Jaký byl zákazník a proč nestačilo připojení přes veřejný internet?
Zákazník — provozovatel e-commerce platformy pro B2B zákazníky v segmentu stavebního materiálu a průmyslových komponentů — provozuje hybridní cloudovou architekturu: část infrastruktury (databázové servery, skladový systém, interní ERP) běží ve vlastním colocačním datacentru v Praze, zatímco aplikační vrstva, CDN původ a analytické prostředí jsou v Microsoft Azure West Europe. Obě prostředí si denně vyměňují desítky GB dat — synchronizace skladových zásob, zákaznická data, transakční logy a mediální obsah produktových katalogů. Dosavadní architektura — přístup do Azure přes standardní B2B internet připojení — fungovala bez větších problémů do chvíle, kdy platforma narostla na přibližně 120 000 aktivních B2B zákazníků a objem přenášených dat překročil 180 TB měsíčně. V tu chvíli se projevily tři problémy najednou. Nákladový problém: Standardní Azure egress sazby pro region West Europe (odchozí data z Azure do internetu) generovaly měsíční náklady v řádu 6 000–8 000 EUR — nejvýznamnější jednotlivá položka cloudového účtu, přičemž objem dat každým čtvrtletím rostl. Výkonnostní problém: Přenos dat mezi pražským datacentrem a Azure přes veřejný internet vykazoval v odpoledních hodinách a v období kampaní (sezónní výprodeje) znatelnou degradaci — latence stoupala na 40–80 ms a propustnost klesala pod úroveň, která způsobovala zpoždění synchronizace skladových dat. Zákazníci platformy viděli neaktuální skladové zásoby. Bezpečnostní problém: Přenos zákaznických dat — včetně obchodních podmínek, cen a nákupní historie B2B zákazníků — přes veřejný internet bez dedikované přenosové cesty byl čím dál obtížněji obhajitelný vůči firemním zákazníkům požadujícím doložení bezpečnostní architektury v rámci svých vlastních ISO/IEC 27001 auditů.Jak New Telekom navrhl řešení?
CloudConnect jako dedikovaná privátní linka do Azure
New Telekom navrhl nahradit přístup do Azure přes veřejný internet dedikovanou privátní linkou CloudConnect — přímým MPLS VPN okruhem z pražského datacentra zákazníka do Microsoft Azure ExpressRoute peering lokace v Praze, odkud pokračuje po privátní páteři Microsoftu do regionu Azure West Europe. Klíčový princip: data mezi pražským datacentrem zákazníka a Azure přestávají procházet veřejným internetem úplně. Celá cesta — od serveru v pražském colocačním datacentru až po aplikační prostředí v Azure West Europe — je vyhrazená fyzická trasa provozovaná sítí New Telekom a páteřní infrastrukturou Microsoftu. Žádný tranzitní uzel třetí strany, žádné sdílení kapacity s ostatními uživateli veřejného internetu.Kapacita a redundance
Pro objem dat zákazníka (180 TB měsíčně, špičky při kampaních až 3× průměr) byla navržena primární kapacita 2 Gbit/s symetricky — s možností okamžitého škálování na 5 Gbit/s přes SDN platformu CloudConnect bez fyzického zásahu do infrastruktury. Pro sezónní kampaně jako Black Friday nebo jarní výprodeje lze kapacitu dočasně navýšit a po skončení akce vrátit zpět. Redundance last mile mezi pražským datacentrem zákazníka a distribučním uzlem New Telekom je řešena dvěma fyzicky oddělenými optickými trasami vedenými různými ulicemi — výkop nebo porucha na jedné trase neohrozí druhou. Přepnutí na záložní trasu proběhne automaticky do 8 sekund.Co bylo fyzicky realizováno?
Optická přípojka do pražského datacentra
Zákazník provozuje colocaci v datacentru v oblasti Praha — Vinohrady. New Telekom přivedl do rack prostoru zákazníka dedikovaný optický pár OS2 Single-Mode z distribučního uzlu New Telekom v Praze 2 — trasa v délce 680 metrů přes existující kabelové rozvody objektu, ukončená konektory LC/APC na patch panelu v rack prostoru zákazníka. Naměřený útlum trasy: 2,1 dB.Aktivní prvky
- Juniper MX204 — páteřní router zákazníka s dedikovanou VRF instancí pro CloudConnect okruh, BGP session k síti New Telekom, hardwarová podpora MPLS, IPv4/IPv6 dual-stack a QoS DiffServ s třemi třídami provozu: prioritní (synchronizace zásob), standardní (transakční data) a best-effort (mediální obsah, logy)
- Juniper EX4300 — přístupový přepínač pro připojení serverové infrastruktury zákazníka k routeru, 10GbE uplinky, LACP bonding pro agregaci kapacity
- Fortinet FortiGate 400F — NGFW firewall na hranici mezi privátní CloudConnect linkou a interní serverovou sítí zákazníka; na CloudConnect vrstvě bez SSL inspekce (zbytečná latence na privátní lince), s IPS a anomaly detection aktivními
- UPS APC Smart-UPS 2200VA — záložní napájení aktivních prvků po dobu 50 minut
Konfigurace Azure ExpressRoute
Na straně Microsoft Azure byl v rámci projektu nakonfigurován ExpressRoute Circuit v peering lokalitě Praha (CE Colo Prague) s propustností 2 Gbit/s a aktivovaným Microsoft Peeringem pro přístup k Azure PaaS službám (Azure Blob Storage, Azure SQL, Azure CDN Origin) a Private Peeringem pro přístup k virtuálním sítím zákazníka v Azure West Europe. Konfigurace BGP na straně Azure zajišťuje, že provoz zákazníka vždy preferuje ExpressRoute trasu před záložní internetovou cestou.Jaké parametry přípojka dosahuje v provozu?
