RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 3월해제 ×

Karmada

Orchestration & Management2026년 3월 31일

Karmada v1.17.1은 무중단 축출 실패, 인증서 갱신 루프, Helm 차트 렌더링 오류, OpenAPI 스키마 오류 등 4가지 버그를 수정한 패치 릴리스입니다.

  • breakinggraceful eviction 사용 중이라면 즉시 패치 필요

    이 경쟁 조건의 문제는 실패가 무음으로 처리된다는 점입니다. 테인트가 걸리거나 장애 중인 멤버 클러스터에서 워크로드가 축출되지 않아도 아무런 오류가 발생하지 않습니다. 멀티 클러스터 HA 환경이라면 v1.17.1로 즉시 업그레이드하고, 업그레이드 후 보류 중인 eviction 작업이 정상 완료됐는지 반드시 확인하세요.

  • breakingkarmada-agent 인증서 만료 여부 점검 필요

    SignerName 불일치로 인해 v1.17.0에서 인증서 갱신 CSR이 한 건도 승인되지 않았습니다. v1.17.0을 운영 중이었다면 에이전트 인증서가 갱신되지 않은 채 만료 기한이 가까워졌을 수 있습니다. 업그레이드 후 에이전트 인증서 만료일을 확인하고, 필요하면 수동으로 갱신을 트리거하세요.

  • enhancementHelm 차트 업그레이드 후 TLS 설정 재확인 필요

    v1.17.0에서 karmada-chart를 업그레이드했을 때 설정에 '{{ ca_crt }}'가 문자 그대로 남아 있었다면, CA 인증서가 주입되지 않은 상태입니다. v1.17.1로 업그레이드한 뒤 Helm upgrade를 다시 실행해 CA 인증서가 올바르게 렌더링됐는지, TLS 설정이 정상인지 확인하세요.

주요 변경 (4)
  • 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 무음으로 누락되던 경쟁 조건 수정
  • cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 CSR 자동 승인이 전혀 이뤄지지 않던 인증서 갱신 버그 수정
  • karmada-chart 업그레이드 시 '{{ ca_crt }}'가 렌더링되지 않고 그대로 남던 Helm 차트 문제 수정
  • Go 타입명 대신 완전 수식 모델명(fully qualified name) 사용으로 OpenAPI 스키마 unknown model 오류 해결
원문

Karmada

Orchestration & Management2026년 3월 31일

v1.16.4는 인증서 자동 갱신 중단, Helm 업그레이드 시 ca_crt 미렌더링, 그리고 무중단 축출 작업이 조용히 누락되는 레이스 컨디션 세 가지 버그를 수정합니다.

  • security인증서 자동 갱신이 조용히 멈춰 있었음 — 업그레이드 후 즉시 인증서 유효기간 점검

    SignerName 불일치로 인해 karmada-agent의 인증서 갱신 CSR이 한 번도 승인되지 않았습니다. 즉, 에이전트 인증서가 갱신 없이 만료되고 있었던 셈입니다. v1.16.4로 업그레이드한 뒤, 모든 멤버 클러스터의 karmada-agent 인증서 만료일을 확인하고 만료가 임박한 것은 수동으로 갱신을 트리거하세요. 이 수정 이전에 자동 갱신이 정상 동작했다고 가정하지 마세요.

  • breaking축출 레이스 컨디션으로 워크로드가 장애 클러스터에 방치됐을 수 있음

    컨트롤러 레플리카를 여러 개 운영하거나 ResourceBinding 변경이 잦은 환경이라면, 이번 수정 전에 taint된 클러스터나 비정상 클러스터에서 워크로드 축출이 조용히 실패했을 가능성이 있습니다. v1.16.4로 즉시 업그레이드한 뒤, 현재 클러스터 taint 상태와 ResourceBinding 상태를 점검해 누락된 축출 작업이 없는지 확인하세요.

  • breakingHelm 업그레이드로 ca_crt가 제대로 적용되지 않았다면 TLS 설정 재확인 필요

    {{ ca_crt }} 템플릿 변수가 Helm 업그레이드 시 렌더링되지 않아 TLS 설정이 잘못 배포됐을 수 있습니다. v1.16.3에서 Helm으로 업그레이드한 이력이 있다면, 배포된 시크릿과 차트 값에서 ca_crt가 올바르게 채워져 있는지 확인하세요. 문제가 의심된다면 v1.16.4로 다시 업그레이드해 재적용하세요.

주요 변경 (3)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }} 변수가 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시에 수정할 때 graceful eviction 작업이 조용히 누락되던 레이스 컨디션 수정
원문

Karmada

Orchestration & Management2026년 3월 31일

Karmada v1.15.7은 에이전트 인증서 갱신 교착 상태, Helm 차트 업그레이드 렌더링 오류, 그리고 무증상으로 eviction 작업을 누락시키던 경쟁 조건 버그 세 가지를 수정한 패치 릴리스입니다.

  • breaking에이전트 인증서 만료 여부를 즉시 점검하세요

    SignerName 불일치 버그로 인해 CSR이 승인되지 못했다면, karmada-agent의 인증서가 이미 만료됐거나 만료 임박 상태일 수 있습니다. v1.15.7로 업그레이드 전에 각 에이전트 인증서의 NotAfter 필드를 확인하고, 만료된 경우 수동 갱신을 먼저 진행하세요. 인증서 TTL이 짧은 환경일수록 긴급도가 높습니다.

