VPC ile Bulut Altyapınızı İzole Etme: Sanal Özel Ağ Rehberi

VPC (Virtual Private Cloud), bulut ortamında size ait izole bir ağ segmenti oluşturmanızı sağlar. Paylaşımlı altyapıda çalışsanız bile trafiğiniz diğer müşterilerden tamamen ayrılır. Doğru yapılandırılmış bir VPC; yetkisiz erişimi engeller, ağ trafiğini kontrol altına alır ve uyumluluk gereksinimlerini (PCI DSS, HIPAA) karşılamanıza yardımcı olur. Bu rehberde VPC mimarisini subnet tasarımından güvenlik gruplarına kadar ele alıyoruz.

VPC Nedir ve Neden Gereklidir?

Geleneksel barındırma ortamlarında sunucunuz doğrudan internete açıktır ve tüm portlar varsayılan olarak erişilebilir durumdadır. VPC bu modeli tersine çevirir: varsayılan olarak hiçbir şey erişilebilir değildir, yalnızca açıkça izin verdiğiniz trafik geçer. Bu "deny-all" yaklaşımı, saldırı yüzeyini dramatik şekilde küçültür.

Özellik	Geleneksel Hosting	VPC ile İzolasyon
Ağ Erişimi	Tüm portlar açık (varsayılan)	Deny-all, yalnızca izin verilenler
Trafik İzolasyonu	Paylaşımlı ağ segmenti	Tamamen izole özel ağ
Subnet Kontrolü	Yok	Public/Private subnet ayrımı
Uyumluluk	PCI DSS zor	PCI DSS, HIPAA uyumlu

Subnet Tasarımı: Public ve Private Ayrımı

VPC mimarisinin temeli subnet tasarımıdır. Public subnet'ler internet gateway üzerinden doğrudan erişilebilirken, private subnet'ler yalnızca VPC içinden erişilebilir. Veritabanları, cache sunucuları ve uygulama backend'leri her zaman private subnet'te olmalıdır.

vpc-subnet-plan.txt

# VPC CIDR: 10.0.0.0/16 (65.536 IP)

Public Subnet A  : 10.0.1.0/24  # Load Balancer, Bastion Host
Public Subnet B  : 10.0.2.0/24  # Load Balancer (HA)

Private Subnet A : 10.0.10.0/24 # Uygulama sunucuları
Private Subnet B : 10.0.11.0/24 # Uygulama sunucuları (HA)

DB Subnet A      : 10.0.20.0/24 # Veritabani (Primary)
DB Subnet B      : 10.0.21.0/24 # Veritabani (Replica)

💡 İpucu: CIDR bloğunu planlarken gelecekteki büyümeyi hesaba katın. /16 bloğu 65.536 IP adresi sunar ve çoğu proje için yeterlidir. Daha küçük projeler için /20 (4.096 IP) kullanabilirsiniz. CIDR bloğunu sonradan genişletmek mümkün olmayabilir.

Güvenlik Grupları ve Network ACL

VPC'de iki katmanlı güvenlik mekanizması vardır: güvenlik grupları (Security Groups) instance seviyesinde, Network ACL'ler ise subnet seviyesinde çalışır. Güvenlik grupları stateful'dır - giden trafiğe izin verirseniz dönen trafik otomatik kabul edilir. Network ACL'ler ise stateless'tır ve her iki yön için ayrı kural gerektirir.

security-groups.yaml

# Web Sunucu Guvenlik Grubu
web-sg:
  inbound:
    - port: 443   source: 0.0.0.0/0    # HTTPS - herkese acik
    - port: 80    source: 0.0.0.0/0    # HTTP - redirect icin
    - port: 22    source: 10.0.1.0/24  # SSH - yalnizca bastion

# Uygulama Sunucu Guvenlik Grubu
app-sg:
  inbound:
    - port: 3000  source: web-sg       # Yalnizca web sunucudan
    - port: 22    source: 10.0.1.0/24  # SSH - yalnizca bastion

# Veritabani Guvenlik Grubu
db-sg:
  inbound:
    - port: 5432  source: app-sg       # PostgreSQL - yalnizca app
    - port: 6379  source: app-sg       # Redis - yalnizca app

⚠️ Dikkat: Veritabanı güvenlik grubunda asla 0.0.0.0/0 (tüm internet) kaynağı kullanmayın. Veritabanı portlarını yalnızca uygulama sunucularının güvenlik grubuna açın. Bu tek kural, veri ihlali riskini büyük ölçüde azaltır.

