icon — Azure Arc: Hibrit ve Multi-Cloud Kaynak Yönetimi
Azure
Murat Öztürk

Geçen ay Bursa’daki bir üretim firmasında masadayız. Kurumun BT yöneticisi diyor ki: “Üretim hattı kontrol sunucularını buluta taşıyamayız, latency tolere etmiyor. Ama Azure’daki ERP’mizle aynı yönetim politikalarını uygulamak istiyoruz.” Doğru cevap orada Azure Arc oldu.

Arc, Microsoft’un “benim bulutumda olmasalar bile, sanki benim bulutumdaymış gibi yönet” cevabı. Bu yazıda Arc’ı sahadan baktığım haliyle aktaracağım: ne işe yarar, ne işe yaramaz, kurulumda nelere takılırsınız, lisans tarafı nasıl çıkar ve KVKK boyutunda nereye dikkat edersiniz.

Azure Arc tam olarak ne yapıyor?

Çok basit bir tanımla: Azure dışındaki kaynakları (sunucu, Kubernetes kümesi, SQL Server, PostgreSQL, makine öğrenmesi modeli) Azure Resource Manager’ın içine “projeksiyon” olarak alıyor. Yani ARM, on-prem’deki bir Windows Server 2022 sunucuyu kendi kataloğunda görüyor, üzerine policy uygulayabiliyor, RBAC tanımlayabiliyor, log topluyor.

Sunucu Azure’a taşınmıyor. Veriler hâlâ on-prem’de. Sadece kontrol düzlemi Azure üzerinden geçiyor. Bu ayrımı bilmek önemli — KVKK ve veri yerleşimi soruları sorulduğunda elinizde net cevap olur.

Cümle ile özetlersek: Arc, hibrit ortamlarda yönetim tutarlılığı için var. Veri taşıma için değil. Bunu karıştıran çok ekip gördüm.

Arc neyi destekliyor?

Şu an üretimde olgun olan Arc türleri:

  • Arc-enabled Servers: Windows ve Linux fiziksel/sanal sunucular. En çok kullanılan kategori.
  • Arc-enabled Kubernetes: Herhangi bir CNCF-uyumlu küme (vanilla K8s, Rancher, OpenShift, EKS, GKE).
  • Arc-enabled SQL Server: On-prem SQL Server kurulumlarınızı Defender, Backup ve patch tarafında merkezîleştirir.
  • Arc-enabled Data Services: Azure SQL Managed Instance ve PostgreSQL’i kendi altyapınızda çalıştırma. Daha az yaygın.
  • Arc-enabled VMware vSphere ve System Center VMM: Sanal makine inventory yönetimi.

Sahada Arc-enabled Servers ve Arc-enabled Kubernetes çoğu projenin %90’ını kapsıyor. Diğer kategoriler özel senaryolarda devreye giriyor.

Tipik Türkiye senaryoları

Senaryo 1: Finansta kontrol Azure’da, veri Türkiye’de

Bir bankacılık aracı kurum, ana sistemini BDDK gereği Türkiye’de tutuyor. Ama IT operasyon ekibi 24 farklı yerde — şube, veri merkezi, DR site — yamalama ve compliance denetimi yapmaktan boğuluyor. Arc-enabled Servers ile her sunucu Defender for Cloud kapsamına alındı, Update Management merkezîleşti, Azure Policy ile “şu yamalar 7 gün içinde uygulanmış olmalı” kuralı yazıldı. Veri yerinde kaldı; yönetim Azure’a geldi.

Senaryo 2: Üretim/OT ortamında edge Kubernetes

İzmit’teki bir otomotiv tedarikçisi, fabrika içinde edge Kubernetes kümeleri çalıştırıyor (Azure Stack HCI üzerinde değil, vanilla K8s). Çekirdek sistemleri Azure’a entegre etmek istiyorlar ama hat 2 saniye gecikmeyi tolere etmiyor. Arc-enabled Kubernetes ile her fabrika kümesine GitOps yoluyla deployment dağıtılıyor. Konfigürasyon değişikliği bir kişi merkezden yapıyor, 7 fabrikaya senkron olarak iniyor.

Senaryo 3: Multi-cloud cost ve compliance görünürlüğü

Reklam ajansı, müşterilerine göre AWS, GCP ve Azure’da iş yapıyor. Arc ile EC2 ve GCP VM’leri Azure’a Arc-enable edip Defender for Cloud kapsamında topluyorlar. Tek bir compliance dashboard’u var. Arc burada “farklı bulutlarda dağılmış kaynakları tek yerden raporla” işlevi görüyor.

