RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 5월해제 ×

gRPC

Networking & Messaging2026년 5월 29일

gRPC v1.81.0은 Python 3.9와 Ruby 3.1 지원을 종료하고, Windows·ARM에서의 크래시급 레이스 컨디션을 수정하며, Python AsyncIO observability를 추가했습니다.

  • breakingPython 3.9 지원 종료 — 런타임 버전 확인 필요

    gRPC 1.81.0부터 Python 3.9를 지원하지 않습니다. Python 3.9 환경에서 gRPC를 운영 중이라면 런타임을 3.10 이상으로 올리기 전까지는 이전 버전을 유지하세요. 이 릴리스로 업그레이드하기 전에 Python 버전 계획을 먼저 잡아야 합니다.

  • breakingRuby 3.1 지원 종료 — Ruby 런타임 업그레이드 필요

    Ruby 3.1이 EOL에 도달하면서 gRPC 1.81.0에서 지원이 끊겼습니다. Ruby 3.1로 gRPC를 운영 중이라면 이 릴리스를 적용하기 전에 Ruby 3.2 이상으로 업그레이드해야 합니다.

  • enhancementWindows·ARM 안정성 버그 수정 — 운영 중이라면 업그레이드 고려

    Windows에서 use-after-free와 assertion 오류를 유발하는 레이스 컨디션 두 건, ARM 환경(weak memory model)에서 completion queue 셧다운 레이스가 수정됐습니다. Windows나 ARM 기반 인프라에서 gRPC를 운영 중이라면 크래시로 이어질 수 있는 문제들이 이번에 해결된 것이므로, 안정성 확인 후 업그레이드를 검토하세요.

주요 변경 (6)
  • Python 3.9 지원 제거 — 이후로는 Python 3.10 이상 필요
  • Ruby 3.1(EOL) 지원 제거 — Ruby 3.2 이상 필요
  • EventEngine: Windows에서 use-after-free 및 assertion 오류 레이스 수정
  • ARM(weak memory model)에서 completion queue 셧다운 레이스 수정
  • gRPC Python AsyncIO 스택에서 observability 지원 추가
  • grpc-status 패키지: protobuf 의존성 상한을 7.x까지 허용하도록 완화
원문

Contour

Networking & Messaging2026년 5월 28일

Contour v1.33.5는 보안 패치 릴리스입니다. fallback 인증서와 JWT 검증을 함께 쓸 때 발생하던 JWT 검증 우회 취약점을 막습니다.

  • securityJWT 검증 우회 취약점 패치 (GHSA-g3xr-5w5j-w4q4)

    fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy 구성에서, SNI가 없거나 인식되지 않는 SNI로 오는 요청이 JWT 검증을 우회할 수 있었습니다. TLS SNI 없이 들어오는 트래픽을 처리하면서 JWT로 인가를 걸어둔 라우트가 있다면 우선 점검하고 v1.33.5로 업그레이드하세요.

  • breakingfallback 인증서 + JWT 조합 구성 거부 확인

    이번 버전부터 fallback 인증서와 JWT 검증을 동시에 설정한 HTTPProxy는 유효하지 않은 구성으로 거부됩니다. 업그레이드 전에 관련 설정이 있는지 확인하고, 거부될 경우 라우트 구성을 재설계해야 합니다.

주요 변경 (4)
  • GHSA-g3xr-5w5j-w4q4 보안 패치: fallback 인증서와 JWT 검증을 함께 쓰는 HTTPProxy에서 SNI 없이 오거나 인식 안 되는 SNI로 오는 요청이 JWT 검증을 우회할 수 있던 문제 수정
  • 이제 Contour는 이런 유효하지 않은 구성을 거부합니다
  • Kubernetes 1.32~1.34 버전에서 테스트 완료
  • 이번 릴리스에 다른 기능 변경 사항 없음
원문

NATS

Networking & Messaging2026년 5월 20일

NATS v2.14.1은 JetStream, 클러스터링, 핵심 메시징 전반에서 30여 개 버그를 수정한 대규모 패치 릴리스로, 데이터 무결성과 패닉 수준의 문제가 포함되어 있어 빠른 배포가 권장됩니다.

