Solomon Hykes ve Docker: Konteynerler Neden Varsayılan Oldu?

Bu Hikaye Ne Anlatıyor (ve Neden Önemli)\n\nSolomon Hykes, yazılımı "her yerde aynı şekilde çalıştırmak" fikrini günlük kullanım için gerçekçi ve tekrar üretilebilir hale getiren mühendisti. 2013'te ekibe sunduğu proje Docker olarak yayıldı ve şirketlerin uygulama gönderme şeklini hızla değiştirdi.\n\nO dönemdeki sorun basit ve tanıdıktı: bir uygulama geliştiricinin bilgisayarında çalışıyor, sonra bir ekip arkadaşının makinesinde farklı davranıyor, staging'de veya üretimde yeniden bozuluyordu. Bu “tutarsız ortamlar” sadece can sıkıcı değildi — sürümleri yavaşlatıyor, hataları çoğaltmayı zorlaştırıyor ve geliştirme ile operasyonlar arasında bitmeyen el değişimine neden oluyordu.\n\n### Docker'ın çözdüğü problem (basitçe)\n\nDocker, ekiplerin uygulamayı beklediği bağımlılıklarla birlikte paketlemeleri için tekrarlanabilir bir yol sundu — böylece uygulama bir laptopta, test sunucusunda veya bulutta aynı şekilde çalışabiliyordu.\n\nBu yüzden insanlar konteynerlerin “varsayılan paketleme ve dağıtım birimi” haline geldiğini söyler. Basitçe: \n\n- Paketleme birimi: inşa ettiğiniz ve sakladığınız şey (bir konteyner imajı)\n- Dağıtım birimi: bir ortamda çalıştırdığınız şey (bir konteyner)\n\nBirçok ekip artık “bir ZIP dosyası artı kurulum talimatları” yerine uygulamanın ihtiyaç duyduğu her şeyi zaten içeren bir imaj dağıtıyor. Sonuç daha az sürpriz ve daha hızlı, daha öngörülebilir sürümler.\n\n### Bu hikayeden ne elde edeceksiniz\n\nBu yazı tarih ile pratik kavramları harmanlıyor. Solomon Hykes'in kim olduğunu, Docker'ın neden tam zamanında ortaya çıktığını ve temel mekanikleri — derin altyapı bilgisi varsaymadan — öğreneceksiniz.\n\nAyrıca konteynerlerin bugün nereye sığdığını göreceksiniz: CI/CD ve DevOps iş akışlarına nasıl bağlandıkları, neden daha sonra Kubernetes gibi orkestrasyon araçlarının önemli hale geldiği ve konteynerlerin otomatik olarak neyi çözmediği (özellikle güvenlik ve güven açısından).\n\nSonunda, “bunu bir konteyner olarak gönder” deme alışkanlığının modern uygulama dağıtımında neden varsayılan bir beklenti haline geldiğini açık ve kendinden emin şekilde açıklayabileceksiniz.\n\n## Docker'dan Önce: Uygulamaları Göndermek Neden Bu Kadar Zordu\n\nKonteynerler yaygınlaşmadan önce, bir uygulamayı geliştiricinin laptopundan bir sunucuya taşımak genellikle uygulamayı yazmaktan daha acı vericiydi. Ekipler yeteneksiz değildi — “çalışan şeyi” ortamlardan birine güvenli şekilde taşımak için güvenilir bir yola ihtiyaçları vardı.\n\n### “Makinemde çalışıyor” gerçek bir sorundu\n\nBir geliştirici uygulamayı bilgisayarında mükemmel çalıştırabilir, sonra staging veya üretimde başarısız olduğunu görebilirdi. Kod değişmediği halde çevre değiştiği için bu olurdu. Farklı işletim sistemi sürümleri, eksik kütüphaneler, biraz farklı yapılandırma dosyaları veya farklı varsayılanlarla çalışan bir veritabanı aynı derlemeyi bozabilirdi.\n\n### Bağımlılık çakışmaları ve uzun kurulum dokümanları\n\nBirçok proje uzun, kırılgan kurulum talimatlarına dayanıyordu:\n\n- bu dil çalışma zamanını yükleyin\n- o sistem paketini derleyin\n- belirli bir kütüphane sürümünü sabitleyin\n- ortam değişkenlerini tam doğru yere ayarlayın\n\nBu rehberler dikkatli yazılsa bile çabuk eskiyebiliyordu. Bir ekip arkadaşının bağımlılığı yükseltmesi, herkes için onboarding'i kazara bozabilirdi.