Ingress-NGINX ist archiviert. Ersetzen Sie es nicht einfach – wechseln Sie mit Gateway API und Airlock Microgateway in die Zukunft.

Das Ende von Ingress-NGINX ist nicht nur ein Wartungsproblem. Es ist eine Chance, Kubernetes-Traffic, Sicherheit und Verantwortlichkeiten grundlegend zu modernisieren.

Der bequeme Weg ist nicht mehr der sichere Weg 

Für viele Kubernetes-Teams war Ingress-NGINX über Jahre die Standardlösung. Es war verfügbar, bekannt und umfassend dokumentiert. Es wurde Teil des Kubernetes-Denkmodells: Ingress erstellen, Annotationen hinzufügen, DNS auf den Load Balancer zeigen lassen und weitermachen.

Diese Ära ist vorbei.

Das Kubernetes-Projekt hat die Stilllegung von Ingress-NGINX mit einer klaren Konsequenz angekündigt: Seit März 2026 gibt es keine neuen Releases, keine Bugfixes und keine Updates mehr, um bestehende oder neu entdeckte Sicherheitslücken zu beheben. Bestehende Deployments laufen weiter, und bestehende Artefakte bleiben verfügbar. Doch Verfügbarkeit ist nicht dasselbe wie eine aktiv gewartete Applikation, und dazu betrifft es noch eine der Kernkomponenten. [1]

Diese Unterscheidung ist wichtig. Nichts explodiert über Nacht. Der Traffic fliesst weiter. Dashboards bleiben vielleicht grün. Aber das Risikoprofil ändert sich grundlegend: Eine zentrale Komponente, die den Einlass in ihr Kubernetes-Cluster kontrolliert, erhält keine Upstream-Fixes mehr.

Das ist kein Warnsignal, das Sie ignorieren sollten.

Die erste Lektion nach der Archivierung: CVEs warten nicht 

Schon die Archivierung allein wäre Grund genug, eine Migration zu planen. Jüngste Schwachstellen machen die Situation noch konkreter.

Allein im Jahr 2026 wurden mehrere Ingress-NGINX-Schwachstellen offengelegt, darunter CVE-2026-4342 und CVE-2026-3288. Beide betrafen Pfade für NGINX-Konfigurationsinjektionen, die zu beliebiger Codeausführung im Kontext des Ingress-NGINX-Controllers und zur Offenlegung von Secrets führen konnten, auf die der Controller Zugriffe hatte. [2]

Hinzu kam CVE-2026-42945 in NGINX selbst. NVD führt die Schwachstelle für NGINX Plus und NGINX Open Source im Modul ngx_http_rewrite_module mit einem CVSS-4.0-Score von 9,2 und weist darauf hin, dass eine Ausnutzung einen Heap-Buffer-Overflow und unter bestimmten Bedingungen Codeausführung verursachen kann. NGINX veröffentlichte korrigierte Versionen für die eigenen Upstream-Releases und kennzeichnete NGINX 1.30.1+ und 1.31.0+ als nicht verwundbar. [3][4]

Genau darin liegt das operative Problem: Wenn der Upstream-Webserver oder eine Abhängigkeit gepatcht wird, muss ein gewarteter Downstream-Controller den Fix übernehmen, testen, paketieren und veröffentlichen. Das Kubernetes-Projekt Ingress-NGINX hat jedoch bereits erklärt, dass es nach der Stilllegung keine Releases und keine Sicherheitsupdates mehr geben wird.[1][5]

Für eine Komponente, die externen Traffic in den Cluster leitet, Header verarbeitet, TLS terminiert und oft privilegierte Einblicke in Cluster-Ressourcen hat, ist «es läuft noch» keine Sicherheitsstrategie.

Ingress-NGINX durch einen anderen Ingress Controller zu ersetzen, ist nur die halbe Migration 

Die naheliegende Reaktion lautet: «Dann wechseln wir eben zu einem anderen Ingress Controller.»

In manchen Umgebungen kann das ein sinnvoller Notfallschritt sein. Mit einer langfristigen Plattformentscheidung sollte man ihn jedoch nicht verwechseln. 

