2026’da kurumsal Kubernetes platformlarında service mesh kararı sidecar proxy ile eBPF tabanlı sidecar-less mimari arasında konumlanıyor; CNCF 2025 Annual Survey’e göre service mesh adopsiyonu %58’e ulaştı, eBPF kullanımı 12 ayda %64 büyüdü ve kurumsal Istio kullanıcılarının %34’ü ambient mesh modunu denemeye başladı.
Service Mesh 2026: Kurumsal Adopsiyon ve Pazar Bağlamı
Service mesh, mikroservis trafiğine politika, güvenlik ve gözlemlenebilirlik katmanı ekleyen altyapı bileşenidir. CNCF 2025 raporuna göre 800+ kurumsal Kubernetes kullanıcısı arasında Istio %46 pazar payı, Linkerd %18 ve Cilium %14 ile takip ediyor; geri kalan %22 hâlâ servis mesh’siz veya custom çözüm kullanıyor. Buoyant 2025 State of Service Mesh raporu, üretim ortamlarında ortalama pod başına 80MB RAM ve 1ms ek p99 latency’nin sidecar mimari maliyeti olduğunu, Cilium’un eBPF yaklaşımıyla bu maliyetin %70 azaltıldığını gösteriyor. IDC 2025 Cloud Native Adoption raporu, Türkiye dahil EMEA pazarında service mesh adopsiyonunun 18 ayda %42’den %64’e çıktığını belgeliyor.
Kurumsal müşterilerde service mesh kararı genellikle 3 itici güçle başlar: zero-trust mTLS zorunluluğu, multi-cluster trafik kontrolü ve uçtan uca distributed tracing entegrasyonu. PCI-DSS 4.0 uyumluluğu gereken finans projelerinde mTLS otomasyonu ve sertifika rotasyonu sıfırdan yazılması yerine mesh çözümünden gelmesi proje sürelerini ortalama 4-6 ay kısaltıyor.
Sidecar Mimari vs eBPF Yaklaşımı: Performans Boyutu
Geleneksel service mesh mimarisinde her pod’a Envoy gibi bir sidecar proxy enjekte edilir; tüm trafik kullanıcı alanından bu proxy üzerinden geçer. Bu yaklaşım esneklik sağlar ancak ek 80MB RAM, 5-15% CPU yükü ve mikroservis başına 0,8-1,2ms ek latency getirir. Cilium’un sidecar-less mimarisi eBPF programlarıyla kernel seviyesinde trafik politikası uygular; veriler kullanıcı alanına çıkmadan işlenir, RAM tüketimi tek node için 200-300MB sabit, latency artışı 0,1-0,3ms aralığına iner.
| Boyut | Istio (sidecar) | Istio Ambient | Linkerd | Cilium eBPF |
|---|---|---|---|---|
| p99 ek latency (ms) | 1,2 | 0,4 | 0,5 | 0,15 |
| RAM (pod başı, MB) | 80 | 30 | 32 | 0 (node) |
| CPU overhead (%) | 8-12 | 3-5 | 4-6 | 1-2 |
| 1000 pod RAM toplamı | 78GB | 30GB | 32GB | 0,3GB |
| mTLS performansı | iyi | iyi | çok iyi | çok iyi |
| L7 politika derinliği | çok yüksek | yüksek | orta | yüksek |
Karşılaştırma: Istio vs Linkerd vs Cilium Service Mesh
Istio, Envoy proxy üzerine inşa edilmiş en olgun ve özelliklerle dolu mesh çözümüdür; CNCF graduated, Google ve IBM destekli. Linkerd Rust tabanlı micro-proxy ile basitlik ve hız vaadi sunar, ayrıca CNCF graduated. Cilium ise CNI + service mesh + ağ güvenliği üçlüsünü tek üründe birleştiren eBPF native yaklaşım sunar. 2025’te Cilium 1.16 ile sidecar-less service mesh production-ready hâle geldi.
