すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:NGINX Ingress コントローラー

最終更新日:Jun 19, 2026

NGINX Ingress controller コンポーネントのバージョンアップデート、セキュリティパッチ、および機能の変更を記載します。

重要

オープンソースの Ingress-NGINX プロジェクトのサポートが 2026 年 3 月末をもって終了することに伴い、Container Service for Kubernetes は NGINX Ingress Controller コンポーネントを非推奨とします。詳細については、「【製品に関するお知らせ】NGINX Ingress Controller コンポーネントのメンテナンス停止」をご参照ください。

概要

オープンソースの Ingress NGINX プロジェクトに基づき、NGINX Ingress コントローラーはクラスターの Service への統一されたエントリポイントを提供します。コードとバージョン番号はアップストリームコミュニティのプロジェクトに準拠しています。これはお客様のクラスターノード上の管理対象外コンポーネントであり、お客様が O&M を担当します。SLA は適用されず、広範なカスタマイズが可能です。

Ingress の主要な概念

Kubernetes クラスターでは、Ingress は内部サービスを公開するアクセスポイントとして機能し、ほとんどのサービストラフィックを処理します。Ingress は、外部トラフィックが内部サービスにアクセスする方法を管理するために使用される Kubernetes リソースオブジェクトです。Ingress リソースに転送ルールを設定して、トラフィックを異なるサービスのバックエンド Pod にルーティングできます。ACK における各種 Ingress の比較に関する詳細については、「Nginx Ingress、ALB Ingress、MSE Ingress の比較」をご参照ください。

仕組み

Nginx Ingress リソースが正しく機能するためには、クラスターに Nginx Ingress Controller をデプロイして Ingress の転送ルールを解析する必要があります。Nginx Ingress Controller はリクエストを受信し、Ingress ルールと照合し、対応するバックエンドのサービス Pod に転送して処理します。Kubernetes におけるサービス、Nginx Ingress、Nginx Ingress Controller の関係は次のとおりです。

  • サービスはバックエンドサービスの抽象化です。1 つのサービスで、複数の同一のバックエンドサービスを表すことができます。

  • Nginx Ingress は、どのサービス Pod が HTTP または HTTPS リクエストを受信するかを指定するリバースプロキシルールを定義します。たとえば、リクエストは各リクエストのホストと URL パスに基づいて、異なるサービス Pod にルーティングされます。

  • Nginx Ingress Controller は、Nginx Ingress のリバースプロキシルールを解析する Kubernetes クラスター内のコンポーネントです。Ingress が追加、削除、または変更されると、Nginx Ingress Controller は直ちに転送ルールを更新します。コントローラーがリクエストを受信すると、これらのルールに基づいてリクエストを適切なサービス Pod に転送します。

バージョン互換性

ターゲットバージョンがクラスターバージョンと互換性がない場合は、まずクラスターをアップグレードしてください。

NGINX Ingress コントローラーのバージョン

互換性のあるクラスターバージョン

[v1.12.6-release.1, v1.14.5-release.1]

1.24 以降

[v1.5.1-aliyun.1, v1.11.5-aliyun.1]

1.22 以降

[v1.1.0-aliyun.1, v1.2.1-aliyun.1]

1.20 and later

古いバージョンのリスク

NGINX Ingress コントローラー v1.2 以前のバージョンのメンテナンスは終了しました。詳細については、「製品に関するお知らせ」をご参照ください。古いバージョンでは、新機能、バグ修正、タイムリーなテクニカルサポートが提供されません。これにより、システムが未パッチのセキュリティ脆弱性に晒される可能性があります。速やかにコンポーネントをアップグレードしてください。

使用方法

リリースノート

2026 年 5 月

バージョン

イメージアドレス

変更日

変更内容

影響

v1.14.5-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.14.5-release.1

2026 年 5 月 20 日

機能強化:

  • Golang を v1.25.10 に更新しました。

  • Nginx のベースラインバージョンを v1.27.1 に更新しました。

脆弱性の修正:

  • Nginx からアップストリームのセキュリティパッチをバックポートしました:

    • CVE-2026-42945:ngx_http_rewrite_module におけるバッファオーバーフロー

    • CVE-2026-42946:ngx_http_scgi_module および ngx_http_uwsgi_module におけるバッファオーバーリード

    • CVE-2026-42934:ngx_http_charset_module におけるバッファオーバーリード

    • CVE-2026-40460:HTTP/3 アドレススプーフィング

    • CVE-2026-40701:OCSP におけるリゾルバー use-after-free

    • CVE-2026-1642:SSL アップストリームインジェクション

オフピーク時間帯にアップグレードしてください。アップグレードにより、確立された接続が短時間中断される可能性があります。

2026 年 4 月

バージョン

イメージアドレス

日付

説明

影響

v1.13.9-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.13.9-release.1

2026 年 4 月 2 日

コミュニティバージョン v1.13.9 にアップデートしました。完全な変更履歴をご参照ください。

ハイライト

脆弱性の修正:

