ingress-nginx всё, поддержка кончилась в марте. Куда вы переехали с прода?

[loeser]

Дожили. ingress-nginx с марта официально без поддержки, ретайрмент анонсировали еще в ноябре, и вот уже июнь, новых CVE-фиксов не будет. А у меня на нем два прод-кластера, 1.34 и 1.36, суммарно под сотню Ingress-манифестов. И там не просто host+path, там configuration-snippet, внешняя авторизация, canary-аннотации, rewrite-ы.

Понимаю что надо на Gateway API, но реализаций вагон: Envoy Gateway, Cilium, Traefik, HAProxy, плюс F5 со своим NGINX Ingress Controller, который не тот nginx и вообще отдельный продукт (вечная путаница с названиями).

Кто реально мигрировал, а не в бложиках? Сколько заняло, что сломалось, что не переносится в принципе?

[go9]

Переезжали зимой на Envoy Gateway 1.4, около 60 ингрессов. По времени недели три с тестами. ingress2gateway конвертит дай бог 70 процентов аннотаций, остальное руками. Снипеты с lua и regex-локейшнами не переносятся вообще никак, переписывали логику на фильтры HTTPRoute. Зато после переезда p99 на тяжелых ручках просел миллисекунд на 15, envoy заметно бодрее на keepalive.

[rawgoblin]

@go9, А зачем сразу Gateway API? Взяли Traefik 3.4, он жрет и старые Ingress-манифесты и Gateway API одновременно. Переключили ingressClass, 80 процентов заработало сразу, остальное довели аннотациями трафика. Миграция мягкая, без большого взрыва. На HTTPRoute перепишем потом, когда руки дойдут.

[kiwash]

ingress2gateway конвертит дай бог 70 процентов аннотаций

у нас было ближе к 50. все что касалось canary развалилось, веса на бэкенды в Gateway API есть, но поведение другое, canary-by-header собирали руками через matches в HTTPRoute. и cert-manager не забудьте, ему нужна интеграция с Gateway вместо ingress-shim, мы на этом потеряли день, серты не выпускались и никто не понимал почему

[cohenst1]

Непопулярное мнение: никуда не бегу. Образ запинен, наружу admission-вебхук не торчит, внутри кластера твой ингресс никто не ломает. Поработает еще год-два, а там видно будет. Половина продов в СНГ так и живет, просто вслух не говорит.

[oleg_php]

внутри кластера твой ингресс никто не ломает

ну да, ну да. IngressNightmare (CVE-2025-1974, 9.8 из 10) был ровно про это: RCE через admission webhook ИЗНУТРИ кластера, достаточно одного скомпрометированного пода. То есть сценарий "у нас наружу не торчит" не спасает вообще. И дальше такие дыры чинить уже никто не будет, в этом вся соль ретайрмента.

Мы ушли на Cilium Gateway API, потому что Cilium 1.17 у нас и так CNI. Плюсы: минус отдельный деплоймент ингресса, роутинг в eBPF, метрики через hubble из коробки. Минусы честно: TLS passthrough это TLSRoute, а она до сих пор в experimental-канале CRD, пришлось ставить experimental-манифесты. И дебажить сложнее, когда путь трафика размазан между ядром и envoy.

По трудозатратам: 40 ингрессов, два инженера, две недели вместе со стейджингом. Самое долгое не конфиги, а согласование окон на переключение DNS и смоук-тесты по каждому сервису.