Tech Insights

Addio a Ingress NGINX: La fine di un'era e le migliori alternative per Kubernetes

12 giu 2026Scritto da: Elena G.

Il controller Ingress NGINX della community di Kubernetes è stato ufficialmente abbandonato. Ecco perché il progetto ha chiuso e quali sono le migliori alternative su cui migrare oggi.

Immagine di anteprima: Addio a Ingress NGINX

Addio a Ingress NGINX: La fine di un'era e le migliori alternative per Kubernetes

Se gestisci cluster Kubernetes in produzione, ci sono ottime probabilità che la porta d'ingresso per il tuo traffico HTTP/HTTPS sia stata, fino ad oggi, Ingress NGINX (il controller ufficiale mantenuto dal SIG-Network di Kubernetes). Storicamente è stato il re indiscusso del networking cloud-native, presente di default in quasi ogni guida, tutorial o distribuzione K8s.

Tuttavia, lo scenario è cambiato drasticamente. Il progetto comunitario Ingress NGINX è stato ufficialmente ritirato. Non verranno più rilasciate patch di sicurezza, correzioni di bug o aggiornamenti di compatibilità per le nuove versioni di Kubernetes.

Perché si è arrivati a questo punto? E soprattutto, quali sono le opzioni reali per sostituirlo senza mandare in crash la produzione?

Anatomia di un abbandono: Perché Ingress NGINX ha chiuso?

L'annuncio congiunto dei comitati Kubernetes Steering e Security Response ha sancito la fine del supporto del controller. Non si è trattato di una decisione presa alla leggera, bensì della presa d'atto di una situazione non più sostenibile, dovuta principalmente a due fattori:

  1. Il burnout dei manutentori (Fattore Umano): Nonostante l'enorme adozione globale (parliamo di circa il 50% dei cluster Kubernetes nel mondo), il progetto è andato avanti per anni grazie al lavoro di appena uno o due sviluppatori nel loro tempo libero. Nonostante i ripetuti appelli della community, nessuna grande azienda ha stanziato risorse sufficienti a supportare lo sviluppo upstream in modo continuativo.
  2. Il debito tecnico e la sicurezza: Sviluppato nelle prime fasi di vita di Kubernetes, Ingress NGINX è nato come un gigantesco insieme di script e template per generare dinamicamente file di configurazione nginx.conf. Questa architettura flessibile si è trasformata col tempo in un incubo di sicurezza. Vulnerabilità gravi (come la celebre IngressNightmare che permetteva il bypass dei controlli tramite configurazioni iniettate negli Ingress) hanno dimostrato che il design originale era strutturalmente incline a falle di sicurezza difficili da sanare.

I cluster esistenti non smetteranno improvvisamente di funzionare, ma continuare a usarlo significa esporsi a enormi rischi di sicurezza (CVE non patchate) e a problemi di incompatibilità con le future versioni di Kubernetes.

Il Cambio di Paradigma: Ingress API vs Gateway API

Prima di scegliere un sostituto, è fondamentale capire che il mondo del networking in Kubernetes sta vivendo una transizione tecnologica. L'interfaccia classica Ingress sta lasciando il passo alla più moderna Gateway API.

  • Ingress API (Il passato/presente): Un unico oggetto in cui si mescolano regole di routing, certificati e configurazioni di rete, gestito tramite un numero infinito di annotazioni proprietarie (es. nginx.ingress.kubernetes.io/...).
  • Gateway API (Il futuro): Un modello espressivo e orientato ai ruoli, che separa nettamente i compiti di chi gestisce l'infrastruttura (oggetti Gateway) da chi distribuisce le applicazioni e il routing (oggetti HTTPRoute).

Le alternative attuali supportano quasi tutte entrambi i modelli, permettendoti di migrare gradualmente.

Le Migliori Alternative a confronto

Se devi pianificare la migrazione oggi, ecco i principali attori sul mercato su cui orientarsi, divisi per categoria e architettura.

1. F5 NGINX Ingress Controller (La via della continuità)

Cos'è: È la versione ufficiale sviluppata direttamente da F5/NGINX Inc. (disponibile sia in versione Open Source che commerciale Plus).

  • Perché sceglierlo: Se il tuo codice fa ampio affidamento sulle logiche di NGINX, questa è la transizione meno traumatica. Attenzione però: non è un rimpiazzo 1:1. Le annotazioni cambiano (passano da nginx.ingress.kubernetes.io/ a nginx.org/).
  • Punti di forza: Performance eccellenti, stabilità garantita da un'azienda enterprise e continuità tecnologica con la sintassi NGINX.

2. Traefik (Il preferito della community)

Cos'è: Un reverse proxy moderno e cloud-native scritto in Go, nato esplicitamente per i sistemi a container.

  • Perché sceglierlo: Ha una gestione nativa e superba dei certificati Let's Encrypt, una dashboard visuale integrata di serie e supporta pienamente sia la classica risorsa Ingress sia la nuova Gateway API.
  • Punti di forza: Facilità di configurazione estrema, caricamento dinamico della configurazione senza ricaricare i processi (zero downtime sui cambi di route) e architettura nativamente pensata per i microservizi.

3. Envoy-based Controllers: Envoy Gateway / Emissary-ingress / Contour

Cosa sono: Controller basati su Envoy, il proxy ad altissime prestazioni promosso dalla CNCF e standard de facto per le Service Mesh.

  • Perché sceglierli: Se hai bisogno di funzionalità avanzate di API Gateway (rate limiting, autenticazione OAuth/OIDC nativa, routing basato sul peso per deployment canary) ed elevate performance. Envoy Gateway è oggi il progetto di riferimento spinto dalla community per implementare la Gateway API.
  • Punti di forza: Performance mostruose, architettura robusta e orientata al futuro della Gateway API.

4. Cilium Ingress / Gateway API (L'approccio eBPF)

Cos'è: Cilium è nato come plugin CNI (per la rete interna del cluster), ma grazie alla tecnologia eBPF oggi integra funzioni di Ingress e Gateway API direttamente a livello di Kernel Linux.

  • Perché sceglierlo: Se usi già Cilium come CNI, puoi eliminare del tutto un controller di terze parti. Il traffico Ingress viene gestito direttamente dai nodi, riducendo drasticamente i salti d'orologio e l'uso di CPU.
  • Punti di forza: Performance insuperabili a livello di rete, osservabilità profonda tramite Hubble e architettura cluster super snella.

5. Cloud-Native Controllers (ALB / GCLB)

Cosa sono: Controller specifici dei cloud provider (es. AWS Load Balancer Controller o il controller GKE).

  • Perché sceglierli: Se operi interamente su un unico cloud provider pubblico e vuoi che ogni risorsa Ingress crei ed esternalizzi la configurazione direttamente sui bilanciatori di carico nativi del cloud (es. un Application Load Balancer su AWS).
  • Punti di forza: Integrazione perfetta con i servizi di sicurezza del Cloud (come AWS WAF o Shield) e scaricamento della gestione infrastrutturale sul provider.

Tabella Comparativa Riassuntiva

Controller Tecnologia Core Supporto Gateway API Facilità di Migrazione Ideale Per
F5 NGINX NGINX C Parziale / In crescita Alta (stesso motore) Chi ha forti competenze NGINX o configurazioni legacy
Traefik Go Eccellente Media Team DevOps che cercano semplicità e auto-SSL
Envoy Gateway Envoy C++ Nativo (Pieno) Media / Bassa Architetture moderne orientate alla Gateway API ed Enterprise
Cilium eBPF / Envoy Nativo (Pieno) Bassa (richiede CNI) Performance estreme e massima osservabilità
Cloud Native (es. AWS LBC) Cloud API Variabile Media Infrastrutture puramente Cloud e managed

Come muoversi adesso: I passi per la migrazione

La migrazione del traffico di produzione richiede cautela. Ecco una checklist rapida per non commettere errori:

  1. Fai un censimento delle annotazioni: Verifica ogni file YAML dei tuoi Ingress. Identifica annotazioni come configurazioni di snippet (configuration-snippet), riscritture di URI (rewrite-target) o schemi di autenticazione. Dovrai mapparli sui costrutti del nuovo controller.
  2. Distribuisci i controller affiancati: Installa il nuovo Ingress Controller nel cluster mantenendo attivo Ingress NGINX. Assegna al nuovo controller una classe differente (es. ingressClassName: traefik).
  3. Testa il routing in sicurezza: Crea delle rotte di test puntando al nuovo controller e verifica che l'applicazione risponda correttamente a livello di header, SSL e timeout.
  4. Sposta il DNS gradualmente: Modifica il record DNS o il puntamento del load balancer esterno per indirizzare una percentuale del traffico (o ambienti non di produzione) verso il nuovo controller, prima del cut-over definitivo.

Conclusioni

Il pensionamento di Ingress NGINX segna la fine di un'epoca gloriosa per Kubernetes, ma rappresenta anche un'opportunità per modernizzare lo stack tecnologico dei nostri cluster. Se il tuo cluster è ancora ancorato al vecchio controller comunitario, il momento di pianificare la migrazione è adesso. Che la tua scelta ricada sulla continuità di F5 NGINX, sulla flessibilità di Traefik o sulla modernità della Gateway API con Envoy o Cilium, l'importante è non farsi trovare impreparati e con l'infrastruttura scoperta.