Kubernetes 2026 için En İyi Ağ Politikası Araçları — Calico vs Cilium vs Weave Net: Kapsamlı Karşılaştırma Kılavuzu

17 Şubat 2026 tarihinde Yaya Hanayagi tarafından yayınlandı

Kubernetes ağ güvenliği önemli ölçüde gelişti ve 2026’da doğru ağ politikası aracını seçmek küme güvenliği, performansı ve operasyonel verimlilik için çok önemli. Bu kapsamlı kılavuz, bugün mevcut olan en iyi ağ politikası çözümlerini analiz ederek mimarilerini, özelliklerini, fiyatlandırmalarını ve gerçek dünya performanslarını karşılaştırıyor.

İçindekiler

  1. Kubernetes Ağ Politikalarına Giriş
  2. 2026’da Ağ Politikası Manzarası
  3. Detaylı Araç Analizi
  4. Performans Karşılaştırmaları
  5. Karşılaştırma Tabloları
  6. Karar Çerçevesi
  7. Güvenlik Değerlendirmeleri
  8. Entegrasyon Kalıpları
  9. SSS Bölümü
  10. Sonuç

Kubernetes Ağ Politikalarına Giriş

Kubernetes’teki ağ politikaları, pod’lar, ad alanları ve harici uç noktalar arasındaki trafik akışını kontrol eden kuralları tanımlar. Varsayılan olarak, Kubernetes tüm pod-to-pod iletişime izin verir—bu, güvenlikten ziyade bağlantıya öncelik veren bir tasarımdır. Ağ politikaları, izin verilen iletişim yollarını açıkça tanımlayarak sıfır güven ağını mümkün kılar.

Ancak, tüm Konteyner Ağ Arayüzü (CNI) eklentileri ağ politikalarını desteklemez. CNI seçimi, güvenlik yeteneklerinizi, performans karakteristiklerinizi ve operasyonel karmaşıklığınızı doğrudan etkiler.

2026’da Ağ Politikası Manzarası

Ağ politikası ekosistemi önemli ölçüde olgunlaştı ve manzarayı şekillendiren birkaç temel trend var:

  • eBPF benimsenme: Cilium gibi modern çözümler, üstün performans ve daha derin kernel entegrasyonu için eBPF’yi kullanıyor
  • Service mesh entegrasyonu: CNI’ler giderek daha fazla sidecar yükü olmadan yerleşik service mesh yetenekleri sunuyor
  • Çoklu bulut tutarlılığı: Kurumsal çözümler, hibrit ve çoklu bulut dağıtımlarında tutarlı politikalar sağlamaya odaklanıyor
  • Gözlemlenebilirlik odağı: Gelişmiş akış izleme ve ağ görünürlüğü standart beklentiler haline geldi
  • Windows desteği: Kurumsal ortamlarda Windows düğümü desteği için artan talep

Detaylı Araç Analizi

1. Calico

Genel Bakış: Calico, Tigera aracılığıyla hem açık kaynak hem de kurumsal varyantlar sunan, en yaygın benimsenmiş ağ politikası çözümlerinden biri olmaya devam ediyor.

Mimari:

  • Düğümler arasında rota dağıtımı için BGP kullanır
  • Paket filtreleme için iptables veya eBPF kullanır (eBPF modu v3.13’ten beri mevcut)
  • Her düğümde politika uygulama için Felix agent çalışır
  • Typha bileşeni büyük kümeler için ölçeklenebilir veri deposu erişimi sağlar

Ana Özellikler:

  • Katman 3/4 ve Katman 7 ağ politikaları
  • Çoklu küme ağı
  • Kontrollü harici erişim için çıkış ağ geçitleri
  • Istio service mesh ile entegrasyon
  • Uyumluluk raporlama ve denetim yetenekleri
  • Gelişmiş güvenlik kontrolleri (şifreleme, tehdit algılama)

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz
  • Calico Cloud (yönetilen hizmet): Düğüm/saat başına $0.50’den başlayarak
  • Calico Enterprise: Özel fiyatlandırma, küme boyutuna bağlı olarak tipik olarak yılda $10.000-50.000+

Artıları:

  • Kapsamlı kurumsal benimsenme ile olgun, savaş testli çözüm
  • Mükemmel dokümantasyon ve topluluk desteği
  • Esnek dağıtım modları (overlay, host-gateway, cross-subnet)
  • Kurumsal katmanda güçlü uyumluluk ve denetim özellikleri
  • Çoklu bulut sağlayıcıları ve şirket içinde çalışır

