All Products
Search
Document Center

Container Service for Kubernetes:NGINX Ingress controller

Last Updated:Jun 19, 2026

Lacak pembaruan versi, patch keamanan, dan perubahan fitur untuk komponen NGINX Ingress controller.

Penting

Dukungan untuk proyek open-source Ingress-NGINX akan berakhir setelah Maret 2026. Akibatnya, Container Service for Kubernetes akan menghentikan dukungan terhadap komponen NGINX Ingress Controller. Lihat [Pengumuman Produk] Penghentian Pemeliharaan Komponen NGINX Ingress Controller.

Ikhtisar

Berdasarkan proyek open-source Ingress NGINX, NGINX Ingress controller menyediakan titik masuk terpadu untuk layanan kluster. Kode dan nomor versinya selaras dengan proyek komunitas upstream. Komponen ini bersifat unmanaged pada node kluster Anda—Anda bertanggung jawab atas operasi dan pemeliharaannya (O&M), tidak ada SLA yang berlaku, dan kustomisasi ekstensif didukung.

Konsep utama Ingress

Ingress adalah resource Kubernetes yang mengarahkan lalu lintas eksternal ke Pod layanan internal melalui aturan pengalihan. Lihat Perbandingan antara Nginx Ingress, ALB Ingress, dan MSE Ingress.

Cara kerja

Deploy Nginx Ingress Controller di kluster untuk mengurai aturan pengalihan Ingress. Controller menerima permintaan, mencocokkannya dengan aturan, lalu meneruskannya ke Pod layanan backend. Hubungan antara Service, Nginx Ingress, dan Nginx Ingress Controller:

  • Service mengabstraksi satu atau beberapa layanan backend identik.

  • Nginx Ingress mendefinisikan aturan reverse proxy yang mengarahkan permintaan HTTP/HTTPS ke Pod Service berdasarkan host dan path URL.

  • Nginx Ingress Controller mengurai aturan Nginx Ingress. Saat Ingress berubah, controller memperbarui aturan pengalihannya dan mengarahkan permintaan masuk ke Pod Service yang sesuai.

Kompatibilitas versi

Jika versi target tidak kompatibel dengan versi kluster Anda, upgrade kluster Anda terlebih dahulu.

Versi NGINX Ingress controller

Versi kluster yang kompatibel

[v1.12.6-release.1, v1.14.5-release.1]

1.24 dan yang lebih baru

[v1.5.1-aliyun.1, v1.11.5-aliyun.1]

1.22 dan yang lebih baru

[v1.1.0-aliyun.1, v1.2.1-aliyun.1]

1.20 dan yang lebih baru

Risiko versi usang

Pemeliharaan untuk NGINX Ingress controller v1.2 dan versi sebelumnya telah dihentikan. Lihat pengumuman produk. Versi usang tidak menerima fitur baru, perbaikan bug, atau dukungan teknis tepat waktu, sehingga sistem Anda rentan terhadap kerentanan keamanan yang belum diperbaiki. Upgrade komponen segera.

Penggunaan

Catatan rilis

Mei 2026

Versi

Image Address

Tanggal perubahan

Perubahan

Dampak

v1.14.5-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.14.5-release.1

20 Mei 2026

Penyempurnaan:

  • Golang diperbarui ke v1.25.10.

  • Versi baseline Nginx diperbarui ke v1.27.1.

Perbaikan kerentanan:

  • Security patch upstream dari Nginx telah di-backport:

    • CVE-2026-42945: Buffer overflow di modul ngx_http_rewrite_module

    • CVE-2026-42946: Buffer overread di modul ngx_http_scgi_module dan ngx_http_uwsgi_module

    • CVE-2026-42934: Buffer overread di modul ngx_http_charset_module

    • CVE-2026-40460: Pemalsuan alamat HTTP/3

    • CVE-2026-40701: Resolver use-after-free di OCSP

    • CVE-2026-1642: SSL upstream injection

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sedang berlangsung secara singkat.

April 2026

Versi

Image Address

Tanggal

Deskripsi

Dampak

v1.13.9-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.13.9-release.1

2 April 2026

Diperbarui ke versi komunitas v1.13.9. Lihat Changelog Lengkap.

Sorotan

Perbaikan kerentanan:

  • Ingress controller: Memperbaiki kerentanan injeksi konfigurasi Nginx yang disebabkan oleh kombinasi anotasi. (#14731)

    • CVE-2026-4342: Injeksi konfigurasi nginx berbasis komentar ingress-nginx (#137893), kerentanan tingkat tinggi dengan skor CVSS 8,8.