\n\nDahası, aynı sunucuda çalışan iki uygulama çakışan runtime veya kütüphane sürümleri gerektirebilir, bu da ekipleri garip geçici çözümlere veya ayrı makineler kullanmaya zorladı.\n\n### Paketleme ve dağıtım ayrıydı — ve uyumlu değildi\n\n“Paketleme” genellikle bir ZIP dosyası, tarball veya yükleyici üretmek anlamına geliyordu. “Dağıtım” ise farklı betikler ve sunucu adımlarını ifade ediyordu: bir makine sağlamak, yapılandırmak, dosyaları kopyalamak, servisleri yeniden başlatmak ve sunucuda başka bir şeyin etkilenmediğini ummak.\n\nBu iki endişe nadiren temiz şekilde örtüştü. Paket, ihtiyaç duyduğu ortamı tam olarak tanımlamıyordu ve dağıtım süreci hedef sunucunun “tam doğru” şekilde hazırlanmasına dayanıyordu.\n\n### Eksik parça: taşınabilir bir birim\n\nEkiplerin ihtiyacı olan, bağımlılıklarıyla birlikte hareket edebilen ve laptoplarda, test sunucularında ve üretimde tutarlı çalışan tek bir taşınabilir birimdi. Bu baskı — tekrarlanabilir kurulum, daha az çakışma ve öngörülebilir dağıtım — konteynerlerin uygulama gönderme için varsayılan yol haline gelmesinin zeminini hazırladı.\n\n## Solomon Hykes ve Docker'ın Doğuşu (Yüksek Seviyede Zaman Çizelgesi)\n\nDocker, “yazılımları sonsuza kadar değiştirmek” gibi büyük bir planla başlamadı. Solomon Hykes liderliğindeki mühendislik çalışması sırasında bir platform-as-a-service ürünü inşa edilirken ortaya çıkan pratik ihtiyaçlardan büyüdü. Ekip, geleneksel “makinemde çalışıyor” sürprizleri olmadan uygulamaları farklı makinelerde paketlemek ve çalıştırmak için tekrarlanabilir bir yönteme ihtiyaç duyuyordu.\n\n### Bir platform sorunundan yeniden kullanılabilir bir araca\n\nDocker halk arasında ünlü olmadan önce, temel ihtiyaç açıktı: bir uygulamayı bağımlılıklarıyla paketlemek, güvenilir şekilde çalıştırmak ve birçok müşteri için bunu tekrar etmek.\n\nDocker'a dönüşen proje, içsel bir çözüm olarak ortaya çıktı — dağıtımları öngörülebilir yapan ve ortamları tutarlı kılan bir şey. Ekip, paketleme ve çalıştırma mekanizmasının kendi ürünlerinin ötesinde geniş kullanım alanı olduğunu fark edince projeyi kamuya açtı.\n\nBu yayın önemliydi çünkü özel bir dağıtım tekniğini tüm sektörün benimseyebileceği, geliştirebileceği ve standartlaştırabileceği ortak bir araç zincirine dönüştürdü.\n\n### “Docker” ile “konteynerler” aynı şey değil\n\nBu ikisini birbirine karıştırmak kolaydır ama farklıdırlar:\n\n- Konteynerler: kavramdır — uygulamaları bağımlılıklarıyla birlikte çalıştırmak için OS seviyesinde izolasyon (Linux'ta namespaces ve cgroups gibi) kullanan süreçlerdir.\n- Docker: konteynerleri günlük geliştiriciler için erişilebilir kılan, ürünleştirilmiş deneyimdir.\n\nKonteynerler Docker'dan önce de çeşitli şekillerde vardı. Değişen şey, Docker'ın iş akışını geliştirici dostu komutlar ve sözleşmeler haline getirmesiydi — bir imaj oluştur, bir konteyner çalıştır, bir başkasıyla paylaş.\n\n### Günlük geliştirici işini değiştiren kilometre taşları\n\nDocker'ı "ilginç"ten "varsayılan"a taşıyan birkaç geniş kabul görmüş adım vardı:\n\n- Basit bir build formatı (Dockerfile): paketlemeyi kırılgan kurulum dokümanları yerine bir tarif yazmak gibi hissettirdi.\n- Standart bir artefakt (imaj): ekiplerin ortamları sürümlenebilir teslimatlar gibi ele almasını sağladı.