RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Prometheus

Observability2026년 7월 1일

Prometheus v3.13.0은 LTS 릴리스로, HIGH 등급 자격 증명 전달 취약점(CVE-2025-4673·CVE-2023-45289)과 MEDIUM 등급 XSS(CVE-2026-44990) 수정이 핵심이며, 페이지네이션 토큰·경로 해석·PromQL 기간 함수명·라이선스 파일 배포 방식 등 네 가지 파괴적 변경과 다수의 신기능 및 성능 개선이 함께 포함됩니다.

  • securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단

    리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.

  • securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)

    UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.

  • breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경

    룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.

  • breaking--http.config.file 상대 경로 기준 디렉터리 변경

    --http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.

  • breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경

    experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.

  • breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동

    릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.

주요 변경 (8)
  • HIGH 보안: 교차 호스트 리다이렉트 시 자격 증명 전달 중단, CVE-2025-4673·CVE-2023-45289 대응 (prometheus/common v0.69.0)
  • MEDIUM 보안: sanitize-html 업데이트로 UI XSS 취약점 CVE-2026-44990 수정
  • 파괴적 변경: 룰 그룹 페이지네이션 토큰이 SHA-256으로 바뀌어 이전 토큰과 호환되지 않음
  • 파괴적 변경: --http.config.file 내 상대 경로 기준이 부모 디렉터리에서 설정 파일 디렉터리로 변경
  • 파괴적 변경: 기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경 (experimental-duration-expr 플래그 사용 시)
  • 파괴적 변경: npm_licenses.tar.bz2가 tarball/이미지에서 제거되고 바이너리 내 /assets/third-party-licenses.txt로 대체
  • 신기능: 메트릭 이름·레이블 이름·레이블 값에 대한 실험적 API 검색 엔드포인트, AWS RDS 필터링, Scaleway VPC/IPAM 전용 인스턴스 지원, 네이티브 히스토그램 smoothed/anchored rate, 쿼리별 samplesRead 통계, Azure Monitor Workspace 인증서 지원, ghcr.io 이미지 배포
  • 성능: 대소문자 무시 전위 매칭 최대 약 2배 빠른 속도, 청크 쓰기 샘플 오버헤드 약 12-15% 감소, V2 히스토그램 WAL 디코더 할당량 최대 50% 감소(created-timestamp 활성 시 메모리 최대 10% 절감); PromQL 패닉 및 TSDB 손상 다수 수정 포함
원문

Fluentd

Observability2026년 6월 25일

Fluentd v1.19.3은 out_http, buffer/in_http, output 태그 처리의 입력 검증을 강화하고 in_monitor_agent와 in_debug_agent의 기본 접근 범위를 좁힌 보안 강화 패치입니다. 나머지는 일반적인 버그 수정과 소소한 의존성/CI 정리입니다.

  • securityout_http, buffer/in_http, output 태그 경로 검증 강화

    v1.19.3에 무조건 적용됩니다. out_http는 동적 엔드포인트의 호스트명을 엄격히 검증하고, buffer와 in_http는 압축 해제된 페이로드 크기에 제한을 두며, output은 태그 값의 경로 경계를 엄격히 검사합니다. 신뢰할 수 없는 입력으로 호스트나 태그, 페이로드 크기를 구성하는 설정이 있다면 점검이 필요합니다.

  • breakingin_monitor_agent와 in_debug_agent 기본 노출 범위 축소

    v1.19.3에 무조건 적용됩니다. in_monitor_agent는 config, retry, debug 정보의 기본 노출 범위를 변경했고, in_debug_agent는 기본적으로 로컬 머신에서만 접속을 허용합니다. 두 에이전트를 외부에서 접근하거나 전체 출력을 외부에 노출해 쓰고 있었다면, 방화벽 규칙이나 명시적 설정으로 필요한 접근 권한을 다시 열어줘야 합니다.

주요 변경 (7)
  • 보안 강화(중간 등급): out_http가 동적 엔드포인트 호스트명을 엄격히 검증합니다.
  • 보안 강화(중간 등급): buffer와 in_http가 압축 해제된 페이로드 크기를 제한해 압축 폭탄류 위험을 막습니다.
  • 보안 강화(중간 등급): output이 태그 값의 경로 경계를 엄격히 검사합니다.
  • 기본 설정 변경: in_monitor_agent가 config, retry, debug 정보의 기본 노출 범위를 줄였습니다.
  • 기본 설정 변경: in_debug_agent가 기본적으로 로컬 머신에서만 접속을 허용합니다.
  • 버그 수정: storage_local의 비ASCII 문자 읽기 인코딩 오류, parser_csv의 빈 줄/파싱 불가 줄 스킵 처리, out_forward가 원격 연결 끊김 후 닫힌 keepalive 소켓을 재사용하지 않도록 수정, buffer 경로에 대괄호가 있어도 정상 재개.
  • 그 외 소소한 변경: Ruby 4.1용 런타임 의존성으로 win32-registry 추가, 에러 메시지 중복 단어 제거, Windows 종료 시 타임아웃 체크 단축, 기본 timekey(1d) 사용 시 경고 추가, 백신 제외 경로 권장 문서화, 각종 CI 수정.
원문

OpenTelemetry

Observability2026년 6월 23일

v0.155.0은 운영자 입장에서 대응이 필요한 릴리스입니다. 안정화됐던 feature gate 7개가 제거되고, memory_limiter 메트릭 이름이 바뀌었으며, 설정/서비스 API 2개가 스냅샷 기반으로 대체 예정입니다. 나머지는 mdatagen과 새로 옮겨온 schemagen CLI 관련 도구 작업입니다.

  • breaking안정화된 feature gate 7개 제거

    confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 --feature-gates 플래그나 설정에 남아있다면 해당됩니다. v0.155.0에서 이 게이트들이 완전히 제거되어 참조가 남아있으면 시작 자체가 실패합니다. 업그레이드 전에 CLI 인자와 설정에서 모두 제거하세요.

  • breakingmemory_limiter 메트릭 이름에 접두사 추가

    memory_limiter 프로세서의 otelcol_processor_* 메트릭을 대시보드나 알림 규칙에서 사용 중이라면 해당됩니다. 다른 프로세서와 구분하기 위해 otelcol_processor_memory_limiter_* 로 이름이 바뀌었습니다. 대시보드와 알림 규칙, 메트릭 쿼리를 새 이름으로 수정해야 합니다.

  • breakingmdatagen의 reaggregation_enabled 설정 제거

    mdatagen metadata.yaml에서 reaggregation_enabled를 쓰던 커스텀 컴포넌트가 해당됩니다. 이 설정이 제거되고 이제 항상 메트릭별 재집계 설정이 생성됩니다. 기존 파일에 필드가 남아있어도 값은 무시되므로, 생성된 결과가 기대와 일치하는지 확인하세요.

  • breakingConfig watcher API deprecated, 스냅샷 기반으로 전환 권고

    service.Settings.CollectorConf나 extensioncapabilities.ConfigWatcher를 쓰는 익스텐션이나 코어 코드가 해당됩니다. 각각 service.Settings.ConfigSnapshot과 extensioncapabilities.ConfigSnapshotWatcher로 대체되며 deprecated 처리됐습니다. 즉시 강제되진 않지만 스냅샷 기반 API로 이전을 준비하세요.