Kurulum: 5 Dakikalık Onboarding

Bir Linux sunucuyu Arc’a almak gerçekten beş dakika alıyor. Şöyle:

# 1. Azure CLI'da resource provider'ları aç (subscription başına bir kez)
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'
az provider register --namespace 'Microsoft.HybridConnectivity'

# 2. Service Principal oluştur (toplu onboarding için)
az ad sp create-for-rbac --name 'arc-onboarding-sp' 
  --role 'Azure Connected Machine Onboarding' 
  --scopes /subscriptions/<sub-id>/resourceGroups/rg-arc-tr

# 3. Hedef sunucuda Connected Machine Agent'ı kur
wget https://aka.ms/azcmagent -O install_linux_azcmagent.sh
bash install_linux_azcmagent.sh

# 4. Sunucuyu Arc'a bağla
azcmagent connect 
  --resource-group 'rg-arc-tr' 
  --tenant-id '<tenant>' 
  --location 'westeurope' 
  --subscription-id '<sub>' 
  --service-principal-id '<sp-id>' 
  --service-principal-secret '<secret>'

Windows tarafında PowerShell komutu var, mantık aynı. Kümesel onboarding için at-scale deployment scripti çıkarın, GPO veya konfig yönetim aracınızla (Ansible, Puppet) yayın.

Network gereksinimi: Sıkça atlanan kısım

Arc agent’ı sürekli outbound HTTPS trafik üretir. Onboarding aşamasında firewall’da şu hostname’lere izin gerekiyor:

Endpoint Port Amaç
management.azure.com 443 ARM API
*.guestconfiguration.azure.com 443 Policy ve drift kontrolü
*.his.arc.azure.com 443 Hybrid Identity Service
*.dp.kubernetesconfiguration.azure.com 443 K8s GitOps (Arc-enabled K8s için)
login.microsoftonline.com 443 Token alma

Air-gap ortamlarda Arc çalışmaz; en azından Azure ARM endpoint’lerine outbound erişim şart. Sıkı kurum güvenlik politikalarında bu liste bir hafta süren “firewall change request” konusu olabiliyor — projeyi planlarken bu süreyi içeri alın.

Lisans ve Maliyet

Arc’ın kendisi ücretsiz — sunucuyu Arc’a bağlamak para istemiyor. Asıl maliyet, üzerine giydirdiğiniz Azure servislerinden geliyor:

  • Defender for Servers Plan 2: Sunucu başına aylık ~15 USD. Hem Azure VM’lere hem Arc sunuculara aynı fiyat.
  • Update Management: Ücretsiz (Log Analytics ingestion ücreti hariç).
  • Azure Monitor / Log Analytics: Topladığınız log GB’sine göre ücret. Tipik bir Windows server günde 50-200 MB log üretir; tasarruf için filter uygulayın.
  • Azure Policy guest configuration: Ücretsiz.
  • Sentinel: Sunucu başına değil ingestion-based ücret.

Sahadan tipik bir hesap: 100 sunucuyu Arc’a alıp Defender Plan 2 + Update Management + Sentinel ile koruma altına almanın aylık maliyeti yaklaşık 1900-2400 USD bandında çıkıyor. Bu rakamı manuel patch ekibi ve compliance raporlama saatleriyle karşılaştırın — çoğu kurumda Arc 6 ayda kendi parasını çıkarıyor.

Arc ile çözebileceğiniz pratik problemler

1. Güvenlik açığı taraması merkezîleşir

Defender Vulnerability Assessment, Arc-enabled Server üzerinde çalışıyor. On-prem 80 sunucunuzda hangi CVE’ler açık, hangisi exploit edilebilir, hangileri kritik — tek bir dashboard’da görünüyor.

2. Compliance raporlamak otomatik hale gelir

Azure Policy ile “tüm Linux sunucularda firewalld aktif olmalı” gibi bir kural yazıyorsunuz. Arc-enabled sunucularınız bu policy’yi otomatik değerlendiriyor ve uyumlu/uyumsuz raporu üretiyor. KVKK denetiminde “şu sunucularda hangi kontroller var” sorusuna 30 saniyede cevap.

3. SSH/RDP yapmadan komut çalıştırabilirsiniz

Arc-enabled Server üzerinde Run Command özelliği var. Azure portal’dan veya CLI’dan, sunucuya VPN/jump host olmadan komut atabilirsiniz. Bu özellik özellikle audit izlerinin Azure log’una düşmesi açısından değerli.

# Bir Arc-enabled Linux sunucuda disk kullanımını topla
az connectedmachine run-command create 
  --name 'check-disk' 
  --machine-name 'srv-prod-01' 
  --resource-group 'rg-arc-tr' 
  --location 'westeurope' 
  --script 'df -h'

4. SQL Server lisansını mantıklı satın alabilirsiniz

On-prem SQL Server’larınızı Arc’a bağladığınızda Pay-As-You-Go SQL lisansı seçeneği açılıyor. Stable yük için Reserved kapasite, dalgalı yük için PAYG. Türk müşterilerimde özellikle dev/test SQL ortamları bu modelle %35-40 tasarruf yaptı.