Eksileri:

  • iptables modu büyük kümelerde performans darboğazı olabilir
  • Gelişmiş senaryolar için karmaşık konfigürasyon
  • Kurumsal özellikler ücretli lisans gerektirir
  • Bazı ağ ortamlarında BGP kurulum karmaşıklığı

En İyi Kullanım Senaryoları:

  • Uyumluluk ve denetim yetenekleri gerektiren kurumsal ortamlar
  • Tutarlı ağ ihtiyacı olan çoklu bulut dağıtımları
  • Mevcut BGP ağ altyapısı olan kuruluşlar
  • Gelişmiş güvenlik kontrolleri gerektiren kümeler

2. Cilium

Genel Bakış: Cilium, maksimum performans ve derin kernel entegrasyonu için eBPF teknolojisiyle sıfırdan inşa edilen yeni nesil Kubernetes ağını temsil eder.

Mimari:

  • Kernel alanında paket işleme için eBPF tabanlı veri düzlemi
  • eBPF tabanlı yük dengeleme ile kube-proxy’yi değiştirebilir
  • Yönlendirme için Linux kernel ağ primitiflerini kullanır
  • Her düğümde ayrıcalıklı modda agent çalışır
  • Sidecar’lar olmadan isteğe bağlı service mesh yetenekleri

Ana Özellikler:

  • Yerel eBPF performans avantajları
  • HTTP/gRPC/Kafka protokol farkındalığı ile Katman 3/4/7 ağ politikaları
  • Kimlik tabanlı güvenlik (SPIFFE/SPIRE entegrasyonu)
  • Çoklu küme bağlantısı için cluster mesh
  • Şeffaf şifreleme (WireGuard, IPSec)
  • Hubble ile gelişmiş gözlemlenebilirlik
  • Yerleşik service mesh (Envoy sidecar’ları gerekmez)

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz
  • Isovalent Enterprise (Cilium kurumsal dağıtımı): Özel fiyatlandırma, tahmini yılda $15.000-75.000+
  • Yönetilen bulut hizmetleri: Büyük bulut sağlayıcıları aracılığıyla mevcut

Artıları:

  • eBPF kernel entegrasyonu nedeniyle üstün performans
  • Keskin teknoloji özellikleri ve hızlı geliştirme
  • Sidecar yükü olmadan mükemmel service mesh entegrasyonu
  • Güçlü gözlemlenebilirlik ve hata ayıklama yetenekleri
  • Büyüyen ekosistemle aktif CNCF projesi

Eksileri:

  • Modern Linux kernelleri gerektirir (temel özellikler için 4.9+, 5.4+ önerilen)
  • eBPF’ye aşina olmayan ekipler için daha dik öğrenme eğrisi
  • Calico’ya kıyasla nispeten daha yeni (daha az kurumsal doğrulama)
  • eBPF programları arızalandığında karmaşık sorun giderme

En İyi Kullanım Senaryoları:

  • Performans kritik ortamlar
  • L7 politikaları gerektiren modern mikroservis mimarileri
  • Sidecar’lar olmadan yerleşik service mesh isteyen kuruluşlar
  • Modern kernel sürümlerine sahip bulut-yerel ortamlar

3. Weave Net

Genel Bakış: Weave Net, yerleşik ağ politikası desteği ve mesh ağ yetenekleriyle Kubernetes ağına basit bir yaklaşım sağlar.

Mimari:

  • Düğümler arasında şifrelenmiş ağ overlay’i oluşturur
  • Kernel paket yakalama ve userspace yönlendirme kullanır
  • weave-npc konteyner’ı ağ politikası uygulamasını yönetir
  • Otomatik hizmet keşfi ve DNS entegrasyonu

Ana Özellikler:

  • Basit kurulum ve konfigürasyon
  • Düğümler arası otomatik şifreleme
  • Yerleşik ağ politikası desteği
  • Çoklu bulut ağ yetenekleri
  • Weave Cloud (durduruldu) ve diğer izleme araçlarıyla entegrasyon
  • Hem overlay hem de host ağ modları desteği

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz
  • Not: Weaveworks 2024’te faaliyetlerini durdurdu, ancak açık kaynak projesi topluluk bakımı altında devam ediyor

Artıları:

  • Son derece basit kurulum ve işletme
  • Ek konfigürasyon olmadan yerleşik şifreleme
  • İyi ağ politikası uygulaması
  • Farklı bulut ortamlarında güvenilir çalışır
  • Minimal harici bağımlılıklar