주요 변경 (8)
  • 안정화됐던 feature gate 7개가 완전히 제거됨: confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting. 이제 이 게이트들을 참조하면 실패합니다.
  • memory_limiter 프로세서 메트릭 이름이 otelcol_processor_memory_limiter_* 접두사로 바뀌어 기존 대시보드와 알림이 깨집니다.
  • mdatagen의 reaggregation_enabled 메타데이터 설정이 제거되고, 이제 메트릭별 재집계 설정이 무조건 생성됩니다(기존 파일은 허용되지만 값은 무시됨).
  • service.Settings.CollectorConf와 extensioncapabilities.ConfigWatcher가 deprecated되고 ConfigSnapshot, ConfigSnapshotWatcher로 대체됨.
  • schemagen CLI가 opentelemetry-collector-contrib에서 이 저장소의 cmd/schemagen으로 이전됐고, 수작업 스키마 조각을 병합하는 overlayFile, 커스텀 Go 패키지 패턴을 지정하는 -p 플래그, component|package 강제 지정용 -m 플래그가 추가되고 외부 패키지 대상 모드 감지 버그도 수정됨.
  • mdatagen이 버전별 메트릭을 지원해 새 시맨틱 컨벤션으로 메트릭 이름/타입/속성 이전을 도와주며, 마지막 feature gate 제거 시 남던 잔여 파일 문제와 생성된 식별자의 약어 대문자화 오류도 고쳐짐.
  • pdata JSONUnmarshaler에 DisallowUnknownFields 옵션(기본값 false)이 추가되어, 켜면 알려지지 않은 OTLP JSON 필드를 에러로 처리할 수 있음(단, 활성화 시 하위 호환성은 떨어짐).
  • 미들웨어 설정(pkg/config/configmiddleware)이 스키마 기반 정의로 이전됨.
원문

Chaos Mesh

Observability2026년 6월 10일

Chaos Mesh v2.8.3은 컨테이너 이미지의 critical/high CVE를 패치하고, CrashLoopBackOff 상태 파드에서 NetworkChaos 복구가 실패하던 버그를 수정한 패치 릴리스입니다.

  • securitycritical/high CVE 패치를 위해 v2.8.3으로 업그레이드

    Go 툴체인과 containerd에서 critical/high 수준의 CVE가 확인됐습니다. release-2.8 브랜치를 운영 중이라면 즉시 v2.8.3으로 업그레이드하세요. 설정 변경은 필요 없고 이미지 교체만으로 충분합니다.

  • breakingCrashLoopBackOff 파드를 대상으로 한 NetworkChaos 실험 재검증 필요

    이전 버전에서는 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구가 실패했습니다. v2.8.3은 이를 pause 컨테이너 PID로 폴백해 수정했습니다. 의도적으로 크래시가 반복되는 워크로드를 포함한 카오스 실험을 운영 중이라면, 업그레이드 후 복구 동작을 다시 확인하세요.

주요 변경 (5)
  • Go 툴체인 1.25.11 및 containerd 1.7.32로 업그레이드 — 컨테이너 이미지의 critical/high CVE 패치
  • memStress 헬퍼를 최신 Go 툴체인으로 재빌드 (v0.3.1)
  • chaos-daemon 이미지를 headless JRE로 전환하여 공격 표면 축소
  • 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구 실패 수정 — sandbox(pause) 컨테이너 PID로 폴백
  • e2e 테스트에서 deprecated된 wait.PollImmediate를 wait.PollUntilContextTimeout으로 교체
원문

OpenTelemetry

Observability2026년 6월 8일

OTel Collector v0.154.0은 exporterhelper 시작 시 nil 포인터 패닉을 수정하고, --skip-get-modules 동작 방식을 변경합니다. TLS·CORS 설정 옵션도 소폭 추가됐습니다.

  • securityinclude_insecure_cipher_suites는 기본 비활성 — 건드리지 마세요

    새로 추가된 configtls 옵션으로 취약한 암호 스위트를 다시 활성화할 수 있지만, 기본값은 비활성입니다. 레거시 피어 연동이 불가피한 경우가 아니라면 운영 환경에서 true로 설정하지 마세요. 불가피하게 켜야 한다면 임시 조치로 간주하고 추적 관리하세요.

  • breaking--skip-get-modules를 쓰는 빌드 파이프라인 점검 필요

    OCB 기반 빌드 스크립트에서 --skip-get-modules 실행 시 go.mod가 암묵적으로 재생성되는 동작에 의존했다면, 이제 그 동작은 사라졌습니다. CI 파이프라인을 확인하고, 필요하다면 go mod tidy 단계를 명시적으로 추가하세요.

  • enhancementsending_queue에 sizer를 설정한다면 즉시 업그레이드

    sending_queue.sizer를 사용하면서 batch.enabled: false로 설정한 경우, 컬렉터가 시작 시 패닉으로 죽는 문제가 이번 릴리스에서 수정됐습니다. 해당 구성을 사용 중이라면 v0.154.0으로 업그레이드하세요.

주요 변경 (5)
  • cmd/builder: --skip-get-modules가 이제 go.mod를 재생성하지 않음 — 문서대로 모듈 작업을 완전히 건너뜀
  • pkg/exporterhelper: sending_queue.sizer 설정 시 batch.enabled: false이면 컬렉터 시작 중 nil 포인터 패닉이 발생하던 버그 수정
  • pkg/config/configtls: include_insecure_cipher_suites 옵션 추가, 기본값은 비활성화
  • pkg/confighttp: CORSConfig에 ExposedHeaders 필드 추가 — Access-Control-Expose-Headers 응답 헤더 제어 가능
  • cmd/mdatagen: 생성된 config 구조체에서 minimum, maximum, exclusiveMinimum, exclusiveMaximum 등 숫자 유효성 검사기 지원
원문

Jaeger

Observability2026년 6월 3일

v2.19.0은 경량 검색용 /api/v3/trace-summaries 엔드포인트를 도입하고 UI 검색을 이 API로 전환했습니다. ClickHouse TLS 지원과 gRPC 최대 메시지 크기 설정도 추가됐습니다.

  • breakingUI 검색의 /api/v3/trace-summaries 전환 — 백엔드 호환성 확인 필수

    이번 버전부터 UI 검색은 /api/v3/trace-summaries만 사용합니다. gRPC 스토리지 플러그인을 커스텀으로 운영 중이라면 SummaryReader 인터페이스 구현 여부를 반드시 확인하세요. 미구현 시 전체 트레이스 집계 폴백 경로로 동작하지만 성능 차이가 있습니다. UI와 백엔드를 별도로 관리한다면, UI를 이 버전으로 올리기 전에 백엔드도 v2.19.0으로 먼저 업그레이드해야 합니다.

  • breakingAPI v3 클라이언트에서 query.num_traces를 query.search_depth로 교체

    기존 query.num_traces는 deprecated 별칭으로 당분간 작동하지만, 스크립트·대시보드·연동 도구에서 query.search_depth로 교체하는 걸 지금 진행하는 편이 좋습니다. 또한 HTTP 쿼리 파라미터는 camelCase가 정식 형식이 됐고 snake_case는 deprecated 별칭으로 전환됐으니 함께 확인하세요.

  • enhancementgRPC 스토리지에서 메시지 크기 오류가 있다면 max_recv_msg_size_mib 설정

    gRPC 원격 스토리지 플러그인 사용 시 큰 트레이스가 기본 메시지 크기 제한에 걸리는 경우가 많습니다. 새로운 max_recv_msg_size_mib 옵션으로 이 한도를 명시적으로 올릴 수 있습니다. 'received message larger than max' 오류를 경험한 적 있다면 Jaeger 배포 설정에 이 값을 추가하세요.

  • enhancement프로덕션 ClickHouse 스토리지에 TLS 설정 적용

    ClickHouse 스토리지 플러그인에 TLS 설정이 추가됐습니다. Jaeger 백엔드로 ClickHouse를 사용 중이고 네트워크 경계를 넘는 연결이 있다면, 네트워크 레벨 통제에만 의존하지 말고 TLS를 지금 설정하는 게 좋습니다.

주요 변경 (6)
  • UI 검색이 전체 트레이스 로딩 대신 /api/v3/trace-summaries를 사용하도록 전환 — 호환 백엔드 필요
  • GET /api/v3/trace-summaries HTTP 엔드포인트 및 gRPC FindTraceSummaries 핸들러 신규 추가
  • API v3에서 query.num_traces가 query.search_depth로 변경 — 기존 이름은 deprecated 별칭으로 유지
  • ClickHouse 스토리지에 TLS 설정 지원 추가
  • gRPC 스토리지 클라이언트에 max_recv_msg_size_mib 설정 옵션 추가
  • Elasticsearch 인덱스 템플릿에 scope 및 link 필드 누락 수정 — 기존 인덱스 재색인 필요 여부 확인 필요
원문

OpenCost

Observability2026년 5월 29일

v1.120.3은 Go 의존성 CVE 2건을 패치하고 AWS·Azure·Oracle·DigitalOcean 프로바이더 전반의 버그를 수정합니다. OVH 프로바이더 추가와 cosign 이미지 서명도 포함됐습니다.

