API gateway karşılaştırma kararı, modern mikroservis mimarisinin en kritik altyapı seçimlerinden biridir; çünkü gateway katmanı yalnızca trafiği yönlendirmekle kalmaz, kimlik doğrulama, oran sınırlama, gözlemlenebilirlik ve protokol dönüşümü gibi onlarca çapraz kesişimsel kaygıyı tek noktada toplar. 2026 itibarıyla Kong Gateway 3.x, Tyk 5.x, Apache APISIX 3.x, AWS API Gateway, Google Apigee X ve Envoy Gateway öne çıkan altı seçenek olarak konumlanmaktadır. Doğru karar; throughput hedefi, p99 gecikme tolerans aralığı, plugin ekosistemi, Kubernetes-native gereksinimi, ekip operasyonel kapasitesi ve milyon istek başına maliyet ekseninde verilmelidir. Bu yazı, altı gateway’i 2026 koşullarında benchmark verileri, fiyatlandırma tabloları, kullanım senaryoları ve karar matrisi üzerinden analiz eder; production’a alınmadan önce hangi kıstaslarla doğrulanması gerektiğini ortaya koyar.
API Gateway Nedir, Neden Stratejik Bir Katmandır?
API gateway, istemciler ile arka uç servisler arasında konumlanan, tüm dış trafiğin tek bir kontrol düzleminden geçtiği reverse proxy katmanıdır. North-South trafiğini yönetir, kuzey-güney ekseninde kimlik doğrulama, yetkilendirme, oran sınırlama, request transformation, response caching, retry/circuit breaker ve gözlemlenebilirlik politikalarını tek noktada uygular. Mikroservis sayısı arttıkça her servisin bu çapraz kesişimsel kaygıları ayrı ayrı implemente etmesi sürdürülebilir değildir; gateway tam da bu DRY ihlalini ortadan kaldırır. Production-grade bir gateway’in 2026’da karşılaması gereken minimum yetkinlikler şunlardır: 10.000+ RPS per node throughput, p99 < 20 ms ek gecikme, OpenAPI 3.1 desteği, OAuth 2.1 ve OIDC entegrasyonu, mTLS, JWT validation, rate limiting (sliding window), distributed tracing (OpenTelemetry), Kubernetes-native deploy ve plugin/extension SDK’sı.
Servis sayısının on’lar mertebesine ulaştığı modern organizasyonlarda, gateway’in Service Mesh ile birlikte konumlandırılması gerekir: gateway kuzey-güney (dış trafik), mesh ise doğu-batı (servisler arası) trafiği yönetir. İki katmanın doğru ayrıştırılması, gözlemlenebilirlik ve güvenlik politikalarının çakışmadan uygulanabilmesi için kritik bir mimari karardır. Mikroservis Mimarisine geçişte gateway seçimi, organizasyonun teknik borcunu uzun vadede şekillendirir.
2026’da Öne Çıkan Altı API Gateway: Konumlandırma Özeti
Pazarın altı baskın oyuncusu farklı stratejik konumlardan rekabet eder. Kong Gateway, OpenResty/Nginx tabanlı, Lua plugin ekosistemiyle olgun bir open-source çözümdür; PostgreSQL veya Cassandra backend ister, hibrit deployment modeliyle bilinir. Tyk, Go ile yazılmış, dahili olarak Redis kullanan, GraphQL universal federation ve developer portal özellikleriyle öne çıkar. Apache APISIX, Nginx + etcd tabanlı, CNCF Top-Level projesi olup en yüksek throughput rakamlarına sahiptir; sıcak yapılandırma yenileme avantajı vardır. AWS API Gateway, serverless, fully-managed; REST ve HTTP API olmak üzere iki türü mevcuttur. Google Apigee X, enterprise odaklı, monetization ve developer ecosystem yönüyle güçlüdür. Envoy Gateway, Envoy Proxy üzerine inşa edilmiş Kubernetes-native bir kontrol düzlemi olup Gateway API standardını referans alır.
