover dle byznys priorit.

Co když potřebujeme komerční SLA a 24/7 podporu?

Stack je tvořen komponentami s dostupnou komerční podporou: K3s/Rancher (SUSE), PostgreSQL (EnterpriseDB, Crunchy Data), Grafana Enterprise (Grafana Labs), cert-manager (Venafi). Pro celkovou platformu lze uzavřít smlouvu s implementačním partnerem. Cílové parametry SLA viz sekce Provozní parametry.

Jaký je vztah k regulacím NIS2 a DORA?

Pampeliška řeší klíčové technické požadavky: auditní záznamy (Loki, retence ≥ 18 měsíců), správa aktiv a konfigurací (GitOps + PostgreSQL audit log), šifrování (mTLS, TLS 1.2+), kontinuita provozu (RPO ≤ 1 h, RTO ≤ 2 h). Detail mapování viz sekce Compliance. Procesní stránka (ICT risk management framework, incident reporting) zůstává odpovědností organizace.

Funguje to v air-gapped prostředí (vládní/obranný sektor)?

Ano. Veškeré komponenty jsou self-hosted, image registry (Harbor/Gitea) lze provozovat interně. ACME server step-ca běží lokálně, není potřeba Let's Encrypt. Update je řešený přes interní mirror, žádné odchozí internetové spojení není požadováno pro běžný provoz.

Jaké HW prostředky reálně potřebujeme?

Minimální produkční nasazení: 3× VM se 4 vCPU, 8 GB RAM a 80 GB SSD (Ubuntu 24.04 LTS). Baseline využití zhruba 5,1 GB RAM (~21 % alokace), zbytek je headroom pro spravované workloady a Ansible joby. Pro >1000 spravovaných uzlů doporučujeme 8 vCPU / 16 GB a separátní worker uzly.

Co se stane, když chceme po roce odejít?

Exit je triviální. Konfigurační data leží v PostgreSQL — export do CSV/JSON jedním dotazem. Playbooky a IaC manifesty jsou v Gitu — git clone. Žádný proprietární formát, žádné vendor zámky. ITIL 4 / TOGAF Phase F handover protokol je součástí dokumentace.

Jak se Pampeliška liší od běžné Kubernetes platformy?

K3s je infrastrukturní vrstva — Pampeliška navíc poskytuje (1) předkonfigurovanou automatizační vrstvu (Semaphore + Ansible), (2) integrované PKI s automatickou rotací certifikátů, (3) datovou vrstvu s grafovým modelem dependencies a (4) enterprise observability. Cíl: zkrátit čas „od repository ke spravované infrastruktuře" z týdnů na hodiny.

Nasazení za jeden den.

Pampeliška 3.0 běží na 3 VM. Dokumentace je připravena. Víkendový projekt, který v produkci šetří celé týdny administrátorů.

$ git clone https://gitlab.com/pampeliska/pampeliska.git
$ cd pampeliska && ./deploy.sh --env production
✓ K3s cluster initialized (3 nodes, embedded etcd)
✓ Longhorn storage provisioned
✓ PostgreSQL HA cluster ready
✓ Semaphore UI deployed
✓ Certificate lifecycle management active
✓ Observability stack online

Pampeliška 3.0 is ready. Happy automating.

→ Zobrazit dokumentaci ↗ GitLab repozitář

Kontakt: support@pampeliska.io

AUTOMATIZUJTE INFRASTRUKTURU. NE RUTINU.