피드로 돌아가기
Dev.toInfrastructure
원문 읽기
Ingress-NGINX 은퇴 대비 Envoy Gateway 기반 Gateway API 전환 전략
Migrate Ingress-NGINX to Gateway API Before Retirement
AI 요약
Context
2026년 3월로 예정된 Ingress-NGINX 지원 종료에 따른 보안 패치 중단 및 CVE 노출 위험 증가. 기존 Ingress 모델의 인프라-애플리케이션 설정 혼재로 인한 관리 효율성 저하 및 제어권 분리 한계 직면.
Technical Solution
- ingress2gateway v1.0.0 툴을 활용한 기존 Ingress Manifest의 Gateway API 표준 YAML 자동 변환
- 인프라 계층(Gateway, GatewayClass)과 라우팅 계층(HTTPRoute)의 물리적 분리를 통한 플랫폼-팀 간 RBAC 권한 제어 최적화
- Envoy Gateway 도입을 통한 표준 Gateway API 준수 및 고성능 Data Plane 확보
- --server-side 플래그를 적용한 CRD 설치로 클라이언트 측 어노테이션 크기 제한 문제 해결
- DNS Cutover 방식을 통한 무중단 트래픽 전환 및 TTL Drain 기반의 안전한 마이그레이션 수행
- 표준 매핑 불가능한 Custom Annotation(External Auth 등)을 Envoy Gateway SecurityPolicy와 같은 구현체별 CRD로 대체 설계
실천 포인트
1. `kubectl get ingress -A` 명령어로 사용 중인 모든 NGINX Annotation 전수 조사
2. `ingress2gateway` 실행 시 stdout 외 stderr 로그를 정밀 분석하여 누락된 설정 확인
3. External Auth 및 Regex Path와 같이 컨트롤러별 구현 방식이 다른 기능의 동작 여부 개별 검증
4. cert-manager의 Gateway API 기능 활성화 여부 및 Gateway 리소스 내 어노테이션 설정 확인
5. 단일 IP 교체가 아닌 DNS 기반 전환임을 인지하고 적절한 유지보수 윈도우 설정