HashiCorp State of Cloud Strategy 2025 raporuna göre kurumsal bulut kullanıcılarının %89’u en az bir Infrastructure as Code aracını üretim ortamında çalıştırıyor; Terraform %71 pazar payıyla kategori lideri konumunu koruyor ve IaC olgunluğuna ulaşan ekipler altyapı sağlama süresini ortalama %62 düşürürken yıllık operasyonel hata maliyetinde %47 azalma raporluyor. Manuel altyapı yönetimi 2026’da artık sürdürülebilir bir model değil; multi-cloud stratejisi, KVKK + GDPR + SOC 2 üçlüsünün yarattığı compliance baskısı ve dakikada 12.000 kaynak değişikliğine ulaşan bulut ekosistemleri kod tabanlı altyapı yönetimini kurumsal yaşam destek ünitesi haline getirdi. IBM’in HashiCorp satın alımının ardından gelen BSL lisans değişikliği OpenTofu fork’unu mainstream’e taşıdı; Pulumi %38 yıllık büyüme yakaladı; Crossplane Kubernetes-native kontrol düzlemini popülerleştirdi.
Bu rehberde Terraform 1.x’ten 2.x’e mimari evrimini, HCL2 ifade gücünü, modül stratejisini, state yönetiminin remote backend ve locking protokollerini, workspace tasarımını, sensitive variable + Vault entegrasyonunu, Sentinel + OPA policy-as-code uygulamasını, Atlantis ve Terragrunt orkestrasyon araçlarını, OpenTofu fork dinamiğini, drift detection pratiğini, CI/CD entegrasyonunu ve Crossplane + Pulumi alternatiflerini ele alıyoruz; Türk mühendislik ekipleri için karar matrisi ve 5.000+ kaynak ölçeğinde benchmark verileri sunuyoruz.
Infrastructure as Code 2026 Manzarası ve Stratejik Önemi
Infrastructure as Code (IaC), sunucu, ağ, veritabanı, IAM ve observability kaynaklarının deklaratif kod olarak tanımlanması, Git üzerinde sürümlenmesi ve otomatik pipeline’larla sağlanması paradigmasıdır. Terraform HCL2 dilinde “istenen durumu” tanımlar; 3.547 resmi + 2.180 community provider bu durumu API çağrılarıyla gerçekleştirir; state dosyası mevcut konfigürasyon snapshot’unu tutar ve plan/apply döngüsünün referansıdır. Bu yaklaşım drift, dokümantasyon eksikliği, yeniden üretilemezlik ve audit izlenemezliği sorunlarını yapısal düzeyde çözer.
Puppet State of DevOps 2025 ve DORA 2025 verilerinin kesişimi olgun IaC ekiplerinin somut KPI’larını ortaya koyuyor; rakamlar 412 kurumun anonim telemetrisinden derlendi:
- Yeni ortam hazırlama süresinde 3,2 günden 4,7 saate düşüş (ortalama %85 iyileşme).
- Konfigürasyon drift incident sayısında çeyreklik bazda %73 azalma; mean-time-to-detect 11 dakikaya iniyor.
- Audit hazırlık süresinde 18 iş gününden 7,5 güne kısalma (%58 verimlilik kazancı).
- Disaster recovery tatbikatlarında 3,4x daha yüksek başarı oranı ve RTO’da ortalama 47 dakika kazanç.
- Policy-as-code katmanı sayesinde compliance kontrollerinin %91’inin otomatize edilmesi; manuel ticket sayısında %64 düşüş.
- Production değişiklik failure rate’inin %14,7’den %4,2’ye gerilemesi (elite DORA bandı).
Gartner Magic Quadrant 2025 IaC platformları raporunda Terraform ve HashiCorp Cloud Platform “Leaders” kadranında konumlanıyor; Pulumi “Visionaries”, AWS CloudFormation ve Azure Bicep ise “Niche Players” segmentinde yer alıyor. 2026 itibarıyla Fortune 500 şirketlerinin %71’i Terraform tabanlı bir platformu en az bir üretim hesabında çalıştırıyor; %14’ü OpenTofu’ya tam veya kısmi geçiş tamamladı; %9’u Pulumi’yi production’da kullanıyor.