Die Kubernetes-Dokumentation ist eindeutig: 

Das Projekt empfiehlt, Gateway API anstelle von Ingress zu verwenden, da Ingress API eingefroren ist. Kubernetes plant zwar derzeit nicht, Ingress zu entfernen. Die grundlegenden Unzulänglichkeiten der API werden jedoch nicht behoben: keine Segregation der Aufgaben, «Annotation Hell», keine saubere Multiprotokoll-Unterstützung, mangelnde Möglichkeiten des Traffic Managements, limitierte Mandantenfähigkeit. [6] 

Das Gateway-API-Projekt formuliert es ebenso klar: 

Gateway API is the successor to the Ingress API.[7]

Genau das ist der strategische Punkt. 

Der Wechsel von Ingress-NGINX zu einer anderen Ingress-Implementierung erfordert weiterhin Engineering-Aufwand, ohne die Gefahr eines Vendor Lock-ins zu reduzieren. Sie müssen produkt-spezifische Einflüsse auf das Lösungsdesign beachten, Annotationen prüfen, controller-spezifisches Verhalten übertragen, Grenzfälle erneut testen, Helm Values überarbeiten, Observability anpassen, Runbooks aktualisieren und die Traffic-Umstellung validieren. Wenn Sie diese Arbeit ohnehin leisten müssen, warum sollten Sie sie in eine API investieren, die Kubernetes selbst als eingefroren bezeichnet? 

Eine reine Ingress-zu-Ingress-Migration kann das unmittelbare Wartungsrisiko reduzieren. Das grössere Problem löst sie jedoch nicht. Das nächste Modernisierungsprojekt wartet weiterhin. 

Gateway API bietet die Chance, nur einmal zu migrieren.

Gateway API ist mehr als ein neues YAML-Format 

Gateway API wird oft als «der neue Ingress» bezeichnet. Das greift zu kurz. 

Ingress war einfach, aber gerade diese Einfachheit wurde zur Falle. Sobald Teams Redirects, Rewrites, Header-Verarbeitung, Timeouts, Traffic Splitting, externe Authentifizierung oder erweitertes Policy-Verhalten benötigten, griffen sie zu Annotationen. Diese Annotationen waren mächtig, aber auch implementierungsspezifisch: Willkommen in der Annotation-Hölle. Was in einem Controller funktionierte, funktionierte in einem anderen nicht zwangsläufig. Eine einfache Abfrage nach Annotationen ist zudem kaum möglich, was die Arbeit damit zusätzlich erschwert. 

Gateway API verändert dieses Modell. 

Sie trennt Verantwortlichkeiten. Plattformteams definieren gemeinsame Einstiegspunkte (mittels GatewayClass und Gateway). Anwendungsteams definieren die Zugriffspfade auf ihre Applikationen (HTTPRoute). Policies können strukturiert angehängt werden, statt in langen Annotationslisten verborgen zu sein. Der Gateway-API-Migrationsleitfaden nennt dieses Persona-Modell als einen der wesentlichen Unterschiede zu Ingress. [7] 

Das ist nicht nur saubereres YAML. Es ist ein besseres Betriebsmodell für reale Kubernetes-Plattformen. 

Plattformteams können die gemeinsame Sicherheits- und Traffic-Infrastruktur verantworten, während Anwendungsteams die Hoheit über ihre Applikationsrouten behalten. Es gibt weniger unsichere, kopierte Annotationen, eine klarere Aufgabentrennung und einen deutlich besseren Ansatzpunkt für Sicherheitsteams, um konsistente Kontrollen durchzusetzen. Gleichzeitig kommen sich Anwendungsteams nicht gegenseitig in die Quere. 

Die Ingress API wurde nie für mandantenfähige, rollenorientierte Infrastruktur gebaut. Sie stützt sich stark auf proprietäre, herstellerspezifische Annotationen, die Manifeste unübersichtlich machen. 

Warum Airlock Microgateway jetzt passt 

Airlock Microgateway ist genau für diesen Übergang gebaut: Kubernetes-native Traffic-Verarbeitung kombiniert mit Web Application, und API Protection (WAAP) sowie einen integrierten Identity-Aware Proxy (IAP). 

Die Migration weg von Ingress-NGINX ist nicht nur eine Routing-Migration. Sie ist auch eine Sicherheitsmigration. 

Sie sollte helfen, die Sicherheitsvorgaben der Plattform durchzusetzen: Request Filtering, konsistente Policies, Authentifizierungsintegration und einen unterstützten Update-Pfad für sicherheitskritische Komponenten. 

