AWS'de bir sanal bulut ağı (VPC) tasarlamak, bulut mimarisinin temel taşlarından biridir. Yanlış IP aralığı seçimi veya alt ağ planlaması, ileride ölçeklenme sorunlarına ve güvenlik açıklarına yol açabilir. Bu yazıda, AWS VPC tasarımı ve alt ağ planlaması için pratik ipuçları ve kapsamlı bir kontrol listesi sunuyoruz.
1. CIDR Blok Seçimi: Geleceği Düşünün
VPC'niz için bir CIDR bloğu seçerken, mevcut ve gelecekteki ihtiyaçları göz önünde bulundurun. Özel IP aralıkları (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) kullanın. Şirket içi ağınızla çakışmayacak bir aralık seçin. Örneğin, birden fazla VPC veya hibrit bulut senaryoları için /16 gibi daha büyük bir blok, alt ağlara bölme esnekliği sağlar.
- İpucu: Alt ağlar için /24 bloklar yaygındır; ancak /20 veya /19 gibi daha büyük bloklar, gelecekteki büyümeyi karşılamak için idealdir.
- Kontrol listesi: Mevcut ağ topolojinizi haritalayın, gelecek 3 yıllık büyüme tahmini yapın ve VPC CIDR bloğunuzu buna göre belirleyin.
2. Alt Ağ Stratejisi: Public ve Private Ayrımı
Alt ağları, erişim ihtiyacına göre public (internet erişimli) ve private (kapalı) olarak ayırın. Public alt ağlar, web sunucuları ve NAT cihazları gibi dışa dönük kaynaklar için; private alt ağlar ise veritabanları ve uygulama sunucuları için kullanılır. Her Availability Zone (AZ) için en az bir public ve bir private alt ağ oluşturun.
- İpucu: Private alt ağlarda bulunan kaynakların internet çıkışı için NAT Gateway veya NAT Instance kullanın.
- Kontrol listesi: En az 2 AZ kullandığınızdan emin olun; her AZ'de hem public hem private subnet bulunsun.
3. Güvenlik Katmanları: Security Groups ve NACL
Security Groups (SG) stateful, NACL'ler ise stateless çalışır. Her ikisini de katmanlı güvenlik için kullanın. SG'leri kaynak bazında, NACL'leri ise alt ağ bazında uygulayın. Gereksiz portları kapatın ve yalnızca ihtiyaç duyulan trafiğe izin verin.
- İpucu: NACL kurallarını numaralandırarak, belirli trafiğe izin vermek için düşük numaralı (ör. 100) kurallar kullanın; tüm trafiği reddetmek için yüksek numaralı (ör. 32766) kural koyun.
- Kontrol listesi: SSH (22) ve RDP (3389) portlarını yalnızca belirli IP aralıklarına açın; veritabanı portlarını (3306, 5432) asla public alt ağdan erişime açmayın.
4. VPC Bağlantı Seçenekleri
Şirket içi ağınızla bağlantı için VPN veya Direct Connect; diğer VPC'lerle bağlantı için VPC Peering veya Transit Gateway kullanın. Transit Gateway, birden çok VPC ve şirket içi ağı yönetmek için merkezi bir hub sağlar.
- İpucu: VPC Peering yerine Transit Gateway kullanarak yönetim yükünü azaltın, özellikle 3'ten fazla VPC'niz varsa.
- Kontrol listesi: Hibrit bulut senaryonuz varsa, AWS Direct Connect için yedekli bağlantı planlayın.
5. VPC Akış Günlükleri ve İzleme
VPC Flow Logs, ağ trafiğini izlemek ve güvenlik analizi yapmak için kritiktir. Tüm alt ağlar için Flow Logs'u etkinleştirin ve CloudWatch Logs veya S3'e gönderin. Ayrıca, AWS CloudTrail ile API çağrılarını denetleyin.
- İpucu: Flow Logs verilerini Amazon Athena ile sorgulayarak anormal trafik desenlerini tespit edin.
- Kontrol listesi: Flow Logs'u maksimum 10 dakikalık toplama aralığıyla yapılandırın; günlüklerin şifrelenmesini sağlayın.
6. VPC Lambda ve Sunucusuz Senaryolar
Lambda fonksiyonlarını bir VPC içinde çalıştırmak, veritabanı gibi private kaynaklara erişim sağlar. Ancak VPC içindeki Lambda, soğuk başlatma süresini artırabilir. Bu durumda AWS Lambda Soğuk Başlatma Optimizasyonu yazısındaki adımları uygulayarak performansı iyileştirebilirsiniz.
- İpucu: VPC Lambda için ENI (Elastic Network Interface) sayısını azaltmak amacıyla fonksiyonları aynı alt ağda gruplayın.
- Kontrol listesi: Lambda'ya VPC erişimi verirken yalnızca gerekli alt ağları ve güvenlik gruplarını atayın; gereksiz ağ bağlantılarından kaçının.
7. Otomasyon ve Infrastructure as Code
VPC ve alt ağ yapılandırmalarını AWS CloudFormation veya Terraform ile kod olarak yönetin. Bu, tekrarlanabilirlik ve sürüm kontrolü sağlar. Daha detaylı karşılaştırma için AWS CloudFormation vs Terraform makalesine göz atabilirsiniz.
- İpucu: Terraform ile modüler VPC yapıları oluşturarak farklı ortamlar (geliştirme, test, üretim) arasında tutarlılık sağlayın.
- Kontrol listesi: IaC şablonlarınızı Git ile yönetin; her değişiklik öncesi kod incelemesi yapın.
Sık Yapılan Hatalar ve Dikkat Edilmesi Gerekenler
- CIDR bloğunun çok küçük seçilmesi (ör. /24) ve sonradan genişletilememesi.
- Alt ağların AZ'ler arasında dengesiz dağıtılması, tek nokta hatası riski.
- NACL ve Security Groups kurallarının gereğinden fazla açık bırakılması.
- VPC Flow Logs'un devre dışı bırakılması ve güvenlik olaylarının gözden kaçması.
- VPC Peering ile çok sayıda bağlantı yönetmek ve karmaşık routing tabloları oluşturmak.
Bu kontrol listesini uygulayarak, AWS VPC tasarımınızı hem güvenli hem de ölçeklenebilir hale getirebilirsiniz. Unutmayın, iyi bir ağ mimarisi bulut altyapınızın temelidir.
Sık Sorulan Sorular
AWS VPC için hangi CIDR bloğu seçilmeli?
Gelecekteki büyümeyi karşılayacak kadar büyük, şirket içi ağlarla çakışmayan bir blok seçin. Genellikle /16 blok, alt ağlara esnek bölme sağlar.
Public ve private alt ağlar arasındaki fark nedir?
Public alt ağların internet çıkışı vardır (IGW üzerinden), private alt ağlar ise yalnızca NAT üzerinden çıkış yapar veya tamamen kapalıdır.
VPC Flow Logs neden önemlidir?
Flow Logs, ağ trafiğini izleyerek güvenlik ihlallerini tespit etmenize ve performans sorunlarını analiz etmenize yardımcı olur.
Lambda'yı VPC içinde çalıştırmak performansı etkiler mi?
Evet, soğuk başlatma süresi artabilir. Optimizasyon için ENI sayısını azaltmak ve uygun alt ağları seçmek gerekir.