| Gateway | Mimari | Open Source | Managed Versiyon | Plugin Sistemi | Data Store |
|---|---|---|---|---|---|
| Kong Gateway 3.x | OpenResty / Nginx + Lua | Evet (Apache 2.0) | Konnect (SaaS) | Lua, Go, JavaScript, Python | PostgreSQL / DB-less |
| Tyk 5.x | Go | Evet (MPL 2.0 core) | Tyk Cloud | Go, JavaScript, Python, gRPC | Redis + Mongo/Postgres |
| Apache APISIX 3.x | Nginx + etcd | Evet (Apache 2.0) | API7 Cloud | Lua, Wasm, Java, Go, Python | etcd |
| AWS API Gateway | AWS native | Hayır | Native managed | Lambda integration, VTL | AWS managed |
| Google Apigee X | GCP native + Envoy | Hayır | Native managed | JavaScript, Java, Python policies | GCP managed |
| Envoy Gateway | Envoy Proxy + xDS | Evet (Apache 2.0) | 3rd-party (Tetrate, Solo) | Wasm filters, Lua | Kubernetes CRD |
Performans ve Throughput Benchmark Verileri
Throughput, gateway seçiminin en yanıltıcı kriteridir: pazarlama materyallerinde verilen rakamlar genelde “hello world” senaryolarına aittir, gerçek dünyada plugin yükü, JWT doğrulama, rate limiting ve logging eklenince throughput %40-70 düşer. Aşağıdaki tablo, resmi dokümantasyon ve TechEmpower benchmark verilerine dayalı olarak per-node, idle plugin konfigürasyonuyla elde edilen referans rakamları içerir. Production öncesi mutlaka kendi workload profilinizle k6 veya wrk ile doğrulayın.
| Gateway | RPS (per node, idle) | RPS (JWT + Rate Limit) | p99 Gecikme | Bellek (idle) | Cold Start |
|---|---|---|---|---|---|
| Apache APISIX 3.x | ~18.000 | ~9.500 | ~6 ms | ~120 MB | < 1 sn |
| Kong Gateway 3.x | ~12.000 | ~6.800 | ~9 ms | ~200 MB | 2-4 sn |
| Envoy Gateway | ~15.000 | ~8.200 | ~7 ms | ~150 MB | 1-2 sn |
| Tyk 5.x | ~10.000 | ~5.500 | ~11 ms | ~180 MB | 2-3 sn |
| NGINX Plus | ~25.000 | ~14.000 | ~4 ms | ~80 MB | < 1 sn |
| AWS API Gateway (HTTP) | ~10.000 (default quota) | ~10.000 | ~15-30 ms | N/A (managed) | N/A |
APISIX’in throughput liderliği, etcd tabanlı sıcak konfigürasyon yenileme ve Nginx’in olgun event-driven mimarisinden gelir; rakamlar resmi apisix.apache.org dokümantasyonu ve CNCF performans raporlarıyla doğrulanır. Kong, OpenResty üzerine kurulu olup benzer event-driven model kullanır; ancak plugin runtime’ı Lua ek katmanı sebebiyle marjinal overhead taşır. Envoy Gateway, Envoy’un C++ tabanlı yüksek performans karakteristiğini Kubernetes Gateway API soyutlamasıyla birleştirir.
Fiyatlandırma ve Toplam Sahip Olma Maliyeti (TCO)
Fiyatlandırma karşılaştırmasında dikkat edilmesi gereken üç eksen vardır: doğrudan lisans/abonelik ücreti, altyapı maliyeti (compute, storage, network), operasyonel insan gücü maliyeti. Self-hosted open-source çözümler doğrudan lisans bakımından sıfır olsa da, operasyonel olarak SRE/Platform ekibi kapasitesi gerektirir; managed çözümler tersine, abonelik maliyeti yüksek olmakla birlikte operasyonel yükü minimize eder.