  • breakingeviction 누락으로 문제 클러스터에 워크로드가 남아있을 수 있습니다

    graceful eviction의 경쟁 조건 버그로 인해, 클러스터에 taint가 추가되거나 장애 상태가 됐을 때 복수의 컨트롤러가 동시에 동작 중이었다면 eviction 작업이 무증상으로 누락됐을 가능성이 있습니다. 업그레이드 전에 ResourceBinding 및 ClusterResourceBinding 오브젝트에서 미처리된 eviction 조건을 점검하고, 영향받은 바인딩에 대해 업그레이드 후 eviction을 재트리거하세요.

  • breakingHelm 업그레이드 시 ca_crt 렌더링 결과를 반드시 검증하세요

    {{ ca_crt }}가 렌더링되지 않으면 TLS 설정이 리터럴 문자열로 남아 연결 오류로 이어집니다. v1.15.7로 Helm 업그레이드 후 배포된 Secret 또는 ConfigMap에서 ca_crt 값이 실제 인증서 데이터로 채워졌는지 확인하세요. 이전 업그레이드에서 문제가 발생했다면 해당 리소스를 재배포해야 합니다.

주요 변경 (4)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }}가 그대로 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 조용히 누락되던 경쟁 조건 수정
  • 위 세 버그 모두 운영 환경에서 무증상으로 진행될 수 있어 즉각적인 업그레이드 및 상태 점검 필요
원문

Dapr

Orchestration & Management2026년 3월 30일

Dapr v1.16.12는 gRPC 인증 우회 CVE 패치, Pulsar Avro/JSON 스키마 처리 버그 수정, 그리고 파드 재시작 후 최대 20분간 지속되던 Scheduler 클러스터 스톨 문제를 해결합니다.

  • securitygRPC 인증 우회(CVE-2026-33186) 패치를 위해 즉시 업그레이드

    CVE-2026-33186은 특정 조건에서 gRPC 인증을 우회해 비인가 요청을 허용합니다. Dapr 1.16.12 이전 모든 1.16.x 버전이 영향을 받으며, 의존성 패치 없이는 우회 방법이 없습니다. 즉시 업그레이드하세요.

  • breakingPulsar Avro + CloudEvents 스키마 등록 방식 변경 — 기존 토픽 점검 필요

    Dapr 1.16.0~1.16.11에서 Avro 스키마와 CloudEvents 래핑(기본값)을 함께 사용하는 Pulsar 토픽은 Schema Registry에 잘못된 스키마가 등록되어 있었습니다. 업그레이드 후에는 올바른 CloudEvents 엔벨로프 Avro 스키마로 등록됩니다. 기존 토픽의 Schema Registry 상태와 비-Dapr 컨슈머의 영향 여부를 확인하세요. 새로 추가된 rawSchema 메타데이터 옵션은 순수 raw 페이로드 전용 토픽에만 사용해야 합니다.

  • enhancementScheduler HA 환경에서 파드 재시작 후 20분 스톨 문제 해소

    Scheduler 3개 인스턴스 HA 구성에서 워크플로우나 액터 리마인더가 실행 중일 때 파드가 재시작되면 클러스터 전체가 최대 20분간 멈추는 문제가 있었습니다. 롤링 업데이트나 노드 유지보수 후 워크플로우나 리마인더가 설명 없이 지연됐다면 이 버그가 원인입니다. 이번 수정으로 트리거 전달이 컨텍스트 취소를 즉시 반영해 수초 내 쿼럼을 재확립합니다. 참고로 Dapr v1.17은 트리거 전달 경로 자체를 비동기 방식으로 재설계해 이 문제 유형 자체를 없앴습니다.

주요 변경 (5)
  • CVE-2026-33186 패치: gRPC 인증 우회를 허용하던 업스트림 의존성 업그레이드
  • Pulsar Avro 구독자가 바이너리 페이로드를 정상 디코딩하도록 수정 — 기존에는 JSON 언마샬 실패로 영구 재시도 루프에 빠졌음
  • Pulsar CloudEvents + Avro 스키마 등록 시 CloudEvents 엔벨로프 스키마로 올바르게 래핑, 브로커 측 불일치 해소
  • Pulsar JSON 스키마 토픽에서 발행 시 단순 JSON 파싱이 아닌 실제 구조적 유효성 검사 수행
  • Scheduler 파드 재시작 후 복구 시간이 최대 20분에서 5초 미만으로 단축 — 블로킹 트리거 전달 경로 수정
원문

Volcano

Orchestration & Management2026년 3월 30일

Volcano v1.13.2는 패치 릴리스로, NUMA 리소스 처리 패닉, GPU 리소스 오류, 스케줄러 스냅샷 상태 오염, Job 내 Terminating Pod 처리 오류 등 5건의 버그를 수정했습니다.

  • securityNUMA 스냅샷 패닉으로 스케줄러 프로세스가 중단될 수 있음 — NUMA 워크로드 확장 전 패치 적용

    스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 nil 포인터 또는 동시 쓰기 패닉이 발생하면 volcano-scheduler 프로세스 전체가 내려갑니다. NUMA 인식 클러스터에서는 Pod가 재시작될 때까지 스케줄링이 완전히 멈춥니다. 토폴로지 인식 워크로드를 운영 중이라면 워크로드 확장 전에 v1.13.2로 패치를 적용하세요.

