RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Crossplane

Orchestration & Management2026년 5월 21일

Crossplane v2.3.0은 고충실도 로컬 렌더 엔진, 리소스별 재조정 제어, 알파 단계의 Provider 삭제 보호 기능을 제공하며, Go stdlib CVE 수정을 포함한 다수의 보안 의존성 업데이트를 반영했습니다.

  • securityGo stdlib CVE 수정 — 이미지 업데이트 권장

    stdlib CVE 패치를 위해 Go가 1.25.10으로 올라갔으며, grpc, go-git, go-jose, cloudflare/circl, golang.org/x/net 등 여러 의존성도 보안 패치가 적용됐습니다. 가능한 빨리 Crossplane 배포를 v2.3.0으로 업데이트하세요. 내부 이미지 미러를 운영 중이라면 롤아웃 전에 새 다이제스트가 반영됐는지 확인하세요.

  • breakingAPI 임포트 경로 변경 및 신규 CLI 저장소 북마크 필수

    Go 코드에서 Crossplane API를 임포트하고 있다면 `github.com/crossplane/crossplane/v2/apis`를 `github.com/crossplane/crossplane/apis/v2`로 수정해야 합니다. `v1.Resource*` 타입은 `v2.ClusterManagedResource*`로 이름이 바뀌었습니다. CLI 버전 관리도 `github.com/crossplane/cli` 저장소 기준으로 전환해야 하며, 코어와 버전이 달라지므로 CI 파이프라인의 버전 핀을 점검하세요.

  • breakingv2.2에서 순차 업그레이드 필수 — 마이너 버전 건너뛰기 금지

    Crossplane은 업그레이드 시 CRD 마이그레이션을 수행하는데, 마이너 버전을 건너뛰면 API 서버 상태가 불일치할 수 있습니다. v1.20 브랜치는 연장 지원을 받지만 v2.x 마이그레이션 계획을 세워야 하며, 공식 업그레이드 가이드의 순차 업그레이드 절차를 반드시 따르세요.

  • enhancement리소스별 폴링 어노테이션으로 API 서버 부하 절감

    변경이 드문 안정적인 XR에 `crossplane.io/poll-interval: 24h`를 설정하면 재조정 빈도를 크게 낮출 수 있습니다. `crossplane.io/reconcile-requested-at` 어노테이션과 함께 쓰면 필요할 때만 온디맨드 재조정을 트리거할 수 있습니다. XR에는 즉시 적용되지만, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 릴리스된 후 사용 가능합니다.

  • enhancementProvider 삭제 보호는 비프로덕션 환경에서 먼저 검증

    신규 `--enable-provider-deletion-protection` 알파 플래그는 관리 리소스가 존재하는 동안 Provider 삭제를 막는 `ClusterUsage` 리소스를 자동으로 생성합니다. 공유 클러스터에서 유용한 안전장치인 만큼, 기존 `ClusterUsage` 웹훅이 자동 생성된 리소스를 올바르게 처리하는지 스테이징에서 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • API 모듈 분리: `github.com/crossplane/crossplane/apis/v2`가 별도 Go 모듈로 분리됨. 외부 소비자는 임포트 경로 변경 필요
  • Crossplane CLI(`crank`)가 별도 저장소(`github.com/crossplane/cli`)로 이전되어 v2.3.0 이후 독립적인 릴리스 일정으로 운영됨
  • `crossplane render`가 병렬 재구현 대신 실제 컴포짓 재조정기를 구동하여 로컬 렌더 결과와 실제 클러스터 동작이 일치하게 됨
  • 신규 어노테이션 `crossplane.io/poll-interval`, `crossplane.io/reconcile-requested-at`으로 리소스별 재조정 제어 가능 (XR은 즉시 적용, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 업데이트된 후 적용)
  • `--enable-provider-deletion-protection` 플래그(알파)로 관리 리소스가 존재하는 동안 Provider 실수 삭제 방지 가능
  • Go 1.25.10으로 업그레이드(stdlib CVE 수정) 및 grpc, go-git, go-jose, cloudflare/circl 등 보안 의존성 다수 업데이트
원문

wasmCloud

Orchestration & Management2026년 5월 20일

wasmCloud v2.2.0은 WASI Preview 3 TLS 지원, HTTP 아웃고잉 요청 커스터마이징 트레이트, 네임스페이스 범위 오퍼레이터 버그 수정을 포함합니다.

  • breaking`watchNamespaces` 사용 중인 오퍼레이터, 업그레이드 후 RBAC 반드시 확인

    네임스페이스 범위 롤 적용 방식이 변경되어, `watchNamespaces`가 설정된 환경에서는 업그레이드 후 오퍼레이터의 RBAC 권한이 올바르게 구성되어 있는지 확인해야 합니다. 롤 바인딩이 잘못된 경우 컴포넌트 조정(reconciliation)이 조용히 실패할 수 있어 장애 탐지가 어렵습니다.