    • Penyerang dapat menggunakan kombinasi anotasi Ingress tertentu untuk menyuntikkan data berbahaya ke bidang rules.http.paths.path, sehingga menyuntikkan konfigurasi arbitrer ke Nginx. Hal ini dapat menyebabkan eksekusi kode arbitrer dalam konteks ingress-nginx controller dan mengekspos semua Secrets yang dapat diakses. Dalam instalasi default, ini mencakup semua Secrets di kluster. Akibatnya terjadi kebocoran informasi parah dan kompromi integritas sistem.

Lakukan upgrade saat jam sepi. Koneksi yang sudah terbentuk mungkin terganggu sementara selama pembaruan.

Maret 2026

Versi

Alamat image

Tanggal perubahan

Perubahan

Dampak

v1.13.8-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.13.8-release.1

16 Maret 2026

Diperbarui ke versi komunitas v1.13.8. Lihat Changelog Lengkap.

Sorotan

Perbaikan kerentanan

  • NGINX: OWASP Core Rule Set diperbarui ke v4.22.0. (#14418)

    • CVE-2026-21876. Skor CVSS: 9,3 (kritis).

    • Memperbaiki kelemahan logika dalam validasi charset OWASP Core Rule Set untuk multipart/form-data. Sebelumnya, penyerang dapat melewati Web Application Firewall (WAF) dengan membuat permintaan multipart menggunakan encoding charset tertentu, sehingga muatan berbahaya diproses dan dieksekusi oleh aplikasi backend.

  • Admission Controller: Membatasi ukuran permintaan yang dapat diproses oleh validating webhook hingga 9 MB. (#14494)

    • CVE-2026-24514: Penolakan layanan Admission Controller ingress-nginx (#136680). Skor CVSS: 3,1 (rendah).

    • Membatasi ukuran permintaan untuk validating webhook guna mencegah penyerang mengirim objek atau permintaan berukuran besar yang dapat menghabiskan memori Admission Controller. Hal ini dapat menyebabkan Pod ingress-nginx controller di-OOM-kill atau menguras memori node, sehingga terjadi penolakan layanan.

  • Templat: Menambahkan tanda kutip pada semua direktif location dan server_name serta melakukan escape terhadap tanda kutip dan backslash. (#14503)

    • CVE-2026-24512: Injeksi konfigurasi nginx rules.http.paths.path ingress-nginx (#136678). Skor CVSS: 8,8 (tinggi).

    • Memperbaiki kerentanan di mana bidang rules.http.paths.path dapat digunakan untuk menyuntikkan konfigurasi mentah Nginx. Hal ini mencegah penyerang menggunakan nilai path yang dibuat khusus untuk keluar dari templat dan menulis direktif arbitrer ke file konfigurasi, yang dapat menyebabkan eksekusi kode jarak jauh di Pod controller dan akses ke semua Secrets yang dapat dibacanya.

  • Anotasi: Menambahkan anchor ^ dan $ ke ekspresi reguler metode autentikasi. (#14506)

    • CVE-2026-1580: Injeksi konfigurasi nginx auth-method ingress-nginx (#136677). Skor CVSS: 8,8 (tinggi).

    • Memperkuat validasi nilai untuk anotasi nginx.ingress.kubernetes.io/auth-method agar hanya menerima kecocokan eksak dari metode yang diharapkan. Hal ini mencegah penyerang menyuntikkan konten khusus yang dapat langsung digabungkan ke konfigurasi Nginx, yang dapat menyebabkan injeksi konfigurasi, eksekusi kode jarak jauh, dan pencurian Secrets kluster.

  • Templat: Melewati halaman error kustom saat menangani permintaan auth URL. (#14497)

    • CVE-2026-24513: Bypass perlindungan auth-url ingress-nginx (#136679). Skor CVSS: 3,1 (rendah).

    • Memperbaiki kerentanan bypass autentikasi yang dapat terjadi saat menggunakan anotasi auth-url dengan backend halaman error kustom. Masalah ini dipicu jika backend tidak menangani header X-Code dengan benar, sehingga kegagalan autentikasi (401/403) salah diartikan sebagai keberhasilan, menyebabkan akses tidak sah ke path yang dilindungi.

  • Templat: Menambahkan tanda kutip pada direktif proxy_pass. (#14669)

    • CVE-2026-3288: Injeksi konfigurasi nginx rewrite-target ingress-nginx (#137560). Skor CVSS: 8,8 (tinggi).