| Gateway | Open Source Maliyet | Managed Başlangıç | Per Million Request | Enterprise Tier |
|---|---|---|---|---|
| Kong | $0 (Apache 2.0) | Konnect: ~$250/ay | Konnect: ~$0.50-$1.20 | Kong Enterprise: özel teklif |
| Tyk | $0 (MPL 2.0 core) | Tyk Cloud: ~$500/ay | ~$0.40-$0.80 | Tyk Self-Managed: özel teklif |
| APISIX | $0 (Apache 2.0) | API7 Cloud: ~$100/ay | ~$0.30-$0.60 | API7 Enterprise: özel teklif |
| AWS API Gateway (REST) | N/A | Pay-per-use | $3.50/M req | + data transfer + cache |
| AWS API Gateway (HTTP) | N/A | Pay-per-use | $1.00/M req | İlk 300M $1.00, sonra $0.90 |
| Apigee X | N/A | ~$500/ay (Evaluation) | ~$2.00-$5.00 | Standard $20k+/yıl |
| Envoy Gateway | $0 (Apache 2.0) | Tetrate/Solo: özel | ~$0.20-$0.50 (self-hosted) | Tetrate enterprise teklif |
Pratik bir örnek: aylık 50 milyon istek hacmi için AWS API Gateway REST kullanıldığında yalnız istek ücreti 50M × $3.50 = $175/ay; ancak veri transferi, CloudWatch log ücretleri ve cache eklendiğinde toplam $300-450 bandına çıkabilir. Aynı hacim HTTP API ile $50/ay’dan başlar. Self-hosted APISIX ile 4 vCPU / 8 GB üç node (HA) ~$150/ay altyapı maliyeti + etcd cluster gerektirir; operasyonel maliyet ise 0.2 FTE SRE seviyesinde tahmin edilir. Kritik kural: 100M req/ay altında managed çözümler genelde TCO açısından kazançlı, üzerinde self-hosted ekonomik hale gelir.
Plugin ve Extension Ekosistemi
Plugin sistemi, gateway’in uzun vadeli sürdürülebilirliğini belirleyen ikinci en önemli faktördür (birincisi mimari). Open-core çözümlerin plugin ekosistemleri olgunluk ve aktivite bakımından farklılaşır.
- Kong (Hub): 100+ resmi plugin (auth, traffic control, transformation, analytics, logging), Lua tabanlı, Go ve JavaScript pluginleri için PDK mevcut. github.com/Kong/kong
- APISIX: 80+ built-in plugin, Lua + Wasm + Java + Go runtime’lar, en geniş runtime çeşitliliği. github.com/apache/apisix
- Tyk: Daha sınırlı core plugin, ancak gRPC tabanlı multi-language plugin SDK ile dış servis çağırma desteği güçlü.
- Envoy Gateway: Envoy filter ekosistemi (HTTP, network, listener filters); Wasm filter desteği üzerinden custom logic.
- AWS API Gateway: Plugin yok; Lambda integration ve VTL (Velocity) ile custom mantık. Limitli ama AWS ekosistemiyle tam entegre.
Plugin tercihinin kritik bir yan etkisi API güvenliği OWASP Top 10 ile uyumdur: WAF, schema validation, JWT/OIDC doğrulama, IP filtering gibi güvenlik plugin’lerinin kalitesi ve güncelliği, gateway’in tehdit yüzeyini doğrudan etkiler. APISIX ve Kong, OWASP CRS entegrasyonu için olgun WAF plugin’lerine sahipken Tyk bu noktada daha sınırlıdır.
Kimlik Doğrulama, Yetkilendirme ve Güvenlik
2026 itibarıyla gateway’in vazgeçilmez güvenlik yetkinlikleri şunlardır: OAuth 2.1 ve OpenID Connect akışları, JWT validation (JWKS rotation dahil), mTLS, API key management, IP allowlist/denylist, request size limit, rate limiting (sliding window, distributed counter), schema validation (OpenAPI), CORS yönetimi. Yetkilendirme tarafında RBAC/ABAC/ReBAC modelleri ile OPA (Open Policy Agent) entegrasyonu beklenir.
