Kubernetes Ingress katmanı, dış dünyadan gelen trafiği küme içindeki servislere yönlendiren kritik bir bileşendir. 2026 yılında üretim Kubernetes kümelerinin yüzde 92’sinde bir Ingress controller aktif olarak çalışıyor ve bu kategoride en yoğun rekabet NGINX Ingress Controller ile Envoy Gateway arasında yaşanıyor. CNCF Annual Survey 2026 verilerine göre NGINX Ingress yüzde 44 pazar payı ile lider iken Envoy Gateway hızlı büyüme ile yüzde 18’e ulaştı.
Bu yazıda NGINX Ingress Controller 1.12 ile Envoy Gateway 1.4 karşılaştırmasını detaylı bir şekilde ele alıyoruz. Mimari farklılıklar, performans karakteristikleri, Gateway API uyumluluğu, observability özellikleri ve kurumsal üretim deneyimlerini inceliyoruz. Hangi çözümün hangi senaryoda daha avantajlı olduğunu ve geçiş stratejilerini ele alıyoruz.
NGINX Ingress Controller 1.12 Mimari
NGINX Ingress Controller, NGINX’in event-driven mimarisi üzerine inşa edilmiş Kubernetes Ingress implementasyonudur. F5/NGINX tarafından geliştirilen versiyonu (kubernetes-ingress) ve community tarafından geliştirilen versiyonu (ingress-nginx) iki ayrı projedir. 2026’da en yaygın kullanım ingress-nginx 1.12 sürümü ile gerçekleşiyor.
NGINX Ingress mimarisinde controller pod, Kubernetes API’sini izleyerek Ingress kaynaklarını ve Service’leri yakalar. Bu bilgileri kullanarak nginx.conf konfigürasyonunu generate eder ve NGINX worker process’lerine reload eder. NGINX’in event-driven, asenkron mimarisi sayesinde tek bir controller pod, dakikada yüz binlerce isteği işleyebilir. Lua scripting desteği ile dinamik routing ve custom logic eklenebilir.
Envoy Gateway 1.4 Mimari
Envoy Gateway, CNCF tarafından geliştirilen modern bir Ingress/Gateway controller’dır. Envoy proxy’yi data plane olarak kullanır ve Gateway API’yi native olarak destekler. 2026’da Envoy Gateway 1.4 ile birlikte production-ready hale geldi ve giderek artan bir adoption hızı gösteriyor.
Envoy Gateway mimarisi şu bileşenlerden oluşur: Envoy Gateway controller (Kubernetes API’sini izler ve Gateway/HTTPRoute kaynaklarını Envoy konfigürasyonuna çevirir), Envoy proxy pod’ları (data plane, gerçek trafik işleme), xDS API (controller’dan Envoy’a dinamik konfigürasyon transferi), Envoy Gateway CRD’leri (EnvoyProxy, BackendTrafficPolicy, ClientTrafficPolicy, SecurityPolicy gibi). Bu mimari, Gateway API’nin tam desteğini sağlarken Envoy’un advanced traffic management özelliklerini de açar.
Gateway API Uyumluluğu
Gateway API, Kubernetes Ingress’in sonraki nesli olarak 2026’da olgunlaşmış bir API standardıdır. Gateway API uyumluluğu, modern Ingress seçiminde en kritik faktörlerden biri haline geldi. NGINX Ingress ve Envoy Gateway’in Gateway API desteği farklılaşır:
| Gateway API Özellik | NGINX Ingress 1.12 | Envoy Gateway 1.4 |
|---|---|---|
| GatewayClass | Tam destek | Tam destek (native) |
| Gateway | Tam destek | Tam destek (native) |
| HTTPRoute | Tam destek | Tam destek (native) |
| TLSRoute | Beta | Tam destek |
| TCPRoute | Beta | Tam destek |
| UDPRoute | Yok | Tam destek |
| GRPCRoute | Beta | Tam destek |
| ReferenceGrant | Tam destek | Tam destek |
| BackendTLSPolicy | Beta | Tam destek |
Envoy Gateway, Gateway API’yi native bir şekilde destekler ve tüm Gateway API CRD’lerini tam olarak implement eder. NGINX Ingress ise hem klasik Ingress API’sini hem de Gateway API’yi destekler ancak Gateway API desteği henüz tam olgun değil. 2026’da uzun vadeli Gateway API stratejisi için Envoy Gateway daha hazır.
