Hybrid Deployment kavramı, Endpoint Exchange yapısı ile Exchange Online arasında geçici veya uzun süreli bir birlikte çalışma modeli oluşturmak için kullanılır. Amacı iki tarafın birbiriyle tutarlı şekilde iletişim kurmasını sağlamak, Mailbox Migration süreçlerini esnek hale getirmek ve organizasyonun ihtiyaç duyduğu geçiş sürecini kontrollü biçimde yürütebilmektir. Kullanıcıların bir bölümünün buluta taşınırken diğer bölümünün Endpoint ortamda kalabilmesi, Free/Busy bilgilerinin sorunsuz görünmesi ve e-posta akışının iki platform arasında doğru yönlendirilmesi bu yapının sunduğu pratik avantajlar arasındadır.
Bu yaklaşımı anlamaya çalışırken, aslında tek bir geçiş senaryosundan değil, iki farklı ortamın uyumlu şekilde çalışmasını mümkün kılan bir çerçeveden bahsedildiği fark edilir. Hybrid yapı sayesinde Migration adımlarını bir anda tamamlamak yerine kademeli ilerleme şansı doğar ve bu süreç boyunca kullanıcı deneyimi bozulmadan devam eder. Outlook bağlantıları, Autodiscover davranışı ve yönlendirme kararlarının arka planda nasıl şekillendiği, bu modelin sağladığı esnekliğin daha net görülmesini sağlar.
Zamanla oluşan ihtiyaçlar doğrultusunda Hybrid Deployment, iki farklı topolojiyle uygulanabilir hale geldi. Bunlardan ilki olan Classic Hybrid Topology, Exchange servislerinin Internet üzerinden doğrudan ulaşılabildiği geleneksel yaklaşımı temsil eder. Diğeri ise Modern Hybrid Topology olup, bağlantıların daha sade bir yapı üzerinden yönetildiği ve belirli operasyonların Hybrid Agent aracılığıyla yürütüldüğü modern bir modeli ifade eder. Her iki topoloji de Hybrid Deployment hedefini gerçekleştirir; fark, iletişimin hangi yöntemle sağlandığı ve ortamın hangi gereksinimleri ön plana aldığıdır.
Bu makalede Classic Hybrid Topology’nin yani Classic Full yapının ve Modern Hybrid Topology’nin yani Modern Full yaklaşımın nasıl biçimlendiğini, birbirlerinden hangi yönlerde ayrıldığını ve hangi senaryolarda daha doğru bir tercih sunduğunu ayrıntılı bir çerçevede inceleyeceğim. Böylece Hybrid Deployment modelinin hangi prensiplerle işlediğini ve topoloji tercihlerinin geçiş sürecine nasıl yansıdığını daha net görmek mümkün olacak.
1- Classic Hybrid Topology (Classic Full)
Classic Hybrid Topology (Classic Full), Endpoint Exchange ile Exchange Online’ın belirli hibrit işlemlerde doğrudan iletişim kurabilmesi için gereken servislerin internet üzerinden erişilebilir hale getirildiği geleneksel hibrit modeldir. Bu Model'de tüm servislerin dış dünyaya açılması gerekmez; yalnızca Exchange Online’ın ihtiyaç duyduğu EWS, Autodiscover ve MRSProxy gibi belirli Endpoint’lerin güvenli biçimde yayınlanması yeterlidir. Böylece Free/Busy görünürlüğü, Mailbox Migration veya bazı Autodiscover akışları gibi işlemler gerektiğinde bulut tarafından Endpoint Exchange’e ulaşabilir.
Exchange Online, bir kullanıcının posta kutusu bulutta olduğunda çoğu işlem için Endpoint sunucuya bağlanmaz. Ancak hibrit özelliklerin çalışması için bazı servis çağrılarının Endpoint ortamı görmesi gerekir. Classic yapının sağladığı en önemli avantaj, bu nokta üzerinde ortaya çıkar; gerekli servisler net, açık ve erişilebilir tutulduğu için hibrit işlevler kesintiye uğramadan çalışır. Endpoint’lerin doğru yayınlanması, SSL sertifikalarının geçerli olması ve servislerin dış dünyaya doğru şekilde yönlendirilmesi bu modelin temel yapı taşlarıdır.
Yapılandırmanın büyük bölümü Endpoint Exchange sunucuları üzerinden yönetilir ve kontrol ağırlıklı olarak bu tarafta bulunur. Hybrid Configuration Wizard (HWC) çalıştırıldığında hem Endpoint hem Exchange Online tarafında bazı ayarlar güncellenir; ancak trafik akışı, sertifika yönetimi, Endpoint yayınlama ve Migration esnasındaki servis davranışı büyük ölçüde Endpoint Exchange tarafından belirlenir. Bu da Classic Modeli daha görünür, daha öngörülebilir ve daha esnek bir hibrit yaklaşım haline getirir.