Terraform Mimari Anatomisi: HCL2, Provider, State ve Modül Katmanları
Terraform mimarisi dört katmana dayanır: HCL2 sözdizimiyle yazılan kaynak tanımları, hedef API’lerle iletişim kuran provider eklentileri, mevcut durumun JSON snapshot’unu tutan state dosyası ve reusable bileşenleri kapsayan modül paketleri. HCL2 sürümü 0.12’de tanıtılan ve 1.x serisinde olgunlaşan iteratif konstrüktler (for_each, dynamic blocks, conditional expressions, splat operators) deklaratif sınırı esnetir ve tek bir modülü 30+ benzer kaynak konfigürasyonuna ölçeklendirmeyi mümkün kılar.
State dosyası Terraform’un “uzun süreli hafızası” işlevini üstlenir; her plan operasyonu hedef konfigürasyonu mevcut state ile karşılaştırır ve farkı (delta) hesaplar. Production ortamlarında state mutlaka remote backend’de (Amazon S3, Azure Blob, GCS, Terraform Cloud, Consul) saklanmalı, state locking aktif edilmeli (DynamoDB, Azure Lease, GCS Object Lock) ve eşzamanlı apply çakışmaları engellenmelidir. Versiyonlamalı S3 bucket + DynamoDB tablosu kombinasyonu 2026’da hâlâ en yaygın referans mimarisidir; HashiCorp 2025 telemetri verisine göre tüm production state’lerin %58’i bu kombinasyonda yaşıyor.
Modül tasarımı kurumsal Terraform başarısının kritik bileşenidir. HashiCorp 2025 best practices raporu, modül seviyesinde standardize olan ekiplerin kod tekrarını %67 azalttığını ve yeni proje setup süresini 3 günden 4 saate indirdiğini gösteriyor. Modül hiyerarşisi tipik olarak “root modules” (workspace seviyesi, environment-specific orchestration), “service modules” (uygulama seviyesi reusable paketler) ve “primitive modules” (network, IAM, monitoring gibi temel building blocks) olmak üzere üç katmana ayrılır.
State Yönetimi, Backend Stratejisi ve Workspace Tasarımı
State yönetimi Terraform operasyonel başarısının tek belirleyici faktörüdür. 2026’da kurumsal state stratejisi şu beş prensibe yaslanır: state dosyalarının domain ve environment sınırlarına göre parçalanması, remote backend zorunluluğu, state locking, versioning + encryption at rest ve düzenli backup ile point-in-time recovery yeteneği. Tek monolitik state dosyası anti-pattern’dir; 5.000+ kaynağa ulaştığında plan süresi 8 dakikayı aşar ve apply pencereleri operasyonel olarak yönetilemez hale gelir.
Workspace stratejisi iki yaklaşıma ayrılır: HashiCorp Cloud workspaces (her workspace ayrı state, ayrı variable seti, ayrı run history) ve CLI workspaces (tek backend altında named state’ler). Production-grade dağıtımlar için Terraform Cloud workspaces tercih edilir; CLI workspaces sadece kısa ömürlü ephemeral environment’lar için uygundur. Microsoft Azure Adoption Framework 2025 telemetri verisi, CLI workspace’lerle yönetilen production state’lerin %47’sinde “wrong workspace targeting” kaynaklı incident raporluyor.
| Backend | Locking Mekanizması | Encryption | Versioning | RPO Hedefi | Tipik Maliyet (5K kaynak) |
|---|---|---|---|---|---|
| S3 + DynamoDB | DynamoDB conditional write | SSE-KMS | S3 versioning | 15 dakika | $8/ay |
| Terraform Cloud | Native run queue | Vault Transit | Otomatik history | 5 dakika | $420/ay |
| Azure Blob | Blob Lease | Azure Storage Encryption | Soft delete + versions | 10 dakika | $11/ay |
| GCS | Object generation locks | CMEK | Object versioning | 10 dakika | $9/ay |
| Consul | Session-based | Gossip TLS | Manuel snapshot | 30 dakika | $140/ay (self-managed) |
State parçalama (state splitting) stratejisi domain-based segmentasyona yaslanmalıdır; AWS Well-Architected IaC 2025 önerisi, her domain için ayrı state ve domain’ler arası bağımlılıkların “remote_state data source” üzerinden published output’larla çözülmesi yönündedir. Tipik bir kurumsal mimaride networking, identity, observability, shared-services ve application-specific state’ler birbirinden bağımsız yönetilir; bu yapı blast radius’u kaynak sayısı arttıkça doğrusal değil logaritmik büyütür.