  • Ingress コントローラー: アノテーションの組み合わせによる Nginx 設定インジェクション脆弱性を修正しました。 (#14731)

    • CVE-2026-4342: ingress-nginx のコメントベースの nginx 設定インジェクション (#137893)。CVSS スコア 8.8 の重大度の高い脆弱性です。

    • 攻撃者は、特定の Ingress アノテーションの組み合わせを使用して、 rules.http.paths.path フィールドに悪意のあるデータをインジェクトし、 Nginx に任意の設定をインジェクトできます。 これにより、 ingress-nginx コントローラーのコンテキスト内で任意のコード実行が可能になり、アクセス可能なすべての Secret が公開される可能性があります。 デフォルトのインストールでは、これにはクラスター内のすべての Secret が含まれます。 その結果、深刻な情報漏洩とシステムの完全性の侵害が発生します。

オフピーク時間にアップグレードしてください。アップデート中、確立済みの接続が一時的に中断される可能性があります。

2026年3月

バージョン

イメージアドレス

変更日

変更内容

影響

v1.13.8-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.13.8-release.1

2026年3月16日

コミュニティ版 v1.13.8 に更新されました。詳細については、「完全な変更履歴」をご参照ください。

ハイライト

脆弱性の修正

  • NGINX: OWASP コア ルール セットを v4.22.0 に更新しました。 (#14418)

    • CVE-2026-21876。CVSS スコア: 9.3 (クリティカル)。

    • OWASP コア ルール セットの multipart/form-data に対する文字セットの検証におけるロジックの欠陥に対処しました。以前は、攻撃者が特定の文字セットエンコーディングを持つ multipart リクエストを作成することで Web Application Firewall (WAF) をバイパスし、悪意のあるペイロードがバックエンドアプリケーションによって解析・実行される可能性がありました。

  • Admission Controller: validating webhook が処理できるリクエストサイズを 9 MB に制限しました。 (#14494)

    • CVE-2026-24514: ingress-nginx Admission Controller のサービス拒否 (DoS) (#14494)。CVSS スコア: 3.1 (低)。

    • validating webhook のリクエストサイズを制限しました。これにより、攻撃者が特大のオブジェクトやリクエストを送信して Admission Controller のメモリを枯渇させることを防ぎます。これが原因で、ingress-nginx コントローラー Pod が OOM Kill されたり、ノードのメモリが枯渇したりして、サービス拒否 (DoS) が発生する可能性がありました。

  • テンプレート: すべての location および server_name ディレクティブに引用符を追加し、引用符とバックスラッシュをエスケープしました。 (#14503)

    • CVE-2026-24512: ingress-nginx の rules.http.paths.path における Nginx 設定のインジェクション (#14503)。CVSS スコア: 8.8 (高)。

    • rules.http.paths.path フィールドを使用して生の Nginx 設定をインジェクションできる脆弱性を修正しました。これにより、攻撃者が細工したパス値を使用してテンプレートを抜け出し、設定ファイルに任意のディレクティブを書き込むことを防ぎます。これが原因で、コントローラー Pod でのリモートコード実行や、読み取り可能なすべての Secret へのアクセスにつながる可能性がありました。

  • アノテーション: auth メソッドの正規表現に ^ および $ アンカーを追加しました。 (#14506)

    • CVE-2026-1580: ingress-nginx の auth-method における Nginx 設定のインジェクション (#14506)。CVSS スコア: 8.8 (高)。

    • nginx.ingress.kubernetes.io/auth-method アノテーションの値の検証を強化し、期待されるメソッドとの完全一致のみを許可するようにしました。これにより、攻撃者が Nginx 設定に直接連結される可能性のある特殊なコンテンツをインジェクションすることを防ぎます。これが原因で、設定のインジェクション、リモートコード実行、およびクラスターの Secret の盗難につながる可能性がありました。

  • テンプレート: auth URL リクエストを処理する際に、カスタムエラーページをバイパスするようにしました。 (#14497)

    • CVE-2026-24513: ingress-nginx の auth-url 保護のバイパス (#14497)。CVSS スコア: 3.1 (低)。

    • auth-url アノテーションをカスタムエラーページのバックエンドとともに使用する際に発生する可能性のある認証バイパスの脆弱性を修正しました。この問題は、バックエンドが X-Code ヘッダーを正しく処理しない場合にトリガーされ、認証失敗 (401/403) が成功と誤って解釈され、保護されたパスへの不正アクセスにつながる可能性がありました。