\n- Kayıt depoları aracılığıyla kolay paylaşım: laptoplar, CI sunucuları ve üretim arasında “pull edip çalıştır” iş akışlarını mümkün kıldı.\n- Ekosistem ve standardizasyon çabaları: konteyner imajları ve runtime'ları tek bir satıcıya bağlı olmaktan çıkarıp ortak bir endüstri arabirimi haline getirmeye yardımcı oldu.\n\nPratik sonuç: geliştiriciler ortamları çoğaltma üzerine tartışmayı bıraktı ve aynı çalıştırılabilir birimi her yerde göndermeye başladı.\n\n## Konteynerler 101: Ne Oldukları (ve Ne Değiller)\n\nKonteynerler, bir uygulamayı laptopunuzda, bir iş arkadaşınızın makinesinde ve üretimde aynı şekilde davranacak şekilde paketlemenin ve çalıştırmanın yoludur. Temel fikir tam bir yeni bilgisayar başlatmadan izolasyon sağlamaktır.\n\n### Konteynerler vs. Sanal Makineler (basit bir zihinsel model)\n\nBir sanal makine (VM) tam bir daire kiralamaya benzer: kendi kapınız, altyapınız ve kendi işletim sisteminiz olur. Bu nedenle VM'ler farklı OS türlerini yan yana çalıştırabilir, ama daha ağırdır ve genelde daha uzun sürede başlar.\n\nBir konteyner ise paylaşılan bir binada kilitli bir oda kiralamaya benzer: kendi mobilyanızı (uygulama kodu + kütüphaneler) getirirsiniz, ama binanın altyapısı (host işletim sistemi kernel'i) ortaktır. Diğer odalardan ayrılık elde edersiniz, ama her seferinde tam bir OS başlatmazsınız.\n\n### Konteynerler uygulamaları nasıl izole eder (kavramsal)\n\nLinux'ta konteynerler şu yerleşik izolasyon özelliklerine dayanır:\n\n- süreçlere sistemin kendi "görünümünü" verir (uygulama A, uygulama B'nin dosyalarını ve süreçlerini görmez)\n- CPU ve bellek gibi kaynakları sınırlar ve hesaba katar (bir gürültülü uygulamanın diğerlerini kolayca aç bırakmasını engeller)\n\nKernel detaylarını bilmenize gerek yok ama konteynerlerin sihir değil, OS özelliklerini kullandığını bilmek faydalıdır.\n\n### Neden insanlar onları seviyor\n\nKonteynerler popüler oldu çünkü:\n\n- Hafifler: tam bir OS içermedikleri için VM imajlarından genelde daha küçüktürler\n- Hızlı başlarlar: genelde saniyeler içinde (veya daha hızlı), ölçekleme ve test için ideal\n- Tutarlı: paketlenmiş çalışma zamanı "makinemde çalışıyor" problemlerini azaltır\n\n### Konteynerler değildir\n\nKonteynerler varsayılan olarak bir güvenlik sınırı değildir. Çünkü konteynerler host kernel'ini paylaşır, kernel seviyesindeki bir güvenlik açığı birden fazla konteyneri etkileyebilir. Ayrıca, bir Linux kernel üzerinde Windows konteyner çalıştırmak (veya tam tersi) ekstra sanallaştırma gerektirir.\n\nYani: konteynerler paketleme ve tutarlılığı iyileştirir — ama hâlâ akıllı güvenlik, yamalama ve yapılandırma uygulamaları gerekir.\n\n## Docker Modeli: Dockerfile, Image, Container\n\nDocker, ekiplerin net "parçalar" ile basit bir zihinsel modele sahip olmasını sağlayarak başarılı oldu: Dockerfile (talimatlar), imaj (oluşturulmuş artefakt) ve konteyner (çalışan örnek). Bu zinciri anladıktan sonra Docker ekosistemi daha anlamlı olur.\n\n### Dockerfile: tekrarlanabilir bir tarif\n\nDockerfile, uygulama ortamınızı adım adım nasıl inşa edeceğinizi anlatan düz metin dosyasıdır. Bunu bir yemek tarifi gibi düşünün: kendi başına kimseyi beslemez, ama her seferinde aynı yemeği nasıl üreteceğinizi kesin olarak söyler.