    • Memperbaiki kerentanan di mana nilai anotasi nginx.ingress.kubernetes.io/rewrite-target tidak difilter secara ketat, sehingga memungkinkan penyuntikan direktif arbitrer ke file konfigurasi Nginx. Karena nilainya langsung digabungkan ke nginx.conf yang dihasilkan, penyerang dengan izin rendah untuk membuat atau memodifikasi resource Ingress dapat mencapai eksekusi kode jarak jauh dalam konteks Pod controller dan membaca semua Secrets yang dapat diakses. Dalam instalasi default, ini mencakup semua Secrets di kluster.

Optimasi

  • Controller: Menambahkan pemeriksaan validitas untuk UID. (#14500)

  • Anotasi: Mempertimbangkan alias dalam penilaian risiko. (#14666)

  • Controller: Memastikan SSL Passthrough diaktifkan dengan benar saat diminta pada host HTTP-only. (#14557)

  • Anotasi: Menggunakan ekspresi reguler khusus untuk proxy-cookie-domain. (#14551)

  • Templat: Menggunakan RawURLEncoding alih-alih URLEncoding dengan padding dihapus. (#14538)

Perbaikan bug

  • Memperbaiki masalah sinkronisasi yang terjadi saat jam host melompat ke masa depan. (#14450)

  • Memperbaiki panic yang disebabkan oleh file cpu.max kosong. (#14449)

  • Memperbaiki panic yang disebabkan oleh penulisan kode status terlalu dini saat halaman error kustom dikembalikan. (#14163)

  • Controller: Memperbaiki masalah di mana pemeriksaan tumpang tindih host/path dapat keluar lebih awal saat terdapat beberapa aturan. Fungsi checkOverlap kini memeriksa semua aturan objek Ingress baru untuk memastikan tidak tumpang tindih dengan objek Ingress yang sudah ada. Sebelumnya, fungsi akan keluar setelah aturan pertama lolos validasi. (#14131)

  • Anotasi: Memperbaiki masalah di mana fungsi Equals tidak memvalidasi bidang auth-proxy-set-headers. (#14104)

  • Store: Memperbaiki panic di handler penghapusan service. Hal ini terjadi saat cache klien Kubernetes tidak konsisten dengan status resource v1.Service di store Kubernetes, menyebabkan klien mengembalikan tipe cache.DeletedFinalStateUnknown yang tidak ditangani, sehingga terjadi panic pada pemeriksaan selanjutnya. (#14057)

  • Controller: Memperbaiki masalah pengurutan limit_req_zone untuk memastikan konfigurasi diurutkan sebelum diterapkan. (#14006)

  • Konfigurasi/anotasi: Memperbaiki kompatibilitas mundur untuk proxy-busy-buffers-size. Sekarang hanya dirender jika secara eksplisit didefinisikan dalam templat. (#13638)

  • Konfigurasi/anotasi: Menghapus nilai default untuk proxy-busy-buffers-size. (#13790)

  • Lua: Memperbaiki masalah ketidakcocokan tipe. (#14515)

Lakukan upgrade saat jam sepi. Koneksi yang sudah terbentuk mungkin terganggu sementara selama pembaruan.

Desember 2025

Versi

Alamat image

Tanggal

Deskripsi

Dampak

v1.12.6-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.12.6-release.1

11 Desember 2025

Diperbarui ke versi komunitas v1.12.6.

Penting

Versi ini memperketat konfigurasi keamanan default untuk ingress-nginx. Jika Anda menggunakan atau berencana menggunakan fitur yang dinonaktifkan oleh perubahan ini, aktifkan kembali di ConfigMap kube-system/nginx-configuration setelah melakukan penilaian risiko keamanan menyeluruh:

  • Tingkat risiko default untuk anotasi yang diizinkan diturunkan menjadi High. Jika Anda menggunakan atau berencana menggunakan anotasi dengan tingkat risiko Critical, seperti anotasi snippet-type, Anda harus menambahkan secara manual annotations-risk-level: Critical.

  • Referensi resource lintas namespace dinonaktifkan secara default. Jika objek Ingress Anda perlu mereferensikan resource seperti ConfigMap atau Secrets di namespace lain menggunakan anotasi seperti auth-secret, auth-tls-secret, auth-proxy-set-header, fastcgi-params-configmap, atau proxy-ssl-secret, Anda harus menambahkan secara manual allow-cross-namespace-resources: "true".

