官方公告:Ingress NGINX因安全优先及维护挑战将于2026年3月退役。现有部署仍可用,但不再更新。建议迁移至Gateway API或其他Ingress控制器
1、还能继续用吗
现有的 Ingress NGINX Deployment 将继续运行,并且安装工件仍将可用
建议迁移到替代方案之一。考虑迁移到 Gateway API, 这是 Ingress 的现代替代品。如果你必须继续使用 Ingress,许多替代的 Ingress 控制器已在 Kubernetes 文档中列出,请查看官方文档:
https://kubernetes.io/zh-cn/docs/concepts/services-networking/ingress-controllers/
2、为什么需要替换?
2.1、Ingress NGINX 的广度和灵活性带来了维护挑战。对云原生软件不断变化的期望也增加了复杂性。曾经被认为是"有用"的选项有时却被视为严重的安全缺陷,例如通过"snippets"注解添加任意 NGINX 配置指令的能力。昨天的灵活性已成为今天无法克服的技术债务。
2.2、尽管该项目在用户中非常受欢迎,但 Ingress NGINX 一直存在一个问题,就是维护者很少、勉强应付。 多年来,项目仅有的一到两个人在其业余时间、下班后和周末进行开发工作。
2.3、2024--2025 年,Kubernetes 官方与 CNCF 明确:Gateway API 是下一代流量管理标准,将逐步取代 Ingress 成为默认推荐方式,Kubernetes 的新方向Gateway API,行业趋势已经不再是 "Ingress + NGINX",而是标准化的 Gateway API。
3、什么是 Gateway API?
Gateway API 是 Kubernetes SIG-Network 推出的新一代流量治理标准。
https://kubernetes.io/zh-cn/docs/concepts/services-networking/gateway/
3.1、它不是一个控制器,而是一套标准 API(CRD):
控制器厂商(如 Envoy、Traefik、Istio、Kong)可以实现这套 API。
3.2、Gateway API 主要提供以下能力:
多协议支持:HTTP、HTTPS、gRPC、TCP、UDP、TLS
更丰富的路由表达式
多 listener、多端口、跨命名空间引用
运维与开发分离
可扩展策略(HTTPRouteFilter、Policy Attachment)
统一的条件与状态反馈
3.3
架构设计
4、与ingress对比
功能特性对比:
| 特性 | ingress | gateway api |
|---|---|---|
| API 版本 | networking.k8s.io/v1 | gateway.networking.k8s.io/v1 |
| 设计理念 | 单一资源,功能集中 | 模块化,职责分离 |
| 扩展性 | 有限,通过 Annotation | 强,通过 CRD 扩展 |
| 多租户 | 弱 | 强(命名空间隔离) |
| 流量拆分 | 需要 Annotation | 原生支持(权重路由) |
| 跨命名空间 | 有限支持 | 完善支持 |
| 服务网格集成 | 有限 | 原生支持 |
| 支持协议 | 仅 HTTP/HTTPS | HTTP、HTTPS、TCP、UDP、gRPC、TLS |
| 资源模型 | IngressClass、Ingress | GatewayClass、Gateway、xRoute 多资源模型 |
| 权限与分权 | 不支持 | 完整支持 Ops(Gateway)与 Dev(Route)分离 |
核心结论:
Ingress 是简陋的 1.0 版本,而 Gateway API 是可扩展的现代化网关规范
5、常见的 Gateway API 控制平面实现:
| 实现方式 | 特点 | 优点 | 缺点 | 社区支持 | 支持社区/组织 | K8s 社区支持 |
|---|---|---|---|---|---|---|
| NGINX | 基于反向代理,提供负载均衡和流量转发,适用于高流量环境。 | - 性能高,响应快 - 配置简单 - 支持多种协议(如 HTTP、HTTPS、WebSocket) - 强大的负载均衡支持 | - 缺乏API管理和监控功能 - 动态路由控制较弱 | 是 | NGINX(官方社区)) | 否 |
