Ingress-nginx 退役：cert-manager 现状支持及未来展望

自从 ingress-nginx 和 ingate 宣布将于 2026 年 3 月正式停止维护以来，围绕如何从 ingress 平滑迁移到 gateway api 的讨论持续升温。由于二者在架构理念与资源模型上的根本差异，cert-manager 当前尚无法在 gateway api 场景下复现原有 ingress 中的 tls 自助服务能力。

Ingress 是一个单体式资源，而 Gateway API 则采用分层设计：由集群运维人员管控的 Gateway 资源，与由业务团队自主管理的 HTTPRoute 资源解耦；TLS 配置被统一收口至 Gateway 层，由平台侧集中管理。

当前缺失的关键拼图，是 Gateway API 中处于实验阶段的 XListenerSet 资源——其核心目标正是在共享 Gateway 上恢复按团队粒度的 TLS 自主配置能力。cert-manager 已规划在 1.20 版本（预计发布于 2026 年 2 月 10 日）中引入对 XListenerSet 的实验性支持，并将在 1 月份先行推出 alpha 版本供早期验证。

多租户 Ingress 迁移的核心挑战

绝大多数 Ingress 用户以多租户模式部署控制器，典型代表包括 ingress-nginx 和 InGate。所谓多租户 Ingress 控制器，通常具备以下特征：

• 单个集群内仅部署一套由平台团队统一运维的共享控制器或代理；
• 各业务团队独立创建并维护自己的 Ingress 资源及 TLS 相关注解；
• cert-manager 基于主机名自动完成证书申请、签发与注入。

而在 Gateway API 模型中，TLS 配置已上移至 Gateway 资源层级：开发者虽可自由创建 HTTPRoute，却无权修改平台团队所拥有的共享 Gateway 对象。这直接导致 TLS 配置丧失自助能力，任何变更均需提交工单协调处理，如下图所示：

• 过去使用 Ingress 时，应用开发者可直接定义 TLS 参数；
• 当前采用 Gateway 时，TLS 配置必须由集群运营方在 Gateway 上统一设置。

这一转变虽削弱了部分场景下的开发敏捷性，但恰恰体现了 Gateway API 的安全设计哲学：Ingress API 存在潜在风险——不同团队可能通过声明相同主机名但不同 TLS 设置的 Ingress 对象，无意或恶意劫持他人流量。尤其在大型集群中，多个团队共存时因冲突 Ingress 导致的流量劫持事件屡见不鲜。将 TLS 管控权收敛至 Gateway 层，显著提升了租户间的安全隔离边界，代价则是牺牲了简单多租户模型下的自助便利性。

cert-manager 当前为何难以独立破局

目前 cert-manager 对 Gateway API 的 TLS 支持，仅限于监听 Gateway 资源本身：它会识别带有 cert-manager.io/issuer 或 cert-manager.io/cluster-issuer 注解、启用了 HTTPS 监听器、且已配置 tls.certificateRefs 字段的 Gateway 对象，并据此自动生成 Certificate 和 Secret。

参考示例：

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: istio-gateway
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  gatewayClassName: istio
  listeners:
    - name: https
      hostname: 'foo.example.com'
      port: 443
      protocol: HTTPS
      allowedRoutes:
        namespaces:
          from: All
      tls:
        mode: Terminate
        certificateRefs:
          - name: gateway-tls

需注意的是，cert-manager 并不解析 HTTPRoute 中的主机名字段，因为该字段仅用于路由匹配，不参与 TLS 握手过程。

该机制仅适用于以下两类有限场景：

• 每个团队独占一个 Gateway 实例（带来额外资源开销与运维复杂度），或
• Gateway 实现为轻量级逻辑抽象（如某些服务网格控制面）。

但对于主流的“单一共享 Gateway + 多团队协作”模式而言，当前并无兼顾安全性与易用性的标准方案。若强行启用通配符证书或过度开放 RBAC 权限，则可能引入严重安全隐患。

ListenerSet：填补空白的关键组件

依据 GEP-1713 提案，Gateway API 正在推进 ListenerSet 资源的标准化（现阶段以实验性 XListenerSet 形式存在），最初定位是支撑 Knative 等自动化平台高效管理海量监听器的需求。

