背景
Kubernetes 贡献者社区发布公告,Kubernetes SIG Network 和安全响应委员会宣布 Ingress NGINX 即将退役,公告核心内容包括:
- Ingress NGINX 尽力维护服务至 2026 年 3 月
- 不再发布任何新版本
- 不再修复任何漏洞
- 也不会更新任何可能发现的安全漏洞
- GitHub 代码库将设置为只读,仅供参考
- 现有的 Ingress NGINX 部署将继续运行,安装文件也将继续可用
官方最新公告
北京时间 1 月 30 日,Kubernetes 指导委员会和安全响应委员会在 kubernetes.io 再次发布联合声明,并通过 CNCF 官方渠道发布了中文版,措辞更为严厉和紧急。
英文版公告地址:https://kubernetes.io/blog/2026/01/29/ingress-nginx-statement/
中文版公告核心内容摘要:
2026 年 3 月,Kubernetes 将停止支持 Ingress NGINX,这个关键组件目前约有一半的云原生环境在使用。项目停止后,将不再发布任何漏洞修复、安全补丁或其他更新。
这个问题不能被忽视、推脱或拖到最后一分钟才处理。我们不得不强调事态的严重性,以及立即开始迁移到 Gateway API 或其他第三方 Ingress 控制器等替代方案的重要性。
明确说明:在 Ingress NGINX 停止支持后继续使用,将使你和你的用户面临安全攻击风险。现有替代方案都不是直接替换品,迁移需要时间和工程资源。大约一半的用户会受到影响。你只有两个月的准备时间。
现有部署会继续运行,除非主动检查,否则可能在被攻击后才发现受影响。大部分情况下,可以通过集群管理员权限执行以下命令检查是否依赖 Ingress NGINX:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
尽管 Ingress NGINX 广受欢迎,但项目一直缺乏足够的贡献者。根据内部研究,约 50% 的云原生环境依赖此工具,但近几年仅由极少数维护者利用业余时间维护。缺乏足够人员保障工具安全,最负责任的选择是逐步停止维护,转向 Gateway API 等现代方案。
公告强调,做出这个决定并非轻率。虽然现在看来不便,但为了所有用户和整个生态系统的安全,这是必要的。技术债务积累和设计缺陷导致安全隐患不断,使得项目难以持续。
社区与替代方案扩散
考虑到这则重要公告可能无法触达所有受影响的用户,一些社区和厂商正在积极行动,帮助用户进行迁移计划。例如,Higress 团队就通过其开源社区提供迁移指引。
总结
Kubernetes 官方的两次连续公告,尤其是指导委员会和安全委员会的联合声明,已经将 Ingress NGINX 退役事件的严重性提到了最高级别。这不再是未来的一个可选升级,而是关乎生产环境安全的紧急运维动作。
对于所有 Kubernetes 集群管理员和开发者而言,立即使用提供的命令检查集群依赖,并评估 Gateway API 或其他成熟的第三方 Ingress 控制器(如 Nginx Ingress Controller 的其他发行版、Traefik、HAProxy Ingress 等)作为迁移目标,是当前的首要任务。拖延不仅会增加未来的迁移成本,更会将系统置于安全风险之中。你可以在 云栈社区 的云原生板块找到更多关于替代方案和迁移实践的讨论。 | 
发表于 昨天 07:08
|
查看: 1|
回复: 0