| Kong | 基于 NGINX,支持插件架构,提供身份验证、流量限制、日志记录等功能。 | - 插件丰富,可扩展性强 - 提供控制台和RESTful API管理 - 社区支持强 - 强大的路由和负载均衡功能 | - 配置较复杂 - 插件自定义可能需要较高的学习成本 | 是 | Kong Inc. (商业支持) Kong社区(开源支持) | 否 |
| Istio | 服务网格,支持微服务间流量管理,提供安全、熔断、流量镜像等高级功能,适用于 Kubernetes 环境。 | - 强大的流量控制和安全功能 - 支持微服务间复杂的通信管理 - 与 Kubernetes 集成好 - 集成控制平面和数据平面 | - 部署和维护复杂 - 性能开销较大,不适合小型应用 | 是 | Istio社区(CNCF支持) | 是 |
| Ambassador | 基于 Envoy,深度集成 Kubernetes,自动发现服务并动态路由。 | - 与 Kubernetes 深度集成 - 自动服务发现 - 灵活的流量控制和版本管理 - 支持 A/B 测试、金丝雀发布等高级流量管理策略 | - 仅适用于 Kubernetes 环境 - 性能开销较大,适合中大型部署 | 是 | Ambassador Labs (商业支持) Envoy社区(开源支持) | 是 |
| Apache APISIX | 开源 API 网关,支持多种协议、插件,具有高性能、可扩展性强的特点,适合企业级应用。 | - 开源、灵活 - 丰富的插件系统 - 高性能,支持高并发 - 提供 API 路由、流量控制、认证等功能 | - 部署配置相对复杂 - 社区活跃度较 Kong 和 Istio 稍弱 | 是 | Apache APISIX社区(Apache 项目) | 否 |
5.1Kubernetes 社区支持的 API Gateway:
Istio:Istio 是 Kubernetes 官方支持的服务网格,提供全面的流量管理、安全性控制、熔断、重试等功能,并深度与 Kubernetes 集成。
Ambassador:Ambassador 是一个基于 Envoy 的 API Gateway,专门为 Kubernetes 环境设计,自动服务发现、流量控制和版本管理功能都非常强大,得到了 Kubernetes 社区的广泛支持。
5.2选型决策矩阵
根据您的需求,我将内容整理为清晰的表格形式,并保留原有结构与符号:
| 优先级 | NGINX / HAProxy | Kong Gateway | Istio | Ambassador | Apache APISIX |
|---|---|---|---|---|---|
| 高性能需求 | ✅ 推荐 | ✅ 推荐 | 🔵 适合中大型 | 🔵 适合中大型 | 🔵 强烈推荐 |
| Gateway API 支持 | ❌ 不支持 | ✅ 支持 | 🔵 原生支持 | ✅ 原生支持 | 🔵 开发中 |
| 企业级支持 | ✅ 社区成熟 | 🔵 商业支持 | ✅ CNCF 项目 | 🔵 商业支持 | ✅ Apache 项目 |
| 部署简易性 | ✅ 简单 | 🔵 中等 | 🔵 较复杂 | ✅ 简单 | ✅ 简单 |
| 插件生态 | 🔵 有限 | 🔵 丰富 | 🔵 内置丰富 | 🔵 基于 Envoy(CNCF 项目) | 🔵 丰富 |
| 社区活跃度 | ✅ 非常高 | ✅ 活跃 | ✅ 非常活跃 | ✅ 活跃 | 🔵 快速发展 |
| K8s 原生集成 | ❌ 较弱 | ✅ 支持 | 🔵 原生集成 | 🔵 深度集成 | ✅ 支持 |
5.3总体建议:
追求性能优先选择 Apache APISIX
企业级应用选择 Kong Gateway
标准化需求选择 Envoy Gateway
现有 NGINX 用户可考虑 NGINX Gateway Fabric 作为过渡方案
结论
Kubernetes 流量网关正从早期的单协议 Ingress(以 NGINX 为代表)演进到支持多协议、可扩展的现代 Gateway API 解决方案。新一代网关(如 Kong、APISIX、Envoy Gateway)更注重性能优化、协议覆盖、认证插件和标准 API 的支持。随着 Gateway API 的普及和项目生态的完善,未来云原生流量网关将更加强调多协议支持、自动化控制面、内置安全和可观测性。