| Yetkinlik | Kong | Tyk | APISIX | AWS API Gateway | Apigee X | Envoy Gateway |
|---|---|---|---|---|---|---|
| OAuth 2.1 / OIDC | Plugin | Native | Plugin | Cognito / Lambda Auth | Native | Wasm / ext-authz |
| JWT Validation | Plugin | Native | Plugin | Native (REST) | Native | Native filter |
| mTLS | Evet | Evet | Evet | Evet | Evet | Evet (CRD) |
| Rate Limit (distributed) | Redis-backed | Redis-backed | Redis / limit-count | Account-level | Native | Plugin (RLS) |
| OPA Entegrasyonu | Plugin | gRPC plugin | Plugin | Lambda Auth | Custom policy | ext-authz |
| WAF / OWASP CRS | Plugin (modsec) | Limited | chaitin-waf | AWS WAF | Apigee Sense | Coraza filter |
| OpenAPI Schema Validation | Plugin | Native | Plugin | Native | Native | Plugin |
Üretime alınmadan önce DDoS koruma ve WAF katmanlarının gateway öncesinde konumlandırılması zorunludur; gateway, L7 saldırı yüzeyini tek başına karşılayacak şekilde tasarlanmamalıdır. Edge WAF + gateway L7 policy kombinasyonu yaygın kabul gören savunma derinliği desenidir.
Kubernetes ve Cloud-Native Entegrasyon
Kubernetes-native deployment, 2026’nın baskın dağıtım modelidir. Bu noktada Gateway API standartı (KEP-1742) önem kazanır: Envoy Gateway, Kong, APISIX ve diğer projeler Gateway API’ye uyum sağlamaktadır. Cloud-native mimaride gateway’in pod olarak deploy edilmesi, otomatik sertifika rotasyonu (cert-manager), HPA, PodDisruptionBudget ve Kubernetes Network Policy / Cilium ile birlikte değerlendirilmesi gerekir.
- Envoy Gateway: Gateway API’nin referans implementasyonu; native Kubernetes CRD modelinde GatewayClass, Gateway, HTTPRoute kaynakları. gateway.envoyproxy.io
- Kong Ingress Controller: Olgun, hem Ingress hem Gateway API destekler; KongPlugin CRD üzerinden deklaratif plugin tanımı.
- APISIX Ingress Controller: ApisixRoute, ApisixUpstream CRD’leri; etcd ile sıcak senkronizasyon.
- Tyk Operator: CRD tabanlı API tanımı, ancak Gateway API uyumu Envoy ve Kong’a göre daha geriden gelir.
- AWS / Apigee: Managed olduklarından Kubernetes ile entegrasyonu external (e.g. ALB Ingress + AWS API Gateway integration) modelle yapılır.
Gözlemlenebilirlik: Metrics, Logs, Traces
Gateway, sistem geneli için single-pane-of-glass gözlemlenebilirlik noktasıdır. OpenTelemetry (OTel) protokolü desteği, 2026’da artık temel beklentidir. Tüm modern gateway’ler OTLP üzerinden trace export, Prometheus metrics endpoint ve structured JSON log üretimini desteklemelidir. APISIX, Kong ve Envoy bu noktada en olgun ekosisteme sahipken AWS API Gateway CloudWatch tarafına gömülüdür ve OTel export için ek köprüleyici gerekir.
Distributed tracing perspektifinden gateway’in trace context propagation yetkinliği kritiktir: W3C Trace Context header’larını (traceparent, tracestate) doğru biçimde upstream’e aktaramayan gateway, trace zincirini kıracaktır. Tüm değerlendirilen altı çözümün bu konuda native veya plugin desteği vardır; pre-production’da Jaeger veya Tempo backend’iyle uçtan uca trace görünürlüğü mutlaka doğrulanmalıdır.
Use-Case Bazlı Karar Matrisi
Bu bölüm en sık karşılaşılan altı senaryo için “Ne zaman hangisi?” yanıtını verir. Ömer Önal’ın müşteri projelerinde gözlemlediği yaygın anti-pattern, ekibin Twitter/HN trendlerine göre gateway seçmesi ve workload’un gerçek karakteristiğini ihmal etmesidir.