  • security취약한 Go 의존성 패치 — 즉시 업그레이드 필요

    이번 릴리스에서 Go 의존성 취약점 GHSA-xmrv-pmrh-hhx2와 CVE-2026-34986를 패치했습니다. v1.120.3 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 코드 변경이 아닌 의존성 수준의 취약점입니다.

  • breakingMCP 서버가 기본 비활성화로 변경 — 배포 설정 확인 필요

    MCP 서버의 기본값이 활성화에서 비활성화(MCP_SERVER_ENABLED=false)로 바뀌었습니다. 기본 활성화 상태를 전제로 운영 중이었다면 업그레이드 전에 배포 매니페스트에서 해당 환경 변수를 명시적으로 설정해야 합니다.

  • enhancementcosign 이미지 서명 검증을 어드미션 파이프라인에 추가

    컨테이너 이미지에 cosign keyless 서명과 SLSA provenance 어테스테이션이 추가됐습니다. Kyverno나 cosign verify 같은 정책 도구를 사용 중이라면 OpenCost 이미지에 대한 서명 검증 정책을 CI 또는 배포 시점에 적용할 수 있습니다.

주요 변경 (7)
  • Go 의존성 취약점 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986)
  • MCP 서버 기본값이 비활성화(MCP_SERVER_ENABLED=false)로 변경
  • OVH 클라우드 프로바이더 추가, DigitalOcean 및 Oracle/Karpenter 가격 산정 버그 수정
  • AWS Spot Price History API 캐싱 추가 및 spot data feed 비활성화 토글 신설
  • 스크레이프 타깃 파싱 메모리 누수 수정, CPU 사용량 카운터 오버플로 보호 추가
  • 컨테이너 이미지 cosign 서명 및 SLSA provenance 어테스테이션 지원
  • AWS CUR 2.0 비용 데이터 수집 지원 추가
원문

Prometheus

Observability2026년 5월 28일

Prometheus 3.12.0은 Remote Write DoS와 STACKIT SD 시크릿 노출 두 가지 보안 패치를 포함하며, Agent 모드 WAL 레이스 버그를 수정하고 TSDB 범위 쿼리의 헤드 청크 조회를 O(1)로 개선합니다.

  • securitySTACKIT SD 사용 환경은 자격증명 교체 후 즉시 업그레이드

    이번 릴리스에서 두 가지 보안 취약점이 패치되었습니다. 첫째, Remote Write 수신 시 snappy 압축 페이로드의 선언된 압축 해제 크기가 32 MB를 초과하면 요청을 거부하도록 변경되었습니다 — DoS 공격 벡터를 막는 조치입니다. 둘째, STACKIT SD가 `/-/config` 엔드포인트를 통해 시크릿을 평문으로 노출하는 버그(GHSA-39j6-789q-qxvh)가 수정되었습니다. STACKIT SD를 사용 중이라면 업그레이드 전에 노출됐을 수 있는 자격증명을 즉시 교체하세요.

  • breakingAgent 모드 WAL 레이스 패치 — Agent 배포 환경은 업그레이드 필수

    Agent 모드에서 동일한 레이블 셋을 대상으로 동시에 Append가 발생할 때 인메모리 시리즈와 WAL 레코드가 중복 생성되는 레이스 컨디션이 수정되었습니다. 쓰기 부하가 높은 Agent 배포 환경에서는 WAL이 조용히 손상될 수 있었던 버그입니다. 또한 `remote_write` queue_config 필드 유효성 검사가 이제 시작 시점에 수행됩니다 — 기존에는 런타임 패닉으로 이어지던 잘못된 설정이 이제 startup 실패로 나타납니다. 배포 전 반드시 설정 파일을 검증하세요.

  • enhancementTSDB 범위 쿼리 CPU 개선 및 auto-reload-config 안정화

    TSDB 헤드 청크의 범위 쿼리 조회가 O(n²)에서 O(1)로 개선되었고, mmap 처리 시 불필요한 시리즈를 건너뛰도록 최적화되었습니다. 헤드 청크가 많은 운영 환경에서 CPU 사용량이 눈에 띄게 줄어들 수 있습니다. 설정 변경 없이 업그레이드만으로 적용됩니다. 아울러 `auto-reload-config`가 stable로 승격되었으므로, 런북에서 해당 기능에 붙어 있던 '실험적' 주석을 제거해도 됩니다.

주요 변경 (7)
  • 보안: Remote Write에서 32 MB 초과 snappy 페이로드 거부(DoS 방어); STACKIT SD 시크릿 평문 노출 패치(GHSA-39j6-789q-qxvh)
  • TSDB 성능: 헤드 청크 범위 쿼리 조회 O(n²) → O(1); mmap 시 불필요한 시리즈 건너뜀으로 CPU 절감
  • PromQL: 실험적 함수 start(), end(), range(), step() 추가; use-start-timestamps 플래그 뒤에 rate()/irate()/increase()/resets()가 start timestamp 반영
  • Service Discovery: DigitalOcean Managed Databases, Outscale VM 추가; AWS EC2 SD IPv6 지원; AWS SD에 external_id 옵션 추가(ECS/MSK/RDS/ElastiCache)
  • 버그 수정: Agent WAL 레이스 컨디션, 잘못된 네이티브 히스토그램 스크레이프 패닉, TSDB 네이티브 히스토그램 쿼리 패닉, remote_write 설정 startup 시 유효성 검사 적용
  • UI: Status 메뉴에서 시계열 삭제 및 tombstone 정리 기능 추가
  • auto-reload-config stable 승격
원문

OpenTelemetry

Observability2026년 5월 25일

v0.153.0은 피처 게이트 7개를 안정화(브레이킹)하고, gRPC Snappy 압축의 심각한 메모리 손상 버그를 수정하며, mdatagen에 여러 개선 사항을 추가했습니다.

  • securitygRPC + Snappy 사용 중이라면 즉시 업그레이드

    configgrpc의 Snappy 버그는 단순 성능 문제가 아니라 프로세스를 강제 종료시키는 메모리 손상 수준의 결함입니다. exporter나 receiver 설정에 compression: snappy가 있다면 이번 릴리스를 최우선으로 적용하세요.

  • breaking업그레이드 전 피처 게이트 오버라이드 설정 전수 점검 필요

    안정화된 7개 게이트는 이제 영구 동작으로 고정되어 토글이 불가합니다. collector 설정이나 시작 플래그에 configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, pdata.useCustomProtoEncoding, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 남아 있으면 collector 기동에 실패합니다. 특히 UseLocalHostAsDefaultMetricsAddress 변경이 팀에 가장 많은 영향을 줄 수 있는데, 메트릭 엔드포인트가 기본적으로 localhost에만 바인딩되므로 외부에서 스크래핑하는 구성을 재검토해야 합니다.

  • breakingmdatagen 리어그리게이션 설정 생성이 기본 활성화로 변경

    커스텀 collector 컴포넌트를 mdatagen으로 관리 중이라면 리어그리게이션 설정 필드가 이제 기본으로 생성됩니다. 기존 동작(enabled 필드만 포함)을 유지하려면 metadata.yaml에 reaggregation_enabled: false를 명시해야 합니다. 업그레이드 후 mdatagen을 실행하고 생성된 결과물을 커밋 전에 반드시 검토하세요.

주요 변경 (5)
  • telemetry.UseLocalHostAsDefaultMetricsAddress, otelcol.printInitialConfig, pdata.enableRefCounting 등 피처 게이트 7개 안정화 및 제거 — 해당 게이트를 참조하는 설정은 즉시 오류 발생
  • configgrpc Snappy 압축의 메모리 손상 및 치명적 오류 수정 — gRPC + Snappy 조합 사용 시 즉시 업그레이드 필요
  • pdata.useCustomProtoEncoding 피처 게이트 완전 제거 — 더 이상 비활성화 경로 없음, 커스텀 프로토 인코딩이 항상 적용됨
  • mdatagen이 README.md에 설정 문서 테이블을 자동 생성하며, 리어그리게이션 설정 생성이 기본값으로 변경
  • xextension/storage에 Walker 인터페이스 추가 — 스토리지 마이그레이션 및 TTL 기반 가비지 컬렉션 패턴 구현 가능
원문

OpenTelemetry

Observability2026년 5월 19일

v0.152.1은 버그 수정이 중심인 릴리스로, snappy 압축 해제 보안 수정과 Prometheus 메트릭 이름 회귀 버그 수정이 실무적으로 가장 중요합니다.