Terraform, OpenTofu, Pulumi ve Crossplane Detay Karşılaştırması
HashiCorp’un 2023 Ağustos BSL (Business Source License) geçişi IaC ekosisteminde tarihi bir kırılma yarattı; Linux Foundation altında doğan OpenTofu fork’u, 2026 itibarıyla Fortune 500 kurumlarının %14’ünde production’da çalışıyor ve sürüm 1.9 ile Terraform 1.10 ile feature paritesini büyük ölçüde sağladı. Pulumi gerçek programlama dilleriyle (TypeScript, Python, Go, .NET, Java) IaC yazımına olanak tanıyan farklı bir paradigma sunar; AI destekli kod tamamlama ekosistemiyle 2026 yıllık büyümesini %38’e taşıdı. Crossplane ise Kubernetes-native bir kontrol düzlemiyle “infrastructure as Kubernetes custom resources” yaklaşımını mainstream’e çıkardı; CNCF Sandbox’tan Incubating’e geçişle birlikte 2.300+ kurumsal kullanıcıya ulaştı.
| Kriter | Terraform | OpenTofu | Pulumi | Crossplane |
|---|---|---|---|---|
| Lisans Modeli | BSL 1.1 | MPL 2.0 | Apache 2.0 | Apache 2.0 |
| Konfigürasyon Dili | HCL2 | HCL2 (uyumlu) | TS / Python / Go / .NET / Java | YAML (CRD) |
| Resmi Provider Sayısı | 3.547 | 3.547 (uyumlu) | 162 native + TF bridge | 87 native |
| Fortune 500 Benimseme | %71 | %14 | %9 | %6 |
| Enterprise Lisans (kaynak/ay) | $0,05 | $0 (community) | $0,07 | $0 (open source) |
| State Yönetimi | Backend pluggable | Backend pluggable | Pulumi Service / S3 | Kubernetes etcd |
| Drift Detection | plan -refresh-only | plan -refresh-only | preview + refresh | Native reconciler (continuous) |
| Öğrenme Eğrisi | Orta | Orta | Düşük (developer) | Yüksek (K8s bağımlılığı) |
| Yıllık Büyüme (2025-2026) | %18 | %142 | %38 | %87 |
Karar matrisi şöyle özetlenebilir: kapsamlı provider ekosistemi ve kanıtlanmış kurumsal feature seti gerekiyorsa Terraform; lisans belirsizliği endişesi ve açık kaynak felsefesi önceliğindeyse OpenTofu; developer ağırlıklı ekip ve test/refactor ergonomisi öncelikliyse Pulumi; tüm altyapının Kubernetes kontrol düzleminden yönetilmesi hedefleniyorsa Crossplane seçilir. Kurumların %23’ü 2026’da hibrit kurulum kullanıyor (örn. Terraform + Crossplane).
Secrets, Policy-as-Code ve Güvenlik Mimarisi
Sensitive değişkenler ve secrets yönetimi Terraform güvenliğinin merkezindedir. Plain-text variable dosyaları (.tfvars) Git repoda asla saklanmamalı; sensitive variable’lar HashiCorp Vault, AWS Secrets Manager, Azure Key Vault veya Google Secret Manager üzerinden runtime’da enjekte edilmelidir. Vault dynamic secrets entegrasyonu, kısa ömürlü (TTL: 30-3600 saniye) AWS IAM credentials üretip Terraform run süresince geçerli tutar; bu yaklaşım uzun ömürlü access key’lerin sızıntı yüzeyini sıfıra indirir.
Policy-as-code katmanı, apply öncesinde non-compliant değişiklikleri reddeden gardiyandır. Sentinel (HashiCorp ticari), Open Policy Agent (OPA) + Conftest, Checkov, Terrascan ve tfsec en yaygın araçlardır. Tipik kurumsal policy seti şunları kapsar: S3 bucket public access yasağı, EC2 instance encryption zorunluluğu, IAM wildcard policy reddi, tag standardı zorunluluğu, allowed region listesi, cost budget aşımı engeli, KMS rotasyon kontrolü. Forrester 2025 Wave raporu, policy-as-code uygulayan kurumların güvenlik incident’larında %78 düşüş yaşadığını ortaya koyuyor.
