Langform · Stand: Juli 2026
Die 7 Entscheidungs-Dimensionen
Das ist die Substanz hinter dem Decision-Wizard: pro Dimension, was 2026 tatsächlich den Ausschlag gibt. Keine Feature-Matrix, sondern die Fragen, an denen Mesh-Entscheidungen in der Praxis kippen.
Warum das Thema gerade jetzt auf dem Tisch liegt: AWS App Mesh erreicht am 30.09.2026 das End of Support, Ingress NGINX ist seit dem 24.03.2026 retired (keine CVE-Fixes mehr), und der Umstieg von Sidecar auf Ambient ist offiziell und reversibel. Drei Migrations-Anlässe, ein guter Zeitpunkt für eine saubere Entscheidung.
01Cluster-Topologie und Multi-Cluster-Reife
Mit einem produktiven Cluster ist ein Mesh optional. Mit einer Cluster-Flotte wird es zur Architektur-Frage: gemeinsame Trust-Domain oder getrennte, Zertifikats-Rotation über Cluster-Grenzen, Failover-Verhalten, East-West-Gateways. Diese Entscheidungen lassen sich nachträglich nur teuer korrigieren.
Zur Reife, Stand Juli 2026: Istio hat den ausgereiftesten Multi-Cluster-Pfad im Sidecar-Modus; für den Ambient-Modus ist Multi-Network-Multicluster seit der KubeCon EU im März 2026 Beta. Wer heute sidecarlos UND Multi-Cluster braucht, plant diesen Reifegrad explizit ein. Linkerd bietet Multi-Cluster über Service-Mirroring, bewusst einfacher gehalten. Cilium koppelt Cluster über Cluster Mesh auf Netzwerk-Ebene, was ein anderes Problem löst als Mesh-Föderation auf Service-Ebene.
Faustregel: Mehr als 5 produktive Cluster heißt Architektur-Review vor Tool-Wahl, nicht danach.
02Multi-Tenancy und Mandantentrennung
Sobald sich mehrere Teams oder gar externe Mandanten einen Cluster teilen, ist Namespace-Trennung allein kein Sicherheitskonzept. Dann zählt, ob jede Workload eine kryptografische Identität hat und ob sich Autorisierung feingranular und zentral durchsetzen lässt: Wer darf mit wem, auf welchem Pfad, mit welcher Methode.
Genau hier liegt die Feature-Tiefe von Istio: AuthorizationPolicies bis auf Methoden- und Pfad-Ebene, Default-Deny als Basis-Haltung, Identitäten pro Service-Account. Linkerd autorisiert gröber, Cilium argumentiert über Netzwerk-Policies plus per-Node-L7. Für wenige interne Teams reicht das oft; für viele oder externe Mandanten ist das Policy-Design die eigentliche Arbeit und Istio das passende Werkzeug.
Faustregel: Externe Mandanten im Cluster machen das AuthorizationPolicy-Design zur Chefsache.
03Regulatorik und Compliance
Der stärkste Treiber im DACH-Markt: DORA gilt seit dem 17.01.2025 für den Finanzsektor, und mit der deutschen NIS2-Umsetzung ist der Kreis der Unternehmen mit harten Nachweispflichten nochmals deutlich gewachsen. Für Kubernetes konkretisiert der BSI IT-Grundschutz-Baustein APP.4.4 die Erwartung: Netz-Trennung und Namespace-Whitelisting. Die etablierte technische Umsetzung dafür ist NetworkPolicies plus Service Mesh mit mTLS STRICT und Default-Deny-AuthorizationPolicies.
Der unterschätzte Punkt: Auditoren wollen keine Architektur-Folien, sondern laufende Nachweise. Ein Mesh, das mTLS-Status und Policy-Entscheidungen kontinuierlich belegt, verwandelt die Zero-Trust-Behauptung in ein Audit-Asset. Das ist ein reales Kaufmotiv, kein Marketing-Satz.
Faustregel: NIS2, DORA, KRITIS oder BaFin im Spiel heißt mTLS STRICT plus Default-Deny als Zielbild, und damit fast immer Istio.
04mTLS, Nachweisbarkeit und der Overhead-Faktor
Dienst-zu-Dienst-Verschlüsselung können 2026 alle drei Kandidaten. Die Unterschiede liegen im Wie und im Preis. Klassisches Sidecar-Istio bezahlt mit einem Envoy-Proxy pro Pod: Speicher, CPU und eine zusätzliche Latenz-Station auf jedem Hop. Istio Ambient (GA seit Istio 1.24, die Empfehlung für Neu-Deployments) verschiebt mTLS in einen ztunnel pro Node; der Sidecar-Modus bleibt unbefristet supported, die Migration ist offiziell und reversibel. Linkerd nutzt einen bewusst schlanken Rust-Micro-Proxy, seit 2.19 inklusive Post-Quantum-Krypto. Cilium verschlüsselt auf L3/L4 per WireGuard oder IPsec direkt im Kernel-Pfad, seit 1.19 mit Strict-Encryption-Mode und eigener ztunnel-Variante für sidecarloses mTLS (Beta).
Für die Entscheidung zählt weniger der Benchmark als die Nachweisbarkeit: Ist mTLS Pflicht, muss die Lösung Identitäten und Verschlüsselungsstatus belegen können. Ist mTLS nur „gewünscht", darf der Overhead die Wahl dominieren.
Faustregel: mTLS als Pflicht verlangt Nachweisbarkeit auf Workload-Ebene; mTLS als Wunsch erlaubt die leichtgewichtigste Lösung.
