Ingress-nginx 退役：cert-manager 现状支持及未来展望

自从 ingress-nginx 和 ingate 宣布将于 2026 年 3 月正式停止维护以来，围绕如何从 ingress 平滑迁移到 gateway api 的讨论持续升温。由于二者在架构理念与资源模型上的根本差异，cert-manager 当前尚无法在 gateway api 场景下复现原有 ingress 中的 tls 自助服务能力。

Ingress 是一个单体式资源，而 Gateway API 则采用分层设计：由集群运维人员管控的 Gateway 资源，与由业务团队自主管理的 HTTPRoute 资源解耦；TLS 配置被统一收口至 Gateway 层，由平台侧集中管理。

当前缺失的关键拼图，是 Gateway API 中处于实验阶段的 XListenerSet 资源——其核心目标正是在共享 Gateway 上恢复按团队粒度的 TLS 自主配置能力。cert-manager 已规划在 1.20 版本（预计发布于 2026 年 2 月 10 日）中引入对 XListenerSet 的实验性支持，并将在 1 月份先行推出 alpha 版本供早期验证。

多租户 Ingress 迁移的核心挑战

绝大多数 Ingress 用户以多租户模式部署控制器，典型代表包括 ingress-nginx 和 InGate。所谓多租户 Ingress 控制器，通常具备以下特征：

• 单个集群内仅部署一套由平台团队统一运维的共享控制器或代理；
• 各业务团队独立创建并维护自己的 Ingress 资源及 TLS 相关注解；
• cert-manager 基于主机名自动完成证书申请、签发与注入。

而在 Gateway API 模型中，TLS 配置已上移至 Gateway 资源层级：开发者虽可自由创建 HTTPRoute，却无权修改平台团队所拥有的共享 Gateway 对象。这直接导致 TLS 配置丧失自助能力，任何变更均需提交工单协调处理，如下图所示：

• 过去使用 Ingress 时，应用开发者可直接定义 TLS 参数；
• 当前采用 Gateway 时，TLS 配置必须由集群运营方在 Gateway 上统一设置。

这一转变虽削弱了部分场景下的开发敏捷性，但恰恰体现了 Gateway API 的安全设计哲学：Ingress API 存在潜在风险——不同团队可能通过声明相同主机名但不同 TLS 设置的 Ingress 对象，无意或恶意劫持他人流量。尤其在大型集群中，多个团队共存时因冲突 Ingress 导致的流量劫持事件屡见不鲜。将 TLS 管控权收敛至 Gateway 层，显著提升了租户间的安全隔离边界，代价则是牺牲了简单多租户模型下的自助便利性。

cert-manager 当前为何难以独立破局

目前 cert-manager 对 Gateway API 的 TLS 支持，仅限于监听 Gateway 资源本身：它会识别带有 cert-manager.io/issuer 或 cert-manager.io/cluster-issuer 注解、启用了 HTTPS 监听器、且已配置 tls.certificateRefs 字段的 Gateway 对象，并据此自动生成 Certificate 和 Secret。

参考示例：

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: istio-gateway
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  gatewayClassName: istio
  listeners:
    - name: https
      hostname: 'foo.example.com'
      port: 443
      protocol: HTTPS
      allowedRoutes:
        namespaces:
          from: All
      tls:
        mode: Terminate
        certificateRefs:
          - name: gateway-tls

需注意的是，cert-manager 并不解析 HTTPRoute 中的主机名字段，因为该字段仅用于路由匹配，不参与 TLS 握手过程。

该机制仅适用于以下两类有限场景：

• 每个团队独占一个 Gateway 实例（带来额外资源开销与运维复杂度），或
• Gateway 实现为轻量级逻辑抽象（如某些服务网格控制面）。

但对于主流的“单一共享 Gateway + 多团队协作”模式而言，当前并无兼顾安全性与易用性的标准方案。若强行启用通配符证书或过度开放 RBAC 权限，则可能引入严重安全隐患。

