Close-up of a blue screen error shown on a data center control terminal.
Bulut Teknolojileri
Deniz Korkmaz

“Tamamen public cloud’a geçemiyoruz, on-prem datacenter’ımız var, ne yapalım?” sorusu kurumsal müşterilerin %80’inin başlangıç sorusu. Cevap çoğu zaman hibrit. Ama hibrit “biraz on-prem + biraz cloud” değil; doğru workload’u doğru yere yerleştirme + iki tarafı işlevsel köprülerle bağlama disiplinidir. Bu yazıda bir tekstil holdinginde uyguladığımız hibrit mimariyi ve genel olarak sahada karşılaştığımız 5 ana köprü desenini paylaşıyorum.

Hibrit Bulut Neden Saf Public’ten Daha Yaygın

  • Yatırım amortismanı: 2-3 yıl önce alınan storage array, blade chassis henüz amortize olmamış. “Boşa atalım” demiyor CFO.
  • Latency-kritik iş yükleri: Üretim hattındaki SCADA, HMI sistemleri datacenter’a 1ms uzakta olmalı, public cloud’da 30ms verir.
  • Veri yerellik (KVKK / regülasyon): Bazı veriler sözleşmesel olarak yurt dışına çıkamaz.
  • Network bandwidth: 50 TB veri working set varsa cloud’a sürekli sync etmek pahalı.
  • Compliance / audit: Bazı eski sistemler “altyapı bizim kontrolümüzde olmalı” gerekiyor.

İstanbul’daki tekstil holdingde 4 fabrika + 2 ofis + 1 datacenter vardı. Üretim ERP’si on-prem (SAP B1), e-ticaret backend ve mobil uygulama Azure’da, müşteri verisi (KVKK) ve raporlama CloudSpark Cloud’da. Üç ortamı iki yıl boyunca paralel çalıştırdık.

Köprü Deseni 1: Site-to-Site VPN

En basit, en hızlı kurulan köprü. IPSec tunnel ile on-prem firewall (Fortinet, Palo Alto, Cisco ASA) ile cloud edge gateway arasında.

Avantaj Dezavantaj
Hızlı kurulum (1 gün) Internet üzerinden, latency tahmin edilemez
Düşük maliyet ($30-100/ay) Bandwidth sınırlı (~~1 Gbps tipik)
Standard protokol (IPSec, IKEv2) Public internet outage’ı etkilenir

Ne zaman uygun: Düşük volume sync, yönetim trafiği, dev/test ortamları, küçük şirketler.

# Azure VPN gateway oluşturma (örnek)
az network vnet-gateway create 
  --name vpn-gw-azure 
  --resource-group rg-network 
  --vnet vnet-prod 
  --gateway-type Vpn 
  --vpn-type RouteBased 
  --sku VpnGw2 
  --asn 65515

# On-prem'i local network gateway olarak tanımla
az network local-gateway create 
  --name lng-onprem-istanbul 
  --resource-group rg-network 
  --gateway-ip-address 85.X.X.X 
  --local-address-prefixes 192.168.0.0/16 10.0.0.0/8

# Connection oluştur
az network vpn-connection create 
  --name conn-onprem 
  --resource-group rg-network 
  --vnet-gateway1 vpn-gw-azure 
  --local-gateway2 lng-onprem-istanbul 
  --shared-key 'PreSharedKey' 
  --enable-bgp true

Köprü Deseni 2: Dedicated Cross-Connect (ExpressRoute / DirectConnect)

Production-grade hibrit için standart. Telecom partner üzerinden datacenter’a doğrudan fiber bağlantı, public internet’e çıkmıyor.

Avantaj Dezavantaj
Latency garanti (~5-15 ms) Yüksek maliyet ($800-5000/ay)
Yüksek bandwidth (10-100 Gbps) Kurulum süresi (4-8 hafta)
SLA destekli Telecom partner bağımlılığı
Private trafik (isolated) Yedeklilik için çift bağlantı önerilir

Tekstil holdingde Türk Telekom üzerinden 1 Gbps ExpressRoute aldık (Bursa fabrika ↔ Azure West Europe). Aylık ~~$1.400. Karşılığında SAP B1 ↔ Azure veri replikasyonu, Power BI Direct Query, Office 365 trafiği hızlandı.

Yedeklilik: Aktif/aktif iki ayrı ExpressRoute (farklı POP’lar üzerinden) veya aktif ExpressRoute + standby VPN.

