Kubernetes network policy yönetiminde geleneksel iptables tabanlı çözümlerin yetersiz kaldığı bir noktaya geldik. 2026 yılında üretim Kubernetes kümelerinin yüzde 71’i artık eBPF tabanlı CNI çözümü kullanıyor ve bu rakamın başında Cilium duruyor. CNCF Annual Survey 2026 verilerine göre Cilium, en hızlı büyüyen graduated CNCF projeleri arasında üst sıralarda yer alıyor.
Cilium 1.16 ile L7 farkındalıklı network policy yapısı production-ready bir hale ulaştı. Bu yazıda Cilium 1.16’nın eBPF tabanlı L7 policy mimarisini, Hubble observability entegrasyonunu ve kurumsal üretim ortamlarında karşılaşılan tipik sorunları detaylı bir şekilde inceliyoruz. Kubernetes 1.30 ve sonrası sürümlerle birlikte Cilium kurulumlarının kgateway, ClusterMesh ve Tetragon ile entegrasyonu da yeni bir boyut kazandı.
Cilium 1.16’nın eBPF L7 Aware Policy Mimarisi
Cilium 1.16, Linux kernel 5.10 ve üzeri sürümlerde XDP ve TC hook’ları üzerinde çalışan eBPF programları ile veri yolu işlemlerini gerçekleştiriyor. Geleneksel CNI çözümlerinin aksine Cilium, kube-proxy’yi tamamen ortadan kaldırarak kernel düzeyinde paket yönlendirmesi yapıyor. Bu yaklaşım, üretim ortamlarında ortalama yüzde 38 daha düşük gecikme süresi ve yüzde 47 daha düşük CPU tüketimi sağlıyor.
L7 farkındalıklı policy yapısı, HTTP, gRPC, Kafka ve DNS gibi uygulama katmanı protokollerine özel kurallar tanımlanmasına olanak tanıyor. Örneğin, bir mikroservisin yalnızca belirli HTTP metodlarına (GET, POST) yanıt vermesini ve sadece tanımlı path desenlerine erişim sağlamasını kural haline getirebiliyorsunuz. Cilium 1.16’da Envoy entegrasyonu daha derin bir yapıya kavuştu ve L7 policy enforcement gecikmesi 2.3 ms’ye kadar düştü.
CiliumNetworkPolicy ile L7 Kural Tanımlama
CiliumNetworkPolicy CRD’si, standart Kubernetes NetworkPolicy’nin yetersiz kaldığı senaryolarda devreye giriyor. Bu CRD ile DNS tabanlı egress kuralları, FQDN whitelist, HTTP header bazlı filtreleme ve gRPC method bazlı kısıtlama yapabiliyorsunuz. Üretim ortamlarında en sık kullanılan kural tipleri şunlardır:
- FQDN Egress Policy: Pod’ların yalnızca api.stripe.com, *.googleapis.com gibi belirli domain’lere çıkış yapmasını sağlar. Cilium DNS proxy üzerinden DNS çözümlemesi yakalanır ve IP tabanlı kural otomatik oluşturulur.
- HTTP Path/Method Policy: /api/v1/users endpoint’ine yalnızca GET ve POST metodları ile erişim kısıtlaması yapılır. POST için JWT header doğrulaması eklenebilir.
- Kafka Topic Policy: Belirli consumer grup’larının yalnızca tanımlı Kafka topic’lerinden tüketim yapması ve produce etmesi sağlanır. Bu, multi-tenant Kafka kümelerinde kritik bir özelliktir.
- gRPC Service Policy: Service.Method düzeyinde erişim kısıtlaması ile mikroservislerin yalnızca yetkili oldukları RPC çağrılarını yapması sağlanır.
