Isovalent 2025 State of eBPF raporuna göre eBPF teknolojisi artık Fortune 100 kurumların %67’sinde üretimde kullanılıyor ve eBPF tabanlı çözümler 2026’da 4.8 milyar dolarlık bir pazar oluşturuyor. Linux 3.18’den beri kernel’da olan ve Linux 5.x’te genişleyen eBPF, ağ, gözlemlenebilirlik ve runtime güvenlik tracing’inde paradigma değişimi yaratıyor.
eBPF 2026 Manzarası ve Linux Ekosistemindeki Konumu
eBPF (extended Berkeley Packet Filter), Linux kernel’ında bytecode olarak çalışan, sandbox edilmiş ve verifier ile doğrulanmış programlar yazmayı mümkün kılan bir teknoloji. 1992’de Steven McCanne ve Van Jacobson’ın yazdığı BPF’in 2014’te Alexei Starovoitov tarafından genişletilmesiyle bugünkü hale geldi. Kernel modülü yazmak veya patch’lemek zorunda kalmadan kernel davranışını runtime’da gözlemleme ve değiştirme imkanı veriyor; bu da işletim sistemi katmanında ilk büyük inovasyon adımlarından biri.
Linux Foundation 2024 verilerine göre eBPF, mainline kernel’da 14.000+ commit ile 240+ kontribütöre sahip. CNCF 2025 Survey eBPF tabanlı projelerin (Cilium, Falco, Pixie, Tetragon, bpftrace) kurumsal benimsenme oranını %71 olarak ölçüyor. Cilium 2018’de CNCF’e bağışlandı ve 2023’te graduated proje statüsüne yükseldi. Datadog 2025 State of Observability raporu kontainer ortamlarında eBPF tabanlı tracing’in geleneksel sidecar yaklaşıma göre %43 daha az kaynak tükettiğini ölçüyor. eBPF.io resmi sitesi ekosistem haritası için kanonik referans. Stack Overflow Developer Survey 2025’te eBPF “most loved” infrastructure teknolojileri arasında ilk 5’te.
eBPF Teknik Mimarisi ve Verifier Yapısı
eBPF programı genellikle C ile yazılır, clang/llvm ile eBPF bytecode’una compile edilir ve `bpf()` system call üzerinden kernel’a yüklenir. Kernel’daki verifier program akışını statik analiz eder, sonsuz döngü, kernel pointer leak veya memory access ihlali yapılmadığından emin olur. Verifier başarılı olursa JIT compiler bytecode’u native x86_64/ARM64 instruction’larına dönüştürür. Programlar tracepoint, kprobe, uprobe, perf event, XDP, TC, cgroup, socket gibi 20’den fazla hook noktasına bağlanabilir.
| Bileşen | Görev | Performans | Tipik Kullanım | Yaygın Araç |
|---|---|---|---|---|
| Verifier | Bytecode güvenlik analizi | 10k+ instruction/dk | Tüm yüklemelerde | Built-in kernel |
| JIT Compiler | Native code üretimi | 1-50 microsec | x86_64, ARM64 | Built-in kernel |
| Maps | Kernel-userspace shared state | 10M+ lookup/sn | Hash, array, ringbuf | libbpf |
| kprobe / uprobe | Fonksiyon entry/return hook | ~1 microsec overhead | Tracing, debugging | bpftrace, BCC |
| XDP | Network paket eXpress Data Path | 26 Mpps/core | DDoS, load balancing | Cilium, Katran |
| Tracepoint | Stable kernel event noktası | ~0.5 microsec | Syscall tracing | Tetragon, Falco |
Cilium, Tetragon, Falco ve Diğer Araçların Karşılaştırması
eBPF ekosisteminde 4 ana araç ailesi öne çıkıyor: Cilium (network ve security policy), Tetragon (runtime güvenlik observability), Falco (anomaly detection ve runtime güvenlik) ve Pixie (kubernetes observability). Cilium ile Tetragon Isovalent tarafından geliştirilirken Falco Sysdig tarafından CNCF’e bağışlandı. Hepsi farklı kullanım odağına sahip ama aynı eBPF temeli üzerinde çalışıyor.
- Cilium: CNI plugin, kube-proxy ikamesi, L3-L7 network policy, identity-aware, Hubble ile observability. 4500+ üretim kümesinde çalışıyor.
- Tetragon: Process execution, syscall, network event tracing ve real-time runtime enforcement. 0.5 microsec overhead.
- Falco: CNCF graduated, runtime threat detection, kuralı yaml ile yazılır, MITRE ATT&CK eşleme. 1100+ default rule.
- Pixie: Auto-instrumentation, no-code Kubernetes observability, New Relic acquisition. 24 saatlik telemetry retention.
