2026年3月底， ingress-nginx这个老登就会举办退役仪式，k8s社区强烈推荐运维迁移到其他云原生网关。

2026年3月初， 虾系玩物claw已经被AI市场宠的不像样。

最近我们在探索用一套AI网关同时提供 云原生API和 AI token服务，于是我们开始从ingres-nginx迁移到云原生AI网关higress。

1.higress 是什么?

中登上场，依旧能打！！！

higress由阿里开源的云原生网关，近几年随大流推出了AI网关的能力。

云原生AI网关Higress 提供两种模式， 这也是传统的Ingress-nginx肉眼可见的区别。

• K8s ingress模式： 作为controller运行，兼容k8s资源和ingress注解，适用与保持原生k8s工作流的场景。
• api控制台模式：通过过API控制台界面或者API配置，提供完整的api生命周期管理、精细化策略，适用与集中化治理和精细化管理的场景。

注意： 控制台创建的API优先级会高于Ingress方式同步的路由， 控制台路由列表也只会包含通过控制台创建的路由配置。

通过helm安装：

helm repo add higress.io https://higress.cn/helm-charts
helm install higress -n higress-system higress.io/higress --create-namespace --render-subchart-notes

kubectl   get   svc  -n  higress-system
NAME                 TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)                                                             AGE
higress-console      ClusterIP      10.96.106.73   <none>        8080/TCP                                                            21h
higress-controller   ClusterIP      10.96.129.8    <none>        8888/TCP,8889/TCP,15051/TCP,15010/TCP,15012/TCP,443/TCP,15014/TCP   21h
higress-gateway      LoadBalancer   10.96.75.36    10.16.16.5    80:31255/TCP,443:30881/TCP                                          21h

裸金属k8s集群已经安装了metalLb负载均衡器, 故svc type=loadbancler有external-ip， 可在主机网络访问。

1.1 higress控制台模式

higress-console svc type=clusterIP是控制台界面，默认不对集群外访问，
但是咱们需要去界面配置， 有个技巧值得收藏， 收藏== 学废！

1> 从k8s节点上打隧道到集群内部服务

kubectl port-forward -n higress-system svc/higress-console 8080:8080

Forwarding from 127.0.0.1:8080 -> 8080
Forwarding from [::1]:8080 -> 8080

启动新终端，便可以在k8s集群节点上curl命令访问集群内8080端口服务。

2> 从裸金属linux（无图形界面）隧道到有界面的本机

在windows主机cmd上执行 ssh -L 8080:127.0.0.1:8080 vadmin@10.16.15.1, 便可以在本机浏览器访问集群节点上隧道的8080端口服务。

2. 从ingress-nginx 迁移到higress

higress支持绝大多数ingress-nginx注解，覆盖90%的用户场景。

① 一般情况下，修改原始的ingress.yaml文件，ingressClassName从nginx改成higress

② apply的时候，会被ingress nginx的准入配置拦截， 需要先删除准入机制，不影响ingress-nginx-controller行为。

kubectl get ValidatingWebhookConfiguration   # default 命名空间下
kubectl delete ValidatingWebhookConfiguration ingress-nginx-admission

③ 验证higress 迁移配置

• 验证higress gateway与刚apply的服务的连通性：

kubectl exec -it -n higress-system higress-gateway-549dcf7877-p8d2s -- curl -v http://web-svc.zsypt-user-cloud.svc.cluster.local:8080

• 验证higress gateway 与刚加入的服务的路由正确性:

kubectl exec -it -n higress-system higress-gateway-549dcf7877-p8d2s -- curl -v http://127.0.0.1:80 -H "host: studio.pgclouds.com"

此次因为 higress 已经通过load balancer对外暴露，可以使用
curl external-ip -H "host:studio.pgclouds.com" 直接测试

上面没问题，开始将流量从ingress-nginx external-ip切换到higress gatewayexternal-ip了。

这里留一个问题： ingress-nginx-controller，higress-gateway svc占据了metalLb分配的2个ip，如何在不通知运维切换的情况下，固定一个ip。

3. higress 才是AI时代的心头好

3.1 vllm production-stack部署LLM服务

vllm高性能推理框架，vllm production-stack是面向生产的高性能推理实践。

• vLLM实例快速伸缩
• 请求路由和 KV Cache卸载带来的性能优势
• 可观测性

higress 能做什么 :

Higress 能够用统一的协议对接国内外所有 LLM 模型厂商，同时具备丰富的 AI 可观测、多模型负载均衡/fallback、AI token 流控、AI 缓存等能力

集群已经部署了qwen3.5-35b模型。

3.2 配置higress代理到LLM推理服务

① 登录Higress Console 控制台： 127.0.0.1:8080
如何访问，参考本文1.1节

② 配置LLLM AI Provider，这个就类比nginx upstream svc

vLLM原生兼容OpenAI 协议, 使用自建k8s集群内的推理服务地址：vllm-qwen-router-service.vllm-product-stack.svc.cluster.local

③ 配置AI路由， 类似常规的路由

下面的配置意味着:
uri匹配/v1/chat ，且modelName 前缀匹配Qwen，会路由进入推理服务。

④ 验证脚本： 可以用higress gateway external-ip 直接测试推理服务。

/v1/chat和modelkey可认为是路由条件。

curl -v http://10.16.16.5/v1/chat/completions   -X POST   -H 'Content-Type: application/json'   -d '{"model": "Qwen/Qwen3.5-35B-A3B-GPTQ-Int4", "messages": [{"role": "user", "content": "Hello!"}]}'

以上是一个兼容openAI的推理服务地址， 不管上层是 chatweb还是agent，总归要消耗token。

4. 好记性不如烂笔头，读后你能得到

1>. ingress-nginx这个老登行将就木，再不迁移就废了；
2>. 两次隧道的技巧，你得知道。
3>. Higress 这个中登，在AI时代依旧能打！
4>. 如何无感知从Ingress-nginx 迁移到Higress？ 这是一个疑问句