导读：NGINX Ingress疏于维护，这个知名开源项目接近于夭折。

在亚特兰大举办的 KubeCon 北美大会上，有关 Kubernetes 的公告纷至沓来。

然而，其中最为重大的 Kubernetes 消息却少有人知：Kubernetes 即将停用其备受欢迎的 Ingress NGINX 控制器。

Ingress NGINX 将于 2026 年 3 月正式停止服务。此后，“将不再发布任何新版本，不再修复任何 bug，也不会更新任何可能发现的安全漏洞。”

对于不太了解的开发者，我们先来做个介绍。

NGINX Ingress 是 Kubernetes 集群中的一个入口控制器，它依据可配置的 Ingress 规则，管理并将外部 HTTP 和 HTTPS 流量路由至集群的内部服务。它充当反向代理，确保来自集群外部客户端的请求根据路径、域名和 TLS 配置转发到集群内正确的后端服务。因此，它对于网络流量管理和负载均衡而言至关重要。要知道，这些都是关键要点。

如今，这个曾经以灵活性和丰富功能著称的老牌项目即将沦为“弃用软件”。那又如何呢？毕竟，这并非第一个曾经风光无限却最终消逝的程序。

我马上就能联想到 dBase、Lotus 1 - 2 - 3 和 VisiCalc。

不同之处在于，目前仍有数千个 Ingress NGINX 控制器在投入使用。

既然它如此受欢迎，为何最终会被搁置呢？

原因显而易见。正如 Datadog 的工程师兼 Kubernetes 安全特别兴趣小组联合主席 Tabitha Sable 所指出的：“Ingress NGINX 一直面临维护人员不足甚至勉强够用的问题。多年来，该项目仅有一两个人利用业余时间、下班后和周末开展开发工作。去年，Ingress NGINX 的维护者宣布计划逐步停止 Ingress NGINX 的维护，并与 Gateway API 社区合作开发替代控制器。然而，遗憾的是，即便有这样的声明，也未能吸引更多人参与 Ingress NGINX 的维护或开发 InGate 来替代它。”

压垮骆驼的最后一根稻草是网络安全公司 Wix 发现了一个致命的 NGINX Ingress 安全漏洞。这个漏洞究竟有多严重？Wix 宣称：“利用这个漏洞，攻击者能够执行任意代码，并访问跨命名空间的所有集群密钥，这可能致使整个集群被完全掌控。”

真正令人不满的是，正如一位 Reddit Kubernetes 用户所说：“如此大规模的服务退役至少应有一年的准备时间。见鬼，重写所有文档肯定不止四个月。” 他说得没错。

然而，Kubernetes 维护者 Tim Hockin 回应道：“我理解你的感受。但还是请你放下这种优越感。目前维护 ingress - nginx 的人员都是义务劳动。他们这么做主要是出于责任感。他们不应被指责。两年来，这个问题一直存在，但几乎没人站出来帮忙。也没有新的维护者加入。关闭这个项目是必要的。” 他说得也在理。

你瞧，真正的问题并非 Ingress NGINX 存在重大安全漏洞。事实上，几乎每个月都会有新的 Windows 安全漏洞曝光。不，真正的问题在于，这又是一个关键任务型开源程序无人维护的实例。

Buoyant （Linkerd 的创建者）的首席执行官 William Morgan 在他的 LinkedIn 帖子中一针见血地指出：

“CNCF 生态系统实际上并不允许志愿者工作。这个社区与开源软件的关系颇为特殊，是一种消费关系，而非贡献关系。 ”

企业社区不应以这种方式与开源软件合作。Morgan 提出了两个解决方案：“1. 由一家通过直接销售项目盈利的公司提供资金，例如 Buoyant 销售 Linkerd。2. 由一家通过间接销售项目盈利的公司提供资金，例如 Google 资助 Kubernetes 以销售 GCP。” 归根结底，答案很简单：“要给维护者支付报酬。”

这种情况并非个例。以 FFmpeg 的志愿者开发者和谷歌之间的纠纷为例。维护者和程序员们被海量的安全修复要求压得透不过气，而这些修复却无人愿意出资。

有些人可能会说这没什么大不了的。你们中的大多数人或许从未听说过 FFmpeg。这着实可惜，因为今天读到这篇文章的每个人都使用过这个程序。它是一款视频格式转换器，你们用它在各种网络浏览器、视频流媒体服务和电视上观看视频。它无处不在，至关重要，但目前却没有任何官方组织提供维护支持。

这种状况不能再持续下去了。

我们都看过 xkcd 漫画，里面描绘了整个全球互联网都依赖于内布拉斯加州的一位程序员。这并非玩笑，而是现实。而且，这位程序员年纪渐长，愈发疲惫，哦对了，他也需要谋生。使用开源软件的用户是时候认真对待开源开发者的付费问题了。

如果我们不这么做，开源的免费热潮可能不会再度来临。

作者：行动的大雄