\n\nTipik Dockerfile adımları arasında: bir base seçmek (ör. bir dil runtime), uygulama kodunu kopyalamak, bağımlılıkları yüklemek ve çalıştırılacak komutu belirtmek bulunur.\n\n### Image vs. container: plan vs. çalışan uygulama\n\nBir imaj, Dockerfile'dan oluşturulmuş sonuçtur. Kodunuz, bağımlılıklarınız ve yapılandırma varsayımları dahil her şeyi paketlenmiş bir snapshot olarak içerir. "Canlı" değildir — gönderilebilen kapalı bir kutu gibidir.\n\nBir konteyner, bir imajı çalıştırdığınızda elde ettiğiniz şeydir. Kendi izole dosya sistemi ve ayarlarına sahip çalışan bir süreçtir. Aynı imajdan birden fazla konteyner oluşturabilirsiniz.\n\n### Layer'lar ve cache: neden build'ler hızlı olabilir\n\nİmajlar katmanlıdır. Dockerfile'daki her talimat genellikle yeni bir katman oluşturur ve Docker değişmeyen katmanları yeniden kullanmaya (cache) çalışır.\n\nBasitçe: sadece uygulama kodunuzu değiştirirseniz, Docker genelde işletim sistemi paketlerini ve bağımlılıkları yükleyen katmanları yeniden kullanabilir, böylece yeniden inşa çok daha hızlı olur. Bu aynı zamanda projeler arasında yeniden kullanım teşvik eder — birçok imaj ortak base katmanları paylaşır.\n\n### Küçük bir uçtan uca akış\n\nİşte “tarif → artefakt → çalışan örnek” akışı:\n\nDockerfile\nFROM node:20-alpine\nWORKDIR /app\nCOPY package*.json ./\nRUN npm ci\nCOPY . .\nCMD [\"node\", \"server.js\"]\n\n\n- Dockerfile: yukarıdaki talimatlar\n- İmaj oluştur: docker build -t myapp:1.0 .\n- Konteyneri çalıştır: docker run --rm -p 3000:3000 myapp:1.0\n\nBu, Docker'ın popülerleştirdiği temel vaat: imajı oluşturabiliyorsanız, aynı şeyi güvenilir şekilde çalıştırabilirsiniz — laptopunuzda, CI'da veya bir sunucuda — her seferinde kurulum adımlarını yeniden yazmadan.\n\n## Laptop'tan Ekibe: Kayıt Depoları ve İmaj Paylaşımı\n\nKendi laptopunuzda bir konteyner çalıştırmak faydalıdır — ama gerçek kırılma noktası ekiplerin tam olarak aynı derlemeyi paylaşabilmesiydi; böylece “makinemde çalışıyor” tartışmaları ortadan kalktı.\n\nDocker, imaj paylaşımını kod paylaşmak kadar normal hale getirdi.\n\n### Registry nedir (basitçe)\n\nBir konteyner registry'si, konteyner imajlarını sakladığınız yerdir. İmaj paketlenmiş uygulama ise, registry paketlenmiş sürümleri sakladığınız yerdir ki başkaları veya sistemler bunları çekip çalıştırabilsin.\n\nRegistry'ler basit bir iş akışını destekler:\n\n- Push: oluşturduğunuz bir imajı yükleyin\n- Pull: başkasının oluşturduğu bir imajı indirin\n- Sürümleme: birden fazla adlandırılmış sürüm tutun böylece ileri veya geri alabilirsiniz\n\nBirçok ekip için, kamuya açık registry'ler başlamak için kolaydı. Ancak çoğu ekip yakında erişim kurallarına ve uyumluluk gereksinimlerine uyan bir registry'ye ihtiyaç duydu.\n\n### Tag'ler: büyük sorunları önleyen küçük bir alışkanlık\n\nİmajlar genelde isim:tag ile tanımlanır — ör. myapp:1.4.2. Bu tag bir etiket olmaktan öte: insanlar ve otomasyonun hangi derlemenin çalıştırılacağı konusunda anlaşma biçimidir.\n\nYaygın bir hata latest'e güvenmektir. Kolay görünüyor ama belirsizdir: “latest” haber verilmeksizin değişebilir ve ortamlar sürüklenebilir. Bir dağıtım önceki dağıtımdan farklı bir derlemeyi çekebilir — kimse yükseltmeyi amaçlamasa bile.