Airlock Microgateway bringt diese Themen leichtgewichtig und agil näher an die Arbeitsweise moderner Kubernetes-Teams heran: GitOps, CI/CD, Platform Engineering und Security as Code. [8] 

Airlock Microgateway 5.1: Die Einstiegshürde senken 

Bei Airlock setzen wir seit jeher auf deklarative, Kubernetes-native Sicherheit. Wir haben Airlock Microgateway von Grund auf so konzipiert, dass es zum rollenorientierten Paradigma der Kubernetes Gateway API passt. Wir erkennen aber auch, wenn eine Krise schnelles Handeln erfordert. 

Eine schnelle Reaktion auf neue Sicherheitsrisiken darf keine Frage der Kosten oder des Budgets sein. 

Airlock Microgateway 5.1 ist als zentrale Data Plane vollständig kostenlos und ohne Lizenz einsetzbar. Organisationen können seine schnellen Routing-Funktionen nutzen und die Kubernetes-Gateway-API-Spezifikation sofort ausschöpfen.

Wir stellen sicher, dass nichts im Weg steht, wenn es darum geht, einen Kubernetes-Cluster gegen ungepatchte CVEs abzusichern. Sie können Ihr archiviertes Ingress-NGINX-Setup noch heute ersetzen und stattdessen eine stabile, enterprise-taugliche und standardkonforme Gateway-API-Implementierung einsetzen. 

Wenn Ihre Anforderungen wachsen und Sie robuste Applikationssicherheit benötigen, ist das Upgrade nahtlos. Eine kommerzielle Lizenz ist erst erforderlich, wenn Sie unsere erweiterten, marktführenden Sicherheitsfunktionen nutzen: 

  • Filterung: Enterprise WAAP (Web Application and API Protection), OWASP Top 10+) 
  • Authentifizierung: Identity-aware Proxy für vorgelagerte Authentifizierung mit Standardprotokollen 
  • Enterprise-Support: Garantierte SLAs, fundierte technische Beratung und kommerzielle Sicherheit für geschäftskritische Deployments. 

Das Ökosystem ist bereits in Bewegung 

Die Archivierung von Ingress-NGINX bringt auch das Ökosystem in Bewegung. 

Immer mehr Helm Charts bieten Unterstützung für Gateway API, dokumentieren Gateway-API-Pfade oder eröffnen Issues, um den Übergang zu verfolgen. Auch Nutzerinnen und Nutzer des GitLab Charts betrachten Gateway API als bevorzugten Ersatzpfad für Ingress. [9] 

Nicht jedes Chart ist heute schon so weit. Das ist zu erwarten. 

Die Frage ist, wie wir darauf reagieren. Wir können uns darüber beklagen, dass unser bevorzugtes Chart Gateway API noch nicht unterstützt, und dies als Grund für Verzögerungen nutzen. Oder wir verstehen es als Gelegenheit, einen Beitrag zu leisten. 

Viele Open-Source-Helm-Charts akzeptieren Pull Requests. 

So entwickelt sich die Kubernetes-Community weiter: nicht indem sie wartet, bis jedes Chart perfekt ist, sondern indem sie dem Ökosystem hilft, die bessere API zu übernehmen.

Ein praktischer Migrationspfad 

Eine gute Migration beginnt nicht damit, YAML blind zu ersetzen. Sie beginnt damit, zu verstehen, was Sie tatsächlich betreiben. 

Identifizieren Sie zunächst, wo Ingress-NGINX verwendet wird. Der Kubernetes-Blog zur Archivierung empfiehlt, mit dem Label Selector app.kubernetes.io/name=ingress-nginx nach Ingress-NGINX-Pods zu suchen. Erfassen Sie anschliessend alle Ingress-Objekte, TLS-Secrets, Hostnames, Pfadregeln, Annotationen, Rewrite-Regeln, Timeouts, Authentifizierungsmechanismen, Custom Snippets sowie die bestehenden Anforderungen an Monitoring und Observability. [1] 

Entscheiden Sie als Nächstes nicht nur, welcher Controller Ingress-NGINX ersetzt, sondern auch, auf welches API-Modell Ihre Plattform künftig standardisieren soll. Für die meisten Teams sollte das Gateway API sein. 