  • breaking스케줄러 스냅샷 변이 버그, 스케줄링 결정 오염 가능 — 즉시 업그레이드 필요

    스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그(PR #5093)가 이번 릴리스에서 가장 심각한 수정 사항입니다. 여러 스케줄링 사이클이 상태를 공유하면 비결정적 스케줄링 동작이 발생하고, 원인 추적도 매우 어렵습니다. GPU나 멀티태스크 배치 워크로드를 부하 상태에서 운영 중이라면 v1.13.2로 즉시 업그레이드해야 합니다.

  • enhancementGPU 리소스 오류 수정으로 유령 할당 문제 해결

    GPU 리소스 집계 오류가 수정되어 노드가 과다 할당되거나 실제보다 낮은 활용률로 표시되던 문제가 해결됩니다. GPU Pod가 실제 용량이 있음에도 Pending 상태에 머물거나, GPU 노드에서 예기치 않은 스케줄링 실패가 반복되었다면 이번 패치로 해결될 가능성이 높습니다. 업그레이드 후 스케줄러 Pod를 재시작해 남아 있을 수 있는 낡은 리소스 상태를 초기화하세요.

주요 변경 (5)
  • Terminating 상태 Pod가 Job에서 조기에 제거되지 않고 올바르게 유지됨
  • 스케줄러 스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 발생 가능한 패닉 수정
  • GPU 리소스 집계 오류 수정 — 과다/과소 스케줄링으로 이어질 수 있던 문제
  • Prometheus 메트릭 클라이언트 업데이트로 지표 보고 오류 수정
  • 스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그 수정 — 스케줄링 사이클 간 상태 오염 방지
원문

KubeVirt

Orchestration & Management2026년 3월 30일

KubeVirt v1.8.1은 virt-handler domain-notify 서버 비정상 종료 및 PVC 이름이 긴 경우 VMExport 실패, 두 가지 버그를 수정한 패치 릴리스입니다.

  • breakingvirt-handler 충돌로 VM 라이프사이클 이벤트가 먹통이 된다면 즉시 업그레이드하세요

    domain-notify 서버는 virt-handler와 실행 중인 VM 간 통신을 담당합니다. 비정상 종료 후 재시작되지 않으면 VM 시작·중지·마이그레이션 같은 라이프사이클 작업이 눈에 띄는 오류 없이 그냥 실패합니다. v1.8.0에서 원인 불명의 VM 관리 실패를 경험했다면 이 패치가 해결책입니다. v1.8.0 클러스터라면 가능한 빨리 적용하세요.

  • enhancement긴 PVC 이름을 쓰는 VMExport 파이프라인을 업그레이드 후 반드시 검증하세요

    동적 프로비저너나 네임스페이스 접두사 방식으로 PVC 이름이 길어지는 환경에서 VMExport를 백업·마이그레이션 워크플로에 활용 중이라면, 업그레이드 후 익스포트가 정상 동작하는지 확인해야 합니다. 기존 실패가 조용히 넘어가는 경우가 많아 파이프라인 이상을 놓치기 쉬웠던 만큼, 업그레이드 직후 검증을 권장합니다.

주요 변경 (3)
  • virt-handler의 domain-notify 서버가 비정상 종료 시 자동 재시작되도록 수정
  • PVC 이름이 길 때 VMExport가 실패하는 문제 해결
  • 7명의 기여자, 17개 파일 변경으로 구성된 소규모 집중 패치
원문

Dapr

Orchestration & Management2026년 3월 26일

Dapr v1.17.3은 gRPC 인증 우회(CVE-2026-33186)와 TIFF OOM DoS(CVE-2026-33809) 두 CVE를 패치하고, h2c 액터 응답 데이터 유실, Placement 연쇄 장애, Scheduler 무음 중단 등 고영향 버그를 수정했습니다.

  • security활성 CVE 두 건, 즉시 업그레이드 필요

    CVE-2026-33186은 gRPC 인증을 우회해 허가되지 않은 요청이 서비스에 도달할 수 있는 취약점입니다. CVE-2026-33809는 8바이트짜리 악성 TIFF 파일 하나로 사이드카가 약 4GB 메모리를 할당하다 OOM으로 크래시될 수 있습니다. 두 취약점 모두 v1.17.3에서만 수정됩니다. 우회 방법은 없으므로 긴급 패치로 처리하세요. 특히 이미지 데이터를 처리하는 Dapr 컴포넌트가 있거나 gRPC 엔드포인트를 외부에 노출하는 경우 즉각 대응이 필요합니다.

  • breakingh2c + 액터 사용 환경은 v1.17.2 이후 응답 데이터 유실 여부 확인 필수

    --app-protocol h2c로 액터를 운영 중이었다면, v1.17.2부터 액터 메서드 호출이 HTTP 200을 반환하면서도 본문이 비어 있었을 수 있습니다. 오류 없이 데이터만 사라지는 방식이라 발견이 어렵습니다. v1.17.3으로 업그레이드한 뒤, v1.17.2 도입 이후 처리된 액터 응답 데이터를 감사하고 캐시나 로그에 저장된 응답이 있다면 재검증하세요.

  • enhancementHA Scheduler 배포 환경: 업그레이드 후 전체 Scheduler 파드 재시작 권장

    Scheduler 무음 중단 버그는 etcd에 오래된 리더십 키를 남겨 쿼럼 수렴을 막습니다. 업그레이드 후 모든 Scheduler 파드를 동시에 재시작해 깨끗한 리더십 선출을 유도하세요. 이후 롤링 업데이트 과정에서 워크플로우 타이머, 예약 잡, 액터 리마인더가 무작위로 멈추는 현상은 더 이상 발생하지 않습니다.