  • テンプレート: proxy_pass ディレクティブに引用符を追加しました。 (#14669)

    • CVE-2026-3288: ingress-nginx の rewrite-target における Nginx 設定のインジェクション (#14669)。CVSS スコア: 8.8 (高)。

    • nginx.ingress.kubernetes.io/rewrite-target アノテーションの値が厳密にフィルタリングされておらず、Nginx 設定ファイルに任意のディレクティブをインジェクションできる脆弱性を修正しました。値が生成された nginx.conf に直接連結されていたため、Ingress リソースを作成または変更するための低い権限を持つ攻撃者が、コントローラー Pod のコンテキストでリモートコード実行を達成し、アクセス可能なすべての Secret を読み取ることができました。デフォルトのインストールでは、これにはクラスター内のすべての Secret が含まれます。

最適化

  • コントローラー: UID の有効性チェックを追加しました。 (#14500)

  • アノテーション: リスク評価でエイリアスを考慮するようにしました。 (#14666)

  • コントローラー: HTTP のみのホストでリクエストされた場合に、SSL パススルーが正しく有効になるようにしました。 (#14557)

  • アノテーション: proxy-cookie-domain に専用の正規表現を使用するようにしました。 (#14551)

  • テンプレート: パディングを削除した URLEncoding の代わりに RawURLEncoding を使用するようにしました。 (#14538)

バグ修正

  • ホストのクロックが未来に進んだ場合に発生する同期の問題を修正しました。 (#14450)

  • 空の cpu.max ファイルによって引き起こされるパニックを修正しました。 (#14449)

  • カスタムエラーページが返されたときにステータスコードを早期に書き込むことによって引き起こされるパニックを修正しました。 (#14163)

  • コントローラー: 複数のルールが存在する場合にホスト/パスの重複チェックが早期に終了する問題を修正しました。 checkOverlap 関数は、新しい Ingress オブジェクトが既存のどの Ingress オブジェクトとも重複しないことを確認するために、そのすべてのルールを検査するようになりました。以前は、最初のルールが検証に合格した後にこの関数は終了していました。 (#14131)

  • アノテーション: Equals 関数が auth-proxy-set-headers フィールドを検証しない問題を修正しました。 (#14104)

  • Store: Service 削除ハンドラでのパニックを修正しました。これは、Kubernetes クライアントのキャッシュが Kubernetes ストア内の v1.Service リソースの状態と不整合になった場合に発生し、クライアントが未処理の cache.DeletedFinalStateUnknown 型を返すことで、後続のチェックでパニックを引き起こしていました。 (#14057)

  • コントローラー: limit_req_zone のソート問題を修正し、設定が有効になる前にソートされるようにしました。 (#14006)

  • 設定/アノテーション: proxy-busy-buffers-size に関する下位互換性の問題を修正しました。テンプレートで明示的に定義されている場合にのみレンダリングされるようになりました。 (#13638)

  • 設定/アノテーション: proxy-busy-buffers-size のデフォルト値を削除しました。 (#13790)

  • Lua: 型不一致の問題を修正しました。 (#14515)

オフピーク時間にアップグレードしてください。アップデート中に既存の接続が短時間中断される場合があります。

2025 年 12 月

バージョン

イメージアドレス

日付

説明

影響

v1.12.6-release.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.12.6-release.1

2025 年 12 月 11 日

コミュニティバージョン v1.12.6 にアップデートしました。

重要

このバージョンでは、ingress-nginx のデフォルトのセキュリティ設定がより厳格になります。これらの変更により無効化される機能を使用している、または使用する予定がある場合は、十分なセキュリティリスク評価を実施したうえで、ConfigMap kube-system/nginx-configuration で有効にしてください:

  • 許可されるアノテーションのデフォルトのリスクレベルが High に引き下げられます。snippet タイプのアノテーションなど、Critical のリスクレベルのアノテーションを使用している、または使用する予定がある場合は、 annotations-risk-level: Critical を手動で追加する必要があります。

  • クロス名前空間のリソース参照はデフォルトで無効です。Ingress オブジェクトで auth-secretauth-tls-secretauth-proxy-set-headerfastcgi-params-configmapproxy-ssl-secret などのアノテーションを使用して他の名前空間の ConfigMap や Secret などのリソースを参照する必要がある場合は、 allow-cross-namespace-resources: "true" を手動で追加する必要があります。

  • 厳格なパス検証がデフォルトで有効です。つまり、パスタイプが Exact または Prefix のパスでは、パスは / で始まる必要があり、文字、数字、-_.、および追加の / のみを含めることができます。 +$ など、他の文字を含むパスを使用している、または使用する予定がある場合は、 strict-validate-path-type: "false" を手動で追加するか、パスタイプを ImplementationSpecific に変更する必要があります。