  • Validasi path ketat diaktifkan secara default. Artinya, untuk path dengan tipe path Exact atau Prefix, path harus diawali dengan / dan hanya boleh berisi huruf, angka, -, _, ., dan karakter / tambahan. Jika Anda menggunakan atau berencana menggunakan path dengan karakter lain, seperti + atau $, Anda harus menambahkan secara manual strict-validate-path-type: "false" atau mengubah tipe path menjadi ImplementationSpecific.

Perubahan fitur utama

  • Fitur baru:

    • annotation/AuthTLS: Mengizinkan pengalihan ke lokasi bernama. ( #13820 )

    • Menambahkan dukungan untuk menggunakan . di path Exact dan Prefix. (#13800)

    • NGINX: Ditingkatkan ke OpenResty v1.25.3.2. ( #13530 )

    • Menambahkan dukungan untuk origin CORS apa pun. ( #11153 )

    • metrics: Menambahkan parameter --metrics-per-undefined-host. ( #11818 )

  • Penyempurnaan:

    • Keamanan: Memperkuat pembuatan socket dan memvalidasi input kode error. ( #13786 )

    • Keamanan: Menyesuaikan konfigurasi keamanan default (#11819):

      • Menurunkan tingkat risiko anotasi yang dapat diterima dari Critical ke High.

      • Menonaktifkan referensi lintas namespace secara default.

      • Mengaktifkan validasi path ketat.

    • NGINX: Menonaktifkan optimasi khusus arsitektur untuk mimalloc. ( #13670 )

    • Fitur rate limiting global dihapus. ( #11851 )

      • Opsi konfigurasi berikut dihapus:

        • global-rate-limit-memcached-host

        • global-rate-limit-memcached-port

        • global-rate-limit-memcached-connect-timeout

        • global-rate-limit-memcached-max-idle-timeout

        • global-rate-limit-memcached-pool-size

        • global-rate-limit-status-code

      • Anotasi berikut dihapus:

        • global-rate-limit

        • global-rate-limit-window

        • global-rate-limit-key

        • global-rate-limit-ignored-cidrs

    • Dukungan untuk plugin Lua pihak ketiga di /etc/nginx/lua/plugins dihapus. (#11821)

    • metrics: Menghapus ingress_upstream_latency_seconds. ( #11795 )

  • Perbaikan bug:

    • Metrics: Memperbaiki nginx_ingress_controller_config_last_reload_successful. (#13859)

    • Controller: Memperbaiki path tiket sesi SSL. (#13668)

    • Lua: Memperbaiki layanan ExternalName tanpa endpoint. (#13429)

    • Memperbaiki masalah resolusi DNS saat ExternalName digunakan sebagai backend. (#12951)

Lakukan upgrade saat jam sepi. Koneksi yang sudah terbentuk mungkin terganggu sementara selama pembaruan.

September 2025

Versi

Image Address

Tanggal

Deskripsi

Dampak

v1.11.5-release.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.5-release.2

11 September 2025

Penyempurnaan:

Lakukan upgrade saat jam sepi, karena koneksi yang sudah terbentuk mungkin terganggu sementara.

Maret 2025

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.11.5-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.5-aliyun.1

26 Maret 2025

Diperbarui ke komunitas v1.11.5 untuk memperbaiki kerentanan CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, dan CVE-2025-24514. Lihat Bulletin Keamanan untuk CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, dan CVE-2025-24514.

Penting

Untuk memperbaiki kerentanan CVE-2025-1974, webhook validasi untuk NGINX Ingress controller tetap diaktifkan, tetapi validasi konfigurasi NGINX native dinonaktifkan secara default. Jika Anda menggunakan anotasi snippet untuk direktif NGINX kustom, konfigurasi ini tidak lagi divalidasi sebelumnya oleh webhook validasi. Kesalahan terkait hanya terdeteksi saat NGINX melakukan reload. Periksa log Pod NGINX Ingress controller setelah memodifikasi aturan Ingress dan perbaiki masalah konfigurasi apa pun.

Penting: Konfigurasi Ingress yang tidak valid tidak memengaruhi Pod NGINX Ingress controller yang sedang berjalan. Namun, Pod baru yang dibuat selama operasi scaling atau restart akan gagal memulai. Sebelum menerapkan perubahan ke lingkungan produksi, validasi semua direktif snippet secara menyeluruh di lingkungan staging.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang ada secara singkat.

v1.11.4-aliyun.2

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.4-aliyun.2

19 Maret 2025

Mengoptimalkan afinitas node untuk mencegah Pod dijadwalkan ke node Lingjun.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang ada secara singkat.

