アトランタで開催された KubeCon では、Kubernetes に関する大きな発表が相次ぎましたが、その中で最も重大な動きのひとつが、ほとんど注目されないまま見過ごされました。最も古く、最も広く導入されてきたコンポーネントのひとつである Ingress NGINX コントローラーが、正式に非推奨と宣言されたのです。このプロジェクトは 2026 年 3 月にサポート終了を迎えます。その日以降、新しいリリースもパッチもセキュリティ修正も一切提供されません。
Ingress NGINX は、Kubernetes クラスター向けのインバウンドトラフィックコントローラーです。リバースプロキシとして機能し、事前に定義されたルール(ドメイン、パス、TLS 設定など)に基づいて、外部からの HTTP/HTTPS リクエストを適切な内部サービスへルーティングします。その目的は、信頼性の高いルーティングと負荷分散を実現することに長らく置かれてきました。実際には、すべての受信トラフィックがこのコンポーネントを通過しており、無数のアプリケーションの安定性は、その適切な設定に依存していました。まさにこの点こそが、Ingress NGINX の人気が高止まりしてきた理由です。とりわけ予測可能性と制御性が重視される本番環境で、あらゆる場所にデプロイされてきました。
Kubernetes エコシステムの中核的存在でありながら、このプロジェクトは長年にわたり、ほぼ完全に数名の善意に支えられて存続してきました。1 人か 2 人のメンテナーが、本業の合間を縫ってサポートと開発を担っていたのです。平日、夜間、週末をパッチや改善、バグ修正に捧げる生活が、何年も続きました。昨年、彼らはプロジェクトを終了させる意向を表明すると同時に、後継となる仕組みを Gateway API コミュニティと協力して進めていることも明らかにしました。しかし、この明確で早期の警告にもかかわらず、広範な関与はほとんど得られませんでした。Ingress NGINX のメンテナンスを本格的に引き継ごうとする人も、提案されていた代替案 InGate の推進に本腰を入れる人も、実質的には現れなかったのです。
状況が一気に悪化したのは、Wix が重大な脆弱性を発見してからです。彼らの報告によると、この脆弱性を悪用すれば、攻撃者はクラスターの運用を妨害できるだけでなく、任意コードの実行や、ネームスペースをまたいだシークレットを含むすべての機密データへのアクセスが可能になるとのことでした。実質的には、その上に構築されたあらゆるプラットフォームが完全に乗っ取られ得ることを意味します。このような事実が明らかになった以上、アクティブなメンテナンスなしでコンポーネントを放置することは、理論上であってももはや許容できなくなりました。
Ingress NGINX のライフサイクル終了の決定は、一部ユーザーから強い反発を招きました。多くの人々は、ドキュメントの更新や代替手段への移行を行うには、提示されたリタイア時期が短すぎると憤慨しました。実際、大企業や複雑なインフラでは、そのような移行に数か月を要することも珍しくありません。しかし、Kubernetes メンテナーの Tim Hockin 氏は、Ingress NGINX の開発者たちは雇用された従業員ではなく、何年にもわたり無償で働いてきたボランティアであることを批判者たちに思い出させました。プロジェクトが終了する可能性を示唆してからの 2 年間、メンテナンスを引き継ぐ意思を示した人はほとんどいませんでした。このような状況では、クローズは必然だったのです。
より深刻な問題は、ひとつの危険なコンポーネントにとどまりません。脆弱性自体はありふれたもので、もはや冷静なエンジニアであれば驚きもしません。本当の問題は、企業社会とオープンソースとの関わり方のモデルにあります。ほぼすべての企業がこれらのツールに依存しているにもかかわらず、その維持に対してほとんど何も貢献していないのです。
Buoyant の CEO である William Morgan 氏は、現実的な道筋は 2 つしかないと述べています。ひとつは、Buoyant がそうであるように、プロジェクト自体から直接収益を得る企業がメンテナンスを担うパターン。もうひとつは、Google が GCP クラウドを推進するために Kubernetes を支えているように、そのプロジェクトの存在が自社にとって不可欠である企業が資金を提供するパターンです。どちらのシナリオにも共通する前提はひとつだけです。「コードを書き、維持している人々に報酬を支払うこと」。これこそが唯一持続可能な解決策だと、彼は主張します。
Ingress NGINX は例外ではありません。FFmpeg のボランティアメンテナーと Google のエンジニアの間でも、同様の対立が起きていました。セキュリティ要件は増え続ける一方で、それに応えるためのリソースは一切提供されなかったのです。皮肉なことに、FFmpeg はブラウザ、ストリーミングプラットフォーム、テレビ、メディアプレーヤーなどで、毎日何十億人ものユーザーに利用されています。あらゆる場所で使われているにもかかわらず、その存続は、誰にも雇われず、誰からも資金提供を受けていない、ほんの一握りのボランティアにかかっているのです。
これは、長年警鐘が鳴らされてきた悪循環、すなわち「インターネット全体が、ネブラスカ州のどこかの誰かが書いた、よく知られていない小さなモジュールひとつの上に成り立っている」という、あの有名な xkcd の漫画そのものです。かつては誇張だと思われていたものが、今や現実となりました。そして、そのプログラマーも、食事をし、眠り、週末を過ごす必要があるのです。
Ingress NGINX は姿を消しますが、それとともに「無料の」オープンソースという幻想も消え去ります。これらのプロジェクトが自力で存続しているふりをするのは、もうやめるべき時です。コミュニティが、その生命線を支えている人々に対して対価を支払い始めない限り、私たちのデジタル世界を支える基盤は、一つずつ静かに消えていくことになるでしょう。
