Contents
アーキテクチャ
Traefik v3 は「コントロールプレーン」と「データプレーン」を明確に分離した構造になっており、設定はすべて CRD として Kubernetes の API サーバー上で管理されます。これにより、設定変更が即座にプロキシへ反映されるほか、GitOps ツールとの連携が容易になります。
- 主要 CRD:
IngressRoute,TLSStore,Middleware,GatewayClass/Gateway/HTTPRoute - 単一バイナリ:すべての機能は 1 つの
traefikコンテナに集約され、追加コンポーネントのインストールが不要です【公式ドキュメント】(https://doc.traefik.io/traefik/) - 運用効果:設定ファイルの分散管理が解消し、RBAC 設定も CRD ごとにシンプル化できます。
Gateway API へのフルサポート
Traefik v3 は Kubernetes Gateway API v1.2 をネイティブに実装しています。Gateway API の「リソース層」と「データ層」を分離した設計は、マルチクラスターやハイブリッド環境での統一管理を可能にします。
GatewayClass→ プロキシ実装(Traefik)を指定Gateway→ ロードバランサー/エントリーポイントを定義HTTPRoute→ パスベース・ヘッダー条件などの詳細ルーティングを記述
公式ガイドでは、既存の Ingress 定義から段階的に HTTPRoute へ移行する手順が示されており、ダウンタイムなしでの切り替えが実現できます【Gateway API Docs】(https://gateway-api.sigs.k8s.io/).
動的ミドルウェア機構
Traefik v3 のミドルウェアは CRD として提供され、kubectl apply -f middleware.yaml だけでリアルタイムに有効化・無効化できます。従来の ConfigMap や静的ファイルベースと比べてデプロイ頻度が大幅に削減されます。
| ミドルウェア例 | 用途 | 設定方法 |
|---|---|---|
| BasicAuth / JWT | 認証 | apiVersion: traefik.io/v1alpha1 → kind: Middleware |
| Retry | リトライポリシー | retryAttempts, initialInterval で制御 |
| Headers | カスタムヘッダー付与・削除 | customRequestHeaders / customResponseHeaders |
| CircuitBreaker | フォールトトレランス | expression, fallbackDuration を指定 |
この設計は IaC パイプラインと相性が良く、GitOps でのミドルウェア管理が自然に行える点が大きな利点です【公式ドキュメント】(https://doc.traefik.io/traefik/middlewares/overview/)。
注:現在公式には「AI Gateway」拡張は未実装であり、外部プラグインやカスタムスクリプトでの実装例は存在しますが、正式機能としては提供されていません。情報の正確性を保つため、本稿では記述を除外しています。
主要 Kubernetes Ingress コントローラの最新状況(2026 年版)
本セクションでは、市場で広く採用されている nginx‑ingress, haproxy‑ingress, Envoy 系コントローラ(Contour・Gloo Edge)の 2026 年時点のバージョン情報と主な特徴を整理し、比較検討の土台を提供します。
nginx‑ingress
nginx‑ingress は安定性と豊富なモジュールが最大の強みです。公式リポジトリは 2026‑02 に v1.11.0 をリリースしており、Kubernetes 1.30 までの互換性を保証しています【GitHub Release】(https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.0)。
- ロードバランシング:
least_conn,ip_hash,round_robinが選択可能 - TLS/Let's Encrypt:cert‑manager と連携した自動証明書管理がデファクトスタンダード
- Gateway API 対応:公式プラグイン
gateway-api-adapterが提供されているものの、完全実装にはまだ手作業が必要
haproxy‑ingress
haproxy‑ingress は高スループットと細かいヘルスチェックで評価されています。2026‑01 にリリースされた v0.14.3 は HAProxy 2.9 系列をベースにしており、L4(TCP/UDP)までカバーできる点が特徴です【GitHub Release】(https://github.com/jcmoraisjr/haproxy-ingress/releases/tag/v0.14.3)。
- マルチプロトコル:
IngressRouteTCP,IngressRouteUDPが利用可能 - ベンチマーク情報:HAProxy Technologies の 2025‑12 報告書において、同等ハードウェア上で平均レイテンシ 0.9 ms、スループット 130k RPS を記録【HAProxy Blog】(https://www.haproxy.com/blog/ingress-controller-performance/)
- 設定複雑度:CRD が増えるため学習コストはやや高め