Februari 2025

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v1.11.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.4-aliyun.1

12 Februari 2025

Diperbarui ke versi komunitas v1.11.4. Menambahkan dukungan untuk mengonfigurasi batasan topologi di console.

Lakukan upgrade saat jam sepi, karena proses ini dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Agustus 2024

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.10.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.10.4-aliyun.1

20 Agustus 2024

Diperbarui ke edisi komunitas v1.10.4 untuk memperbaiki CVE-2024-7646. Lihat Masalah keamanan.

Lakukan upgrade saat jam sepi, karena proses ini dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Juli 2024

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.10.2-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.10.2-aliyun.1

24 Juli 2024

  • Menambahkan integrasi dengan Application Real-Time Monitoring Service (ARMS) melalui OpenTelemetry dan menghapus dukungan untuk OpenTracing.

  • Mengizinkan konfigurasi parameter --shutdown-grace-period, --exclude-socket-metrics, dan --default-ssl-certificate di halaman Add-ons.

  • Mengaktifkan forwarding layer 4 menggunakan Network Load Balancer (NLB).

  • Memperkuat image dan memperbaiki CVE-2023-5363, CVE-2023-5678, CVE-2024-25062, dan CVE-2024-2511.

  • NGINX ditingkatkan ke v1.25.5, yang memperkenalkan validasi lebih ketat untuk field header di respons backend. Lihat changeset.

    • Menolak respons backend dengan field header Content-Length dan Transfer-Encoding ganda.

    • Menolak respons backend dengan field header Content-Length atau Transfer-Encoding tidak valid.

    • Menolak respons backend yang memiliki kedua field header Content-Length dan Transfer-Encoding.

Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat. Lakukan upgrade saat jam sepi.

Oktober 2023

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.9.3-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.9.3-aliyun.1

24 Oktober 2023

Penting

Karena alasan keamanan, rilis ini menonaktifkan semua anotasi snippet, seperti nginx.ingress.kubernetes.io/configuration-snippet, secara default.

Jika Anda harus menggunakan fitur ini setelah melakukan penilaian risiko menyeluruh, tambahkan allow-snippet-annotations: "true" ke ConfigMap kube-system/nginx-configuration untuk mengaktifkannya.

  • Anotasi snippet dinonaktifkan secara default.

  • Menambahkan parameter --enable-annotation-validation, yang diaktifkan secara default. Parameter ini memvalidasi konten anotasi untuk membantu mengurangi CVE-2023-5044.

  • Memperbaiki CVE-2023-44487.

Lakukan upgrade saat jam sepi karena upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

September 2023

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v1.8.2-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.8.2-aliyun.1

20 September 2023

  • Golang ditingkatkan ke versi 1.21.1.

  • Jadwal anti-afinitas Pod berbasis hostname diubah dari preferred menjadi required untuk memberlakukan anti-afinitas tingkat node.

  • Menambahkan dukungan untuk OpenTelemetry. Lihat panduan konfigurasi komunitas.

  • Memperbaiki kerentanan CVE-2022-48174, CVE-2023-2975, CVE-2023-3446, dan CVE-2023-3817.

Lakukan upgrade saat jam sepi, karena upgrade dapat menyebabkan gangguan sementara pada koneksi yang sudah terbentuk.

Juni 2023

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.8.0-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.8.0-aliyun.1

20 Juni 2023

  • Image Alpine ditingkatkan ke versi 1.18.

  • Menambahkan opsi konfigurasi strict-validate-path-type untuk mengaktifkan validasi path ketat (dinonaktifkan secara default). Lihat dokumentasi ConfigMap komunitas.

  • Memperbaiki kerentanan, termasuk CVE-2023-28322 dan CVE-2023-2650.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Mei 2023

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.7.0-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.7.0-aliyun.1

5 Mei 2023

Penting

Versi ini tidak lagi mendukung Transport Layer Security (TLS) v1.1 dan v1.0 secara default. Jika Anda meng-upgrade NGINX Ingress Controller, evaluasi dampaknya terhadap layanan Anda. Lihat isu GitHub: set ssl-protocols config not working after v1.6.4. Jika Anda harus menggunakan versi TLS lama ini, lihat Masalah yang diketahui di versi sebelumnya untuk instruksi konfigurasi.

  • Golang ditingkatkan ke v1.20 dan image dasar Alpine ke v1.17.