  • securitygolang.org/x/crypto v0.51.0으로 업데이트 — nats-server를 임베드한 경우 즉시 재빌드

    x/crypto와 x/sys 의존성 업데이트에는 CVE 수정이 포함되는 경우가 많습니다. nats-server를 Go 라이브러리로 임베드해 사용하는 엣지/IoT 환경이라면 재빌드 후 재배포가 필요합니다. 일반 배포 환경은 바이너리 업그레이드만으로 충분합니다. 메시징 서버의 암호화 라이브러리 업데이트는 선택이 아닙니다.

  • breaking배포 전 2.14 업그레이드 가이드 필수 확인 — 2.13.x 버전은 건너뜀

    릴리스 노트는 2.13.x가 아닌 2.12.x 대비 하위 호환성 주의사항을 안내합니다. 2.13.x 마이너 버전은 출시된 적이 없기 때문입니다. 2.12.x에서 올라오는 경우라면 2.14 업그레이드 가이드를 반드시 먼저 읽고, JetStream 컨슈머 및 스트림 API 변경이 클라이언트에 미치는 영향을 점검하세요.

  • enhancement새 클라이언트 트래픽 /varz 지표를 모니터링 대시보드에 즉시 추가

    신규 지표 4종(in/out client msgs/bytes)을 활용하면 클라이언트 트래픽과 클러스터·리프노드 내부 트래픽을 명확히 구분할 수 있습니다. Prometheus 스크레이프나 대시보드에 바로 연결해 기준값을 쌓아두세요. 혼합 트래픽을 처리하는 서버의 용량 계획에 특히 유용합니다. 기존에는 전체 지표에서 클라이언트 부하를 추정해야 했지만, 이제 직접 측정이 됩니다.

주요 변경 (5)
  • JetStream Raft, 컨슈머 상태, 파일스토어 암호화, 클러스터 라우팅 전반에 걸쳐 30개 이상 버그 수정
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가 (in_client_msgs, in_client_bytes, out_client_msgs, out_client_bytes)
  • 워크큐 스트림, max_deliver, purge/compaction 상황에서 컨슈머 재전달 드리프트 문제 수정
  • 암호화 모드 전환 시 파일스토어 블록 캐시 손상 패치 (데이터 무결성 관련 핵심 수정)
  • TLS 핸드셰이크 타임아웃 로그를 debug 레벨로 강등해 클러스터 운영 중 로그 노이즈 감소
원문

NATS

Networking & Messaging2026년 5월 20일

v2.12.9는 JetStream 안정성에 집중한 버그 수정 릴리스로, Raft 정합성 결함, 컨슈머 상태 손상, 파일스토어 암호화 버그 등 데이터 무결성에 직결된 문제들을 수정했습니다.

  • securitygolang.org/x/crypto v0.51.0 업데이트 확인 필요

    Go 1.25.10과 함께 x/crypto 의존성이 업데이트됐습니다. 조직에서 SBOM이나 CVE 추적 도구를 운영 중이라면 v2.12.9 업그레이드 후 갱신된 패키지가 제대로 반영됐는지 확인하세요. 애플리케이션 레벨에서 별도 회피 방법은 없으므로 서버 업그레이드가 유일한 조치입니다.

  • breaking암호화된 JetStream 운영 시 즉시 업그레이드 — 파일스토어 손상 위험

    암호화 모드를 전환할 때 블록 단위 데이터 손상이 발생할 수 있는 버그가 수정됐습니다(#8105, #8166). 기존 스트림에서 암호화 설정을 변경한 적이 있다면, 업그레이드 후 해당 스트림 상태를 점검하세요. 이미 손상이 발생했다면 암호화 전환 이전 스냅샷에서 복구해야 합니다.

