CRI-O
v1.35.3Kubernetes Corev1.35.3은 CVE-2026-35469 패치, 컨테이너 중지 시 패닉 및 종료 코드 경쟁 조건 수정, GOMAXPROCS 하한 주입 기능 추가가 핵심입니다.
securityCVE-2026-35469 패치를 위해 v1.35.3으로 즉시 업그레이드
spdystream 의존성의 취약점(CVE-2026-35469)이 moby/spdystream v0.5.1 업데이트로 수정됐습니다. v1.35.x를 사용 중이라면 별도 우회책 없이 바이너리 업그레이드만이 해결 방법이니 v1.35.3으로 바로 올리세요.
breakingCNI 헬스 모니터링은 추가됐다가 같은 릴리스에서 롤백됨
STATUS verb를 이용한 CNI 플러그인 상태 모니터링 기능이 추가됐지만, 노드 부트스트래핑 회귀가 확인돼 즉시 되돌렸습니다. v1.35.3에서 CNI 동작은 이전과 동일합니다. 이 기능을 보고 도입을 계획했다면 일단 보류하세요. 수정 후 이후 릴리스에 다시 포함될 가능성이 높습니다.
enhancement'min_injected_gomaxprocs'로 Go 워크로드의 CPU 과소활용 방지
CPU request가 낮으면 GOMAXPROCS가 1로 설정돼 Go 기반 워크로드 성능이 저하됩니다. 새로운 'min_injected_gomaxprocs' 옵션을 설정하면 CRI-O가 max(하한값, cpu.request)를 GOMAXPROCS로 주입합니다. CPU request는 낮게 잡았지만 스레드가 필요한 Go 사이드카나 에이전트를 운영한다면 CRI-O 설정에 이 값을 지정해 두세요.
주요 변경 (6)
- spdystream v0.5.1 업데이트로 CVE-2026-35469 수정
- 동시 StopContainer 호출 시 발생하던 패닉 수정 — 컨테이너 교체가 잦은 환경에서 실제 크래시 원인이었음
- 빠르게 종료되는 컨테이너에서 종료 코드 255가 잘못 반환되던 경쟁 조건 해결
- 새로운 'min_injected_gomaxprocs' 옵션으로 모든 컨테이너에 주입되는 GOMAXPROCS 하한값 설정 가능
- CNI 헬스 모니터링 기능이 추가됐다가 노드 부트스트래핑 회귀 문제로 같은 릴리스 내에서 롤백됨 — 최종적으로 변경 없음
- 새로운 'container_runtime_crio_default_runtime' 메트릭으로 노드에 설정된 기본 런타임 확인 가능