Eskişehir’de 410 çalışanlı bir makine üreticisi, “her şeyi buluta taşıyalım” deyip 18 ay sonra geri döndü. Final mimari hibrit oldu: üretim on-prem (latency + offline tolerance), ERP CloudSpark Cloud’da (KVKK + maliyet), analitik + müşteri portali Azure’da. Bu yazı kararların nasıl alındığını anlatıyor.
Workload Yerleşim Kararı
| Workload | Yerleşim | Sebep |
|---|---|---|
| Üretim hattı SCADA/MES | On-prem | 1ms latency gereksinimi, internet kesilince üretim duramaz |
| CAD/PLM (SolidWorks) | On-prem | Büyük dosya, yerel disk performansı kritik |
| SAP B1 ERP | CloudSpark Cloud (TR datacenter) | KVKK + maliyet + yerel destek |
| SQL Server (operasyon) | CloudSpark Cloud | Yakınlık + lisans esnekliği |
| Müşteri portali | Azure (App Service + Cosmos) | Global CDN, auto-scale |
| Veri analitik (Power BI + ADX) | Azure | BI ekosistemi olgun |
| M365 (mail, Teams, SharePoint) | Azure (Microsoft cloud) | Native servis |
| Backup (long-term) | Azure Blob Archive | En ucuz cold storage |
Connectivity
- On-prem ↔ Azure: ExpressRoute 200 Mbps (Türk Telekom)
- On-prem ↔ CloudSpark Cloud: Site-to-Site IPsec VPN 100 Mbps (yedek MPLS hattı)
- Azure ↔ CloudSpark Cloud: Site-to-Site VPN (rare cross-traffic için)
- End-user (uzak ofis, evden): Always On VPN + Conditional Access
Identity Federation
Microsoft Entra ID master IdP. On-prem AD ile sync (Password Hash Sync). CloudSpark Cloud yönetim portalı SAML federation ile Entra’yı kullanıyor.
User journey:
1. Çalışan laptop'tan login → on-prem AD ya da Entra (Hybrid join)
2. M365'e tıklıyor → Entra SSO
3. SAP B1'e tıklıyor → SAML federation üzerinden CloudSpark Cloud
4. Müşteri portali admin paneline → Entra Conditional Access
Tek hesap, 4 yer.DNS Stratejisi
Hibrit DNS karmaşıklaşır. Çözüm: Azure Private DNS Resolver + on-prem DNS conditional forwarding.
# Azure tarafı: Private DNS Resolver
az dns-resolver create -g rg-network -n dns-resolver-prod
--location northeurope
--virtual-network /subscriptions/.../virtualNetworks/vnet-hub
# Inbound endpoint (on-prem'den Azure resource'lara erişim için)
az dns-resolver inbound-endpoint create
--resolver-name dns-resolver-prod -g rg-network
--name inbound-ep
--ip-configurations '[{"private-ip-address":"10.20.0.4","subnet":{"id":"/subscriptions/.../subnets/dns-inbound"}}]'On-prem DNS server’ında azure.contoso.local için forwarder Azure inbound endpoint’e (10.20.0.4) yönlendirildi.
Hibrit Observability
3 ortamın log’unu tek pane’de görmek için:
- On-prem servers → Azure Monitor Agent → Log Analytics
- CloudSpark Cloud VMs → Log Analytics workspace (cross-tenant)
- Azure resource’lar → Log Analytics
- Tek Workbook: hangi ortamda hangi metrik nasıl
// Tüm ortamların CPU karşılaştırması
Perf
| where TimeGenerated > ago(24h)
| where ObjectName == "Processor" and CounterName == "% Processor Time"
| extend Environment = case(
Computer startswith "onprem-", "On-Prem",
Computer startswith "cs-", "CloudSpark Cloud",
"Azure")
| summarize avg(CounterValue) by Environment, bin(TimeGenerated, 1h)
| render timechartBackup ve DR
- On-prem: Veeam → CloudSpark Cloud repository (off-site)
- CloudSpark Cloud VM’ler: Acronis Cyber Protect → Azure Blob Archive
- Azure resource’lar: Azure Backup → Recovery Services Vault
- 3-2-1 kuralı sağlandı: 3 kopya, 2 farklı medya, 1 off-site
Maliyet Karşılaştırması
| Senaryo | 3 yıllık (TL) |
|---|---|
| Tamamen on-prem | ~~9.8M |
| Tamamen Azure (lift-and-shift) | ~~11.4M |
| Tamamen Azure (refactor + autoscale) | ~~7.6M |
| Hibrit (mevcut model) | ~~6.8M |
Hibrit model en ucuz. Sebep: KVKK gereksinimi olan ERP CloudSpark Cloud’da (TR datacenter, ucuz), latency-critical üretim on-prem (zaten investment yapılmış), modern müşteri portali Azure (auto-scale).
KVKK Uyumu
Müşteri verisi (kişisel, satış kaydı, fatura) TR datacenter’da kalıyor (CloudSpark Cloud + on-prem). Anonim analitik veri Azure’da işleniyor (KVKK kapsamı dışı). Yıllık denetim clean.
Sahada Düşülen Üç Tuzak
- “Cloud-first” dogması: Her workload bulut için uygun değil. Latency, regülasyon, mevcut investment dikkate alınmalı.
- Network’ü last-minute düşünmek: ExpressRoute provisioning 4-8 hafta. Hibrit projenin first phase’i network.
- Identity’yi hibrit yapmamak: 3 ortamda 3 ayrı hesap = caos. Single IdP + federation şart.
CloudSpark olarak hibrit bulut mimarisi, on-prem ↔ bulut connectivity (ExpressRoute, S2S VPN), identity federation, hibrit observability ve KVKK uyum projeleri için danışmanlık veriyoruz.
