📚 같이 보면 좋은 글
📑 목차
쿠버네티스 Ingress의 대전환: NGINX 이후를 준비하라
2025년 11월, 쿠버네티스 커뮤니티에 충격적인 소식이 전해졌습니다. 수백만 개의 프로덕션 클러스터에서 사용되던 NGINX Ingress Controller가 2026년 3월을 끝으로 지원을 종료한다는 발표였습니다. 보안 패치도, 버그 수정도 없는 완전한 은퇴입니다. 지금 당장 대안을 찾지 못한다면, 귀사의 쿠버네티스 인프라는 심각한 보안 위협에 노출될 수 있습니다.
NGINX Ingress Controller 은퇴, 무슨 일이 일어났나
쿠버네티스 SIG Network와 보안 대응 위원회는 2025년 11월 12일, Ingress NGINX 프로젝트의 공식 은퇴를 발표했습니다. 2026년 3월까지 최선을 다한 유지보수가 진행되지만, 그 이후에는 어떠한 릴리스도, 버그 수정도, 보안 업데이트도 제공되지 않습니다.
⚠️ 왜 은퇴하게 되었나요?
- 유지보수 인력 부족: 수년간 1~2명의 개발자가 주말과 저녁 시간을 활용해 프로젝트를 관리해왔으나, 이는 지속 가능한 구조가 아니었습니다.
- 기술 부채 누적: 유연성을 위해 도입했던 annotation 기반 설정과 snippet 기능이 오히려 심각한 보안 취약점이 되었습니다.
- 보안 취약점: 2025년 3월 Wiz 연구진이 발견한 #IngressNightmare 취약점은 전체 클러스터 장악을 가능하게 하는 심각한 문제였습니다.
현재 전 세계적으로 약 6,000개 이상의 Ingress NGINX 인스턴스가 운영 중이며, 이들 모두가 4개월 내에 마이그레이션을 완료해야 하는 상황입니다.
왜 지금 당장 마이그레이션 계획을 세워야 하는가
4개월이라는 시간은 결코 넉넉하지 않습니다. 특히 프로덕션 환경에서 운영 중인 수백 개의 Ingress 리소스를 새로운 컨트롤러로 마이그레이션하는 것은 단순한 설정 변경 이상의 작업입니다.
⏰ 마이그레이션에 필요한 시간
- 기술 검증: 2~3주 (각 대안 평가 및 PoC)
- 애플리케이션 팀 협업: 4~6주 (설정 변환 및 테스트)
- 프로덕션 배포: 2~4주 (단계적 롤아웃 및 모니터링)
- 버퍼: 2주 (예상치 못한 문제 대응)
총 소요 시간: 최소 10~15주
2026년 3월 이후 발견되는 보안 취약점은 패치되지 않으며, 이는 인터넷에 노출된 워크로드에 치명적인 위험이 됩니다. 특히 해커들은 대규모 마이그레이션 시기를 노리는 경향이 있어, 조기 마이그레이션이 더욱 중요합니다.
Gateway API: 차세대 쿠버네티스 네트워킹의 표준
쿠버네티스 커뮤니티가 공식적으로 권장하는 최우선 대안은 바로 Gateway API입니다. 이는 Ingress API의 후속 버전으로, 2023년 말 v1.0을 출시하며 안정화 단계에 진입했습니다.
✨ Gateway API의 핵심 장점
| 특징 | Ingress API | Gateway API |
|---|---|---|
| 프로토콜 지원 | HTTP/HTTPS만 | HTTP, HTTPS, TCP, UDP, gRPC |
| 역할 분리 | 단일 역할 | GatewayClass, Gateway, HTTPRoute로 분리 |
| 확장성 | Annotation 의존 | 표준화된 CRD 확장 |
| 트래픽 분할 | Annotation 필요 | 네이티브 지원 |
| 이식성 | 벤더 종속적 | 벤더 중립적 |
🚀 주요 구현체
- NGINX Gateway Fabric: NGINX가 공식 제공하는 Gateway API 구현체로, NGINX의 성능과 Gateway API의 표준화를 결합했습니다.