主な機能変更

  • 新機能:

    • annotation/AuthTLS:名前付きロケーションへのリダイレクトが可能になりました。 (#13820)

    • .Exact および Prefix パスで使用できるようにしました。 (#13800)

    • NGINX: OpenResty v1.25.3.2 にアップグレードしました。 (#13530)

    • 任意の CORS オリジンをサポートしました。 (#11153)

    • メトリクス: --metrics-per-undefined-host パラメータを追加しました。 (#11818)

  • 機能強化:

    • セキュリティ:ソケット作成を強化し、エラーコード入力を検証しました。 (#13786)

    • セキュリティ:デフォルトのセキュリティ設定を調整しました (#11819):

      • 許容されるアノテーションのリスクレベルを Critical から High に引き下げました。

      • クロス名前空間参照をデフォルトで無効にしました。

      • 厳格なパス検証を有効にしました。

    • NGINX: mimalloc のアーキテクチャ固有の最適化を無効にしました。 (#13670)

    • グローバルレート制限機能を削除しました。 (#11851)

      • 次の構成オプションを削除しました:

        • global-rate-limit-memcached-host

        • global-rate-limit-memcached-port

        • global-rate-limit-memcached-connect-timeout

        • global-rate-limit-memcached-max-idle-timeout

        • global-rate-limit-memcached-pool-size

        • global-rate-limit-status-code

      • 次のアノテーションを削除しました:

        • global-rate-limit

        • global-rate-limit-window

        • global-rate-limit-key

        • global-rate-limit-ignored-cidrs

    • /etc/nginx/lua/plugins におけるサードパーティ Lua プラグインのサポートを削除しました。 (#11821)

    • メトリクス: ingress_upstream_latency_seconds を削除しました。 (#11795)

  • バグ修正:

    • メトリクス: nginx_ingress_controller_config_last_reload_successful を修正しました。 (#13859)

    • Controller: SSL セッションチケットのパスを修正しました。 (#13668)

    • Lua: エンドポイントがない ExternalName Service の問題を修正しました。 (#13429)

    • ExternalName がバックエンドとして使用されている場合の DNS 名前解決の問題を修正しました。 (#12951)

オフピーク時間帯にアップグレードしてください。アップデート中に、確立された接続が短時間中断される可能性があります。

2025 年 9 月

バージョン

イメージアドレス

日付

説明

影響

v1.11.5-release.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.5-release.2

2025年9月11日

改善点:

確立された接続が短時間中断される可能性があるため、オフピーク時間にアップグレードしてください。

2025 年 3 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.11.5-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.5-aliyun.1

2025年3月26日

脆弱性 CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、および CVE-2025-24514 を修正するため、コミュニティ v1.11.5 に更新しました。 詳細については、「CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、および CVE-2025-24514 のセキュリティ速報」をご参照ください。

重要

CVE-2025-1974 の脆弱性を修正するため、NGINX Ingress コントローラーの検証 Webhook は有効なままですが、NGINX ネイティブ設定検証はデフォルトで無効になっています。カスタム NGINX ディレクティブにスニペットアノテーションを使用する場合、これらの設定は検証 Webhook によって事前検証されなくなりました。関連するエラーは、NGINX がリロードされたときにのみ検出されます。Ingress ルールを変更した後、NGINX Ingress コントローラーの Pod ログを確認し、設定の問題を修正してください。

重要:無効な Ingress 設定は、実行中の NGINX Ingress コントローラー Pod には影響しません。ただし、スケーリングや再起動時に作成される新しい Pod は起動に失敗します。本番環境に変更を適用する前に、ステージング環境ですべてのスニペットディレクティブを十分に検証してください。

オフピーク時間にアップグレードしてください。アップデートにより、既存の接続が一時的に中断される可能性があります。

v1.11.4-aliyun.2

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.4-aliyun.2

2025年3月19日

Pod が Lingjun ノードにスケジュールされないように、ノードアフィニティを最適化しました。

オフピーク時間にアップグレードしてください。アップデートにより、既存の接続が一時的に中断される可能性があります。

2025 年 2 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.11.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.11.4-aliyun.1

2025年2月12日

コミュニティバージョン v1.11.4 にアップデートし、コンソールでトポロジー制約を設定できるようになりました。

確立済みの接続が一時的に中断される可能性があるため、オフピーク時間にアップグレードしてください。

2024 年 8 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.10.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.10.4-aliyun.1

2024年8月20日

CVE-2024-7646 を修正するため、 Community Edition v1.10.4-aliyun.1 にアップデートしました。詳細については、「セキュリティ問題」をご参照ください。