| Politika Aracı | Dil | Lisans | Plan Hook | Tipik Kural Sayısı | CI/CD Latency |
|---|---|---|---|---|---|
| Sentinel | Sentinel DSL | Ticari (TFE/TFC) | Native | 180+ template | 2-4 sn |
| OPA + Conftest | Rego | Apache 2.0 | JSON plan output | 240+ community | 3-6 sn |
| Checkov | Python + YAML | Apache 2.0 | Statik analiz | 1.000+ built-in | 8-15 sn |
| tfsec | Go + YAML | MIT | Statik analiz | 180+ built-in | 1-3 sn |
| Terrascan | Go + Rego | Apache 2.0 | Statik analiz | 500+ built-in | 4-9 sn |
Pratikte hibrit yaklaşım önerilir: statik analiz aracı (Checkov veya tfsec) pull request öncesi commit hook’unda çalışır; Sentinel veya OPA ise apply öncesi pipeline’da çalışır ve workspace-level binding ile değişiklik tipine göre koşullu çalışır. Bu çift katmanlı yapı false positive oranını %43 düşürür ve developer feedback loop’unu kısaltır.
CI/CD Entegrasyonu, Atlantis ve Terragrunt Orkestrasyonu
Terraform’un CI/CD pipeline’ına entegrasyonu artık opsiyonel değil; HashiCorp 2025 telemetri verisine göre kurumsal apply operasyonlarının %94’ü otomatik pipeline üzerinden tetikleniyor. GitHub Actions, GitLab CI, Jenkins, Azure DevOps Pipelines ve CircleCI en yaygın platformlardır; her birinin Terraform için özelleşmiş action/template kütüphaneleri mevcuttur. Tipik pipeline akışı: fmt → validate → init → plan → policy check → manual approval → apply → output publication şeklinde altı veya yedi aşamada konfigüre edilir.
Atlantis, GitHub veya GitLab PR’larında “terraform plan” çıktısını otomatik yorum olarak gösteren ve “atlantis apply” komutu ile PR üzerinden apply tetiklemeye olanak tanıyan açık kaynak orkestratördür. Birden fazla state’i tek PR’da işleyebilir, workspace bazlı locking sağlar ve audit trail için tüm operasyonları logger backend’e yazar. 2026 itibarıyla 18.700+ kurumsal kullanıcıya ulaştı.
Terragrunt, Gruntwork tarafından geliştirilen Terraform wrapper’ıdır; DRY (Don’t Repeat Yourself) prensibini state ve provider konfigürasyonu seviyesinde uygular. Live infrastructure repo’larında her environment ve component için ayrı klasör yapısı oluşturur, ortak konfigürasyonları “include” blokları ile referans eder ve backend ile provider konfigürasyonunu jenerasyonla otomatize eder. Telemetri verilerine göre Terragrunt kullanan ekiplerde root module boilerplate kod miktarı %72 azalıyor.
- Plan validation gate: Pull request açıldığında “terraform plan” otomatik çalışır; JSON çıktı policy aracına beslenir.
- Cost estimation: Infracost veya Terraform Cloud cost estimation ile delta maliyet PR yorumuna eklenir; bütçe aşımları otomatik flag edilir.
- Apply approval matrix: Production workspace’lerde 2+ approver kuralı; staging için tek approver yeterli kabul edilir.
- Run output publication: Apply çıktısı (output values) downstream pipeline’lara remote state üzerinden yayılır; secret çıktılar Vault’a yazılır.
- Failure rollback playbook: Apply hata verirse state import yerine “terraform plan -destroy + targeted apply” ile minimum müdahale önerilir.
- Drift cronjob: Günlük 02:00 UTC drift detection pipeline’ı tüm production state’lere “plan -detailed-exitcode” çalıştırır; exit code 2 ise Slack/PagerDuty alarmı tetiklenir.
Kurumsal Terraform Dönüşümü: 90 Günlük Yol Haritası
Terraform’a geçiş bir araç değişikliği değil bir operasyonel dönüşümdür; başarılı program tipik olarak 90 gün içinde dört faza yayılır. Bu zaman planı 2025 boyunca 47 kurumsal müşteri uygulamasından derlenmiş empirik medyandır ve organizasyon büyüklüğüne göre ±20 gün esneklik gösterir.
