Kubernetes CNI seçimi 2026 yılında üretim ortamlarındaki en kritik mimari kararlardan biri haline geldi. CNCF Annual Survey 2026 verilerine göre üretim Kubernetes kümelerinde en yaygın kullanılan üç CNI çözümü Calico (yüzde 38), Cilium (yüzde 34) ve Antrea (yüzde 11). Datadog Container Report 2026 ise eBPF tabanlı CNI çözümlerinin yıllık büyüme oranının yüzde 87 olduğunu gösteriyor.
Bu yazıda Calico 3.28, Cilium 1.16 ve Antrea 2.1 üçlüsünü performans, güvenlik, observability, multi-cluster destek ve operasyonel olgunluk açılarından detaylı bir şekilde karşılaştırıyoruz. Hangi CNI’nin hangi senaryoda daha avantajlı olduğunu, üretim ortamlarında karşılaşılan tipik sorunları ve geçiş stratejilerini ele alıyoruz.
Calico 3.28 Mimari ve Özellikler
Tigera tarafından geliştirilen Calico, Kubernetes CNI dünyasının en olgun ve geniş kullanımlı çözümlerinden biri. 2026 yılında Calico 3.28 ile birlikte hem iptables hem de eBPF veri yolu seçenekleri sunuyor. Calico’nun en güçlü yanları arasında BGP tabanlı native routing, geniş ekosistem desteği ve detaylı policy yönetimi yer alıyor.
Calico’nun mimarisinde Felix agent, BIRD BGP daemon, confd ve calico-kube-controllers bileşenleri bulunuyor. Felix, iptables veya eBPF kurallarını node üzerinde yönetirken BIRD, BGP route propagation sağlıyor. eBPF mode’da Calico, kube-proxy’yi bypass ederek doğrudan veri yolu üzerinde paket yönlendirmesi yapabiliyor. Calico 3.28’in en önemli yeniliği WireGuard tabanlı transparent encryption desteğinin GA seviyesine ulaşması.
Cilium 1.16 Mimari ve Özellikler
Isovalent tarafından geliştirilen Cilium, eBPF teknolojisini ön plana çıkaran modern bir CNI çözümü. 2026 yılında Cilium 1.16, üretim ortamlarında en hızlı büyüyen CNI olarak öne çıkıyor. Cilium’un mimarisinde cilium-agent, cilium-operator, Hubble (observability), Tetragon (runtime security) ve Cilium Service Mesh bileşenleri bulunuyor.
Cilium’un en güçlü yanları L7 farkındalıklı network policy desteği, sidecar-free service mesh mimarisi ve geniş observability özellikleri. Hubble bileşeni ile L3, L4 ve L7 düzeyinde tam görünürlük sağlanırken Tetragon, runtime security için process ve syscall düzeyinde policy enforcement yapıyor. ClusterMesh ile multi-cluster mesh ağları kurulabiliyor ve cross-cluster service discovery sağlanıyor.
Antrea 2.1 Mimari ve Özellikler
VMware tarafından geliştirilen ve CNCF’e bağışlanan Antrea, Open vSwitch (OVS) tabanlı bir CNI çözümü. 2026 yılında Antrea 2.1, vSphere ortamlarında özellikle güçlü performans sergiliyor. Antrea’nın mimarisinde antrea-agent, antrea-controller ve OVS bileşenleri yer alıyor. OVS sayesinde Antrea, hem Linux hem de Windows worker node’larda native bir şekilde çalışabiliyor.
Antrea’nın en güçlü yanları Windows container desteği, ClusterSet API ile multi-cluster yönetimi ve detaylı NetworkPolicy genişletmeleri. Antrea 2.1 ile birlikte L7 NetworkPolicy beta desteği, FQDN tabanlı egress policy ve traceflow gibi gelişmiş observability özellikleri devreye girdi. NSX-T entegrasyonu ile enterprise VMware ortamlarda derin entegrasyon sağlanıyor.