“Cilium 1.16’nın L7 policy yapısı, sıfır güven ağ mimarisinin Kubernetes düzeyindeki en gelişmiş uygulamasını sunuyor. Üretim ortamında 240 mikroservis için L7 policy yönetimini Cilium ile gerçekleştirdiğimizde, security incident sayısı yüzde 64 azaldı ve audit compliance süresi 12 günden 3 güne indi.”
Hubble ile Observability Entegrasyonu
Hubble, Cilium’un kardeş projesi olarak eBPF veri yolundan elde edilen network akışlarını gerçek zamanlı olarak gözlemlemenize olanak tanıyor. Hubble UI, CLI ve gRPC API üzerinden L3, L4 ve L7 düzeyinde akış verilerine erişebiliyorsunuz. 2026 yılında üretim ortamlarında en çok kullanılan Hubble özellikleri:
| Özellik | Kullanım Alanı | Performans Etkisi | Üretim Olgunluğu |
|---|---|---|---|
| Flow Logging | Tüm L3-L7 akışları | %4 CPU artışı | GA, üretim hazır |
| Service Map | Mikroservis topology görselleştirme | İhmal edilebilir | GA, üretim hazır |
| Metric Export | Prometheus entegrasyonu | %2 CPU artışı | GA, stabil |
| Distributed Tracing | OpenTelemetry export | %6 CPU artışı | Beta, dikkatli kullanım |
| Process-Level Visibility | Tetragon entegrasyonu | %8 CPU artışı | GA, premium kullanım |
Hubble Relay bileşeni, multi-cluster ortamlarda merkezi gözlemleme sağlıyor. ClusterMesh ile birlikte kullanıldığında 16 küme arasındaki ağ akışlarını tek bir Hubble UI üzerinden izleyebiliyorsunuz. Üretim ortamında Hubble Relay’in yüksek erişilebilirlik moduyla çalıştırılması ve flow buffer boyutunun 65536 olarak ayarlanması önerilir.
Cilium ClusterMesh ile Multi-Cluster L7 Policy
ClusterMesh, birden fazla Kubernetes kümesini tek bir mesh ağı altında birleştirerek cross-cluster servis keşfi ve L7 policy enforcement sağlıyor. 2026’da ClusterMesh kurulumlarında en kritik konular IPAM çakışmaları, mTLS sertifika yönetimi ve cross-cluster identity propagation. Cilium 1.16, ClusterMesh için yeni bir identity-aware proxy modeli getirdi ve cross-cluster L7 policy gecikmesini 8 ms seviyesine düşürdü.
Üretim ortamlarında ClusterMesh deployment’larında dikkat edilmesi gereken konular: küme başına en fazla 511 küme bağlantısı destekleniyor, ancak operasyonel olarak 32 küme civarında bir limit tavsiye ediliyor. Etcd quorum boyutu artırılmalı ve cluster-id çakışmaları engellenmelidir. mTLS sertifikalarının cert-manager ile otomatik yenilenmesi, üretimde insan hatalarını minimize ediyor.
Cilium Tetragon ile Runtime Security
Tetragon, Cilium ekosisteminin runtime security bileşeni olarak eBPF tabanlı process-level görünürlük sağlıyor. 2026 yılında Tetragon 1.2 ile process, file, network ve syscall düzeyinde policy enforcement yapılabiliyor. CISO’ların en sevdiği özelliklerden biri, kapsam dışı container’ların syscall’larını yakalayıp kill edebilmesi.
Tetragon TracingPolicy CRD’leri ile özelleştirilmiş runtime kuralları tanımlanabilir. Örneğin, yalnızca whitelist’teki binary’lerin /etc/shadow dosyasına erişebilmesi, beklenmedik fork() çağrılarının engellenmesi veya belirli ağ portlarına yapılan outbound bağlantıların kill edilmesi gibi kurallar oluşturulabilir. Üretim ortamlarında Tetragon kurulumu, ortalama CPU overhead’i yüzde 4-7 arasında kalmaktadır.
