作者:望宸
01 背景
Kubernetes 贡献者社区发布了一篇 blog(Ingress NGINX Retirement: What You Need to Know),Kubernetes SIG Network 和安全响应委员会宣布 Ingress NGINX 退役,公告核心内容包括:
- Ingress NGINX 尽力维护服务至 2026 年 3 月
- 不再发布任何新版本
- 不再修复任何漏洞
- 也不会更新任何可能发现的安全漏洞
- GitHub 代码库将设置为只读,仅供参考
- 现有的 Ingress NGINX 部署将继续运行,安装文件也将继续可用
02 最新
北京时间 1 月 30 日,Kubernetes 指导委员会和安全响应委员会在 kubernetes.io 再次发出公告《Ingress NGINX: Statement from the Kubernetes Steering and Security Response Committees》,并通过 CNCF 官方微信公众号发布中文版公告。
英文版公告地址:https://kubernetes.io/blog/2026/01/29/ingress-nginx-statement/
中文版公告原文:
2026 年 3 月,Kubernetes 将停止支持 Ingress NGINX,这个关键组件目前约有一半的云原生环境在使用。项目停止支持的消息已提前多年公开提醒,因项目急需贡献者和维护者。项目停止后,将不再发布任何漏洞修复、安全补丁或其他更新。这个问题不能被忽视、推脱或拖到最后一分钟才处理。我们不得不强调事态的严重性,以及立即开始迁移到 Gateway API 或其他第三方 Ingress 控制器等替代方案的重要性。
明确说明:在 Ingress NGINX 停止支持后继续使用,将使你和你的用户面临安全攻击风险。现有替代方案都不是直接替换品,迁移需要时间和工程资源。大约一半的用户会受到影响。你只有两个月的准备时间。
现有部署会继续运行,除非主动检查,否则可能在被攻击后才发现受影响。大部分情况下,可以通过集群管理员权限执行以下命令检查是否依赖 Ingress NGINX:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
尽管 Ingress NGINX 广受欢迎,被各种规模的公司广泛使用,且维护者多次呼吁帮助,但项目一直缺乏足够的贡献者。根据 Datadog 内部研究,约 50% 的云原生环境依赖此工具,但近几年仅由一两名维护者业余时间维护。缺乏足够人员保障工具安全,最负责任的选择是逐步停止维护,转向 Gateway API 等现代方案。
我们做出这个决定并非轻率。虽然现在看来不便,但为了所有用户和整个生态系统的安全,这是必要的。不幸的是,Ingress NGINX 设计时的灵活性曾是一大优势,但现在成了难以解决的负担。技术债务积累和设计缺陷导致安全隐患不断,哪怕有资源也难以继续维护。
我们联合发布此声明,强调这一变化的规模及忽视问题带来的严重风险。请务必立即检查你的集群。如果依赖 Ingress NGINX,必须尽快开始迁移计划。
感谢大家,
Kubernetes 指导委员会
Kubernetes 安全响应委员会
03 积极扩散
考虑到 Kubernetes 官方这则公告可能无法通知到所有正在使用 Ingress NGINX 的用户,Higress 团队正努力发挥作用,通过 Higress 开源社区和阿里云客户服务和体验团队的资源,进行积极扩散。
- Ingress NGINX 到 Higress 企业版(API 网关)的迁移方案和服务支持(推荐):
https://help.aliyun.com/zh/api-gateway/cloud-native-api-gateway/user-guide/migrating-from-nginx-ingress-to-cloud-native-api-gateway - 服务钉群:88010006189
- Ingress NGINX 到 Higress 的开源迁移说明:https://higress.cn/docs/latest/user/annotation/
- 服务钉群:158095003582