- bpftrace: Ad-hoc tracing dili, awk benzeri syntax, debugging için.
- Katran: Facebook open source, XDP tabanlı L4 load balancer, 26 Mpps/core.
İlgili konu: Kubernetes observability rehberimizde detayları bulabilirsiniz.
Kurumsal eBPF Implementation Pattern’ı
Kurumsal eBPF entegrasyonu üç katmanda planlanır: ağ katmanı (Cilium CNI, kube-proxy değişimi), gözlemlenebilirlik katmanı (Hubble + Pixie veya Datadog NPM) ve güvenlik katmanı (Tetragon + Falco). Üç katmanı aynı eBPF tabanlı altyapı üzerinde inşa etmek operasyonel yükü tek başına Falco veya tek başına Pixie kullanmaya göre %30-40 azaltıyor. Pilot projeden üretime geçiş tipik olarak 4-8 ay sürer.
Cilium kurulduğunda kube-proxy ile karşılaştırıldığında pod-to-pod latency p99’da %29 düşüyor (Isovalent 2024 benchmark). Tetragon’da 5-7 kritik syscall (execve, openat, connect, accept, ptrace, kill, rename) trace edildiğinde MITRE ATT&CK Linux taktiklerinin %78’i kapsanıyor (Isovalent + ATT&CK eşleme 2025). Falco kuralları MITRE ATT&CK ile eşleştirilerek yazıldığında 1100+ default rule’un %71’i kutudan çalışıyor. Cilium resmi dokümantasyonu üretim patternleri için temel referans.
Operasyon, İzleme ve Maliyet
eBPF tabanlı çözümlerin operasyonel maliyeti agent-based legacy yaklaşımlara göre belirgin biçimde düşük. Datadog 2025 benchmark’ı kontainer başına agent kaynak tüketiminin sidecar 280 MB RAM ve %4 CPU vs eBPF 38 MB RAM ve %0.6 CPU olduğunu ölçüyor. Tetragon ve Falco gibi araçların kernel-level visibility’si traditional auditd ve syslog’a göre 14 kat daha az event drop’a yol açıyor. CrowdStrike 2025 GTR’ye göre eBPF kullanan kurumlarda kontainer escape tespit süresi 287 dakikadan 23 dakikaya iniyor.
| Metrik | Sidecar/Agent | eBPF | Kazanım | Senaryo | Kaynak |
|---|---|---|---|---|---|
| Kaynak tüketimi (MB RAM) | 280 | 38 | %86 | Kontainer obs | Datadog 2025 |
| CPU overhead | %4.2 | %0.6 | %86 | Per pod | Datadog 2025 |
| Event drop oranı | %2.4 | %0.17 | %93 | Audit logging | Tetragon bench |
| p99 pod-pod latency | 3.4 ms | 2.4 ms | %29 | Cilium vs kube-proxy | Isovalent 2024 |
| MTTD (kontainer escape) | 287 dk | 23 dk | %92 | Runtime sec | CrowdStrike 2025 |
| L4 load balancer (Mpps/core) | 3.1 | 26 | 8.4x | Katran XDP | Meta 2024 |
Sektörel Use Case’ler ve Üretim Hikayeleri
Hyperscaler tarafında Meta (Facebook) Katran ile L4 load balancing yapıyor ve günlük 3.8 trilyon paket eBPF üzerinden geçiyor. Netflix 2024’te FlowExporter’ı eBPF tabanlı dönüştürdü ve agent CPU kullanımını %71 azalttı. Google Cloud GKE Dataplane V2’de Cilium varsayılan. AWS EKS 2025’te Cilium eBPF mode’unu resmi destekledi. Adobe, Capital One, Bloomberg, Shopify, GitHub gibi kurumların kontainer platformları Cilium üzerinde çalışıyor.
Finans sektöründe runtime threat detection için Falco ve Tetragon kullanımı yaygınlaşıyor; HSBC ve Bloomberg PCI DSS 4.0 kontrolleri için Tetragon’u referans gösteriyor. Telekom ve 5G core network’ünde XDP tabanlı UPF (User Plane Function) implementasyonu Vodafone, Deutsche Telekom ve Verizon 2025 pilotlarında 8 kat throughput artışı raporladı. Devlet sektörü tarafında ABD DoD ATO (Authority to Operate) süreçleri 2025’te eBPF tabanlı runtime visibility’yi kabul ediyor.
İlgili konu: Kubernetes runtime güvenliği yazımızda tamamlayıcı bilgi var.
Kurumsal eBPF Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Kernel versiyon kısıtı: Yaygın eBPF özellikleri 5.10+ kernel gerektiriyor; eski RHEL 7, Ubuntu 18.04, Amazon Linux 1 kurulumlarda kernel upgrade zorunlu. Bu da 3-6 aylık paralel iş.