  • enhancement신규 /varz 클라이언트 트래픽 지표를 용량 계획에 활용하세요

    새로 추가된 4개 지표를 활용하면 클러스터 내부 트래픽과 실제 클라이언트 부하를 분리해서 볼 수 있습니다. 지금 바로 Prometheus 스크레이프 설정에 추가하면 클러스터 적정 규모 산정과 트래픽 과다 클라이언트 탐지에 바로 쓸 수 있고, 커넥션별 데이터를 파싱할 필요도 없습니다.

주요 변경 (5)
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가(in/out_client_msgs, in/out_client_bytes)
  • 파일스토어 암호화 모드 전환 시 블록 단위 손상 유발 버그 수정 — 암호화된 JetStream 운영 환경에 중요
  • workqueue/interest 스트림에서 max_deliver, 퍼지, 컴팩션 이후 컨슈머 재전달 상태 오류 다수 수정
  • Raft 락 경합 시 클러스터 정보 처리 중 발생하던 데드락 수정
  • WAL 잘라내기 캐시 무효화, 체크포인트 취소, 잘린 엔트리 패닉 등 Raft 정합성 개선
원문

Emissary-Ingress

Networking & Messaging2026년 5월 19일

Emissary-Ingress v4.1.0은 Envoy를 1.37.2로 올리고, Istio mTLS 인증서 교체 실패를 유발하던 캐시 스테일 버그를 수정했습니다.

  • security업그레이드 전 Envoy 1.37.x 릴리스 노트 검토 필수

    이번 업그레이드는 Envoy 1.37.0~1.37.2 세 버전을 한 번에 포함합니다. 보안 패치뿐 아니라 xDS 필드 변경이나 동작 변경이 포함될 수 있으므로, 현재 Mapping/Ambassador 설정과 충돌하는 deprecated API가 있는지 Envoy 1.37.x 체인지로그를 사전에 확인하고 배포하세요.

  • breaking캐시 수정으로 인한 시작 시 동작 변화 검증 필요

    IR.check_deltas 수정으로 인해, 캐시가 있는 상태에서 빈 델타 스냅샷이 오면 이제는 전체 재구성이 실행됩니다. 기존의 '조용한' 동작에 의존하는 자동화 스크립트나 헬스체크가 있다면, 프로덕션 배포 전 스테이징 환경에서 먼저 검증하세요.

  • enhancementIstio와 함께 쓰는 환경이라면 즉시 업그레이드 권장

    Emissary와 Istio를 함께 운영 중이라면 이 릴리스가 직접적인 해결책입니다. 인증서 교체 시 캐시에 오래된 인증서가 남아 간헐적인 mTLS 연결 장애가 발생하던 문제(이슈 #4744)가 수정됐으며, 별도 설정 변경 없이 업그레이드만으로 해결됩니다.

주요 변경 (3)
  • Envoy 프록시 1.36.2 → 1.37.2 업그레이드 (마이너 릴리스 3개 포함)
  • IR.check_deltas 버그 수정: 빈 델타 스냅샷 수신 시 캐시된 항목을 그대로 두는 대신 전체 재구성을 강제 실행
  • 스테일 캐시로 인해 Istio mTLS 인증서 교체가 조용히 실패하던 문제 해결
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.30은 AI 트래픽용 실험적 agentgateway, 앰비언트 모드 CIDR 지원, TrafficExtension API를 도입하고, 디버그 엔드포인트 인증을 기본 활성화로 변경했습니다.

  • breaking디버그 엔드포인트 인증이 기본 활성화 — 업그레이드 전 도구 점검 필수

    ENABLE_DEBUG_ENDPOINT_AUTH=true가 기본값이 되면서 포트 15010의 syncz, config_dump 엔드포인트에 인증이 강제됩니다. 인증 없이 이 엔드포인트를 호출하는 내부 대시보드, 스크립트, 모니터링 도구는 업그레이드 후 즉시 오류가 납니다. 업그레이드 전에 포트 15010을 호출하는 모든 컴포넌트를 파악하고, 인증을 추가하거나 DEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACES로 허용 네임스페이스를 지정하세요.

