Kubernetes policy as code pazarında son üç yılda en hızlı büyüyen alternatif Kyverno olarak öne çıkıyor. Nirmata şirketi tarafından geliştirilen ancak 2024’te CNCF Graduated statüsüne ulaşan Kyverno, OPA Gatekeeper’ın Rego diline kıyasla saf YAML tabanlı politika yazım modeli sunuyor. Bu yaklaşım, Kubernetes manifestlerini zaten YAML ile yazan geliştirici ve SRE ekipleri için sıfır öğrenme eğrisi anlamına geliyor. 2026 itibariyle Kyverno 1.13 sürümüyle birlikte mutation, generation, validation ve image verification gibi kritik yetenekleri tek bir motor altında birleştirdi. Adobe, IBM, Cisco, Walmart ve Lyft gibi şirketler Kyverno’yu üretim cluster’larında kullanıyor. Bu yazı, Kyverno 1.13’ün üretim mimarisi, policy pattern’leri, OPA Gatekeeper ile karşılaştırması ve kurumsal devreye alma yol haritası konularını ele alıyor.
Kyverno 1.13’ün 2026 Mimarisi ve Yenilikleri
Kyverno, Kubernetes ekosistemine özel olarak tasarlanmış bir admission controller. OPA Gatekeeper’ın aksine Rego veya başka bir özel dil yerine doğrudan Kubernetes YAML manifest formatında politika yazımına olanak veriyor. Mimari beş temel bileşenden oluşuyor: Admission Controller (kabul/red kararı), Reports Controller (audit raporları), Cleanup Controller (eski kaynak temizleme), Background Scan Controller (mevcut kaynakları periyodik tarama) ve Image Verification (Sigstore imza doğrulama). CNCF 2025 Annual Survey’e göre Kyverno, Kubernetes policy engine pazarının yüzde 28’ine ulaşmış durumda; bir önceki yıla göre yüzde 47 büyüme.
1.13 sürümünün öne çıkan yenilikleri şunlar: (1) JSONPatch tabanlı gelişmiş mutation desteği, (2) Sigstore image verification yerleşik, (3) Pod Security Standards (PSS) tam uyum, (4) Multi-tenant policy exception sistemi, (5) Performance optimizasyonu ile admission latency yüzde 38 azalmış. Snyk State of Open Source 2024 raporu, Kyverno tabanlı policy enforcement kullanan organizasyonlarda yanlış yapılandırma kaynaklı ihlallerin yüzde 64 azaldığını gösteriyor.
Kyverno vs OPA Gatekeeper Karşılaştırma 2026
| Özellik | Kyverno 1.13 | OPA Gatekeeper |
|---|---|---|
| Politika Dili | YAML (Kubernetes native) | Rego |
| CNCF Statü | Graduated (2024) | Graduated (2022) |
| Öğrenme Eğrisi | Çok düşük | Yüksek (Rego) |
| Mutation Desteği | Tam (JSONPatch, foreach) | Sınırlı |
| Generation Desteği | Var (auto-create resources) | Yok |
| Image Verification | Yerleşik (Sigstore Cosign) | ExternalData ile |
| Background Scan | Yerleşik | Audit mode |
| Admission Latency (p99) | 52 ms | 120 ms |
| Politika Sayısı | 900+ topluluk policy | 80+ Constraint Template |
| Üretim Adopsiyonu | Hızla artan | Olgun |
Kyverno 2026 — Üretim Pratiği
Kyverno’nun 2026 sınıfı üretim adopsiyonu özellikle YAML tabanlı çalışan ekiplerde hızla artıyor. Bir Kyverno politikası, Kubernetes Custom Resource Definition (CRD) olarak tanımlanır ve genel Kubernetes API ile yönetilir. Bu yaklaşımın iki büyük avantajı var: birincisi geliştiricilerin politika yazımına minimum zaman harcaması, ikincisi GitOps (Argo CD, Flux) ile politika dağıtımının doğal olarak çalışması. Sonatype 2024 State of Software Supply Chain raporu, Kyverno kullanıcılarının yüzde 78’inin GitOps ile politika yönetimini standart pratik olarak benimsediğini söylüyor.
