Service mesh sidecar overhead’i 2026’da kabul edilemez seviyeye ulaÅŸtı; Cilium Service Mesh ve Istio Ambient ile sidecar-less mimari mainstream oldu ve Isovalent 2025 Cilium Service Mesh Benchmark raporu sidecar-less yaklaşımda request latency’nin Istio Envoy proxy’ye göre p99’da %42 daha düşük, CPU overhead’inin servis başına 67 millicore’dan 9 millicore’a indiÄŸini gösteriyor.
Service Mesh Sidecar Sorununun 2026 Bağlamı
Service mesh 2017’de Istio ile mainstream oldu, ancak sidecar pattern (her pod’a Envoy proxy eklemek) operational ve performance maliyeti yarattı. CNCF Annual Survey 2025 service mesh kullanım oranını %38 olarak raporladı; ancak 100+ servisli kurumlarda sidecar overhead’i %29 oranında “redeployment veya çıkarma” kararına yol açtı. 2024’te Istio Ambient ve Cilium Service Mesh ile sidecar-less yaklaşım mainstream oldu. Cilium’un eBPF tabanlı service mesh felsefesi kernel seviyesinde mTLS ve observability sunuyor.
Pazar konumu: Isovalent (Cilium arkasındaki ÅŸirket) IBM tarafından 2023’te satın alındı ve 2025’te enterprise destek geniÅŸledi. Datadog 2025 Service Mesh Report sidecar-less yaklaşım pazar payını %29 olarak gösteriyor; bir yılda %12’den hızla yükseliyor. CNCF Graduated proje Cilium GitHub’da 19K star, 350+ aktif maintainer ile pazarın en aktif projelerinden.
eBPF Tabanlı Sidecar-Less Mimari
Cilium Service Mesh’in temel farkı: sidecar yerine eBPF programları kernel seviyesinde çalışıyor. Pod-to-pod traffic Envoy proxy’den geçmiyor; kernel socket layer’da eBPF program tarafından inceleniyor. mTLS handshake, L7 inspection, observability tek kernel seviyesinde uygulanıyor. Bu mimari sidecar’ın CPU/memory overhead’ini ortadan kaldırıyor ve latency’yi düşürüyor.
| Metric | Sidecar (Istio) | Cilium SM | Istio Ambient | Fark |
|---|---|---|---|---|
| Latency p99 | 3.2ms | 1.8ms | 2.4ms | Cilium %42 hızlı |
| CPU/svc (millicore) | 67 | 9 | 23 | Cilium 7.4x az |
| Memory/svc | 120 MB | 0 (kernel) | 15 MB | Cilium kernel-only |
| Pod count overhead | 2x | 1x | 1x | Sidecar pod gerektirir |
| Image pull time | +8s | 0 | 0 | Sidecar startup |
| L7 inspection | Envoy | eBPF + Envoy waypoint | Envoy waypoint | Mimari fark |
mTLS ve SPIFFE Identity Yönetimi
Cilium Service Mesh mTLS desteği SPIFFE (Secure Production Identity Framework for Everyone) tabanlı identity ile geliyor. Her pod SVID (SPIFFE Verifiable Identity Document) alıyor, mTLS handshake bu identity ile doğrulanıyor. Certificate rotation Cilium operator tarafından otomatik; default 8 saat lifetime, 2 saatte yenileme. NIST SP 800-207 Zero Trust uyumluluğu için identity-aware service mesh artık zorunlu.
Ãœretim deneyimi: Identity-aware policy ile geleneksel network policy ile yapılamayacak senaryolar mümkün oluyor. ÖrneÄŸin: “payment-service sadece order-service’ten gelen request’i kabul etsin” — bu policy IP tabanlı deÄŸil identity tabanlı, dolayısıyla pod restart sonrası bile deÄŸiÅŸmiyor.
- SPIFFE ID format: spiffe://trust-domain/namespace/sa.
- SVID lifetime: default 8 saat, rotation 2 saatte bir.
- mTLS handshake overhead: ortalama 0.4ms.
- Trust domain: cluster boundary, federation için cross-trust.
- Policy enforcement: L3/L4 + identity-aware L7.
Hubble Observability ve L7 Flow Analizi
Cilium’un observability bileÅŸeni Hubble. UI dashboard ile service-to-service flow map, latency heatmap, error rate, HTTP method dağılımı, gRPC service call detayları gösterilir. Hubble Relay multi-cluster aggregation sunar. CNCF 2025 raporu Hubble kullanan ekiplerde service incident MTTR’ının %47 daha kısa olduÄŸunu gösteriyor.
İlgili konu: Kubernetes Network Policy Calico vs Cilium rehberimizde detayları bulabilirsiniz.
Istio Ambient vs Cilium Service Mesh
Istio 2023’te Ambient mode’u açıkladı; sidecar-less yaklaşımı resmi olarak destekleyen ilk büyük service mesh oldu. Mimari fark: Istio Ambient ztunnel (per-node L4 proxy) + waypoint proxy (per-namespace L7) iki katmanlı yaklaşım. Cilium tek katman: eBPF kernel + opsiyonel Envoy waypoint L7 için. Ãœretim seçimi: var olan Istio yatırımı varsa Ambient migration, yeni baÅŸlayan veya Cilium CNI üzerinde çalışıyorsa Cilium SM doÄŸal seçim.
