Buluta Geçiş (Cloud Migration) Rehberi: 6R Stratejisi ile Başarılı ve Risksiz Dönüşüm

Bulut migrasyonu, yalnızca sunucuları bir ortamdan başka bir ortama “taşımak” değildir. Doğru kurgulandığında; güvenliği güçlendiren, operasyonu sadeleştiren, pazara çıkış hızını artıran ve şirketin teknoloji DNA’sını modernize eden bir dönüşüm programıdır. Yanlış kurgulandığında ise aynı uygulamaları “daha pahalı bir veri merkezine” taşımış olursunuz: maliyetler artar, performans sürprizleri yaşanır, ekipler operasyon yükü altında ezilir ve göç projesi “bitmeyen bir iş” haline gelir.

Ixpanse blog ekosisteminde hibrit bulut yönetimi, bulut mimarileri ve güvenlik başlıklarında temeli konuştuk: Hibrit Bulut Nedir? Yönetim Stratejileri Nelerdir?, Bulut Mimarileri ve Uygulama Modernizasyonu, Bulut Güvenliğinin Temelleri.

Bu rehberde ise teoriyi pratiğe indiriyoruz: Mevcut uygulama portföyünüzü buluta taşırken global ölçekte en çok kullanılan yaklaşım olan 6R stratejisini nasıl kullanacağınızı; risk, maliyet ve süreklilik boyutlarıyla birlikte adım adım ele alıyoruz.

Önce “Başarı”yı Tanımlayın: Buluta Neden Geçiyorsunuz?

Başarılı göç, “kaç sunucu taşıdık?” sorusuyla ölçülmez. Göç programının başında, iş hedeflerini ve ölçülebilir çıktıları netleştirmek gerekir. Örneğin:

• Hız: Yeni özellik yayınlama sıklığı (release frequency) artacak mı?
• Dayanıklılık: Kritik servislerde kesinti toleransı (RPO/RTO) net mi?
• Maliyet: Toplam sahip olma maliyeti (TCO) düşecek mi, bütçe öngörülebilir mi?
• Güvenlik/Uyum: KVKK/GDPR, denetim izi, veri yerleşimi ve erişim kontrolleri güçlenecek mi?

İş sürekliliği hedefleri bu noktada “teknik detay” değil, tasarım girdisidir. Bu nedenle göç planınıza başlamadan önce şu çerçeveyi oturtmak kritik: RPO ve RTO Nedir? İş Sürekliliğinde Neden Hayati Önem Taşır?

6R Migrasyon Stratejisi Nedir?

6R, her uygulama için “tek bir göç yolu” olmadığını kabul eden bir portföy yaklaşımıdır. Aynı kurum içinde bazı uygulamalar hızla taşınabilirken, bazıları yeniden tasarım ister; bazıları da hiç taşınmamalıdır. 6R modeli, uygulamalarınızı aşağıdaki altı yoldan biriyle konumlandırır:

6R Migrasyon Stratejisi (Özet)

1) Rehost (Lift & Shift)

• Kısa tanım: Uygulamayı kod değişikliği yapmadan, olduğu gibi bulut IaaS ortamına taşıma.
• Ne zaman mantıklı?: Hız baskısı yüksekse, veri merkezi kapanıyorsa, “önce taşı sonra iyileştir” stratejisi hedefleniyorsa.
• Tipik risk: Bulut optimizasyonu yapılmazsa uzun vadede TCO artışı ve “fatura şoku”.

2) Replatform (Lift, Tweak & Shift)

• Kısa tanım: Uygulama koduna minimum dokunuşla, altyapı bileşenlerini yönetilen servislere taşıyarak modernize etme.
• Ne zaman mantıklı?: Operasyon yükünü azaltmak, yönetilen veritabanı/uygulama servislerinden faydalanmak isteniyorsa.
• Tipik risk: Bağımlılık/uyumluluk sürprizleri, yanlış servis seçimiyle performans veya maliyet problemi.

3) Refactor / Re-architect

• Kısa tanım: Uygulamayı cloud-native olacak şekilde yeniden tasarlama (mikroservis, konteyner, serverless vb.).
• Ne zaman mantıklı?: Ölçeklenebilirlik, çeviklik, uzun vadeli maliyet ve pazara çıkış hızı hedefi yüksekse.
• Tipik risk: Süre/karmaşıklık artışı; DevOps, platform ve mimari yetkinlik eksikliği.

4) Repurchase (Drop & Shop)

• Kısa tanım: Mevcut çözüm yerine SaaS ürüne geçerek ihtiyacı satın alma.
• Ne zaman mantıklı?: Bakım yükünden kurtulmak, standardizasyon ve hızlı değer üretmek hedefleniyorsa.
• Tipik risk: Vendor lock-in, veri migrasyonu/uyarlama zorluğu, lisans maliyetlerinin büyümesi.