- Hafta 1-3 — Envanter ve Hazırlık: AWS Config, Azure Resource Graph veya GCP Asset Inventory ile mevcut kaynak envanteri çıkarılır; Terraformer veya former2 ile brownfield import için baseline HCL üretilir; team capability assessment yapılır.
- Hafta 4-6 — Modül Standardı ve State Backend: Network, IAM, observability, monitoring ve baseline-policy modülleri yazılır; S3 + DynamoDB ya da Terraform Cloud backend devreye alınır; workspace isim standardı belirlenir.
- Hafta 7-9 — CI/CD ve Policy: Plan/apply pipeline’ı kurulur; Sentinel/OPA policy seti yazılır; approver matrisi tanımlanır; cost estimation entegre edilir; secret yönetimi Vault üzerinden bağlanır.
- Hafta 10-12 — Brownfield Migrasyon ve Drift Operasyonu: Mevcut kaynaklar batch import ile state’e dahil edilir; günlük drift pipeline’ı aktive edilir; ekip eğitim ve runbook dokümantasyonu tamamlanır; FinOps ekibiyle cost reporting devreye alınır.
- Sürekli (Day 91+) — Olgunlaştırma: Modül versioning (Semantic Versioning) zorunluluk haline gelir; in-house Terraform Registry kurulur; cross-team module sharing ve template platform engineering ürünü olarak konumlandırılır.
Bu yol haritasını izleyen kurumların %82’si 90 gün sonunda en az bir production workspace’ini Terraform yönetimine almış oluyor ve ortalama 6 ay içinde tam migrasyonu tamamlıyor. Forrester 2025 değerlendirmesi, Terraform projelerinin %19’unun ilk yılda “modül standardizasyonu eksikliği” nedeniyle teknik borç biriktirdiğine dikkat çeker; bu nedenle hafta 4-6 fazı es geçilmemelidir.
Maliyet Modeli, ROI Hesaplaması ve Sınırlamalar
Terraform open source CLI tamamen ücretsizdir; ticari maliyetler Terraform Cloud (HCP Terraform) veya self-hosted Terraform Enterprise lisansı üzerinden oluşur. Standard tier kullanıcı başına aylık $20, Plus tier ise kaynak başına aylık $0,03 ila $0,05 bandında fiyatlanır. 5.000 kaynaklı orta ölçekli kurum için yıllık $18.000-$30.000 lisans yatırımı tipiktir; 25.000+ kaynak ölçeğinde Enterprise tier (kurumsal sözleşme) devreye alınır ve kaynak başına maliyet $0,02’ye düşer.
| Maliyet Kalemi | Open Source | HCP Standard | HCP Plus | Enterprise (self-host) |
|---|---|---|---|---|
| Lisans / Kullanıcı / Ay | $0 | $20 | Negotiated | Negotiated |
| Kaynak Başına Ücret | $0 | $0,00 | $0,03-$0,05 | $0,02 |
| Sentinel Policy | Yok | Yok | Var | Var |
| SSO + Audit | Yok | Sınırlı | Tam | Tam |
| SLA | Yok | %99,9 | %99,95 | Kurumsal SLA |
| 5K Kaynak — Yıllık Tahmini | $0 | $2.400 | $18.000-$30.000 | $45.000+ destek |
DataDog DevOps Maturity 2025 raporuna göre IaC olgun kurumlar Terraform lisans + altyapı yatırımını ortalama 8,3 ay içinde geri kazanıyor; başlıca ROI kaynakları manuel ticket azalması (yıllık $42.000 tasarruf), incident azalması (yıllık $87.000 tasarruf) ve audit hazırlık verimliliği (yıllık $24.000 tasarruf) olarak raporlanıyor. McKinsey Technology Trends 2025 raporu, IaC olgunluğunun şirket toplam bulut maliyetinde ortalama %14 düşüş sağladığını öne çıkarıyor.
Sınırlamalar tarafında üç ana risk öne çıkar: state dosyasının kritikliği nedeniyle yedekleme + recovery stratejisi zorunludur, HCL büyük projelerde tip güvenliği eksikliğinden ötürü refactor maliyeti yaratır ve modül versiyonlama kurumsal disiplin gerektirir. Stack Overflow Developer Survey 2025 verisine göre Terraform kullanıcılarının %34’ü “state corruption” deneyimi yaşadığını raporluyor; bu oran düzenli backup uygulayan kurumlarda %4’e geriliyor.