  • Memperbaiki masalah di mana anotasi nginx.ingress.kubernetes.io/canary-weight-total tidak berlaku.

  • Menyelesaikan panic yang disebabkan oleh kondisi ready yang hilang di EndpointSlice.

  • Menangani kerentanan CVE-2023-27536 dan CVE-2023-0464.

  • Menghapus pemeriksaan awalan untuk nama layanan di EndpointSlice.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Maret 2023

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.6.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.6.4-aliyun.1

17 Maret 2023

  • Menambahkan dukungan untuk anotasi nginx.ingress.kubernetes.io/denylist-source-range untuk mengonfigurasi IP blacklist.

  • Menambahkan dukungan untuk anotasi cluster-autoscaler.kubernetes.io/safe-to-evict: "false" untuk mencegah penghapusan node yang menjalankan pod selama autoscaling.

  • Menambahkan kemampuan untuk mengaktifkan atau menonaktifkan logging di halaman Add-ons.

  • Menyelesaikan beberapa masalah stabilitas.

  • Menangani kerentanan CVE-2023-0286, CVE-2022-4450, dan CVE-2023-0215.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Februari 2023

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v1.5.1-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.5.1-aliyun.1

10 Februari 2023

  • NGINX Ingress controller v1.5.1 dan yang lebih baru hanya mendukung kluster ACK yang menjalankan Kubernetes v1.22.0 atau lebih baru.

  • NGINX ditingkatkan ke v1.21.6 dan Golang ke v1.19.2.

  • Plugin AHAS Sentinel diperbarui untuk mendukung sakelar use-mse.

  • Controller kini menggunakan resource coordination.k8s.io/leases untuk pemilihan leader.

  • EndpointSlices menggantikan Endpoints untuk penemuan endpoint.

  • Menambahkan beberapa metrik Prometheus dan menghentikan metrik _ingress_upstream_latency_seconds. Lihat ingress-nginx.

  • Menambahkan dukungan untuk menggunakan debug-connections guna mengaktifkan log debug NGINX untuk rentang IP tertentu.

  • Memperbaiki kerentanan CVE-2022-32149, CVE-2022-27664, dan CVE-2022-1996.

Lakukan upgrade saat jam sepi. Upgrade dapat menyebabkan gangguan sementara pada koneksi yang sudah terbentuk.

Juni 2022

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v1.2.1-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.2.1-aliyun.1

28 Juni 2022

  • Menghapus direktif alias dan root dari NGINX untuk mengurangi risiko keamanan.

  • Memperbaiki beberapa masalah stabilitas.

Lakukan upgrade saat jam sepi. Upgrade dapat menyebabkan gangguan sementara pada koneksi yang sudah terbentuk.

Mei 2022

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.2.0-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.2.0-aliyun.1

10 Mei 2022

  • Menambahkan inspeksi mendalam untuk objek Ingress, diaktifkan secara default, untuk memblokir konfigurasi yang berisi field sensitif. Hal ini mengatasi CVE-2021-25745.

  • Memperbaiki beberapa masalah stabilitas.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

April 2022

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v0.44.0.12-27ae67262-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.12-27ae67262-aliyun

29 April 2022

  • Mengoptimalkan pengaturan afinitas penjadwalan untuk mengaktifkan autoscaling di semua node kluster.

  • Memperbaiki kerentanan keamanan yang diketahui terkait fitur Application High Availability Service (AHAS) Sentinel.

  • Memperbaiki beberapa kerentanan di image dasar.

Lakukan upgrade saat jam sepi. Koneksi yang sudah terbentuk mungkin terganggu sementara selama upgrade.

Maret 2022

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v1.1.2-aliyun.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.2-aliyun.2

21 Maret 2022

  • Menurunkan versi Nginx ke v1.19.9 agar sesuai dengan versi komunitas dan meningkatkan stabilitas.

  • Memperbaiki crash di Ingress controller yang disebabkan oleh konfigurasi cors-allow-origin tidak valid.

  • Memperbaiki konflik path untuk Ingress dari IngressClasses berbeda selama validasi webhook.

  • Mencegah init container memodifikasi parameter kernel node saat hostNetwork diaktifkan.

  • Menangani kerentanan CVE-2022-0778 dan CVE-2022-23308.

Disarankan melakukan upgrade saat jam sepi. Pembaruan dapat menyebabkan gangguan sementara pada koneksi yang sudah terbentuk.