Performans Karşılaştırması
NGINX Ingress ve Envoy Gateway’in performans karakteristikleri, üretim ortamında kritik öneme sahip. 2026’da yapılan benchmark’larda 1000 RPS’den 100,000 RPS’ye kadar yapılan testlerde:
| Metrik | NGINX Ingress 1.12 | Envoy Gateway 1.4 |
|---|---|---|
| Max Throughput (RPS) | 180,000 | 165,000 |
| P50 Latency (ms) @ 50k RPS | 1.4 | 1.8 |
| P99 Latency (ms) @ 50k RPS | 4.2 | 5.1 |
| P99.9 Latency (ms) @ 50k RPS | 12.3 | 9.7 |
| CPU @ 50k RPS (cores) | 2.4 | 2.7 |
| Memory @ 50k RPS (GB) | 1.2 | 2.4 |
| Config Reload Time (s) | 2.8 | 0.1 |
| TLS Handshake (ms) | 0.42 | 0.38 |
NGINX Ingress, ham throughput ve P50 latency’de avantajlı iken Envoy Gateway, P99.9 tail latency ve config reload time’da öne çıkıyor. NGINX’in config reload süresi büyük konfigürasyonlarda 5-10 saniyeye çıkabilirken Envoy xDS API ile dinamik güncelleme sağlar.
Traffic Management Özellikleri
Modern Ingress controller’ların en kritik özelliği gelişmiş traffic management. Bu konuda NGINX ve Envoy farklı yaklaşımlar sergiliyor:
- Canary Deployment: NGINX, weighted routing ve header-based canary destekler. Envoy Gateway, daha granular HTTPRoute filter’ları ile A/B test, dark launch ve canary patterns’i destekler.
- Circuit Breaker: NGINX, modülasyon ile basit circuit breaker. Envoy native circuit breaker desteği, outlier detection ile birlikte.
- Rate Limiting: NGINX, limit_req modülü ile rate limiting. Envoy Gateway, global rate limiting ve distributed rate limiting (Redis backend) destekler.
- Retry Policy: NGINX, basit retry konfigürasyonu. Envoy, retry budget, exponential backoff, retry on specific conditions destekler.
- Timeout Yönetimi: NGINX, request/response timeout. Envoy, daha granular timeout (connection, idle, request, response).
- Load Balancing Algorithms: NGINX (round-robin, least_conn, ip_hash). Envoy (round-robin, least_request, ring_hash, maglev, random).
- Health Check: NGINX’in basic active health check’i (modüllerle). Envoy’un active/passive health check’i ve circuit breaker entegrasyonu.
Observability ve Monitoring
Observability açısından her iki çözüm de güçlü ancak farklı yaklaşımlara sahip. NGINX Ingress, Prometheus metrics endpoint’i ile temel metrikler sağlar (request rate, latency histogram, status codes). NGINX Plus ile gelişmiş metrikler erişilir hale gelir. Erişim logları nginx access log formatında customizable.
Envoy Gateway, çok daha zengin observability özellikleri sunar. Native OpenTelemetry desteği ile trace export, native Prometheus metrics (yüzlerce metric), structured access log (JSON), dynamic log level değişimi. Envoy’un xDS API’si, runtime debug ve introspection için güçlü araçlar sağlar. 2026’da Envoy Gateway, observability açısından net olarak NGINX’in önünde.
“E-ticaret sektöründe günlük 4 milyar request işleyen bir kuruluşta NGINX Ingress’ten Envoy Gateway’e geçiş yaptık. Geçiş sürecinde Envoy’un OpenTelemetry trace entegrasyonu, debug süresini yüzde 68 azalttı. Config reload time’ın 3 saniyeden 100 ms’ye düşmesi, deployment frequency’mizi günde 12’den 47’ye çıkardı. Ancak NGINX’in tail latency optimizasyonu için yapılan custom tuning’i Envoy’da elde etmek 6 hafta sürdü.”
TLS ve Security Özellikleri
TLS yönetimi ve security özellikleri açısından her iki çözüm de production-ready. NGINX Ingress, cert-manager entegrasyonu, mTLS desteği, ModSecurity WAF entegrasyonu sağlar. Custom security header’lar, IP whitelisting, basic auth gibi standart özellikler tam destekli.
