Batman merkezli, Doğu/Güneydoğu’ya ilaç distribütörlüğü yapan 240 çalışanlı bir firma, ITS (İlaç Takip Sistemi) gereği bazı verileri TR’de tutmak zorunda. Tam buluta geçemedi, tam on-prem kalamadı: hibrit mimari kuruldu. 5 ayda projenin sahadaki teknik notları aşağıda.
Neden Hibrit?
| Sebep |
Açıklama |
| Düzenleme/yasal zorunluluk |
İlaç ITS verisi TR’de + offline yedek |
| Latency |
Edge cihazlar (depo robot, soğuk zincir sensör) yakın olmalı |
| Maliyet |
Stabil yük on-prem ucuz, burst yük cloud |
| Geçiş aşaması |
Tam buluta tek seferde geçilmez |
| Eski sistem (legacy) |
Buluta uyarlanamaz/pahalı |
| Risk dağıtımı |
Vendor lock-in azaltma |
Mimari
[On-Prem Datacenter (Batman)]
- ITS Server (T.C. Sağlık Bakanlığı entegre)
- SAP B1 (HANA) — kritik iş verisi
- File Server (sözleşmeler, KVKK)
- AD DC (primary)
- Soğuk zincir IoT toplama
- Edge: 4 depo barkod tarayıcı + robot
↓ ExpressRoute (Northeurope, 100 Mbps)
[Azure (Northeurope)]
- Web/API katmanı (App Service)
- Müşteri portalı (eczane sipariş)
- Analytics (Synapse + Power BI)
- Backup/DR vault
- M365 (mail, Teams, OneDrive)
- Sentinel SIEM (tüm log toplama)
[DR Site (Diyarbakır, 2nd datacenter)]
- SAP B1 standby (Azure Site Recovery)
- File replica
- AD DC (secondary)
ExpressRoute Konfigürasyon
| Konu |
Detay |
| SKU |
Standard, 100 Mbps |
| Provider |
Türk Telekom |
| Peering |
Private (Azure VNet) + Microsoft (M365) |
| Redundancy |
2× circuit (active-active) |
| Aylık maliyet |
~$1.800 (bandwidth + circuit) |
| Latency |
~~24 ms (Batman → Northeurope) |
Identity Hibrit (Entra Connect)
On-Prem AD ←→ Entra ID (sync)
Sync nesneler:
- Users (240)
- Groups
- Devices
- Passwords (PHS - Password Hash Sync)
Authentication seçim:
- PHS (Password Hash Sync) — kullanılan
- PTA (Pass-Through Auth) — alternatif
- Federation (ADFS) — kullanılmadı
Seamless SSO: Aktif (kampüs içinde otomatik login)
Smart Lockout: Aktif (brute force koruma)
Azure Arc (On-Prem Yönetim)
On-prem sunucuları Azure’a “Arc-enabled” yapıp Azure Portal’dan yönet:
| Yetenek |
Açıklama |
| Inventory |
On-prem VM’leri Azure’da görüntüle |
| Defender for Servers |
On-prem’e EDR uygula |
| Update Management |
Patch koordinasyon |
| Azure Policy |
On-prem’e compliance check |
| Log Analytics |
On-prem log → Azure Monitor |
| Automation runbook |
On-prem’de scripted task |
Veri Akışı + Senkronizasyon
SAP B1 (on-prem) → Azure SQL DB (read-only replica)
Yöntem: SQL Always On read-only replica + Azure Data Sync
Refresh: 15 dk
Use case: Web portal (eczane "stok var mı" sorgular)
ITS log → Azure Sentinel
Yöntem: AMA agent + custom log
Volume: ~~12 GB/gün
Retention: 7 yıl (compliance)
Soğuk zincir IoT → Azure IoT Hub → Stream Analytics → Cosmos DB
Volume: ~~1.4M event/gün
Latency: 8°C → Teams + SMS
Backup: on-prem critical → Azure Backup
RPO: 4 saat
Retention: 5 yıl
Immutable lock
Edge Computing
4 depoda Azure Stack HCI yerine basit “Edge” pattern:
- Local Windows Server + barkod scanner integration
- SAP B1 mobile cache (offline 8 saat çalışabilir)
- Internet kesildiğinde local-first, sync resume
DR Stratejisi (Azure Site Recovery)
| Workload |
RPO |
RTO |
| SAP B1 + DB |
30 dk |
4 saat |
| File Server |
4 saat |
2 saat |
| AD DC |
15 dk (built-in replication) |
30 dk |
| ITS Server |
1 saat |
2 saat |
| Web/API (Azure native) |
0 (multi-region) |
0 |
Maliyet (Aylık)
| Kalem |
USD |
| On-prem datacenter (allocate) |
~~$2.800 |
| Azure compute (App Service, SQL, Synapse) |
~~$3.200 |
| ExpressRoute (2 circuit) |
~~$1.800 |
| Azure Backup + Site Recovery |
~~$680 |
| M365 (240 user × E3 ortalama) |
~~$8.400 |
| Sentinel |
~~$1.200 |
| Defender for Servers (Arc) |
~~$420 |
| IoT Hub + Stream |
~~$240 |
| Toplam |
~~$18.740 |
Sahada Düşülen Üç Tuzak
- “Tam buluta geçeceğiz” diye 3 yıl beklemek: Hibrit pragmatik, hemen başlanabilir. Buluta gidebilen workload göç eder, kalanlar on-prem.
- ExpressRoute yerine VPN ile çalışmak: Production hybrid VPN’le yavaş + flaky. ExpressRoute (veya yedekli ExpressRoute) production için zorunlu.
- Identity hibrit’i atlamak: User on-prem AD + cloud ayrı şifre = kâbus. Entra Connect day 1.
CloudSpark olarak hibrit bulut mimarisi (on-prem + Azure), ExpressRoute setup, Azure Arc, identity hybrid (Entra Connect), DR (Azure Site Recovery) ve edge computing tasarımı için danışmanlık veriyoruz.