\n\nDaha iyi alışkanlıklar:\n\n- Yayınlar için açık sürüm etiketleri kullanın (ör. 1.4.2)\n- İzlenebilirlik için commit hash ile de etiketleyin\n- Tag'leri yayın sürecinizin bir parçası olarak ele alın, sonradan düşünülmesin\n\n### Özel registry'ler gerçek ekipler için neden önemli\n\nİç servisler, ücretli bağımlılıklar veya şirket kodu paylaşılmaya başlandığında genellikle özel bir registry istenir. Bu, kimin çekip itebileceğini kontrol etmenizi, single sign-on ile entegrasyonu ve ticari yazılımları kamu indekslerinden uzak tutmayı sağlar.\n\nBu, "laptop'tan ekibe" sıçramadır: imajlar bir registry'de yaşadığında CI sisteminiz, iş arkadaşlarınız ve üretim sunucularınız aynı artefaktı çekebilir — dağıtım rastgele değil, tekrarlanabilir olur.\n\n## Konteynerlerin CI/CD'ye Neden Uygun Olduğu\n\nCI/CD, uygulamanızı tek, tekrarlanabilir bir "şey" olarak hareket ettirebildiğinde en iyi çalışır. Konteynerler tam da bunu sağlar: bir kez oluşturulan ve birçok kez çalıştırılabilen paketlenmiş bir artefakt (imaj) sunar; "makinemde çalışıyor" sürprizlerini büyük ölçüde azaltır.\n\n### Standartlaştırılmış yerel geliştirme\n\nKonteynerlerden önce ekipler uzun kurulum dokümanları ve paylaşılan betiklerle ortamları eşleştirmeye çalışırdı. Docker varsayılan iş akışını değiştirdi: repo'yu çek, bir imaj oluştur, uygulamayı çalıştır. Aynı komutlar macOS, Windows ve Linux üzerinde genelde benzer şekilde çalışır çünkü uygulama konteyner içinde koşar.\n\nBu standardizasyon onboarding'i hızlandırır. Yeni ekip üyeleri bağımlılıkları kurmak yerine ürünü anlamaya daha fazla zaman harcar.\n\n### "Bir kez derle, her yerde çalıştır" pratiği\n\nGüçlü bir CI/CD kurulumu tek bir pipeline çıktısı hedefler. Konteynerlerle çıktı bir imajdır ve genelde bir commit SHA ile etiketlenir. Aynı imaj dev → test → staging → prod arasında terfi ettirilir.\n\nUygulamayı her ortam için farklı şekilde yeniden inşa etmek yerine konfigürasyonu (ör. ortam değişkenleri) değiştirdiğinizde artefakt aynı kalır. Bu ortam sürüklenmesini azaltır ve sürümleri debug etmeyi kolaylaştırır.\n\n### CI pipeline'ları için doğal eşleşme\n\nKonteynerler pipeline adımlarına iyi uyum sağlar:\n\n- Build: Dockerfile'dan imaj oluşturma\n- Test: birim/entegre testleri imaj içinde çalıştırma\n- Scan: imajı bilinen güvenlik açıkları ve tehlikeli paketler için kontrol etme\n- Deploy: bir registry'ye push etme, sonra bir sonraki ortamda pull edip çalıştırma\n\nHer adım aynı paketlenmiş uygulama üzerinde çalıştığı için başarısızlıklar daha anlamlıdır: CI'da geçen bir test dağıtımdan sonra da büyük olasılıkla aynı şekilde davranır.\n\nEğer sürecinizi iyileştiriyorsanız, basit kurallar (etiketleme konvansiyonları, imaj imzalama, temel taramalar) koymak işe yarar; bu kurallar büyüdükçe genişletilebilir. Ayrıca sık yapılan hatalarla ilgili ayrıntılara bakabilirsiniz (örneğin sık yapılan hatalar makalesi).\n\nModern "vibe-coding" iş akışlarıyla bağlantı: Koder.ai gibi platformlar sohbet arayüzü üzerinden tam yığın uygulamalar üretebilir ve yineleyebilir — ancak yine de "çalışıyor" durumundan "gönderildi" duruma geçmek için güvenilir bir paketleme birimine ihtiyacınız vardır. Her derlemeyi sürümlenmiş bir konteyner imajı olarak ele almak, AI destekli geliştirmede bile tekrarlanabilir build'ler, öngörülebilir dağıtımlar ve geri alma hazır sürümler sağlayarak uyumu korur.