- Cilium Gateway: eBPF 기반으로 최고 수준의 성능과 보안을 제공하며, DigitalOcean Kubernetes(DOKS)에서는 기본 CNI로 제공됩니다.
- Kong Gateway: 100% Gateway API 준수 인증을 획득했으며, 엔터프라이즈급 기능을 제공합니다.
- Traefik: 동적 설정과 자동 서비스 검색을 지원하며, Gateway API 전환 시 기존 Ingress 리소스와 호환됩니다.
💡 추천 대상
Gateway API는 장기적인 안정성과 커뮤니티 지원을 원하는 모든 조직에 적합합니다. 특히 멀티 프로토콜 지원이 필요하거나, 팀 간 역할 분리가 중요한 대규모 조직에 최적입니다.
HAProxy Ingress Controller: 성능과 안정성의 대명사
HAProxy는 20년 이상의 역사를 가진 검증된 로드 밸런서입니다. 세계 최대 규모의 웹사이트들이 HAProxy를 사용하고 있으며, Ingress Controller 버전도 동일한 신뢰성을 제공합니다.
⚡ 압도적인 성능
HAProxy 팀이 공개한 벤치마크 결과에 따르면, HAProxy Ingress Controller는 NGINX Ingress Controller 대비 다음과 같은 성능 우위를 보입니다:
- 처리량: 동일한 CPU 사용량에서 2배 이상의 요청 처리
- CPU 효율성: 50% 적은 CPU로 동일한 워크로드 처리
- 레이턴시: P99 레이턴시 30% 감소
- 메모리 사용량: 40% 낮은 메모리 풋프린트
🎯 마이그레이션 용이성
HAProxy는 NGINX Ingress에서 가장 직접적인 마이그레이션 경로를 제공합니다. 대부분의 경우 ingressClassName만 변경하면 됩니다. NGINX의 snippet 기능 대신 안전한 구조화된 설정을 제공하여, #IngressNightmare와 같은 보안 취약점을 원천적으로 차단합니다.
🛡️ 엔터프라이즈 지원
HAProxy Technologies는 24x7 프로덕션 지원을 제공하며, 복잡한 환경에 대한 무료 컨설팅도 가능합니다. 커뮤니티 Slack 채널(#ingress)에서는 전담 마이그레이션 지원팀이 운영되고 있습니다.
💡 추천 대상
빠른 마이그레이션과 최고 성능이 필요한 조직에 적합합니다. 특히 고트래픽 환경에서 인프라 비용 절감이 중요한 경우 최선의 선택입니다.
Traefik: 클라우드 네이티브 환경의 최강자
Traefik은 처음부터 마이크로서비스와 컨테이너 환경을 위해 설계된 현대적인 Ingress Controller입니다. 20억 회 이상 다운로드되었으며, 500명 이상의 기여자가 활동하는 활발한 커뮤니티를 보유하고 있습니다.
🔄 독보적인 NGINX 호환성
Traefik은 NGINX Provider를 통해 기존 NGINX Ingress 설정과의 놀라운 호환성을 제공합니다:
- Annotation 호환: 가장 많이 사용되는
nginx.ingress.kubernetes.ioannotation을 네이티브로 처리 - 무중단 전환: 기존 Ingress 리소스를 그대로 사용 가능
- 점진적 마이그레이션: NGINX와 Traefik을 병행 운영하며 단계적으로 전환
⚙️ 자동화된 서비스 검색
Traefik의 가장 큰 장점은 동적 설정입니다. 새로운 서비스가 추가되거나 변경될 때마다 자동으로 감지하고 라우팅 규칙을 업데이트합니다. 이는 빠르게 변화하는 마이크로서비스 환경에서 운영 부담을 크게 줄여줍니다.
🔐 내장 보안 기능
- Let's Encrypt 자동화: TLS 인증서 자동 발급 및 갱신
- 미들웨어: 인증, 레이트 리미팅, 헤더 조작 등을 선언적으로 설정
- 메모리 안전성: Go 언어로 작성되어 NGINX의 C/C++ 메모리 취약점 문제가 없음
💡 추천 대상
설정 변환 작업을 최소화하고 싶은 팀, 동적 환경에서 자동화가 중요한 조직에 적합합니다. 특히 Kubernetes 초보자에게도 친화적입니다.
