Ingress-nginx prendra sa retraite en mars 2026 : ce que vous devez savoir dès maintenant.

Contexte : fin de vie d'ingress-nginx

La communauté Kubernetes a annoncé que le contrôleur communautaire ingress-nginx serait mis hors service au plus tard en mars 2026. À partir de cette date, la communauté ne proposera plus de nouvelles versions, de corrections de bogues ou de correctifs de sécurité, ce qui augmentera les risques liés à la sécurité et au fonctionnement des clusters de production. Il est d'ores et déjà prévisible que les organisations ayant des charges de travail Kubernetes critiques pour leur activité devront repenser leur stratégie d'ingress et passer à une solution alternative à moyen terme.
 

Ce que les clients SUSE doivent savoir dès maintenant

Pour les clients de l'écosystème Rancher et RKE2, la fin de vie communautaire ne signifie pas qu'ils se retrouveront immédiatement sans assistance. SUSE prévoit de prolonger le support de NGINX en tant que solution d'ingress avec sa solution Rancher Prime au-delà de la période officielle de la communauté, offrant ainsi une plus grande sécurité de planification. Concrètement, il est prévu de fournir des corrections de bogues et des mises à jour de sécurité au-delà de 2026, permettant ainsi une transition ordonnée.

Les équipes gagnent ainsi du temps pour évaluer leur architecture d'entrée, tester les chemins de migration et planifier correctement les processus de changement, au lieu de devoir réagir dans l'urgence.
 

La solution recommandée : migration vers Traefik

En tant que future solution standard dans le contexte Rancher/RKE2, il est recommandé de passer d'ingress-nginx à Traefik. Traefik prend en charge l'API moderne Kubernetes Gateway tout en offrant une couche de compatibilité pour les annotations NGINX essentielles, de sorte que de nombreuses ressources Ingress existantes peuvent continuer à être utilisées sans réécriture complète. Cela réduit considérablement l'effort de migration, car les fonctions centrales telles que la configuration TLS, l'authentification, les options d'équilibrage de charge et les directives CORS continuent d'être mappées via les annotations NGINX prises en charge.

Dans le même temps, Traefik ouvre la voie à moyen terme à une architecture basée sur l'API Gateway, sans que tous les changements doivent être effectués en même temps. De nombreux experts recommandent de diviser la migration en deux étapes : d'abord changer de contrôleur, puis introduire l'API de passerelle dans un projet séparé.
 

Prochaines étapes pour votre équipe

Afin que votre cluster soit bien préparé, une approche structurée est recommandée :

• Inventaire des configurations ingress-nginx actuelles et des annotations utilisées
• Mise en place d'un environnement de test avec Traefik, idéalement en parallèle des clusters Rancher/RKE2 existants
• Validation des annotations NGINX déjà prises en charge par Traefik et des ajustements nécessaires
• Migration progressive des charges de travail critiques avec des scénarios de rollback définis avant la conversion de l'environnement de production.

Grâce à la prolongation de la période de support pour ingress-nginx dans l'écosystème Rancher/RKE2, vous disposez d'une marge de manœuvre suffisante pour planifier et mettre en œuvre cette migration avec soin, sans compromettre la sécurité et la stabilité.

L'équipe UMB Kubernetes se fera un plaisir de vous aider à analyser et à passer à des solutions qui continuent d'être prises en charge.