ListenerSet：填补空白的关键组件

依据 GEP-1713 提案，Gateway API 正在推进 ListenerSet 资源的标准化（现阶段以实验性 XListenerSet 形式存在），最初定位是支撑 Knative 等自动化平台高效管理海量监听器的需求。

实践发现，ListenerSet 同样能有效应对多租户共享 Gateway 下的 TLS 自助配置难题，同时保障基础设施运营方对 Gateway 核心资源的绝对控制权。

独响

一个轻笔记+角色扮演的app

249 查看详情

借助 ListenerSet，可达成如下分工：

• 平台团队掌控唯一的共享 Gateway 及其底层基础设施；
• 各业务团队通过创建属于自身命名空间的 ListenerSet 对象，定义专属监听器及其 TLS 配置。

Gateway API 控制器结合 RBAC 与命名空间隔离机制，确保各团队只能操作自己所属的 ListenerSet，彻底规避跨团队配置冲突：

对习惯 Ingress 的用户而言，“ListenerSet + HTTPRoute”组合提供了最贴近原生 Gateway API 的类 Ingress 使用体验，如下图所示：

• 过去 Ingress 模式下，应用开发者完全掌控 TLS 配置；
• 当前 Gateway + ListenerSet 模式下，开发者仍保有 TLS 自助能力，无需每次变更都依赖集群运营方介入。

cert-manager 路线图：2026 年 2 月起支持 XListenerSet

计划交付能力

cert-manager 1.20 将提供对 XListenerSet 资源的实验性支持，包括识别 cert-manager.io/issuer 和 cert-manager.io/cluster-issuer 注解（需显式启用特性门控）。当同一 Gateway 关联多个 ListenerSet 时，XListenerSet 的注解优先级高于 Gateway 本身的注解，后者作为兜底默认策略。

关键时间节点

• 2026 年 1 月：发布首个支持 XListenerSet 的 alpha 版本，面向社区开放测试与反馈；
• 2026 年 2 月 10 日：cert-manager 1.20 正式版上线，包含实验性 XListenerSet 支持功能。

待 Gateway API 将 ListenerSet 资源正式晋升为稳定版本（v1）后，cert-manager 将同步提供对稳定版 ListenerSet 的完整支持，并配套推出从 XListenerSet 到 ListenerSet 的平滑迁移工具与指南。

Ingress-nginx 与 InGate 退役：实际影响评估

cert-manager 1.20 计划于 2026 年 2 月发布，恰好位于 ingress-nginx 和 InGate 官方退役前一个月。鉴于 XListenerSet 当前仍属实验性质，需明确以下预期：

• 当前基于 Gateway API 的多租户 TLS 自助方案尚未成熟，缺乏生产就绪的安全保障；
• cert-manager 1.20 提供的 XListenerSet 支持，仅为技术预演路径，供用户提前评估与试用；
• 稳定支持将随 Gateway API v1.5（含 ListenerSet GA）落地，预计集成于 cert-manager 1.21 或 1.22 版本中。

结语

cert-manager 团队强调，推动用户平稳过渡至 Gateway API 是其长期战略重点。目前已全面启动文档与教程体系向 Gateway API 的迁移工作，期望 XListenerSet 成为多租户 Ingress 控制器用户的首选演进路径。

对于仍在使用 ingress-nginx 的用户，建议优先考虑迁移至其他成熟的 Ingress 控制器（如 Traefik），而非仓促切换至 Gateway API。待 cert-manager 对稳定版 ListenerSet 提供完备支持后，再系统性规划向 Gateway API 的整体迁移。

更多细节请参阅官方公告。

源码地址：点击下载

以上就是Ingress-nginx 退役：cert-manager 现状支持及未来展望的详细内容，更多请关注其它相关文章！

# nginx  # 所示  # 黄埔seo网站优化推广教程  # 个体推广那些网站比较好  # 网站建设怎么说服客户  # 枝江优化关键词排名  # 系统通知营销推广  # 贵州关键词排名的方法  # 广东字seo  # 营销网站怎么推广好呢知乎  # 推广营销日语翻译怎么写  # 叫别人帮忙建设网站  # 自己的  # 基础设施  # 如下图  # 门控  # 穿上  # 微软  # 举世无双  # 多个  # 未来  # trae  # gate  # .net  # 应用开发  # 路由  # 工具 