アップグレードにより、確立された接続が一時的に中断される可能性があるため、オフピーク時間にアップグレードしてください。

2024年7月

バージョン

イメージアドレス

リリース日

説明

影響

v1.10.2-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.10.2-aliyun.1

2024年7月24日

  • OpenTelemetry による Application Real-Time Monitoring Service (ARMS) との統合を追加し、OpenTracing のサポートを廃止しました。

  • アドオン管理 ページで --shutdown-grace-period--exclude-socket-metrics--default-ssl-certificate パラメーターを設定できるようになりました。

  • Network Load Balancer (NLB) を使用したレイヤー 4 転送を有効にしました。

  • イメージを強化し、CVE-2023-5363、CVE-2023-5678、CVE-2024-25062、および CVE-2024-2511 を修正しました。

  • NGINX を v1.25.5 にアップグレードしました。これにより、バックエンドレスポンスにおけるヘッダーフィールドの検証がより厳格になります。詳細は変更セットをご参照ください。

    • Content-Length および Transfer-Encoding ヘッダーフィールドが重複するバックエンドのレスポンスを拒否します。

    • Content-Length または Transfer-Encoding ヘッダーフィールドが無効なバックエンドのレスポンスを拒否します。

    • Content-Length および Transfer-Encoding ヘッダーフィールドの両方を含むバックエンド応答を拒否します。

アップグレードにより、確立された接続が短時間中断される場合があります。アップグレードはピーク時間外に実施してください。

2023年10月

バージョン

イメージアドレス

リリース日

説明

影響

v1.9.3-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.9.3-aliyun.1

2023年10月24日

重要

セキュリティ上の理由により、このリリースでは nginx.ingress.kubernetes.io/configuration-snippet などのすべてのスニペットアノテーションがデフォルトで無効になります。

十分なリスクアセスメントを実施したうえで、この機能を使用する必要がある場合は、 kube-system/nginx-configuration ConfigMap に allow-snippet-annotations: "true" を追加して有効にしてください。

  • スニペットアノテーションはデフォルトで無効です。

  • デフォルトで有効な --enable-annotation-validation パラメーターを追加しました。このパラメーターはアノテーションコンテンツを検証し、CVE-2023-5044 を緩和します。

  • CVE-2023-44487 を修正しました。

アップグレードにより確立された接続が一時的に中断される可能性があるため、オフピーク時間にアップグレードしてください。

2023 年 9 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.8.2-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.8.2-aliyun.1

2023年9月20日

  • Golang をバージョン 1.21.1 にアップグレードしました。

  • ホスト名ベースの Pod アンチアフィニティスケジューリングを優先 (preferred) から必須 (required) に変更し、ノードレベルのアンチアフィニティを強制するようになりました。

  • OpenTelemetry のサポートを追加しました。詳細については、「コミュニティ設定ガイド」をご参照ください。

  • 脆弱性 CVE-2022-48174、CVE-2023-2975、CVE-2023-3446、および CVE-2023-3817 を修正しました。

アップグレードにより確立された接続が一時的に中断される可能性があるため、オフピーク時間にアップグレードしてください。

2023年6月

バージョン

イメージアドレス

リリース日

説明

影響

v1.8.0-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.8.0-aliyun.1

2023年6月20日

  • Alpine イメージをバージョン 3.18 にアップグレードしました。

  • 厳密なパス検証 (デフォルトでは無効) を有効にするためのstrict-validate-path-type設定オプションを追加しました。詳細については、「コミュニティの ConfigMap ドキュメント」をご参照ください。

  • CVE-2023-28322 および CVE-2023-2650 などの脆弱性を修正しました。

オフピーク時間にアップグレードしてください。アップグレードにより、確立された接続が短時間中断される可能性があります。

2023 年 5 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.7.0-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.7.0-aliyun.1

2023年5月5日

重要

このバージョンでは、トランスポート層セキュリティ (TLS) v1.1 および v1.0 がデフォルトでサポートされなくなりました。NGINX Ingress Controller をアップグレードする場合は、サービスへの影響を評価してください。詳細については、GitHub イシューの「set ssl-protocols config not working after v1.6.4」をご参照ください。これらの古い TLS バージョンを使用する必要がある場合は、「以前のバージョンの既知の問題」で設定手順をご確認ください。

  • Golang を v1.20 に、Alpine ベースイメージを v1.17 にアップグレードしました。

  • nginx.ingress.kubernetes.io/canary-weight-total アノテーションが反映されない問題を修正しました。

  • EndpointSlice で ready コンディションが欠落することにより発生するパニックを解消しました。

  • 脆弱性 CVE-2023-27536 および CVE-2023-0464 に対応しました。

  • EndpointSlice 内のサービス名のプレフィックスチェックを削除しました。

オフピーク時間にアップグレードしてください。アップグレードにより、確立済みの接続が一時的に切断される可能性があります。

2023年3月

バージョン

イメージアドレス

リリース日

説明

影響

v1.6.4-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.6.4-aliyun.1

2023 年 3 月 17 日

  • IP ブラックリストを設定するための nginx.ingress.kubernetes.io/denylist-source-range アノテーションのサポートが追加されました。