  • securityconfighttp snappy 수정으로 압축 페이로드 메모리 노출 위험 해소

    `pkg/confighttp`에서 snappy 압축 해제 관련 버그 세 건이 수정됐습니다. 압축 해제 라이브러리의 패닉을 잡아 HTTP 400을 반환하고, `max_request_body_size`를 버퍼 할당 전에 체크하도록 바뀌었습니다. 특히 크기 제한을 버퍼 할당 전에 적용하는 변경은, 악의적으로 조작된 압축 페이로드로 메모리를 급격히 소비시키는 공격을 막습니다. 신뢰할 수 없는 출처에서 OTLP HTTP 압축 요청을 받는다면 즉시 업그레이드하세요.

  • breaking텔레메트리 host를 명시 설정했다면 Prometheus 메트릭 이름 변경 확인 필요

    텔레메트리 설정의 `host` 필드를 명시적으로 지정했던 경우, Prometheus 메트릭 이름이 이 릴리스 전후로 달라질 수 있습니다. 버그로 인해 `WithoutScopeInfo`, `WithoutUnits`, `WithoutTypeSuffix`가 기본값 `true` 대신 `false`로 동작했기 때문에, scope 레이블이나 suffix가 붙은 이름으로 메트릭이 노출됐을 가능성이 있습니다. 업그레이드 후 메트릭 이름이 다시 바뀔 수 있으니, 관련 대시보드와 알람 쿼리를 확인하세요.

  • enhancementexporter in-flight 메트릭을 대시보드에 추가하세요

    `pkg/exporterhelper`에 `otelcol_exporter_in_flight_requests` UpDownCounter 메트릭이 추가됐습니다. exporter별 동시 요청 수를 직접 볼 수 있어서, 워커 풀 포화 여부를 기존보다 훨씬 쉽게 파악할 수 있습니다. 업그레이드 후 대시보드에 추가해 두세요.

주요 변경 (7)
  • exporter당 동시 export 요청 수를 추적하는 `otelcol_exporter_in_flight_requests` 메트릭 신규 추가
  • `pkg/confighttp` snappy 압축 해제 버그 3건 수정: 패닉 복구(400 반환), body 정리, 할당 전 크기 제한 적용
  • `pcommon.Value.AsString`이 map·slice 값에서 `<`, `>`, `&`를 HTML 이스케이프하지 않도록 변경 — 이스케이프된 출력에 의존하는 코드가 있다면 확인 필요
  • 정상적인 클라이언트 연결 해제 시 발생하던 gRPC `connection reset by peer` 메시지가 더 이상 WARN 레벨로 출력되지 않음
  • 텔레메트리 host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • 트레이스 프로세서가 없을 때 noop tracer provider 반환으로 불필요한 오버헤드 제거
  • API: `xconfmap.Validator` deprecated — `confmap.Validator`와 `confmap.Validate`로 마이그레이션 필요
원문

Litmus

Observability2026년 5월 18일

Litmus 3.29.0은 gRPC CVE 패치, 동시 조정(concurrent reconcile) 환경에서의 중복 실험 트리거 버그 수정, Prometheus 메트릭 지원 추가를 담고 있습니다.

  • securityCVE-2026-33186 패치 — 즉시 3.29.0으로 업그레이드

    gRPC 라이브러리가 CVE-2026-33186 취약점 수정을 위해 v1.79.3으로 올라갔습니다. 3.29.0 미만 버전을 운영 중이라면 컨트롤 플레인이 취약한 상태입니다. 다음 스프린트로 미룰 문제가 아니니 즉시 업그레이드하세요.

  • breaking업그레이드 후 event-tracker 트리거 동작 검증 필요

    동시 reconcile 환경에서의 중복 실험 트리거 수정은 event-tracker의 레이스 컨디션 처리 방식을 바꿉니다. 자동화 카오스 주입에 event-tracker를 사용 중이라면, 업그레이드 후 파이프라인을 테스트해 트리거 횟수가 의도한 대로인지 확인하세요. 기존에 중복 실행이 실험 커버리지 공백을 가리고 있었을 수도 있습니다.

  • enhancementPrometheus 메트릭을 기존 대시보드에 연동하세요

    ChaosCenter가 이제 Prometheus 메트릭을 네이티브로 노출합니다. 시작 가이드와 유닛 테스트가 함께 제공되어 연동이 어렵지 않습니다. Litmus를 스크랩 타겟으로 추가하고, 실험 성공/실패율, 실행 시간, 인프라 연결 상태 등을 추적하면 카오스 워크플로우의 오랜 관측 가능성 공백을 메울 수 있습니다.

주요 변경 (5)
  • 보안: CVE-2026-33186 대응을 위해 gRPC v1.79.3으로 업그레이드
  • 버그 수정: event-tracker의 동시 reconcile 환경에서 카오스 실험이 중복 실행되던 문제 해결
  • 신규 기능: ChaosCenter에 Prometheus 메트릭 추가(유닛 테스트 및 시작 가이드 포함)
  • 버그 수정: 인프라 연결이 끊긴 상태에서도 실험 중지 가능
  • 버그 수정: CronWorkflow 실행 이력 페이지가 공백으로 표시되던 UI 문제 해결
원문

Jaeger

Observability2026년 5월 13일

Jaeger v2.18.0은 OTEL 메트릭 구조 변경과 min-step API 제거라는 두 가지 브레이킹 체인지와 함께, ES/OpenSearch 헤더 포워딩, UI 상태 관리의 Redux→Zustand 전환 등 굵직한 변화를 담고 있습니다.

  • breaking업그레이드 전 메트릭 대시보드 전수 점검

    OTEL 컬렉터 패키지 업그레이드로 Jaeger 내부 메트릭 이름과 구조가 바뀌었습니다. Grafana 대시보드, Prometheus 알림 규칙, 모니터링 쿼리를 모두 검토해야 합니다. 가능하면 구버전과 신버전을 병행 실행하며 메트릭 차이를 먼저 확인하세요. min_step 제거는 영향 범위가 좁지만, metricstore API를 직접 호출하는 커스텀 도구가 있다면 반드시 코드 수정 후 업그레이드해야 합니다.

  • enhancement커스텀 헤더 인증을 쓴다면 헤더 포워딩 기능 즉시 활용 가능

    ES/OpenSearch 클러스터에 JWT나 IAM 프록시 헤더 같은 커스텀 인증 헤더가 필요한 환경이라면, 이번에 추가된 헤더 포워딩 기능이 기존 workaround를 대체할 수 있습니다. 멀티 테넌트 환경에서 요청 헤더로 스토리지 라우팅을 제어하는 구성에도 그대로 적용됩니다. jaeger-query 또는 gRPC 스토리지 플러그인 설정에서 구성하면 됩니다.

  • enhancementClickHouse 단일 스토리지로 트레이스와 SPM을 함께 쓸 수 있는 시점 임박

    ClickHouse SPM이 이번 릴리스에서 호출률, 오류율, 지연시간을 모두 지원하게 됐고 TTL도 추가됐습니다. 아직 실험적 단계라 프로덕션 투입은 이르지만, ClickHouse를 이미 운영 중이거나 Prometheus 없이 SPM을 쓰고 싶다면 지금 스테이징 환경에서 테스트를 시작하기 좋은 타이밍입니다.

주요 변경 (6)
  • 브레이킹: OTEL 컬렉터 패키지 업그레이드로 메트릭 이름과 구조 변경 — 기존 대시보드와 알림 규칙 검토 필수
  • 브레이킹: metricstore에서 min_step API 제거 — 해당 엔드포인트를 직접 호출하는 도구는 수정 필요
  • 신규: UI가 브라우저 URL에서 베이스 경로를 자동 감지 — 리버스 프록시 환경에서 수동 설정 불필요
  • 신규: ES/OpenSearch 및 gRPC 스토리지 백엔드로 커스텀 헤더 포워딩 가능 — 인증 토큰 전달에 유용
  • 실험적: ClickHouse SPM이 호출률, 오류율, 지연시간 및 TTL 지원까지 갖추며 빠르게 성숙 중
  • UI 브레이킹: 구형 브라우저 지원 중단 — IE 및 매우 오래된 Chromium/Firefox 사용자는 영향 받음
원문

OpenTelemetry

Observability2026년 5월 11일

v0.152.0에서는 telemetry host를 커스텀 설정할 때 Prometheus 메트릭 이름이 바뀌던 버그를 수정하고, 맵·슬라이스 값의 AsString HTML 이스케이프 동작을 변경했습니다. 익스포터 in-flight 요청 메트릭도 추가됐습니다.