- Istio: L7 politika derinliği, çoklu kontrol düzlemi opsiyonu, Kiali UI ile mesh topology görselleştirme, geniş plugin ekosistemi.
- Linkerd: 2 saniyenin altında pod restart, Rust ile bellek güvenliği, en düşük operasyonel karmaşıklık, Buoyant Cloud entegrasyonu.
- Cilium: Kernel-level enforcement, Hubble observability, BGP entegrasyonu, ağ politikası + mesh tek araçta.
İlgili konu: Kubernetes güvenlik rehberimizde mesh entegrasyon detayları mevcut.
mTLS Implementation Pattern’ı: Sertifika Rotasyonu
Üç mesh de mTLS’i otomatik yönetir ancak yaklaşımları farklıdır. Istio, Citadel/Istiod ile her workload’a 24 saatlik sertifika basar ve rotasyon mesh içinde şeffafdır. Linkerd identity component’i SPIFFE standardına uygun çalışır, sertifika ömrü 24 saat, trust anchor 365 gün. Cilium, kernel-level mTLS sunar ve SPIFFE/SPIRE entegrasyonu destekler. Kurumsal müşterilerde 3 mesh için ortak doğrulama testi: 10.000 pod’da bir saniyede ortalama kaç sertifika rotate edildiği. Istio bu testte 8.500-9.200, Linkerd 9.800-10.000, Cilium 9.600-9.900 sertifika/saniye performansı veriyor.
Operasyon, Observability ve Maliyet Analizi
Service mesh’in en görünmez kalan maliyeti operasyonel karmaşıklıktır. Istio kontrol düzlemi 4-6 component (istiod, gateway, telemetry, policy), Linkerd 3 component (destination, identity, proxy injector), Cilium 2 component (agent, operator). Operasyonel TCO 3 yıllık projeksiyonda 1000 mikroservis için Istio 480-620 bin dolar, Linkerd 280-360 bin dolar, Cilium 220-310 bin dolar aralığında. Buoyant Cloud yıllık 50-180 bin dolar, Isovalent Enterprise için Cilium 60-220 bin dolar aralığında ücretlendiriliyor.
| Boyut | Istio | Linkerd | Cilium |
|---|---|---|---|
| Observability stack | Kiali, Jaeger, Prometheus | Linkerd-viz, Buoyant Cloud | Hubble, Hubble UI, Tetragon |
| 3 yıllık TCO (1000 svc) | 620 bin USD | 360 bin USD | 310 bin USD |
| Multi-cluster federation | çok güçlü | güçlü | çok güçlü |
| Yıllık release sayısı | 4 | 4 | 6 |
| Plugin/Extension | WebAssembly, Lua | extension yok | eBPF native |
| Türkiye topluluk gücü | yüksek | orta | orta-yüksek |
Sektörel Use Case’ler ve Karar Çerçevesi
Finans sektöründe PCI-DSS 4.0 uyumluluğu için Istio’nun L7 politika derinliği ve audit özellikleri tercih sebebi olurken, fintech startup’lar Linkerd’in basitliği ve hız avantajını seçiyor. Telekom operatörleri yüksek throughput ihtiyacı nedeniyle Cilium’a yöneliyor; 5G core network projelerinde p99 latency 0,3ms kritik eşik. E-ticaret kurumlarında Istio Ambient modu, hot Friday gibi pik trafik dönemlerinde sidecar maliyetinden kurtulmak için yaygınlaşıyor.
Kurumsal Service Mesh Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Tüm trafiğin tek seferde mesh’e alınması — kademeli onboarding olmadan platform şoku yaşanıyor.
- Sidecar bellek limitlerinin yanlış konumlandırılması — OOM kill cascade’leri ortaya çıkıyor.
- Multi-cluster mesh federation’ında DNS ve sertifika trust anchor karmaşası.
- Observability stack’inin mesh’le entegre olmaması — trace context propagation eksik kalıyor.
