Kendi Hosting Altyapısını Evde Kurmak: DNS, Reverse Proxy, Tünel ve İzleme Sistemiyle Tam Mimari

Kendi Hosting Altyapını, bu rehberin merkezindeki konu olarak ilk adimdan itibaren net sekilde ele alinir. Evde hosting, kendi altyapınızı kontrol ederek tam bağımsızlık sağlar. Sunucunuzun donanımını ve yazılımını istediğiniz gibi yapılandırabilirsiniz. Bu özelleştirilebilirlik, projelerinizin gereksinimlerine uyacak çözümler üretmenizi mümkün kılar. Maliyet kontrolü, lisans ücretleri ve bulut sağlayıcılarının dönen faturalara son verir.

Ek baglam icin kendi hosting altyap n evde kurmak dns reverse proxy t nel v ve web hostingde reverse proxy ile alt alan yonetimi baglantilarina bakabilirsiniz.

İçinde çalıştığınız veri, üçüncü taraf sunucularda depolanmayan yerel ortamda kalır. Gizlilik açısından, kullanıcı bilgilerinin nerede saklandığını tamamen siz belirleyirsiniz. Veri güvenliği, fiziksel erişimle sınırlı olduğu için saldırı yüzeyini azaltır. Ayrıca, ağ güvenliğini IP filtreleme, VPN ve güçlü kimlik doğrulama ile yükseltebilirsiniz.

Öğrenme fırsatları, gerçek dünya senaryolarında sistem yönetimi ve ağ konfigürasyonunu deneyimlemenizi sağlar. Kendi hosting altyapısı, DevOps, scripting ve otomasyon becerilerinizi pekiştirmek için idealdir. Ekipler için merkezi bir yönetim noktası sunar, uzak erişim ve bakım planları oluşturmanızı kolaylaştırır. Ayrıca, ağ altyapısındaki değişiklikleri anında izleyebilir ve gerektiğinde müdahale edebilirsiniz.

Evrensel güvenlik duvarı kuralları ve loglama, olaylara hızlı tepki vermeyi mümkün kılar. Evde sunucu kurmak, sürekli güncelleme ve yedekleme sorumluluğunu da beraberinde getirir. Ancak doğru planlama ile bu sorumluluk, kontrol ve öğrenme hedeflerinizi destekler. Yedekleme stratejisi, RAID yapılandırması ve bulut kopyalama kombinasyonuyla veri kaybını önler.

Düşük gecikme süresi, kullanıcı deneyimini doğrudan etkileyen kritik bir faktördür. Kendi altyapınızda, CDN entegrasyonunu veya CDN’yi tamamen atlayarak doğrudan bağlantı kurabilirsiniz. Tüm bu avantajlar, özellikle hassas veri işleyen veya yüksek erişilebilirlik gerektiren projeler için geçerlidir. Sonuç olarak, evde hosting, esneklik, maliyet, gizlilik ve öğrenme açısından güçlü bir seçenektir.

Kendi Hosting Altyapını: 1. Kapsam Tanımı: DNS, Reverse Proxy, Tünel ve İzleme

DNS: Yönlendirme Temeli

DNS, evdeki sunucuya gelen istekleri IP’ye çevirir. İlk adım olarak ISP’nin sağladığı DNS’i “8.8.8.8” gibi güvenilir bir sunucuya yönlendirerek çözüm hızı artırılır. Ev ağında /etc/resolv.conf dosyasına “nameserver 8.8.8.8” eklenir.

Alan adınızı satın aldıktan sonra, kayıt panelinde A kaydı ekleyin. Bu kayda evinizin dinamik IP yerine DDNS hizmetiyle bağlanan statik alan adını (ör. home.example.com) girin. Böylece ev dışından gelen istekler doğru sunucuya yönlendirilir.

