Geçtiğimiz hafta fabrika zemininde, geceyarısından hemen sonra gerçekleşen bir senaryoda, metan sensörü aniden alarm vermeye başladı. Kritik bir tesis olan bu fabrikada, sensör verileri 5 milisaniye içinde kenar bilişime ulaştı ve 50 milisaniye içinde kontrol odasının ekranında kırmızıya döndü. Ardından, yerel olarak barındırılan bir yapay zeka sistemi, tesisin mimarisini, çalışan ekipmanları, havalandırma sistemini ve bağlantıları analiz ederek, tehlike bölgesinin nasıl izole edileceğine dair adım adım bir plan oluşturdu: konveyör C4’ü durdur, havalandırmayı B şaftından yönlendir, 7. bölgeyi kapat.
Ne üçüncü parti bulut hizmeti ne de harici AI API’leri kullanıldı. Tüm sistem, yalnızca benim masaüstü bilgisayarımın altında duran bir mini PC üzerinde çalışıyor. HazShield AI adı verilen bu proje, endüstriyel tesislerdeki güvenlik ihtiyaçlarını yerel olarak çözmeyi hedefliyor. Ve evet, bu sadece bir prototip değil — şu anda gerçek zamanlı verilerle çalışıyor.
Üç Şeritli Veri Yolu: Güvenlikte Denge
HazShield, bir endüstriyel tesisin tüm güvenlik ekosistemini simüle ediyor: gaz, sıcaklık, titreşim, hava akışı ve sismik aktivite sensörlerinden gelen binlerce eş zamanlı veri akışı Rust tabanlı bir alım ağ geçidinde toplanıyor. Her okuma, anında güvenlik eşiklerine göre değerlendiriliyor ve sistem üç farklı veri hattına yönlendiriliyor. Bu yaklaşım, sistemin performansını ve güvenilirliğini kökten değiştiriyor.
- Ateş hattı (Hot Lane): Eşik ihlallerini taşır. Veri, sensörden ekrana 50 milisaniyeden kısa sürede ulaşmalıdır. Mesajlaşma sistemi çökerse, ihlaller yerel diskte saklanır ve sistem normale döndüğünde tekrar yayınlanır. Bir güvenlik sistemi, alarm kaybederse güvenlik sistemi değildir.
- Ilık hat (Warm Lane): Toplu telemetri verilerini barındırır. Bu veriler, binlerce satır halinde TimescaleDB’ye yüklenir. Aşırı yük altında, sistem kasıtlı olarak örnekleme yaparak depolama yükünü azaltır, ancak tüm veriler üzerinde güvenlik değerlendirmesi devam eder. Depolama kalitesi esneyebilir, ancak güvenlik asla.
- Soğuk hat (Cold Lane): AI planlama sürecini yürütür. Bir alarm tetiklendiğinde, sistem ilgili sensörleri, bölgeleri, komşu ekipmanları ve çalışan sistemleri analiz ederek, Ollama üzerinde çalışan nicemlenmiş bir dil modeline sorgu gönderir. Aynı tehlike senaryosu için birden fazla plan üretilmesini engellemek amacıyla, aynı girdilerin özet hash’leri kullanılarak gereksiz tekrarlar ortadan kaldırılır. Örneğin, elli ilişkili sensörden oluşan bir alarm fırtınası, elli değil, sadece bir plan üretir.
Bu üç hattın dengesi, sistemin her katmanında mimari kararları yönlendiriyor. Güvenlik asla esnetilemezken, kaynaklar esnetilebilir.
Küçük Bir Mini PC’de Büyük Bir Bulut
HazShield’in kalbinde, OpenStack tabanlı özel bir bulut bulunuyor. Ancak buradaki en büyük zorluk, OpenStack’ın binlerce hipervizörü yönetmek üzere tasarlanmış olmasıydı. Benimsenen tek bir mini PC üzerindeyse, bu sistemin kaynaklarını optimize etmek gerekiyordu. Projeyi başlattığımda, varsayılan OpenStack kurulumu, her hizmet için beş API işçisi çalıştırıyordu — oysa benim sistemimde sadece bir kullanıcı vardı: ben.