  • breakingtelemetry host를 커스텀 설정했다면 Prometheus 메트릭 이름 검증 필요

    telemetry 섹션에서 host를 직접 지정한 Collector를 운영 중이라면, 업그레이드 후 Prometheus 메트릭 이름을 반드시 확인하세요. 이전 버전에서는 WithoutScopeInfo, WithoutUnits, WithoutTypeSuffix 필드가 잘못된 기본값(false)으로 설정되어 메트릭 이름 형식이 묵시적 기본 설정과 달라졌습니다. 이번 패치로 올바른 기본값이 적용되므로, 메트릭 이름 기반의 대시보드나 알럿이 있다면 업그레이드 전후 이름을 비교하세요.

  • breakingAsString 출력 변경 — 맵·슬라이스 값을 파싱하는 로직 점검

    pcommon.Value.AsString이 맵·슬라이스 값 내의 <, >, & 문자를 더 이상 HTML 이스케이프하지 않습니다. 파이프라인 다운스트림에서 &lt; 같은 이스케이프된 문자열을 파싱하거나 기대하는 로직이 있다면 업그레이드 후 동작이 달라집니다. attribute processor, 로그 파서, 익스포터 등에서 맵·슬라이스의 문자열 표현을 사용하는 부분을 점검하세요.

  • enhancementotelcol_exporter_in_flight_requests를 대시보드에 추가

    otelcol_exporter_in_flight_requests UpDownCounter가 익스포터별로 동시에 진행 중인 export 요청 수를 추적합니다. 별도 설정 없이 자동으로 노출되므로, Collector 대시보드에 추가해 워커 풀 포화 상태를 조기에 감지할 수 있습니다.

주요 변경 (5)
  • 익스포터별 동시 in-flight 요청 수를 추적하는 otelcol_exporter_in_flight_requests 메트릭 추가
  • pcommon.Value.AsString의 맵·슬라이스 값에서 HTML 이스케이프 제거 — ValueTypeStr과 동작 통일
  • telemetry host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • snappy 디코딩 전에 max_request_body_size 적용, 디컴프레션 라이브러리 패닉 시 HTTP 400 반환으로 변경
  • 정상 클라이언트 연결 종료 시 gRPC 'connection reset by peer' 로그가 WARN으로 출력되던 문제 수정
원문

OpenTelemetry

Observability2026년 4월 28일

v0.151.0은 OTLP receiver 설정 구조체에서 API 수준의 breaking change가 있고, builder의 go.mod 생성 기본 동작이 바뀝니다. 듀얼스택 gRPC 연결 문제 해결과 pprofile 데이터 손상 버그 수정이 운영 측면에서 가장 주요한 변경입니다.

  • breaking커스텀 콜렉터에서 OTLP receiver 필드 접근 방식 수정 필요

    OTLP receiver의 Config.Protocols가 이제 named field로 바뀌어, cfg.GRPC / cfg.HTTP를 직접 참조하는 코드는 컴파일이 깨집니다. OTLP receiver를 임베드하거나 확장한 커스텀 콜렉터가 있다면 cfg.Protocols.GRPC, cfg.Protocols.HTTP로 변경한 뒤 업그레이드하세요.

  • breaking빌더 생성 결과물을 커밋한다면 go.mod 경로 방식 확인

    cmd/builder가 생성하는 go.mod의 replace 경로가 기본값으로 상대 경로로 바뀌었습니다. 여러 머신에서 동일한 생성 코드를 빌드한다면 이 변경이 유리하지만, 절대 경로를 파싱하는 스크립트나 툴링이 있다면 dist::use_absolute_replace_paths: true를 설정해 기존 동작을 유지하면서 마이그레이션하세요.

  • enhancement듀얼스택 DNS 환경의 gRPC 연결 문제는 passthrough 리졸버로 해결

    grpc.NewClient 전환 이후 듀얼스택 DNS 환경에서 OTLP gRPC 익스포터 연결이 간헐적으로 실패하는 사례가 보고됐습니다. exporter 설정의 endpoint를 passthrough:///host:port 형식으로 바꾸면 해결됩니다. IPv4/IPv6 혼용 환경에서 연결 오류를 겪고 있다면 우선 이 방법을 시도해보세요.

주요 변경 (6)
  • cmd/builder: 생성된 go.mod의 replace 경로가 상대 경로로 변경됨 (절대 경로로 되돌리려면 dist::use_absolute_replace_paths 사용)
  • receiver/otlp API: cfg.GRPC, cfg.HTTP 접근을 cfg.Protocols.GRPC, cfg.Protocols.HTTP로 변경 필요
  • configgrpc: endpoint에 passthrough:/// 리졸버 스킴 지정 가능, 듀얼스택 DNS 문제 해결
  • pkg/pprofile: marshal-unmarshal-merge 후 resource/scope 속성이 손상되는 버그 수정
  • pkg/service: 텔레메트리 설정의 non-string resource attribute가 패닉 대신 에러를 반환하도록 수정
  • confighttp의 framedSnappy feature gate가 stable로 승격
원문

OpenCost

Observability2026년 4월 28일

v1.120.1은 탄소 비용 계산 오류 수정, AWS Spot 가격 캐싱, 메모리 최적화, 그리고 MCP 서버 기본값 변경을 담은 패치 릴리스입니다.

  • breakingMCP 서버 기본값 변경 — 의존 중인 통합 환경 확인 필요

    MCP 서버가 기존에는 별도 설정 없이 활성화 상태였지만, 이번 변경으로 명시적으로 켜야만 동작합니다. 별도 설정 없이 MCP 서버를 사용하던 도구나 연동 시스템이 있다면 업그레이드 후 조용히 멈출 수 있습니다. 배포 전에 MCP_SERVER_ENABLED=true 설정이 필요한 환경인지 반드시 점검하세요.

  • enhancementAWS Spot 사용 환경: Spot 가격 캐싱으로 API 부하 감소

    Spot 인스턴스를 사용한다면 기존에는 Spot Price History API를 빈번하게 호출했습니다. 캐싱 레이어 추가로 API 호출 횟수가 줄어 속도 제한 문제와 비용 귀속 지연이 완화됩니다. 별도 조치는 필요 없지만, 업그레이드 후 Spot 비용 데이터가 정확하게 집계되는지 확인해보는 게 좋습니다.

  • enhancement탄소 비용 데이터 오류 수정 — 탄소 지표 사용 시 재기준선 설정 필요

    프로바이더 감지 오류와 폴백 로직 버그로 인해 이전 버전의 탄소 비용 수치가 부정확했을 수 있습니다. 탄소/배출량 데이터를 팀이나 대시보드에 제공하고 있다면, 업그레이드 후 이 버전 경계를 기준으로 과거 데이터와 단순 비교하지 말고 새로 기준선을 잡아야 합니다.

주요 변경 (5)
  • MCP 서버가 기본값 비활성화(MCP_SERVER_ENABLED=false)로 전환 — 기존 opt-out 방식에서 opt-in 방식으로 변경
  • 탄소 비용 조회 오류 수정: 프로바이더 감지, 폴백 로직, 네트워크 비용 지원 문제 해결
  • AWS Spot Price History API에 캐싱 레이어 추가로 API 호출량 및 지연 감소
  • 메모리 사용량 2차 최적화 작업 적용
  • 로컬 스토리지 비용 조회를 Prometheus 쿼리 대신 직접 수식으로 대체
원문

Cortex

Observability2026년 4월 27일

Cortex v1.21.0은 여러 실험적 기능을 정식으로 졸업시키고, PRW2 데이터 손상 및 패닉 버그를 다수 수정했습니다. Store Gateway의 Parquet 모드와 테넌트 한도를 API로 제어하는 Overrides API도 새로 추가됐습니다.