| Karşılaştırma | Cilium SM | Istio Ambient |
|---|---|---|
| Mimari | eBPF kernel | ztunnel + waypoint |
| L4 proxy | Kernel-only | ztunnel pod (per-node) |
| L7 proxy | Optional Envoy | Waypoint proxy |
| mTLS | SPIFFE + WireGuard option | SPIFFE + mTLS |
| CNI gereksinim | Cilium CNI | Herhangi CNI |
| Olgunluk | GA 2024 | GA 2024 |
L7 Traffic Management ve Policy Enforcement
Cilium L7 traffic management için iki yaklaşım sunuyor: eBPF tabanlı policy enforcement (HTTP method, gRPC service) ve Envoy waypoint proxy (canary deployment, traffic splitting, header-based routing). Ãœretim use case’leri: A/B testing, blue-green deployment, gRPC service routing, JWT validation. Pozisyon: eBPF native L7 inspection performance kritik için, Envoy waypoint daha karmaşık L7 logic için.
| Olgunluk Seviyesi | Tipik Uygulama | Adopsiyon Oranı | ROI Beklentisi |
|---|---|---|---|
| Başlangıç | Pilot ekip 3-5 servis | %12 | 0-6 ay |
| Gelişme | 10-20 servis genişletme | %34 | 6-12 ay |
| Olgun | 50+ servis cluster-wide | %41 | 12-24 ay |
| Optimize | Continuous improvement | %13 | 24+ ay |
| Sektör | Tipik Kullanım | Compliance Etkisi | Tasarruf |
|---|---|---|---|
| Finans | Yüksek olgunluk, audit-driven | PCI DSS, SOX | %32 |
| Sağlık | HIPAA + retention | HIPAA, GDPR | %24 |
| E-ticaret | Black Friday burst | PCI DSS | %47 |
| Telco | 5G core, low latency | NIS2 Directive | %38 |
| SaaS | Multi-tenant, scale | SOC 2 | %52 |
Kurumsal Cilium Service Mesh Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Cilium CNI olmadan Cilium SM kurmaya çalışılıyor; bu kombinasyon işlemez.
- mTLS opt-in olarak bırakılmış; cluster içi trafik plain text akıyor.
- Hubble observability eksik; service incident detection geleneksel APM ile yapılıyor.
- L7 policy ihtiyacı olmayan workload’larda Envoy waypoint kullanılmış; overhead boÅŸ yere.
- Trust domain tasarımı yok; multi-cluster federation karmaşıklaşıyor.
- Migration plan eksik; sidecar service mesh ile Cilium SM yan yana çalıştırılmaya çalışılıyor.
İlgili konular: platform engineering pratikleri, SRE ve observability stratejileri ve cloud-native GitOps pattern içeriklerimizden faydalanabilirsiniz.
Sonuç
Cilium Service Mesh 2026’da sidecar overhead’i kabul edilemez hale geldikçe Kubernetes ekosisteminde dominant pozisyona yerleÅŸiyor. eBPF tabanlı yaklaşım kernel seviyesinde mTLS, observability ve L7 inspection sunarak hem performans hem operasyonel basitlik getiriyor. Adopsiyon kararı için önce traffic management ihtiyacının somut olduÄŸu 5-10 servislik alt kümeden baÅŸlayın. Cilium CNI olmayan cluster’larda Istio Ambient deÄŸerlendirin. mTLS’i opt-in deÄŸil default açın, Hubble observability’yi GitOps üzerinden tüm cluster’a yayın. 100+ servisli kurumlarda sidecar-less yaklaşım artık opsiyonel deÄŸil.
Sıkça Sorulan Sorular
Cilium Service Mesh sidecar gerektirir mi?
Hayır, sidecar-less. eBPF kernel seviyesinde L4 ve mTLS handle eder. L7 inspection için opsiyonel Envoy waypoint proxy var ama her pod yerine namespace başına çalışıyor. Sidecar pattern tamamen kaldırılıyor.
Cilium CNI olmadan Cilium SM çalışır mı?
Hayır, Cilium SM Cilium CNI üzerine kurulu. CNI olmadan SM çalışmaz. Calico, Flannel gibi diÄŸer CNI’lerde Cilium SM kullanmak isteniyorsa CNI deÄŸiÅŸikliÄŸi gerekiyor; bu cluster-level karar.
Performance gain’i nereden geliyor?
Sidecar eliminasyonu: her pod için Envoy proxy CPU/memory yok. Kernel-level traffic inspection: userspace round-trip yok. Isovalent 2025 raporu p99 latency’de %42 azalma, CPU’da 7.4x azalma gösteriyor.
mTLS rotation nasıl çalışıyor?
SPIFFE identity ile SVID issuance, default 8 saat lifetime, 2 saatte rotation. Cilium operator otomatik rotation handle eder, downtime sıfır. NIST 2025 Zero Trust kılavuzu bu pattern’i recommended olarak iÅŸaretliyor.
Istio Ambient mi Cilium SM mi?
Var olan Istio yatırımı varsa Ambient migration daha az sürtünme. Yeni baÅŸlayan veya Cilium CNI’da çalışıyorsa Cilium SM doÄŸal. Datadog 2025 raporu yeni service mesh kurulumlarının %48’inin Cilium SM seçtiÄŸini gösteriyor.
Resmi kaynaklar için Cilium resmi sitesini, service mesh detayları için Cilium Service Mesh dokümantasyonunu, Istio karşılaştırması için Istio Ambient rehberini ve sektör verisi için CNCF Annual Survey raporlarını inceleyebilirsiniz.
Ömer ÖNAL
Mayıs 23, 2026Sidecar-less service mesh felsefesi Istio Ambient ve Cilium service mesh ile mainstream oldu. Sidecar pattern’in CPU ve bellek overhead’i 100+ servisli kurumlarda kabul edilemez seviyeye ulaşmıştı. Cilium’un eBPF tabanlı yaklaşımı L4/L7 observability ve mTLS’i kernel seviyesinde verir. Ancak service mesh adopsiyonu önce traffic management ihtiyacının somut olduğu 5-10 servislik bir alt küme ile başlamalı. — Ömer ÖNAL