Reverse Proxy: Alt Alan Yönlendirmesi

NGINX ya da Caddy, gelen istekleri portlara göre dağıtarak tek IP üzerinden birden fazla hizmet sunar. Örnek yapılandırma:

# NGINX örneği
server {
    listen 80;
    server_name api.home.example.com;

    location / {
        proxy_pass http://127.0.0.1:5000;
    }
}

Bu sayede api.home.example.com istekleri 5000 portundaki uygulamaya yönlendirilir. Her alt alan için ayrı blok ekleyerek güvenlik seviyesini artırabilirsiniz.

VPN Tünelleri: Güvenli Erişim

OpenVPN veya WireGuard, ev ağınıza uzak erişim sağlar. Sunucu tarafında server.conf dosyasında port 1194 ve proto udp tanımlanır. İstemci tarafında aynı client.conf ile tünel açılır.

VPN üzerinden yapılan istek, ağdaki diğer hizmetlere doğrudan erişim sağlar. Böylece dışarıdan erişimde port açma ihtiyacı ortadan kalkar ve güvenlik katmanı yükselir.

İzleme: Prometheus & Grafana

Prometheus, metrikleri pushgateway veya node_exporter ile toplar. Basit yapılandırma dosyası:

# prometheus.yml
scrape_configs:
  - job_name: 'node'
    static_configs:
      - targets: ['192.168.1.10:9100']

Grafana, Prometheus verilerini görselleştirir. Dashboard ekleyip, servis bazlı metrikleri gözetleyerek anlık aksaklıkları erken fark edebilirsiniz. Alarm kurarak kritik durumlarda e-posta veya webhook ile bildirim alın.

Bu bileşenlerin koordinasyonu, evdeki hosting altyapısının sağlam, izlenebilir ve güvenli olmasını sağlar. Her adımda least privilege ilkesine uyun: DNS, reverse proxy, VPN ve izleme araçları için sadece gerekli portları açın ve erişim izinlerini sıkılaştırın.

2. Reverse Proxy ile Alt Alan Yönlendirme: Pratik Örnekler

Nginx ile Çoklu Alt Alan Yönlendirme

Home server’ınızın tek IP’ine bağlı birden fazla hizmeti sub.domain.com biçiminde sunmak için Nginx’in server bloklarını kullanın. Aşağıdaki örnek, api.example.local ve blog.example.local için ayrı backend’lere yönlendirir. Her bir listen 80 satırı aynı IP’de kalır; sadece server_name ile ayrılır.

server {
    listen 80;
    server_name api.example.local;

    location / {
        proxy_pass http://192.168.1.10:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

server {
    listen 80;
    server_name blog.example.local;

    location / {
        proxy_pass http://192.168.1.20:80;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Caddyfile ile Otomatik Let’s Encrypt Entegrasyonu

Caddy, Let’s Encrypt’i varsayılan olarak yönetir. Tek satırda tüm alt alanları aynı backend’e yönlendirebilir ve HTTPS’i otomatik olarak sağlayabilirsiniz. tls internal satırı, kendi sertifikalarınızı kullanmak için gereklidir; burada ise otomatik sertifika talebi tercih edilir.

api.example.local, blog.example.local {
    reverse_proxy 192.168.1.10:8080
    tls {
        dns cloudflare
    }
}

Burada dns cloudflare kullanmak, dinamik DNS güncellemeleriyle DNS kayıtlarını otomatik günceller. Caddyfile’in son satırında log ayarları ekleyerek hataları izleyebilirsiniz.

Traefik ile Dinamik Konfigürasyon

Traefik, Docker, Kubernetes veya doğrudan dosya tabanlı konfigürasyonları dinamik olarak algılar. traefik.yml ana dosyası ile genel ayarlar, dynamic.yml ise alt alan yönlendirmeleri içerir. Aşağıdaki diyagramda, Traefik’in “Provider” olarak dosya kullanımı ve otomatik HTTPS yönetimi gösterilmiştir.