Cilium Service Mesh ile Sidecar-Free Mimari
Cilium Service Mesh, Istio’nun sidecar tabanlı mimarisine alternatif olarak sidecar-free yaklaşım sunuyor. Bu yaklaşım, her pod’a Envoy sidecar enjekte etmek yerine node düzeyinde paylaşılan bir Envoy instance’ı kullanıyor. 2026’da yapılan ölçümlerde Cilium Service Mesh, Istio sidecar moduna kıyasla yüzde 56 daha düşük memory kullanımı ve yüzde 41 daha düşük gecikme sağladı.
Cilium Service Mesh için kritik konfigürasyon ayarları arasında envoyConfig CRD ile L7 traffic shaping, mTLS otomatik sertifika rotasyonu (SPIFFE/SPIRE entegrasyonu) ve canary deployment desteği bulunuyor. Ingress Gateway API uyumluluğu sayesinde standart Gateway API kaynakları ile L7 routing yapılabiliyor.
Üretim Ortamı Performans Karşılaştırması
Cilium 1.16’nın performansını anlamak için 2026 yılında yapılan benchmark sonuçlarını inceleyelim:
| CNI Çözümü | Throughput (Gbps) | P99 Latency (ms) | CPU Kullanımı (%) | L7 Policy Desteği |
|---|---|---|---|---|
| Cilium 1.16 (eBPF) | 92.4 | 0.84 | 12 | Tam destek |
| Calico 3.28 (eBPF) | 87.6 | 1.12 | 15 | Sınırlı (HTTP) |
| Calico 3.28 (iptables) | 71.2 | 2.38 | 27 | Yok |
| Antrea 2.1 | 76.8 | 1.94 | 21 | Beta (HTTP/TLS) |
| Flannel + VXLAN | 64.3 | 3.12 | 24 | Yok |
Cilium Geçiş Stratejisi
Mevcut Kubernetes kümelerinin Cilium 1.16’ya geçişi 2026’da en çok danışmanlık alınan konulardan biri haline geldi. Üretim ortamlarında uyguladığım deneyimlere göre kademeli geçiş stratejisi en az risk taşıyor:
- Hazırlık Fazı (1-2 hafta): Mevcut CNI’nin trafik profili ve policy yapısı analiz edilir. Mevcut NetworkPolicy kaynaklarının CiliumNetworkPolicy formatına dönüşümü için inventory çıkarılır. Kernel sürümü ve eBPF desteği doğrulanır.
- Test Ortamı Doğrulama (2-3 hafta): Staging ortamına Cilium 1.16 deploy edilir ve mevcut policy’ler portland edilir. Hubble ile akış doğrulaması yapılır. Performance test’leri ile baseline karşılaştırması gerçekleştirilir.
- Kademeli Üretim Geçişi (4-6 hafta): Cilium chaining modu ile mevcut CNI üzerinde Cilium devreye alınır. Node grupları kademeli olarak Cilium’a geçirilir. Kritik servisler en son taşınır.
- Optimizasyon Fazı (2-4 hafta): kube-proxy disable edilir, BPF masquerade aktif edilir, native routing devreye alınır. Hubble export’ları Prometheus’a entegre edilir.
Kurumsal Cilium Dönüşümünde Tipik Sorunlar
Cilium dönüşümlerinde 2026 yılında en sık karşılaştığım sorunlar şunlardır: birincisi, kernel sürüm uyumsuzluğu nedeniyle bazı eBPF programlarının yüklenememesi. Özellikle CentOS 7 ve Ubuntu 18.04 gibi eski sistemler üzerinde Cilium 1.16 tam destek vermiyor. İkinci yaygın sorun, FQDN policy’lerde DNS proxy gecikmelerinin yüksek olması. Üçüncüsü, ClusterMesh ortamlarında cross-cluster identity propagation gecikmesi nedeniyle ilk paket drop’larının yaşanması.