Führen Sie dann Airlock Microgateway als Gateway-API-Implementierung ein. Starten Sie mit Microgateway als Data Plane, um Routing und operatives Verhalten zu validieren. Konvertieren Sie ausgewählte Ingress-Ressourcen in Gateway- und HTTPRoute-Ressourcen. Lassen Sie alte und neue Pfade, wo möglich, parallel laufen. Testen Sie DNS, Zertifikate, Header, Redirects, Applikations-Callbacks, Health Checks und Observability. 

Mit Ingress2Gateway existiert ein Migrationswerkzeug für die Übersetzung von Ingress- nach Gateway API-Ressourcen. Das meiste lässt sich bereits automatisieren. Der Aufwand sinkt dadurch deutlich. [10] 

Sobald das Routing stabil ist, ergänzen Sie dort Sicherheitsfunktionen, egal ob Request Filtering oder Authentifizierung, wo sie relevant sind. Genau dort wird Microgateway mehr als nur ein Ingress-Ersatz. Es wird Teil Ihrer Kubernetes-Sicherheitsarchitektur. 

Schlussendlich entfernen Sie Ingress-NGINX und schicken es damit in den wohlverdienten Ruhestand. 
 

Community Edition Premium Edition
1. Option
Premium Edition
2. Option 
Premium Edition
3. Option
Premium Edition
4. Option
    Filtering     Authentication Filtering Authentication
Base Base Base Base Base
Community Support Premium Support Premium Support Premium Support Premium Support

Was bedeutet das kurz gesagt? 

Auch wenn die Entfernung der Ingress API nicht angekündigt wurde, heisst das nicht, dass sie zukunftsfähig ist und bestehen bleibt. 

Ingress API ist eingefroren und Ingress-NGINX ist archiviert. Der Sicherheits-Patch-Zug ist abgefahren. Das Ökosystem bewegt sich in Richtung Gateway API. Und die Kosten der Migration lassen sich nicht für immer aufschieben. 

Die eigentliche Frage lautet also nicht: «Welcher Ingress Controller soll Ingress-NGINX ersetzen?» Die bessere Frage lautet: «Wenn wir diesen Teil der Plattform ohnehin anfassen müssen, warum wechseln wir gleich nicht zu der API, die Kubernetes empfiehlt?»[6] 

Mit Airlock Microgateway machen Sie Ihre Kubernetes-Plattform bereit für die Zukunft: Kubernetes-nativ, Gateway-API-basiert und bei Bedarf erweiterbar um WAAP und identitätsbasierte Sicherheit. 

Ersetzen Sie nicht einfach den alten Controller. 

Nutzen Sie diesen Moment, um Ihre Kubernetes-Plattform zu modernisieren. 

Wechseln Sie von Ingress-NGINX zu Gateway API. Wechseln Sie von Annotations-Wildwuchs zu strukturierten Policies. Wechseln Sie von «es läuft noch» zu «es wird kontinuierlich weiterentwickelt, ist sicher, bereit für die Zukunft und ich erhalte Hersteller-Support».

Migrieren Sie einmal und machen Sie Ihre Plattform bereit für die Zukunft.

Fähigkeit 

NGINX Ingress 

Gateway API + Airlock Microgateway 

Cloud-native-Ausrichtung 

• Bewährter Reverse Proxy / Ingress Controller 
• Nicht ursprünglich als Kubernetes-natives Policy-Modell konzipiert 
• Erweitertes Verhalten ist controller-spezifisch 
• Ingress API ist eingefroren; Gateway API ist die neuere Richtung 

• Gateway-API-nativ 
• Kubernetes-natives Policy-Modell 
• Rollenorientiert und protokollbewusst 
• Für modernes Traffic Management gebaut 

Konfigurationsmodell 

• Basis-Routing über Kubernetes Ingress 
• Erweiterte Konfiguration über Annotationen, ConfigMaps, Snippets, Volumes, Plugins/Module 
• WAF/App Protect oft JSON-basiert oder Bundle-basiert 
• Weniger konsistentes GitOps-Review für erweiterte Einstellungen 

• Gateway API + Airlock Microgateway CRDs 
• Routing, Sicherheit, Identität, API Protection und Observability als native Kubernetes-Ressourcen 
• GitOps-ready 
• Kompatibel mit Argo CD und Flux CD 