# traefik.yml
entryPoints:
  web:
    address: ":80"
  websecure:
    address: ":443"

providers:
  file:
    filename: "/etc/traefik/dynamic.yml"

certificatesResolvers:
  http:
    acme:
      email: [email protected]
      storage: acme.json
      httpChallenge:
        entryPoint: web

# dynamic.yml
http:
  routers:
    api:
      rule: "Host(`api.example.local`)"
      service: api
      entryPoints: ["websecure"]
      tls: true
      tls:
        certResolver: http
    blog:
      rule: "Host(`blog.example.local`)"
      service: blog
      entryPoints: ["websecure"]
      tls: true
      tls:
        certResolver: http

  services:
    api:
      loadBalancer:
        servers:
          - url: "http://192.168.1.10:8080"
    blog:
      loadBalancer:
        servers:
          - url: "http://192.168.1.20:80"

Canlı Test ve İzleme Adımları

• DNS kayıtlarını dig api.example.local ile kontrol edin; A kaydı ev sunucusunun IP’sini göstermeli.
• HTTP isteği: curl -I http://api.example.local; 302 yönlendirme ve Location: https://api.example.local/ olması gerekir.
• HTTPS istekleri: curl -I https://api.example.local; HTTP/2 200 ve geçerli Let’s Encrypt sertifikası görülmeli.
• Traefik Dashboard’a http://localhost:8080/dashboard/ üzerinden erişip rota ve servis durumlarını doğrulayın.
• Log dosyalarını (/var/log/nginx/, /var/log/caddy/, /var/log/traefik/) kontrol ederek hataları erken tespit edin.

Bu adımları izleyerek, ev ortamında tek IP üzerinden farklı alt alanlara güvenli, otomatik sertifikalı erişim sağlayabilir, opsiyonel olarak Traefik ile dinamik yapılandırma avantajlarından yararlanabilirsiniz. Böylece, hem maliyet hem de yönetim yükünü düşürürken, risk yönetimini üst seviyede tutarsınız.

3. VPN Tünelleri ve Güvenlik: Örnek Senaryolar

WireGuard Kurulum Adımları

1. Sunucu tarafında sudo apt install wireguard komutu ile paket yüklüyoruz. wg-quick up wg0 ile servis başlatılıyor.

2. /etc/wireguard/wg0.conf dosyasında aşağıdaki gibi yapılandırma oluşturuluyor. PrivateKey ve ListenPort sunucu tarafı, AllowedIPs ise ağ geçidi olarak 10.0.0.0/24 belirlendi.

[Interface]
Address = 10.0.0.1/24
PrivateKey = SUNUCU_PRIVATE_KEY
ListenPort = 51820

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

3. İstemci cihazda benzer bir dosya oluşturup, sudo wg-quick up wg0 komutuyla tünel açılır. Ağ geçidi olarak 10.0.0.1/24 tanımlanır.

4. ufw allow 51820/udp ile firewall üzerinden port açılır. Sunucu ve istemci aynı subnet’e bağlandığında, trafik şifreli ve doğrudan yönlendirilir.

OpenVPN vs WireGuard Karşılaştırması

• Performans: WireGuard, kernel modülü sayesinde 20% daha hızlı. OpenVPN’in kullanıcı modülde çalışması yavaşlatır.

• Kurulum Karmaşıklığı: WireGuard tek bir yapılandırma dosyası; OpenVPN için cert, ca, server.conf, client.ovpn dosyaları gerekir.

• Güvenlik**: WireGuard, modern AEAD şifreleme (ChaCha20-Poly1305) kullanır; OpenVPN RSA ile DH çifti ve TLS v1.3 kullanır.

4. İzleme ve Loglama: Operatörün Gözü

Operatör olarak, sisteminizin her anını görmeniz gerekir. İzleme, loglama ve hızlı geri dönüş mekanizmaları, uptime ve güvenlik için kritik. Burada önerilen stack: Prometheus + Grafana, ELK, Alertmanager ve log arşivleme. Her bileşen için adım adım yapılandırma gösterilir.

Prometheus ile Metric Toplama

1. Hedef Belirleme: NGINX, WireGuard ve sunucu donanımı için prometheus.yml dosyasında job_name tanımlayın. Örneğin:

scrape_configs:
  - job_name: 'nginx'
    static_configs:
      - targets: ['localhost:9113']

2. Exporters Kurulumu: NGINX için nginx-prometheus-exporter, WireGuard için wireguard-exporter yükleyin. Exporter’lar, 9100 gibi standart portta metric sunar.