  • breakingWasmPlugin에서 TrafficExtension API로 마이그레이션 계획 수립 시작

    TrafficExtension이 공식 확장 API로 지정됐고, 앞으로 신규 기능은 WasmPlugin이 아닌 TrafficExtension에만 추가됩니다. WasmPlugin이 즉시 제거되지는 않지만, 프로덕션에서 Wasm 확장을 운영 중이라면 1.31 전에 TrafficExtension으로 전환 테스트를 마쳐두는 것이 좋습니다.

  • enhancement앰비언트 모드에서 CIDR ServiceEntry로 외부 IP 라우팅 단순화

    기존에는 앰비언트 모드에서 ServiceEntry에 개별 IP를 일일이 나열해야 했습니다. CIDR 지원으로 서브넷 단위로 커버가 가능해졌으니, 동적 IP를 쓰는 외부 DB나 온프레미스 서비스의 엔드포인트 목록을 CIDR로 통합해 운영 부담을 줄이세요.

주요 변경 (5)
  • 실험적 agentgateway 도입: AI/MCP 트래픽 전용 Envoy 대체 데이터 플레인, PILOT_ENABLE_AGENTGATEWAY=true로 활성화
  • 포트 15010 디버그 엔드포인트(syncz, config_dump) 인증이 기본값으로 활성화됨 — 기존 도구 영향 주의
  • TrafficExtension API가 WasmPlugin을 대체하는 프록시 확장 메커니즘으로 지정됨
  • 앰비언트 모드에서 ServiceEntry CIDR 주소 지원, 웨이포인트 XFCC 합성, HBONE 윈도우 크기 조정 가능
  • 사이드카에서 앰비언트 모드로의 단계적·가역적 마이그레이션 가이드 공개
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.19.4는 크래시 방지, IPsec 안정성, Cluster Mesh 정확성 등 20개 이상의 버그를 수정한 안정성 중심 패치 릴리스입니다.

  • securitymoby/spdystream 보안 픽스 포함 — 즉시 업그레이드 권장

    github.com/moby/spdystream가 v0.5.1로 보안 업데이트됐습니다. 이 의존성은 Kubernetes API 통신 경로에서 사용됩니다. 릴리스 노트에 CVE 번호는 명시되지 않았지만, v1.19.3을 유지하면 노출이 지속됩니다. 업그레이드를 서두르세요.

  • breaking수동 관리 EndpointSlice에 service-proxy-name 레이블 추가 필수

    --k8s-service-proxy-name을 설정하고 EndpointSlice를 직접 관리하는 경우, 업그레이드 후 service.kubernetes.io/service-proxy-name 레이블이 없는 슬라이스는 Cilium 감시 대상에서 완전히 제외됩니다. 트래픽 단절로 이어지므로 업그레이드 전에 반드시 수동 관리 슬라이스를 점검하고 누락된 레이블을 추가하세요.

  • enhancementIPsec, WireGuard, Cluster Mesh 사용 환경은 이번 패치 우선 적용

    이번 릴리스에 데이터 플레인 안정성 핵심 수정 세 가지가 포함됩니다. IPsec 키 교체 중 롤링 재시작 시 패킷 드롭, MTU 제약 환경에서 IPv6 + WireGuard 무음 패킷 손실, 다중 포트 서비스에서 Cluster Mesh 백엔드 누락이 모두 해소됩니다. 이 기능 중 하나라도 사용 중이라면 이번 패치를 업그레이드 우선순위 1순위로 올리세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 에이전트가 Fatal 대신 재시도하도록 수정
  • IPsec 롤링 재시작 + 키 교체 시 패킷 드롭 수정: XFRM 상태 준비 완료 후 SPI 광고 지연 처리
  • IPv6 활성화 시 WireGuard MTU를 최솟값(1280)으로 고정해 터널+암호화 환경의 무음 패킷 손실 방지
  • EndpointSlice 감시가 서비스 프록시 이름 레이블 기준으로 필터링됨 — 수동 관리 슬라이스에 레이블 추가 필요
  • 여러 서비스 포트가 동일 대상 포트를 공유할 때 Cluster Mesh 글로벌 서비스 백엔드 누락 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

v1.17.16은 CiliumLocalRedirectPolicy의 네임스페이스 간 트래픽 하이재킹 취약점, IPsec 에이전트 패닉, 스태틱 파드 ID 해석 오류를 수정한 패치 릴리스입니다.