\n\n## Ölçekte Çalıştırma: Neden Kubernetes Gündeme Geldi\n\nDocker, bir uygulamayı bir kez paketleyip her yerde çalıştırmayı pratik hale getirdi. Sonraki zorluk çabuk ortaya çıktı: ekipler bir laptopta tek bir konteyner çalıştırmak yerine onlarca (sonra yüzlerce) konteyneri birçok makine üzerinde, sık değişen sürümlerle çalıştırdı.\n\nO noktada "konteyner başlatmak" zor olmaktan çıkar. Zor olan, bir filo yönetmektir: her konteynerin nerede çalışacağını karar verme, doğru sayıda kopyayı çevrimiçi tutma ve işler bozulduğunda otomatik toparlanma sağlama.\n\n### Orkestratörlerin ortaya çıkış nedeni\n\nBirçok sunucuya yayılmış çok sayıda konteyneriniz olduğunda bunları koordine edebilecek bir sisteme ihtiyaç duyarsınız. İşte konteyner orkestratörleri bunu yapar: altyapınızı bir kaynak havuzu olarak ele alır ve uygulamalarınızın istenen durumda kalması için sürekli çalışır.\n\nKubernetes bu ihtiyaca en yaygın cevap oldu (tek seçenek değil). Birçok ekip ve platformun ortaklaşa benimsediği bir kavram ve API seti sağlar.\n\n### Docker vs. orkestrasyon: farklı işler\n\nSorumlulukları ayırmak yardımcı olur:\n\n- Docker (ve benzeri araçlar) imaj oluşturma ve tek makinada konteyner çalıştırmaya odaklanır.\n- Kubernetes ise konteynerleri ölçekli şekilde çalıştırmaya odaklanır: birden çok makine üzerinde, availability zone'lar arasında, rolling update'lerle.\n\n### Kubernetes'in sunduğu temel fikirler\n\nKubernetes, konteynerler tek bir host'un ötesine geçtiğinde ihtiyaç duyulan bazı pratik yetenekleri popülerleştirdi:\n\n- Planlama (scheduling): konteynerleri uygun makinelere yerleştirme\n- Ölçekleme: çalışan kopya sayısını talebe göre arttırıp azaltma\n- Servis keşfi ve yük dengeleme: IP'ler ve örnekler değişse bile konteynerlerin birbirini bulmasını sağlama\n- Self-healing: çöken konteynerleri yeniden başlatma, sağlıksız örnekleri değiştirme, bir makine arızalandığında işleri yeniden planlama\n\nKısacası, Docker birimi taşınabilir kıldı; Kubernetes ise çok sayıda birim hareket halindeyken bunları işletilebilir, öngörülebilir ve sürekli hale getirdi.\n\n## Konteynerler Uygulama Mimarilerini Nasıl Değiştirdi\n\nKonteynerler sadece yazılımın nasıl dağıtıldığını değiştirmedi — takımları yazılımı farklı tasarlamaya da itti.\n\n### “Microservices'i göndermeyi kolaylaştırdı” (monolitleri yasaklamaz)\n\nKonteynerlerden önce bir uygulamayı birçok küçük hizmete bölmek operasyonel zorlukları çoğaltabilirdi: farklı runtime'lar, çakışan bağımlılıklar, karmaşık dağıtım betikleri. Konteynerler bu sürtüşmeyi azalttı. Her servis bir imaj olarak gönderilip aynı şekilde çalıştırılıyorsa, yeni bir servis oluşturmak daha az riskli hissedilir.\n\nYine de, konteynerler monolitler için de iyi çalışır. Bir konteyner içindeki monolit, yarım kalmış bir microservices göçünden daha basit olabilir: tek bir dağıtılabilir birim, tek log seti, tek bir ölçeklendirme kolu. Konteynerler bir stili zorunlu kılmaz — birden fazla stili daha yönetilebilir hale getirir.\n\n### Standart arabirimler norm haline geldi\n\nKonteyner platformları uygulamaların bilinen girdiler ve çıktılarla iyi davranan "kara kutular" gibi davranmasını teşvik etti. Yaygın konvansiyonlar şunlardır:\n\n- Portlar: uygulama bilinen bir portta dinler, platform trafiği yönlendirir\n- Ortam değişkenleri: konfigürasyon çalıştırma zamanında enjekte edilir, koda gömülmez\n- Volume'lar: kalıcı veriler bağlanır; konteyner kolayca değiştirilebilir hale gelir\n\nBu arabirimler sürümleri değiştirmeyi, geri almayı ve aynı uygulamayı laptoplarda, CI'da ve üretimde çalıştırmayı kolaylaştırdı.