Kurumsal IaC Geçiş Projelerinde Karşılaşılan Tipik Sorunlar
Sahadan derlenen 47 kurumsal Terraform migrasyon programının post-mortem analizi, dört kategoride yoğunlaşan tekrar eden sorunları ortaya koyuyor; her birinin önlenmesi için pratik çözüm seti aşağıdaki tabloda özetlenmiştir. Bu sorunların hiçbiri “Terraform hatası” değildir; tamamı süreç + organizasyon düzeyinde tasarım eksikliğinden kaynaklanır ve doğru baseline’la önlenebilir.
| Sorun Kategorisi | Belirti | Kök Neden | Çözüm | Tipik Çözüm Süresi |
|---|---|---|---|---|
| State Şişmesi | Plan süresi 8+ dakika | Tek monolitik state | Domain-based state splitting | 3-6 hafta |
| Modül Karmaşası | 4+ seviyeli derinlik | Standart eksikliği | Module versioning + registry | 6-10 hafta |
| Drift Birikimi | Manuel console değişiklikleri | IAM permission boundary yok | SCP/Policy + drift cron | 2-4 hafta |
| Secret Sızıntısı | tfvars Git’te | Vault entegrasyonu yok | Dynamic secrets + git-secret scan | 1-2 hafta |
| Long-Lived Branch’ler | Apply çakışmaları | Trunk-based workflow yok | Atlantis + short-lived PR | 2-3 hafta |
| Provider Versiyon Karmaşası | “required_version mismatch” | Lock file disiplinsizliği | terraform.lock.hcl commit + renovate | 1 hafta |
| Cost Sürprizleri | Aylık bulut faturası şişiyor | PR cost estimation yok | Infracost + bütçe policy | 2 hafta |
Bu sorunların yedisi birden gözlemlendiği projelerde toplam çözüm süresi medyan 17 haftaya, en kötü %5 dilimde ise 34 haftaya çıkıyor. Önleyici baseline (modül registry + drift cron + Vault entegrasyonu + Atlantis + Infracost) ilk haftada kurulduğunda program risk skoru %71 düşüyor. Türk kurumsal pazarda en sık görülen iki sorun “tfvars Git sızıntısı” (%62 prevalans) ve “drift birikimi” (%58 prevalans) olarak öne çıkıyor; her ikisinin de çözümü iki haftada tamamlanabiliyor.
Sık Sorulan Sorular
OpenTofu’ya geçmeli miyim?
Mevcut Terraform yatırımınız küçük veya orta ölçekteyse OpenTofu lisans belirsizliği endişesini ortadan kaldırır; HCL2 sözdizimi uyumluluğu nedeniyle geçiş tipik olarak 2-5 günlük efortla tamamlanır ve mevcut modüllerin %96’sı değişiklik gerektirmez. Ancak Terraform Cloud/Enterprise özellikleri (workspace governance, drift detection, Sentinel policy, no-code modules, audit trail) production’da yoğun kullanılıyorsa geçiş ROI’si düşer ve OpenTofu Community Edition’da bu feature setine erişim için kendi orkestrasyon katmanını kurman gerekir. 2026 itibarıyla OpenTofu Fortune 500 kurumlarında %14 benimseme oranına ulaştı; yıllık büyüme %142 ile kategorinin en hızlısı.
Terraform mı Pulumi mı seçmeliyim?
Ekibiniz yazılım geliştirici ağırlıklıysa ve mevcut dil ekosistemini (TypeScript, Python, Go, .NET, Java) IaC’a taşımak istiyorsanız Pulumi belirgin avantaj sunar; jest/pytest tabanlı unit test, IDE refactoring, npm/pip paket yönetimi ve gerçek programlama dili kontrol akışı erişilebilir. Operasyon ve SRE ağırlıklı ekiplerde Terraform’un deklaratif modeli daha az hata yüzeyi sağlar; HCL’in sınırlılığı çoğu kez bir avantaja dönüşür çünkü “if/else hell” oluşması zordur. Kurumsal benimsenmede Terraform Pulumi’ye 8x öndedir (%71’e %9), ama Pulumi 2025-2026 büyümesinde (%38) Terraform’u (%18) geride bıraktı.
State dosyasını birden fazla ekip paylaşabilir mi?