实践发现，ListenerSet 同样能有效应对多租户共享 Gateway 下的 TLS 自助配置难题，同时保障基础设施运营方对 Gateway 核心资源的绝对控制权。

独响

一个轻笔记+角色扮演的app

249 查看详情

借助 ListenerSet，可达成如下分工：

• 平台团队掌控唯一的共享 Gateway 及其底层基础设施；
• 各业务团队通过创建属于自身命名空间的 ListenerSet 对象，定义专属监听器及其 TLS 配置。

Gateway API 控制器结合 RBAC 与命名空间隔离机制，确保各团队只能操作自己所属的 ListenerSet，彻底规避跨团队配置冲突：

对习惯 Ingress 的用户而言，“ListenerSet + HTTPRoute”组合提供了最贴近原生 Gateway API 的类 Ingress 使用体验，如下图所示：

• 过去 Ingress 模式下，应用开发者完全掌控 TLS 配置；
• 当前 Gateway + ListenerSet 模式下，开发者仍保有 TLS 自助能力，无需每次变更都依赖集群运营方介入。

cert-manager 路线图：2026 年 2 月起支持 XListenerSet

计划交付能力

cert-manager 1.20 将提供对 XListenerSet 资源的实验性支持，包括识别 cert-manager.io/issuer 和 cert-manager.io/cluster-issuer 注解（需显式启用特性门控）。当同一 Gateway 关联多个 ListenerSet 时，XListenerSet 的注解优先级高于 Gateway 本身的注解，后者作为兜底默认策略。

关键时间节点

• 2026 年 1 月：发布首个支持 XListenerSet 的 alpha 版本，面向社区开放测试与反馈；
• 2026 年 2 月 10 日：cert-manager 1.20 正式版上线，包含实验性 XListenerSet 支持功能。

待 Gateway API 将 ListenerSet 资源正式晋升为稳定版本（v1）后，cert-manager 将同步提供对稳定版 ListenerSet 的完整支持，并配套推出从 XListenerSet 到 ListenerSet 的平滑迁移工具与指南。

Ingress-nginx 与 InGate 退役：实际影响评估

cert-manager 1.20 计划于 2026 年 2 月发布，恰好位于 ingress-nginx 和 InGate 官方退役前一个月。鉴于 XListenerSet 当前仍属实验性质，需明确以下预期：

• 当前基于 Gateway API 的多租户 TLS 自助方案尚未成熟，缺乏生产就绪的安全保障；
• cert-manager 1.20 提供的 XListenerSet 支持，仅为技术预演路径，供用户提前评估与试用；
• 稳定支持将随 Gateway API v1.5（含 ListenerSet GA）落地，预计集成于 cert-manager 1.21 或 1.22 版本中。

结语

cert-manager 团队强调，推动用户平稳过渡至 Gateway API 是其长期战略重点。目前已全面启动文档与教程体系向 Gateway API 的迁移工作，期望 XListenerSet 成为多租户 Ingress 控制器用户的首选演进路径。

对于仍在使用 ingress-nginx 的用户，建议优先考虑迁移至其他成熟的 Ingress 控制器（如 Traefik），而非仓促切换至 Gateway API。待 cert-manager 对稳定版 ListenerSet 提供完备支持后，再系统性规划向 Gateway API 的整体迁移。

更多细节请参阅官方公告。

源码地址：点击下载

以上就是Ingress-nginx 退役：cert-manager 现状支持及未来展望的详细内容，更多请关注其它相关文章！

# nginx  # 所示  # 黄埔seo网站优化推广教程  # 个体推广那些网站比较好  # 网站建设怎么说服客户  # 枝江优化关键词排名  # 系统通知营销推广  # 贵州关键词排名的方法  # 广东字seo  # 营销网站怎么推广好呢知乎  # 推广营销日语翻译怎么写  # 叫别人帮忙建设网站  # 自己的  # 基础设施  # 如下图  # 门控  # 穿上  # 微软  # 举世无双  # 多个  # 未来  # trae  # gate  # .net  # 应用开发  # 路由  # 工具 