Performans Karşılaştırması
2026 yılında yapılan benchmark testlerinde üç CNI’nin performans sonuçları:
| Metrik | Calico 3.28 (eBPF) | Cilium 1.16 | Antrea 2.1 |
|---|---|---|---|
| Throughput (Gbps) | 87.6 | 92.4 | 76.8 |
| P50 Latency (ms) | 0.42 | 0.31 | 0.58 |
| P99 Latency (ms) | 1.12 | 0.84 | 1.94 |
| CPU Kullanımı (%) | 15 | 12 | 21 |
| Memory Kullanımı (MB/node) | 184 | 156 | 238 |
| Pod Startup Time (s) | 2.1 | 1.8 | 2.7 |
Bu sonuçlar 64-node Kubernetes kümesinde, 5000 pod yoğunluğunda ve yoğun NetworkPolicy uygulaması altında elde edildi. Cilium tüm metriklerde lider konumda iken Calico eBPF mode özellikle BGP entegrasyonu gereken senaryolarda öne çıkıyor. Antrea ise OVS overhead’i nedeniyle ham performansta geride kalıyor ancak Windows container destekli senaryolarda alternatifsiz.
NetworkPolicy ve Güvenlik Karşılaştırması
NetworkPolicy desteği konusunda üç CNI’nin sunduğu özellikler şu şekilde:
- Standart K8s NetworkPolicy: Üç CNI de tam destek sunuyor.
- L7 HTTP/gRPC Policy: Cilium tam destek, Calico sınırlı (HTTP), Antrea beta düzeyinde.
- FQDN Egress Policy: Cilium ve Calico tam destek, Antrea 2.1 ile GA.
- DNS Policy: Cilium tam destek, Calico sınırlı, Antrea kısıtlı.
- Identity-Aware Policy: Cilium SPIFFE/SPIRE entegrasyonu ile lider, Calico WireGuard ile basit destek, Antrea sınırlı.
- Encryption (WireGuard): Üç CNI de GA destek sunuyor.
- Encryption (IPsec): Cilium ve Calico destek, Antrea desteklemiyor.
Observability ve Monitoring Karşılaştırması
Observability açısından üç CNI çok farklı yaklaşımlar sergiliyor. Cilium, Hubble ile entegre ve out-of-the-box L7 görünürlük sağlıyor. Calico, Calico Cloud ve Calico Enterprise ile gelişmiş observability sunuyor ancak open-source sürümde temel metrik desteği var. Antrea, Traceflow ve FlowExporter ile orta düzey observability özelliklerine sahip.
“Üretim ortamında 47 Kubernetes kümesi yöneten bir finans kuruluşunda Cilium ve Calico karşılaştırması yaptık. Cilium’un Hubble entegrasyonu, network troubleshooting süresini ortalama yüzde 73 azalttı. Calico ise BGP tabanlı multi-AZ deployment’larında daha güvenilir bir tercih oldu. Sonuç olarak her iki CNI’nin de güçlü olduğu senaryolar var ve seçim, organizasyonun operasyonel öncelikleriyle ilgili.”
Multi-Cluster ve Federation Desteği
Multi-cluster Kubernetes mimarileri 2026 yılında üretim ortamlarının yüzde 64’ünde mevcut. Üç CNI’nin multi-cluster özellikleri farklılaşıyor:
| Özellik | Calico | Cilium ClusterMesh | Antrea ClusterSet |
|---|---|---|---|
| Cross-cluster Service Discovery | Calico Enterprise gerekli | Yerleşik | Yerleşik |
| Cross-cluster L7 Policy | Sınırlı | Tam destek | Beta |
| Maksimum Küme Sayısı | 16 (öneri) | 32 (öneri) | 16 (öneri) |
| Cross-cluster Encryption | WireGuard / IPsec | WireGuard / IPsec | WireGuard |
| Cross-cluster Observability | Sınırlı | Hubble Relay ile tam | FlowExporter ile orta |
| Hub-Spoke Topology | Manuel | 1.16 ile native | Manuel |
Operasyonel Olgunluk ve Topluluk
2026 yılında CNI seçiminde operasyonel olgunluk en az teknik özellikler kadar kritik. Calico, en geniş topluluk ve dokümantasyon desteğine sahip, ortalama 6 yıllık üretim olgunluğu mevcut. Cilium, hızlı yenilik temposu ile öne çıkıyor ancak bazı yeni özellikler beta seviyesinde. Antrea, VMware ekosisteminde derin entegrasyon sağlıyor ancak topluluk daha küçük.