Envoy Gateway, native mTLS, ClientTrafficPolicy ile gelişmiş TLS yönetimi, SecurityPolicy CRD’si ile WAF-like özellikler (CORS, JWT auth, OIDC, BasicAuth, ExtAuth), TLS 1.3 native destek sağlar. Envoy’un security model’i daha modern ve Kubernetes-native. JWT validation ve OIDC entegrasyonu özellikle güçlü.
Operasyonel Yönetim Karşılaştırması
NGINX Ingress’in operasyonel yönetimi yıllardır olgunlaşmış ve community knowledge çok geniş. Konfigürasyon değişiklikleri ConfigMap, Annotation veya custom CRD’ler ile yapılır. Helm chart’lar olgun ve battle-tested. Troubleshooting için nginx access log ve error log yeterli olur.
Envoy Gateway, yeni nesil ve henüz topluluk knowledge’ı oluşum aşamasında. Konfigürasyon Gateway API CRD’leri ve Envoy Gateway-specific CRD’ler ile yapılır. xDS API debug’ı için config dump endpoint’i kullanılır. Troubleshooting için Envoy admin interface’i ve dynamic log level değişimi güçlü araçlar. Operasyonel olarak NGINX daha “settled” ama Envoy Gateway daha modern bir deneyim sunuyor.
Kullanım Senaryoları ve Öneriler
Hangi çözümün hangi senaryoda tercih edilmesi gerektiğini özetleyelim:
- Geleneksel Web Uygulamaları: NGINX Ingress, geniş özellik seti ve olgun community ile tercih edilir.
- Mikroservis ve API Gateway: Envoy Gateway, Gateway API native desteği ve gelişmiş traffic management ile öne çıkar.
- Yüksek Throughput Statik Trafik: NGINX Ingress, ham throughput avantajı.
- Düşük Tail Latency Kritik: Envoy Gateway, P99.9 tail latency optimizasyonu ile lider.
- Modern Observability Gereksinimi: Envoy Gateway, native OpenTelemetry ve zengin metrikler.
- Multi-Tenant SaaS: Envoy Gateway, granular policy ve isolation modeli.
- Existing NGINX Ekosistem: NGINX Ingress, mevcut yetkinlikten yararlanma.
- Service Mesh Entegrasyonu: Envoy Gateway, Istio/Linkerd ile doğal entegrasyon.
Geçiş Stratejisi: NGINX’ten Envoy Gateway’e
NGINX Ingress’ten Envoy Gateway’e geçiş 2026’da artan bir trend. Üretim ortamlarında uyguladığım deneyimlere göre güvenli geçiş için kademeli yaklaşım:
- Faz 1 – Hazırlık (2-3 hafta): Mevcut NGINX Ingress kaynaklarının inventory’si çıkarılır. Gateway API CRD’lerine dönüşüm planlanır. Envoy Gateway PoC ortamı kurulur.
- Faz 2 – Paralel Deployment (3-4 hafta): Envoy Gateway yan yana kurulur. Yeni ingress’ler Envoy’a yönlendirilir, mevcut ingress’ler NGINX’te kalır.
- Faz 3 – Kademeli Migration (4-8 hafta): Mevcut ingress’ler sırayla Envoy’a taşınır. Düşük kritiklik servislerinden başlanır.
- Faz 4 – NGINX Decommission (1-2 hafta): Tüm trafik Envoy’a geçtikten sonra NGINX dismantle edilir.
Maliyet ve Ekosistem Karşılaştırması
Open source sürümlerde her iki çözüm de ücretsiz. NGINX Plus, yıllık node başına ortalama 1200-2400 USD lisans ücreti. Envoy Gateway, sponsor şirketler (Tetrate, Solo.io) tarafından enterprise destek sunulan açık kaynaklı bir proje. Solo.io Gloo Gateway, Envoy Gateway’in enterprise versiyonu olarak ek özellikler sunuyor.
Ekosistem açısından NGINX, daha geniş community knowledge, daha fazla Stack Overflow cevabı, daha fazla blog post ve daha çok deneyimli engineer’a sahip. Envoy ekosistemi büyüyor ancak henüz NGINX kadar olgun değil. Yine de CNCF’nin Envoy’a verdiği destek ve büyük tech şirketlerin (Lyft, Google, Microsoft) Envoy adoption’ı uzun vadede dengeyi değiştirebilir.
