Azure Storage’ı ilk kez kurcalayanların çoğu aynı yere takılıyor: “Dosyayı koydum, tamam. Peki şimdi maliyet ne olacak, kim erişecek, erişimi nasıl kapatacağım?” İşin aslı şu ki, depolama tarafı sadece veri saklamak değil; biraz düzen, biraz disiplin. Evet, biraz da güvenlik refleksi istiyor. Ben de bu yazıda tam o noktaya odaklanıyorum.
Geçen yıl Kasım ayında, İstanbul’da küçük bir SaaS demosu hazırlarken benzer bir senaryoyla uğraşmıştım. Bir test görseli yanlışlıkla hot tier’da bırakılmıştı. Üç gün sonra ekipte biri “Bu kadar küçük dosya için niye ücret artıyor?” diye sormuştu. O an fark ettim: bulutta mesele yalnızca çalışması değil, akıllıca çalışması. Azure Storage da burada bayağı net bir ders veriyor.
Neden bu dört başlık önemli?
Bir storage hesabı açıp içine dosya atmak kolay. Gerçekten kolay. Zor olan kısım sonradan çıkıyor: hangi veri sıcak kalacak, hangisi ucuzlayacak, hangisine kısa süreli izin verilecek, hangisinin erişimi anında kesilecek? Bu sorulara cevap vermiyorsanız cloud faturası sessizce büyür — fark etmeden, üstelik kimse de sorumluluğu üstlenmek istemez.
Çok konuştum, örnekle göstereyim.
Bu yazının omurgasını oluşturan dört adım aslında tek bir hikâye anlatıyor: blob saklama, access tier ile maliyet kontrolü, Azure Files ile paylaşımlı kullanım ve SAS token ile kontrollü erişim. Kulağa kurumsal geliyor ama küçük projede de aynı mantık işliyor. Hatta bazen küçük projede daha kilit oluyor; çünkü bütçe ince ip üstünde yürüyor. Birinin fark etmesi çok geç olabiliyor.
Editör masasında bu konuya bakarken şunu düşündüm: geliştiriciler çoğu zaman VM kurulumuna odaklanıyor, depolamayı “nasıl olsa hallederiz” diye geçiyor. Sonra bir bakıyorsunuz ki test dosyaları sıcak katmanda kalmış, paylaşım izinleri fazla açık verilmiş ve erişim iptali için sağlam plan yok. Açık konuşayım, işte orada işler karışıyor. Ve karıştığında da genelde saatlerce log karıştırıyorsunuz.
Peki neden?
Container oluşturmak yetmiyor; neyi nereye koyduğunuz önemli
Vallahi, İlk iş blob container oluşturmak (bizzat test ettim). Bu adım kulağa sıradan gelebilir — — kendi adıma konuşayım — hani “ne var bunda ki?” dersiniz — ama pratikte veri düzeninin temel taşı tam burası oluyor. Ben kendi denememde bunu yaparken özellikle test görseli yükledim; çünkü hem hızlı doğrulama sağlıyor hem de dosyanın tarayıcıda açılıp açılmadığını hemen görüyorsunuz.
Bi saniye — Azure portal içinde Storage account → Data storage → Containers yolundan ilerleyip yeni bir container açıyorsunuz. İsimlendirme kısmı da hafife alınmasın; “storage-container” gibi düz isimler lab ortamında iş görüyor ama gerçek projede ekip standardınız varsa ona göre gitmek lazım, yoksa iki ay sonra kimse hangi container’ın ne işe yaradığını hatırlamıyor ve o toplantı çok sevilmiyor (şaşırtıcı ama gerçek)
Burası bana 2023’te Ankara’daki bir fintech pilotunda yaşadığımız durumu hatırlattı. Ekip blob’u doğru koymuştu. Container isimleri o kadar genel tutulmuştu ki log inceleme sırasında yarım saat kaybettik. Küçük detay gibi duruyor. Değil aslında.
Blob upload sonrası ilk sürpriz
Dosyayı yüklediğiniz anda Azure otomatik olarak Hot access tier verebiliyor. Bu kötü değil; aksine sık okunan veride gayet mantıklı. Ama test amaçlı tek seferlik kullanılan bir görsel için Hot katmanda kalmak gereksiz pahalı olabiliyor — hani marketten günlük ekmek alıp kasaya altın külçesiyle gitmek gibi düşünün, abartı mı? Biraz öyle evet. Rakamlar toplanınca şaşırıyorsunuz.
Azure’da doğru tier seçimi sadece performans meselesi değil; doğrudan fatura meselesi de oluyor.
Access tier değişince tablo nasıl değişiyor?