\n\n### Yeni desenler (ve yeni cazibeler)\n\nKonteynerler sidecar gibi tekrarlanabilir yapı taşlarını popülerleştirdi (ana uygulamanın yanında loglama, proxy veya sertifika işleri için yardımcı bir konteyner). Ayrıca her konteyner için bir süreç kuralını güçlendirdi — katı bir kural değil ama açıklık, ölçekleme ve sorun giderme için faydalı bir varsayılan.\n\nAna tuzak ise aşırı parçalamadır. Her şeyi servis haline getirebileceğiniz için mutlaka öyle yapmanız gerektiği anlamına gelmez. Bir "microservice" koordinasyon, gecikme ve dağıtım yükü ekliyorsa, farklı ölçekleme ihtiyaçları, sahiplik veya hata izolasyonu gibi net bir sınır oluşana kadar bir arada tutun.\n\n## Güvenlik ve Güven: Konteynerlerin Otomatik Olarak Çözmediği Şeyler\n\nKonteynerler yazılımı göndermeyi kolaylaştırır, ama onu sihirli şekilde daha güvenli hale getirmez. Bir konteyner hâlâ kod + bağımlılıklardan ibarettir ve yanlış yapılandırılmış, güncel olmayan veya kötü niyetli olabilir — özellikle imajlar internetten minimum denetimle çekiliyorsa.\n\n### Güven, imaj kökeniyle başlar\n\n"Bu imaj nereden geldi?" sorusuna cevap veremiyorsanız zaten risk alıyorsunuz demektir. Ekipler genellikle kontrol edilen CI içinde imaj oluşturma, oluşturulan şeyleri imzalama/attest etme ve imajın içine neyin girdiğini (bağımlılıklar, base imaj sürümü, derleme adımları) kaydetme yönünde ilerler.\n\nSBOM (Software Bill of Materials) bu noktada yardımcı olur: konteyner içeriğinizi görünür ve denetlenebilir kılar.\n\nTaramalar bir sonraki pratik adımdır. İmajları düzenli tarayın, fakat sonuçları kesin güvenlik garantisi olarak değil, karar vermede bir girdi olarak değerlendirin.\n\n### En az ayrıcalık ve secret'lar: sık düşülen tuzaklar\n\nSık yapılan hata, konteynerleri aşırı geniş izinlerle çalıştırmaktır — varsayılan root kullanıcı, gereksiz Linux yetenekleri, host networking veya "çünkü çalışıyor" diye privileged modu kullanmak. Bunların her biri bir şey ters gittiğinde etki alanını genişletir.\n\nSecret'lar başka bir tuzaktır. Ortam değişkenleri, imaj içine gömülmüş yapılandırma dosyaları veya commit edilmiş .env dosyaları kimlik bilgilerini sızdırabilir. Secret store veya orkestratörün sunduğu secret mekanizmalarını tercih edin ve maruz kalmayı kaçınılmaz sayarak periyodik rotasyon uygulayın.\n\n### Çalışma zamanı riskleri insanların gözden kaçırdığı noktalar\n\nTemiz görünen imajlar bile çalışma zamanında tehlikeli olabilir. Exposed Docker socket, aşırı izinli volume mount'lar ve konteynerlerin ihtiyaç duymadığı dahili servislere erişebilmesi gibi durumlara dikkat edin.\n\nAyrıca unutmayın: host ve kernel yamalarını uygulamak hâlâ önemlidir — konteynerler kernel'i paylaşır.\n\n### Basit bir kontrol listesi zihniyeti\n\nDört fazda düşünün:\n\n- Build: kontrollü build'ler, SBOM'lar, tarama, base imajları küçültme\n- Store: özel registry'ler, erişim kontrolü, değişmezlik politikaları\n- Run: en az ayrıcalık, ağ kısıtları, kaynak limitleri, secret yayılımını engelleme\n- Monitor: loglar, uyarılar, anomali tespiti, hızlı yeniden oluştur ve yeniden dağıt\n\nKonteynerler sürtünmeyi azaltır — ama güven hâlâ kazanılmalı, doğrulanmalı ve sürekli korunmalıdır.