| Parametr | Po realizaci (CloudConnect) | Původní stav (internet) |
|---|---|---|
| Latence Praha datacenter ↔ Azure West Europe | < 9 ms konzistentně | 18–80 ms, silně proměnlivá |
| Propustnost při špičce | 2 Gbit/s garantovaně | Reálně 300–800 Mbit/s (sdílená kapacita) |
| Packet loss | < 0,01 % | 0,1–2 % při špičkách |
| SLA dostupnost | 99,9 % smluvně | Žádná garance |
| Redundance last mile | Dvojitá optika, auto-failover < 8 s | Jedna trasa |
| Azure egress náklady | Snížení o 47 % | Plné standardní sazby |
| Přenos dat přes veřejný internet | Nulový pro cloud provoz | 100 % |
| Škálování kapacity | Okamžité přes SDN, bez fyzického zásahu | Omezeno ISP, týdny |
Jak dedikovaná privátní linka do cloudu mění ekonomiku Azure egress?
Toto je aspekt, který zákazníky při první analýze překvapí nejvíce. Azure egress traffic — data odcházející z Azure do internetu — je zpoplatněn standardními sazbami Microsoftu (aktuálně v regionu West Europe přibližně 0,05–0,08 EUR/GB v závislosti na objemu). Pro zákazníka přenášejícího 180 TB měsíčně to představovalo měsíční egress účet v rozsahu 6 000–8 000 EUR. Přes CloudConnect a Azure ExpressRoute jsou egress sazby výrazně nižší — Microsoft uplatňuje preferenční sazby pro provoz přes ExpressRoute oproti standardnímu internetovému egress. Výsledná úspora pro zákazníka: 47 % celkových egress nákladů měsíčně — při rostoucím objemu dat úspora v absolutních číslech každým měsícem roste. Důležitý detail: ingress traffic (data přicházející do Azure) je vždy zdarma — CloudConnect ani ExpressRoute tento fakt nemění, ale jsou součástí celkové ekonomické kalkulace. Podrobnou kalkulaci úspor pro konkrétní objem dat a Azure region najdete na cloudconnect.cz.Co dedikovaná privátní linka do cloudu znamená pro GDPR a bezpečnostní audity?
Pro e-commerce platformu zpracovávající B2B zákaznická data — obchodní podmínky, cenové hladiny, nákupní historii — je přenosová cesta dat součástí bezpečnostní architektury, kterou musí být schopna doložit při GDPR auditech nebo při bezpečnostních prověrkách ze strany korporátních zákazníků. CloudConnect privátní linka dovoluje jednoznačně prohlásit: data zákazníků mezi naším pražským datacentrem a Azure neprocházejí veřejným internetem. Tuto skutečnost lze technicky doložit — topologickým diagramem sítě, výpisem BGP routovací tabulky a potvrzením New Telekom o architektuře linky. Pro záznamy o zpracování osobních údajů dle čl. 30 GDPR (nařízení EU 2016/679) jde o konkrétní technické opatření přenosové bezpečnosti, nikoliv abstraktní tvrzení. Pro zákazníky podléhající NIS2 (zákon č. 264/2025 Sb.) nebo DORA (nařízení EU 2022/2554) je privátní přenosová cesta pro kritický cloudový provoz přímo součástí požadovaných technických opatření. Komplexní řešení IT bezpečnosti — včetně NIS2 compliance poradenství a technické implementace — nabízí New Telekom jako navazující službu.Často kladené otázky k dedikované privátní lince do cloudu
Jaký je rozdíl mezi CloudConnect a standardním internetovým přístupem do Azure?