  • オートスケーリング中にポッドをホストするノードの削除を防ぐための cluster-autoscaler.kubernetes.io/safe-to-evict: "false" アノテーションのサポートが追加されました。

  • [アドオンページ] でロギングを有効化または無効化する機能を追加しました。

  • 複数の安定性の問題を解決しました。

  • 脆弱性 CVE-2023-0286、CVE-2022-4450、CVE-2023-0215 に対処しました。

オフピーク時間にアップグレードしてください。アップデートにより、確立された接続が一時的に中断される可能性があります。

2023年2月

バージョン

イメージアドレス

リリース日

説明

影響

v1.5.1-aliyun.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/aliyun-ingress-controller:v1.5.1-aliyun.1

2023年2月10日

  • NGINX Ingress コントローラー v1.5.1 以降は、Kubernetes v1.22.0 以降を実行する ACK クラスターのみをサポートします。

  • NGINX を v1.21.6 に、Golang を v1.19.2 にアップグレードしました。

  • AHAS Sentinel プラグインが更新され、use-mse スイッチをサポートするようになりました。

  • コントローラーは、リーダー選出のために coordination.k8s.io/leases リソースを使用するようになりました。

  • エンドポイント検出に Endpoints の代わりに EndpointSlice を使用するようになりました。

  • 複数の Prometheus メトリクスを追加し、_ingress_upstream_latency_seconds メトリクスは非推奨になりました。詳細については、「ingress-nginx」をご参照ください。

  • debug-connections を使用して、特定の IP 範囲の NGINX デバッグログを有効にできるようになりました。

  • 脆弱性 CVE-2022-32149、CVE-2022-27664、および CVE-2022-1996 を修正しました。

アップグレードにより確立済みの接続に一時的な中断が発生する可能性があるため、オフピーク時間帯にアップグレードしてください。

2022年6月

バージョン

イメージアドレス

リリース日

説明

影響

v1.2.1-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.2.1-aliyun.1

2022年6月28日

  • セキュリティリスクを低減するため、NGINX から alias および root ディレクティブを削除しました。

  • 複数の安定性の問題を修正しました。

オフピーク時間にアップグレードしてください。アップグレードにより、確立された接続が一時的に中断される可能性があります。

2022年5月

バージョン

イメージアドレス

リリース日

説明

影響

v1.2.0-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.2.0-aliyun.1

2022年5月10日

  • Ingress オブジェクトのディープインスペクションを追加しました。デフォルトで有効であり、機密フィールドを含む設定をブロックします。これにより CVE-2021-25745 に対処します。

  • 複数の安定性の問題を修正しました。

オフピーク時間帯にアップグレードしてください。アップグレードにより、確立済みの接続が一時的に中断される可能性があります。

2022年4月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.12-27ae67262-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.12-27ae67262-aliyun

2022年4月29日

  • すべてのクラスターノードでオートスケーリングを有効にするため、スケジューリングアフィニティ設定を最適化しました。

  • Application High Availability Service (AHAS) Sentinel 機能に関連する既知のセキュリティ脆弱性を修正しました。

  • ベースイメージの複数の脆弱性を修正しました。

オフピーク時間にアップグレードしてください。アップグレード中に、確立された接続が一時的に中断される可能性があります。

2022 年 3 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.1.2-aliyun.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.2-aliyun.2

2022年3月21日

  • コミュニティ版に合わせて安定性を向上させるため、Nginx を v1.19.9 にダウングレードしました。

  • 無効な cors-allow-origin 設定に起因する Ingress コントローラーのクラッシュを修正しました。

  • Webhook 検証時に、異なる IngressClass に属する Ingress 間でパスの競合が発生する問題を修正しました。

  • hostNetwork が有効な場合に、init コンテナがノードのカーネルパラメーターを変更しないようにしました。

  • 脆弱性 CVE-2022-0778 および CVE-2022-23308 に対処しました。

オフピーク時間帯でのアップグレードを推奨します。アップデートにより、確立された接続が一時的に中断される可能性があります。

2022 年 1 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.1.0-aliyun.2

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.0-aliyun.2

2022年1月12日

  • AHAS Sentinel プラグインを Java から C++ モジュールにアップグレードし、パフォーマンスを大幅に向上させました。

  • Kubernetes API server との通信に Protocol Buffers (Protobuf) を使用し、パフォーマンスを向上させました。

オフピーク時間にアップグレードしてください。アップグレード中、確立済みの接続が一時的に中断される可能性があります。

2021 年 12 月

バージョン

イメージアドレス

リリース日

説明

影響

v1.1.0-aliyun.1

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v1.1.0-aliyun.1

2021年12月17日

  • NGINX Ingress controller v1.X.X は、Kubernetes v1.20.0 以降を実行する ACK クラスターとのみ互換性があります。それ以前のクラスターバージョンでは、NGINX Ingress controller v0.X.X を使用する必要があります。