  • enhancement`wasi:tls`로 Wasm 컴포넌트 내 TLS 처리 도입 검토

    이제 호스트 측 TLS 종료에 의존하지 않고 Wasm 컴포넌트 안에서 직접 TLS 연결을 다룰 수 있습니다. 보안 아웃바운드 연결이 필요한 컴포넌트를 개발 중이라면 `wasi:tls` 인터페이스를 테스트해보세요. 다만 WASI 스펙이 아직 안정화 단계가 아니므로, 프로덕션 적용은 스펙 확정 후로 미루는 편이 안전합니다.

  • enhancementCI 파이프라인에서 `wash new --non-interactive` 정식 활용

    `wash new`의 인터랙티브 프롬프트 때문에 CI에서 우회책을 쓰고 있었다면 이번 수정으로 깔끔하게 해결됩니다. 파이프라인 스크립트를 `--non-interactive` 플래그를 사용하도록 정리하세요. `wash config`에 유효성 검사와 정리 기능이 추가된 김에, 기존 설정 관리 흐름도 함께 점검할 만합니다.

주요 변경 (6)
  • wash-runtime에 WASI Preview 3 `wasi:tls` 지원 추가 — Wasm 컴포넌트 내 TLS 네이티브 처리 가능
  • `wash config`에 init 포맷, 정리, 유효성 검사 기능 추가 — 자동화 워크플로우에서 설정 관리 강화
  • `wash new`에서 `--non-interactive` 플래그가 이제 정상 동작 — CI/CD 파이프라인 차단 문제 해소
  • WorkloadRouteReconciler가 OS 호스트네임 대신 Pod IP를 기록하도록 수정 — Kubernetes 라우팅 정확도 개선
  • `watchNamespaces` 설정 시 오퍼레이터가 올바른 네임스페이스 롤을 사용하도록 수정
  • HTTP 런타임에 `OutgoingHandler` 트레이트 추가 — 아웃고잉 요청 디스패치 방식 커스터마이징 가능
원문

Dapr

Orchestration & Management2026년 5월 15일

Dapr v1.17.7은 워크플로우 안정성, 메시징 정확성, 컨트롤 플레인 복원력을 겨냥한 집중적인 버그 수정 릴리스입니다. 워크플로우, Kafka, RabbitMQ를 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security1.18에서 다운그레이드했거나 Ed25519/RSA 키를 사용 중이라면 Sentry를 즉시 업그레이드하세요

    dapr/kit의 타입 스위치 버그로 인해 Ed25519 및 RSA 발급자 키가 있을 때 Sentry가 'unsupported key type'으로 시작에 실패하고 크래시 루프에 빠집니다. Sentry가 크래시 루프 상태이면 mTLS 인증서 발급과 갱신이 모두 중단됩니다. 만료되지 않은 인증서를 가진 사이드카는 계속 동작하지만, 파드 재시작이나 인증서 만료 시 조용히 인증이 실패합니다. 트러스트 번들을 마이그레이션할 필요 없이 1.17.7로 업그레이드하는 것만으로 해결됩니다.

  • breaking스케줄러 etcd 컴팩션 모드 변경 — PVC 용량 점검 필수

    내장 etcd의 컴팩션 방식이 주기(10분) 기반에서 리비전(100만) 기반으로 바뀌고, 기본 스토리지 크기가 1Gi에서 16Gi로 늘어납니다. Kubernetes StatefulSet의 volumeClaimTemplates는 불변이라 기존 1Gi PVC는 자동으로 조정되지 않습니다. 워크플로우를 실제로 운영 중이라면 업그레이드 전에 현재 PVC 사용률을 확인하고, 용량이 부족하다면 클러스터에서 직접 PVC를 먼저 확장해야 합니다. Helm 차트는 기존 PVC 크기를 덮어쓰지 않도록 lookup 헬퍼를 사용하지만, 자동 확장은 하지 않습니다.

  • enhancement업그레이드 전 워크플로우 페이로드 크기 비율 대시보드를 미리 구성하세요

    새로 추가된 dapr_runtime_workflow_payload_size_ratio와 dapr_runtime_workflow_activity_payload_size_ratio 메트릭은 페이로드 크기를 --max-body-size 대비 비율로 표현합니다. 업그레이드 후 histogram_quantile(0.99, ...) > 0.9 조건으로 Prometheus 알림을 설정해두면, 워크플로우가 0.95 임계치에 걸려 Stall 상태가 되기 전에 미리 감지할 수 있습니다. 페이로드가 크거나 히스토리가 긴 워크플로우를 운영 중이라면 특히 유용합니다. --max-body-size가 명시적으로 설정된 경우에만 메트릭이 기록된다는 점도 참고하세요.

