| Architektur / Datenebene | Envoy-Proxy je Pod. Maximale Isolation, größte Reife. | ztunnel je Node (L4), Waypoint-Proxy nur bei Bedarf (L7). GA | Rust-Microproxy je Pod; native Sidecars GA seit 2.20. | eBPF im Kernel (L3/L4), Envoy je Node (L7). CNI und Mesh in einem. |
| mTLS & Zero-Trust | mTLS STRICT mit Workload-Identitäten; Referenz für Zero-Trust-Nachweise. | mTLS im ztunnel, STRICT ab Tag eins, ohne Sidecar. GA | mTLS by default; seit 2.19 mit Post-Quantum-Krypto. | Transparente Verschlüsselung (WireGuard/IPsec), Strict-Mode seit 1.19; sidecarloses mTLS via ztunnel Beta. |
| L7-Traffic-Management | Volle Envoy-Tiefe: Routing, Retries, Timeouts, Mirroring, Fault Injection. | Gleiches Feature-Set, sobald ein Waypoint gesetzt ist. | Solide Kernfunktionen; bewusst weniger Feature-Tiefe als Envoy. | Basis-L7 über den Node-Envoy; weniger granular pro Workload. |
| Autorisierung (feingranular) | AuthorizationPolicies bis auf Methode, Pfad und JWT-Claim; Default-Deny etabliert. | L4-Policies im ztunnel; L7-Policies brauchen einen Waypoint. | Policies auf Service- und Routen-Ebene; weniger ausdrucksstark. | Netzwerk-Policies inklusive L7 (HTTP, Kafka, DNS); stark, aber netzwerkzentriert. |
| Multi-Cluster | Ausgereift: Multi-Primary und Primary-Remote in Produktion bewährt. | Multi-Network-Multicluster erst seit März 2026 Beta. | Gateway-basiertes Service-Mirroring; gut für einfache Topologien. | ClusterMesh verbindet Cluster-Netze; Mesh-Feature-Tiefe begrenzt. |
| Observability | Metriken, Traces und Access Logs je Workload; Kiali-Integration. | L4-Telemetrie im ztunnel; L7-Telemetrie mit Waypoint. | Goldene Metriken out of the box; schlankes eigenes Dashboard. | Hubble: Flow-Sichtbarkeit vom Paket bis L7. |
| Ressourcen-Overhead | Am höchsten: ein Proxy je Pod skaliert mit der Pod-Zahl. | Deutlich reduziert; L7-Kosten nur dort, wo Waypoints laufen. | Sehr schlanker Proxy; Control-Plane-RAM in 2.20 um 85 % gesenkt. | Gering: Datenpfad im Kernel, Envoy nur je Node. |
| Betriebsaufwand | Hoch: Injection, Proxy-Lifecycle und Upgrades je Workload. | Spürbar gesenkt; dafür ein neues Betriebsmodell zu lernen. | Bewusst einfach; die geringste Lernkurve im Feld. | Mit dem CNI verschmolzen; verlangt Kernel- und eBPF-Know-how (Kernel 5.10+, ideal 6.1+). |
| Lizenz- / Vendor-Situation | Apache 2.0, CNCF-Projekt, breite Anbieter-Basis. | Wie Sidecar: Apache 2.0, CNCF-Projekt. | Code Apache 2.0; Stable-Releases seit Feb. 2024 nur über Buoyant (gratis unter 50 Mitarbeitenden). | Apache 2.0, CNCF-Projekt; Isovalent gehört seit 2024 zu Cisco. |
| Compliance-Eignung (BSI APP.4.4, NIS2, DORA) | Referenzprofil: mTLS STRICT plus Default-Deny, auditierbar bis L7. | Gleichwertig, sofern L7-Kontrollen über Waypoints abgedeckt sind. | mTLS-Nachweis solide; feingranulare L7-Autorisierung begrenzt. | Starke Netztrennung; Verschlüsselungs-Nachweis je nach Modus verschieden. |
| Gateway-API- / GAMMA-Support | Gateway API seit Istio 1.22 für Ingress und Mesh (GAMMA). | Durchgängig; Waypoints werden über Gateway-Resources konfiguriert. | Routing wird über Gateway-API-Typen (HTTPRoute) konfiguriert. | Gateway API für Ingress; Mesh-Routing folgt dem eigenen Policy-Modell. |