«Дверь» в Kubernetes захлопывается навсегда: сообщество отключает Ingress NGINX — тысячи сервисов останутся без обновлений

Kubernetes Ingress NGINX HTTP обновления серверы архитектура
«Дверь» в Kubernetes захлопывается навсегда: сообщество отключает Ingress NGINX — тысячи сервисов останутся без обновлений
Kubernetes Ingress NGINX HTTP обновления серверы архитектура

Проект уходит в архив после серии опасных уязвимостей.

image

Сообщество Kubernetes приняло решение окончательно закрыть один из самых заметных проектов экосистемы — Ingress NGINX. Работы над ним будут постепенно свёрнуты, а к марту 2026 года проект официально уйдёт на покой. Это значит, что популярный контроллер перестанет получать обновления, а пользователям придётся искать замену или строить собственные защитные механизмы.

Ingress NGINX долгое время считался удобным и универсальным способом открыть HTTP- и HTTPS-доступ к сервисам внутри кластера. Контроллер позволял гибко управлять маршрутами, правилами и политиками трафика, его ставили как на облачные кластеры, так и на локальные установки. Популярность объяснялась тем, что инструмент одинаково легко запускался на любой инфраструктуре и покрывал широкий набор сценариев.

Но именно широта возможностей со временем превратилась в непреодолимую проблему. В экосистеме Kubernetes уже несколько лет отмечают, что архитектура Ingress NGINX устарела. Поддержка множества опций, добавленных в разное время, привела к накоплению технического долга, а изменение подходов к безопасности сделало многие прежние решения рискованными. Другими словами, особенности, которые когда-то помогали пользователям, сейчас воспринимаются как уязвимости.

На фоне таких трудностей внимание сообщества переключилось на альтернативы, включая проект InGate — попытку создать контроллер нового поколения, совместимый не только с механизмом ingress, но и с Gateway API. Однако и это направление продвигалось медленно. Поддержка самого Ingress NGINX держалась фактически на 1-2 людях, которые занимались разработкой в свободное время, по вечерам и выходным. Для проекта, которым пользуются тысячи кластеров по всему миру, такой уровень ресурсов оказался несостоятельным.

Ситуация стала серьёзной после серии исследований. До марта 2025 года в контроллере уже находили критические бреши и закрывали их по мере сил. Но публикация отчёта компании Wiz о новых опасных ошибках, позволяющих атакующему полностью захватить Kubernetes-кластер, стала последней точкой. Эксперты обнаружили около 6000 активных установок Ingress NGINX — и именно они первыми попадают в зону риска: обновлений теперь не будет, а обнаруженные слабые места останутся как есть.

В среду комитет Kubernetes Security Response принял окончательное решение остановить проект. Причины сформулировали прямо: необъятный функционал, накопившийся технический долг, меняющиеся требования к безопасности и хронический дефицит сопровождающих разработчиков не оставляют шанс на полноценное продолжение.

Для администраторов кластеров это означает очень ограниченное время на раздумья. К марту 2026 года все действующие установки превратятся в «заброшенное ПО», которое продолжит работать, но перестанет получать исправления. Владельцам инфраструктуры придётся либо временно закрывать риски своими силами — через дополнительные фильтры, сетевые политики и сервисы защиты, — либо планировать миграцию на другой контроллер, учитывая особенности своих приложений.

Одно ясно: эпоха Ingress NGINX в Kubernetes подходит к концу, а впереди у экосистемы — переход к более строгим, предсказуемым и безопасным механизмам работы с внешним трафиком.