Eksileri:

  • Userspace paket işleme nedeniyle performans yükü
  • Weaveworks kapanmasının ardından sınırlı kurumsal destek
  • Calico veya Cilium’a kıyasla daha az özellik zengin
  • Topluluk bakımı altında daha yavaş geliştirme temposu

En İyi Kullanım Senaryoları:

  • Basitliğe öncelik veren küçük-orta boy kümeler
  • Geliştirme ve test ortamları
  • Varsayılan şifreleme gerektiren kuruluşlar
  • Minimal konfigürasyon yükü tercih eden ekipler

4. Antrea

Genel Bakış: Antrea, programlanabilir ağ yetenekleri ve güçlü Windows desteği için Open vSwitch (OVS) kullanan VMware’in Kubernetes ağ çözümüdür.

Mimari:

  • Veri düzlemi işleme için Open vSwitch üzerine kurulu
  • Her düğümde Antrea Agent çalışır
  • Antrea Controller ağ politikalarını merkezi olarak yönetir
  • Paket işleme için OVS akış tablolarını kullanır

Ana Özellikler:

  • Mükemmel Windows düğümü desteği
  • Antrea’ya özgü uzantılar dahil gelişmiş ağ politikaları
  • Trafik izleme ve akış dışa aktarma yetenekleri
  • Kurumsal özellikler için VMware NSX ile entegrasyon
  • Çoklu küme ağ desteği
  • Genişletilmiş işlevsellik için ClusterNetworkPolicy ve Antrea NetworkPolicy CRD’leri

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz
  • VMware NSX with Antrea: NSX lisansının parçası, sürüme bağlı olarak CPU başına aylık $15-50

Artıları:

  • Sınıfının en iyisi Windows desteği
  • VMware ekosistemi ile güçlü entegrasyon
  • Standart NetworkPolicy’nin ötesinde gelişmiş politika yetenekleri
  • İyi performans karakteristikleri
  • Aktif geliştirme ve kurumsal destek

Eksileri:

  • OVS bağımlılığı karmaşıklık ekler
  • Öncelikle VMware ortamları için optimize edilmiş
  • VMware kullanıcıları dışında daha az topluluk benimsenme
  • OVS’ye aşina olmayan ekipler için öğrenme eğrisi

En İyi Kullanım Senaryoları:

  • Karışık Windows/Linux Kubernetes kümeleri
  • VMware merkezli altyapı ortamları
  • Gelişmiş politika özellikleri gerektiren kuruluşlar
  • VMware ağ çözümlerine zaten yatırım yapmış işletmeler

5. Kube-router

Genel Bakış: Kube-router, ek overlay ağları gerektirmeden standart Linux ağ araçları (iptables, IPVS, BGP) kullanan hafif bir ağ çözümüdür.

Mimari:

  • Pod subnet reklamı için BGP kullanır
  • Hizmet proxy işlevselliği için IPVS
  • Ağ politikası uygulaması için iptables
  • Overlay ağlar olmadan doğrudan yönlendirme

Ana Özellikler:

  • Overlay ağ yükü yok
  • Standart Linux ağ primitifleri kullanır
  • Entegre hizmet proxy’si, güvenlik duvarı ve pod ağı
  • BGP tabanlı rota reklamı
  • Temel ağ politikası desteği

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz (ticari teklif yok)

Artıları:

  • Minimal kaynak yükü
  • Tanıdık Linux ağ araçları kullanır
  • Tescilli bileşenler veya overlay’ler yok
  • Basit ağ ihtiyaçları için iyi performans
  • Standart araçlarla kolay sorun giderme

Eksileri:

  • Diğer çözümlere kıyasla sınırlı ağ politikası özellikleri
  • Karmaşık çoklu küme senaryoları için daha az uygun
  • Gelişmiş konfigürasyonlar için BGP bilgisi gerektirir
  • Minimal kurumsal özellikler veya destek seçenekleri

En İyi Kullanım Senaryoları:

  • Kaynak kısıtlı ortamlar
  • Temel güvenlik ile basit ağ gereksinimleri
  • Standart Linux ağını tercih eden kuruluşlar
  • Minimal politika ihtiyaçları olan geliştirme kümeleri

6. Ağ Politikası Eklentileri ile Flannel

Genel Bakış: Flannel geleneksel olarak ağ politikalarını yerel olarak desteklemeyen basit bir overlay ağdır, ancak ek politika motorlarıyla geliştirilebilir.