Classic Hybrid Topology’nin özellikle önerilmesinin bir nedeni de Teams Calendar entegrasyonudur. Teams, takvim bilgisini doğru şekilde okuyabilmek için zaman zaman Endpoint EWS servisine erişmek zorunda kalır. Bu erişimin kararlı şekilde çalışabilmesi için Modern Authentication (OAuth) yapılandırmasının doğru yapılmış olması ve ilgili servislerin ulaşılabilir olması gerekir. Classic Model bu gereksinimleri eksiksiz karşılayan yapıdır.
Ayrıca Mailbox Migration sürecinde kullanılan MRSProxy servisinin dış dünyaya açılması hibrit taşımanın temel şartlarından biridir. Hybrid modelin sunduğu yapı, bu servisin güvenli şekilde yayınlanmasına ve Exchange Online’ın gerektiğinde Endpoint ortamdaki taşıma uç noktasına ulaşabilmesine imkan tanır.
Tüm bu unsurlar bir araya geldiğinde Classic Hybrid Topology, uzun vadeli hibrit kullanım planlayan ve yapılandırmayı ağırlıklı olarak kendi Endpoint Exchange ortamında yönetmek isteyen kurumlar için ideal bir seçenek olur. Konuya yeni başlayan birinin zihninde şu net tanım belirir; Classic Hybrid, bulut ile Endpoint Exchange’in gerektiğinde doğrudan iletişim kurabildiği, gerekli servislerin erişilebilir olduğu ve yönetimin büyük kısmının Endpoint tarafta yürütüldüğü hibrit modeldir.
2- Modern Hybrid Topology (Modern Full)
Modern Hybrid Topology, Endpoint Exchange ile Exchange Online arasındaki hibrit iletişimi Internet'e açık servisler üzerinden değil, Hybrid Agent tarafından sağlanan güvenli bir tünel ile yöneten modeldir. Bu yaklaşımda Exchange Online, Endpoint Exchange’e doğrudan bağlanmak yerine gerekli servis çağrılarını Hybrid Agent üzerinden iletir. Hybrid Agent, Azure Application Proxy benzeri bir şekilde çalışan bir yapı oluşturur ve örneğin Availability Service veya Mailbox Move gibi işlemler için gereken çağrıları bu tünel üzerinden güvenli şekilde yönlendirir.
Bu modelin temel avantajı, Endpoint Exchange sunucularının EWS, Autodiscover veya MRSProxy gibi servisleri Internet'e açmak zorunda olmamasıdır. Tüm iletişim tek yönlü, Outbound bir bağlantı üzerinden kurulur. Böylece DMZ yapısında değişiklik yapmak, Firewall’da Inbound Port açmak veya yeni Endpoint yayına almak gerekmez. Exchange Online ile yapılan Migration ve Free/Busy gibi işlemler, Hybrid Agent ile Exchange Online arasında kurulan TLS tüneli üzerinden yürütülür; Endpoint Exchange bu işlemler için dış erişim sağlamaz.
Modern Hybrid Topology, özellikle küçük ve orta ölçekli ortamlarda, güvenlik gereksinimleri nedeniyle Internet'e servis açmanın istenmediği yapılarda veya kısa süreli Migration süreçlerinde tercih edilen bir yaklaşımdır. Yapılandırma sade olduğu için hibrit kurulumu hızlı gerçekleşir ve Endpoint Exchange’in dış dünyaya yayınlama ihtiyacı ortadan kalkar.
Bu modelin sınırlarından biri Teams Calendar entegrasyonunda görülür. Teams’in takvim verisini okuyabilmesi için Exchange Online’ın Endpoint EWS Endpoint servisine doğrudan erişmesi gerekir. Hybrid Agent, bu tür doğrudan EWS erişimini desteklemediği için Teams Calendar entegrasyonu, Classic Model'de olduğu kadar sağlıklı çalışmaz. Bu nedenle uzun vadeli hibrit kullanım veya Teams entegrasyonu beklenen yapılarda Modern model yerine Classic Hybrid Topology önerilir.
Modern Hybrid Topology’yi basitçe şöyle özetlemek mümkündür: Exchange Online ile Endpoint Exchange arasındaki gerekli hibrit işlemler, Internet'e açık servisler yerine Hybrid Agent’ın oluşturduğu güvenli tünel üzerinden yürütülür; böylece yapı daha sade, Firewall dostu ve minimum yayın gerektiren bir hale gelir.