İnanın, Hot’tan Cold’a geçişin özü basit aslında. Veriniz sürekli okunmuyorsa premium muamelesi görmesin. Mesela arşivlenmiş loglar ya da eski kampanya görselleri için sıcak katman kullanmanın pek anlamı yok; bu ayrımı yapınca maliyet daha dengeli gidiyor, gereksiz kaynak tüketimi azalıyor. — en önemlisi — ay sonu faturaya baktığınızda “bu neydi?” diye başlamıyorsunuz. Daha fazla bilgi için Intel Arc’ta Crimson Desert Sürprizi: Ama Hemen Sevinmeyin yazımıza bakabilirsiniz. Daha fazla bilgi için Yunanistan Semalarında Görülen RQ-180 Ne Anlatıyor? yazımıza bakabilirsiniz.
| Tier | Kullanım Senaryosu | Maliyet Mantığı | Dikkat Noktası |
|---|---|---|---|
| Hot | Sık erişilen dosyalar | Daha yüksek depolama maliyeti | Erişim hızlıdır ama pahalı olabilir |
| Cool / Cold | Nadiren okunan veriler | Daha düşük maliyet | Erişim sıklığına göre seçilmeli |
| Archive | Neredeyse hiç dokunulmayan veri | En düşük saklama maliyeti | Erişim geri alma süresi uzayabilir |
Açıkçası burada en çok hoşuma giden şey teorinin pratikle bu kadar güzel oturmasıydı. Kağıt üstünde güzel duran bu modelin sahada da işe yaradığını görmek… fena değildi, hatta bayağı tatmin ediciydi diyebilirim.
Küçük startup tarafında bu karar genelde finansal rahatlama sağlıyor. Enterprise seviyede ise governance konusu devreye giriyor — kim neyi neden hot tuttu, ne zamana kadar kalacak, kim onayladı? İkisinde de ortak nokta şu: depolamayı körlemesine bırakmayacaksınız.
Azure Files neden ayrı bir dünya?
Birkaç kişi blob storage ile file share’i karıştırıyor. Normal aslında. Çünkü ikisi de aynı storage account altında yaşayabiliyor ve dışarıdan bakınca benziyorlar bile diyebilirim. Ama kullanım amacı farklı; biri object storage tarafına giderken diğeri SMB tarzı paylaşıma yaklaşıyor ve bu fark uygulamada ciddi oluyor.
Ben kendi lab ortamımda file share oluşturmayı özellikle seviyorum çünkü ekip içi dosya paylaşımı senaryosunu çok net gösteriyor. Hele bir de de Windows ağırlıklı ortamlarda bu yapı baya işe yarıyor; bazen proje dokümanları ya da uygulama çıktıları için en pratik yol tam da bu olabiliyor, başka bir şeye gerek kalmıyor. Daha fazla bilgi için OpenAI, Anthropic ve Google: Çin’e Karşı Neden Aynı Masada? yazımıza bakabilirsiniz.
Peki neden?
Aynı hesapta iki farklı ihtiyaç nasıl karşılanıyor?
- Blob storage: Görsel, video, yedek parça veri ya da uygulama nesneleri için uygun.
- File shares: Ortak klasör mantığıyla çalışan ekip senaryolarında rahatlık sağlar.
- Karma kullanım: Tek storage account içinde iki farklı ihtiyacı yönetebilirsiniz.
Şöyle ki, Bana göre buradaki asıl değer esneklikten geliyor. Mesela bir tarafta web uygulaması asset’leri blob’da dururken diğer tarafta muhasebe ekibi aynı hesap içindeki file share üzerinden rapor atabiliyor. Pratik mi? Çok. Ama şunu da ekleyeyim: kullanıcı deneyimi açısından sade görünse de arka planda rol tabanlı izinlerin düzgün kurulması şart, yoksa o rahatlık çabucak kabusa dönüyor.
SAS token ve anahtar rotasyonu: güvenlik işi burada ciddileşiyor
İlginç olan şu ki, SAS token meselesini ilk kez test ettiğimde, Mersin’deki bir demo sunumundan önce acelem vardı ve açıkçasını söyleyeyim biraz tedirgindim. Biraz fazla tedirginlik mi? Belki. Ama iyi ki öyle olmuş; sistemlerin ne kadar hızlı kapandığını birebir gördüm.
Shared Access Signature pratikte şu anlama geliyor: kapıyı açmadan sadece belli bir anahtarı uzatmak gibi düşünülmeli. Yani kullanıcıya hesabın tamamını vermiyorsunuz; süre veriyorsunuz, yetki veriyorsunuz ve isterseniz daha sonra iptal ediyorsunuz. Bu yaklaşım özellikle dış paydaşlarla çalışırken — nasıl desem — gerçekten hayat kurtarıyor.
# Örnek düşünce akışı
1) Blob'u yükle
2) Read-only SAS oluştur
3) HTTPS zorunlu tut
4) Süre bitince erişimi kes
5) Gerekirse account key'i rotate et
6) Eski bağlantıları doğrula
Burada kritik ayrıntı şu: SAS token’ın hangi key ile üretildiği önemli. Eğer Key 1 üzerinden imzaladıysanız, key rotation yaptığınız anda eski linkler boşa düşer. Bu yüzden ben lab sırasında bilerek Key 1 kullandım; sonra gidip rotate işlemini yaptığımda tarayıcı sekmesi pat diye “authentication failed” verdi. Garip biçimde sevindim. Çünkü beklediğim davranış tam oydu.
