Kubeflow 26.03은 새 기능보다는 Kubernetes 1.34+ 대응을 위한 매니페스트·버전 정렬 릴리스로, Knative·cert-manager·Istio·Dex·oauth2-proxy 등 핵심 컴포넌트를 일괄 업데이트하면서 파드 시큐리티 기본값을 baseline으로 올리고 네트워크폴리시를 강화했습니다. 보안 강화로 인해 일부 환경, 특히 PSS restricted를 쓰는 곳은 Kubeflow Pipelines 호환성을 점검할 필요가 있습니다.
breaking파드 시큐리티 기본값이 baseline으로 변경
파드 시큐리티 스탠다드 기본 적용 수준이 baseline으로 변경됩니다. 기존에 privileged나 커스텀 정책에 의존하던 워크로드가 있다면 배포 전 파드 스펙을 점검하세요.
breaking핵심 시스템 네임스페이스 네트워크폴리시 강화
cert-manager, knative-serving, istio-system, dex, oauth2-proxy 네임스페이스의 네트워크폴리시가 더 엄격하게 조정됩니다. 커스텀 네트워크 정책이나 애드온을 얹어 쓰는 환경은 통신 차단 여부를 확인하세요.
breakingPSS restricted 환경에서 Kubeflow Pipelines 호환성 저하
PSS restricted를 강제하는 네임스페이스에서 Kubeflow Pipelines v1/v2를 실행하면 호환성 문제가 생길 수 있습니다. 해당 환경이면 파이프라인 파드가 정상 기동되는지 별도로 검증하세요.
주요 변경 (7)
- Kubernetes 1.34+ 대응을 포함한 대규모 컴포넌트 버전 정렬: Knative 1.20.0, cert-manager 1.19.4, Istio 1.29.0, oauth2-proxy 7.14.3, Dex 2.45.0
- 파드 시큐리티 기본값을 baseline으로 변경하고 cert-manager/knative-serving/istio-system/dex/oauth2-proxy 네트워크폴리시를 강화
- Kubeflow Pipelines 2.16.0 매니페스트 동기화, PSS restricted 네임스페이스에서는 v1/v2 호환성 저하 가능
- KServe 0.16.0(모델 웹앱 0.16.1), model-registry 0.3.5~0.3.7, spark-operator 2.5.0, katib 0.19.0 등 나머지 컴포넌트 매니페스트 일괄 업데이트
- Istio 토폴로지 설정을 PreferClose에서 PreferSameZone으로 변경해 Kubernetes 1.34 호환성 확보, Knative PDB도 노드 드레인 허용하도록 조정
- 설치 스크립트가 Kustomize/Kubectl 버전을 자동 매칭하고 SHA256 검증을 추가, README도 server-side apply 기반으로 갱신
- 그 외 KServe 인증/인가 테스트 확대, ARM64 지원 문서화 등 부수적인 개선 다수