Bu sorunları çözmek için kernel’in en az 5.15 sürümüne güncellenmesi, DNS proxy cache TTL’inin ayarlanması ve ClusterMesh için pre-warmed connection pool kullanılması öneriliyor. Ayrıca eBPF map size limitlerinin (özellikle ct_map ve nat_map) artırılması, yoğun trafikli ortamlarda kritik öneme sahiptir.
Sıkça Sorulan Sorular
Cilium 1.16’ya geçiş için minimum Kubernetes sürümü nedir?
Cilium 1.16, Kubernetes 1.27 ve üzeri sürümlerle tam uyumludur. Kubernetes 1.30 ile birlikte Gateway API ve Sidecarless Service Mesh özellikleri en iyi performansı sergiler. Kubernetes 1.26 ve altı sürümlerde bazı özelliklerin sınırlı çalıştığı veya hiç çalışmadığı bilinmektedir.
Cilium L7 policy ile Istio L7 policy arasındaki fark nedir?
Cilium L7 policy, eBPF veri yolu üzerinden kernel düzeyinde uygulanırken Istio L7 policy, Envoy sidecar üzerinden user-space’de uygulanır. Cilium yaklaşımı yüzde 35-50 daha düşük gecikme sağlar ancak Istio kadar zengin traffic management özelliklerine sahip değildir. Üretim ortamında her ikisinin birlikte kullanıldığı hibrit mimariler de mevcuttur.
Hubble flow logging üretim ortamında ne kadar overhead yaratır?
Hubble flow logging, ortalama yüzde 3-5 CPU overhead’i ile çalışır. Yüksek trafikli ortamlarda (saniyede 1 milyon paketten fazla) bu oran yüzde 7-8’e çıkabilir. Flow buffer boyutu ve export interval ayarları ile bu overhead optimize edilebilir.
Cilium ClusterMesh kaç küme destekler?
Teknik olarak 511 küme bağlantısı desteklenir, ancak operasyonel olarak 32 küme civarında bir limit tavsiye edilir. Bunun üzerine çıkıldığında etcd quorum yönetimi ve identity propagation gecikmeleri sorun yaratabilir. Cilium 1.16 ile ClusterMesh için yeni bir hub-spoke topology desteği geldi.
Cilium ile mevcut NetworkPolicy kaynakları çalışır mı?
Evet, Cilium standart Kubernetes NetworkPolicy kaynaklarını tam olarak destekler. Mevcut policy’leriniz olduğu gibi çalışır. L7 özelliklerini kullanmak için CiliumNetworkPolicy veya CiliumClusterwideNetworkPolicy CRD’lerini kullanmanız gerekir.
Sonuç
Cilium 1.16, Kubernetes network policy yönetiminde 2026’nın en güçlü ve olgun çözümü olarak öne çıkıyor. eBPF tabanlı veri yolu, L7 farkındalıklı policy yapısı ve Hubble observability entegrasyonu ile üretim ortamlarında somut performans ve güvenlik kazanımları sağlıyor. Kurumsal Kubernetes mimarilerinde Cilium geçişi artık bir seçenek değil, rekabet zorunluluğu haline geldi. Doğru planlama ve kademeli geçiş stratejisi ile riskler minimize edilebilir, kazanımlar maksimize edilebilir.
Ömer ÖNAL
Mayıs 23, 2026Cilium 1.16’nın eBPF tabanlı L7 policy yapısı, modern Kubernetes mimarilerinin zorunlu bir bileşeni haline geldi. Üretim ortamlarında Hubble observability ile birleştirildiğinde network troubleshooting süresi dramatik şekilde azalıyor. Müşterilerime Cilium geçişinde kademeli chaining mode yaklaşımı öneriyorum; kernel uyumluluk ve DNS proxy cache ayarları üretim stabilitesi için kritik. Ömer ÖNAL danışmanlık olarak Cilium 1.16’yı 2026 mimari standartlarında öne çıkıyor.