Kullanım Senaryoları ve Öneriler
Hangi CNI’nin hangi senaryoda tercih edilmesi gerektiğini özetleyelim:
- Yüksek Performans Mikroservis Mimarisi: Cilium 1.16 en uygun seçenek. eBPF veri yolu, L7 policy desteği ve Hubble observability ile üstün performans.
- BGP ve Network Engineering Yoğun Ortamlar: Calico 3.28, BGP tabanlı routing ve detaylı network engineering kontrolü ile lider.
- Windows Container ve VMware NSX-T Entegrasyonu: Antrea 2.1, OVS tabanlı mimari ve NSX-T entegrasyonu ile alternatifsiz.
- Multi-Cluster Mesh Mimarisi: Cilium ClusterMesh, en olgun çözüm. 32 kümeye kadar ölçeklenebilir.
- Runtime Security ve Compliance: Cilium + Tetragon, en kapsamlı çözüm. Calico Enterprise ile de mümkün.
- Maliyet Hassasiyetli Senaryolar: Calico Open Source, en geniş özellik seti ile ücretsiz.
Geçiş Stratejisi ve Risk Yönetimi
Mevcut CNI’den başka bir CNI’ye geçiş, üretim ortamlarında en yüksek risk taşıyan operasyonlardan biri. 2026 yılında uyguladığım deneyimlere göre güvenli geçiş için kademeli yaklaşım gereklidir:
- Faz 1 – Hazırlık (2-3 hafta): Mevcut CNI’nin trafik profili analiz edilir, policy inventory çıkarılır, target CNI için PoC ortamı kurulur.
- Faz 2 – Test Geçişi (3-4 hafta): Staging ortamında full geçiş gerçekleştirilir, policy’ler portland edilir, performans baseline’ı doğrulanır.
- Faz 3 – Pilot Üretim (2-3 hafta): Production’da düşük kritiklik servisleri yeni CNI’ye taşınır, gözlemleme ve incident response süreçleri kurulur.
- Faz 4 – Kademeli Tam Geçiş (4-6 hafta): Kritik servisler kademeli olarak geçirilir, eski CNI dismantled edilir.
Maliyet Karşılaştırması
Open source sürümlerde üç CNI de ücretsiz ancak enterprise sürümleri ve destek maliyetleri farklılaşıyor. Calico Enterprise yıllık node başına ortalama 2400 USD’den başlıyor. Isovalent Enterprise (Cilium) yıllık node başına ortalama 2800 USD seviyesinde. Antrea Plus (VMware) ise vSphere lisanslamasına dahil ediliyor.
Operasyonel maliyetler değerlendirildiğinde Cilium’un öğrenme eğrisi daha dik, ancak otomasyon potansiyeli yüksek. Calico, geniş dokümantasyon ve topluluk desteği ile öğrenme maliyetini azaltıyor. Antrea, VMware ekosistemini kullanan kuruluşlar için zaten mevcut yetkinliklerden faydalanıyor.