  • security업그레이드 전 LRP addressMatcher 설정 점검 필수

    이번 LRP addressMatcher 변경은 실제 공격 경로를 막은 것입니다. 기존에는 한 네임스페이스의 정책이 다른 네임스페이스의 Service 프론트엔드를 덮어쓰고 트래픽을 가로챌 수 있었습니다. 업그레이드 후에는 기존 Service 프론트엔드와 겹치는 addressMatcher를 가진 LRP가 조용히 동작을 멈춥니다 — 트래픽 리다이렉션이 예상대로 작동하지 않을 수 있습니다. 업그레이드 전에 모든 CiliumLocalRedirectPolicy 오브젝트의 addressMatcher 항목이 기존 Service와 충돌하는지 확인하세요. 기존 동작이 꼭 필요하다면 --enable-lrp-address-matcher-override=true 플래그를 사용할 수 있지만, 이는 임시 방편으로만 쓰고 정책을 재설계하는 것이 맞습니다.

  • securityIPsec 사용 중이라면 즉시 업그레이드 — 에이전트 크래시 위험

    parseSPI 패닉 취약점은 잘못된 형식의 IPsec 패킷 하나로 Cilium 에이전트를 크래시시킬 수 있어, 해당 노드의 네트워킹 전체가 다운될 수 있습니다. IPsec 투명 암호화를 사용하는 클러스터라면 단순한 서비스 거부(DoS) 위험이 됩니다. 복잡한 공격 기법이 필요 없기 때문에 IPsec 환경이라면 v1.17.16으로 빠르게 업그레이드하세요.

  • breakingLRP addressMatcher 동작 변경 — 하위 호환성 없음

    단순한 버그 수정이 아닌 동작 방식 자체가 바뀐 변경입니다. Service ClusterIP나 외부 IP와 겹치는 addressMatcher를 사용하는 LRP는 이전에는 동작했더라도 이제는 거부되거나 무시됩니다. 운영 환경에 적용하기 전에 반드시 비운영 환경에서 LRP 설정을 검증하세요. --enable-lrp-address-matcher-override=true 플래그로 이전 동작을 되살릴 수는 있지만, 그것은 취약점이 있는 동작을 다시 허용하는 셈임을 명심하세요.

주요 변경 (5)
  • CiliumLocalRedirectPolicy addressMatcher가 기존 Service 프론트엔드 덮어쓰기를 차단 — 네임스페이스 간 트래픽 하이재킹 및 서비스 맵 손상 방지, 기존 동작은 별도 플래그로 복원 가능
  • IPsec: 잘못된 형식의 SPI 입력 처리 시 parseSPI에서 발생하던 패닉 수정 — 에이전트 크래시 위험 제거
  • CNI 파드 UID가 쿠버네티스 미러 파드 UID와 다른 스태틱 파드의 엔드포인트 ID 해석 오류 수정
  • CiliumNode 동기화 관련 클러스터 풀 IPAM 메트릭이 쿠버네티스에 제대로 등록되지 않던 문제 수정
  • 보안 의존성 업데이트: moby/spdystream v0.5.1로 업그레이드 (보안 패치)
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.18.10은 에이전트 크래시, IPsec 패닉, Cluster Mesh 백엔드 누락, IPAM 데이터 레이스를 수정한 안정성 패치 릴리스입니다.

  • securitymoby/spdystream 및 x/net 보안 업데이트 포함

    github.com/moby/spdystream 보안 수정과 x/net v0.53 업그레이드가 함께 포함됐습니다. 두 패키지 모두 네트워크 계층 의존성입니다. 전이적 의존성 CVE까지 추적하는 정책을 운영 중이라면 이번 패치만으로도 업그레이드 이유는 충분합니다.