Arc’ın kullanışlı olmadığı yerler

Her şey altın değil. Şu durumlarda Arc’a baş ağrısı olarak bakıyorum:

  1. Sadece bir kaç sunucunuz varsa. 5 sunucu için kurulum + öğrenme eğrisi maliyeti, faydadan büyüktür. Manuel yönetim devam etsin.
  2. Sürekli internet bağlantısı garantili değilse. Arc agent connectivity kaybederse bazı özellikler durur (heartbeat ile çalışan policy değerlendirme gibi).
  3. İçerideki tek odak yedeklemeyse. Arc-enabled Backup için Azure Backup MARS veya MABS daha doğrudan çözüm — Arc ek katman.
  4. Microsoft ekosistemi dışında çok fazla yatırımınız varsa. Tüm sunucular Linux + Ansible + Prometheus stack’iyle yönetiliyorsa Arc’ın değer önerisi azalır.

Karar masası: Arc almalı mıyım?

Şu üç soruya “evet” diyorsanız Arc sizin için:

  • Azure dışında 20+ sunucum var ve sayısı artıyor.
  • Azure içinde de büyük yatırımım var; tek konsol, tek RBAC, tek policy istiyorum.
  • KVKK/BDDK gibi düzenleyici nedenle veriyi yerde tutmam gerekiyor ama denetlenebilirlik raporları daha hızlı üretmem lazım.

Şu üç soruya “evet” diyorsanız Arc’ı erteleyin:

  • Sunucu sayım az ve yıl içinde artmayacak.
  • Kurum politikası Azure dışında bir buluta bağımlılığı yasaklıyor.
  • Şu an çözmeye çalıştığım problem patch yönetimi değil; uygulamamı buluta taşımam gerek.

Sık Sorulan Sorular

Arc agent’ı kuran sunucu Azure’a sürekli veri gönderir mi?

Sürekli outbound heartbeat gönderir (~70 KB / 5 dk). Performance counter veya log toplamayı açtıysanız ek trafik olur. İçerideki uygulama verisi gitmez.

Arc-enabled Server üzerinde RDP/SSH yapabilir miyim?

Evet, Arc bunu engellemez. Ek olarak Azure SSH özelliği ile portalden yönetim erişimi de açabilirsiniz, bu Bastion benzeri bir deneyim sunar ve audit’e geçer.

Arc bağlantısı koparsa sunucu çalışmaya devam eder mi?

Evet, sunucunun kendi işi etkilenmez. Sadece policy değerlendirme, log iletimi ve merkezî komut çalıştırma duraklar. Bağlantı geri geldiğinde otomatik resync olur.

Arc-enabled Kubernetes ile AKS arasında ne fark var?

AKS, Microsoft’un yönettiği Kubernetes; Arc-enabled K8s ise sizin yönettiğiniz herhangi bir küme. Arc, K8s kümesini Azure’da “tanır” hâle getirir; control plane sizde kalır. AKS’te control plane Microsoft’tadır.

Hibrit ortam için Azure Stack HCI mı Arc mı?

İkisi farklı işler. HCI, fiziksel sunucu üzerine kurduğunuz Microsoft hiperkonverj platform — yeni altyapı yatırımı demek. Arc ise mevcut altyapınızı (her marka, her hipervizör) Azure yönetimine alır. Çoğu zaman birlikte kullanılır: HCI çalışır, üzerindeki kaynaklar Arc ile yönetilir.

Sonuç

Azure Arc, hibrit ve multi-cloud dünyasında yönetim tutarlılığını sağlamak için Microsoft’un en somut cevabı. Sahada işe yarayıp yaramayacağı tek bir kritere bağlı: kontrol düzlemini merkezîleştirme ihtiyacınız ne kadar gerçek? 50+ sunucuyu farklı yerlerde yönetmeye çalışan ekipler için Arc, üç ay içinde gözle görülür operasyonel verim getiriyor. Birkaç sunuculu küçük ortamlar için ek karmaşadan başka şey üretmiyor.

Arc’ı pilot olarak denemek istiyorsanız 5-10 sunucudan başlayın, Defender for Servers ile bir ay yaşayın, sonuç tablonuzu çıkarın. CloudSpark olarak Türkiye’deki finans, sigorta ve üretim müşterilerimizde 200+ sunucuyu kapsayan Arc rollout’larını yönetiyoruz. Detaylı senaryo görüşmesi için iletişim sayfasından ulaşın.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español