주요 변경 (7)
  • 워크플로우 상태 저장에 낙관적 동시성(ETag) 도입 — Placement 리밸런싱 중 히스토리 무결성 보장
  • Ed25519/RSA 발급자 키 사용 시 Sentry 크래시 루프 수정 — 1.18에서 다운그레이드했거나 키를 교체한 환경에서 치명적
  • Kafka 정상 종료 시 인플라이트 메시지를 드레인한 후 컨슈머 세션을 닫아 중복 처리 제거
  • RabbitMQ 구독 재시작 시 동일 연결의 형제 구독이 함께 종료되던 연쇄 장애 수정
  • 스케줄러 내장 etcd 기본값을 워크플로우 부하 패턴에 맞게 재조정 — 컴팩션 방식이 주기 기반에서 리비전 기반으로 변경, 신규 설치 기본 스토리지 16Gi로 증가
  • WatchHosts 스트림 재연결 중 스케줄러가 일시적으로 불가용할 때 daprd가 스스로 종료되던 문제 수정
  • 워크플로우 페이로드 크기 비율 메트릭 2개 추가 — Stall 발생 전 사전 용량 계획 가능
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.12.4는 웹훅 서버의 DoS 취약점(CVE-2026-44247)과 스케줄러 버그 2건을 수정한 보안 패치 릴리스입니다. v1.12.3 이하를 운영 중이라면 즉시 업그레이드하세요.

  • security웹훅 서버 OOM 취약점 즉시 패치 필요

    CVE-2026-44247은 웹훅 엔드포인트에 네트워크 접근이 가능한 파드가 대용량 HTTP 본문을 전송해 웹훅 서버를 OOM으로 종료시킬 수 있는 취약점입니다. CVSS 범위(Scope)가 'Changed'로 평가되어 공격 파드를 넘어 클러스터 전체 어드미션 제어가 마비될 수 있습니다. 즉시 v1.12.4로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 네임스페이스와 파드를 최소화하는 것이 우선입니다.

  • breaking멀티 큐 선점 결과가 잘못 적용됐을 가능성 점검

    preemptorTasks 덮어쓰기 버그로 인해 멀티 큐 선점을 사용하는 클러스터에서 스케줄링 결정이 잘못 이루어졌을 수 있습니다. QueueOrderFn이 무시되거나 우선순위 낮은 잡이 제대로 선점되지 않았을 가능성이 있습니다. 업그레이드 후 큐 선점 동작을 검토하고, 큐 순서 정책이 의도대로 적용되는지 확인하세요. 업그레이드 전 장시간 대기 중인 잡이 있었다면 원인일 수 있습니다.

  • enhancement스케줄러 재시작 시 발생하던 간헐적 오류 해소

    이벤트 핸들러 완료 대기 수정으로 Volcano 재시작 또는 롤링 업그레이드 직후 스케줄링이 불안정했던 현상이 해결됩니다. 별도 조치 없이 업그레이드만으로 충분하지만, 재시작 후 간헐적으로 스케줄링 실패가 관찰됐다면 이 버그가 원인이었을 가능성이 높습니다.

주요 변경 (3)
  • CVE-2026-44247: 웹훅 서버가 비정상적으로 큰 HTTP 요청 본문으로 OOM 유발 가능 — CVSS 6.8(보통)
  • 스케줄러 수정: 이벤트 핸들러 완료 전 스케줄링 시작을 방지해 시작 시 레이스 컨디션 해소
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 덮어쓰기 버그 수정, QueueOrderFn이 정상 적용됨
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.13.3은 웹훅 서버의 DoS 취약점(CVE-2026-44247)을 패치하고 스케줄러 버그 4건을 수정합니다. v1.13.2 이하를 사용 중이라면 즉시 업그레이드하세요.

  • securityCVE-2026-44247 즉시 패치 필요 — v1.13.2 이하 전체 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 임의 크기의 HTTP 바디를 전송해 웹훅 서버를 OOM으로 종료시킬 수 있습니다. 웹훅 서버가 죽으면 Job·Queue 어드미션이 전부 막히므로 멀티테넌트 클러스터에서 실질적 피해가 큽니다. 사용 중인 브랜치에 맞춰 v1.13.3(또는 v1.12.4, v1.14.2)으로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서버의 443 포트 접근을 신뢰할 수 있는 소스로만 제한하세요.