Mimari:

  • VXLAN veya host-gw backend kullanarak overlay ağ oluşturur
  • Ağ politikası desteği için ek bileşenler (Calico politika motoru gibi) gerektirir
  • Canal, Flannel ağını Calico politikalarıyla birleştirir

Ana Özellikler:

  • Son derece basit ağ kurulumu
  • Çoklu backend seçenekleri (VXLAN, host-gw, AWS VPC, GCE)
  • Diğer politika motorlarıyla birleştirilebilir (Canal = Flannel + Calico)

2026 Fiyatlandırması:

  • Açık Kaynak: Ücretsiz
  • Canal (Flannel + Calico): Ücretsiz açık kaynak, kurumsal Calico özellikleri Tigera aracılığıyla mevcut

Artıları:

  • Minimal konfigürasyon gerekli
  • Kararlı ve yaygın kullanılıyor
  • Esnek backend seçenekleri
  • Diğer politika motorlarıyla geliştirilebilir

Eksileri:

  • Yerel ağ politikası desteği yok
  • Politika motorları eklerken ek karmaşıklık
  • Sınırlı gelişmiş ağ özellikleri
  • Overlay ağının performans yükü

En İyi Kullanım Senaryoları:

  • Basitliğin en önemli olduğu greenfield dağıtımlar
  • Minimal güvenlik gereksinimleri olan geliştirme ortamları
  • Kararlı ağ gerektiren eski uygulamalar
  • Politika desteği için Canal ile birleştirildiğinde

7. Kubernetes Native NetworkPolicy

Genel Bakış: Yerleşik Kubernetes NetworkPolicy kaynağı, ağ politikalarını tanımlamak için standart bir API sağlar, ancak spesifikasyonu uygulayan bir CNI gerektirir.

Ana Özellikler:

  • Tüm ağ politikası uygulamalarında standardize edilmiş API
  • Ingress ve egress kural tanımları
  • Pod, ad alanı ve IP blok seçicileri
  • Port ve protokol spesifikasyonları

Uygulama Gereksinimleri:

  • Politika yetenekli bir CNI ile eşleştirilmeli
  • Politikalar CNI tarafından uygulanır, Kubernetes’in kendisi tarafından değil
  • Katman 3/4 kurallarla sınırlı (standart spesifikasyonda Katman 7 yetenekleri yok)

Performans Karşılaştırmaları

Performans karakteristikleri ağ politikası araçları arasında önemli ölçüde farklılık gösterir. Mevcut karşılaştırmalara ve topluluk raporlarına dayanarak:

Throughput Performansı

Cilium’un resmi karşılaştırmalarına göre:

  • Cilium (eBPF modu): Kernel optimizasyonları nedeniyle bazen düğüm-to-düğüm temelini aşarak yerel ağ performansına yakın başarabilir
  • Calico (eBPF modu): iptables moduna göre önemli gelişme, Cilium performans seviyelerine yaklaşıyor
  • Calico (iptables modu): Orta ölçeğe kadar iyi performans, binlerce politika ile degradasyon

arxiv.org performans değerlendirme çalışmasına dayalı:

  • Cilium: Ağ işlemleri sırasında ortalama %10 CPU kullanımı
  • Calico/Kube-router: Benzer iş yükleri altında ortalama %25 CPU tüketimi

Gecikme Karakteristikleri

  • eBPF tabanlı çözümler (Cilium, Calico eBPF): Mikrosaniye altı politika değerlendirmesi
  • iptables tabanlı çözümler: Politika sayısıyla lineer gecikme artışı
  • OVS tabanlı çözümler (Antrea): Akış tablosu işleme ile tutarlı gecikme

Ölçeklenebilirlik Metrikleri

  • Cilium: 5.000+ düğüm ve 100.000+ pod ile test edildi
  • Calico: 1.000 düğümü aşan dağıtımlarda kanıtlandı
  • Weave Net: 500 düğüm altındaki kümeler için önerilen
  • Antrea: OVS optimizasyonlarıyla iyi ölçeklenebilirlik

Not: Performans, kernel sürümü, donanım ve spesifik konfigürasyona bağlı olarak önemli ölçüde değişir. Her zaman özel ortamınızda karşılaştırma yapın.