Köprü Deseni 3: Identity Federation

Aynı kullanıcının on-prem AD’de, Azure AAD’de, CloudSpark IAM’inde ayrı ayrı hesabı olması yönetilemez. Identity federation ile tek SSO:

  • On-prem AD primary identity store
  • Azure AD Connect ile AAD’a sync (kullanıcılar, gruplar, parolalar)
  • CloudSpark IAM, AAD’ı SAML/OIDC IdP olarak kabul eder
  • MFA AAD seviyesinde merkezi (Conditional Access policy)
# CloudSpark IAM SAML federation config
identity_provider:
  type: SAML
  metadata_url: https://login.microsoftonline.com/{tenantId}/federationmetadata/2007-06/federationmetadata.xml
  attribute_mapping:
    email: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    groups: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  group_role_mapping:
    "AAD-CloudOps-Admins": admin
    "AAD-DevOps": developer
    "AAD-ReadOnly": viewer

Bu kurulumla kullanıcı tek parola, tek MFA. Çıkışta tek noktadan disable.

Köprü Deseni 4: Veri Replikasyonu

İki farklı seviye:

  • Block-level replication: Storage array seviyesinde (SRDF, NetApp SnapMirror, Veeam Continuous Data Protection). Bütün VM’lerin disk’leri replike olur.
  • Application-level replication: Database (PostgreSQL streaming, MS SQL Always On, MongoDB replica set). Application bilinçli replikasyon.

Tekstil holdingde Veeam Backup & Replication kullandık. SAP B1 sunucusu on-prem’de, gece 02:00’da CloudSpark’ta DR replica güncelleniyor. RPO 24 saat, RTO ~~2 saat (test failover ile doğrulandı).

Daha hassas RPO için Always On Availability Group: SAP B1 SQL veritabanı asynchronous mode ile CloudSpark’ta da bir replica tutuyor. RPO ~~5-15 saniye.

Köprü Deseni 5: Kubernetes Federation

Modern uygulamalar için: Hem on-prem K8s cluster hem cloud K8s cluster, ortak workload deploy edilebilir.

Araçlar:

  • Anthos / Tanzu: Vendor-managed multi-cluster orchestration.
  • Argo CD ApplicationSet: Aynı manifest birden fazla cluster’a deploy ediliyor.
  • Submariner: Cluster’lar arası service discovery + cross-cluster network.
  • Crossplane: Multi-cluster, multi-cloud resource yönetimi.

Tekstil holdingde e-ticaret iş yükü production CloudSpark Kubernetes (CSPK), DR Azure AKS. Argo CD GitOps pipeline her iki cluster’a da deploy ediyor. Failover senaryosunda Azure cluster’ı sağlık göstergeleri devreye giriyor, DNS değişiyor.

Workload Placement: Hangi İş Yükü Nereye?

İş yükü Yer Sebep
SAP B1 production On-prem (DR: CloudSpark) Latency, lisans, KVKK
E-ticaret backend CloudSpark CSPK Düşük TR latency, KVKK
Mobile app API Azure App Service Global CDN entegrasyonu
ML training Azure ML / GPU instances GPU on-demand, managed pipeline
BI / Power BI Azure Power BI Service SaaS, ekosistem entegrasyonu
Veri arşivi CloudSpark S3 cold tier KVKK + ucuz storage
Backup repository CloudSpark S3 immutable Ransomware-proof, low cost
Office 365 Microsoft cloud SaaS, alternatif yok

Bu placement matrisi proje başında çıkarılıyor, her iş yükü için “neden burada” gerekçesi yazılıyor. 6 ay sonra revize.

Sahada Düşülen Üç Tuzak

  1. Network bandwidth’i unutmak: Hibrit yapılarda iki taraf arası trafik beklenenden çok daha fazla. Migration sonrası fatura sürprizi olur. Initial bandwidth 2x gerçek tahmini al.
  2. Identity sync gecikmeleri: AD Connect default 30 dakika cycle. Hızlı access değişiklikleri (örn: işten çıkarma) bu gecikmeden etkilenir. Bu süreyi 5 dakikaya düşür veya manuel sync trigger.
  3. DR drill ihmal: Hibrit yapı kurulduktan sonra “varsayalım çalışıyor” tutum yaygın. Yıllık tabletop + 6 ayda bir gerçek failover testi şart.

Sonuç: Hibrit Bir Geçiş Aşaması Değil, Çoğu Zaman Son Hâl

“Hibrit, public’e tam geçişi tamamlayana kadar geçici” görüşü 2020’ler için doğruydu. 2026’da kurumsal müşterilerin %70’i için hibrit kalıcı durum. Doğru iş yükünü doğru yere yerleştirmek + işlevsel köprülerle bağlamak modern bulut stratejisinin temeli.

CloudSpark olarak hibrit mimari assessment, ExpressRoute / VPN tasarım, identity federation, multi-cluster K8s ve hibrit DR projelerinde end-to-end danışmanlık hizmeti sunuyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español