İçeriğe Atla
Kariyer · 10 dk okuma · görüntülenme
100%

Vendor Lock‑in için Exit Plan: Teknik + Operasyonel Sözleşme

Vendor lock‑in’i “korku” değil yönetilebilir bir risk olarak ele alıp, çıkış planını teknik tasarım ve operasyonel süreçlere bağlayan pratik bir çerçeve.

#leadership #architecture #operations #risk #vendor #governance
Vendor bağımlılığını exit plan ve operasyonel kontrol noktalarıyla yöneten kapak görseli

Vendor lock‑in; çoğu ekipte ya hiç konuşulmaz ya da “her şey açık kaynak olsun” refleksiyle ele alınır. Sahada ikisi de iyi sonuç vermez.

Gerçek daha dengeli: Bazı vendor’lar hız kazandırır, bazıları güvenlik/uyumluluk sağlar. Sorun vendor kullanmak değil; çıkış maliyetini bilmemek ve operasyonel kontrol noktalarını kurmamak.

Vendor bağımlılığını exit plan ve operasyonel kontrol noktalarıyla yöneten kapak görseli
Exit plan bir doküman değil; tasarım, sözleşme ve operasyon ritmidir.

“Exit plan” ne demek? (benim tanımım)

Exit plan şunların birlikte cevaplanmasıdır:

  • Bu sistemi 6 ay içinde taşımam gerekirse, en büyük teknik engel ne?
  • Operasyon tarafında, vendor giderse hangi runbook’lar çöker?
  • Veri ve kimlik tarafında, hangi noktada geri dönüşsüz hale geliyorum?

Kısaca: “Bir gün ayrılabilir miyiz?” değil; “ayrılmamız gerekirse kaç haftada, hangi riskle ayrılırız?”

Lock‑in’i büyüten 5 klasik hata

  1. Veriyi vendor formatında saklamak (export test edilmemiş)
  2. Gözlemlenebilirliği vendor’a bağlamak (log/metric taşınabilir değil)
  3. Kimlik ve yetki modelini tek platforma gömmek (IAM portability yok)
  4. Operasyonu vendor arayüzüne bağımlı yapmak (CLI/API yok, IaC yok)
  5. Sözleşmede çıkış maddelerini zayıf bırakmak (egress, SLA, support)

Teknik çıkış stratejisi: “taşınabilir katmanlar”

Benim pratikte önerdiğim 4 katman:

1) Kimlik sınırı

  • IdP (SSO) mümkünse kurum kontrolünde olsun
  • Yetki modelini “role” bazında standardize et
  • Audit log’ları kurumda sakla

2) Veri sınırı

  • Export formatı: açık ve otomatik (parquet/csv/json gibi)
  • RPO/RTO hedeflerine göre “taşıma penceresi” çıkar
  • Düzenli export test: “dosyayı aldım” değil, “geri yükledim” testi

3) Operasyon sınırı

  • IaC ile kurulum/konfig (terraform/opentofu vb.)
  • Runbook’lar vendor UI’ya değil, API/CLI’ya dayanmalı
  • “Break‑glass” ve incident akışı kurum tarafından yönetilmeli

4) Gözlemlenebilirlik sınırı

  • Telemetry pipeline vendor’a gömülmesin (OTel collector gibi bir kontrol düzlemi)
  • Alarm ve dashboard’lar taşınabilir bir modelde tanımlansın

Operasyonel sözleşme: “teknik ops maddeleri”

Vendor ile sözleşmede (veya ek protokolde) ben şu başlıkları netleştirmeyi severim:

  • Egress maliyeti: veriyi dışarı almak “cezalı” olmamalı
  • Export SLA: export API/iş akışı stabil mi?
  • Support: incident anında hangi kanaldan, hangi sürede destek?
  • Audit log erişimi: loglar kimde, ne kadar tutuluyor?
  • Değişiklik bildirimi: breaking change’ler nasıl duyuruluyor?

Bu maddeler, “teknik tasarım” kadar önemlidir; çünkü riskin yarısı sözleşmededir.

Liderlik tarafı: exit planı nasıl yaşatırsın?

Benim kullandığım operasyon ritmi:

  • Çeyreklik “risk review”: vendor bağımlılık haritası + aksiyonlar
  • 6 ayda bir “export/restore” mini tatbikat
  • Büyük vendor kararlarında “exit plan check” zorunluluğu

Sonuç

Vendor lock‑in; doğru yönetildiğinde bir “kabus” değil, bilinçli bir takas (trade‑off) olur. Exit planı; kimlik/veri/operasyon/gözlemlenebilirlik sınırlarını doğru çizip, sözleşme maddelerini operasyon gerçekliğine bağladığında çalışır. En kritik fark ise tatbikat: test edilmemiş exit plan yok hükmündedir.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Kariyer

Mimari Kararlar için Hafif RFC Süreci

Hızlı hareket ederken mimari tutarlılığı kaybetmemek için: kısa RFC, net sahiplik, zaman kutusu ve karar izleri.

Kariyer

Büyük Olaylardan Sonra Stabilizasyon Sprint'i (7 Gün)

Postmortem yazmak yetmez: 7 günlük odaklı bir sprint ile alert, runbook, risk ve iletişim borcunu kapatmanın operasyonel çerçevesi.

Kariyer

Incident Sırasında Delil Toplama Kiti ve Roller

Panik anında ‘tek sunucuya SSH’ refleksini bırakmak için kanıt seti, zaman standardı, rol dağılımı ve pratik kontrol listesi.