5) Retire

• Kısa tanım: Artık kullanılmayan sistemleri kapatma / emekliye ayırma.
• Ne zaman mantıklı?: “Zombi” sunucular, eski test ortamları, kullanılmayan uygulamalar keşfedildiyse.
• Tipik risk: Gizli entegrasyonlar fark edilmezse beklenmedik iş kesintisi.

6) Retain (Revisit)

• Kısa tanım: Şimdilik yerinde tutma; bulut ile entegre ederek hibrit modelde ilerleme.
• Ne zaman mantıklı?: Regülasyon, veri egemenliği, donanım bağımlılığı veya düşük ROI varsa.
• Tipik risk: Teknik borcun büyümesi ve hibrit yönetim karmaşıklığının artması.

6R Seçimini Kolaylaştıran 7 Kritik Soru

1. Bu uygulama iş için ne kadar kritik? (Gelir, üretim, müşteri deneyimi, regülasyon etkisi)
2. Kesinti toleransı nedir? (RPO/RTO, “downtime” maliyeti)
3. Bağımlılıkları neler? (Veritabanı, üçüncü parti API, on-prem entegre sistemler)
4. Performans/g gecikme hassasiyeti var mı? (Edge ihtiyacı, veri yerleşimi)
5. Uyum ve veri yerleşimi kısıtları var mı? (KVKK/GDPR, sektörel regülasyonlar)
6. Bu uygulama ölçeklenmek zorunda mı? (Sezonsallık, kampanya yükleri, peak dönemler)
7. Modernizasyon ROI’si nedir? (Refactor getirisi, teknik borç, operasyon maliyeti)

Özellikle veri yerleşimi, denetim izi, şifreleme ve erişim kontrolleri gibi güvenlik/uyum konularında temel yaklaşım için: Bulut Güvenliğinin Temelleri ve Zero Trust (Sıfır Güven) Mimarisi

Başarılı Göçün 3 Fazı: Assessment → Landing Zone → Migrate & Modernize

Faz 1: Assessment & Discovery (Keşif ve Değerlendirme)

Göçün en pahalı hatası, “neye sahip olduğunuzu bilmeden” başlamaktır. Bu fazın çıktısı; uygulama envanteri, bağımlılık haritası, kritiklik sınıflandırması ve her uygulama için 6R kararıdır.

• Uygulama envanteri: Uygulamalar, servisler, veri tabanları, job’lar, entegrasyonlar
• Bağımlılık haritalama: “Kim kiminle konuşuyor?” (network flow + uygulama bağımlılıkları)
• Veri sınıflandırma: Hassas veri, saklama politikası, KVKK/GDPR gereklilikleri
• Mevcut operasyon modeli: Deploy sıklığı, incident akışı, izleme/alert olgunluğu

Keşif fazında görünürlük için loglama ve izleme temeli kritik rol oynar: LOG Nedir? Loglama Nasıl Yapılır?

Faz 2: Landing Zone (Güvenli İniş Bölgesi) ve Yönetişim

Buluta “bodoslama” girilmez. Önce güvenli, standart ve ölçeklenebilir bir iniş bölgesi kurulmalıdır. Landing Zone, yalnızca ağ topolojisi değildir; kimlik, erişim, loglama, güvenlik guardrail’leri ve maliyet yönetişimini birlikte kapsar.

• Kimlik ve erişim: IAM, rol bazlı yetki, MFA, ayrıcalıklı erişim yaklaşımı
• Ağ tasarımı: Segmentasyon, bağlantı (VPN/Direct Connect/ExpressRoute), DNS, güvenlik zonları
• Güvenlik: Şifreleme, anahtar yönetimi, denetim izi, merkezi log toplama
• Operasyon: İzleme, alarm yönetimi, incident/runbook, değişiklik yönetimi
• Maliyet: Tagging standardı, bütçe/limitler, showback/chargeback yaklaşımı

Hibrit kurguların doğası gereği, bu faz çoğu kurumda “tek seferlik kurulum” değil; standartların oluşturulduğu ve sürekli iyileştirildiği bir yönetişim katmanıdır: Hibrit Bulut Nedir? Yönetim Stratejileri Nelerdir?

Faz 3: Migrate & Modernize (Taşıma ve Modernizasyon)

Bu faz, uygulamaların “dalgalar” halinde taşındığı kısımdır. Dalga planlamasında amaç; riski yönetmek ve öğrenmeyi hızlandırmaktır.