  • Kubernetes v1.22 以降を実行するクラスターをサポートするため、networking.k8s.io/v1 Ingress を使用するようになりました。

  • cors-allow-origin アノテーションが複数の値をサポートし、リクエストの Origin ヘッダーに基づいて動的にレスポンスを返すようになりました。

  • カナリア設定における session affinity のサポートを追加しました。これがデフォルトの動作になります。

  • ホストを指定せずにカナリアリリースを設定するためのサポートを追加しました。

  • Admission Webhook のパフォーマンスを改善しました。

  • いくつかの安定性の問題を解決しました。

詳細については、「Ingress-NGINX changelog」をご参照ください。

オフピーク時間にアップグレードしてください。アップグレードにより、確立済みの接続が短時間中断される場合があります。

2021 年 10 月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.9-7b9e93e7e-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.9-7b9e93e7e-aliyun

2021年10月28日

  • CVE-2021-25742 の脆弱性を緩和するため、allow-snippet-annotations アノテーションを追加しました。詳細については、「Vulnerability fixed: CVE-2021-25742」をご参照ください。

  • 潜在的なメモリリークを修正するため、SSL ビルトインキャッシュを無効にしました。

  • CVE-2021-22945、CVE-2021-22946、CVE-2021-3711、CVE-2021-3712 の脆弱性を修正しました。詳細については、CVE-2021-22945CVE-2021-22946CVE-2021-3711CVE-2021-3712 をご参照ください。

  • AHAS Sentinel SDK を 1.9.7 にアップグレードしました。

オフピーク時間にアップグレードしてください。確立された接続が短時間中断される可能性があります。

2021 年 9 月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.5-e66e17ee3-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.5-e66e17ee3-aliyun

2021年9月6日

  • AHAS Sentinel プラグインをアップグレードしました。

    • パフォーマンスと安定性を改善しました。

    • クラスタートラフィックのスロットリングをサポートしました。

  • CVE-2021-36159 を修正しました。

  • コアダンプファイルが過剰なディスク領域を消費するのを防ぐため、デフォルトで kernel.core_uses_pid カーネルパラメーターを無効にしました。

オフピーク時間にアップグレードしてください。アップグレードにより、確立済みの接続が一時的に中断される可能性があります。

2021年6月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.3-8e83e7dc6-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.3-8e83e7dc6-aliyun

2021年6月1日

CVE-2021-23017 を修正しました。

オフピーク時間にアップグレードしてください。アップデートにより、確立された接続が一時的に中断される可能性があります。

2021 年 4 月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.2-abf1c6fe4-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.2-abf1c6fe4-aliyun

2021年4月1日

NGINX Ingress controller v0.30 以前の log_format に、the_real_ip との互換性を追加しました。

オフピーク時間にアップグレードしてください。アップデートにより、確立済みの接続が一時的に中断される可能性があります。

2021年3月

バージョン

イメージアドレス

リリース日

説明

影響

v0.44.0.1-5e842447b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.44.0.1-5e842447b-aliyun

2021年3月8日

  • 検証アドミッション Webhook がデフォルトで有効になりました。詳細については、「NGINX Ingress コントローラーの仕組み」をご参照ください。

  • service-weight アノテーションの値の検証をサポートしました。

  • 永続的接続および短期接続のパフォーマンスを 20%~50% 向上させました。

  • OCSP ステープリングをサポートしました。

  • LuaJIT を v2.1.0 にアップグレードしました。

  • NGINX を v1.19.6 にアップグレードしました。

  • Alpine イメージを v3.13 にアップグレードしました。

  • OpenSSL の CVE に対処しました。

  • TLS 1.3 がデフォルトで有効になりました。

    説明

    デフォルトでは、HTTPS は TLS 1.2 および TLS 1.3 のみをサポートします。TLS 1.0 および TLS 1.1 のサポートを有効にするには、「NGINX IngressはどのSSL/TLSバージョンをサポートしていますか?」をご参照ください。

  • Kubernetes v1.16 以降が必要です。

  • コミュニティバージョン 0.44.0 にアップデートしました。変更履歴をご参照ください。

オフピーク時間にアップグレードしてください。アップグレード中、確立された接続が一時的に中断される可能性があります。

2020年4月

バージョン

イメージアドレス

リリース日

説明

影響

v0.30.0.1-5f89cb606-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.30.0.1-5f89cb606-aliyun