주요 변경 (7)
  • CVE-2026-33186: 업스트림 의존성 업그레이드로 gRPC 인증 우회 취약점 수정
  • CVE-2026-33809: golang.org/x/image를 v0.38.0으로 업그레이드해 TIFF OOM DoS 취약점 수정
  • h2c(HTTP/2 cleartext) 환경에서 액터 메서드 응답 본문이 빈 채로 반환되던 문제 수정 — 컨텍스트 분리 및 파이프 오류 전파 방식으로 해결
  • 서비스 호출 및 액터 응답에서 오래된 Content-Length 헤더가 그대로 전달되어 unexpected EOF가 발생하던 문제 수정
  • 단일 느린 사이드카로 인해 전체 Placement 테이블이 초기화되던 연쇄 장애 수정 — 선택적 타임아웃 및 단계 진행 로직 적용
  • 클러스터 스케일업 후 Scheduler 인스턴스가 조용히 동작을 멈추던 채널 경쟁 조건 수정 — 논블로킹 이벤트 루프로 교체
  • v1.16.9부터 AKS Windows 노드에서 daprd가 시작 불가하던 문제 수정 — docker manifest 툴체인으로 복원
원문

Dapr

Orchestration & Management2026년 3월 26일

Scheduler HA 환경의 치명적 버그 3건(연쇄 충돌, 파티션 무응답, Windows AKS 기동 실패)이 수정되었으며, Go 1.25.8 보안 패치도 포함됩니다.

  • securityGo 1.25.8 보안 패치 — 업그레이드로 반영

    Go 1.25.8은 html/template, net/url, os 패키지의 취약점을 수정했습니다. v1.16.10 이하를 사용 중이라면 해당 취약점이 있는 바이너리를 그대로 실행하는 셈입니다. v1.16.11로 업그레이드하면 수정된 런타임이 자동으로 반영됩니다. Go 1.25.7로 빌드한 커스텀 서비스가 별도로 있다면 그쪽도 함께 재빌드하세요.

  • breakingHA 모드 Scheduler 운영 중이라면 즉시 업그레이드

    v1.16.0~v1.16.10의 멀티 인스턴스 Scheduler 배포는 두 가지 장애 패턴에 노출되어 있습니다. 첫째, 높은 잡 부하에서 연쇄 충돌이 발생합니다. 둘째, 인스턴스가 파티션 리스를 유지하면서도 잡을 실행하지 않는 무음 실패가 생깁니다. 두 경우 모두 전체 Scheduler 파드 재시작 없이는 복구가 안 됩니다. Dapr Workflows나 Actor Reminder, 예약 잡을 HA로 운영 중이라면 일반적인 파드 축출이나 롤링 업데이트만으로도 워크플로우가 멈출 수 있으니 긴급 업그레이드를 권장합니다.

  • breakingAKS Windows 사용자: v1.16.9부터 broken, 이번 릴리스에서 수정

    v1.16.9~v1.16.10 사이에 AKS Windows 노드에 Dapr를 배포했다면, daprd 사이드카가 계속 CrashLoopBackOff 상태였을 겁니다. Docker 매니페스트 생성 도구 변경으로 os.version 필드가 누락되면서 Windows 컨테이너 런타임이 잘못된 이미지 변형을 가져왔기 때문입니다. v1.16.11로 업그레이드하면 별도 설정 변경 없이 정상 동작이 복원됩니다.

주요 변경 (5)
  • Go 런타임 1.25.7 → 1.25.8 업그레이드: html/template, net/url, os 패키지 보안 취약점 패치
  • 높은 잡 처리량 중 리더십 변경 시 발생하던 'catastrophic state machine error' 충돌 수정 — 오래된 CloseJob 이벤트를 no-op으로 처리
  • 클러스터 스케일업 후 Scheduler 인스턴스가 파티션을 점유한 채 잡을 실행하지 않는 레이스 컨디션 수정
  • v1.16.9부터 AKS Windows 노드에서 daprd 사이드카가 CrashLoopBackOff로 기동 실패하던 문제 수정 — 이미지 매니페스트의 os.version 필드 복원
  • 두 Scheduler 버그 모두 v1.16.0~v1.16.10의 모든 HA 배포에 해당
원문

KubeVirt

Orchestration & Management2026년 3월 24일

KubeVirt v1.8.0은 1,242개의 변경사항을 담은 대형 릴리스로, 새로운 VM 백업 API, VMPool 자동복구, 컨테이너패스 볼륨 등을 추가하고 일부 네트워크 바인딩을 완전 제거했습니다.

  • breaking업그레이드 전 SLIRP·Macvtap 바인딩 사용 VM 확인 및 전환

    SLIRP와 Macvtap 코어 바인딩이 v1.8.0에서 완전히 삭제됐습니다. 클러스터 내 해당 바인딩을 사용하는 VM이 있으면 업그레이드 후 즉시 장애가 발생합니다. 지금 VM 스펙을 전수 조사해 passt 또는 bridge 바인딩으로 전환하고, 프로덕션 적용 전 비프로덕션 환경에서 반드시 검증하세요.