Karşılaştırma Tabloları

Özellik Karşılaştırma Matrisi

ÖzellikCalicoCiliumWeave NetAntreaKube-routerFlannel
Ağ PolitikalarıTemel❌*
Katman 7 Politikaları✅ (Enterprise)
eBPF Desteği✅ (Native)
Service Mesh✅ (Istio ile)✅ (Yerleşik)
Windows DesteğiSınırlı
Şifreleme✅ (Yerleşik)
Çoklu Küme
Gözlemlenebilirlik✅ (Enterprise)✅ (Hubble)TemelTemel

*Flannel, Canal (Flannel + Calico) ile birleştirildiğinde politikaları destekleyebilir

Performans Karşılaştırması

ÇözümThroughputCPU YüküBellek KullanımıÖlçeklenebilirlik
Cilium (eBPF)MükemmelDüşük (%10)OrtaÇok Yüksek
Calico (eBPF)Çok İyiDüşük-OrtaOrtaYüksek
Calico (iptables)İyiOrta (%25)DüşükOrta
Weave NetAdilOrtaOrtaOrta
AntreaİyiDüşük-OrtaOrtaYüksek
Kube-routerİyiOrta (%25)DüşükOrta
FlannelİyiDüşükDüşükOrta

Fiyatlandırma Genel Bakışı (2026)

ÇözümAçık KaynakKurumsal/YönetilenHedef Kullanıcılar
CalicoÜcretsizDüğüm/saat $0.50 (Cloud)Tüm boyutlar
CiliumÜcretsiz~Yılda $15k-75k (Tahmini)Orta-Büyük
Weave NetÜcretsizN/A (Topluluk)Küçük-Orta
AntreaÜcretsizNSX ile dahilVMware ortamları
Kube-routerÜcretsizN/AKüçük kümeler
FlannelÜcretsizN/AGeliştirme/Basit

Karar Çerçevesi

Doğru ağ politikası aracını seçmek birçok faktöre bağlıdır. Kararınızı yönlendirmek için bu çerçeveyi kullanın:

1. Küme Boyutu ve Ölçek Gereksinimleri

Küçük Kümeler (< 50 düğüm):

  • Weave Net: Yerleşik şifrelemeyle basitlik
  • Flannel: Temel ağ için minimal yük
  • Kube-router: Standart Linux ağ araçları

Orta Kümeler (50-500 düğüm):

  • Calico: Kurumsal seçeneklerle olgun çözüm
  • Cilium: eBPF ile modern performans
  • Antrea: Windows düğümleri gerekliyse

Büyük Kümeler (500+ düğüm):

  • Cilium: Üstün eBPF performansı ve ölçeklenebilirlik
  • Calico (eBPF modu): İyi performansla kurumsal özellikler

2. Güvenlik Gereksinimleri Değerlendirmesi

Temel Ağ İzolasyonu:

  • Herhangi bir politika yetenekli CNI gereksinimleri karşılar
  • Operasyonel karmaşıklık vs. güvenlik ihtiyaçlarını göz önünde bulundurun

Gelişmiş Güvenlik Kontrolleri:

  • Calico Enterprise: Uyumluluk, denetim, tehdit algılama
  • Cilium: Kimlik tabanlı güvenlik, L7 politika ayrıntısı
  • Antrea: Genişletilmiş politika yetenekleri

Sıfır Güven Ağı:

  • Cilium: Yerleşik kimlik ve service mesh
  • Calico: Service mesh çözümleriyle entegrasyon

3. Performans Öncelikleri

Maksimum Throughput:

  1. Cilium (eBPF native)
  2. Calico (eBPF modu)
  3. Antrea (OVS optimizasyonu)

En Düşük Kaynak Yükü:

  1. Kube-router (minimal bileşenler)
  2. Flannel (basit overlay)
  3. Cilium (verimli eBPF)

4. Operasyonel Değerlendirmeler

Basitlik Önceliği:

  1. Weave Net (otomatik şifreleme, minimal konfigürasyon)
  2. Flannel (temel overlay ağ)
  3. Calico (kapsamlı dokümantasyon)

Kurumsal Destek İhtiyaçları:

  1. Calico (Tigera destek ve hizmetleri)
  2. Antrea (VMware kurumsal desteği)
  3. Cilium (Isovalent kurumsal dağıtımı)

5. Platform ve Entegrasyon Gereksinimleri

Çoklu Bulut Dağıtımları:

  • Calico: Bulutlar arasında tutarlı deneyim
  • Cilium: Artan bulut sağlayıcı entegrasyonu

VMware Ortamları:

  • Antrea: Yerel VMware entegrasyonu ve optimizasyonu

Windows İş Yükleri:

  • Antrea: En iyi Windows desteği
  • Calico: İyi Windows yetenekleri

Service Mesh Entegrasyonu:

  • Cilium: Sidecar’lar olmadan yerleşik service mesh
  • Calico: Mükemmel Istio entegrasyonu

Güvenlik Değerlendirmeleri

Ağ politikası uygulaması küme güvenlik duruşunu doğrudan etkiler. Ana güvenlik değerlendirmeleri şunları içerir:

Varsayılan Güvenlik Duruşu

Sıfır Güven Uygulaması:

  • Tümünü reddet politikalarıyla başlayın ve gerekli trafiği açıkça izin verin
  • Temel olarak ad alanı izolasyonunu kullanın
  • Ingress ve egress kontrollerini uygulayın

Katman 7 Güvenliği:

  • Cilium ve Calico Enterprise HTTP/gRPC protokol farkındalığı sağlar
  • Antrea uygulama protokolleri için genişletilmiş politika yetenekleri sunar
  • Hassas iş yükleri için API seviyesi güvenliği düşünün

Şifreleme ve Veri Koruması

Transit Şifreleme:

  • Weave Net: Varsayılan olarak yerleşik şifreleme
  • Cilium: WireGuard ve IPSec seçenekleri
  • Calico: Kurumsal şifreleme özellikleri
  • Şifreleme yükünün performans etkisini göz önünde bulundurun

Kimlik ve Doğrulama:

  • Cilium: İş yükü kimliği için SPIFFE/SPIRE entegrasyonu
  • Calico: Kimlik sağlayıcılarla entegrasyon
  • Gerektiği yerde karşılıklı TLS uygulayın

Uyumluluk ve Denetim

Düzenleyici Gereksinimler:

  • Calico Enterprise: Yerleşik uyumluluk raporlaması
  • Tüm çözümler: Ağ akışı günlüğü yetenekleri
  • Veri ikamet ve egemenlik gereksinimlerini göz önünde bulundurun

Denetim ve İzleme:

  • Tüm politika değişiklikleri için ağ akışı izleme uygulayın
  • Görünürlük için gözlemlenebilirlik araçlarını (Hubble, Calico Enterprise UI) kullanın
  • Politika değişikliği denetim izlerini koruyun

Tehdit Algılama ve Yanıt

Anomali Algılama:

  • Beklenmeyen trafik desenlerini izleyin
  • Politika ihlalleri için uyarı uygulayın
  • Adli analiz için ağ gözlemlenebilirliğini kullanın

Olay Yanıtı:

  • Ağ güvenliği olayları için playbook’lar hazırlayın
  • Felaket senaryolarında politika uygulamasını test edin
  • Güvenlik olayları sırasında ağ segmentasyonunu koruyun

Entegrasyon Kalıpları

Service Mesh Entegrasyonu

Cilium + Yerleşik Service Mesh:

# Cilium service mesh özelliklerini etkinleştir
apiVersion: v1
kind: ConfigMap
metadata:
  name: cilium-config
data:
  enable-l7-proxy: "true"
  enable-remote-node-identity: "true"

Calico + Istio Entegrasyonu:

# Istio service mesh için Calico politikası
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: istio-integration
spec:
  selector: app == "productpage"
  ingress:
  - action: Allow
    source:
      serviceAccounts:
        selector: app == "istio-proxy"

Çoklu Küme Ağı

Cilium Cluster Mesh:

apiVersion: cilium.io/v2alpha1
kind: CiliumClusterConfig
metadata:
  name: cluster-mesh-config
spec:
  cluster:
    name: production-west
    id: 1
  nodes:
  - name: cluster-east
    address: "10.0.0.1"

Calico Çoklu Küme Kurulumu:

apiVersion: projectcalico.org/v3
kind: RemoteClusterConfiguration
metadata:
  name: remote-cluster
spec:
  clusterAccessSecret: remote-cluster-secret
  tunnelIPs: ["192.168.1.0/24"]

Gözlemlenebilirlik Entegrasyonu

Prometheus İzleme:

# CNI metrikleri için ServiceMonitor
apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: cilium-metrics
spec:
  selector:
    matchLabels:
      app: cilium
  endpoints:
  - port: prometheus
    interval: 30s

Akış Günlüğü Konfigürasyonu:

# Cilium için Hubble akış günlüğü
apiVersion: v1
kind: ConfigMap
metadata:
  name: hubble-config
data:
  enable-hubble: "true"
  hubble-flow-buffer-size: "4095"
  hubble-metrics: "dns,drop,tcp,flow,port-distribution"

SSS Bölümü

Genel Ağ Politikası Soruları

S: Kubernetes NetworkPolicies kullanmak için özel bir CNI’ye ihtiyacım var mı? C: Evet, NetworkPolicies sadece Kubernetes’te API kaynaklarıdır. Ağ politikası uygulaması yapan bir CNI’ye ihtiyacınız var. Flannel gibi standart CNI’ler politikaları desteklemezken, Calico, Cilium, Weave Net ve Antrea destekler.