Januari 2022

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.1.0-aliyun.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.0-aliyun.2

12 Januari 2022

  • Plugin AHAS Sentinel ditingkatkan dari modul Java ke modul C++, meningkatkan performa secara signifikan.

  • Meningkatkan performa dengan menggunakan Protocol Buffers (Protobuf) untuk berkomunikasi dengan server API Kubernetes.

Lakukan upgrade saat jam sepi. Selama upgrade, koneksi yang sudah terbentuk mungkin terganggu sementara.

Desember 2021

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v1.1.0-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.0-aliyun.1

17 Desember 2021

  • NGINX Ingress controller v1.X.X hanya kompatibel dengan kluster ACK yang menjalankan Kubernetes v1.20.0 atau lebih baru. Untuk versi kluster sebelumnya, Anda harus menggunakan NGINX Ingress controller v0.X.X.

  • Sekarang menggunakan Ingress networking.k8s.io/v1 untuk mendukung kluster yang menjalankan Kubernetes v1.22 dan lebih baru.

  • Anotasi cors-allow-origin kini mendukung beberapa nilai dan secara dinamis mengembalikan respons berdasarkan header Origin permintaan.

  • Menambahkan dukungan untuk session affinity dalam konfigurasi canary, yang kini menjadi perilaku default.

  • Menambahkan dukungan untuk mengonfigurasi rilis canary tanpa menentukan host.

  • Menyempurnakan performa admission webhook.

  • Menyelesaikan beberapa masalah stabilitas.

Lihat changelog Ingress-NGINX.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Oktober 2021

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v0.44.0.9-7b9e93e7e-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.9-7b9e93e7e-aliyun

28 Oktober 2021

Lakukan upgrade saat jam sepi. Koneksi yang sudah terbentuk mungkin terganggu sementara.

September 2021

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v0.44.0.5-e66e17ee3-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.5-e66e17ee3-aliyun

6 September 2021

  • Plugin AHAS Sentinel ditingkatkan.

    • Performa dan stabilitas ditingkatkan.

    • Menambahkan dukungan untuk throttling traffic kluster.

  • Memperbaiki CVE-2021-36159.

  • Parameter kernel kernel.core_uses_pid dinonaktifkan secara default untuk mencegah file coredump menghabiskan disk space berlebihan.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Juni 2021

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v0.44.0.3-8e83e7dc6-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.3-8e83e7dc6-aliyun

1 Juni 2021

Memperbaiki CVE-2021-23017.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang sudah terbentuk secara singkat.

April 2021

Versi

Alamat image

Tanggal rilis

Deskripsi

Dampak

v0.44.0.2-abf1c6fe4-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.2-abf1c6fe4-aliyun

1 April 2021

Menambahkan kompatibilitas dengan the_real_ip di log_format NGINX Ingress controller v0.30 dan versi sebelumnya.

Lakukan upgrade saat jam sepi. Pembaruan dapat menyebabkan gangguan sementara pada koneksi yang sudah terbentuk.

Maret 2021

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v0.44.0.1-5e842447b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.1-5e842447b-aliyun

8 Maret 2021

  • Mengaktifkan validating admission webhook secara default. Lihat Cara kerja NGINX Ingress controller.

  • Memvalidasi nilai anotasi service-weight.

  • Menyempurnakan performa koneksi persisten dan koneksi singkat sebesar 20% hingga 50%.

  • Mendukung OCSP stapling.

  • LuaJIT ditingkatkan ke v2.1.0.

  • NGINX ditingkatkan ke v1.19.6.

  • Image Alpine ditingkatkan ke v3.13.

  • Menangani CVE OpenSSL.

  • Mengaktifkan TLS 1.3 secara default.

    Catatan

    Secara default, HTTPS hanya mendukung TLS 1.2 dan TLS 1.3. Untuk mengaktifkan dukungan TLS 1.0 dan TLS 1.1, lihat Versi SSL/TLS apa saja yang didukung NGINX Ingress?.

  • Membutuhkan Kubernetes v1.16 atau lebih baru.

  • Diperbarui ke versi komunitas 0.44.0. Lihat Changelog.

Lakukan upgrade saat jam sepi. Selama upgrade, koneksi yang sudah terbentuk mungkin terganggu sementara.

April 2020

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v0.30.0.1-5f89cb606-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.30.0.1-5f89cb606-aliyun

2 April 2020

  • Menambahkan dukungan untuk backend FastCGI.

  • Mengaktifkan mode Dynamic SSL Certificate Update secara default.