• Pilot dalga: Düşük risk, orta etki (ekip kas hafızası)
• Core dalga: Ana iş yükleri (yönetişim ve otomasyon olgunlaştıktan sonra)
• Complex dalga: Legacy/monolitik, yüksek bağımlılık, regülasyon kısıtlı sistemler

Taşıma sırasında kesintiyi minimize etmek için yaygın “cutover” desenleri:

• Blue/Green: Yeni ortamı paralel hazırla, trafiği kontrollü çevir
• Canary: Trafiğin küçük yüzdesiyle doğrula, kademeli büyüt
• Parallel run: Eski-yeni bir süre birlikte çalıştır, veri tutarlılığını doğrula

FinOps: Bulutta Maliyet “Otomatik” Yönetilmez

Bulut, doğru yönetildiğinde maliyet-etkin olabilir. Ancak yönetim disiplini yoksa “esneklik” faturaya hızlı yansır. Bu nedenle FinOps; göçün sonunda değil, göçün ilk gününde devreye alınmalıdır.

FinOps: “Görünmez” Maliyet Kalemleri ve Hızlı Önlemler

Egress (Veri çıkış) ücretleri

• Neden olur?: Yanlış veri yerleşimi, gereksiz bölge/servis arası trafik, mimaride sürekli veri çekme senaryoları.
• Pratik önlem: Veri yerleşimini tasarım girdisi yapın; cache/CDN, doğru bölge seçimi ve mimari optimizasyon uygulayın.

Over-provisioning (Gereğinden fazla kaynak)

• Neden olur?: On-prem alışkanlığıyla “ne olur ne olmaz” yaklaşımıyla fazla CPU/RAM tahsisi.
• Pratik önlem: Right-sizing + autoscaling + periyodik optimizasyon ve raporlama döngüsü kurun.

Atıl kaynaklar (Hayalet maliyetler)

• Neden olur?: Silinen sistemlerin disk/snapshot/IP gibi kalıntılarının temizlenmemesi.
• Pratik önlem: Tag zorunluluğu + otomatik temizlik politikaları + “unused resources” kontrol rutinleri.

Log/metric saklama maliyetleri

• Neden olur?: Kontrolsüz log hacmi, yanlış retention politikası, gereksiz detay seviyesinde log üretimi.
• Pratik önlem: Log standardı + retention katmanları + arşivleme; gereksiz log’ları kaynakta azaltma.

Güvenlik: Göç Projesinde “Sonradan Eklenen” Katman Olmaz

Buluta geçişte en sık yapılan hata; güvenliği “taşıma bittikten sonra” ele almaktır. Oysa erişim kontrolü, loglama, şifreleme, anahtar yönetimi ve denetim izi; Landing Zone’un bir parçası olmalıdır.

• Paylaşılan sorumluluk: Bulut sağlayıcı altyapıyı korur; kimlik, veri ve uygulama sorumluluğu sizdedir.
• Zero Trust yaklaşımı: Varsayılan güveni azaltın, erişimi kimlik + bağlam + risk ile yönetin.
• Gözlemlenebilirlik: Log/metric/trace olmadan kök neden analizi ve denetim izi zayıflar.

Operasyon Modeli: “Taşıdık, Bitti” Değil — “Çalıştır, Ölç, İyileştir”

Buluta geçen bir uygulamanın başarısı, ilk günden itibaren operasyon modeline bağlıdır: incident yönetimi, değişiklik yönetimi, runbook’lar, SLO takibi, kapasite planlama ve otomasyon. Bu katmanda AIOps yaklaşımı, gürültüyü azaltıp kök nedeni hızlandırarak göç sonrası istikrarı güçlendirir: BT Operasyonlarında Yapay Zeka Devrimi: AIOps

Sık Yapılan Hatalar (ve Hızlı Önlemler)

• Her şeyi Rehost yapmak: Hızlı taşınır ama optimizasyon yapılmazsa uzun vadeli maliyet artar.
• Envanter/bağımlılık olmadan dalga planlamak: Sıra yanlış olursa gecikme, kesinti ve performans sürprizi yaşanır.
• FinOps’u sona bırakmak: Tagging ve bütçe guardrail’leri yoksa maliyet kontrolü zorlaşır.
• Güvenliği “sonradan” eklemek: IAM, loglama ve şifreleme tasarımın parçası olmalıdır.
• Operasyon modelini değiştirmemek: Bulutta aynı on-prem refleksleri, operasyon yükünü düşürmez.

Sonuç: Doğru 6R Seçimi, Göçün Başarı Oranını Belirler

Bulut migrasyonu, tek bir “taşıma projesi” değil; portföy yönetimi, güvenlik, maliyet disiplini ve operasyon modelinin birlikte ele alındığı bir dönüşümdür. 6R yaklaşımıyla her iş yükü için doğru yolu seçmek; riskleri minimize eder, maliyeti öngörülebilir kılar ve modernizasyonun değerini hızlandırır.

Ixpanse Teknoloji olarak; keşif (discovery) ve bağımlılık haritalamadan başlayarak, landing zone tasarımı, 6R karar matrisi, dalga planlama, FinOps yönetişimi ve göç sonrası operasyonel olgunluk adımlarını kapsayan uçtan uca bulut geçiş programları kurguluyoruz. Kurumunuza özel bir bulut göç yol haritası oluşturmak için bizimle iletişime geçebilirsiniz.