Hybrid Agent Bağlımlığı
Modern Hybrid Topology, hibrit iletişim akışını tamamen Hybrid Agent üzerinden yönlendiren bir modeldir. Agent, Endpoint Exchange ile Microsoft 365 arasında bir ara katman görevi görür ve bazı hibrit işlemlerin bulut tarafından Endpoint’e doğrudan ulaşmak yerine bu güvenli kanal üzerinden taşınmasını sağlar. Bu yapı bazı kolaylıklar getirirken aynı zamanda belirli sınırlamalar ve bir bağımlılık ilişkisi oluşturur.
1. Bağlantıların ve yapılandırmanın Agent tarafından yönetilmesi
Hybrid Agent, Endpoint Exchange ile Microsoft 365 arasındaki hibrit işlemler için gereken tüm iletişimi Outbound 443 (HTTPS) bağlantıları üzerinden kurar. Kullanılan portlar veya bağlantı yönlendirmeleri kullanıcı tarafından belirlenmez. Free/Busy görünürlüğü veya Mailbox Migration gibi işlemler çalışırken bağlantının nasıl kurulacağı tamamen Agent’ın kendi mekanizmaları tarafından yönetilir.
2. Elle müdahale veya ince ayar yapılamaması
Modern Hybrid Topology’de hibrit trafik, Agent tarafından soyutlandığı için yönlendirmenin nasıl yapılacağına dair esnek bir yapı sunulmaz. Hybrid Agent, sadece Migration ve Free/Busy gibi uygulama seviyesindeki hibrit işlemleri taşır; Mail Flow (Transport), Port özelleştirme veya özel yönlendirme davranışları bu modelin kapsamı dışındadır. Bu nedenle Agent’ın sunduğu çalışma modeli dışında manuel bir ince ayar yapılması mümkün değildir.
3. Agent’ın çalışmasına bağımlılık
Hybrid Agent’da bir sorun oluştuğunda hibrit işlemler de doğrudan etkilenir, çünkü işlemlerin buluta veya Endpoint Exchange’e nasıl ulaşacağı Agent tarafından belirlenir. Agent’ın bulut tarafındaki bileşenleri kullanıcı tarafından yönetilemediği için çoğu durumda çözüm Microsoft destek müdahalesi gerektirir. Bu nedenle Modern Hybrid Topology’de hibrit iletişimin sürekliliği büyük ölçüde Agent’ın kesintisiz çalışmasına bağlıdır.
Classic Full ve Modern Full Arasındaki Farklar
Classic Hybrid Topology ile Modern Hybrid Topology arasındaki farkları anlamak için önce Exchange Online’ın Endpoint Exchange ile nasıl iletişim kurduğuna bakmak gerekir. Classic Model'de Exchange Online, ihtiyaç duyduğu servislerin Internet'e açık adreslerine doğrudan bağlanır ve hibrit işlemler bu yayınlanan Endpoint’ler üzerinden gerçekleşir. Modern Model'de ise bu doğrudan bağlantı yerine Hybrid Agent devreye girer; Endpoint Exchange’e ulaşması gereken tüm istekler önce Agent’a gelir ve Agent, bu istekleri iç Network ortamındaki Exchange’e kendi üzerinden iletir. Yani Classic Model doğrudan iletişim kurarken, Modern model hibrit trafik için güvenli bir tünel oluşturur.
Bu iki yaklaşım arasındaki farklar sadece iletişim yönteminde değil, servis yayınlama gereksinimlerinde, Migration davranışında, takvim erişiminde, güvenlik modelinde ve kullanım senaryolarında da belirgin şekilde kendini gösterir. Özellikle Teams Calendar, Free/Busy işlemleri ve Mailbox Migration gibi işlevlerin nasıl çalıştığı iki topoloji arasında önemli ayrımlar oluşturur.
Her iki modelin iletişim akışındaki mantığı ve pratikte nasıl davrandığını en net şekilde görebilmek için aşağıdaki açıklayıcı karşılaştırma tablosu yol gösterici olacaktır.