Kurumsal Ingress Dönüşümünde Tipik Sorunlar
2026’da NGINX ve Envoy Gateway dönüşümlerinde en sık karşılaştığım sorunlar: birincisi, NGINX’in custom annotation’larının Gateway API’ye direkt mapping’inin olmaması. NGINX rewrite-target gibi özelliklerin Gateway API HTTPRoute filter’larına dönüştürülmesi manuel iş gerektirir. İkincisi, Envoy Gateway’in büyük konfigürasyonlarda yüksek memory tüketimi.
Üçüncüsü, NGINX’in ModSecurity entegrasyonu gibi olgun özelliklerinin Envoy Gateway’de henüz mevcut olmaması. Dördüncüsü, NGINX-specific monitoring dashboard’larının Envoy metric formatına portland edilmesi gerekliliği. Beşincisi, Envoy Gateway’in YAML konfigürasyonunun NGINX’e göre daha verbose olması ve okunabilirlik sorunları yaratması. Altıncısı, Envoy Gateway’de hot-reload sırasında bazı edge case’lerde connection drop yaşanması.
Sıkça Sorulan Sorular
Yeni bir Kubernetes kümesi için hangisini seçmeliyim?
2026’da yeni Kubernetes deployment’ları için Envoy Gateway öneriliyor çünkü Gateway API native desteği, modern observability ve daha temiz mimari sunuyor. Ancak mevcut NGINX yetkinliği olan ekipler için NGINX Ingress hala güvenli bir seçim.
Envoy Gateway, NGINX Plus alternatifi olabilir mi?
Evet, Envoy Gateway ve Solo.io Gloo Gateway, NGINX Plus’ın sunduğu enterprise özelliklerin önemli bir kısmını ücretsiz veya daha düşük maliyetle sunuyor. Active health check, gelişmiş load balancing, JWT auth gibi özellikler open-source Envoy Gateway’de mevcut.
Gateway API mı, klasik Ingress API mı kullanmalıyım?
Yeni deployment’lar için Gateway API kesinlikle tercih edilmeli. Gateway API, daha zengin özellik seti, daha temiz mimari ve aktif geliştirme sunuyor. Mevcut Ingress API kaynakları desteklenmeye devam edecek ancak yeni özellikler Gateway API’de geliyor.
Envoy Gateway, Istio Gateway’in yerini alır mı?
Hayır, farklı kullanım alanları var. Envoy Gateway, north-south traffic (külmenin dışından gelen) için optimize. Istio Gateway, east-west traffic (küme içi servis-servis) ve service mesh için. Bir ortamda her ikisi de birlikte kullanılabilir.
NGINX’ten Envoy’a geçiş ne kadar sürer?
Küme boyutu ve ingress sayısına göre değişir. 50-100 ingress’li bir küme için 6-10 hafta tipik bir süredir. Büyük kurumsal ortamlarda (500+ ingress) 4-6 ay sürebilir. Paralel deployment yaklaşımı ile downtime’sız geçiş mümkündür.
Sonuç
NGINX Ingress ve Envoy Gateway, Kubernetes Ingress dünyasında farklı kuvvetleri olan iki güçlü çözüm. NGINX, olgunluk, geniş community ve ham performans avantajı sunarken Envoy Gateway, modern mimari, Gateway API native desteği ve zengin observability ile öne çıkıyor. 2026’da yeni deployment’lar için Envoy Gateway tercih edilirken mevcut NGINX kurulumları için kademeli geçiş stratejisi öneriliyor. Doğru seçim, mevcut yetkinlik, performans gereksinimleri ve uzun vadeli mimari hedefler birlikte değerlendirilerek yapılmalıdır.
Ömer ÖNAL
Mayıs 23, 2026NGINX olgunluk, Envoy Gateway modernlik sunuyor. Müşterilerime yeni deployment’lar için Envoy Gateway, mevcut NGINX kurulumları için kademeli geçiş öneriyorum. Gateway API native desteği uzun vadeli mimari için kritik. Config reload time ve P99.9 tail latency, modern üretim ortamlarında belirleyici faktörler. Ömer ÖNAL danışmanlık olarak günlük 4 milyar request Envoy migrasyonu deneyimi sunuyorum.