  • breaking마이그레이션 및 vCPU 메트릭명 변경 — 대시보드 일괄 수정 필요

    kubevirt_vmi_migration_data_total_bytes는 deprecated 처리됐고, vCPU 레코딩 룰도 kubevirt_vmi_vcpu_count에서 vmi:kubevirt_vmi_vcpu:count로 바뀌었습니다. Grafana 대시보드, Prometheus 알림 규칙, 레코딩 룰에서 두 메트릭을 함께 찾아 교체하세요. 업그레이드 후에 고치면 모니터링 공백이 생깁니다.

  • enhancementdisabledFeatureGates로 피처 게이트 명시적 잠금 적용

    이제 피처 게이트를 단순히 설정하지 않는 방식이 아니라, disabledFeatureGates 목록에 명시해 강제로 비활성화할 수 있습니다. 규제 환경이나 GitOps로 KubeVirt 설정을 관리하는 팀이라면, 허용하지 않을 알파·베타 피처를 이 목록에 추가해 감사 추적이 가능한 형태로 관리하세요.

주요 변경 (6)
  • SLIRP 및 Macvtap 코어 네트워크 바인딩 완전 삭제 — 업그레이드 전 대체 바인딩으로 전환 필수
  • 증분 백업 및 CBT(Changed Block Tracking)를 지원하는 새 VMBackup API 도입
  • VMPool v1beta1 정식 승격 — 자동복구 전략 및 스케일인 제어(상태 보존 포함) 지원
  • kv.spec.configuration.developerConfiguration.disabledFeatureGates로 피처 게이트 명시적 비활성화 가능
  • 마이그레이션 메트릭명 변경: kubevirt_vmi_migration_data_total_bytes → kubevirt_vmi_migration_data_bytes_total — 대시보드 및 알림 규칙 업데이트 필요
  • virt-operator의 VIRT_*_IMAGE 환경변수 오버라이드가 하위 컴포넌트에 정상 전파되도록 버그 수정
원문

Knative

Orchestration & Management2026년 3월 24일

Knative v1.21.2는 TLS 설정 개선 한 건과 v1.22에서 secure-pod-defaults 기본값 변경 예고를 담은 소규모 패치 릴리스입니다.

  • breakingv1.22 업그레이드 전 루트 의존 워크로드 점검 필수

    v1.22부터 AllowRootBounded가 secure-pod-defaults의 기본값이 됩니다. 루트 권한이 필요한 컨테이너(레거시 앱, 특정 베이스 이미지 등)는 업그레이드 후 동작하지 않을 수 있습니다. 지금 v1.21 환경에서 AllowRootBounded를 명시적으로 활성화해 해당 워크로드를 테스트하세요. 문제가 생긴다면 v1.22 업그레이드 전에 config-features ConfigMap에서 secure-pod-defaults를 'disabled'로 설정해두세요. 업그레이드 당일까지 미루지 마세요.

  • enhancementknative.dev/pkg/network/tls 전환으로 TLS 제어 강화

    공유 라이브러리인 knative.dev/pkg/network/tls로 전환되면서 Serving의 TLS 설정 유연성이 높아졌습니다. 내부 PKI 정책이 있거나 암호 스위트·최소 TLS 버전을 정책으로 강제하는 환경이라면, 이번 변경이 기존 TLS 동작에 영향을 주는지 확인해보세요.

주요 변경 (3)
  • Serving의 TLS 설정이 knative.dev/pkg/network/tls 라이브러리로 전환되어 유연한 구성 가능
  • v1.21에서 secure-pod-defaults 기본값은 여전히 disabled — v1.22에서 AllowRootBounded로 변경 예정
  • AllowRootBounded는 루트 실행이 필요한 이미지와의 호환성을 유지하면서 보안 수준을 높이는 설정
원문

wasmCloud

Orchestration & Management2026년 3월 22일

v2.0.1은 runtime-operator Go 모듈의 v2 경로 마이그레이션, 프로토 재생성, 임시 go.work 우회 코드 제거를 담은 정리성 패치 릴리스입니다.

  • breakingruntime-operator Go 모듈을 직접 임포트한다면 경로 수정 필요

    runtime-operator의 Go 모듈 경로가 v2로 변경됐습니다. 이 모듈을 직접 임포트하는 Go 코드가 있다면 import 경로에 /v2 접미사를 추가해야 합니다. wasmCloud를 오퍼레이터로만 실행하고 모듈을 직접 임포트하지 않는다면 별도 조치는 불필요합니다.

  • enhancementv2.0.0에서 proto 또는 lint 문제를 겪었다면 이 패치로 업그레이드하세요

    프로토 재생성과 임시 go.work shim 제거가 포함되어 있어, v2.0.0 기준으로 오퍼레이터를 소스 빌드하던 경우 의존성 해석 오류나 낡은 proto 문제가 해소됩니다.

주요 변경 (3)
  • runtime-operator Go 모듈을 v2 모듈 경로로 마이그레이션
  • v2 모듈 변경에 맞춰 Protobuf 파일 재생성
  • 임시 go.work replace 지시어 제거 및 gateway 린트 복원
원문

wasmCloud

Orchestration & Management2026년 3월 22일

wasmCloud v2.0.0이 정식 출시됐습니다. HTTP/2·gRPC 지원, OpenTelemetry 메트릭, wasmtime 42 업그레이드, RUSTSEC-2026-0007 보안 패치가 포함됩니다.

