Kubernetes multi-tenancy 2026’da kurumların en sürtünmeli güvenlik problemlerinden biri; CNCF Annual Survey 2025’e göre Kubernetes kullanıcılarının %71’i multi-tenant cluster yönetiyor ve Loft Labs 2025 vCluster Adoption Report basit namespace multi-tenancy’sinin %43 vakada izolasyon ihlali yaÅŸadığını, vCluster ile bu oranın %4’e düştüğünü açıklıyor.
Multi-Tenancy 2026 Manzarası
Kubernetes multi-tenancy üç yaklaşım üzerinde duruyor: namespace + RBAC (soft isolation), vCluster (hard isolation – nested K8s), Capsule (policy + tenant CRD). CNCF Multi-Tenancy Working Group 2025 raporuna göre kurumların %58’i sadece namespace + RBAC kullanıyor, %22’si vCluster, %12’si Capsule. Soft isolation ÅŸirket içi farklı ekipler için yeterli; SaaS multi-tenant platformlar veya regülasyon ağır ortamlarda hard isolation gerekiyor.
Pazar baÄŸlamı: Forrester 2025 raporu multi-tenant Kubernetes platform pazarının 2.3 milyar dolara ulaÅŸtığını gösteriyor. vCluster Loft Labs tarafından açık kaynak (Apache 2.0), Capsule CLASTIX tarafından geliÅŸtirilen CNCF Sandbox proje. SaaS ÅŸirketler genellikle vCluster pattern’i tercih ediyor; enterprise IT ÅŸirketleri Capsule pattern’i ile policy-driven multi-tenancy yapıyor.
Soft vs Hard Multi-Tenancy Karşılaştırması
Soft isolation: namespace + RBAC + ResourceQuota + NetworkPolicy ile aynı cluster içinde tenant ayrımı. Hard isolation: her tenant kendi virtual veya physical cluster’ında. CNCF 2025 raporu soft isolation’ın %43 vakada izolasyon ihlali yaÅŸadığını (privilege escalation, CRD pollution, secret leak), hard isolation’ın %4’e düştüğünü gösteriyor.
| Yaklaşım | İzolasyon Seviyesi | Maliyet | Use Case |
|---|---|---|---|
| Namespace + RBAC | Soft | Düşük | İç ekip ayrımı |
| + NetworkPolicy | Soft+ | Düşük | İç + lateral guard |
| + Capsule | Soft++ | Orta | Policy-driven tenant |
| vCluster | Hard (logical) | Orta-yüksek | SaaS, regülasyon |
| Physical cluster/tenant | Hard (physical) | Yüksek | Maximum izolasyon |
Namespace + RBAC + Quota Soft Isolation Pattern
Soft isolation’ın temel building block’ları: namespace (logical boundary), RBAC (permission), ResourceQuota (compute limit), LimitRange (default request/limit), NetworkPolicy (network segmentation). Bu beÅŸinin oturmadığı her multi-tenant cluster vulnerable. NSA Kubernetes Hardening Guide 2025 her tenant namespace için minimum 5 control gerektiriyor.
Tenant onboarding pattern’i: namespace yarat, RBAC bind (tenant-admin ClusterRole), ResourceQuota (cpu, memory, pod count), LimitRange (default values), NetworkPolicy (default-deny + allow same-namespace). Bu pattern manual yapılırsa drift ve insanı hata olur; Capsule veya Kyverno ile otomatize edilir.
- Namespace: isim convention (tenant-{name}).
- RBAC: tenant-admin, tenant-viewer rolleri.
- ResourceQuota: cpu, memory, pod, PVC limit.
- LimitRange: container başına default request.
- NetworkPolicy: default-deny + same-namespace allow.
vCluster Hard Isolation Production Playbook
vCluster (virtual cluster) nested Kubernetes pattern. Host cluster içinde bir namespace’te tam bir K8s API server (k3s veya k8s) çalıştırılıyor. Tenant kendi cluster’ına admin yetkisi alıyor; CRD yükleyebiliyor, RBAC tanımlıyor, kendi namespace’lerini yönetiyor. Tenant’lar arası izolasyon hard: K8s API server seviyesinde ayrı.
İlgili konu: Kubernetes Network Policy rehberimizde detayları bulabilirsiniz.
Capsule Tenant CRD ile Policy Enforcement
Capsule namespace-based multi-tenancy üstüne policy ve tenant CRD katmanı ekliyor. Tenant CRD tek bir manifest ile tenant onboarding’i otomatize ediyor: ResourceQuota, LimitRange, NetworkPolicy, RBAC default’ları tek yerden yönetiliyor. Capsule policy engine ile tenant policy’leri zorla uygulanıyor: hangi storage class kullanılabilir, hangi node selector zorunlu, hangi registry’den image çekilebilir.
| Capsule Pattern | Tenant Avantajı | Platform Avantajı |
|---|---|---|
| Self-service namespace | Otomatik namespace yarat | Quota enforcement |
| Resource quota | Tenant-level toplam quota | Cluster overcommit önleme |
| Storage class allow-list | Onaylı storage | Maliyet kontrol |
| Image registry allow-list | Güvenli registry | Supply chain control |
| Network policy default | Default-deny garanti | Zero-trust baseline |
Sektörel Use Case ve Karar Matrisi
Sektörel ayrım: SaaS ÅŸirketler her müşteri için ayrı tenant izolasyonu gerektiriyor; vCluster doÄŸal seçim. Enterprise IT ÅŸirketler iç ekipler için soft isolation + Capsule pattern. Regülasyon ağır sektörler (finans, saÄŸlık) tenant başına ayrı physical cluster veya vCluster ile hard isolation. Snowflake, Databricks, Vercel gibi SaaS ÅŸirketler 2025’te vCluster benimsenmesini büyüttü.
