Kubernetes
v1.33.11Kubernetes Corev1.33.11은 MultiCIDRServiceAllocator 활성화 시 apiserver 기동 실패와 nft 1.1.3에서의 kube-proxy nftables 오작동을 수정한 패치 릴리스입니다. Go 1.25.9로 컴파일러도 업데이트됐습니다.
breakingMultiCIDRServiceAllocator + 대규모 클러스터라면 즉시 업그레이드
MultiCIDRServiceAllocator가 활성화된 환경에서 네임스페이스가 많으면, 업그레이드 중 apiserver가 아직 준비되지 않은 어드미션 플러그인으로부터 Forbidden 오류를 받고 기동에 실패하는 문제가 있었습니다. 이번 패치로 재시도 로직이 추가됩니다. 이 문제 때문에 1.33 업그레이드를 미뤄왔다면 이제 적용할 수 있습니다. apiserver 로그에서 IP 복구 컨트롤러의 Forbidden 오류를 확인해 보세요.
breakingnft 1.1.3 사용 노드는 kube-proxy nftables가 사실상 불통 — 즉시 패치 필요
nft 1.1.3이 설치된 노드(일부 최신 배포판 기본값)에서는 kube-proxy nftables 모드가 제대로 작동하지 않습니다. 처음에는 트래픽이 흐르는 것처럼 보여도 규칙 업데이트가 올바르게 적용되지 않습니다. 노드에서 'nft --version'으로 버전을 확인하고, 1.1.3이라면 이 패치 릴리스로 업그레이드하는 것이 가장 확실한 해결책입니다.
enhancementOTel v1.41.0 대폭 업그레이드 — 옵저버빌리티 파이프라인 검증 필요
OpenTelemetry Go SDK가 v1.33.0에서 v1.41.0으로 한 번에 올라갔습니다. 버전 차이가 큰 만큼, Kubernetes 텔레메트리 데이터를 수집하거나 OTel SDK와 연동되는 사이드카를 운영 중이라면 업그레이드 전 비운영 환경에서 트레이싱·메트릭 파이프라인이 정상 작동하는지 먼저 확인하세요. Kubernetes 기능 자체의 변화는 없지만 버전 갭이 충분히 커서 점검할 가치가 있습니다.
주요 변경 (5)
- Go 컴파일러 1.25.9로 업데이트 (보안 및 런타임 개선 포함)
- MultiCIDRServiceAllocator 활성화 상태에서 네임스페이스 수가 많은 클러스터 업그레이드 시 apiserver 기동 실패 수정 — IP 복구 컨트롤러가 아직 준비되지 않은 어드미션 플러그인의 Forbidden 오류를 재시도하도록 개선
- nft 1.1.3에서 kube-proxy nftables 모드가 정상 작동하지 않던 호환성 문제 수정
- OpenTelemetry 의존성 v1.33.0 → v1.41.0으로 대폭 업그레이드
- nftables 수정과 직결된 knftables 라이브러리 v0.0.17 → v0.0.21 업데이트