\n\n## Yaygın Hatalar ve Kaçınma Yolları\n\nDocker paketlemeyi öngörülebilir kılar, ama biraz disipliniyle birlikte kullanıldığında. Birçok ekip aynı çukurlara düşer — sonra "konteynerler"i suçlar, oysa gerçek sorun iş akışıdır.\n\n### Herkesi yavaşlatan anti-pattern'ler\n\nKlasik bir hata devasa imajlar oluşturmaktır: tam OS base imajları kullanmak, runtime'da gerekli olmayan build araçlarını dahil etmek ve tüm repoyu (testler, dokümanlar, node_modules dahil) kopyalamak. Sonuç: yavaş indirmeler, yavaş CI ve güvenlik yüzeyinin büyümesi.\n\nBir diğer yaygın sorun cache'i bozan yavaş build'ler. Tüm kaynak ağacını bağımlılıkları yüklemeden önce kopyalarsanız, her küçük kod değişikliği tüm bağımlılıkların yeniden yüklenmesine neden olur.\n\nSon olarak, ekipler genelde latest veya prod gibi belirsiz tag'ler kullanır. Bu geri almayı zorlaştırır ve dağıtımları tahmin edilemez kılar.\n\n### "Localde çalışıyor ama prod'ta değil": gerçek nedenler\n\nBunun genelde sebebi konfigürasyon farklarıdır (eksik env var'lar veya secret'lar), ağ (farklı host adları, portlar, proxy'ler, DNS) veya depolama (verinin konteyner dosya sistemine yazılması yerine volume kullanılması, veya dosya izinleri farkı) gibi etkenlerdir.\n\n### Bugün uygulayabileceğiniz pratik düzeltmeler\n\nMümkünse slim base imajlar kullanın (ekip hazırsa distroless de tercih edilebilir). Base imaj ve önemli bağımlılıklar için sürümleri sabitleyin ki build'ler tekrarlanabilir olsun.\n\nDerleyicileri ve build araçlarını final imaja koymamak için multi-stage build kullanın:\n\ndockerfile\nFROM node:20 AS build\nWORKDIR /app\nCOPY package*.json ./\nRUN npm ci\nCOPY . .\nRUN npm run build\n\nFROM node:20-slim\nWORKDIR /app\nCOPY --from=build /app/dist ./dist\nCMD [\"node\",\"dist/server.js\"]\n\n\nAyrıca, imajları geri izlenebilir bir şekilde etiketleyin (ör. git SHA ve isteğe bağlı olarak insan dostu bir sürüm etiketi).\n\n### Ne zaman konteynerleştirmemeli\n\nUygulama gerçekten basitse (tek bir statik binary, nadiren çalışıyor, ölçeklenme ihtiyacı yoksa), konteyner ek yük getirebilir. Sıkı OS bağımlılığı olan eski sistemler veya özel donanım sürücüleri gerektiren uygulamalar da kötü aday olabilir — bazen bir VM veya yönetilen servis daha temiz bir seçimdir.\n\n## "Varsayılan Birim" Bugün Ne Anlama Geliyor — ve Sonraki Adımlar\n\nKonteynerler, aynı uygulamayı laptoplarda, test sunucularında ve üretimde aynı şekilde çalıştırma gibi çok belirli ve tekrarlanabilir bir acıyı çözdükleri için varsayılan oldu. Uygulamayı ve bağımlılıklarını birlikte paketlemek dağıtımları hızlandırdı, geri almayı güvenli hale getirdi ve ekipler arası el değişimlerini daha az kırılgan yaptı.\n\nAynı zamanda, konteynerler iş akışını standartlaştırdı: bir kez oluştur, gönder, çalıştır.\n\n### "Varsayılan" pratikte ne demek\n\n"Varsayılan" her yerde Docker çalışıyor demek değildir. Anlamı şudur: çoğu modern teslimat hattı bir konteyner imajıni birincil artefakt olarak ele alır — bir ZIP dosyası, VM snapshot'ı veya elle yapılan kurulum adımlarından daha çok.\n\nBu varsayılan genelde üç parçanın birlikte çalışmasını içerir:\n\n- İmajlar: sürümle etiketlenmiş değişmez build çıktıları (tercihen commit SHA ile)