NAT Gateway ile Private Subnet İnternet Erişimi

Private subnet'teki sunucuların yazılım güncellemesi veya API çağrısı yapabilmesi için NAT Gateway gerekir. NAT Gateway, private subnet'ten giden trafiği kendi public IP'si üzerinden yönlendirir; ancak dışarıdan gelen bağlantıları kabul etmez. Bu sayede sunucularınız internete erişebilir ama internetten doğrudan erişilemez.

route-tables.txt

# Public Subnet Route Table
10.0.0.0/16  -> local
0.0.0.0/0    -> internet-gateway

# Private Subnet Route Table
10.0.0.0/16  -> local
0.0.0.0/0    -> nat-gateway

# DB Subnet Route Table (internet erisimi yok)
10.0.0.0/16  -> local
# Dis erisim yok - yalnizca VPC ici trafik

VPC yapılandırmanızı tamamladıktan sonra iptables güvenlik duvarı rehberimiz ile sunucu seviyesinde ek koruma ekleyin. Ağ güvenliğinizi güçlendirmek için Zero Trust mimarisi rehberimizi de inceleyin. Hosted Cloud bulut sunucuları ile izole ağ altyapınızı oluşturun.

Sıkça Sorulan Sorular

VPC ile VLAN arasındaki fark nedir?

VLAN fiziksel ağ donanımında Layer 2 izolasyon sağlar. VPC ise bulut ortamında yazılım tanımlı ağ (SDN) ile Layer 3 izolasyon sunar. VPC daha esnek, ölçeklenebilir ve API ile yönetilebilir.

Tek sunucum var, VPC'ye ihtiyacım var mı?

Tek sunucu için bile VPC faydalıdır. Veritabanı portunu internete kapatıp yalnızca localhost'tan erişim sağlamak yerine, VPC ile subnet bazlı izolasyon yapabilirsiniz. Gelecekte ölçeklendiğinizde altyapı hazır olur.

VPC peering nedir?

VPC peering, iki farklı VPC'yi özel ağ üzerinden bağlar. Trafik internet üzerinden geçmez, düşük latency ve yüksek güvenlik sağlar. Farklı ortamları (staging/production) veya farklı bölgeleri bağlamak için kullanılır.

Bastion host nedir ve neden kullanılır?

Bastion host (jump box), public subnet'te bulunan ve private subnet'teki sunuculara SSH erişimi sağlayan güçlendirilmiş bir sunucudur. Private sunuculara doğrudan internet erişimi vermek yerine, tüm SSH trafiği bastion üzerinden geçer.

NAT Gateway maliyetli mi?

NAT Gateway saatlik ücret ve veri transfer ücreti içerir. Maliyet optimizasyonu için VPC endpoint'leri kullanarak bulut hizmetlerine NAT Gateway'siz erişebilirsiniz. Küçük projeler için NAT instance (t3.micro) daha ekonomik olabilir.

Sonuç

VPC, bulut altyapınızın güvenlik temelini oluşturur. Public ve private subnet ayrımı, katmanlı güvenlik grupları ve NAT Gateway yapılandırması ile saldırı yüzeyinizi minimize edin. Veritabanlarını her zaman private subnet'te tutun ve güvenlik gruplarında en az yetki prensibini uygulayın.

İzole Bulut Altyapısı

Hosted Cloud bulut sunucuları ile VPC destekli, tamamen izole ağ altyapınızı oluşturun.

Bulut Sunucu Planlarını İncele →