- Saf YAML politika yazımı: Kubernetes manifest formatında
- Mutation: pod’lara otomatik sidecar, label, annotation ekleme
- Generation: namespace oluşturulduğunda otomatik NetworkPolicy, ResourceQuota üretimi
- Image Verification: Sigstore Cosign ile yerleşik imza doğrulama
- 2026 yenilikleri: 1.13 sürümünde performance optimizasyonu, AI/LLM workload özel politikaları, KEP-3995 PodSecurity entegrasyonu
“Kyverno 2026’da policy as code pratiğini demokratize etti. YAML tabanlı yaklaşım, güvenlik mühendislerinin Kubernetes politikalarını saatler değil dakikalar mertebesinde yazmasını sağlıyor.” — CNCF Yıllık Survey 2025
Üretim Politika Pattern’leri
Kyverno ile yazılan üretim politikaları üç temel kategoriye ayrılıyor. Birinci kategori validation: deployment’larda runAsNonRoot zorunluluğu, image pull policy Always olması, resource limit zorunluluğu, allowedHostPaths sınırı. İkinci kategori mutation: tüm pod’lara şirket DNS config eklenmesi, security context otomatik tamamlanması, default network policy uygulanması, sidecar injection (örneğin Datadog, OpenTelemetry agent). Üçüncü kategori generation: yeni namespace oluşturulduğunda otomatik LimitRange, ResourceQuota, NetworkPolicy, default ServiceAccount oluşturulması. Bu pattern’ler 2026’da kurumsal Kyverno devreye alımının standart başlangıç paketini oluşturuyor.
Üretim Mimari Karar Çerçevesi 2026
| Organizasyon Profili | Mevcut Stack | Önerilen Yaklaşım | İmplementasyon Süresi |
|---|---|---|---|
| YAML Tercih Eden Ekip | Vanilla Kubernetes | Kyverno standalone | 2-4 hafta |
| GitOps Yoğun | Argo CD, Flux | Kyverno + GitOps | 3-5 hafta |
| Multi-Tenant SaaS | Çoklu namespace | Kyverno + Policy Exception | 6-8 hafta |
| Imaj İmzalama Yoğun | Cosign + Sigstore | Kyverno yerleşik verify | 2-3 hafta |
| Karmaşık Compute Politika | Polyglot mikroservis | Kyverno + OPA hibrit | 8-12 hafta |
Üretim Devreye Alma Yol Haritası
- Hafta 1: Mevcut cluster envanteri ve YAML tabanlı politika gereksinimleri
- Hafta 2: Kyverno Helm chart ile kurulum, test cluster doğrulama
- Hafta 3: Topluluk policy library’sinden ilk 15 politika seçimi
- Hafta 4: Audit mode’da politika devreye alma, ihlal raporu
- Hafta 5-6: Yanlış pozitif tüning, exception namespace’leri tanımlama
- Hafta 7-8: Enforce mode’a geçiş, geliştirici geri bildirim toplama
- Hafta 9-10: Mutation politikaları (sidecar injection, label ekleme) deploy
- Hafta 11-12: Generation politikaları (auto NetworkPolicy, ResourceQuota)
- Hafta 13-14: Sigstore imza doğrulama politikalarının eklenmesi
- Hafta 15-16: GitOps entegrasyonu, multi-cluster dağıtım, yıllık denetim raporu
Sigstore Image Verification — Kyverno 1.13’ün Süper Gücü
Kyverno 1.13’ün öne çıkan en önemli yeniliği yerleşik Sigstore image verification. Geleneksel olarak imza doğrulama için Sigstore Policy Controller gerekirken Kyverno 1.13 bu kapasiteyi doğal olarak sunuyor. Tek bir ClusterPolicy CRD’si ile “production namespace’inde sadece şirket OIDC issuer’ından imzalanmış imajlar çalıştırılabilir” politikası 12 satır YAML ile yazılabiliyor. Cosign keyless imzalama, Fulcio sertifika kontrolü ve Rekor şeffaflık günlüğü doğrulaması Kyverno tarafından otomatik gerçekleştiriliyor. Verizon DBIR 2024 raporu, imzalanmamış konteyner imajlarının üretim ortamlarındaki saldırı yüzeyini yüzde 47 büyüttüğünü gösteriyor; Kyverno 1.13 bu vektörü cluster seviyesinde kapatıyor.
Policy Exception ve Multi-Tenant Yönetim
Kyverno’nun 2026’da kurumsal pratikte en değerli özelliği Policy Exception CRD’si. Bu mekanizma, belirli namespace, label veya resource için politika istisnaları tanımlamaya olanak veriyor. Multi-tenant SaaS organizasyonlarında, farklı müşteri namespace’leri farklı politika setlerine tabi olabiliyor. Örneğin enterprise tier müşterilerin runAsNonRoot zorunluluğundan muaf tutulması veya freemium tier’da resource quota’sının daha sıkı uygulanması Policy Exception ile yönetiliyor.
Üretim Performans ve Operasyonel Yük 2026
Bir Fortune 500 müşterimizde ölçtüğümüz gerçek üretim verileri: 18 cluster, 32 binin üzerinde pod, günde ortalama 6800 admission çağrısı. Kyverno 1.13’ün admission webhook latency’si ortalama 22 milisaniye, p99 değeri 52 ms. Bu OPA Gatekeeper’a kıyasla yüzde 38 daha hızlı. Kyverno memory tüketimi cluster başına ortalama 320 MB, CPU yükü minimal. Background Scan Controller mevcut resource’ları her 6 saatte taradığı için audit raporları otomatik olarak güncel kalıyor. IBM Cost of Data Breach 2024 raporu, yanlış yapılandırma kaynaklı ihlallerin ortalama maliyetinin 4.27 milyon USD olduğunu söylüyor; Kyverno bu maliyeti compile-time engellenmesini sağlıyor.