  • breaking업그레이드 전 이름 변경된 플래그 전수 점검 필요

    -experimental.ruler.enable-api는 -ruler.enable-api로, -experimental.alertmanager.enable-api는 -alertmanager.enable-api로 바뀌었습니다. -distributor.otlp.enable-type-and-unit-labels는 no-op이 되어 -distributor.enable-type-and-unit-labels로 통합됐고, parquet 캐시 플래그에서 'queryable'이 제거됐습니다. users-scanner의 cleanup-interval은 update-interval로 바뀝니다. 현재는 deprecated 상태라 바로 오류가 나지 않지만, 다음 릴리스에서 제거될 수 있으므로 지금 당장 설정 파일과 Helm values를 검토하세요.

  • breakingPRW2 데이터 손상·패닉 수정 — PRW2 사용 중이라면 즉시 업그레이드 대상

    Remote Write V2 핸들러에서 세 가지 버그가 함께 수정됐습니다. Samples/Histograms 얕은 복사로 인한 데이터 손상, 더러운 sync.Pool 재사용으로 인한 index-out-of-range 패닉, 그리고 pool 반환 시 Symbols 배열 미초기화로 인한 메모리 누수입니다. PRW2를 운영 중이라면 이번 업그레이드는 선택이 아닌 필수입니다. 업그레이드 후 인제스천 파이프라인을 검증하고 메트릭 정합성을 확인하세요.

  • enhancement버킷 인덱스 기본 활성화 — 스토리지 권한 사전 확인 필요

    버킷 인덱스가 이번 릴리스부터 기본으로 켜집니다. 의도적으로 비활성화해 두었거나 오브젝트 스토리지 IAM 정책에서 list 작업을 제한해 둔 경우, 업그레이드 후 인덱스 쓰기·읽기가 정상 동작하는지 반드시 확인하세요. 권한 오류는 명확한 설정 오류 메시지 대신 쿼리 실패로 나타날 수 있습니다.

주요 변경 (5)
  • 버킷 인덱스가 기본 활성화로 변경 — 프로덕션에서 비활성화는 공식적으로 미지원
  • Ruler, Alertmanager, users-scanner, parquet 캐시 관련 플래그 및 설정 키 다수 이름 변경
  • PRW2 버그 3건 수정: Samples/Histograms 얕은 복사로 인한 데이터 손상, index-out-of-range 패닉, sync.Pool 재사용 메모리 누수
  • 테넌트 한도를 API로 제어하는 Overrides API 모듈 추가, 기존 모듈은 overrides-configs로 이름 변경
  • Alertmanager v0.31.1 업그레이드(IncidentIO·Mattermost 연동 추가), ring 일시 불가 시 설정 소실 버그 수정
원문

Litmus

Observability2026년 4월 15일

Litmus 3.28.0은 프로브 설정 누수, 구독자 크래시, 프론트엔드 이미지의 Python 취약점을 수정한 유지보수 릴리스입니다.

  • security프론트엔드 이미지 업그레이드로 Python 취약점 제거

    기존 ubi8 기반 프론트엔드 이미지에 Python CVE가 존재했습니다. 3.28.0에서 ubi9로 전환해 해소했습니다. Trivy, ACS, Prisma 등 이미지 스캐닝 정책을 운영 중이라면 3.28.0 프론트엔드 이미지로 재배포하면 해당 경고가 사라집니다. 별도 설정 변경 없이 이미지 교체만으로 충분합니다.

  • breaking프로브 설정 누수 수정으로 동일 타입 다중 프로브 동작 변경 가능

    동일 타입의 프로브를 한 실험에 여러 개 정의했을 때, 이전 버전은 프로브 간 설정이 암묵적으로 공유됐습니다. 이번 수정으로 프로브별 설정이 완전히 분리됩니다. 업그레이드 전에 관련 실험을 점검하세요. 설정 누수에 의존하던 케이스가 있다면 결과가 달라질 수 있습니다.

  • enhancementGitOps 및 이벤트 기반 워크플로우의 구독자 안정성 개선

    Argo Workflow ADD 이벤트에 ChaosEngine 노드가 포함된 환경에서 구독자가 간헐적으로 크래시되던 문제가 수정됐습니다. 이런 패턴을 사용 중이었다면 3.28.0 업그레이드 후 구독자 파드를 수동으로 재시작할 필요가 없어집니다. 업그레이드 후 구독자 파드 안정성을 확인해 기존 재시작 이슈가 해소됐는지 검증하세요.

주요 변경 (5)
  • 동일 타입의 여러 프로브 간 stale 설정 누수 수정 — 이전 프로브의 설정이 다음 프로브로 잘못 전달되던 문제
  • Workflow ADD 이벤트에 ChaosEngine 노드가 포함될 때 구독자가 크래시되던 문제 수정
  • 프론트엔드 베이스 이미지를 ubi8에서 ubi9로 업그레이드, Python 취약점 해소
  • Litmus Checker에서 실험 편집 및 복제 시 이미지 레지스트리가 잘못 적용되던 버그 수정
  • Canonical이 공식 채택 기관으로 추가됨
원문

OpenCost

Observability2026년 4월 13일

OpenCost v1.120.0은 OVH 클라우드 프로바이더 지원, AWS CUR 2.0 호환성을 추가하고, AWS·DigitalOcean·S3 통합 전반의 리소스 누수 및 버그를 수정했습니다.

  • breaking업그레이드 후 PV 비용 수치 검증 필요

    이전 버전에서 Ki/Mi/Gi/Ti 단위의 PV 용량을 잘못 파싱해 영구 볼륨 비용 할당이 틀렸을 가능성이 있습니다. 업그레이드 후 PV 비용 데이터를 반드시 확인하세요. 이상한 PV 비용 수치를 보고 있었다면 이번 수정으로 해결될 겁니다.

  • enhancementAWS CUR 2.0으로 전환 — 지금이 적기

    AWS가 CUR 1.0 지원 종료를 예고한 상황에서, 이번 릴리스로 CUR 2.0 지원이 추가됐습니다. 아직 CUR 1.0 내보내기를 사용 중이라면 AWS 빌링 내보내기 설정을 CUR 2.0으로 전환하고 OpenCost가 새 형식을 바라보도록 구성을 업데이트하세요. AWS가 강제 전환하기 전에 미리 진행하는 게 좋습니다.

  • enhancementSpot 미사용 팀은 Spot Data Feed 토글 비활성화로 로그 정리

    AWS Spot 인스턴스를 쓰지 않는 환경에서도 Spot 데이터 피드 관련 경고 로그가 계속 발생하는 문제가 있었습니다. 이제 설정 토글로 명시적으로 비활성화할 수 있으니, Spot을 사용하지 않는다면 해당 옵션을 꺼두는 게 좋습니다. 오해를 유발하는 로그도 함께 정리됩니다.

주요 변경 (7)
  • OVH 클라우드 프로바이더 통합 신규 추가
  • AWS CUR 2.0(Cost and Usage Report) 지원 추가
  • Prometheus 스크레이프 대상 파싱 시 메모리 누수 수정
  • 인제스터 종료 시 플러그인 프로세스가 좀비로 남는 문제 수정
  • Ki, Mi, Gi, Ti 단위를 잘못 파싱하던 PV 용량 계산 버그 수정
  • 얼로케이션 데이터에 계정 필드 추가, CSV 내보내기에 클러스터 이름 컬럼 추가
  • AWS Spot Data Feed 비활성화 설정 토글 추가
원문

Prometheus

Observability2026년 4월 13일

Prometheus v3.11.2은 웹 UI의 저장형 XSS 취약점(CVE-2026-40179)을 패치하고 Consul SD 버그 2건을 수정합니다. UI가 외부에 노출된 환경이라면 즉시 업그레이드하세요.

  • securityPrometheus UI가 노출된 환경이라면 CVE-2026-40179 즉시 패치

    스크레이프 대상이 메트릭 이름이나 레이블 값을 조작하면 UI에 악성 스크립트를 심을 수 있는 저장형 XSS입니다. 운영팀 외 사용자가 Prometheus UI에 접근할 수 있는 환경(내부 대시보드, 페더레이션 구성 등)이라면 즉각 v3.11.2로 업그레이드하세요. 당장 업그레이드가 어렵다면 네트워크 정책이나 인증 프록시로 UI 접근을 제한하는 것이 먼저입니다.

