自从 ingress-nginx 和 ingate 宣布将于 2026 年 3 月正式停止维护以来，围绕如何从 ingress 平滑迁移到 gateway api 的讨论持续升温。由于二者在架构理念与资源模型上的根本差异，cert-manager 当前尚无法在 gateway api 场景下复现原有 ingress 中的 tls 自助服务能力。

Ingress 是一个单体式资源，而 Gateway API 则采用分层设计：由集群运维人员管控的 Gateway 资源，与由业务团队自主管理的 HTTPRoute 资源解耦；TLS 配置被统一收口至 Gateway 层，由平台侧集中管理。

当前缺失的关键拼图，是 Gateway API 中处于实验阶段的 XListenerSet 资源——其核心目标正是在共享 Gateway 上恢复按团队粒度的 TLS 自主配置能力。cert-manager 已规划在 1.20 版本（预计发布于 2026 年 2 月 10 日）中引入对 XListenerSet 的实验性支持，并将在 1 月份先行推出 alpha 版本供早期验证。

多租户 Ingress 迁移的核心挑战

绝大多数 Ingress 用户以多租户模式部署控制器，典型代表包括 ingress-nginx 和 InGate。所谓多租户 Ingress 控制器，通常具备以下特征：

• 单个集群内仅部署一套由平台团队统一运维的共享控制器或代理；
• 各业务团队独立创建并维护自己的 Ingress 资源及 TLS 相关注解；
• cert-manager 基于主机名自动完成证书申请、签发与注入。

而在 Gateway API 模型中，TLS 配置已上移至 Gateway 资源层级：开发者虽可自由创建 HTTPRoute，却无权修改平台团队所拥有的共享 Gateway 对象。这直接导致 TLS 配置丧失自助能力，任何变更均需提交工单协调处理，如下图所示：

• 过去使用 Ingress 时，应用开发者可直接定义 TLS 参数；
• 当前采用 Gateway 时，TLS 配置必须由集群运营方在 Gateway 上统一设置。

这一转变虽削弱了部分场景下的开发敏捷性，但恰恰体现了 Gateway API 的安全设计哲学：Ingress API 存在潜在风险——不同团队可能通过声明相同主机名但不同 TLS 设置的 Ingress 对象，无意或恶意劫持他人流量。尤其在大型集群中，多个团队共存时因冲突 Ingress 导致的流量劫持事件屡见不鲜。将 TLS 管控权收敛至 Gateway 层，显著提升了租户间的安全隔离边界，代价则是牺牲了简单多租户模型下的自助便利性。

cert-manager 当前为何难以独立破局

目前 cert-manager 对 Gateway API 的 TLS 支持，仅限于监听 Gateway 资源本身：它会识别带有 cert-manager.io/issuer 或 cert-manager.io/cluster-issuer 注解、启用了 HTTPS 监听器、且已配置 tls.certificateRefs 字段的 Gateway 对象，并据此自动生成 Certificate 和 Secret。

参考示例：

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: istio-gateway
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  gatewayClassName: istio
  listeners:
    - name: https
      hostname: 'foo.example.com'
      port: 443
      protocol: HTTPS
      allowedRoutes:
        namespaces:
          from: All
      tls:
        mode: Terminate
        certificateRefs:
          - name: gateway-tls

需注意的是，cert-manager 并不解析 HTTPRoute 中的主机名字段，因为该字段仅用于路由匹配，不参与 TLS 握手过程。

该机制仅适用于以下两类有限场景：

• 每个团队独占一个 Gateway 实例（带来额外资源开销与运维复杂度），或
• Gateway 实现为轻量级逻辑抽象（如某些服务网格控制面）。

但对于主流的“单一共享 Gateway + 多团队协作”模式而言，当前并无兼顾安全性与易用性的标准方案。若强行启用通配符证书或过度开放 RBAC 权限，则可能引入严重安全隐患。