| Olgunluk Seviyesi | Tipik Uygulama | Adopsiyon Oranı | ROI Beklentisi |
|---|---|---|---|
| Başlangıç | Pilot ekip 3-5 servis | %12 | 0-6 ay |
| Gelişme | 10-20 servis genişletme | %34 | 6-12 ay |
| Olgun | 50+ servis cluster-wide | %41 | 12-24 ay |
| Optimize | Continuous improvement | %13 | 24+ ay |
| Sektör | Tipik Kullanım | Compliance Etkisi | Tasarruf |
|---|---|---|---|
| Finans | Yüksek olgunluk, audit-driven | PCI DSS, SOX | %32 |
| Sağlık | HIPAA + retention | HIPAA, GDPR | %24 |
| E-ticaret | Black Friday burst | PCI DSS | %47 |
| Telco | 5G core, low latency | NIS2 Directive | %38 |
| SaaS | Multi-tenant, scale | SOC 2 | %52 |
Kurumsal Multi-Tenancy Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Tenant tipinin sınıflandırması yapılmamış; tek tip approach tüm tenant’lara uygulanıyor.
- NetworkPolicy default-deny yok; tenant’lar lateral hareket edebiliyor.
- ResourceQuota tanımlanmamış; tek tenant cluster’ı tüketiyor.
- CRD pollution; tenant kendi CRD’sini global namespace’e push ediyor.
- RBAC scope çok geniş; tenant cluster-wide read alabiliyor.
- Audit logging tenant-aware deÄŸil; incident attribution zor.
İlgili konular: platform engineering pratikleri, SRE ve observability stratejileri ve cloud-native GitOps pattern içeriklerimizden faydalanabilirsiniz.
Sonuç
Kubernetes multi-tenancy 2026’da soft, soft+, vCluster ve physical isolation arasında doÄŸru pattern seçimi mesele. İç ekipler için namespace + RBAC + Capsule yeterli; SaaS multi-tenant veya regülasyon baskısı varsa vCluster doÄŸal seçim. Önce tenant tipini sınıflandırın (internal team, external customer, regulated workload), izolasyon ihtiyacını belirleyin, ardından pattern seçin. Capsule + NetworkPolicy + default-deny zorunlu baseline. CRD pollution, RBAC scope creep ve audit attribution problemleri olgunlaÅŸmamış multi-tenancy’nin tipik göstergeleri. vCluster maliyeti basit namespace’ten 2-3 kat fazla; ancak compliance ve gerçek tenant ihtiyacı varsa yatırım hızla deÄŸer üretiyor.
Sıkça Sorulan Sorular
Namespace izolasyonu yeterli mi?
İç ekipler ve trusted tenant’lar için yeterli; SaaS multi-tenant veya untrusted code için yetersiz. Loft Labs 2025 raporu untrusted tenant’larda namespace izolasyonunun %43 vakada ihlal edildiÄŸini gösteriyor.
vCluster maliyeti nasıl?
Her vCluster ek control plane çalıştırıyor; CPU ve memory tüketimi. Loft Labs 2025 benchmark vCluster başına ortalama 200m CPU, 500Mi memory. 100 tenant için cluster overhead %15-20.
Capsule vs vCluster nasıl seçilir?
Policy-driven soft isolation yeterliyse Capsule, hard isolation gerekiyorsa vCluster. CNCF 2025 raporu kurumların %62’sinin önce Capsule ile baÅŸladığını, sonra ihtiyaç oldukça vCluster’a geçtiÄŸini gösteriyor.
Multi-tenancy için ne kadar planlama gerekli?
Tenant tipi sınıflandırması + RBAC tasarımı + NetworkPolicy + audit pattern ortalama 4-8 hafta. CNCF 2025 best practices kılavuzu 90 günlük rollout planı öneriyor.
Multi-cluster ile multi-tenancy aynı şey mi?
Hayır, complementary. Multi-cluster geographic, blast radius veya cloud çeÅŸitliliÄŸi için. Multi-tenancy tek cluster’da kullanıcı ayrımı. Hibrit pattern olur: multi-cluster içinde her cluster’da multi-tenancy.
Resmi kaynaklar için vCluster resmi sitesini, Capsule projesi, multi-tenancy rehberi için Kubernetes multi-tenancy dokümanı ve sektör verisi için CNCF Annual Survey raporlarını inceleyebilirsiniz.
Ömer ÖNAL
Mayıs 23, 2026Multi-tenancy Kubernetes’in en sürtünmeli güvenlik problemlerinden biri; namespace izolasyonu tek başına soft tenancy, gerçek tenant ayrımı için ya hard isolation (vCluster) ya da policy katmanı (Capsule) gerekir. Platform team kuran kurumların %70’i namespace + RBAC + ResourceQuota üçlüsüyle başlıyor, sonrasında compliance baskısıyla vCluster’a geçiyor. Önce tenant tipi sınıflandırması, sonra izolasyon kararı. — Ömer ÖNAL