| Senaryo | Önerilen | Alternatif | Kaçınılması Gereken |
|---|---|---|---|
| Startup, <10M req/ay, AWS-only | AWS API Gateway (HTTP) | APISIX (self-hosted, küçük) | Apigee X (overkill) |
| Scale-up, 50-500M req/ay, multi-cloud | Kong / APISIX (self-hosted) | Tyk Cloud | AWS API Gateway REST (TCO) |
| Enterprise, monetization odaklı | Apigee X | Kong Enterprise | Saf open-source çözümler |
| Kubernetes-native, mesh ile birlikte | Envoy Gateway | Kong Ingress | AWS API Gateway (K8s’e zayıf bağlı) |
| Yüksek throughput, >500M req/ay | APISIX | Envoy Gateway | Tyk (relatif düşük RPS) |
| GraphQL federation | Tyk | Apollo Router + Kong | AWS API Gateway (zayıf GraphQL) |
| Edge / multi-region | Cloudflare API Shield + Envoy | APISIX multi-cluster | Tek bölgeli managed çözüm |
Çoklu istemci tipinin (mobil, web, üçüncü taraf) farklı API ihtiyaçlarını karşılaması gereken senaryolarda BFF (Backend-for-Frontend) pattern ile gateway’in birlikte konumlandırılması, hem aggregation hem authorization sorumluluklarını net olarak ayrıştırır. Gateway dış güvenlik perimetresini ve cross-cutting concern’leri çözer; BFF ise istemci-özgül API shape’ini sağlar.
Avantaj ve Dezavantajlar: Hangi Gateway Ne Zaman Kaybeder?
- Kong avantaj: Olgun ekosistem, geniş plugin Hub, mature documentation, Konnect SaaS opsiyonu. Dezavantaj: PostgreSQL bağımlılığı (DB-less moda geçilebilir ama plugin set kısıtlanır), enterprise feature’lar paywall arkasında.
- Tyk avantaj: GraphQL universal federation, developer portal, multi-language plugin SDK, Go performance. Dezavantaj: Open-source sürümünde özellik kısıtları, throughput’ta APISIX/Envoy gerisinde.
- APISIX avantaj: En yüksek throughput, etcd sıcak konfigürasyon, geniş runtime desteği (Lua/Wasm/Java/Go), CNCF graduated proje. Dezavantaj: etcd operasyonel karmaşıklığı, dokümantasyon Kong’a göre yer yer daha sığ.
- AWS API Gateway avantaj: Sıfır operasyonel yük, AWS ekosistemiyle native entegrasyon, Lambda direct invoke. Dezavantaj: Yüksek per-request maliyet (REST tier), AWS-lock-in, sınırlı extensibility, OTel için bridge gerekir.
- Apigee X avantaj: Enterprise-grade monetization, developer portal, analytics derinliği, SLA. Dezavantaj: Yüksek başlangıç maliyeti, GCP-bağımlı, kompleks öğrenme eğrisi.
- Envoy Gateway avantaj: Kubernetes Gateway API referansı, Envoy mimari olgunluğu, mesh ile aynı dataplane (Istio uyumu). Dezavantaj: Görece genç (developer portal eksiği), enterprise feature’lar Tetrate/Solo gibi vendor’lar üzerinden.
Vendor Lock-in ve Çıkış Stratejisi
Gateway seçiminde göz ardı edilen kritik bir boyut, vendor lock-in maliyetidir. AWS API Gateway ve Apigee X gibi managed çözümler, REST kontratları VTL veya policy DSL’lerine gömüldüğünde başka bir platforma göç maliyetini ciddi şekilde yükseltir. Multi-cloud ve vendor lock-in stratejisi çerçevesinde, plugin/policy mantığının portable kalmasını sağlayan üç pratik yaklaşım vardır:
- Standartlara bağlı kal: OpenAPI 3.1, OAuth 2.1/OIDC, OpenTelemetry, W3C Trace Context. Standart artifact’lar farklı gateway’ler arasında taşınabilir.
- Policy mantığını dış servise taşı: OPA, ext-authz pattern; gateway sadece “ext-authz çağır” der, asıl politika gateway-dışı. Böylece gateway değişimi politikayı etkilemez.
- Custom plugin’leri minimum tut: Built-in plugin’lerle çözülemeyen ihtiyaç sayısı vendor-specific kodun karmaşıklığını belirler; bu kod ne kadar azsa göç o kadar ucuzdur.