05L7-Steuerung und der Lock-in-Schutz Gateway API
Canary-Releases, Traffic-Shifting, Retries, feingranulare Autorisierung zwischen Services: Das ist der klassische Mesh-Mehrwert oberhalb von Transportverschlüsselung. Je zentraler dieser Bedarf (Plattform-Feature statt Einzelfall), desto mehr spricht für Istio, das hier die größte Tiefe bietet; Istio 1.30 bringt mit der TrafficExtension API zudem den Nachfolger der WasmPlugin-Erweiterungen.
Gegen die Angst vor dem falschen Pferd hilft ein Standard: Die Gateway API ist mit der GAMMA-Initiative seit v1.1.0 auch für Mesh-Traffic GA im Standard Channel; aktuell sind mit v1.6.0 auch TCPRoute und UDPRoute GA. Istio unterstützt die Gateway API seit 1.22. Wer Routing-Intentionen als Gateway-API-Ressourcen formuliert statt in proprietären CRDs, hält sich den Mesh-Wechsel offen und entschärft die Vendor-Frage aus Dimension 07.
Faustregel: L7-Bedarf entscheidet über die Feature-Tiefe; Gateway-API-Konformität entscheidet darüber, wie teuer ein Irrtum wird.
06CNI, Kernel und Plattform-Anforderungen
Läuft Cilium bereits als CNI (als solches de-facto Standard), verschiebt sich die Rechnung: mTLS auf L4 und Basis-L7 über den per-Node-Envoy kommen dann aus einer Komponente, die ohnehin betrieben wird. Der Preis sind Plattform-Anforderungen: Kernel 5.10 oder neuer, ideal 6.1+, und die Bereitschaft, Beta-Funktionen (ztunnel) realistisch zu bewerten. Auf gemanagten oder gehärteten Plattformen ist der Kernel-Stand keine Formalie, sondern ein Prüfpunkt.
Auch das Kubernetes-Umfeld selbst setzt Termine: Supported sind aktuell 1.34 bis 1.36 (Kubernetes 1.36 brachte im April 2026 unter anderem User Namespaces GA), und das Retirement von Ingress NGINX im März 2026 zwingt viele Plattformen ohnehin zur Migration Richtung Gateway API. Wer diese Migration plant, sollte die Mesh-Frage im selben Zug beantworten statt zwei Umbauten nacheinander zu bezahlen.
Faustregel: Erst Plattform-Realität prüfen (CNI, Kernel, Distribution), dann Mesh-Featurelisten lesen.
07Team-Tiefe, Betriebsmodell und Vendor-Risiko
Jedes Mesh will betrieben werden: Upgrades im Takt der Supportfenster (Istio supportet zwei Minor-Releases parallel, aktuell 1.30 und 1.29), Policy-Pflege, Incident-Verantwortung. Ein dediziertes Senior-Team kann Istio tragen. Ein kleines Team fährt mit Linkerd oder Cilium oft ehrlicher; Linkerd 2.20 hat den Control-Plane-Speicherbedarf nochmals um 85 Prozent gesenkt und macht native Sidecars GA. Kein Platform-Team heißt: erst Ownership klären, dann Mesh.
Dazu kommt die Vendor-Landschaft, die sich seit 2024 spürbar konsolidiert hat: Linkerd bleibt vollständig Apache-2.0, aber stabile Release-Artefakte gibt es seit Februar 2024 nur über Buoyant Enterprise (kostenlos nur für Unternehmen unter 50 Mitarbeitenden); für den Enterprise-Einsatz gehört diese Vendor-Beziehung in die Kalkulation. Isovalent (Cilium) gehört seit 2024 zu Cisco. HashiCorp (Consul) ist seit Februar 2025 Teil von IBM. Istio liegt als CNCF-Projekt breiter verteilt, mit mehreren kommerziellen Anbietern dahinter. Konsolidierung ist kein Ausschlusskriterium, aber ein Argument mehr für Standard-Schnittstellen (Dimension 05) statt proprietärer Tiefe.
Faustregel: Wähle das Mesh nach dem Team, das du hast, nicht nach dem Team, das du im Zielbild hättest.
Und jetzt?
Die 7 Dimensionen sind genau die Fragen des Wizards. Zwei Minuten, eine begründete Empfehlung, inklusive Gegenanzeigen: Zur Entscheidung in 7 Fragen. Für die Detail-Duelle der Kandidaten lohnt der Blick auf die Schwester-Domain service-mesh-vergleich.de.
Quellen
- istio.io: Releases und Support-Status (Istio 1.30, Supportfenster)
- istio.io: Ambient Mode erreicht GA
- istio.io: Dataplane Modes (Sidecar und Ambient)
- istio.io: Ambient Multi-Network-Multicluster Beta
- cncf.io: Announcements zur KubeCon EU 2026
- linkerd.io: Releases (Linkerd 2.19 und 2.20)
- buoyant.io: Klarstellung zu stabilen Linkerd-Artefakten
- isovalent.com: Blog zu Cilium 1.19
- github.com/cilium/cilium
- gateway-api.sigs.k8s.io: Mesh-Support (GAMMA)
- kubernetes.io: Releases und kubernetes.io: Blog (Ingress-NGINX-Retirement)
- aws.amazon.com: Containers-Blog und docs.aws.amazon.com: App Mesh (End of Support 30.09.2026)
- newsroom.ibm.com (IBM übernimmt HashiCorp)
- bsi.bund.de: IT-Grundschutz-Baustein APP.4.4 (Kubernetes)
Inhalte zuletzt geprüft: Juli 2026 · Diese Seite wird quartalsweise aktualisiert. Versions- und Statusangaben (GA, Beta, EOL) gelten für diesen Stand.