  • Menambahkan dukungan untuk konfigurasi pencerminan traffic.

  • NGINX ditingkatkan ke v1.17.8, OpenResty ke v1.15.8, dan image dasar ke Alpine.

  • Menambahkan dukungan untuk webhook validasi admission Ingress.

  • Memperbaiki kerentanan: CVE-2018-16843, CVE-2018-16844, CVE-2019-9511, CVE-2019-9513, dan CVE-2019-9516.

  • Perubahan Berdampak:

    • Menghentikan konfigurasi lua-resty-waf, session-cookie-hash, dan force-namespace-isolation.

    • Mengubah tipe data anotasi x-forwarded-prefix dari boolean ke string.

    • Variabel the_real_ip di log-format akan dihentikan dan diganti oleh remote_addr di rilis mendatang.

  • Diperbarui ke versi komunitas 0.30.0. Untuk daftar lengkap perubahan, lihat changelog komunitas.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang sudah terbentuk secara singkat.

Oktober 2019

Versi

Alamat image

Tanggal rilis

Perubahan

Dampak

v0.22.0.5-552e0db-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.5-552e0db-aliyun

24 Oktober 2019

Menambahkan dukungan untuk nama domain wildcard, daftar putih, dan pengalihan saat pembaruan server dinamis diaktifkan.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu sementara koneksi yang sudah terbentuk.

Juli 2019

Versi

Image Address

Tanggal rilis

Deskripsi

Dampak

v0.22.0.4-5a14d4b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.4-5a14d4b-aliyun

18 Juli 2019

Menambahkan dukungan untuk ekspresi reguler Perl pada aturan rilis canary.

Disarankan melakukan upgrade saat jam sepi, karena pembaruan dapat mengganggu sementara koneksi yang sudah terbentuk.

April 2019

Versi

Image Address

Tanggal rilis

Perubahan

Dampak

v0.22.0.3-da10b7f-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.3-da10b7f-aliyun

25 April 2019

  • Diperbarui ke versi komunitas 0.22.0. Untuk changelog, lihat Ingress-Nginx.

  • Menambahkan dukungan untuk penyebaran biru-hijau dan rilis canary saat pembaruan dinamis diaktifkan.

  • Mengaktifkan pembaruan dinamis untuk server upstream NGINX secara default.

  • Pembaruan besar: Anotasi rewrite-target kini menggunakan capture group. Untuk detail konfigurasi, lihat rewrite-target. Untuk instruksi upgrade yang lancar, lihat GitHub.

Lakukan upgrade saat jam sepi. Upgrade dapat mengganggu sementara koneksi yang sudah terbentuk.

Januari 2019

Versi

Image Address

Tanggal rilis

Deskripsi perubahan

Dampak

v0.20.0.2-cc39f1b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.20.0.2-cc39f1b-aliyun

17 Januari 2019

  • Mengoptimalkan jumlah default proses worker NGINX untuk mengurangi konsumsi resource host.

  • Mengaktifkan konfigurasi nomor port berbeda untuk versi lama dan baru layanan selama penyebaran biru-hijau dan rilis canary.

  • Memperbaiki kegagalan pemeriksaan konfigurasi NGINX dalam rilis canary yang terjadi saat versi layanan baru tidak memiliki pod backend aktif.

  • Memperbaiki masalah yang mencegah pembaruan endpoint alamat Ingress selama gangguan koneksi dengan server API Kubernetes.

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu sementara koneksi yang sudah terbentuk.

November 2018

Versi

Image Address

Tanggal rilis

Perubahan

Dampak

v0.20.0.1-4597ce2-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.20.0.1-4597ce2-aliyun

29 November 2018

  • Diperbarui ke versi komunitas 0.20.0. Untuk changelog lengkap, lihat Ingress-NGINX.

  • NGINX ditingkatkan ke v1.15.6 dan memperbaiki kerentanan keamanan terkait HTTP/2.

  • Menambahkan dukungan untuk ekspresi reguler di path.

  • Menghapus layanan default-http-backend dan menambahkan dukungan untuk mengonfigurasi layanan backend default kustom.

  • Menambahkan dukungan untuk blacklist berdasarkan IP, User-Agent, dan Referer.

  • Mengoptimalkan izin runtime default dan menghapus pengaturan container privileged.

  • Menambahkan dukungan untuk Apache JServ Protocol (AJP).

Lakukan upgrade saat jam sepi. Pembaruan dapat mengganggu koneksi yang sudah terbentuk secara singkat.