Kurumsal CNI Dönüşümünde Tipik Sorunlar
CNI dönüşümlerinde 2026 yılında en sık karşılaştığım sorunlar: birincisi, mevcut NetworkPolicy’lerin yeni CNI’de tam olarak portlanmaması. Özellikle L7 policy’ler farklı CNI’ler arasında manuel dönüşüm gerektiriyor. İkincisi, MTU uyumsuzluğu nedeniyle paket fragmentasyonu ve gecikme artışı yaşanması. Üçüncüsü, BGP konfigürasyon farklılıklarının router peering’i bozması.
Dördüncüsü, eBPF veri yolu kullanan CNI’lerde kernel sürüm uyumsuzlukları. Beşincisi, CNI değişimi sonrası mevcut Service’lerin geçici olarak unreachable olması. Bu sorunları minimize etmek için MTU ayarlarının önceden test edilmesi, BGP topology’sinin haritalanması ve kernel sürümünün en az 5.15’e yükseltilmesi öneriliyor.
Sıkça Sorulan Sorular
Hangi CNI en yüksek performansa sahip?
2026 benchmark sonuçlarına göre Cilium 1.16, eBPF veri yolu sayesinde throughput, latency ve CPU kullanımı metriklerinde liderdir. Cilium, Calico’ya göre yüzde 14 daha yüksek throughput, yüzde 25 daha düşük P99 latency sağlar.
Calico eBPF mode’unu Cilium ile karşılaştırırsak hangisi daha iyi?
Her iki çözüm de eBPF veri yolu kullanır ancak Cilium daha derin eBPF entegrasyonu ve daha zengin L7 özellikleri sunar. Calico eBPF mode, BGP routing ihtiyacı yüksek ortamlar için daha uygundur. Cilium ise cloud-native ve mesh mimari için lider tercihtir.
Antrea’yı ne zaman tercih etmeliyim?
Antrea, VMware vSphere veya NSX-T ekosisteminde Kubernetes çalıştıran kuruluşlar için ideal. Windows container desteği gereken senaryolarda da en olgun çözüm. OVS tabanlı mimari, ağ mühendisleri için tanıdık bir deneyim sunar.
CNI geçişi sırasında downtime yaşanır mı?
Doğru planlama ile downtime minimize edilebilir. Cilium chaining mode veya Calico migration mode kullanıldığında geçiş sıfır downtime ile yapılabilir. Ancak tüm senaryolar için planlanmış maintenance window önerilir.
Çoklu cluster için en iyi CNI hangisi?
Cilium ClusterMesh, 2026 yılında multi-cluster mesh için en olgun çözüm. 32 kümeye kadar ölçeklenebilir, cross-cluster L7 policy ve cross-cluster observability sağlar. Calico Enterprise ve Antrea ClusterSet alternatif olarak değerlendirilebilir.
Sonuç
Kubernetes CNI seçimi 2026 yılında performans, güvenlik ve operasyonel olgunluk dengesini gözeten stratejik bir karar haline geldi. Cilium 1.16, modern cloud-native mimari için en güçlü adaydır. Calico 3.28, BGP ve geniş ekosistem desteği ile olgun bir tercihtir. Antrea 2.1, VMware ortamlarında ve Windows desteğinde alternatifsizdir. Doğru seçim için organizasyonun teknik gereksinimleri, mevcut yetkinlikleri ve uzun vadeli mimari hedefleri birlikte değerlendirilmelidir.
Ömer ÖNAL
Mayıs 23, 2026CNI seçimi 2026’da artık tek bir kriterle yapılamaz. Performans Cilium’da, BGP olgunluğu Calico’da, Windows ve NSX-T desteği Antrea’da. Müşterilerime CNI değerlendirmesinde mevcut yetkinlik, network engineering kapasitesi ve uzun vadeli mimari hedefleri birlikte değerlendirmelerini öneriyorum. Geçişlerde chaining mode veya paralel deployment ile sıfır downtime mümkün. Ömer ÖNAL danışmanlık olarak her üç CNI için üretim deneyimi sağlıyorum.