  • securityRUSTSEC-2026-0007 패치 — 즉시 업그레이드 필요

    v2.0.0 이전 빌드를 사용 중이라면 이 취약점 패치만으로도 업그레이드 이유가 충분합니다. cargo-audit이나 Dependabot을 통해 취약한 의존성이 실제로 해소됐는지 환경 내에서 직접 확인하세요.

  • breakingHelm 사용자 필독: CRD 경로 변경, GitOps 파이프라인 점검 필요

    CRD 위치가 templates/crds에서 최상위 /crds 디렉토리로 바뀌었습니다. ArgoCD, Flux, 또는 기존 Helm 기반 GitOps 파이프라인이 이전 경로를 참조하고 있다면 업그레이드 즉시 배포가 깨집니다. 업그레이드 전에 Helm 릴리스 설정과 CI/CD 스크립트를 반드시 수정하세요.

  • enhancement지금 바로 메트릭 수집 설정 — v2의 관측 가능성을 활용하세요

    OpenTelemetry 메트릭이 기본 포함됐습니다. 이미 OTEL 콜렉터를 운영 중이라면 wasmCloud v2를 연결해 런타임 메트릭 수집을 시작하세요. 프로덕션 전환 후가 아니라 지금, 기준 대시보드를 잡아두는 게 맞는 순서입니다.

주요 변경 (6)
  • 런타임에 HTTP/2 및 gRPC 전송 계층 추가
  • OpenTelemetry 메트릭 통합으로 관측 가능성 확보
  • 최신 WebAssembly 엔진인 wasmtime 42로 업그레이드
  • RUSTSEC-2026-0007 대응을 위한 보안 패치 적용
  • Helm 차트 CRD 경로 변경: templates/crds → /crds (기존 배포 파이프라인 영향)
  • wash CLI가 clap v4 스타일로 개편되어 help 출력 품질 향상
원문

Dapr

Orchestration & Management2026년 3월 19일

Dapr v1.17.2는 Go 표준 라이브러리 CVE 3건 수정, CRD 수동 업데이트가 필요한 브레이킹 체인지, 대규모 액터 배포의 배치 장애 및 스트리밍 OOM 문제를 포함한 긴급 패치입니다.

  • securityGo 표준 라이브러리 CVE 3건 — 즉시 업그레이드 필요

    Go 1.24.x에서 net/url의 IPv6 SSRF(GO-2026-4601), os.Root 경로 탈출(GO-2026-4602), html/template XSS(GO-2026-4603)가 발견됐습니다. 사용자 입력 URL을 처리하거나 템플릿 렌더링이 관련된 서비스라면 실질적인 위험이 있습니다. Go 툴체인 업그레이드로 해결되므로 애플리케이션 코드 변경 없이 v1.17.2로 업그레이드하면 됩니다.

  • breakingHelm 업그레이드 전 CRD 수동 업데이트 — 안 하면 daprd 기동 실패

    Configuration CRD의 `stateRetentionPolicy` 필드 타입이 integer에서 string으로 바뀌었습니다. Helm은 CRD를 자동으로 업데이트하지 않으므로, CRD 업데이트 없이 `helm upgrade`를 실행하면 duration 문자열을 쓰는 Configuration 오브젝트가 Kubernetes 검증에서 거부되고 daprd가 설정을 불러오지 못할 수 있습니다. 공식 Kubernetes 업그레이드 가이드의 CRD 업데이트 절차를 먼저 수행하세요. 현재 워크플로우 상태 보존 정책을 사용하지 않더라도 CRD는 업데이트해두는 편이 좋습니다.

  • enhancement대규모 액터 배포 및 스트리밍 워크로드는 이번 패치를 우선 적용하세요

    보안 외에 두 가지 수정이 특히 중요합니다. 첫째, 1.17.x에서 50개 이상의 액터 레플리카 환경은 배치 전파 타임아웃이 연쇄적으로 발생하는 문제가 있었는데, 이번 릴리즈의 배치 처리 개선으로 해결됐습니다. 둘째, 파일 업로드·SSE·청크 데이터 같은 스트리밍 요청/응답이 사이드카 메모리에 통째로 버퍼링되어 OOM 킬이 발생하던 문제도 수정됐습니다. 두 패턴 중 하나라도 해당한다면 일반 정기 업그레이드가 아닌 긴급 패치로 취급하세요.

주요 변경 (5)
  • Go 1.25.8 업그레이드로 html/template XSS, os.Root 경로 탈출, net/url IPv6 파싱 등 CVE 3건 수정
  • 브레이킹 체인지: 워크플로우 상태 보존 정책 CRD 필드 타입이 integer에서 string으로 변경 — Helm 업그레이드 전 CRD 수동 업데이트 필수
  • 50개 이상 레플리카 환경에서 발생하던 액터 배치 전파 타임아웃 연쇄 장애 수정
  • 서비스 호출 시 스트리밍 요청/응답 전체를 메모리에 버퍼링하던 문제 수정 — 사이드카 OOM 방지
  • 그레이스풀 셧다운 중 DLQ 오라우팅 수정, 벌크 퍼블리시 네임스페이스 프리픽스 누락 수정
원문

Operator Framework

Orchestration & Management2026년 3월 19일

gRPC 의존성을 1.78.0에서 1.79.3으로 올리고 Ansible 오퍼레이터 플러그인을 갱신한 패치 릴리스입니다. 변경 범위가 좁아 빠르게 적용해도 무방합니다.