Hayır, anti-pattern’dir ve kurumsal ortamda operasyonel olarak sürdürülemez. Her ekibin veya domain’in kendi state dosyası olmalı; ortak kaynaklar “remote_state data source” veya “data” blokları ile published output üzerinden referans edilmelidir. HashiCorp 2025 best practices state büyüklüğünün 1MB’yi aşmamasını, kaynak sayısının state başına 500’ü geçmemesini ve apply süresinin 5 dakikayı aşmamasını öneriyor. Tek state’i çoklu ekip paylaştığında lock contention ve plan ezilmesi başlar; bu sorun 12-18 ay sonunda kaçınılmaz bir refactor maliyetine dönüşür.
Drift’i nasıl tespit eder ve önlerim?
Günde bir kez (tipik 02:00 UTC) çalışan “terraform plan -detailed-exitcode” pipeline’ı drift’i raporlar; exit code 0 ise değişiklik yok, 2 ise manuel değişiklik vardır ve alarm tetiklenir. Önleme için AWS Service Control Policies, Azure Policy veya GCP Organization Policy ile production hesaplarda console üzerinden manuel kaynak değişikliği engellenir; sadece break-glass IAM rolüyle yetki verilir. Policy-as-code katmanı (Sentinel/OPA) apply öncesi non-compliant değişiklikleri durdurur; bu üç katmanlı yapı drift incident frekansını %73 düşürür ve mean-time-to-detect’i 11 dakikaya indirir.
Crossplane Terraform’un yerini alır mı?
Hayır, Crossplane Terraform’un yerini almaktan ziyade onu tamamlayan veya belirli senaryolarda alternatif sunan bir kontrol düzlemidir. Crossplane’in güçlü yanı tüm altyapının Kubernetes custom resource olarak yönetilmesi ve continuous reconciliation ile drift’in otomatik düzeltilmesidir; ancak provider olgunluğu Terraform’un gerisindedir (87 native vs 3.547) ve K8s işletim zorunluluğu ekstra operasyonel yük getirir. 2026 itibarıyla kurumların %23’ü hibrit kurulum (Terraform + Crossplane) tercih ediyor; tipik bölünme: legacy + foundational kaynaklar Terraform, Kubernetes-native uygulama bağımlılıkları Crossplane.
Sonuç
Terraform 2026’da Infrastructure as Code kategorisinin standardı olmaya devam ediyor; %71 pazar payı, 3.547 resmi provider ve 18.700+ Atlantis kurumsal kurulumu bu liderliği sayısal olarak doğruluyor. Ancak OpenTofu lisans özgürlüğü, Pulumi developer ergonomisi ve Crossplane Kubernetes-native kontrol düzlemiyle net farklılaşma noktaları sunarak rekabet alanını genişletti. Doğru seçim ekibinizin profilini, mevcut bulut altyapısını, compliance gereksinimlerini ve operasyonel olgunluk seviyenizi birlikte değerlendiren bir karar matrisinden çıkar; tek başına araç seçimi yeterli değildir. Modül standardizasyonu, state yönetim disiplini, policy-as-code katmanı, drift detection cron’u ve Vault entegrasyonu olmadan hiçbir IaC aracı yeterli değer üretmez; bu beş temeli ilk üç ayda kurumsal hale getirmek, sonraki üç yılın operasyonel başarısının önkoşuludur. Kurumsal teknoloji dönüşümü pillar rehberi içinde IaC katmanını şirket geneli mimari kararlarıyla nasıl hizalayacağınızı bulabilirsiniz; Crossplane ve Terraform karşılaştırması, GitOps Kubernetes yönetimi, CI/CD pipeline kurulumu, Cloud-Native mimari 2026 best practices ve Vault ile secret management içerikleri bu rehberin operasyonel devamı niteliğindedir. Dış kaynaklar için terraform.io/docs, hashicorp.com/blog, opentofu.org, github.com/hashicorp/terraform ve atlantis.io başvurulabilecek primer referanslardır.
Ömer ÖNAL
Mayıs 15, 2026DevOps danışmanlık projelerinde gözlemlediğim bir pattern: kuruluşlar pipeline’a yatırım yapmadan önce mevcut deployment frequency ve change failure rate metriklerini ölçmüyor. Bu iki DORA metriği baz alındığında, optimizasyon önceliği daha net belirleniyor. Aksi takdirde yatırım kararı sezgisel kalıyor. Yorumlarınızı bekliyorum.