  • breaking업그레이드 후 Consul SD 스크레이프 대상 변경 여부 반드시 확인

    Consul Health API에 filter 파라미터가 잘못 적용되던 버그가 수정됐습니다. 의도치 않게 해당 동작에 의존하고 있었다면 업그레이드 후 발견되는 서비스 목록이 달라질 수 있습니다. 프로덕션 배포 전에 Consul SD 설정을 검토하고, 스크레이프 대상이 예상과 일치하는지 검증하세요.

  • enhancementConsul SD의 `health_filter`로 비정상 서비스 제거 간소화

    새로 추가된 `health_filter` 필드를 사용하면 SD 레이어에서 직접 Consul Health API 응답을 필터링할 수 있습니다. 지금까지 릴레이블링 규칙으로 비정상 인스턴스를 걸러내고 있었다면, `health_filter: healthy`로 설정해 그 규칙들을 정리하세요. 불필요한 타깃 변동(churn)도 줄어듭니다.

주요 변경 (3)
  • 보안: UI 툴팁·메트릭 탐색기에서 메트릭 이름·레이블 값 미이스케이프로 인한 저장형 XSS — CVE-2026-40179
  • Consul SD: Health API 필터링을 위한 `health_filter` 필드 신규 추가
  • Consul SD: filter 파라미터가 Health API에 잘못 적용되던 버그 수정
원문

Prometheus

Observability2026년 4월 2일

v3.11.0은 새로운 서비스 디스커버리 기능과 TSDB 실험적 기능을 대거 추가했습니다. 특히 보존 기간이 설정값보다 100만 배 길어지는 심각한 버그가 수정되었으니 즉시 업그레이드해야 합니다.

  • breakingTSDB 보존 기간 버그 수정 — 디스크 폭증 전에 업그레이드

    config 파일에서 `storage.tsdb.retention.time`을 설정할 때 단위 파싱 오류로 인해 실제 보존 기간이 설정값의 100만 배로 동작했습니다. CLI 플래그 대신 config 파일로 retention을 지정하고 있다면 디스크가 예상보다 훨씬 많은 데이터를 보유하고 있을 수 있습니다. 3.11.0으로 업그레이드 후 디스크 사용량을 반드시 확인하세요. 아울러 config에서 retention 설정을 제거하면 CLI 플래그 값으로 폴백되도록 동작이 바뀌었으니 설정을 재검토하세요.

  • breakingHetzner hcloud SD 레이블 2026년 7월 전에 마이그레이션

    `__meta_hetzner_datacenter`, `__meta_hetzner_hcloud_datacenter_location*` 레이블은 hcloud 역할에서 2026년 7월 1일부터 동작하지 않습니다. relabeling 설정과 recording rule을 전수 점검해 `__meta_hetzner_hcloud_location`, `__meta_hetzner_hcloud_location_network_zone`으로 교체하세요. robot 역할의 기존 레이블은 하위 호환성을 위해 유지됩니다.

  • enhancementretention.percentage로 TSDB 디스크 사용량 상한 설정

    새로 추가된 `storage.tsdb.retention.percentage` 설정을 사용하면 TSDB가 사용할 수 있는 디스크 비율의 상한을 지정할 수 있습니다. 데이터 수집량이 가변적인 환경에서 바이트 기반 상한을 추정하는 것보다 훨씬 관리하기 쉽습니다. 기존 시간 기반 retention을 대체하기보다는 함께 설정해 두 조건 모두 적용되도록 운영하는 것을 권장합니다.

주요 변경 (6)
  • 긴급 버그: TSDB retention time 단위 오류로 보존 기간이 설정값의 1e6배로 동작 — 즉시 패치 필요
  • Hetzner hcloud SD 레이블 `__meta_hetzner_datacenter` 등 2026년 7월 1일부로 삭제 예정
  • AWS SD에 Elasticache·RDS 역할 추가, Azure Workload Identity 인증 지원
  • 새 `storage.tsdb.retention.percentage` 설정으로 디스크 사용량 비율 상한 지정 가능
  • 실험적 `fast-startup` 플래그: WAL 디렉토리에 시리즈 상태 저장해 재시작 시간 단축
  • OTLP ErrTooOldSample 응답 코드 500→400 수정으로 클라이언트 무한 재시도 루프 해소
원문

Jaeger

Observability2026년 3월 30일

v2.17.0은 UI의 XSS 보안 취약점 수정, 사이드 패널 스팬 상세 보기·트레이스 로그 집계 등 주요 UI 기능 추가, 그리고 패닉 방지 및 클럭 스큐 수정 등 백엔드 안정성 개선을 포함합니다.

  • securityXSS 취약점 수정을 위해 UI를 즉시 업데이트하세요

    기존 UI는 트레이스 속성 값을 innerHTML로 렌더링해서, 스팬 데이터에 악성 HTML이 포함될 경우 XSS 공격에 노출될 수 있었습니다. v2.17.0에서 textContent로 교체하여 수정됐습니다. Jaeger UI를 여러 팀이 공유하거나 스팬 데이터를 외부 입력으로부터 받는 환경이라면 우선순위를 높여 v2.17.0 이미지로 재배포하세요.

  • breaking클럭 스큐 수정으로 스팬 종료 타임스탬프가 달라집니다 — 트레이스 데이터 검증이 필요합니다

    기존 클럭 스큐 조정기는 시작 시간만 보정하고 종료 시간은 그대로 뒀습니다. 이제 둘 다 보정되므로, 조정된 트레이스 데이터를 기반으로 SLO나 레이턴시 계산을 하는 팀은 업그레이드 후 대시보드와 알림 규칙을 실제 트레이스로 재검증해야 합니다.

  • enhancement사이드 패널 스팬 뷰로 트레이스 분석이 편해집니다

    기존에는 스팬 상세 정보가 인라인으로 펼쳐져서 타임라인 맥락이 사라졌습니다. 새 사이드 패널 모드에서는 타임라인을 유지하면서 스팬을 검사할 수 있습니다. 별도 설정 없이 UI에서 스팬을 클릭하면 바로 사용 가능하니, 팀의 디버깅 워크플로우 개선 사례로 공유해볼 만합니다.

주요 변경 (6)
  • 보안: UI에서 innerHTML을 textContent로 교체하여 XSS 공격 벡터 제거
  • 신규 UI 기능: 스팬 상세 정보를 인라인 대신 사이드 패널에서 열 수 있어 트레이스 분석 시 맥락 유지 가능
  • 신규 UI 기능: 트레이스 로그 뷰에서 모든 스팬 이벤트를 한 곳에 집계하여 디버깅 편의성 향상
  • 백엔드 수정: 클럭 스큐 조정기가 시작 타임스탬프뿐 아니라 종료 타임스탬프도 올바르게 보정
  • 백엔드 수정: jitter 계산 시 0 또는 서브 나노초 Duration으로 인한 패닉 방지 처리 추가 (프로덕션 크래시 #8149 수정)
  • 실험적 ClickHouse 백엔드: 쿼리 최적화 및 트레이스 ID 중복 제거 스키마 수정
원문

Chaos Mesh

Observability2026년 3월 25일

Chaos Mesh v2.8.2는 Go 및 UI 패키지 전반의 CVE를 해소하는 보안 패치 릴리스로, install.sh 제거 및 cert-manager 웹훅 충돌 버그 수정도 포함합니다.

  • securityCVE 대응 목적의 릴리스 — 즉시 업그레이드 필요

    이번 릴리스는 Go와 UI 전체 직접 의존성을 일괄 업그레이드해 CVE를 해소했습니다. 릴리스 노트에 구체적인 CVE ID는 명시되지 않았지만, 대상 범위가 '모든 직접 의존성'인 만큼 노출 범위가 넓을 수 있습니다. 특히 Chaos Mesh 대시보드가 외부 또는 내부 비신뢰 사용자에게 노출된 클러스터라면 v2.8.1 이하 버전에서 즉시 업그레이드하세요.