Aynı çerçevede edge computing (Cloudflare Workers) ile gateway katmanını birlikte düşünmek, hem latency hem maliyet açısından önemli kazanımlar sağlayabilir; cacheable ve auth-light endpoint’ler edge’e itilebilir, business-critical akışlar merkezi gateway’de kalır. REST, GraphQL ve webhook entegrasyonlarında gateway’in protokol dönüşümü yeteneği ekstra önem kazanır.
Sık Sorulan Sorular (FAQ)
1. API gateway ile load balancer arasındaki temel fark nedir?
Load balancer (L4 veya L7) trafiği dağıtır; API gateway L7 üstü politika katmanı uygular: kimlik doğrulama, oran sınırlama, transformation, schema validation, analytics. Gateway, load balancer’ın üst kümesidir; tipik prod mimari LB → Gateway → Backend zinciridir.
2. Service mesh ile API gateway arasında çakışma olur mu?
Çakışma olmaz, tamamlayıcıdır. Gateway kuzey-güney (dış trafik) için, mesh doğu-batı (servisler arası) için optimize edilir. Envoy Gateway + Istio kombinasyonu aynı dataplane üzerinde her iki ihtiyacı karşılar.
3. APISIX, Kong’dan gerçekten daha hızlı mı?
Resmi ve bağımsız benchmark’larda APISIX, idle ve plugin-yüklü senaryoların büyük çoğunluğunda %30-60 daha yüksek RPS verir. Ancak Kong’un olgun ekosistemi ve dokümantasyon derinliği bazı senaryolarda hız farkını dengeleyebilir.
4. AWS API Gateway REST mi HTTP API mi seçmeliyim?
Eğer WebSocket, VPC private integration, request validation gibi gelişmiş özellikler şart değilse HTTP API; çünkü ücreti REST’in %30’u kadar. Enterprise feature gerekiyorsa REST API tercih edilir.
5. Open-source gateway’in production’a hazır olduğunu nasıl doğrularım?
Şu kriterleri kontrol edin: SLA gerektirmeyen versiyonun ticari destek seçeneği var mı; CVE süreci açık ve hızlı mı; Kubernetes operator olgun mu; metrik/log/trace OTel uyumlu mu; community aktivitesi (commit/issue/release frekansı) son 12 ayda azalıyor mu; reference customer listesi (CNCF case studies) doğrulanabilir mi.
Sonuç
2026 yılında “tek doğru API gateway” yoktur; doğru seçim, workload karakteristiği, organizasyonel operasyonel kapasite ve TCO eşiklerine bağlıdır. APISIX, yüksek throughput ve geniş runtime desteğiyle scale-up ekiplerinin varsayılan tercihi; Kong, olgun ekosistem ve managed seçeneği (Konnect) bekleyen kurumlar için sağlam; Tyk, GraphQL federation ve developer portal odaklı projelerde rakipsiz; AWS API Gateway, AWS-only ve düşük hacimli (<50M req/ay) workload’larda zero-ops avantajıyla öne çıkar; Apigee X, monetization ve enterprise SLA gereksiniminde tercih edilir; Envoy Gateway, Kubernetes-native, Gateway API uyumlu ve mesh ile birleşik dataplane isteyen modern stack’lerin gelecek kuşak çözümüdür. Hangi seçim olursa olsun, üç prensip pazarlık dışıdır: gözlemlenebilirlik (OTel) gün bir gereksinim, güvenlik (OAuth 2.1 + WAF) opsiyonel değil, vendor lock-in maliyeti karar anında hesaplanmalı.
Doğru API gateway seçimi ve production-grade konuşlandırma konusunda mimari danışmanlık için omeronal.com/iletisim üzerinden ulaşabilirsiniz.
Ömer ÖNAL
Mayıs 16, 2026DevOps danışmanlık projelerinde gözlemlediğim bir pattern: kuruluşlar pipeline’a yatırım yapmadan önce mevcut deployment frequency ve change failure rate metriklerini ölçmüyor. Bu iki DORA metriği baz alındığında, optimizasyon önceliği daha net belirleniyor. Aksi takdirde yatırım kararı sezgisel kalıyor. Yorumlarınızı bekliyorum.