Přes standardní internet data cestují přes desítky tranzitních uzlů operátorů třetích stran — kapacita je sdílená, latence proměnlivá a přenosová cesta nekontrolovatelná. CloudConnect je dedikovaná privátní linka: data putují výhradně po síti New Telekom a páteřní infrastruktuře Microsoftu bez průchodu veřejným internetem. Výsledkem je garantovaná propustnost, konzistentní latence a auditovatelná přenosová architektura. Navíc nižší Azure egress sazby oproti standardnímu internetovému výstupu.Je CloudConnect dostupný i pro AWS a Google Cloud, nebo jen pro Azure?
CloudConnect od New Telekom propojuje firemní sítě s Microsoft Azure (ExpressRoute), Amazon Web Services (AWS Direct Connect) i Google Cloud Platform (Cloud Interconnect) — a to pod jednou smlouvou a z jednoho portu. Zákazník nemusí řešit separátní privátní okruhy pro každého cloud providera. Více informací na cloudconnect.cz.Jak rychle lze privátní CloudConnect linka zprovoznit?
Pro zákazníky v lokalitách s dostupnou páteřní trasou New Telekom (Praha a okolí, větší česká města) je standardní doba od podpisu smlouvy po aktivaci 3–5 týdnů pro samotný CloudConnect okruh. Projekt popsaný v této studii byl dokončen za 6 týdnů — zahrnoval optickou přípojku do datacentra, konfiguraci Azure ExpressRoute na straně Microsoftu a testování BGP failover scénářů.Lze kapacitu CloudConnect linky měnit bez výjezdu technika?
Ano. CloudConnect je postaven na vlastní SDN platformě New Telekom — změna kapacity linky (navýšení i snížení) probíhá softwarově v reálném čase bez fyzického zásahu do infrastruktury. Pro zákazníky s sezónními špičkami (výprodeje, kampaně) to znamená možnost dočasného navýšení kapacity na dobu akce a vrácení na standardní úroveň po jejím skončení — bez měsíčního závazku na vyšší kapacitu.Je CloudConnect vhodný i pro firmy mimo Prahu?
Ano. New Telekom dodává CloudConnect privátní linky do cloudu pro firemní zákazníky po celé České republice — prostřednictvím vlastní páteřní sítě a partnerské sítě 120+ operátorů pro pokrytí mimo hlavní město. Dostupnost konkrétní lokality a podmínky závisí na vzdálenosti od nejbližšího distribučního uzlu New Telekom. Kontaktujte nás pro ověření dostupnosti na vaší adrese.Závěr
Dedikovaná privátní linka do cloudu prostřednictvím CloudConnect přinesla provozovateli e-commerce platformy tři měřitelné výsledky: konzistentní latenci pod 9 ms eliminující výkonnostní výkyvy synchronizace, úsporu 47 % Azure egress nákladů a auditovatelnou bezpečnostní architekturu přenosu dat doložitelnou zákazníkům i regulátorům. Pro firmy přenášející desítky nebo stovky TB dat měsíčně mezi vlastní infrastrukturou a cloudem není otázka, zda má dedikovaná privátní linka smysl — otázka je, kdy je správný čas ji zavést. Pro zákazníka popsaného v této studii byl tím správným momentem překročení 100 TB měsíčního objemu, kdy se egress náklady staly dominantní položkou cloudového účtu. Pokud vaše firma hledá dedikovanou privátní linku do cloudu, zajímá se o datové služby New Telekom nebo chce porovnat náklady stávajícího internetového přístupu do Azure či AWS s CloudConnect řešením, kontaktujte náš tým přes kontaktní stránku nebo přímo na cloudconnect.cz.Případová studie byla zpracována odborným týmem New Telekom s.r.o. Technické parametry odpovídají stavu ke dni předání projektu. Odvětví zákazníka je uvedeno se souhlasem zákazníka; přesné obchodní jméno a adresa nejsou z obchodních důvodů zveřejňovány. Informace odpovídají technologickému stavu k květnu 2026.
Použité technologie a standardy
- CloudConnect / cloudconnect.cz — privátní MPLS VPN okruh do Microsoft Azure ExpressRoute
- Microsoft Azure ExpressRoute — privátní okruh do Azure West Europe, Microsoft Peering + Private Peering
- Juniper MX204 — páteřní router, BGP, MPLS, VRF, QoS DiffServ
- Juniper EX4300 — přístupový přepínač, 10GbE, LACP
- Fortinet FortiGate 400F — NGFW firewall s IPS a anomaly detection
- OS2 Single-Mode LC/APC — optická přípojka do pražského datacentra
- SDN platforma New Telekom — okamžité škálování kapacity CloudConnect okruhu
- BGP, MPLS, IPv4/IPv6 dual-stack — síťové protokoly
- NIX.CZ — Neutral Internet eXchange Praha, přímý peering New Telekom
- Nařízení EU 2016/679 (GDPR) — ochrana osobních údajů při přenosu, čl. 30
- Zákon č. 264/2025 Sb. (NIS2) — technická opatření přenosové bezpečnosti
- Nařízení EU 2022/2554 (DORA) — digitální provozní odolnost