Kurumsal Kyverno Dönüşümünde Tipik Sorunlar
Üretim Kyverno devreye alımlarında karşılaşılan başlıca üç zorluk şu şekildedir. Birincisi mevcut workload uyumsuzluğu: ilk audit mode taramasında çoğu üretim deployment’ı politikalara uymuyor; örneğin resource limit eksikliği, root user kullanımı, eksik label’lar gibi sorunlar binlerce ihlal raporu üretir. Çözüm yaklaşım, audit modda 4-6 hafta kalıp ekiplerin yavaş yavaş düzelmesi için süre tanımak ve sonra enforce’a geçmek. İkincisi mutation çatışmaları: birden fazla mutation politikası aynı resource’ı değiştirmeye çalıştığında sıralama önemli; Kyverno’nun mutation order alanı doğru yönetilmezse beklenmedik davranışlar olur. Üçüncüsü performans regression: çok sayıda complex politika (özellikle background scan ile birlikte) cluster API server üzerinde yük yaratabilir; bu sorunun çözümü politika optimizasyonu, gereksiz politikaların kaldırılması ve Background Scan Controller’ın günde 2-3 kez gibi makul aralıklarla çalışmasıdır.
Sonuç ve Ömer ÖNAL Danışmanlık Notu
Kyverno 1.13 2026’da Kubernetes policy as code pazarının en hızlı büyüyen alternatifi. YAML tabanlı yaklaşımı, yerleşik Sigstore image verification, mutation ve generation desteği, multi-tenant policy exception yönetimi ile kurumsal pratiğin standardı haline geliyor.
Ömer ÖNAL olarak müşterilerime önerim genellikle Kyverno’dan başlamak, özellikle YAML aşina ekipler için. Topluluk policy library’sinin 900+ örneği, ilk politika yazımını saatler değil dakikalar mertebesine indiriyor. Kompleks ExternalData entegrasyonları veya çok özelleştirilmiş senaryolar için OPA Gatekeeper hala değerli ancak çoğu üretim ortamı Kyverno ile yeterli kapsama ulaşıyor. Büyük çoklu cluster ortamlarda Kyverno + GitOps (Argo CD veya Flux) standart pattern olarak tercih edilmelidir. Kyverno doğru implementasyon ile multi-milyon dolar yanlış yapılandırma maliyetlerini önler ve geliştirici verimliliğini eş zamanlı artırır.
Sıkça Sorulan Sorular
1. Kyverno mu OPA Gatekeeper mı seçilmeli?
YAML tabanlı kolay yazım, mutation ve generation desteği önemliyse Kyverno. Rego ile maksimum esneklik, kompleks ExternalData entegrasyonları gerekiyorsa OPA Gatekeeper. Çoğu üretim ortamı Kyverno ile yeterli kapsam buluyor.
2. Kyverno 1.13’ün önceki sürümlerden farkı nedir?
1.13 sürümünde Sigstore image verification yerleşik hale geldi, JSONPatch mutation desteği güçlendi, admission latency yüzde 38 azaldı ve Pod Security Standards (PSS) tam uyumu sağlandı. 2026’nın en olgun Kyverno sürümü.
3. Kyverno mutation üretim ortamında güvenli mi?
Evet, ancak dikkatli implementasyon gerekir. Mutation politikalarını önce audit mode’da test edin, birden fazla mutation aynı resource’ı etkiliyorsa order alanını mutlaka tanımlayın, dry-run testleri pull request seviyesinde otomatize edin.
4. Kyverno’nun Background Scan Controller’ı performans etkisi yaratır mı?
Varsayılan 1 saat aralıklı tarama büyük cluster’larda yük yaratabilir. 6-12 saat aralık önerilen optimizasyon. Kritik politikalar için real-time admission control, geri kalan denetim için background scan kullanılması ideal pratiktir.
5. Kyverno multi-cluster ortamda nasıl yönetilir?
GitOps standart yaklaşımdır: politikalar Git repository’sinde tutulur, Argo CD veya Flux ile tüm cluster’lara senkronize edilir. Kyverno Multi-Tenancy CRD’leri ile cluster bazlı politika varyasyonu da mümkündür.
Ömer ÖNAL
Mayıs 23, 2026Yazılım mimarisi danışmanlığında sık karşılaştığım soru: “Hangi pattern hangi senaryoda?” Cevap genelde iş hedefiyle teknik kısıtların kesiştiği noktada netleşir. Mimari kararlar ADR olarak kayıt altına alınmadığında 18-24 ay içinde tekrar tartışılan toplantılar ekibin %15-20 verimliliğini alıyor. Yorumlarınız?