Ihr Ingress-Nginx Controller läuft auf borrowed time
– handeln Sie jetzt.
Das Problem: End-of-Life eines Kubernetes-Herzstücks
Der Ingress-Nginx Controller – der mit Abstand meistgenutzte Community-Ingress-Controller für selbstverwaltete Kubernetes-Cluster – wurde offiziell eingestellt. Ab März 2026 gibt es keine Releases, keine Bugfixes und keine Sicherheitsupdates mehr.
Das Kubernetes-Projekt selbst hat das in einem offiziellen Blogpost unmissverständlich formuliert:
> "Best-effort maintenance will continue until March 2026. Afterward, there will be no further releases, no bugfixes, and no updates to resolve any security vulnerabilities that may be discovered."
> — kubernetes.io/blog
Warum das für Ihren Cluster kritisch ist
Der Ingress-Controller ist keine Randkomponente – er ist das Eingangstor für nahezu den gesamten HTTP-Traffic Ihres Clusters. Jede Anfrage von außen, jede Domain, jeder API-Aufruf läuft in der Regel über ihn.
Ein ungepatchter Ingress-Controller ist eine offene Angriffsfläche. Die Vergangenheit zeigt, wie ernst das zu nehmen ist: Der Exploit „IngressNightmare" ermöglichte unter bestimmten Umständen die vollständige Übernahme eines Kubernetes-Clusters – ohne, dass der Angreifer direkte Credentials benötigt.
Wer ist betroffen?
Betroffen sind alle, die:
-
einen selbstverwalteten Kubernetes-Cluster betreiben
-
den Community Ingress-Nginx Controller einsetzen
-
keinen Managed-Service-Provider nutzen, der den Ingress-Controller im eigenen Stack bereitstellt
Große Cloud-Provider (z. B. AWS, GCP, Azure) setzen in der Regel eigene, angepasste Ingress-Implementierungen ein und sind nicht direkt betroffen. On-Premise-Betreiber und viele Managed-Cluster-Nutzer hingegen schon.
Was jetzt zu tun ist: Migration
Eine Migration ist unausweichlich. Die Frage ist nur: Jetzt, kontrolliert – oder später, im Notfall?
Wer wartet, bis eine kritische Sicherheitslücke bekannt wird und aktiv ausgenutzt wird, steht vor einem wesentlich schwierigeren Szenario: Migration unter Druck, bei laufendem Betrieb, möglicherweise nach einem Sicherheitsvorfall.
Die Herausforderung
Es gibt keinen echten „Drop-in-Replacement" für Ingress-Nginx. Jede Alternative erfordert Anpassungen an bestehenden Konfigurationen.
Hinzu kommt: Die Auswahl an Alternativen ist groß und die richtige Entscheidung hängt von Ihrer konkreten Infrastruktur ab.
Mögliche Migrationsziele sind unter anderem:
-
Traefik – moderner, aktiv weiterentwickelter Controller; unterstützt sowohl das klassische Ingress-Modell als auch API-Gateway-Funktionalität; ideal für kleinere bis mittlere Deployments
-
Envoy / Envoy-basierte Gateways – leistungsstark, enterprise-tauglich, höhere Performance; empfohlen für komplexe oder skalierungsintensive Setups
-
Kommerzielle Lösungen (z. B. F5/NGINX) – professioneller Support, aber verbunden mit Lizenzkosten und Herstellerabhängigkeit
Unser Angebot: Migration ohne Risiko
Wir begleiten Sie durch den gesamten Migrationsprozess – von der Analyse Ihrer bestehenden Ingress-Konfigurationen bis hin zum produktiven Betrieb mit dem neuen Controller.
Was wir für Sie tun:
1. Bestandsaufnahme & Risikoanalyse
Wir ermitteln, welche Ingress-Ressourcen in Ihrem Cluster existieren, wie komplex die Konfigurationen sind und welche Abhängigkeiten zu beachten sind.
2. Auswahl des richtigen Migrationspfades
Basierend auf Ihren Anforderungen – Teamgröße, Traffic-Volumen, Compliance, Budget – empfehlen wir die passende Alternative und erarbeiten eine maßgeschneiderte Migrationsstrategie.
3. Durchführung der Migration
Wir übernehmen die technische Umsetzung: Konfigurationskonvertierung, Tests in einer Staging-Umgebung und das kontrollierte Rollout in die Produktion – mit minimaler Downtime.
4. Dokumentation & Knowledge Transfer
Nach der Migration erhalten Sie vollständige Dokumentation und ein Briefing Ihres Teams, damit Sie Ihren neuen Stack souverän betreiben können.