  • securitygRPC 의존성 업그레이드 적용 권장

    gRPC가 두 마이너 버전을 건너 1.79.3으로 올라갔습니다. gRPC의 전송 계층 문제나 CVE는 조용히 오퍼레이터-레지스트리 통신에 영향을 줄 수 있습니다. grpc 변경 이력을 한 번 확인한 뒤 업그레이드하세요. 의존성 범위가 좁아 리스크는 낮습니다.

  • enhancementAnsible 기반 오퍼레이터는 이미지 재빌드 필요

    Ansible 오퍼레이터를 운영 중이라면 플러그인 업데이트로 인해 기존 스캐폴딩 파일이 현재 기준과 어긋날 수 있습니다. SDK 업그레이드 후 플러그인이 관리하는 파일을 재생성해 동기화 상태를 유지하세요. 급하지는 않지만 다음 오퍼레이터 릴리스 전에 처리해 두는 편이 좋습니다.

주요 변경 (3)
  • google.golang.org/grpc 1.78.0 → 1.79.3 업그레이드 (dependabot)
  • Ansible 오퍼레이터 플러그인 v1.42.2 버전으로 업데이트
  • v1.42.1 릴리스 이후 생성 파일 동기화
원문

KubeVirt

Orchestration & Management2026년 3월 16일

KubeVirt v1.7.2는 네트워킹, 스토리지, 모니터링, 백업 영역의 버그 7건을 수정한 패치 릴리스입니다. 프로덕션 환경에서 실제로 문제가 되던 사항들이 포함되어 있어 즉시 업그레이드를 검토할 만합니다.

  • breaking혼합 NIC 구성 VMI 스펙을 점검하세요

    기본 네트워크 인터페이스가 보조 인터페이스보다 뒤에 정의된 VMI에서 virt-controller와 virt-handler 간 상태 무한 루프가 발생했습니다. VM이 지속적으로 업데이트 상태로 머물거나 virt-controller/virt-handler 로그량이 비정상적으로 많다면 이 버그일 가능성이 높습니다. v1.7.2로 업그레이드하고, VMI 스펙에서 기본 인터페이스가 목록 앞에 오는지 확인하세요.

  • enhancementWindows VM Velero 백업 안정성 개선 — 업데이트 권장

    QuiesceTimeout 처리 방식 변경과 60초 pre-backup 훅 타임아웃 추가로 Windows VSS 스냅샷의 간헐적 실패 문제가 해결됩니다. Velero로 Windows VM을 백업하다가 퀴에스 실패가 반복됐다면 이 패치가 직접적인 해결책입니다. 업그레이드 후 Velero 백업 정책의 훅 타임아웃 설정이 운영 SLA와 맞는지 점검하세요.

  • enhancementGCP NetApp Volumes 스토리지 마이그레이션 차단 해제

    GCP에서 NetApp Volumes를 사용하는 VM의 스토리지 라이브 마이그레이션이 조용히 실패하는 버그가 수정됐습니다. 이 문제로 스토리지 이동 작업을 미뤄왔다면 업그레이드 후 바로 테스트해볼 수 있습니다.

주요 변경 (7)
  • VMI 스펙에서 기본 NIC가 보조 인터페이스 뒤에 위치할 때 발생하던 VMI 상태 무한 업데이트 루프 수정
  • v3 핫플러그 포트 토폴로지 사용 시 업그레이드 후 PCI 주소 안정성 문제 수정
  • Google Cloud NetApp Volumes 환경에서 스토리지 마이그레이션 실패 수정
  • 스케줄 불가 노드를 kubevirt_allocatable_nodes 메트릭에서 제외하도록 수정
  • Windows VSS 백업의 QuiesceFailed를 QuiesceTimeout으로 교체하고 Velero pre-backup 훅에 60초 타임아웃 추가
  • 낮은 레플리카 경보 기준을 Deployment에 정의된 레플리카 수로 수정
  • Persistent Reservations 활성화 시 소켓 디바이스 헬스 상태 미갱신 버그 수정
원문

KubeVirt

Orchestration & Management2026년 3월 16일

KubeVirt v1.6.4는 CVE 패치, 핫플러그/마이그레이션 버그 수정, vCPU 큐 알림 추가를 포함한 108개 변경 사항의 패치 릴리스입니다.

  • securityCVE-2025-47913 대응 — 즉시 v1.6.4로 업그레이드

    CVE-2025-47913은 golang/x/crypto 의존성 취약점입니다. v1.6.4 이전 버전을 사용 중이라면 지금 바로 업그레이드하세요. 바이너리를 직접 패치하지 않는 한 별도의 우회 방법은 없습니다.

  • breaking크로스 벤더 라이브 마이그레이션 차단 — 노드 구성 사전 점검 필요

    이제 KubeVirt는 서로 다른 CPU 벤더(예: Intel ↔ AMD) 간 라이브 마이그레이션을 명시적으로 차단합니다. 혼합 CPU 환경에서 크로스 벤더 마이그레이션을 의도적으로든 비의도적으로든 사용하고 있었다면, 업그레이드 전에 노드 토폴로지를 반드시 점검하세요. 이전에는 성공하던 마이그레이션이 오류로 실패할 수 있습니다.