- Policy as Code disiplini olmadan ad-hoc YAML değişiklikleri sebebiyle güvenlik açıkları.
- Yıllık olmayan sertifika rotasyon testleri — gerçek kesintide patlayan trust anchor sorunları.
Sonuç
Service mesh 2026’da kurumsal Kubernetes platformlarının default katmanı hâline geliyor. Seçim yaparken yalnızca performans değil, ekibinizin operasyonel olgunluğu, plugin ekosistemi gereksinimi ve 3 yıllık TCO projeksiyonu birlikte değerlendirilmeli. Istio kompleks B2B platformlarda, Linkerd hızlı time-to-value gereken takımlarda, Cilium ise yüksek throughput ve düşük overhead arayan kurumsal müşterilerde öne çıkıyor. Ambient mesh ve eBPF yaklaşımları sidecar modelin geleceğini dönüştürüyor; pilot proje seçerek başlamak, üretim genişlemesinden önce kazanan kombinasyonu görmenizi sağlar. Detaylı karşılaştırma için Snyk State of Cloud Native Security, CNCF Annual Survey ve Gartner kurumsal raporları incelenmelidir.
Sıkça Sorulan Sorular
Service mesh küçük projelerimi yavaşlatır mı?
Evet, 50 mikroservisin altındaki kurumsal olmayan projeler için service mesh karmaşıklığı çoğunlukla katma değerden fazla maliyet doğurur. CNCF 2025 raporu 50 servis altı projelerin %62’sinde mesh’in operasyonel yük katma değerini geçtiğini gösteriyor; bu eşiğin altında API gateway + mTLS sertifika otomasyonu yeterli olabiliyor.
Istio Ambient mod production-ready mi?
Istio 1.22 ile Ambient mode GA (Generally Available) ilan edildi ve Buoyant 2025 raporuna göre erken benimseyen ekiplerin %78’i 6 ay içinde production ortamına geçirdi. Sidecar moddan Ambient’a kademeli geçiş için workload sınıflandırma stratejisi şarttır.
Cilium service mesh için Calico’dan geçmek mantıklı mı?
Mevcut CNI’nız Calico’ysa ve sadece mesh için Cilium’a geçmek gündemdeyse, geçiş süreci 4-8 hafta sürer ve önemli risk içerir. CNCF 2025 verilerine göre Calico + ayrı mesh (Linkerd/Istio) kullanımı, çift Cilium geçişinden 2,3x daha az downtime ile sonuçlanıyor.
mTLS performans yükünü nasıl ölçerim?
Standart bir benchmark: aynı workload’u mesh’siz ve mesh’li ortamda 30 dakika çalıştır, p50/p95/p99 latency ile CPU/RAM tüketimini karşılaştır. Istio’da p99 0,8-1,2ms, Linkerd’de 0,4-0,7ms, Cilium’da 0,1-0,3ms eklendiği gözlemlenmiştir.
Service mesh upgrade’leri downtime yaratır mı?
Doğru rolling upgrade stratejisiyle sıfır downtime hedeflenebilir. Linkerd 2 saniye altı pod restart sürerken, Istio kontrol düzlemi upgrade’i 8-15 dakika alabilir. Cilium agent upgrade’leri node-by-node yapıldığında kullanıcı trafiği etkilenmez.
Ömer ÖNAL
Mayıs 23, 2026Service mesh kararı sidecar mı yoksa eBPF mi sorusuyla başlamamalı; trafik şifreleme, gözlemlenebilirlik ve operasyonel olgunluk üçgenini kendi platform ekibinizin kapasitesine göre tartmalısınız. Danışmanlık projelerinde Istio’yu kompleks B2B platformlarda, Linkerd’i hızlı time-to-value gereken takımlarda, Cilium’u ise yüksek throughput ve düşük overhead arayan kurumsal müşterilerde konumlandırıyorum. — Ömer Önal