原文作者:Micheál Kingston - F5 NGINX 解决方案架构师
原文链接:F5 NGINX Ingress Controller 5.3.0 新增功能
转载来源:NGINX 中文官网
NGINX 唯一中文官方社区 ,尽在 nginx.org.cn
F5 NGINX Ingress Controller 5.3.0 正值关键时刻发布。随着 Kubernetes 社区在 2025 年 KubeCon North America 大会上宣布社区维护的 ingress-nginx 项目将于 2026 年 3 月停用,全球用户纷纷重新思考其 ingress 战略。对于那些寻求熟悉的、生产级开源替代方案的用户来说,F5 NGINX Ingress Controller 提供了由 NGINX 团队维护的解决方案。此版本专注于改进现有功能、交付关键的客户请求功能,并使从 ingress-nginx 的迁移比以往任何时候都更容易。
在此版本中,我们重点关注:
• 为从 ingress-nginx 迁移的用户提供兼容性 annotation 的迁移支持
• 通过对大多数缓存指令的生产级 CRD 支持来扩展缓存功能
• 支持 VirtualServer 资源的跨命名空间路由,简化多租户操作
• OpenID Connect 改进,包括令牌超时、前端通道注销和身份提供者的 TLS 验证
这些更新使平台团队、安全工程师和开发人员更容易使用 NGINX Ingress Controller 和 NGINX Gateway Fabric 构建稳健的、长期的 Ingress 策略。我们基于 Gateway API 的实现,使用 NGINX 作为数据平面。
ingress-nginx 的迁移支持
我们添加了对几个常用的 ingress-nginx annotation 的支持,以帮助用户迁移到官方 F5 NGINX Ingress Controller,未来版本中将推出更多兼容性功能。
支持的annotation:
• nginx.org/client-body-buffer-size 对应 nginx.ingress.kubernetes.io/client-body-buffer-size(设置客户端请求体缓冲区的最大大小)。也可在 VirtualServer 和 ConfigMap 中使用。
• nginx.org/rewrite-target对应nginx.ingress.kubernetes.io/rewrite-target(为 URI 重写设置替换路径)
• nginx.org/ssl-ciphers 对应nginx.ingress.kubernetes.io/ssl-ciphers(配置启用的 TLS 密码套件)
• nginx.org/ssl-prefer-server-cipher 对应nginx.ingress.kubernetes.io/ssl-prefer-server-ciphers(在 TLS 握手期间控制服务器端密码偏好)
为什么这很重要:这些兼容性 annotation 减少了迁移摩擦,允许团队逐步过渡,而不必一次性重写所有 Ingress 配置。
谁会受益:
• 计划在 2026 年 3 月之前从 ingress-nginx 迁移的团队
• 评估长期 ingress 策略的组织
• 在过渡期间维护向后兼容的平台工程师
扩展的 NGINX Cache CRD
基于来自客户和开源用户的强烈反馈,我们已扩展缓存策略以支持更多可配置参数,从而使 F5 NGINX Ingress Controller 实现强大的、生产级缓存。此扩展将企业级缓存控制直接引入到您的 Kubernetes 配置中。
为什么这很重要: 完整的缓存支持有助于减少后端负载、改进响应时间,并使团队能够对缓存行为进行精细控制,而无需管理独立的基础设施或复杂的 ConfigMaps。
谁会受益:
• 大规模优化应用性能的平台团队
• 管理高流量服务并有严格延迟需求的 SRE
• 希望受益于边缘缓存的 API 开发人员
VirtualServer 的跨命名空间支持
您现在可以直接从 VirtualServer 引用不同 Kubernetes 命名空间中的上游服务。这简化了多租户操作,并减少了以前在 VirtualServer 和 VirtualServerRoute resource 之间所需的耦合和维护开销。
为什么这很重要:跨命名空间路由消除了重复路由定义的需要,并减少了跨团队的配置偏差。它使共享基础设施模式在不牺牲命名空间隔离的情况下变得可行。
谁会受益:
• 管理共享 ingress 基础设施的平台工程师
• 运行多租户 Kubernetes 集群的团队
• 在命名空间之间整合微服务的组织
OpenID Connect 增强
此版本增加了若干 OIDC 策略增强:通过 ConfigMap 可配置的令牌超时、前端通道登出支持以及身份提供者连接的 SSL 验证控制。此外,您现在可以为 JWKS URI 端点配置 SSL 验证。
为什么这很重要: 这些控制使团队能够针对其具体身份提供者和合规要求来调整认证行为,而 TLS 验证确保与身份提供者的安全通信。
谁会受益:
• 实施零信任架构的安全团队
• 与企业身份提供者集成的开发人员
• 排查身份验证配置问题的运维工程师
其他值得注意的增强
• 升级至 NGINX Open Source 1.29.3、NGINX Plus R36、NGINX Agent 3.5 和 F5 WAF for NGINX 5.10.0
• 稳定性改进:添加了启动逻辑以清理未被正确删除的陈旧 .sock 文件,改进了意外终止后的恢复(感谢我们 NGINX 社区的 @sigv 的建议)
总结
F5 NGINX Ingress Controller 5.3.0 继续践行我们的承诺------让安全、高性能的 Ingress 管理变得更简单。无论您是在扩展缓存功能、简化多租户路由,还是计划从 ingress-nginx 迁移,此版本都提供了在日常运维中能用到的实用工具。
对于正在评估未来方向的客户,F5 通过 NGINX Ingress Controller(NIC)和 NGINX Gateway Fabric(NGF)提供了优秀的选择以实现完整的 Gateway API 部署。我们很高兴能帮助客户构建强大且可持续的 Ingress 策略。