相关栏目： 【 行业新闻62819 】 【 科技资讯67470 】

相关推荐： 首届全国体育人工智能大会在首都体育学院召开  Meta将VR头显最低年龄限制从13岁降至10岁  IBM与NASA联手开源地理空间AI基础模型，促进气候科学领域进步  AI 模型 Stable Diffusion 升级：正常生成五指、图像更逼真  音乐制作元工具AudioCraft发布开源AI工具  标小智LOGO推出AI公司起名生成器“Name.GPT”  华为发布两款AI存储新品  特斯拉门店可能启动机器人卖车？也许不是你想的那样  马斯克反讽人工智能AI炒作：“机器学习”本质就是统计  2025 年开发者必须知道的六个 AI 工具  生成式AI爆发，亚马逊云科技持续专注创新，助力企业数字化转型  Nature封面：量子计算机离实际应用还有两年  Meta 发布 Voicebox AI 模型：可生成音频信息，用于 NPC 对话等  从谷歌到亚马逊，科技巨头们的AI痴迷  利亚德加码AI战略，与光年无限图灵机器人全面开展AI研发业务合作  IBM和NASA合作发布可追踪碳排放的开源AI基础模型  AI行业盛会大咖云集！Sam Altam、“AI教父”......一文看懂最新观点  中国气象局预测：到 2030 年，中国人工智能气象应用将达到国际领先水平  稿见AI助手：提升写作效率与质量的必备工具  出门问问亮相2025世界人工智能大会，展示AI CoPilot解决方案  深企派遣无人机救援队赴京津冀开展防汛救灾任务  腾讯自主研发机器狗 Max 升级，可“奔跑跳跃”完成避障动作  人工智能大胆预测：银河系至少有2万个地球，36种外星文明  AI 程序 Text With Jesus 在海外迅速受到关注：与耶稣和撒旦进行对话  田渊栋团队新研究：微调  联想首发AI PC于今年秋季，英特尔CEO确认AI PC时代来临  人工智能时代的科幻译者怎么办？“做好翻译工作的高端10%”｜文化观察  美图影像节演讲实录：191次提及AI，发布7款影像生产力工具  智能机器人正在彻底改变客户服务  加强高质量数据供应能力，促进通用人工智能大模型领域的创新  厂商陆续公布AI进展 完美世界游戏展示复合应用AI in GamePlay  数字文明尼山对话 | 在东方圣城与AI潮流梦幻联动，看“智慧大脑”让数字山东更美好  第四范式“式说”大模型入选《2025年通用人工智能创新应用案例集》  海南省公安机关警用无人机培训班结业并举行警航比武演练  大模型训练成本降低近一半！新加坡国立大学最新优化器已投入使用  埃森哲俞毅：AI时代我们需要新的“摩尔定律”  掌阅科技入选北京市通用人工智能产业创新伙伴计划第二批成员名单  中兴通讯无人机高空基站助力北京门头沟受灾乡镇保障应急通信  500元一张的AI艺术二维码制作，详细教程来了！  “智能体动作生成技术”现身WAIC：游戏AI技术为机器人科创注入新动力  360发布AI数字人广场，可同孙悟空、爱因斯坦等古今中外角色对话  盘古大模型3.0正式发布 AI开发正走向新“工业化开发模式”  Snow Kylin登陆中国列车，打造全球首条元宇宙专列  GPT-4 模型架构泄露：包含 1.8 万亿参数、采用混合专家模型  江永：精准施训提升通信无人机应急救援能力  2025WRC世界机器人大赛锦标赛（烟台）收官！斯坦星球勇夺VEX赛项冠亚军！  日入400万，第一批AI骗子已上岗  V社悄悄封禁使用AI生成美术素材的游戏  意大利警察拟用AI预测犯罪 该算法被指种族歧视严重  首家承认ChatGPT影响其收入的公司Chegg选择拥抱AI ，裁减4%员工