ListenerSet：填补空白的关键组件

依据 GEP-1713 提案，Gateway API 正在推进 ListenerSet 资源的标准化（现阶段以实验性 XListenerSet 形式存在），最初定位是支撑 Knative 等自动化平台高效管理海量监听器的需求。

实践发现，ListenerSet 同样能有效应对多租户共享 Gateway 下的 TLS 自助配置难题，同时保障基础设施运营方对 Gateway 核心资源的绝对控制权。

借助 ListenerSet，可达成如下分工：

• 平台团队掌控唯一的共享 Gateway 及其底层基础设施；
• 各业务团队通过创建属于自身命名空间的 ListenerSet 对象，定义专属监听器及其 TLS 配置。

Gateway API 控制器结合 RBAC 与命名空间隔离机制，确保各团队只能操作自己所属的 ListenerSet，彻底规避跨团队配置冲突：

对习惯 Ingress 的用户而言，“ListenerSet + HTTPRoute”组合提供了最贴近原生 Gateway API 的类 Ingress 使用体验，如下图所示：

• 过去 Ingress 模式下，应用开发者完全掌控 TLS 配置；
• 当前 Gateway + ListenerSet 模式下，开发者仍保有 TLS 自助能力，无需每次变更都依赖集群运营方介入。

cert-manager 路线图：2026 年 2 月起支持 XListenerSet

计划交付能力

cert-manager 1.20 将提供对 XListenerSet 资源的实验性支持，包括识别 cert-manager.io/issuer 和 cert-manager.io/cluster-issuer 注解（需显式启用特性门控）。当同一 Gateway 关联多个 ListenerSet 时，XListenerSet 的注解优先级高于 Gateway 本身的注解，后者作为兜底默认策略。

关键时间节点

• 2026 年 1 月：发布首个支持 XListenerSet 的 alpha 版本，面向社区开放测试与反馈；
• 2026 年 2 月 10 日：cert-manager 1.20 正式版上线，包含实验性 XListenerSet 支持功能。

待 Gateway API 将 ListenerSet 资源正式晋升为稳定版本（v1）后，cert-manager 将同步提供对稳定版 ListenerSet 的完整支持，并配套推出从 XListenerSet 到 ListenerSet 的平滑迁移工具与指南。

Ingress-nginx 与 InGate 退役：实际影响评估

cert-manager 1.20 计划于 2026 年 2 月发布，恰好位于 ingress-nginx 和 InGate 官方退役前一个月。鉴于 XListenerSet 当前仍属实验性质，需明确以下预期：

• 当前基于 Gateway API 的多租户 TLS 自助方案尚未成熟，缺乏生产就绪的安全保障；
• cert-manager 1.20 提供的 XListenerSet 支持，仅为技术预演路径，供用户提前评估与试用；
• 稳定支持将随 Gateway API v1.5（含 ListenerSet GA）落地，预计集成于 cert-manager 1.21 或 1.22 版本中。

结语

cert-manager 团队强调，推动用户平稳过渡至 Gateway API 是其长期战略重点。目前已全面启动文档与教程体系向 Gateway API 的迁移工作，期望 XListenerSet 成为多租户 Ingress 控制器用户的首选演进路径。

对于仍在使用 ingress-nginx 的用户，建议优先考虑迁移至其他成熟的 Ingress 控制器（如 Traefik），而非仓促切换至 Gateway API。待 cert-manager 对稳定版 ListenerSet 提供完备支持后，再系统性规划向 Gateway API 的整体迁移。

更多细节请参阅官方公告。

源码地址：点击下载

# knative  # 这一  # 稳定版  # 是一个  # 的是  # 自己的  # 基础设施  # 如下图  # 所示  # 门控  # 多个  # 自动化  # https  # nginx  # 事件  # 对象  # 命名空间  # gateway  # 架构  # trae  # gate  # .net  # 应用开发  # 路由  # 工具 

