在入口 NGINX 退役后,您的迁移计划对生产环境应尽的责任

发布日期:2026-07-11 10:03:29   浏览量 :4
发布日期:2026-07-11 10:03:29  
4

控制器的状态

截至 2026 年 3 月,Kubernetes SIG Network(网络特别兴趣小组)停止维护 ingress-nginx。这是许多集群多年来一直运行的控制器。云原生计算基金会(CNCF)于 7 月 9 日发布的一篇博客文章向运维人员介绍了当前局势。对于仍在使用该控制器的人来说,标题言简意赅:存在未修补的通用漏洞披露(CVE),且不再进行新功能开发。

该文章明确指出了两项运维风险。新的安全问题将不会获得上游修复。功能更新和社区支持已停止。如果您的入口平面是您有一段时间未触及的基础设施,那么这就是在本季度的规划文档中重新审视它的原因。

凌晨三点的含义

入口控制器位于互联网和您的服务之间。当它丢弃请求时,您会从用户那里得知。当它受到通用漏洞披露(CVE)影响而无人修补时,您会从扫描器或报告中得知。这两种都不是良好的发现途径。

该控制器还承载着您的工作负载所依赖的确切注解集、传输层安全协议(TLS)默认值和重写规则。退役本身不会改变您今天在生产环境中运行的版本,因此直接的爆炸半径为零。风险在于日历,而不在于寻呼机。这是一种团队通常会可靠地推迟处理的风险,直到扫描器标记出未修补的通用漏洞披露(CVE)为止。

云原生计算基金会(CNCF)提出的两条路径

该文章将这一选择描述为一个分叉点。

路径 A 是横向切换到另一个入口控制器。文章中提到的示例是 Contour,被描述为基于 Envoy 的控制器。这使您保持在入口应用程序编程接口(API)上,并且主要转移了由谁进行修补的问题。

路径 B 是现代化升级为网关应用程序编程接口(Gateway API),文章中将其描述为入口的上游支持继任者。云原生计算基金会(CNCF)的文章指向 ingress2gateway 以自动化转换过程,并建议采用增量 rollout( rollout 意为逐步推出/部署):并行运行新平面,并首先迁移非关键工作负载。

权宜之计的版本是一种混合方案。采用 Contour 以在受维护的代码上争取时间,然后按照您自己的时间表安排网关应用程序编程接口(Gateway API)的迁移,而不是在压力下被迫进行。

切换前需要验证的事项

入口注解无法在不同控制器之间干净地移植。您的服务所依赖的亲和性、超时和重写规则属于特定方言,每个控制器都有其自己的方言。将清单视为一对一进行的迁移会在携带最多注解的流量路径上产生静默回归,也就是说,会在最重要的路径上产生问题。

在翻转域名系统(DNS)或更改入口类(IngressClass)之前,需要检查的事项简短列表如下:

  • 健康检查语义。空闲超时和慢启动行为因实现而异。
  • 传输层安全协议(TLS)行为。证书重载、服务器名称指示(SNI)处理和默认密码策略均特定于控制器。
  • 重写和规范规则。尾部斜杠和路径前缀是切换后出现静默 404 错误的经典来源。

回滚路径:在新的控制器在没有引发警报的情况下稳定运行一个生产周之前,让旧控制器在不同的入口类(IngressClass)上继续在集群中运行。按类别切换,而不是按集群切换。

更广泛的格局

具体的新闻是退役。这种格局很熟悉。一个主力项目结束了其维护窗口,社区既指向了一个同等替代品,也指向了一个更长期的应用程序编程接口(API)。在这种情况下,云原生计算基金会(CNCF)的文章将网关应用程序编程接口(Gateway API)视为目的地,将 Contour 视为通往受维护平面的较短路径。提供的理由直截了当:网关应用程序编程接口(Gateway API)是入口的上游支持继任者,因此您针对它构建的任何内容在下一个控制器退出时应该仍然存在。

如果您本周什么都不做,这一切都不会改变。当下一个通用漏洞披露(CVE)落在一个 c

免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。

关于我们
热门推荐
合作伙伴
免责声明:本站部分资讯来源于网络,如有侵权请及时联系客服,我们将尽快处理
Copyright © 2025-2027 ToB产业网址导航 公安备案 浙公网安备33010602013138号 浙ICP备16025413号-9
支持 反馈 关注 数据