3. Prometheus’ı Yeniden Başlatma: systemctl restart prometheus. Prometheus UI’de http://:9090/targets ile tüm hedeflerin aktif olduğundan emin olun.

Grafana ile Dashboard Oluşturma

1. Grafana’yi Yükleyin: apt install grafana, ardından systemctl enable --now grafana-server.

2. Data Source Ekleyin: Grafana UI’de “Configuration” → “Data Sources” → “Prometheus” ekleyin; URL olarak http://localhost:9090.

3. Özel Paneller Oluşturun: nginx_requests_total{method="GET"}, wg_peers{state="up"}, node_cpu_seconds_total{mode="idle"} gibi sorguları tek tek ekleyerek operatör odaklı panel oluşturun. Panelleri “row” olarak gruplayın: “Web Trafiği”, “VPN Durumu”, “Sistem Kaynakları”.

4. İzleme Kuralı Tanımlayın: Grafana Alerts ile CPU >80%, 5xx rate >1% gibi kritik threshold’ları belirleyin. Alert tetiklendiğinde e-posta veya Slack webhook’a gönderim yapılandırın.

ELK Stack ile Log Toplama

1. Filebeat Kurulumu: apt install filebeat. /etc/filebeat/filebeat.ymlde NGINX ve sistem loglarını izleyen kurallar ekleyin.

2. Logstash Konfigürasyonu: input { beats { port => 5044 } }, ardından filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }. Logstash, yapılandırılmış JSON’e dönüştürür.

3. Kibana ile Görselleştirme: http://:5601 üzerinden “Discover” tabında logları inceleyin. “Dashboard” oluşturup, “NGINX 5xx” ve “WireGuard Connection” gibi kritik metrikler ekleyin.

4. Log Retention Politikası: ElasticSearch’te index.lifecycle.name ile günlük logları 30 gün tutun, ardından arşivleyin. Bu, disk kullanımını kontrol altında tutar.

Alertmanager ile Bildirim Ayarları

1. Alertmanager Kurulumu: apt install alertmanager. /etc/alertmanager/config.ymlde e-posta, PagerDuty, Opsgenie entegrasyonlarını tanımlayın.

2. Alert Düzenleme: Prometheus’ta tanımladığınız alert’leri Alertmanager’a yönlendirin. Örneğin, “nginx_5xx_high” alert’ı opsgenie_receiver üzerinden gönderilsin.

3. Silence & Acknowledgement: Operatör olarak, sahte alarm durumlarında amtool silence add ile geçici susturma yapın. Bu, yanılma payını azaltır.

Rollback ve Log Arşivleme

1. Configuration Management: Ansible, Terraform veya GitOps kullanarak tüm yapılandırma dosyalarınızı versiyon kontrolüne alın. Her değişiklik git commit ile kaydedilsin.

2. Snapshot Alın: Docker/KVM/VM ortamlarında, değişiklikten önce docker commit veya virsh snapshot-create-as ile snapshot alın.

3. Log Arşivi: Logstash’da archive output plugin’i kullanarak logları S3 veya on-premise NAS’e taşıyın. Arşiv logları, belirli bir TTL ile silin.

4. Rollback İşlemi: Problemler ortaya çıktığında, Ansible playbook’ını --diff --tags rollback ile geri çekin veya snapshot’ı geri yükleyin. Operatör, değişiklik tarihçesini kontrol eder ve tek adım geri dönüş yapar.

Bu yapı, sürekli gözlem, hızlı tepki ve güvenli geri dönüş imkanı sunar. Operatör olarak, sisteminizin durumu her an görünür ve müdahale senaryoları önceden tanımlanmış durumda. Böylece uptime ve güvenlik birleştirilen sağlam bir ev altyapısı elde edilir.