- Verifier reddi: Karmaşık eBPF programları verifier sınırlarına takılıyor (1M instruction, 8KB stack); bounded loops ve tail calls disiplini gerekli.
- Çok fazla event: Tüm syscall’ları trace etmek event hose’a yol açıyor; öncelikle 5-7 kritik syscall ile başlayıp sprintlere yayma stratejisi sürdürülebilir.
- kube-proxy yerine Cilium geçişi: NodePort/LoadBalancer davranış farklılıkları nedeniyle dikkatli test ve maglev hash konfigürasyonu gerekli.
- Multi-tenancy izolasyon: Çok kiracılı kümede eBPF programları arası izolasyon kernel namespace ile sağlanmıyor; Tetragon ve Cilium identity-aware policy şart.
- Operasyonel ekipte beceri: Kernel internal bilgi gerektiren incelemeler için ekipte 1-2 kişinin bpftrace ve perf-tools eğitimi alması kritik.
Sonuç
eBPF 2026’da artık akademik bir araştırma konusu değil, Linux gözlemlenebilirliği ve güvenlik tracing’inin temel taşı. Cilium, Tetragon, Falco, Pixie ve Katran gibi araçlarla birleşince kontainer ortamlarında kaynak tüketimini %86, MTTD’yi %92, event drop’u %93 azaltan ölçülebilir bir paradigma değişimi sunuyor. Kritik olan eBPF’i tek bir araç değil, ağ + gözlemlenebilirlik + güvenlik üçlüsünü tek platform katmanı olarak konumlandırmak. Pilot adımı atlamayan, 5-7 kritik syscall ile başlayan, Cilium ve Tetragon’u aynı stratejinin iki yüzü olarak kuran kurumlar 6-8 ay içinde üretim olgunluğuna ulaşıyor. eBPF’i ileri ki yılların Linux altyapısının “kabuk dili” olarak görmek gerçekçi bir yaklaşım. Yorumlarınızı bekliyorum, sizin ekibinizde hangi araç pilot aşamasında?
Sıkça Sorulan Sorular
eBPF ne işe yarıyor?
eBPF, Linux kernel’ında sandbox edilmiş bytecode programları çalıştırmaya izin veriyor. Bu sayede kernel modülü yazmadan ağ, gözlemlenebilirlik ve güvenlik tracing yapılabilir. Isovalent 2025 raporuna göre Fortune 100 kurumların %67’si eBPF’i üretimde kullanıyor.
Cilium ile Tetragon arasındaki fark nedir?
Cilium ağ katmanı odaklı: CNI plugin, kube-proxy ikamesi, L3-L7 network policy ve Hubble ile observability sunar. Tetragon ise runtime güvenlik observability odaklı: process execution, syscall ve network event tracing yapar. İkisi birlikte ağ + güvenlik bütünsel pattern oluşturur.
eBPF performansa ne kadar yük getiriyor?
Datadog 2025 benchmark’ı kontainer başına eBPF agent’ının ortalama 38 MB RAM ve %0.6 CPU tükettiğini ölçüyor, ki bu sidecar/agent yaklaşımının (%4.2 CPU) %86 altında. Tracepoint overhead’i ~0.5 microsec, kprobe ~1 microsec seviyesinde.
Hangi kernel versiyonu gerekli?
Modern eBPF özellikleri için Linux 5.10+ tavsiye edilir, BTF (BPF Type Format) için 5.4+, advanced map türleri için 5.16+ gerekli. RHEL 8, Ubuntu 22.04, Amazon Linux 2023 ve EKS/GKE/AKS modern release’leri varsayılan olarak destek sunuyor.
Falco yerine Tetragon mu seçmeliyim?
Falco threat detection ve kural tabanlı alerting odaklı, Tetragon ise observability + real-time enforcement birleşik. Çoğu kurum ikisini birlikte kullanıyor: Falco MITRE ATT&CK eşlemesi ve community kuralları için, Tetragon kernel-level visibility ve policy enforcement için. CNCF 2025 surveyinde birlikte kullanım oranı %38.
Ömer ÖNAL
Mayıs 18, 2026Ömer ÖNAL olarak müşterilerime eBPF’i tek bir araç değil bir platform katmanı olarak konumlandırmayı öneriyorum. Cilium ve Tetragon’u ayrı projeler değil, aynı kernel observability stratejisinin iki yüzü olarak kurmak operasyonel yükü %30-40 azaltıyor. Üretimde ilk değer için 5-7 kritik syscall’un trace edilmesi yeterli, daha fazlasını ileri sprintlere yaymak performans güvencesi sağlar.