# Kubernetes'te GitOps, Sürekli Doğrulama ve DevSecOps ile DevOps 2.0'a Geçiş > Kubernetes'te GitOps, sürekli doğrulama ve DevSecOps ile DevOps 2.0'a geçiş rehberi: araçlar, en iyi uygulamalar ve uygulanabilir adımlar (2026 güncel). **URL:** https://ekolsoft.com/tr/b/kubernetes-gitops-surekli-dogrulama-devsecops-devops-2-0 --- 2026 itibarıyla Kubernetes tabanlı platformlar, kuruluşların yazılım teslim süreçlerini güvenli, tekrarlanabilir ve ölçeklenebilir hale getirmek için merkezi rol oynuyor. DevOps'tan DevOps 2.0'a geçiş, sadece otomasyon değil; güvenlik ve doğrulamanın yaşam döngüsüne yerleştirilmesi, sürekli doğrulama (continuous verification), politika-as-code, ve git merkezli (GitOps) operasyon paradigmalarının birleşimini gerektiriyor. Bu yazıda Kubernetes ortamında GitOps, Sürekli Doğrulama ve DevSecOps uygulamalarıyla nasıl DevOps 2.0'a geçebileceğinizi adım adım ele alacağız. ## Neden DevOps 2.0? DevOps 2.0 terimi, hızlı dağıtım hedeflerinin ötesine geçer: güvenliğin, tedarik zinciri şeffaflığının ve sürekli doğrulamanın varsayılan olduğu bir model önerir. 2024-2026 döneminde ortaya çıkan tehditler ve tedarik zinciri odaklı düzenlemeler (ör. SLSA tavsiyeleri, daha sık SBOM talepleri) kuruluşları bu dönüşümü hızlandırmaya itti. DevOps 2.0'da amaçlar şu şekildedir: - Kaynakların deklaratif ve tek bir kaynaktan (Git) yönetilmesi (GitOps). - Dağıtılan sistemlerde sürekli doğrulama ve SLO/observability temelli kararlar. - Güvenli yazılım tedarik zinciri: koddan üretime kadar imzalama, izlenebilirlik, SBOM ve politika-as-code. - Platform mühendisliği ile geliştirici deneyiminin (DevEx) iyileştirilmesi. ## GitOps: Kubernetes için Temel Yaklaşım GitOps, Kubernetes kümelerinin istenen durumunu Git'te saklayıp pull-mechanism ile kümeleri bu istenen duruma sürekli olarak eşitleyen bir yaklaşımdır. 2026'da GitOps 1.0 araçlarından evrilmiş bir hareket vardır: GitOps 2.0 odaklı platformlar, sadece manifesto uygulamakla kalmaz, aynı zamanda güvenlik, politika, ve otomatik düzeltmeyi entegre eder. ### Temel ilkeler - Git birincil kaynak (single source of truth). - Pull-tabanlı uygulama (Argo CD, Flux gibi). - İmza ve değişiklik denetimi (Sigstore, Cosign). - Otomatik reconcile ve drift tespiti. ## Sürekli Doğrulama (Continuous Verification) Sürekli doğrulama, dağıtılan uygulamaların canlı ortamda beklenen davranışı gösterip göstermediğini doğrulayan süreçleri kapsar. Bu, sadece testlerin CI'da çalıştırılması değil; izleme, observability, SLO bazlı karar mekanizmaları ve progressive delivery (canary, blue/green) ile birleşir. ### Uygulama örnekleri - SLO ve SLA temelli kararlar ile otomatik rollback (Prometheus + Alertmanager + Argo Rollouts/Flagger). - Canary ve A/B testleri, trafiğin kademeli arttırılması ve anomali tespitinde otomatik geri çekme. - Chaos engineering testleri üretimde sınırlı ve güvenli şekilde çalıştırılarak gerçek davranışın doğrulanması. ## DevSecOps: Güvenli Yazılım Yaşam Döngüsü DevSecOps, güvenliği geliştirme ve operasyonun merkezine koyar. 2026'da ön plana çıkan uygulamalar şunlardır: ### Policy-as-Code ve Kayıt Zinciri Güvenliği Policy-as-code (Kyverno, OPA) ile RBAC, kaynak kısıtları, imaj politikaları ve ağ kuralları otomatik olarak denetlenir. Buna ek olarak, Sigstore, Cosign ve Rekor gibi teknolojiler ile container imajları ve artefaktlar imzalanır; böylece tedarik zinciri şeffaflığı ve doğrulanabilirlik sağlanır. ### SBOM ve SLSA SBOM (Software Bill of Materials) üretimi ve SLSA seviyelerinin sunucu tarafında desteklenmesi, tedarik zinciri risklerini azaltır. Syft/Grype, Trivy