Mimari — Sentinel DB 360 Veri Akışı ve Bileşenler

Veri Akışı

Hedef DB → Collector → Ingestor → MongoDB → Backend → Frontend

Veri akışı tek yönlü: hedef veritabanları yalnızca okunur (READ-only kullanıcı), DMC sunucularına hiçbir veri akmaz. Tüm bileşenler aynı Docker network'ünde çalışır; air-gap kurulumda dış internet bağlantısı gerekmez.

Servis Kataloğu

Beş servis, açık görev tanımı

FastAPI · port 8001

Backend

Ana API sunucusu. JWT auth, /api/v2/* endpoint'leri, ProviderFactory üzerinden hedef DB'lere bağlanır.

Bağımlılık: MongoDB

FastAPI · port 8002

Collector

Zamanlanmış metrik toplama servisi. Varsayılan 60 saniyede bir hedef veritabanlarını sorgular ve sonuçları Ingestor'a HTTP POST eder.

Bağımlılık: Ingestor, hedef DB'ler

FastAPI · port 8003

Ingestor

Collector'dan gelen metrikleri doğrular (Pydantic v2), zaman serisi indekslemesi yapar ve MongoDB metrics_ts koleksiyonuna yazar.

Bağımlılık: MongoDB

FastAPI · port 8004

Advisor

Bulgu üretici. Kural tabanlı analiz veya yapılandırılırsa Azure OpenAI / yerel Ollama ile insight üretir; findings koleksiyonuna yazar.

Bağımlılık: MongoDB, isteğe bağlı AI provider

React 19 · port 3000 (Nginx)

Frontend

Tek sayfa uygulaması. Axios + httpOnly cookie ile Backend'e bağlanır. Recharts/ECharts/React Flow tabanlı görselleştirme.

Bağımlılık: Backend

Mongo 7.0 · port 27017 (dahili)

MongoDB

Tek metadata deposu: kullanıcılar, kaynaklar, metrikler, bulgular, audit log. Production'da port dışa açılmaz, yalnızca container ağı.

Bağımlılık: —

Deployment Modları

İki kurulum modeli

Online

Standart on-premise

İnternete bağlı Linux sunucu. install.sh ile Docker image'lar ACR'dan çekilir, docker-compose ile çalışır. Lisans güncellemeleri online.

Air-Gap

İnternete kapalı kurulum

İnternete bağlı olmayan bankacılık/kamu ağları için. Docker image bundle (~3.5 GB) USB veya stage host üzerinden taşınır, lisans Ed25519 JWT olarak elden teslim. Detay →

Güvenlik Sınırları

Veri sınırı nerede çiziliyor?

Hedef veritabanlarına okuma yetkisi yeter. Sentinel hedef DB'lerde yazma yapmaz; toplama için db_datareader seviyesi izin yeterli.
Kimlik bilgileri APP_ENC_KEY ile şifreli. 32 byte hex anahtarı kurum tarafından üretilir; DMC'de saklanmaz.
Auth: JWT EdDSA + httpOnly cookie. Şifreler bcrypt ile hash'lenir, plaintext saklanmaz.
Audit chain (Pro+). Tüm değişiklikler HMAC zincirli kayıt — log tampering tespit edilebilir.
Multi-tenant izolasyon. $jsonSchema ile org_id enforcement, cross-tenant query leak engellenir.
İstemci taraflı erişim: Frontend Backend'e /api/v2/* üzerinden erişir; CSP default-src 'self'.

Sentinel DB 360 mimari ve veri akışı