5. Yaygın Hatalar ve Risk Yönetimi

Evde kurulan altyapılarda karşılaşılan hatalar, sistemin güvenliğini ve sürekliliğini tehdit eder. Aşağıdaki maddeler, gerçek ortamdan örnekler ve önlem önerileriyle, operatörün hızlı müdahale etmesini sağlar.

Zayıf TLS Yapılandırması

Let’s Encrypt sertifikaları geçerli olsa da, eski TLS sürümleri (TLS1.0/1.1) veya zayıf cipher setleri sunucuya saldırı kapısı açar. İlk adım, ssl_protocols TLSv1.2 TLSv1.3; ile protokolleri kısıtlamak ve ssl_ciphers HIGH:!aNULL:!MD5; ile güçlü şifreler seçmektir. İkinci adım, openssl s_client -connect host:443 -tls1_2 komutuyla test ederek zayıf cipher’ları tespit edin. Bu ayarlar, saldırganın downgrade attack yapmasını önler.

Yanlış ACL ile Açma

İç ağdaki web sunucusu IP tabanlı ACL’ler uygundur, ancak yanlış yapılandırılan firewall, tüm portları açar. Önlem: ufw allow from 192.168.1.0/24 to any port 443 proto tcp gibi IP sınırlı kurallar koyun. Ayrıca, deny from all ile varsayılan kapatmayı unutmamak gerekir. ACL’lerin düzenli denetlenmesi, izinsiz erişim girişimlerinin erken tespit edilmesine yardımcı olur.

Eksik Log Rotasyonu

Log dosyaları, disk doluluğuna ve veri kaybına yol açar. Pratik çözüm, logrotate ile günlük log dosyalarını sıkıştırarak arşivleyin. /etc/logrotate.d/nginx içinde rotate 30 ve daily ayarlarını kullanın. Rotasyon sırasında logların bozulmaması için copytruncate seçeneği tercih edilmelidir. Log rotasyonu, performans düşüşlerini ve güvenlik ihlallerini engeller.

Yüksek TTL’li DNS Cache Sorunları

Evde kurulan DNS sunucuları, yüksek TTL (örn. 86400 saniye) ile önbellekleme yaparsa IP değişikliklerinde gecikme olur. Çözüm: options { max-cache-ttl 600; }; gibi düşük TTL değerleri belirleyin. Böylece IP değişikliği anında yeni sorgulara yansıma hızlanır. Ayrıca, dig @dns-server sub.example.com +nocmd +noall +answer ile TTL değerini test edin.

Yedekleme Eksikliği

Konfigürasyon ve veri dosyalarının yedeklenmemesi, donanım arızasında tam kayba yol açar. Yedekleme stratejisi: rsync -a /etc/nginx /mnt/backup/nginx-$(date +%F) komutuyla günlük yedekler oluşturun. cron ile otomatikleştirilen bu süreç, 3 günlük döngüyle archive klasörüne taşır. Yedeklerin harici bir ortamda saklanması, fiziksel hasar riskini azaltır.

6. Özet ve Hızlı Hatırlatma

Kurulum sürecini kısa adımlarla hatırlayalım: 1) DNS kayıtlarını VPSIP’ye yönlendirme. 2) Reverse proxy’yi (Nginx/Caddy) subdomain routing için yapılandırma. 3) WireGuard ile güvenli tünel kurma. 4) Prometheus, Grafana, ELK ile izleme ve log toplama. 5) Let’s Encrypt ile otomatik TLS yönetimi. 6) Yedekleme stratejisi (snapshot) ve rollback prosedürü. Her adımda en az bir kez test yapıp logları inceleyin. Ayrıca, yapılandırma değişiklikleri için version kontrol sistemi kullanın.

Güvenlik Kontrol Listesi

• Least privilege: servisler sadece gerekli portları dinlesin.
• Rollback hazır: yapılandırma dosyası değişmeden önce snapshot alın.
• Loglama: sistem, uygulama ve ağ logları merkezi toplanmalı.
• TLS: CipherSuite, SNI ve HSTS zorunlu.
• VPN: AllowedIPs sıkı belirlenmeli, şifreleme zorluğu yüksek.