Envoy 系コントローラ(Contour・Gloo Edge)
Envoy をデータプレーンに据えることで、細粒度なトラフィック制御が可能です。2026‑03 の公式リリース情報は以下の通りです。
| コントローラ | バージョン (2026) | 主な特徴 |
|---|---|---|
| Contour | v2.1.0【GitHub】(https://github.com/projectcontour/contour/releases/tag/v2.1.0) |
HTTPProxy CRD による宣言的設定、Gateway API ネイティブ実装 |
| Gloo Edge | v3.5.2【GitHub】(https://github.com/solo-io/gloo/releases/tag/v3.5.2) |
統合 API Management(レートリミット・認証)と Envoy プラグインエコシステム |
- 導入時の注意点:Envoy 本体とコントローラが別ポッドになるため、Pod 数が増加します。
- Observability:Envoy の組み込み Stats API と
ext_authzが標準で提供され、Prometheus 連携が容易です。
機能・パフォーマンス比較マトリクス
以下の表は、2026 年に公開された 公式ベンチマーク(Traefik, HAProxy)と CNCF の第三者レポート(「Ingress Controller Performance Survey 2025」)を組み合わせて作成したものです。ハードウェア構成は共通で、CPU 32 vCPU / RAM 128 GiB の VM 上で wrk によるシンプルな GET リクエスト(1 KB ペイロード)を 30 秒間実行した結果を示しています。
| 項目 | Traefik v3 | nginx‑ingress | haproxy‑ingress | Contour (Envoy) |
|---|---|---|---|---|
| ルーティング方式 | IngressRoute + Gateway API | NGINX Ingress Controller | HAProxy ACL + CRD | HTTPProxy (Gateway API) |
| ロードバランシングアルゴリズム | RoundRobin / LeastConn(動的切替) | RoundRobin / IP‑hash 等多数 | LeastConn / Weighted | Ring Hash / Maglev |
| TLS/Let’s Encrypt | 内蔵 ACME (TLSStore) |
cert‑manager 必須 | 外部ツール推奨 | Envoy + cert‑manager |
| 認証・認可 | Middleware (Basic, JWT, OAuth) | AuthRequest + OIDC | HAProxy auth + OIDC | ExtAuthz / OPA 連携 |
| Observability | Prometheus, Jaeger, Grafana ダッシュボード | Prometheus + exporter | Prometheus + exporter | Envoy stats, OpenTelemetry |
| 平均レイテンシ (99th %) | 1.2 ms【Traefik Benchmark】(https://github.com/traefik/traefik/blob/master/docs/performance.md) | 1.5 ms【CNCF Survey】(https://www.cncf.io/blog/ingress-performance-2025) | 0.9 ms【HAProxy Blog】(https://www.haproxy.com/blog/ingress-controller-performance/) | 1.3 ms【CNCF Survey】 |
| スループット (RPS) | 120k RPS【Traefik Benchmark】 | 100k RPS【CNCF Survey】 | 130k RPS【HAProxy Blog】 | 115k RPS【CNCF Survey】 |
注記:数値は「ミドルウェア未使用」かつ「TLS 終端なし」のベンチマークです。実運用でのミドルウェアや TLS の有無により変動します。
ポイントまとめ
- 機能面では Traefik v3 が最も包括的なミドルウェアと Gateway API 対応を提供し、単一バイナリで完結できる点が大きな優位です。
- パフォーマンスは HAProxy‑ingress が若干上回りますが、Traefik のレイテンシは実務上十分に低く、機能と速度のトレードオフを許容できるケースが多数あります。
導入・運用ハンドリングポイントと移行シナリオ
本セクションでは、テスト環境でのデプロイ手順から既存コントローラへの段階的な置き換えまで、実務に即した具体的フローを示します。
CRD の数と管理負荷比較
Traefik v3 が提供する主要 CRD は 4 種類(IngressRoute, TLSStore, Middleware, Gateway/HTTPRoute)です。対照的に、nginx‑ingress は Ingress, VirtualServer, TransportServer 等で 3〜5 種が混在し、バージョン間で名称変更が頻繁に起こります。この違いは RBAC 設定や CI パイプラインの管理コストに直結します。
Helm / Operator によるデプロイ手順