S: Mevcut bir kümede CNI değiştirebilir miyim? C: CNI değiştirmek tipik olarak küme kesintisi ve dikkatli migrasyon planlaması gerektirir. Genellikle istenen CNI ile yeni bir küme sağlamak ve iş yüklerini migrate etmek daha kolaydır. Bazı yönetilen hizmetler CNI yükseltmeleri sunar (Azure CNI’den Cilium’a gibi).

S: CNI’im desteklemiyorsa NetworkPolicy uygularsam ne olur? C: Politika Kubernetes API’si tarafından kabul edilir ancak uygulanmaz. Trafik hiç politika yokmuş gibi akmaya devam eder ve yanlış güvenlik hissi yaratır.

Performans ve Ölçeklenebilirlik

S: Ağ politikalarını etkinleştirmek performansı etkiler mi? C: Evet, politika değerlendirmesi yük ekler. eBPF tabanlı çözümlerin (Cilium, Calico eBPF modu) minimal etkisi varken, iptables tabanlı uygulamalar büyük politika sayılarıyla degradasyona uğrayabilir. Modern çözümler üretim iş yükleri için optimize edilmiştir.

S: Bir kümede kaç ağ politikası olabilir? C: Bu CNI’niz ve küme boyutunuza bağlıdır. Cilium ve Calico Enterprise binlerce politikayı verimli şekilde yönetir. iptables tabanlı uygulamalar düğüm başına 100-500 politikanın ötesinde performans degradasyonu gösterebilir.

S: Katman 7 politikalarını üretimde kullanmalı mıyım? C: Katman 7 politikaları ayrıntılı kontrol sağlar ancak işleme yükü ve karmaşıklık ekler. Bunları kritik güvenlik sınırları ve API seviyesi kontroller için kullanın, Katman 3/4 politikalarının yeterli olduğu geniş trafik filtreleme için değil.

Güvenlik ve Uyumluluk

S: Ağ politikaları sıfır güven güvenliği için yeterli midir? C: Ağ politikaları sıfır güven mimarisinin bir bileşenidir. Ayrıca iş yükü kimliği, şifreleme, denetim günlüğü ve uygulama seviyesi güvenlik kontrollerine de ihtiyacınız var. Bunları ağ seviyesi erişim kontrolü olarak düşünün, tam güvenlik değil.

S: Ağ politikası sorunlarını nasıl debug ederim? C: Çoğu CNI politika hata ayıklama için araçlar sağlar:

  • Cilium: cilium monitor, Hubble UI
  • Calico: calicoctl get networkpolicy, akış günlükleri
  • Politika söz dizimini doğrulamak için kubectl describe networkpolicy kullanın
  • Teşhis pod’larıyla bağlantıyı test edin

S: Ağ politikaları kötü niyetli konteyner kaçışlarına karşı korur mu? C: Ağ politikaları ağ trafiğini kontrol eder, konteyner izolasyonunu değil. Konteyner kaçışından sonra patlamanın etkisini sınırlayabilir ancak kaçışın kendisini önleyemez. Pod Security Standards, admission controller’lar ve runtime güvenlik araçlarıyla birleştirin.

Araca Özgü Sorular

S: Yeni dağıtım için Calico mu Cilium mu seçmeliyim? C: Bu faktörleri göz önünde bulundurun:

  • Cilium’u seçin eğer: Keskin teknoloji eBPF performansı, yerleşik service mesh veya modern kernel ortamları istiyorsanız
  • Calico’yu seçin eğer: Kanıtlanmış kurumsal özellikler, kapsamlı dokümantasyon veya çeşitli ortamlarda destek istiyorsanız
  • Her ikisi de çoğu kullanım senaryosu için mükemmel seçimlerdir

S: Weaveworks kapanmasından sonra Weave Net hala uygun mu? C: Weave Net topluluk bakımı altında açık kaynak proje olarak devam ediyor. Mevcut dağıtımlar için kararlı ancak azalan geliştirme temposu ve kurumsal destek nedeniyle yeni projeler için alternatifleri göz önünde bulundurun.