Kaynak Bağlantıları

Detaylı kılavuzlar: Rehber, Sorun giderme.

İzleme & Bakım Döngüsü

Her gün: Prometheus alarmları kontrol, Grafana paneli gözden geçir. Haftada bir: Log arşivleme, snapshot geri yükleme test. Ayda bir: TLS sertifikası yenileme, WireGuard anahtar döküm. Otomasyon scriptleri ile güncellemeleri sıraya koyun. Her 5 dakikada Prometheus scrape, her 1 saatte log rotation, her 24 saatte snapshot alınmalı. Alertmanager üzerinden Slack veya e-posta ile kritik uyarılar alınmalı. Bu döngüyü otomatikleştirerek operasyonel riskleri minimize eder, uptime’i artırır.

Sıkça Sorulan Sorular

Evde hosting kurarken reverse proxy seçerken hangi kriterleri göz önünde bulundurmalıyım?

İlk olarak, işlemci ve bellek tüketimi düşük, HTTPS destekli ve yapılandırma dosyası basit olmalı. Least privilege ile çalışmalı, yapılandırma dosyasında ayrıca sanal host tanımlanmalı. Örneğin Nginx ile sadece /api ve /web servislerini yönlendirmek, sunucu kaynaklarını korur. Kullanıcı dostu UI de tercih edilmelidir.

DNS kayıtlarını tek bir IP üzerinden yönlendirmek riskli midir?

Tek IP kullanmak, DDoS, failover eksikliği ve tek nokta başarısızlık riskini artırır. Ancak, doğru yapılandırılmış reverse proxy ve fail2ban ile risk düşürülebilir. Yedek IP veya bulut DNS servisi eklemek önerilir.

Tünel (SSH) ile veri akışını korurken performansı nasıl optimize ederim?

SSH tünellerinde port forwarding yerine SOCKS5 kullanmak, paket sayısını azaltır. Ayrıca, TCP keepalive, MTU’yu düşürme ve sunucu tarafında yamacılığı engellemek performansı yükseltir.

İzleme sistemi kurarken logları merkezi olarak toplamak için hangi araç önerirsiniz?

Prometheus + Loki kombinasyonu, log toplama ve sorgulama için hafif ve ekosistem uyumlu bir çözümdür. Grafana ile panel oluşturmak, gerçek zamanlı uyarılar eklemek operasyonu basitleştirir.

Sonuç

Evde hosting altyapısı kurarken DNS, reverse proxy, WireGuard tüneli ve izleme sistemlerini katmanlı olarak entegre etmek, güvenlik, performans ve yönetilebilirlik arasında denge kurar. DNS kayıtlarını tek bir IP’ye yönlendirdikten sonra reverse proxy ile alt alan adlarını hedef sunuculara yönlendirir, TLS otomasyonuyla güvenliği sağlar ve minimum ayrıcalık ilkesini uygularsınız. WireGuard tüneli, dahili trafiği izole eder ve Prometheus‑Grafana‑ELK stackiyle gerçek‑zaman izleme, loglama ve alerting sağlar. Yedekleme, rollback ve versiyon kontrolü, yapılandırma değişikliklerini güvenli tutar. Böylece üretim ortamında yüksek kullanılabilirlik ve hızlı geri dönüşler mümkün olur.

Bir sonraki adım, mevcut altyapınızın performans ölçümlerini toplamak ve yük dengeleme ile otomatik ölçekleme senaryolarını test etmektir. Bu testler sırasında, trafikteki dalgalanmaları gözlemleyin, kaynak kullanımını izleyin ve gerektiğinde yapılandırma ayarlarını optimize edin. Ayrıca, güvenlik duvarı kuralları ve erişim kontrollerini sıkılaştırarak dış tehditlere karşı koruma seviyesini yükseltin. Test sonuçlarını belgeleyin ve rollback planını güncelleyin; böylece üretime geçmeden önce tüm kritik senaryoları kontrol altına almış olursunuz.