Kong Ingress Controller: 엔터프라이즈급 API 게이트웨이
Kong은 단순한 Ingress Controller를 넘어 완전한 API 게이트웨이 기능을 제공합니다. 100만 회 이상 다운로드되었으며, Gateway API 준수 인증을 가장 먼저 제출한 프로젝트입니다.
🎨 풍부한 플러그인 생태계
Kong의 가장 큰 강점은 방대한 플러그인 라이브러리입니다:
- 인증/인가: OAuth 2.0, JWT, API Key, LDAP 등
- 보안: Rate Limiting, IP Restriction, Bot Detection
- 트래픽 제어: Request Transformation, Response Caching
- 모니터링: Prometheus, Datadog, New Relic 통합
🏢 엔터프라이즈 기능
Kong은 무료 오픈소스 버전과 함께 엔터프라이즈 에디션을 제공합니다. Kong Konnect를 통해 중앙 집중식 관리, 고급 분석, 24x7 지원을 받을 수 있습니다.
🔄 쿠버네티스 네이티브
Kong은 CRD(Custom Resource Definition)를 적극 활용하여 쿠버네티스와 완벽하게 통합됩니다. KongPlugin, KongConsumer 등의 리소스로 선언적 설정이 가능합니다.
💡 추천 대상
API 중심 아키텍처를 운영하는 조직, 고급 트래픽 관리와 모니터링이 필요한 엔터프라이즈 환경에 최적입니다.
Cilium Ingress: eBPF 기반 네트워크 솔루션
Cilium은 eBPF(Extended Berkeley Packet Filter) 기술을 활용한 차세대 CNI(Container Network Interface)입니다. DigitalOcean, AWS EKS 등 주요 클라우드 플랫폼에서 기본 옵션으로 채택되고 있습니다.
⚡ 커널 레벨 성능
Cilium의 Ingress 지원은 Envoy 프록시를 사용하지만, eBPF를 통해 패킷을 투명하게 전달하여 기존 Ingress Controller보다 훨씬 낮은 레이턴시를 제공합니다.
🛡️ 통합 보안 정책
Cilium은 네트워크 정책과 Ingress 트래픽을 단일 프레임워크로 관리합니다:
- L3/L4/L7 정책: 네트워크 레이어부터 애플리케이션 레이어까지 일관된 보안 정책
- Zero-overhead: eBPF 덕분에 추가적인 성능 오버헤드 없이 정책 적용
- Identity-based: IP 주소 대신 워크로드 신원 기반 정책
🚀 DOKS의 기본 제공
DigitalOcean Kubernetes(DOKS)를 사용한다면 Cilium이 이미 기본 CNI로 설치되어 있습니다. 별도의 Ingress Controller를 설치할 필요 없이 Gateway API만 활성화하면 즉시 사용할 수 있습니다.
💡 추천 대상
네트워크 보안이 최우선인 조직, DigitalOcean이나 EKS를 사용하는 팀, 최첨단 eBPF 기술을 도입하고자 하는 혁신적인 조직에 적합합니다.
각 대안별 비교 및 선택 가이드
상황에 맞는 최적의 Ingress Controller를 선택하기 위한 비교표입니다:
| 솔루션 | 마이그레이션 난이도 | 성능 | 주요 장점 | 최적 사용 케이스 |
|---|---|---|---|---|
| Gateway API | 중 | ⭐⭐⭐⭐ | 표준화, 미래 지향적 | 장기 안정성 중시 |
| HAProxy | 낮음 | ⭐⭐⭐⭐⭐ | 최고 성능, 쉬운 마이그레이션 | 고트래픽 환경 |
| Traefik | 낮음 | ⭐⭐⭐⭐ | NGINX 호환, 자동화 | 빠른 마이그레이션 필요 |
| Kong | 중 | ⭐⭐⭐⭐ | API 게이트웨이, 플러그인 | API 중심 아키텍처 |
| Cilium | 중 | ⭐⭐⭐⭐⭐ | eBPF, 통합 보안 | DOKS, 최첨단 보안 |
🎯 상황별 추천
📊 시나리오별 최적 선택
- 급한 마이그레이션 (1-2개월): Traefik 또는 HAProxy
- 장기 전략적 선택: Gateway API (NGINX Gateway Fabric, Cilium)
- 성능이 최우선: HAProxy 또는 Cilium
- API 관리 필요: Kong
- 설정 변환 최소화: Traefik
- DigitalOcean/EKS 사용: Cilium
📚 관련 자료
쿠버네티스 인프라와 관련된 더 많은 정보가 궁금하시다면, 블록체인 머클 트리 구조나 CPU 캐싱 메커니즘 등의 시스템 아키텍처 글도 참고해보세요.