S: Diğer seçeneklere göre Antrea’yı ne zaman düşünmeliyim? C: Şu durumlarınız varsa Antrea’yı seçin:

  • Karışık Windows/Linux Kubernetes ortamları
  • Mevcut VMware altyapı yatırımları
  • Standart NetworkPolicy’nin ötesinde gelişmiş politika yetenekleri için gereksinimler
  • OVS tabanlı ağ özellikleri ihtiyacı

Migrasyon ve Operasyonlar

S: Bir CNI’den diğerine nasıl migrate ederim? C: CNI migrasyonu tipik olarak şunları gerektirir:

  1. Bakım penceresi sırasında plan yapın
  2. Mevcut ağ konfigürasyonlarını yedekleyin
  3. Düğümleri yeni CNI ile drain edin ve yeniden konfigüre edin
  4. Ağ politikalarını yeni CNI formatına güncelleyin (uygulanabilirse)
  5. Bağlantıyı iyice test edin

Sıfır kesinti geçişleri için blue-green küme migrasyonunu düşünün.

S: Aynı kümede birden fazla CNI çalıştırabilir miyim? C: Kubernetes küme başına sadece bir CNI destekler. Ancak, bazı CNI’ler çoklu veri düzlemlerini destekler (Calico’nun hem iptables hem de eBPF modlarını aynı anda desteklemesi gibi).

S: CNI’mi ne sıklıkla güncellmeliyim? C: Bu yönergeleri izleyin:

  • Güvenlik güncellemeleri: Hemen uygulayın
  • Özellik güncellemeleri: Çeyreklik güncellemeler planlayın
  • Ana sürümler: Önce staging’de iyice test edin
  • CNI proje yayın kadanslarını ve güvenlik danışmanlarını izleyin

Sonuç

Kubernetes için 2026’da en iyi ağ politikası aracını seçmek performans, güvenlik, operasyonel karmaşıklık ve maliyet değerlendirmelerini dengelemeyi gerektirir. Manzara önemli ölçüde gelişti, eBPF tabanlı çözümler performans iyileştirmelerinde öncülük ederken geleneksel çözümler kurumsal tekliflerini olgunlaştırmaya devam ediyor.

Ana Öneriler:

Maksimum Performans ve Modern Özellikler İçin: Cilium, yerleşik service mesh yetenekleriyle keskin teknoloji eBPF teknolojisi sunar ve performans kritik ve bulut-yerel ortamlar için ideal.

Kurumsal Güvenilirlik ve Destek İçin: Calico, kapsamlı kurumsal özellikler, kapsamlı dokümantasyon ve çeşitli ortamlarda kanıtlanmış ölçeklenebilirlikle savaş testli kararlılık sağlar.

Basitlik ve Temel Gereksinimler İçin: Weave Net yerleşik şifreleme ile basit kurulum sunar, ancak uzun vadeli bakım etkilerini göz önünde bulundurun.

VMware Ortamları İçin: Antrea, VMware altyapısıyla en iyi entegrasyonu ve üstün Windows desteğini sağlar.

Kaynak Kısıtlı Dağıtımlar İçin: Kube-router standart Linux ağ araçları kullanarak minimal yük sunar.

Ağ politikası ekosistemi hızla gelişmeye devam ediyor. Seçtiğiniz çözümün yol haritası, güvenlik güncellemeleri ve topluluk gelişmeleri hakkında bilgili kalın. En önemlisi, özel ortamınızda iyice test edin—performans ve operasyonel karakteristikler altyapınıza, uygulamalarınıza ve gereksinimlerinize bağlı olarak önemli ölçüde değişebilir.

Ağ politikalarının Kubernetes güvenliğinin sadece bir katmanı olduğunu unutmayın. Derinlemesine savunma güvenlik duruşu için bunları Pod Security Standards, admission controller’lar, runtime koruması ve kapsamlı gözlemlenebilirlikle birleştirin.

Daha fazla Kubernetes güvenlik içgörü arıyor musunuz? Bulut-yerel güvenlik araçlarının ve en iyi uygulamaların en son analizleri için blogumuzu takip edin.

Anahtar Kelimeler: Kubernetes 2026 için En İyi Ağ Politikası Araçları, kubernetes ağ politikası karşılaştırması, calico vs cilium performansı, güvenlik için en iyi cni, Kubernetes ağ güvenliği, CNI karşılaştırması 2026, ağ politikası uygulaması, eBPF ağı, Kubernetes sıfır güven