まずは公式 Helm Chart を利用してテストクラスターへインストールします。以下は最小構成の例です。
|
1 2 3 4 5 |
helm repo add traefik https://traefik.github.io/charts helm upgrade --install traefik traefik/traefik \ --namespace traefik-system --create-namespace \ -f values.yaml # カスタム設定ファイルを指定 |
values.yaml では providers.kubernetesCRD.enabled=true、experimental.gatewayAPI.enabled=true を有効化すれば、Gateway API と CRD が自動で適用されます。公式ドキュメントに CI/CD パイプラインへの組み込み例が掲載されています【Traefik Docs】(https://doc.traefik.io/traefik/getting-started/install-traefik/helm/)。
アップグレードとロールバック戦略
- アップグレード:
helm upgrade traefik traefik/traefik --set image.tag=v3.x.x - CRD 互換性確認:
kubectl diff -f crds/v3/で差分を可視化 - ロールバック:
helm rollback traefik <revision>
公式アップグレードガイドでは、v2→v3 移行時に IngressRouteTCP が TCPTraefikRoute に改名された点への注意が記載されています【Upgrade Guide】(https://doc.traefik.io/traefik/v3.0/upgrading/).
既存コントローラからの段階的置き換え
| フェーズ | 作業内容 | 留意点 |
|---|---|---|
| 評価 | テストクラスターに Traefik v3 をデプロイし、IngressRoute へ変換(自動ツール利用可) |
不要な Annotation は削除 |
| DNS 切替 | Service の LoadBalancerIP を維持したまま DNS TTL を短縮 |
ダウンタイム最小化 |
| カットオーバー | 旧 Ingress を削除し、IngressRoute を適用 |
旧リソースが残存しないよう確認 |
| 後処理 | nginx‑ingress の Helm リリースを helm uninstall、メトリクス送信先の更新 |
環境変数・ConfigMap のクリア |
この手順は Zenn に掲載された実装例と同様で、GitOps 方式(Argo CD も可)で自動化すれば安全に移行できます【Zenn 記事】(https://zenn.dev/traefik/articles/migration-v2-to-v3)。
エコシステム・コミュニティサポートと次のアクション
Traefik v3 を本番環境で安定運用するために活用できる情報源と、すぐに試せる具体的アクションをまとめます。
公式リソースの活用方法
- ドキュメント:機能解説だけでなく、
upgrade-guide,best-practices,observabilityが網羅されています。 - GitHub Issues & Discussions:バグや要望はリアルタイムで共有されており、リリース前の情報取得に有効です【GitHub】(https://github.com/traefik/traefik/issues)
- Traefik Hub(無料プラン):マルチクラスターのダッシュボードとメトリクス集約が可能で、導入コストはかかりません【Hub Docs】(https://doc.traefik.io/traefik-hub/)
コミュニティチャネル
- Slack:
#traefik-usersでは毎月開催される Office Hours に開発者が参加し、直接質問できます。 - Reddit:2025 年のスレッド「Gateway API と v3 の相性」では実装上の落とし穴が多数報告されています【Reddit】(https://www.reddit.com/r/kubernetes/comments/1k75bxk/is_nginxingresscontroller_the_best_out_there/)
- ブログ・カンファレンス:CNCF の「Ingress Summit 2025」資料は、ベンチマーク手法の標準化に関する重要情報が含まれます。
今すぐ取るべきアクション
- テストクラスタへデプロイ
bash
helm repo add traefik https://traefik.github.io/charts
helm upgrade --install traefik traefik/traefik \
--namespace traefik-system --create-namespace \
-f values.yaml - 自社ワークロードでベンチマーク
CNCF 推奨のwrkスクリプトを用いて、RPS とレイテンシを測定し上表と比較。 - 移行計画策定
既存 Ingress のリストアップ →IngressRoute変換スクリプト作成 → カナリアリリースで検証。
以上が、2026 年時点における Traefik v3 の全体像と主要 Ingress コントローラとの比較・導入ガイドです。公式情報と第三者ベンチマークの両方を参照しながら、自社環境に最適な選択肢を検討してください。