Kubernetes SIG Network 和安全响应委员会在 Kubecon NA 2025 上宣布,将逐步退役生态中广泛部署的 Ingress NGINX 控制器。该项目将持续提供尽力维护直至 2026 年 3 月,此后不再发布新版本、修复漏洞或提供安全更新。
这一决定对众多运行 Kubernetes 集群 的组织影响显著,因为 Ingress NGINX 多年来一直是导向工作负载网络流量的基础组件。该控制器凭借其灵活性、丰富功能及云服务商独立性,在 Kubernetes 发展早期就获得了广泛采用。
项目维护团队在公告中解释,退休主因是维护人员短缺问题已无法持续。Ingress NGINX 长期仅有一两名开发人员利用业余时间进行维护,寻找额外支持以延续项目的努力均未成功。尽管这次退役反映了成功开源软件在维护关键基础设施时面临的挑战,公告仍充分肯定了 Ingress NGINX 维护者的重大贡献,指出该控制器曾支撑全球数据中心和家庭实验室处理数十亿请求。
Ingress NGINX 的功能广度曾是其核心优势,但如今已被维护者视为难以克服的技术债务。例如通过“snippets”注解使用任意 NGINX 配置指令的功能,虽初期因灵活性受青睐,在现代云原生软件环境中却成为严重安全漏洞。
社区曾尝试开发名为 InGate 的替代控制器,但因缺乏足够关注和支持未能超越早期开发阶段,该替代方案也将同步退役。
Kubernetes 社区建议用户迁移至 Gateway API,这是 Ingress 的现代替代方案。Gateway API 专为解决 Ingress 规范的多项限制而设计,采用基于角色的架构,分离基础设施提供商、集群运维者和应用开发者的关注点。该 API 于 2023 年末达到通用可用状态,不仅支持所有 Ingress 功能,还原生支持许多原本需通过注解实现的特性。除 HTTP 和 HTTPS 外,还提供对 TCP、UDP 和 gRPC 等协议的原生支持,并具备流量拆分和基于头部匹配等高级功能,无需依赖供应商特定注解。
对于尚无法采用 Gateway API 的组织,仍可选择其他积极维护的入口控制器替代方案,包括 NGINX、Kong、Traefik、HAProxy 等厂商支持选项。这些控制器在功能集、性能特征和治理模式上各有特点。
云原生倡导者 Jimmy Song 将此次公告称为“基础设施演进的关键时刻”,并指出“当基础设施组件无法安全更新时,它们就从资产转变为负债”。他强调退役决定显示维护成本已永久超过社区贡献速度,尤其高灵活性导致攻击面扩大。Song 分析认为核心问题并非使用量下降,而是不可持续的维护动态,预计大多数用户向 Gateway API 或其他 Ingress 控制器的迁移将需要显著投入。
长期社区观察显示,多数用户将 Ingress NGINX 视为黑盒,迁移至 Gateway API 或替代控制器现已成为许多集群的隐藏迁移浪潮。他还指出,转向统一可扩展 API 已成为新兴云原生基础设施项目的典型模式。
网络技术供应商将此公告视为对 Gateway API 的验证和商业机遇。NGINX 推广其 NGINX Gateway Fabric 作为长期继承者,Kong、Traefik 等厂商则发布迁移指南,强调其商业产品在治理和策略控制方面的改进。HAProxy 也提供了迁移工具,协助用户从 Ingress NGINX 过渡至其产品。
公告博客说明,组织可通过集群管理员权限运行命令 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx 检查是否正在使用 Ingress NGINX。博客最后强调应尽快规划迁移,以保障集群的可靠性和安全性。 | 
发表于 昨天 00:07
|
查看: 3|
回复: 0