Performans profili çıkarmak için her hizmetin konteynerini tek tek inceledim. Sonunda, gereksiz hizmetleri kaldırarak ve çalışan işçi sayısını bire düşürerek 4GB’tan fazla RAM kurtardım. Bu da sistemin çalışır durumda kalmasını ya da sürekli olarak bellek arızalarıyla boğuşmasını belirleyen farktı. Kritik yapılandırma değişiklikleri şu şekildeydi:
enable_heat: "no"
openstack_service_workers: 1Depolama katmanında ise beklenmedik bir keşif yapıldı. OpenStack’ın Yerleştirme API’si aracılığıyla hipervizörün kapasitesini doğrulamaya çalışırken, makinenin sahip olduğu disk alanının sadece küçük bir kısmının kullanılabilir olduğunu fark ettim. Araştırma sonunda, Ubuntu Server’ın varsayılan kurulumunun 828GB’lık SSD alanını tahsis etmediği ortaya çıktı. Bu alanı çevrimiçi olarak genişletmek için aşağıdaki komutlar kullanıldı:
sudo lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
sudo resize2fs /dev/ubuntu-vg/ubuntu-lvEğer Ubuntu kullanıyorsanız, hacim grubunuzu kontrol edin — belki de farkında olmadığınız bir kaynak rezerviniz vardır.
Beş Etki Alanı, Sıfır Açık Port
HazShield’in en etkileyici özelliklerinden biri de hiçbir dış port açmaya gerek duymadan beş farklı etki alanını kamu ağına sunabilmesidir:
app…— kontrol odası arayüzüapi…— orkestrasyon ve varlık yönetimistream…— gerçek zamanlı telemetri (WebSockets üzerinden)ingest…— sensör veri alımıtelemetry…— Grafana gözlemi
Bu sistemde, yerel ağ geçidinde hiçbir port yönlendirmesi yapılmamaktadır. Bunun yerine, Cloudflare Tunnel adlı bir araç kullanılıyor. Bu araç, kenar sanal makinesinde çalışan hafif bir istemci aracılığıyla Cloudflare ağına dışa doğru bir bağlantı kuruyor ve bu bağlantıyı sürekli açık tutuyor. Tüm kamu trafiği, Cloudflare’in kenar ağından geçerek bu tünelden yerel bir Caddy sunucusuna yönlendiriliyor. İnternetten bakan biri, evimin bile var olmadığını görüyor.
Bu yaklaşımın avantajları arasında, CORS politikaları, güvenlik başlıkları ve istek boyutu sınırlarının tek bir yerde yönetilebilmesi bulunuyor. Cloudflare Tunnel istemcisi bile, 256MB bellek sınırı ve salt okunur dosya sistemiyle çalışan bir systemd sandbox’ında çalışıyor. Bu sayede, aynı düğümde bulunan veri alım hattının kaynaklarını tüketmesi engelleniyor.
Sistemin içindeki ağ güvenliği de aynı şekilde katı kurallara sahip. Güvenlik grupları, niyet ifadesi olarak tanımlanıyor: "Veritabanı sadece API düğümünden gelen bağlantılar kabul eder" gibi. Bu kurallar, OpenStack’in yerleşik güvenlik duvarı aracılığıyla uygulanıyor ve hem kaynakları koruyor hem de saldırı yüzeyini minimize ediyor.
Geleceğe Bakış: Endüstriyel AI’nın Yerelleşmesi
HazShield, endüstriyel tesislerdeki güvenlik sistemlerinin yerelleştirilmesi ve bağımsızlaştırılması yolunda önemli bir adım. Üçüncü parti bulut hizmetlerine bağımlılık duymadan, kritik kararların yerinde alınabilmesi, hem gizlilik hem de güvenlik açısından büyük avantajlar sunuyor. Ayrıca, sistemin mini PC üzerinde çalışabilmesi, maliyetleri ve karmaşıklığı önemli ölçüde azaltıyor.
Bu proje, sadece bir laboratuvar deneyi değil. Gerçek zamanlı verilerle çalışan, endüstriyel tesislerde uygulanabilir bir çözümün ilk adımlarından biri. Gelecek planları arasında, sistemin daha fazla sensör tipi ve tesis mimarisine uyum sağlayacak şekilde genişletilmesi bulunuyor. Ayrıca, AI modellerinin yerel olarak eğitilmesi ve optimize edilmesi de gündemde.
Belki de en önemli ders, bulutun her derde deva olmadığı. Kritik sistemler için yerel çözümler, hem performans hem de güvenlik açısından önemli fırsatlar sunabilir. Ve bazen, en iyi bulut, masaüstünüzün altındaki bir mini PC olabilir.
Yapay zeka özeti
Masaüstü bilgisayarınızın altında çalışan AI güvenlik sistemiyle endüstriyel tesis güvenliğini yerelleştirin. OpenStack, Rust, AI planlama ve sıfır açık port mimarisi hakkında detaylı rehber.