  • breakingIPsec 패닉 위험 해소를 위한 암호화 클러스터 즉시 업그레이드

    잘못된 형식의 IPsec 입력이 들어올 경우 parseSPI에서 패닉이 발생해 에이전트 프로세스 전체가 중단될 수 있습니다. IPsec 암호화를 사용 중이라면 우선순위 업그레이드 대상으로 분류하세요. 잘못된 패킷 하나나 설정이 맞지 않는 피어 노드만으로도 에이전트가 죽을 수 있습니다.

  • enhancement타겟 포트 공유 서비스를 쓰는 Cluster Mesh 환경은 반드시 업그레이드

    여러 포트가 같은 타겟 포트를 가리키는 서비스에서 글로벌 백엔드가 조용히 누락되는 버그가 있었습니다. 단일 클러스터 내에서는 정상 동작하지만 크로스 클러스터 라우팅이 실패하는 증상이 나타납니다. 업그레이드 후 hubble observe나 서비스 엔드포인트 점검으로 영향받은 서비스를 직접 확인하세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 Fatal 종료 대신 재시도하도록 수정
  • 잘못된 SPI 입력으로 인한 IPsec 패닉 수정 — 암호화 클러스터의 노드 중단 방지
  • 여러 서비스 포트가 동일한 타겟 포트를 가리킬 때 Cluster Mesh 글로벌 서비스 백엔드가 누락되던 문제 수정
  • CiliumLocalRedirectPolicy가 백엔드 파드 준비 전에 기존 서비스 프런트엔드를 덮어쓰던 문제 수정
  • MultiPoolManager IPAM 데이터 레이스 해결 및 보안 패치 포함한 x/net v0.53 업그레이드
원문

Linkerd

Networking & Messaging2026년 5월 1일

의존성 업데이트 중심의 일반적인 엣지 릴리스이며, 멀티클러스터 서비스 정리 버그 수정과 최소 지원 쿠버네티스 버전의 1.31 상향이 주요 변경 사항입니다.

  • securityRust TLS 관련 크레이트 일괄 업데이트

    aws-lc-rs 1.16.3, rustls-webpki 0.103.13, rustls-pki-types 1.14.1이 한 번에 업데이트됐습니다. 명시적인 CVE는 없지만, 이 패키지들은 Linkerd mTLS의 암호화 기반입니다. 보안 요구사항이 엄격한 환경이라면 이전 엣지 버전 대신 이 릴리스를 채택하는 근거가 됩니다.

  • breaking쿠버네티스 최소 지원 버전이 1.31로 상향됨

    MSKV가 1.31로 올라가면서 1.30 이하 클러스터는 공식 지원 범위를 벗어납니다. 이 엣지 릴리스를 적용하기 전에 클러스터 버전을 반드시 확인하세요. 아직 1.30을 사용 중이라면 쿠버네티스를 먼저 업그레이드하거나, 이 릴리스 적용을 보류하는 것이 맞습니다.

  • enhancement멀티클러스터 사용 시 업그레이드 후 미러 서비스 상태 점검 권장

    여러 네임스페이스에 걸쳐 멀티클러스터 서비스를 운영 중이라면, 이전 버전의 정리 로직이 의도치 않게 다른 네임스페이스에 영향을 줬을 가능성이 있습니다. 업그레이드 후에는 미러링된 서비스가 올바른 상태인지 확인하세요. 특히 기본 네임스페이스 외에 스테일 미러나 예상치 못한 서비스 삭제가 발생한 적 있다면 반드시 점검이 필요합니다.

주요 변경 (6)
  • 멀티클러스터 서비스 정리 로직이 네임스페이스 범위를 올바르게 준수하도록 수정
  • CLI Gateway API 버전 안내 오류 수정
  • 게이트웨이 배포를 위한 Helm 값 `gateway.healthCheckNodePort` 신규 추가
  • Destination 컨트롤러의 shared-filtering 로직 리팩터링
  • 최소 지원 쿠버네티스 버전(MSKV) 1.31로 상향
  • Rust 의존성 다수 업데이트: hyper 1.9.0, tokio 1.52.1, aws-lc-rs 1.16.3, rustls-webpki 0.103.13
원문
월별 보기