  • enhancementvCPU 큐 알림을 모니터링에 추가하세요

    GuestPeakVCPUQueueHighWarning, GuestPeakVCPUQueueHighCritical 두 알림이 새로 추가됐습니다. Prometheus를 사용 중이라면 이 알림이 정상적으로 수집되는지 확인하세요. VM이 부하 상태에서 이상 증상을 보이기 전에 CPU 고갈을 미리 감지할 수 있어 운영 가시성이 높아집니다.

주요 변경 (5)
  • CVE-2025-47913 수정: golang/x/crypto를 OpenShift 패치 포크로 교체
  • v3 핫플러그 포트 토폴로지 업그레이드 시 PCI 주소 안정성 문제 수정
  • 블록 볼륨 핫플러그 시 autoattachVSOCK 중단 버그 수정
  • 신규 Prometheus 알림 추가: GuestPeakVCPUQueueHighWarning / GuestPeakVCPUQueueHighCritical
  • 라이브 마이그레이션 시 메모리 오버커밋 재계산 및 크로스 벤더 마이그레이션 차단
원문

Dapr

Orchestration & Management2026년 3월 9일

Dapr 1.17.1은 프로덕션 아키텍처에서 WASM 컴포넌트 등록 실패와 워크플로우 정리 문제 등 중요한 런타임 이슈를 수정했습니다.

  • breakingWASM 컴포넌트 사용 시 즉시 업그레이드 필요

    v1.16.0-v1.17.0에서 프로덕션 아키텍처의 WASM 바인딩과 미들웨어 컴포넌트가 완전히 작동하지 않았습니다. 이런 컴포넌트를 사용하는 애플리케이션은 시작에 실패했죠. 업그레이드 후 WASM 컴포넌트가 정상 등록되고 동작하는지 테스트하세요.

  • enhancement배치 서비스 성능 개선 효과 확인

    액터를 사용하지 않는 사이드카가 많은 대규모 클러스터에서 배치 오버헤드가 줄어듭니다. 배치 서비스 메트릭과 액터 호출 지연 시간을 모니터링하세요. 특히 사이드카 재시작 시 락 사이클이 줄고 성능이 개선되는 걸 확인할 수 있을 겁니다.

  • enhancement워크플로우 정리 설정 재검토

    이전에 중단되었다가 재개된 워크플로우를 이제 제대로 정리할 수 있습니다. 상태 보존 정책이 예상대로 작동하는지 확인하고, 퍼지되어야 했지만 남아있던 워크플로우 인스턴스가 있는지 점검하세요.

주요 변경 (4)
  • 파일명 빌드 제약 조건 수정으로 amd64/arm64/arm 아키텍처에서 WASM 바인딩과 미들웨어 컴포넌트가 정상 등록됨
  • 이전에 중단되었던 워크플로우를 상태 보존 정책과 퍼지 API로 정리 가능
  • 액터 타입이 없는 사이드카에 대해 배치 서비스가 불필요한 전파 사이클을 트리거하지 않음
  • 메시지 개수 제한으로 인한 조기 전송 후 벌크 구독 타이머가 올바르게 리셋됨
원문

Dapr

Orchestration & Management2026년 3월 6일

Dapr 1.16.10은 운영 아키텍처에서 WASM 컴포넌트 등록 실패 문제를 수정하고 Go 런타임 및 OpenTelemetry SDK의 보안 취약점을 패치했습니다.

  • securityGo 런타임 및 OpenTelemetry 보안 패치 업데이트

    이번 릴리스는 Go 1.25.7(crypto/tls, go 명령어)과 OpenTelemetry SDK(PATH 하이재킹을 통한 임의 코드 실행)의 취약점을 패치합니다. PATH 조작이 가능한 환경을 우선순위로 두고 일반적인 보안 패치 주기 내에서 업그레이드를 계획하세요.

  • breakingWASM 컴포넌트 사용 시 즉시 업그레이드 필요

    v1.16.0부터 WASM 바인딩 및 미들웨어 컴포넌트가 운영 아키텍처에서 완전히 작동하지 않았습니다. 이러한 컴포넌트를 사용하고 v1.16.0-v1.16.9를 실행 중이라면 WASM 컴포넌트가 조용히 등록되지 않고 있으므로 v1.16.10으로 즉시 업그레이드하세요.

  • enhancement조기 오류 탐지를 위한 Pulsar Avro 메시지 발행 검토

    Pulsar PubSub가 이제 발행 전에 JSON 메시지를 Avro 스키마에 대해 검증하여 잘못된 데이터를 더 일찍 잡아냅니다. Pulsar 발행 워크플로를 테스트하여 새로운 검증 오류를 적절히 처리하고 더 빨라진 코덱 성능의 혜택을 받도록 하세요.

주요 변경 (5)
  • Go 빌드 제약으로 인한 파일명 충돌로 amd64/arm64 아키텍처에서 WASM 바인딩 및 미들웨어 컴포넌트 등록 실패 수정
  • 잘못된 형식의 메시지가 오류 피드백 없이 발행되는 것을 방지하기 위한 Pulsar PubSub Avro 스키마 검증 추가
  • crypto/tls 및 go 명령어 취약점 보안 수정이 포함된 Go 런타임 1.25.7 업데이트
  • 임의 코드 실행 취약점(GO-2026-4394) 패치를 위한 OpenTelemetry SDK v1.40.0 업그레이드
  • 발행 성능 향상을 위한 Pulsar Avro 코덱 컴파일 초기화 시점 캐싱
원문
월별 보기