2020年4月2日

  • FastCGI バックエンドのサポートを追加しました。

  • Dynamic SSL Certificate Update モードをデフォルトで有効化しました。

  • トラフィックミラーリング設定のサポートを追加しました。

  • NGINX を v1.17.8 に、OpenResty を v1.15.8 に、ベースイメージを Alpine にアップグレードしました。

  • Ingress 検証アドミッション Webhook のサポートを追加しました。

  • 脆弱性を修正しました: CVE-2018-16843、CVE-2018-16844、CVE-2019-9511、CVE-2019-9513、CVE-2019-9516。

  • 破壊的変更:

    • lua-resty-waf、session-cookie-hash、force-namespace-isolation の設定を非推奨にしました。

    • x-forwarded-prefix アノテーションのデータ型をブール値から文字列に変更しました。

    • ログフォーマット内の the_real_ip 変数は非推奨となる予定であり、将来のリリースで remote_addr に置き換えられます。

  • コミュニティ版 0.30.0 にアップデートしました。変更の完全なリストについては、「コミュニティの変更履歴」をご参照ください。

オフピーク時間にアップグレードしてください。アップデートにより、確立された接続が一時的に中断される可能性があります。

2019年10月

バージョン

イメージアドレス

リリース日

変更内容

影響

v0.22.0.5-552e0db-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.5-552e0db-aliyun

2019年10月24日

動的なサーバー更新が有効な場合に、ワイルドカードドメイン名、ホワイトリスト、リダイレクトに対応しました。

オフピーク時間にアップグレードしてください。アップデートにより、確立された接続が一時的に中断される可能性があります。

2019 年 7 月

バージョン

イメージアドレス

リリース日

説明

影響

v0.22.0.4-5a14d4b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.4-5a14d4b-aliyun

2019年7月18日

カナリアリリースルールに Perl 正規表現のサポートを追加しました。

アップデートにより確立済みの接続が一時的に中断される可能性があるため、オフピーク時間にアップグレードすることを推奨します。

2019 年 4 月

バージョン

イメージアドレス

リリース日

変更点

影響

v0.22.0.3-da10b7f-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.22.0.3-da10b7f-aliyun

2019年4月25日

  • コミュニティ版 0.22.0 へアップデート。 変更履歴については、「Ingress-Nginx」をご参照ください。

  • 動的更新が有効な場合に、ブルーグリーンリリースとカナリアリリースのサポートを追加。

  • NGINX upstream サーバーの動的更新をデフォルトで有効化。

  • 重要な更新: rewrite-target アノテーションがキャプチャグループを使用するようになりました。 設定の詳細については、「rewrite-target」をご参照ください。 スムーズなアップグレードの手順については、「GitHub」をご参照ください。

オフピーク時間にアップグレードしてください。 アップグレードにより、確立済みの接続が一時的に中断される可能性があります。

2019年1月

バージョン

イメージアドレス

リリース日

変更内容

影響

v0.20.0.2-cc39f1b-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.20.0.2-cc39f1b-aliyun

2019年1月17日

  • NGINX ワーカプロセスのデフォルト数を最適化し、ホストリソースの消費を削減しました。

  • ブルーグリーンリリースおよびカナリアリリース時に、Service の旧バージョンと新バージョンで異なるポート番号を設定できるようになりました。

  • カナリアリリースにおいて、新しい Service バージョンにアクティブなバックエンド Pod がない場合に NGINX 設定チェックが失敗する問題を修正しました。

  • Kubernetes API サーバーとの接続に問題が発生した際に、Ingress アドレスエンドポイントが更新されない問題を修正しました。

オフピーク時にアップグレードしてください。アップデートにより、既存の接続が一時的に中断される可能性があります。

2018年11月

バージョン

イメージアドレス

リリース日

変更

影響

v0.20.0.1-4597ce2-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/aliyun-ingress-controller:v0.20.0.1-4597ce2-aliyun

2018年11月29日

  • コミュニティバージョン 0.20.0 に更新しました。完全な変更履歴については、「Ingress-NGINX」をご参照ください。

  • NGINX を v1.15.6 にアップグレードし、HTTP/2 関連のセキュリティの脆弱性を修正しました。

  • パスでの正規表現のサポートを追加しました。

  • default-http-backend Service を削除し、カスタムのデフォルトバックエンドサービスの設定をサポートしました。

  • IP、User-Agent、および Referer に基づくブラックリストのサポートを追加しました。

  • デフォルトのランタイム権限を最適化し、特権コンテナの設定を削除しました。

  • Apache JServ Protocol (AJP) のサポートを追加しました。

オフピーク時間にアップグレードしてください。アップデートにより、確立済みの接続が短時間中断する場合があります。