相关文章： Steam大奖提名，版本“亲临噩梦”上线，《消逝的光芒：困兽》迎来入坑最佳时机  荣耀WIN系列海外口碑炸裂，“年度电竞夯机”实至名归   京东官宣自营外卖店“七鲜小厨”走向全国，明年完成国内所有一二线城市布局  办公电竞双适配 傲风G5成高性价比电竞椅推荐  洛杉矶“死亡隧道”！网友开车还原Vince死亡时刻  锐龙AI MAX+ 395赋能千行百业--之保险理财  《碧蓝幻想》国际服将于明年3月登陆Steam！已有账号数据不互通  都是超大巨无霸电池 荣耀Power2和一加Turbo 6你选哪款？  荣耀王班：2025年荣耀沙特业务部手机发货量破200万台  英伟达发布 Unsloth LLM 微调指南  《女巨人游乐场》更新圣诞造型 白袜红高根践踏城市  首发溢价超千元！小米17 Ultra徕卡版被炒至10000元  旺旺和旺仔是父子？你不知道的旺旺冷知识。。。  马斯克疯狂鼓吹：投资者涌进人形机器人赛道，创业者警告技术成熟度被高估  Qwen Code 正式发布 VSCode 插件 & TypeScript SDK  NVIDIA 开源通用游戏 AI 模型 NitroGen  Fish Shell 4.3 正式发布 — 更强脚本支持与交互体验提升  王者荣耀海诺终极攻略：双形态法师出装铭文全解析  首发299元 追觅首款路由器灵逍D70开售：Wi-Fi 7、2.5G网口  《空洞骑士：丝之歌》玩家发现隐藏动画 或与DLC有关  Linux 6.19 内核为旧 AMD GPU 带来约 30% 的显著性能提升  2026苹果新品懒人包一览：25 款新机齐发、从智慧门铃到AR眼镜惊喜连发  中兴BE7200 MAX Wi-Fi7路由器首发679元：万兆SFP、全2.5G网口  曝真我手机大规模裁员！官方回应：正常人员变动  春节出行不焦虑！真我GT8用硬实力守护你的团圆时刻  苹果、高通、联发科9月正面交锋！传三大晶片商首批2奈米SoC同月亮相  10000mAh电池的手机 被荣耀给做出来了  API 接口开放平台 Crabc 3.5.4 发布  新架构×1、新芯片×3、新整机×2、新集群×1：5岁的摩尔线程彻底爆发了！  REDMI多款机型迎来HyperOS 3系统推送 含K60系列  华硕终于发布RTX 5090D v2显卡！OC版已正式上架：19999元  上海发布加强开源体系建设实施方案  快看漫画联手 MiniMax 发布 AI 互动漫画  vivo Y500i发布 搭载骁龙4 Gen 2平台 512GB售1799元  20张发人深省的插画，深刻揭露了社会现实  “巅峰影像科技旗舰”小米17 Ultra重磅发布，开启移动影像“光学变焦时代”  《孤岛惊魂2》Xbox服务器意外“复活”多人模式回归  腾讯跨端开源框架 Kuikly 能力、生态再升级  Intel 18A工艺被指已有四大客户：AMD和NVIDA排除在外 原因很简单  曝iQOO 15 Ultra确定在春节前登场 搭载主动散热系统  共建工业软件新生态，格创东智在喻家山论坛详解工业AI落地方法论  消息称三星半导体负责人全永铉发布年终内部信，称离赶上内存对手还很远  Copilot 整合效果不佳，微软 CEO 亲自介入进行整改  三星S系列旗舰有望采用京东方OLED屏 双方高层已探讨  手速真快！米粉抢到第一台小米17 Ultra徕卡版  成者会议星发布会预热海报剧透AI会议机器人，企业提效再进一步  一代神卡落幕：Arch Linux正式停止支持GTX 10系列！  荣耀WIN系列首销日销量超过2.5万台 WIN RT占60%  苹果上诉英国反垄断判决 若上诉失败 数千万英国消费者有望获得赔偿  2026年苹果六大重磅新品前瞻 含折叠iPhone、轻薄Mac 

相关栏目： 【 广告资讯37196 】 【 广告推广143353 】 【 广告优化89630 】