Küçük proje ile kurumsal proje arasında fark nerede?
Şunu fark ettim: Küçük projede amaç genelde hızlı çözüm oluyor. “Dosya açılsın yeter” kafası baskın çıkabiliyor (inanın bana). Enterprise tarafta durum değişir; orada audit izi, süre sınırı, HTTPS zorunluluğu, key yönetimi, hatta bazı ekiplerde onay akışı bile gerekiyor (buna dikkat edin). Yani teknik adımlar aynı kalsa da operasyonel disiplin bambaşka bir yere gidiyor.
Bir arkadaşım geçen sene Bursa’daki lojistik projesinde SAS linklerini e-posta ekine gömmüştü; üç hafta sonra linklerden biri hâlâ çalışıyordu. İnanamadık. Sonra token süresi yanlış ayarlanmış çıktı. İşte böyle ufak bir hata, büyük açık yaratabiliyor. Xiaomi’nin Akıllı Perde Hamlesi: Evde Sessiz Konfor yazımızda da bu konuya değinmiştik. Braves Booth’ta Sessiz Devrim: Ekran Sıkışınca Her Şey Değişiyor yazımızda da bu konuya değinmiştik.
Bütün parçalar birleşince ne öğrenmiş olduk?
Bu lab’in bana hatırlattığı şey oldukça net: bulut yönetimi tek başına teknik beceri değil, aynı zamanda alışkanlık meselesi. Blob’u doğru yerde tutmak, tier seçimini bilinçli yapmak, file share’i gerçekten ihtiyaç varsa açmak ve SAS ile kontrollü paylaşmak — hepsi birlikte anlam kazanıyor, tek tek bakınca sıradan görünebilir ama bir arada düşününce tablonun bütünlüğü ortaya çıkıyor.
Benzer işleri yıllardır izlerken şunu gördüm: en iyi sistemler en karmaşık olanlar değil, en az sürpriz çıkaranlar. Düzgün isimlendirme, düzgün yetkilendirme, düzgün yaşam döngüsü politikası — yani biraz sıkıcı görünen şeyler — sonunda gecenin üçünde alarm çaldırmayan şeyler oluyor. Ve o saatte uyuyor olmak, inanın, çok değerli.
Pratikte neleri not etmek lazım?
- Sık kullanılan veriyi Hot’ta tutun.
- Nadir okunanları daha ucuz katmana indirin.
- SAS üretirken minimum yetki prensibine sadık kalın. (bence en önemlisi)
- Anahtar rotasyonunu planlı yapın.
- Aynı storage hesabında blob ve file share kullanıyorsanız rol karmaşasına dikkat edin.
Ha bu arada, bazen insanlar “ben bunları portal’dan hallederim” diyor. Aynısı olur tabi. Ama tekrar eden ortamlar için IaC tarafına geçmek çok daha temiz oluyor; konfigürasyon el yordamıyla yapılınca bugün düzgün, yarın başka, öbür gün bambaşka sonuç çıkabiliyor. Biraz otomasyon kokusu almak burada hiç kötü fikir değil.
Azure DevOps ile CI/CD Pipeline Kurulumu
Sıkça Sorulan Sorular
SAS token nedir?
SAS token,cözümleri paylaşırken hesabın tamamını açmadan belirli kaynaklara sınırlı süreli erişim veren imzalı bağlantıdır.Read-only ya da write gibi dar yetkiler tanımlayabilirsiniz.Teknik olarak güçlüdür ama süre ayarı yanlışsa risk yaratır.
Hot tier mı Cold tier mı seçmeliyim?
Eğer veri sık okunuyorsa Hot mantıklıdır.Nadiren erişilen veya arşiv niteliğindeki verilerde ise Cold ya da Archive tercih edilir.Seçimi kullanım sıklığı belirlemelidir,göz kararı değil.
Aynı storage account içinde blob ve file share kullanılır mı?
Evet,kullanılır.Blob object storage içindir,file share ise ortak klasör benzeri senaryolar içindir.Aynı hesapta birlikte kullanılmaları gayet yaygın bir pratiktir.
Anahtar rotasyonu yaptıktan sonra SAS link neden bozulur?
SAS link ilgili account key ile imzalandığı için,key rotate edildiğinde eski imza geçersiz olur.Bu nedenle bağlantılar çalışmaz.Bu davranış güvenlik açısından zaten istenen şeydir.
Kaynakkar Ve İleri Okuma
Microsoft Learn — Azure Blob Storage belgeleri
Microsoft Learn — Shared Access Signature (SAS) genel bakış
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
