O porteiro está se aposentando: Ingress Nginx tem data para sair de cena

É o fim de uma era no universo Kubernetes. A Cloud Native Computing Foundation (CNCF) bateu o martelo e anunciou, durante a KubeCon+CloudNativeCon North America, a aposentadoria do Ingress Nginx controller, o que poderíamos chamar de "porteiro padrão" dos clusters Kubernetes por anos. De acordo com o comunicado oficial, a ferramenta terá sua manutenção encerrada em março de 2026. Após essa data, o repositório se tornará somente leitura, sem novos lançamentos, correções de bugs ou, mais importante, atualizações de segurança. Para quem continuar usando, será por sua conta e risco.

A notícia, embora esperada por alguns, pegou muitos de surpresa pela rapidez do cronograma. Segundo Frank Mancina, vice-presidente de engenharia da HAProxy, em entrevista ao portal The New Stack, o anúncio fez com que "muita gente começasse a correr pela conferência em busca de um substituto". Afinal, por que aposentar uma ferramenta tão fundamental e amplamente adotada?

Por que a mudança? As limitações do porteiro

Imagine que a comunicação em um ecossistema de microsserviços é um complexo diálogo diplomático. O Ingress Nginx, nesse cenário, era um porteiro eficiente, mas que só entendia um idioma e seguia um manual de regras rígido. Com o tempo, as conversas se tornaram mais complexas, exigindo um diplomata poliglota.

As fontes do Kubernetes SIG Network e do Security Response Committee apontam que a manutenção do Ingress Nginx se tornou um desafio, principalmente com o avanço de uma solução mais robusta. Além disso, a capacidade de adicionar diretivas de configuração arbitrárias do Nginx, os famosos "snippets", acabou se tornando uma porta aberta para vulnerabilidades de segurança. O antigo porteiro, sem querer, deixava algumas janelas abertas.

O Ingress API, em sua essência, atingiu os limites de seu design. Ele não foi construído para os padrões modernos de gerenciamento de tráfego, como rotas sofisticadas, e forçava as equipes a dependerem de anotações específicas de cada fornecedor, criando um ecossistema fragmentado em vez de interconectado.

O novo diplomata: Bem-vinda, Gateway API!

A sucessora oficial dessa função é a Gateway API. Lançada em 2023 após quatro anos de desenvolvimento pela CNCF, ela não é apenas uma atualização, mas uma mudança de filosofia. Se o Ingress era um porteiro, a Gateway API é um corpo diplomático inteiro, projetado para construir pontes e gerenciar negociações complexas de tráfego.

Construída sobre um conjunto de Custom Resource Definitions (CRDs) do Kubernetes, a Gateway API oferece um modelo unificado e extensível que traz várias vantagens:

  • Maior controle e especificação: Permite regras de roteamento muito mais granulares, suportando tráfego L4 (TCP/IP) e L7 (aplicação).
  • Separação de responsabilidades: A nova API distingue claramente os objetos que podem ser controlados pela equipe de plataforma, pela equipe de operações e pelos desenvolvedores de aplicações, organizando o diálogo entre as partes.
  • Padrões modernos nativos: Suporta de forma nativa padrões como implantações blue-green e canárias, testes A/B, manipulação de requisições e respostas, e métricas de tráfego sem gambiarras.

Como explicou Baptiste Assmann, diretor de produto da HAProxy, ao The New Stack, a mudança é arquitetônica. "Enquanto o Ingress funciona em um modelo de controlador central, a Gateway API opera no modelo de operador do Kubernetes. É uma forma totalmente diferente de configurar as coisas", afirmou.

A corrida pela sucessão e o futuro da interoperabilidade

Com a aposentadoria do Ingress Nginx, o mercado de ferramentas de rede para Kubernetes esquentou. A corrida para oferecer as melhores implementações da Gateway API já começou, e várias empresas e projetos de código aberto estão na disputa. Entre as alternativas que já suportam a nova especificação, destacam-se:

  • Nginx Gateway Fabric: A implementação da própria Nginx, que busca ser a sucessora natural para quem já utiliza seu ecossistema.
  • HAProxy Unified Gateway: Uma solução open source da HAProxy que oferece uma transição suave, suportando tanto as regras do antigo Ingress quanto a nova Gateway API lado a lado.
  • Outras alternativas: Projetos como Istio, Cilium, Envoy e o KGateway da própria CNCF também estão na vanguarda da adoção.

A decisão da CNCF sinaliza um amadurecimento do ecossistema cloud native. A interoperabilidade e a padronização estão vencendo as soluções específicas de fornecedores. A pergunta que fica no ar para todas as equipes de DevOps e SRE é: estamos preparados para essa nova era de diplomacia digital, onde as conexões são mais inteligentes e as regras do jogo, mais claras? A aposentadoria do Ingress Nginx não é apenas o fim de uma ferramenta, mas o começo de um diálogo muito mais rico e estruturado no universo Kubernetes.