相关栏目： 【 行业新闻62819 】 【 科技资讯67470 】

相关推荐： 英伟达CEO宣称生成式AI已迎来“划时代时刻”  央视报道车载人机交互技术！MWC上海魅族表现亮眼，现场热火朝天  B站内测 AI 搜索功能，输入“？”即可体验  工业机器人及非标自动化设备集成服务提供商  售价14.99万起！小米汽车部分信息疑遭AI曝光，内部人士回应：网传图片明显经过处理，不可轻信  人工智能如何帮助制造业？  Databricks推出人工智能模型共享机制，可令开发者与公司“双赢”  揭晓2025年玻尔兹曼奖：Hopfield网络创始人荣获奖项  家电行业观察：AI加持下，全屋智能将成为智能家电未来？  大疆 DJI Mini 4 Pro 无人机曝光：流线设计，有望迎来功能性提升  百川智能发布Baichuan-13B AI模型，号称“130亿参数开源可商用”  Meta Quest订阅服务每月7.99美元畅玩两款VR游戏应用  煤电“三改联动”需多措联动  出门问问亮相2025世界人工智能大会，展示AI CoPilot解决方案  两架海燕号无人机交付中国气象局 助力建设国家级机动气象观测业务  苹果在韩举办首届中小企业智能制造论坛，加速推动工业4.0发展  提高开发效率：AmazonCodeWhisperer与Amazon Glue的集成和生成式AI的应用  OPPO三方联合发布AI可持续发展白皮书，坚持发展健康AI生态  360发布认知型通用大模型“360智脑4.0” 全面接入360全家桶  Meta Connect 2025已确定时间为9月27-28，主题涵盖Quest 3与AI技术  人工智能进入绿植界，智能庭院市场初具规模  盘古大模型3.0正式发布 AI开发正走向新“工业化开发模式”  苹果AIGC专利：可通过语音指令生成AR/VR虚拟场景  揭秘AI数字人语录：抖音AI小和尚、老者语录能赚钱吗？  Bing 聊天机器人现支持在桌面端用语音提问  字节、网易相继入局，AI之后大厂又找到下一个风口？  Meta发布语音AI模型 Voicebox 助虚拟助手与NPC对话  研究表明 GPT-4 模型具备自我纠错能力，有望推动 AI 代码进一步商业化  WAIC 2025｜云深处科技绝影Lite3与X20四足机器人亮相  谷歌 Gmail“帮我写电子邮件”AI 功能开始向安卓和苹果设备推广  Unity 内测 Safe Voice 服务，利用 AI 自动识别玩家不当聊天内容  破解零碳产业园建设规范和成果评价难题  上天下海登极，青岛与昇腾AI握手一起探索星辰大海  联想首发AI PC于今年秋季，英特尔CEO确认AI PC时代来临  时间、空间可控的视频生成走进现实，阿里大模型新作VideoComposer火了  印象笔记开放旗下“印象 AI”，可一键生成思维导图、写文章等  机构：边缘AI或是当前预期差最大的AI方向  梦想实现！硬核科幻大片VR智能头盔即将问世  2025WRC世界机器人大赛锦标赛（烟台）收官！斯坦星球勇夺VEX赛项冠亚军！  AI 模型 Stable Diffusion 升级：正常生成五指、图像更逼真  开创全新虚拟现实体验的Pimax Crystal VR头显  有远见！华为四年前注册商标Vision Pro：苹果AR国内要改名  全新小艺搭载AI大模型，有效提升学生和职场人士的工作效率  “木头姐”：特斯拉的人工智能训练——“赢家通吃”的机会  从谷歌到亚马逊，科技巨头们的AI痴迷  外科医生的智能助手，“机器人手术”得到补充商业医保覆盖  对话无界AI创始人长铗：AI的创业机会在应用层丨创新者Innovator  管提需求，大模型解决问题：图表处理神器SheetCopilot上线  美图开拍使用教程  微软bing聊天推出AI购物工具 可进行比价并查看历史最低价