|
Kapsam |
Classic Hybrid Topology (Classic Full) |
Modern Hybrid Topology (Modern Full) |
|
On-Prem’e Bağlantı Mantığı |
Exchange Online, ihtiyaç olduğunda On-Prem EWS, Autodiscover ve MRSProxy gibi servislerin Internet'e açık gerçek Endpoint’lerine doğrudan bağlanır. Yani iki ortam arasında doğrudan HTTPS trafiği oluşur. |
Exchange Online On-Prem Exchange’e doğrudan bağlanmaz. Tüm istekler önce Hybrid Agent’a gelir, Agent isteği iç ağdaki Exchange’e kendisi iletir. Akış, bulut → Agent → On-Prem şeklindedir. |
|
Servis Yayınlama Gereksinimi |
On-Prem Exchange’in bazı servislerini Internet'e yayınlamak gerekir. Bu nedenle sertifika, DNS, NAT ve Firewall yapılandırmaları zorunludur. |
On-Prem Exchange’in hiçbir servisini Internet'e açmaya gerek yoktur. Yalnızca Agent’ın Outbound olarak Microsoft 365’e bağlanması yeterlidir. |
|
Mailbox Migration Akışı |
Exchange Online, mailbox taşırken MRSProxy’ye doğrudan bağlanır ve taşıma trafiği bulut → On-Prem arasında doğrudan akar. Performans özellikle büyük yapılarda daha kontrollüdür. |
Mailbox move işlemleri Hybrid Agent üzerinden tünellenir. Trafik, bulut → Agent → On-Prem şeklinde aktığı için iletişim modeli Classic’ten farklıdır. |
|
Free/Busy ve Takvim İşlemleri |
Exchange Online, On-Prem EWS’ye doğrudan bağlandığı için Free/Busy ve takvim verileri daha doğrudan ve stabil okunur. |
Çağrılar Agent üzerinden yönlendirilir. Çalışır ancak karmaşık takvim senaryolarında Classic kadar stabil olmayabilir. |
|
Teams Calendar Uyumluluğu |
Teams, On-Prem EWS servisine bağlanabildiği için tam uyumludur. Microsoft da Teams entegrasyonunda Classic Modeli önerir. |
Hybrid Agent EWS’yi dışarı açmadığı için Teams Calendar entegrasyonu desteklenmez veya tutarlı çalışmaz. |
|
Güvenlik Yaklaşımı |
Servislerin Internet'e açık olması nedeniyle güvenlik yapısının doğru tasarlanması önemlidir. Kontrol tamamen kurumun elindedir. |
Internet'e açık servis olmadığından saldırı yüzeyi küçülür. Güvenlik açısından daha kapalı ve dış etkileşimi minimum bir mimaridir. |
|
Yönetim ve Esneklik |
Hibrit davranışların çoğu On-Prem Exchange üzerinde yönetildiğinden geniş özelleştirme ve ince ayar imkanı sunar. |
Daha sade bir kurulum sağlar ancak detaylı özelleştirme alanı Classic Modele göre sınırlıdır. |
|
Hangi Ortamlara Uygun? |
Uzun süre hibrit çalışmak isteyenler, Teams entegrasyonu gereken kurumlar, büyük Exchange ortamları ve DMZ–Reverse Proxy altyapısı olan yapılar. |
Kısa süreli Migration planlayanlar, küçük ve orta ölçekli yapılar, servislerini Internet'e açmak istemeyen güvenlik odaklı kurumlar. |
Bu makalede Hybrid Deployment yapısının iki farklı topolojide nasıl şekillendiğini ve hibrit iletişimin hangi bileşenler üzerinden kurulduğunu detaylı bir çerçevede ele aldım. Classic Hybrid yaklaşımının, Exchange Online’ın ihtiyaç duyduğu servisleri doğrudan görebildiği bir iletişim modeli sunduğu ve bu nedenle daha görünür, daha öngörülebilir bir çalışma dinamiği oluşturduğu noktalar örneklerle açıklığa kavuştu. Modern Hybrid modelinin ise aynı hibrit işlemleri Hybrid Agent üzerinden yönlendirerek internet yayınlama gereksinimini azaltan daha sade bir yapı kurduğu ve bu tercihin özellikle güvenlik beklentileri yüksek ortamlarda nasıl avantaj sağladığı daha net bir şekilde ortaya çıktı.
Migration sürecinde verinin hangi yolu izlediği, Free/Busy görünürlüğünün nasıl sağlandığı ve Teams Calendar gibi hassas entegrasyonların hangi topolojide daha tutarlı davrandığı ele alındığında, her iki modelin hibrit yapıya farklı bir yaklaşım getirdiği daha anlaşılır hale geldi. Classic Modelin doğrudan erişim gerektiren senaryolarda sağladığı esneklik, Modern modelin ise tünel tabanlı iletişimle sunduğu pratiklik, hibrit mimarinin kurum ihtiyaçlarına göre nasıl şekillendirilebileceğini gösteren önemli ayrımlardır.
Tüm bu değerlendirmeler ışığında, Hybrid Deployment’ın tek bir geçiş yönteminden çok daha fazlasını ifade ettiği ve kurumun güvenlik beklentisi, yayınlama politikası, entegrasyon gereksinimleri ve kullanım süresi gibi faktörlere göre doğru topolojinin seçilmesinin sürecin tamamına yön veren bir karar olduğu daha net görülür.
Faydalı olması dileğiyle...