Ingress NGINX: Заява комітетів з управління та реагування на загрози безпеки Kubernetes
У березні 2026 року Kubernetes припинить підтримку Ingress NGINX, важливої інфраструктури для приблизно половини хмарних середовищ. Припинення підтримки Ingress NGINX було оголошено на березень 2026 року після років публічних попереджень про те, що проєкт гостро потребує учасників та супровідників. Після припинення підтримки проєкту більше не буде випусків для виправлення помилок, патчів безпеки або будь-яких оновлень. Це не можна ігнорувати, відкидати або залишати на останню хвилину. Ми не можемо переоцінити серйозність ситуації та важливість негайного початку міграції на альтернативні рішення, такі як Gateway API або один із багатьох сторонніх контролерів Ingress.
Щоб було абсолютно зрозуміло: рішення залишитися з Ingress NGINX після припинення його підтримки робить вас і ваших користувачів вразливими до атак. Жодна з доступних альтернатив не є прямою заміною. Це вимагатиме часу на планування та розробку. Половина з вас буде зачеплена цією проблемою. У вас залишилося два місяці на підготовку.
Поточні розгортання продовжуватимуть працювати, тому, якщо ви не перевірите це самостійно, ви можете не знати, що вас це стосується, доки ви не станете жертвою атаки. У більшості випадків ви можете перевірити, чи використовуєте ви Ingress NGINX, запустивши kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx з правами адміністратора кластера.
Попри широку популярність і поширене використання компаніями різного розміру, а також неодноразові заклики про допомогу від розробників, проєкт Ingress NGINX так і не отримав необхідних йому учасників. Згідно з внутрішнім дослідженням Datadog, близько 50% хмарних середовищ наразі залежать від цього інструменту, проте протягом останніх кількох років його підтримували лише одна або дві особи, які працювали у вільний час. Без достатньої кількості персоналу для підтримки інструменту на рівні, який ми та наші користувачі вважаємо безпечним, відповідальним рішенням є поступова відмова від нього та переорієнтація зусиль на сучасні альтернативи, такі як Gateway API.
Це рішення було прийнято нелегко; незважаючи на незручності, які це спричинить, воно є необхідним для безпеки всіх користувачів та екосистеми в цілому. На жаль, гнучкість, з якою був розроблений Ingress NGINX, яка колись була благом, стала тягарем, який неможливо подолати. З накопиченим технічним боргом та фундаментальними проєктними рішеннями, що посилюють недоліки безпеки, продовжувати підтримувати інструмент, навіть якщо б ресурси зʼявилися, більше не є розумним і навіть можливим.
Ми робимо цю заяву спільно, щоб підкреслити масштаб цієї зміни та потенційний серйозний ризик для значної частини користувачів Kubernetes, якщо цю проблему ігнорувати. Необхідно негайно перевірити свої кластери. Якщо ви покладаєтеся на Ingress NGINX, вам слід почати планувати міграцію.
Дякуємо,
Керівний комітет Kubernetes
Комітет з реагування на загрози безпеки Kubernetes