  • breakinginstall.sh 참조 제거 — 파일 자체가 삭제됨

    단순 사용 중단(deprecated) 수준이 아니라 파일이 완전히 삭제됐습니다. install.sh를 호출하는 CI/CD 파이프라인, 런북, 온보딩 문서가 있다면 업그레이드 즉시 오류가 발생합니다. 업그레이드 전에 관련 자동화 스크립트와 내부 문서를 Helm 차트 또는 공식 퀵스타트 가이드 기준으로 먼저 수정하세요.

  • enhancementcert-manager 사용 환경에서 SSA 충돌 해소 확인 필요

    cert-manager로 웹훅 인증서를 관리하는 경우, 웹훅 템플릿의 caBundle 플레이스홀더가 서버사이드 어플라이(SSA)의 필드 소유권 충돌을 유발했습니다. 조용히 재조정(reconciliation)을 망가뜨리는 유형의 버그입니다. v2.8.2로 업그레이드한 뒤 Helm 릴리스 또는 매니페스트를 다시 적용해 SSA가 필드 소유권을 깔끔하게 재계산하도록 해주세요. 웹훅 인증서 오류나 Helm diff 노이즈가 반복됐다면 이 문제가 원인이었을 가능성이 높습니다.

주요 변경 (5)
  • 알려진 CVE 해소를 위해 직접 의존 Go·UI 패키지 일괄 업그레이드
  • install.sh 삭제 — 더 이상 파일 자체가 존재하지 않음, Helm/kubectl이 유일한 설치 경로
  • Go 런타임 1.25.8로 업그레이드
  • 취약한 go-ethereum JSON-RPC를 creachadair/jrpc2로 교체
  • cert-manager 사용 시 caBundle 플레이스홀더로 인한 서버사이드 어플라이(SSA) 충돌 수정
원문

Litmus

Observability2026년 3월 18일

Litmus 3.27.0은 카오스 실험에서 Kubernetes Job 타겟팅을 지원하고, nil 포인터 크래시·GitOps 교착 상태·레이스 컨디션 등 안정성 버그를 다수 수정했습니다.

  • breakingGitOps 양방향 동기화가 무음으로 중단된 상태였음 — 업그레이드 후 동기화 상태 반드시 확인

    GitOps 동기화 핸들러 고루틴이 비활성화되어 있어 Git 변경 사항이 Litmus에 반영되지 않았습니다. 3.27.0으로 업그레이드한 뒤 동기화를 수동으로 트리거해 실험 상태가 Git 소스와 일치하는지 확인하세요. 그동안 누적된 드리프트는 직접 조정해야 합니다.

  • enhancementKubernetes Job을 카오스 실험 대상으로 지정 가능

    배치 처리나 CI 파이프라인을 Kubernetes Job으로 운영 중이라면, 이제 Job 리소스에 직접 카오스를 주입할 수 있습니다. 실험 매니페스트에 Job 리소스를 타겟으로 지정하고, 기존에 우회 방법이 없어 검증하지 못했던 배치 처리 경로의 복원력을 확인해 보세요.

  • enhancementnil 포인터·레이스 컨디션 다수 수정으로 간헐적 크래시 해소

    이번 릴리스에서 구독자, QueryServerVersion, YAML 파서에서 발생하던 nil 포인터 역참조 세 건과 실험 실행 레이스 컨디션이 수정됐습니다. 간헐적 크래시나 실험이 비정상 상태로 멈추는 현상을 겪었다면 업그레이드만으로 해결됩니다. 별도 설정 변경은 필요 없습니다.

주요 변경 (5)
  • 신규: 카오스 실험 대상에 Kubernetes Job 추가 — 배치 워크로드 커버리지 확장
  • MongoDB 다운 시 503 반환으로 프로브가 인프라 장애를 정확히 감지 가능
  • Workflow ADD 이벤트에서 발생하던 구독자 nil 포인터 크래시 수정
  • GitMutexLock.Unlock 교착 상태 해소 및 GitOps 동기화 핸들러 고루틴 재활성화로 양방향 동기화 복구
  • CMD 프로브 명령어 1024자 제한 제거 — 복잡한 프로브 스크립트 사용 가능
원문

Jaeger

Observability2026년 3월 7일

Jaeger v2.16.0은 Go 1.25.7 필수 요구사항과 레거시 원격 샘플링 형식 제거라는 주요 변경사항을 도입했으며, ClickHouse 성능 개선과 Elasticsearch 헬스체크 타임아웃 지원을 추가했습니다.

  • breaking배포 전 Go 1.25.7 버전으로 업그레이드 필요

    코드베이스 전체에서 Go 버전 요구사항이 강제됩니다. 구 버전 Go를 사용하는 팀은 빌드 실패를 겪게 됩니다. 업그레이드하거나 소스에서 빌드하기 전에 빌드 환경, CI/CD 파이프라인, 컨테이너 이미지를 Go 1.25.7로 업데이트하세요.

  • breaking원격 샘플링 클라이언트 통합 업데이트 필요

    레거시 원격 샘플링 엔드포인트 응답 형식이 제거되었습니다. 구 형식에 의존하는 커스텀 원격 샘플링 클라이언트를 사용하는 애플리케이션은 동작하지 않습니다. 업그레이드 전에 샘플링 설정을 검토하고 커스텀 클라이언트를 현재 형식에 맞게 업데이트하세요.

  • enhancement향상된 시작 안정성을 위해 Elasticsearch 헬스체크 타임아웃 활성화

    새로운 시작 시 헬스체크 타임아웃 설정은 Elasticsearch 연결 문제 발생 시 무한 대기를 방지합니다. 간헐적 연결 문제가 있는 환경에서 서비스 시작 안정성을 개선하려면 Elasticsearch 스토리지 설정에 헬스체크 타임아웃 설정을 추가하세요.

주요 변경 (6)
  • 전체 코드베이스에서 Go 1.25.7 버전 필수 요구사항 적용
  • 레거시 원격 샘플링 엔드포인트 응답 형식 제거
  • findtraceids 쿼리 재구조화를 통한 ClickHouse 성능 개선
  • 시작 시 안정성을 위한 Elasticsearch 헬스체크 타임아웃 지원 추가
  • HTTP 서버를 Gorilla Mux에서 표준 라이브러리 http.ServeMux로 마이그레이션
  • 크리티컬 패스 시각화 및 v3 API 클라이언트 베이스 패스 처리 UI 수정사항
원문

Fluentd

Observability2026년 2월 19일

Fluentd v1.19.2는 소켓 누수와 연결 타임아웃 관련 중요한 버그 수정과 Ruby 4.0 호환성 개선을 제공합니다. out_forward 및 HTTP 서버 플러그인의 운영 안정성 문제에 대한 우선순위 수정이 포함되었습니다.

  • security소켓 누수 취약점 수정을 위해 즉시 업그레이드

    HTTP 서버 플러그인에서 POST 요청 시 소켓 누수가 발생하여 리소스 고갈로 이어질 수 있었습니다. HTTP 입력 플러그인을 사용하는 운영 환경에서는 중요한 수정사항입니다. 즉시 업데이트하고 배포 후 소켓 사용량을 모니터링하십시오.

  • breaking타임아웃 처리를 위한 out_forward 구성 업데이트

    out_forward 플러그인이 이제 무한 루프를 방지하기 위해 연결 타임아웃을 적절히 처리합니다. forward 출력 구성을 검토하고 특히 연결 안정성이 중요한 고처리량 환경에서 연결 동작 변경사항을 모니터링하십시오.

  • enhancementRuby 4.0 마이그레이션 준비

    이 릴리스는 ostruct 및 net-http를 포함한 업데이트된 gem 종속성으로 Ruby 4.0 호환성을 추가합니다. Ruby 업그레이드 경로를 계획하고 Ruby 4.0으로 이전을 계획 중이라면 스테이징 환경에서 이 버전을 테스트하십시오.

주요 변경 (5)
  • out_forward 플러그인의 무한 연결 루프를 방지하는 타임아웃 문제 수정
  • HTTP 서버 플러그인 POST 요청에서 소켓 누수 문제 해결
  • glob 패턴에서 읽기 권한이 없는 파일 처리 시 in_tail 플러그인 오류 수정
  • 업데이트된 gem 종속성으로 Ruby 4.0 호환성 추가
  • config_include_dir에서 중복 설정 파일 로딩 문제 수정
원문