자주 묻는 질문 (FAQ)
Q1. 2026년 3월 이후에도 NGINX Ingress를 계속 사용할 수 있나요?
기술적으로는 가능하지만, 새로운 보안 취약점이 발견되어도 패치가 제공되지 않습니다. 인터넷에 노출된 프로덕션 환경에서는 매우 위험하므로, 반드시 마이그레이션을 권장합니다.
Q2. Gateway API와 Ingress API는 함께 사용할 수 있나요?
네, 가능합니다. 대부분의 Gateway API 구현체는 기존 Ingress 리소스도 지원합니다. 점진적으로 마이그레이션하면서 두 API를 병행 운영할 수 있습니다.
Q3. 기존 NGINX annotation은 어떻게 처리하나요?
Traefik은 대부분의 NGINX annotation을 자동으로 처리합니다. HAProxy와 다른 컨트롤러들은 공식 마이그레이션 가이드와 annotation 매핑 문서를 제공합니다. 일부 고급 기능은 새로운 CRD나 설정으로 전환이 필요할 수 있습니다.
Q4. Let's Encrypt TLS 인증서는 어떻게 관리하나요?
대부분의 대안들은 cert-manager와 통합하여 Let's Encrypt 인증서를 자동으로 관리합니다. Traefik은 자체적으로 ACME 프로토콜을 지원하여 별도 설정 없이 자동 발급/갱신이 가능합니다.
Q5. 마이그레이션 중 다운타임은 얼마나 발생하나요?
적절히 계획하면 무중단 마이그레이션이 가능합니다. 새로운 Ingress Controller를 병렬로 배포하고, DNS나 로드밸런서 레벨에서 트래픽을 점진적으로 전환하는 Blue-Green 또는 Canary 방식을 사용할 수 있습니다.
Q6. 어떤 Ingress Controller가 가장 활발하게 개발되고 있나요?
Gateway API 구현체들이 가장 활발합니다. 특히 NGINX Gateway Fabric, Cilium, Kong은 쿠버네티스 커뮤니티의 적극적인 지원을 받으며 빠르게 발전하고 있습니다. Traefik과 HAProxy도 지속적인 업데이트와 기능 개선이 이루어지고 있습니다.
⏰ 지금 바로 행동하세요
2026년 3월까지 남은 시간은 생각보다 짧습니다. 팀 협업, 테스트, 단계적 배포를 고려하면 지금 당장 마이그레이션 계획을 수립해야 합니다. 귀사의 인프라 상황을 평가하고, 위의 대안 중 가장 적합한 솔루션을 선택하여 안전한 전환을 시작하세요.
'IT_Tech_AI' 카테고리의 다른 글
| 엔지니어를 위한 AI 화이트보드 Eraser - 다이어그램 그리기가 이렇게 쉬워진다 (0) | 2026.01.05 |
|---|---|
| 코딩 없이 앱 만들기! 노코드 혁명으로 누구나 개발자 되는 법 (0) | 2026.01.04 |
| 스마트홈 초보자 가이드 - 우리 집을 똑똑하게 만드는 완벽한 방법 (0) | 2026.01.01 |
| AI 프롬프트 작성, 이 '5가지 공식'만 알면 퇴근이 빨라진다 (1) | 2025.12.31 |
| 보고서 쓰다 밤샘하지 마세요: AI로 데이터 분석 보고서 자동화하는 흐름 (0) | 2025.12.30 |