Konfigurationsstil 

• Natives NGINX verwendet nginx.conf 
• Kubernetes-Manifeste sind YAML/JSON-Wrapper 
• Erweitertes Verhalten wird auf generierte NGINX-Konfiguration abgebildet 
• WAF-Policies können JSON-basiert oder als gemountete Bundles vorliegen 

• Typisierte Kubernetes-Ressourcen 
• Klare Validierung und Reconciliation 
• Prüffähige YAML-Manifeste 

WAF / erweiterte Sicherheitskonfiguration 

• Controller-, modul- oder produktspezifisch 
• Annotationen, ConfigMaps, Snippets, gemountete Dateien oder Plugins 
• Mehr bewegliche Teile für Lifecycle und Validierung 

• WAAP/API-Sicherheit als Microgateway-Ressourcen 
• Policy-Lifecycle über Kubernetes-Reconciliation 
• Deklarative Kontrollen statt seitlich eingebundener Snippets 
• Besser geeignet für GitOps-Rollout-Workflows 

Identity-Standards 

• Basic Auth, mTLS, JWT möglich 
• OIDC/OAuth benötigt oft Add-ons, externe Authentifizierung oder kommerzielle Features 
• Token Exchange/Introspection gehört üblicherweise nicht zum Basisumfang von Ingress 

• OIDC 
• OAuth 2.0 Token Exchange / RFC 8693 
• JWT, JWKS, Token Introspection 
• X.509-Client-Zertifikate / mTLS-basierte Zugriffskontrolle 

API-Sicherheit 

• Primär Routing und Reverse Proxying 
• API-Sicherheit erfordert meist Add-ons 
• ModSecurity, OWASP CRS, App Protect, externe WAF oder separates API Gateway 

• API-Sicherheit ist Kernfunktionalität 
• JSON Parsing 
• Durchsetzung von OpenAPI-Spezifikationen 
• GraphQL-Schema-Validierung 

OWASP Top 10 Schutz 

• Möglich mit Modulen, WAF-Produkten, Annotationen oder externen Tools 
• Nicht Teil des grundlegenden Ingress-Modells 
• Security Policy kann fragmentiert sein 

• Integrierter WAAP-ähnlicher Schutz 
• Deny Rules, Header Filtering, Security Headers 
• Limits für Request-Grösse/-Frequenz, CSRF-Schutz 
• Custom Errors, Log Masking, ICAP Malware Scanning 

Observability 

• Access- und Error-Logs 
• Metriken und Tracing möglich 
• Dashboards erfordern meist zusätzliches Setup 
• Sicherheitsorientiertes strukturiertes Logging kann Anpassungen benötigen 

• Strukturierte Logs im ECS-Format 
• Metriken und Tracing 
• Grafana Dashboards 
• Sichtbarkeit für Sicherheit und Betrieb von Anfang an 

GitOps-Eignung 

• Funktioniert für einfache Manifeste 
• Erweitertes Verhalten ist in Annotationen, Strings, ConfigMaps, Snippets oder gemounteten Dateien versteckt 
• Schwieriger konsistent zu validieren und zu reviewen 

• GitOps-freundlich konzipiert 
• Strukturierte CRDs 
• Deklarative Routing- und Security Policies 
• Einfacheres Review, Versionierung, Validierung und Reconciliation 

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: IAM as a Service

Dieses Whitepaper zeigt, wie IAM as a Service die Einführung von bzw. den Wechsel zu einem modernen, flexibel anpassbaren und zukunftssicheren cIAM erleichtert.

Whitepaper anfordern

Whitepaper: Sprechen Sie Token?

Dieses Whitepaper zeigt, wie Security-Verantwortliche Identitäten über Domänengrenzen hinweg zuverlässig autorisieren können, ohne Agilität oder Benutzerfreundlichkeit zu beeinträchtigen – mit einem Ansatz, der WAAP, Microgateways und Token Exchange verbindet.

Whitepaper anfordern

Whitepaper: Die Puzzleteile moderner Authentifizierung

Beim Identitätsmanagement verhält es sich wie bei einem Puzzle: Man muss das Gesamtbild verstehen, die relevanten Puzzleteile identifizieren und sie in der richtigen Reihenfolge zusammensetzen. Dieses Whitepaper zeigt, wie das gelingt.

Whitepaper anfordern

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern