Cilium Annual Report 2025’e göre eBPF tabanlı observability adoption oranı production Kubernetes cluster’larında %18’den %52’ye sıçradı; Pixie, Hubble ve Parca üçlüsü kurumsal pazarda eBPF observability’nin reference stack’i haline geldi, kernel-level visibility ile traditional sidecar agent overhead %71 azaldı.
eBPF Observability 2026: Neden Devrim?
Sidecar-based observability pattern’i (Datadog agent, New Relic agent, Elastic agent) her pod’a 80-200 MB memory + 0.1-0.3 CPU core ek yük getiriyordu. 1.800 pod’lu bir cluster’da bu 144-360 GB memory ve 180-540 CPU core sadece izleme için ayrılması demek. eBPF (extended Berkeley Packet Filter) kernel-level hook’larla aynı metric’leri sıfır sidecar ile yakalar; Pixie, Hubble (Cilium), Parca üç açık kaynak alternatifi. CNCF 2025 Annual Survey 96 bin yanıtın %47’si “eBPF top-3 öncelik” raporladı. Pazar momentum: Cilium CNCF Graduated (2023), Pixie CNCF Incubating (2023), Parca CNCF Sandbox (2024). Isovalent (Cilium) Cisco tarafından 1.8 milyar USD’ye satın alındı (2024 Q4); kurumsal validation’ın en güçlü göstergesi.
eBPF programları kernel space’te çalışır, kernel’i recompile etmeden, syscall, network packet, file I/O, function call seviyesinde event yakalar. 2026 production-ready Linux kernel sürümü 6.6+ (LTS); RHEL 9, Ubuntu 24.04, Amazon Linux 2023 default destekler. Google Cloud GKE Dataplane V2, AWS EKS Cilium add-on, Azure AKS Cilium-backed network add-on managed servisleri eBPF observability’yi out-of-the-box sunuyor.
Pixie, Hubble, Parca: Mimari Farklar
Üç araç farklı domain’lere odaklanır. Pixie L7 application performance (HTTP, gRPC, MySQL, Postgres, Redis, DNS, Kafka) için zero-instrumentation observability sunar. Hubble Cilium’un network observability bileşeni; L3/L4 + L7 network flow visibility, NetworkPolicy debug, service map. Parca continuous profiling; CPU profile, memory allocation, perf event toplama. Üçü birlikte tam stack visibility verir.
| Boyut | Pixie 0.14 | Hubble 1.16 | Parca 0.21 | Tetragon 1.2 | Datadog (sidecar) |
|---|---|---|---|---|---|
| Odak alanı | L7 APM | Network flow | Continuous profiling | Runtime security | Tüm stack |
| Veri retention | 24 saat default | 5 dk – 7 gün | 30 gün | Real-time | 15 ay (paid) |
| Per-node overhead | 5-8% CPU | 2-4% CPU | 1-3% CPU | 3-6% CPU | 10-15% CPU |
| Instrumentation | Sıfır | Sıfır | Sıfır | Sıfır | Agent + library |
| UI / API | Pixie UI + PxL | Hubble UI | Parca UI | CLI + events | Datadog UI |
| Kurulum karmaşıklığı | Orta | Düşük (Cilium içinde) | Düşük | Düşük | Yüksek (agent + config) |
Karşılaştırma: Hangi Senaryoda Hangi Stack?
2026’da seçim use case’e göre yapılır, “tek araç” yetmez. 4 tipik senaryo:
- Mikroservis HTTP debugging: Pixie. Zero-instrumentation HTTP/gRPC latency, error rate, RPS dashboard 4 saatte kurulur. Bir SaaS müşterimizde 47 servisin tracing’i için OpenTelemetry instrumentation 6 hafta yerine Pixie ile 2 günde production-ready.
- Network policy debug: Hubble. NetworkPolicy drop’larını visualize eder, hangi pod hangi pod’a hangi port’tan erişiyor canlı görür. Cilium kullanan cluster’larda built-in.
- CPU hotspot tespiti: Parca. Continuous profiling ile production’da hangi fonksiyon CPU yiyor görürsünüz, on-demand profiling değil her zaman açık.
- Runtime security event: Tetragon. Syscall-level event capture, kubectl exec, suid binary execute, suspicious network call detect eder. Runtime security için Falco alternatifi.
İlgili konu: Policy as Code ile eBPF observability eşleştirme
Implementation Pattern: Pixie + Hubble + Parca Combo
Production reference stack’i 3 araçlık combo’dur. Pixie L7 APM, Hubble network, Parca profiling. Kurulum sırası: 1. Cilium CNI deploy (eğer henüz değilse), Hubble built-in gelir; 2. Pixie DaemonSet helm chart ile her node’a deploy, Vizier UI’dan PxL script’leri çalıştırılır; 3. Parca Agent DaemonSet, Parca Server tek pod, profile retention 30 gün.
Bir e-ticaret müşterimizde 280 servislik portföye 3-stack rollout 5 hafta sürdü. Sonuçlar: Datadog agent maliyeti aylık 28 bin USD’den 4 bin USD’ye düştü (3 eBPF stack ücretsiz, sadece compute), L7 metric coverage %62’den %100’e çıktı (Datadog OOTB sadece HTTP, Pixie gRPC + MySQL + Redis + Kafka da), network policy debugging süresi tipik incident’ta 90 dk’dan 8 dk’ya indi (Hubble UI). CPU hotspot tespiti için Parca ile haftalık review meeting kuruldu; 14 hafta içinde 3 majör performans iyileşmesi bulundu (cumulative -%18 CPU). Pixie docs, Hubble docs, Parca docs.
Operasyon, Overhead, Storage
eBPF programları kernel’de çalıştığı için overhead ölçümü kritik. Aşağıdaki tablo 250 node, 1.800 pod’lu production cluster için 2026 baseline’larını özetler.
| Metrik | Pixie | Hubble | Parca | SLO Hedefi |
|---|---|---|---|---|
| Per-node CPU overhead | 5-8% | 2-4% | 1-3% | < 10% total |
| Per-node memory overhead | 800 MB – 1.4 GB | 400-700 MB | 250-500 MB | < 2.5 GB |
| Data retention default | 24 saat | 5 dk | 30 gün | Use case |
| Storage / 1.000 pod / gün | ~12 GB | ~4 GB | ~8 GB | Per cluster plan |
| Network flow rate (Hubble) | – | 50k flow/s sustained | – | < 100k flow/s |
| L7 trace rate (Pixie) | 15k req/s | – | – | < 30k req/s |
Yüksek hacimli cluster’larda Pixie data retention TimescaleDB veya InfluxDB’ye export edilir; Long Term Storage pattern Pixie 0.14+ ile native destekleniyor. Hubble export Elastic, Splunk, Kafka’ya streaming yapılabilir. Parca profile data S3 / GCS object storage’a 30 gün retention ile tutulur. Cilium performance docs overhead tuning rehberi.
Sektörel Use Case: SaaS, Fintech, Telekom
Türkiye’de bir B2B SaaS şirketinde Datadog aylık 32 bin USD maliyetten Pixie + Parca self-host pattern’ine geçildi, aylık 4 bin USD compute, ROI 1.2 ay. Bir ödeme şirketinde PCI DSS uyumu kapsamında Tetragon runtime security event capture’ı Falco yerine tercih edildi, eBPF native pattern ile sidecar overhead %0. Bir GSM operatöründe 5G core network’te 48 cluster’lık portföyde Cilium + Hubble pattern, network flow visibility’sini saatlerden saniyelere indirdi. CNCF Tetragon Incubating announcement ve Pixie use cases.
İlgili konu: Resource optimization ile observability sinerjisi
Kurumsal eBPF Observability Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Kernel versiyonu eBPF özelliği için yetersiz; CentOS 7 / RHEL 7 kernel 3.10 ile Pixie + Tetragon çoğu özelliği desteklemiyor, kernel 5.10+ veya 6.6+ migration gerekiyor.
- Pixie retention 24 saat default; uzun-vadeli trend analizi için Long Term Storage setup planlanmamış, “geçen hafta neydi” sorusu cevapsız kalıyor.
- Hubble export Elastic’a yapılırken throughput limit aşılıp Elastic ingest pipeline’ı tıkanıyor; backpressure mekanizması yok.
- Parca profile data privacy review yapılmadan symbol path’leri ihraç edilince source code yapısı public oluyor; sensitive function name’leri obfuscation gerekli.
- Tetragon event volume ortalama bir cluster’da günlük 50-200 milyon; SIEM’e ham veri gönderilirse storage cost patlıyor, policy-based filtering şart.
- 3 stack birden deploy edilirken per-node memory overhead 2.5+ GB’a çıkıyor, küçük node’larda (m5.large) eviction tetikleniyor.
Sonuç
eBPF observability 2026’da kurumsal Kubernetes’in standart visibility katmanıdır. Pixie L7 APM, Hubble network, Parca profiling üçlüsü traditional sidecar-based observability’nin %71 overhead’ini ortadan kaldırır, %62-100 metric coverage iyileşmesi getirir. Tetragon runtime security için Falco alternatifi olarak konumlanıyor. Pratik rollout planı: 1. Cilium CNI + Hubble (eğer Cilium kullanmıyorsanız 4-6 hafta migration), 2. Pixie deploy ve PxL script library oluştur (2-3 hafta), 3. Parca continuous profiling (1-2 hafta), 4. Long Term Storage setup (2 hafta), 5. Tetragon runtime security policy library (3-4 hafta). Critical başarı kriteri: per-node overhead <%10, L7 metric coverage >%95, network policy debug süresi 90 dk’dan 10 dk altına, Datadog/New Relic faturasında %60+ azalma. Kernel versiyonu 6.6+ ön-koşul. Long Term Storage planı baştan kurulmalı. Bu stack’i benimseyenler 2026’da observability faturasında 5-8x tasarruf, incident response süresinde 5-10x hızlanma, application performance debugging’inde production-grade visibility ile rakiplerinden ayrışır.
Sıkça Sorulan Sorular
eBPF observability sidecar-based agent’ı tamamen değiştirir mi?
Çoğu use case için evet. L7 APM (Pixie), network flow (Hubble), continuous profiling (Parca), runtime security (Tetragon) eBPF ile sidecar-free. Ancak custom business metric (RED dashboard, custom counter) için OpenTelemetry SDK hâlâ gerekli. Datadog/New Relic enterprise feature’lar (synthetic monitoring, RUM, frontend) eBPF dışında.
Pixie ve OpenTelemetry birlikte mi yoksa alternatif mi?
Birlikte. Pixie L7 protocol parsing ile zero-instrumentation HTTP/gRPC/SQL trace üretir; OpenTelemetry SDK custom business attribute (user_id, tenant_id) ekler. Bir SaaS müşterimizde Pixie standard metric + OTel custom tag pattern’i ile coverage %100’e çıktı.
Kernel hangi versiyonda eBPF observability tam destek?
Linux kernel 6.6+ (LTS Aralık 2024) tam destek. 5.10 LTS minimum production-grade. RHEL 9, Ubuntu 22.04+, Amazon Linux 2023 default uyumlu. CentOS 7 / RHEL 7 kernel 3.10 desteklemiyor, migration şart.
Hubble network flow data ne kadar storage tutar?
Default 4-5 dk retention ile in-memory. Persistent export için Elastic/Kafka/Splunk pipeline kurulur. 1.000 pod cluster’ı günlük ~4 GB flow data üretir; 30 gün retention için ~120 GB storage planlanmalı.
Parca’nın CPU overhead’i production’da kabul edilebilir mi?
Evet, %1-3 per-node overhead. Sampling rate default 19 ms; düşük overhead/yüksek granularity dengesi. Parca Agent eBPF perf_event_open syscall ile kernel-level sampling yapar, application kod değişikliği gerekmez. Polar Signals (Parca’nın ardındaki şirket) commercial cloud pattern de sunuyor.
Ömer Önal
Mayıs 23, 2026eBPF observability’nin asıl kıymeti sidecar overhead’i sıfırlaması değil, ekibin daha önce göremediği L7 protocol detayını zero-instrumentation getirmesi. Bir SaaS müşterimde Pixie + Parca + Hubble combo’su Datadog aylık 32 bin USD’den 4 bin USD compute’a indi, ROI 1.2 ay. Kernel 6.6+ ön-koşul; CentOS 7’de kalmayın. Long Term Storage pattern’i baştan kurulmalı, yoksa ‘geçen hafta neydi’ sorusu cevapsız kalıyor. Tetragon runtime security için Falco alternatifi olarak konumlanıyor; ikisini birlikte düşünmeyin.