gibi araçlarla statik taramalar ve açık kaynak bağımlılık yönetimi entegre edilir. ## Kubernetes Özelinde Teknoloji Önerileri (2026 Güncel) - GitOps Controller: Argo CD, Flux (her ikisi de GitOps için güçlü seçenekler). - CI: Tekton, GitHub Actions, GitLab CI (Tekton, Kubernetes-native pipeline için avantajlı). - Progressive Delivery: Argo Rollouts, Flagger. - Policy: Kyverno (Kubernetes-native), OPA/Gatekeeper (policy-as-code). - Supply Chain Security: Sigstore (cosign + rekor), SLSA pratikleri. - SCA ve Vulnerability Scanning: Trivy, Grype, Snyk. - SBOM: Syft, CycloneDX/SPDX formatları. - Observability: OpenTelemetry, Prometheus, Grafana, eBPF tabanlı gözlemlenebilirlik (Cilium/Hubble, eBPF araçları). - Runtime Security: Falco (eBPF destekli), OPA/Conftest, runtime policy enforcement. - Secrets: HashiCorp Vault, SealedSecrets, External Secrets. ## Adım Adım DevOps 2.0'a Geçiş Rehberi Aşağıdaki adımlar kuruluşunuzun Kubernetes ortamında DevOps 2.0 dönüşümünü planlamasına yardımcı olur: ### 1. Envanter ve hedef belirleme Kümeler, uygulamalar, bağımlılıklar ve mevcut CI/CD süreçlerini envanterleyin. Hedef SLO'lar, güvenlik hedefleri ve uyumluluk gereksinimlerini tanımlayın. ### 2. GitOps temellerini oturtun Manifestoları declarative hale getirin, environment branching stratejisini kararlaştırın (mono-repo vs multi-repo), ve bir GitOps controller kurun (Argo CD veya Flux). ### 3. Policy-as-Code ve otomatik denetim Kyverno/OPA ile kaynak seviyesinde politikalar oluşturun. CI aşamasında politikaları çalıştırarak reddetme/uyarı mekanizmalarını entegre edin. ### 4. Artefakt güvenliği ve imzalama Pipeline içinde Cosign ile imzalama, Rekor ile loglama ve SBOM üretimini zorunlu hale getirin. CI çıktılarının kim tarafından ve nasıl üretildiğini izlenebilir yapın. ### 5. Sürekli doğrulama ve progressive delivery Canary/blue-green deploy, otomatik rollback, SLO-tabanlı tetikleyiciler kurun. Observability sinyallerini (OTel, Prometheus) doğrulama kararlarına bağlayın. ### 6. Runtime güvenlik ve eBPF gözlemlenebilirliği eBPF tabanlı araçlar, ağ ve süreç davranışını düşük gecikmeyle gözlemleyip anomalileri tespit eder. Falco/Cilium gibi çözümleri entegre edin. ### 7. Süreç ve organizasyonel dönüşüm Platform takımları, SRE ve geliştiriciler arasında net sorumluluklar belirleyin. Self-service platformlar ile geliştirici deneyimini artırın. ## Başarıyı Ölçmek: KPI ve Metikler Geçişin etkisini ölçmek için şu metrikleri takip edin: Deployment frequency, Lead time for changes, Change failure rate, Mean time to recovery (MTTR), SLO uyumu, güvenlik tarama başarısızlık oranı ve SBOM üretim oranı. ## Riskler ve Uyarılar Tam otomasyonun getirdiği riskleri göz ardı etmeyin: yanlış politikalar geniş kapsamlı bloklara neden olabilir, imza anahtar yönetimi zayıfsa tedarik zinciri güvenliği tehlikeye düşer. Ayrıca, araç yığını karmaşıklığını yönetirken platform ekibi yatırımını artırmak gerekir. ## Sonuç Kubernetes üzerinde GitOps, sürekli doğrulama ve DevSecOps uygulamaları bir araya geldiğinde DevOps 2.0 hedeflerine ulaşmak mümkündür. 2026'da başarılı dönüşüm, sadece teknolojiyi değil organizasyonel kültürü, politika-as-code'ı ve sürekli doğrulamayı beraberinde getirir. Başlamak için küçük, yüksek etkili pilotlar seçin, başarıları ölçün ve platform mühendisliği ile geliştiricilere güvenli kendin-yap deneyimi sunun. Sen Ekolsoft olarak, bu dönüşüm yolculuğunda araç seçimi, politika tasarımı ve pilot uygulama süreçlerinde danışmanlık sağlıyoruz. İhtiyaç halinde özel bir değerlendirme ve yol haritası hazırlayabiliriz.