从 Ingress NGINX 到 Higress:使用 AI 在 30 分钟内迁移 60+ 资源
Source: CNCF Blog
概览
随着 Ingress NGINX 官方退役 于 2026 年 3 月生效,企业平台团队面临紧迫的安全与合规任务。继续运行已退役的控制器会使关键基础设施暴露在未修补的漏洞之下。对于一名管理着超过 60 个复杂 Ingress 资源的集群的基础设施工程师来说,挑战显而易见:寻找一种现代的、企业级就绪的替代方案,且能够在无需数月手动重构的情况下采用。
为什么在 AI 时代选择 Higress?
Higress 基于 Envoy 和 Istio 构建,是一款 AI 原生 API 网关,解决了传统控制器的不足,并为大语言模型(LLMs)提供了专门的功能。
- AI‑原生架构 – 将 LLM 视为一等公民,采用基于 Token 的速率限制(用于控制模型成本)和缓存功能(用于降低常见提示的延迟)。
- LLM 协议治理 – 提供统一的协议以对接各种 LLM 提供商,实现通过单一安全端点无缝切换模型。
- 零停机可靠性 – 利用 Envoy 的 xDS 协议 在毫秒级完成配置更新,消除会中断持续 AI 流媒体和 gRPC 连接的 “NGINX reload” 问题。
- 模型上下文协议 (MCP) – 支持托管 MCP 服务器,使 AI 代理能够通过网关安全地与企业工具和数据交互。
AI 辅助迁移工作流
1. 理解当前状态
配备 nginx-to-higress-migration 技能的 AI 代理(link)审计了集群,自动识别所有 Ingress 资源,并标记需要翻译的 NGINX 特定注解。
2. 零风险模拟
为了验证迁移不会破坏生产流量,使用 Kind(Docker 中的 Kubernetes)创建了模拟环境。Higress 安装时将状态更新禁用(global.enableStatus=false),从而不会修改 Ingress 的 status 字段,使其能够与 NGINX 共存,并实现路由逻辑的并行测试。
3. 使用 WASM 解决自定义逻辑
对于分析过程中标记的复杂 NGINX 片段,higress-wasm-go-plugin 技能(link)生成了高性能的 WebAssembly(WASM)插件,在 Higress 沙箱中复现自定义的 Lua 或 NGINX 逻辑。
成果:30 分钟实现合规
通过利用 Higress 原生的 NGINX 兼容性和 AI 辅助验证,整个迁移在短短半小时内完成。
| 阶段 | AI 代理任务 | 结果 |
|---|---|---|
| 分析 | 审计 60+ Ingress 资源 | 在 < 1 分钟内完成完整差距分析 |
| 仿真 | 在 Kind 中镜像环境 | 通过 < 10 分钟的手动输入验证“数字孪生” |
| 插件开发 | WASM 插件生成 | 在 < 2 分钟内完成自定义代码片段的翻译 |
| 执行 | 生成最终运行手册 | 在 30 分钟内达到生产就绪 |
Ingress NGINX 的淘汰并非仅仅是迁移障碍;它是升级为更具弹性、AI 就绪架构的机会。迁移到 Higress 为组织提供了基于 Envoy 和 Istio 的企业级网关,已为 LLM 集成的未来做好准备。