  • breaking멀티 큐 선점 동작 변경 — 업그레이드 후 워크로드 검증 필요

    선점 관련 두 가지 수정으로 스케줄링 결정 결과가 달라질 수 있습니다. preemptorTasks 덮어쓰기 방지와 QueueOrderFn 적용으로, 기존에 선점하던 Job이 더 이상 선점하지 않거나 그 반대 상황이 생길 수 있습니다. 업그레이드 전에 스테이징 환경에서 멀티 큐 선점 시나리오를 반드시 검증하세요.

  • enhancement스케줄러 기동 시 경쟁 조건 제거 — 재시작이 잦은 환경에 유효

    OOM 재시작이나 롤링 업데이트로 스케줄러 파드가 자주 재시작되는 환경에서 특히 효과적입니다. 이전에는 초기화 완료 전에 스케줄링이 시작되는 좁은 경쟁 구간이 있었고, 이로 인해 이벤트 누락이 생길 수 있었습니다. 별도 설정 변경 없이 업그레이드만 하면 되며, 업그레이드 후 스케줄러 기동 로그에서 이상 징후를 확인하세요.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM 킬 유발 가능 — 웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 누구든 악용 가능
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 맵이 덮어쓰이는 버그 제거로 잘못된 선점 결정 방지
  • 스케줄러 수정: 선점 액션에서 QueueOrderFn을 이제 올바르게 준수하여 큐 우선순위 정렬 일관성 확보
  • 기동 시 경쟁 조건(race condition) 수정: 이벤트 핸들러 초기화가 완료된 후에만 스케줄링 시작
  • 스냅샷 경로의 불필요한 deepcopy 제거로 메모리 할당 부담 감소
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.14.2는 웹훅 서버 OOM DoS CVE와 스케줄러 정확성 관련 다수의 버그를 수정합니다. 1.12/1.13/1.14 브랜치 사용자는 즉시 업그레이드해야 합니다.

  • securityCVE-2026-44247 즉시 패치 — 1.12/1.13/1.14 전 버전 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 Pod이면 누구든 대용량 요청 바디를 전송해 웹훅 서버를 OOM으로 강제 종료할 수 있습니다. CVSS 6.8(Moderate)이지만 웹훅이 죽으면 클러스터 전체의 워크로드 어드미션이 차단되므로 실제 영향은 큽니다. 사용 중인 브랜치에 맞게 v1.14.2, v1.13.3, v1.12.4 중 하나로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 Pod을 제한해 임시 완화 조치를 취하세요.

  • breaking1.14.x 신규 배포 후 스케줄러 패닉 여부 확인 필요

    초기 설치 시 레이스 컨디션으로 스케줄러가 패닉 후 재시작되는 버그가 있었습니다. 1.14.x 최근 배포 후 스케줄러 CrashLoopBackOff를 겪었다면 이 수정 사항이 원인입니다. 업그레이드 후 스케줄러 Pod이 안정적으로 유지되는지 확인하세요. 설정 변경은 불필요하지만, 조용한 재시작으로 스케줄링 사이클이 누락됐을 수 있으니 모니터링 알림 내역을 검토하세요.

  • enhancement멀티 큐 프리엠션 동작 정상화 — 프리엠션 정책 재검증 권장

    멀티 큐 프리엠션에서 preemptorTasks 덮어쓰기 문제와 QueueOrderFn이 무시되던 두 가지 버그가 함께 수정됐습니다. 커스텀 큐 정렬 함수와 함께 큐 간 프리엠션을 사용 중이라면, 이전까지 스케줄러가 설정대로 동작하지 않았을 가능성이 높습니다. 업그레이드 후 프리엠션 시나리오를 검증해 잡이 기대한 우선순위 순서대로 처리되는지 확인하세요. 설정 변경은 필요 없지만 실제 동작이 달라집니다.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM을 유발할 수 있었던 취약점 패치
  • 스케줄러 내 동시 맵 쓰기로 인한 패닉(무작위 재시작) 수정
  • 스케줄러 스냅샷 딥카피 로직 개선: 클론 내 공유 가변 객체가 데이터 레이스를 유발하던 버그 해결
  • 멀티 큐 프리엠션에서 preemptorTasks가 덮어쓰이던 문제 수정 — 잘못된 프리엠션 결정 방지
  • partitionPolicy/subGroupPolicy의 highestTierName이 HyperNode 티어 제약을 실제로 적용하도록 수정
원문

wasmCloud

Orchestration & Management2026년 5월 7일

wasmCloud v2.1.0은 오퍼레이터 안정성 수정, 서비스 플러그인 지원 추가, CI 보안 강화를 중심으로 한 점진적 릴리스입니다.

  • securitywasmtime 업그레이드 및 cargo audit 적용 — 자체 빌드에도 반영 필요

    wasmtime 버전이 올라가고 rustls-pemfile이 제거됐으며, 빌드 파이프라인에 cargo audit이 추가됐습니다. wasmCloud 컴포넌트를 소스에서 빌드하거나 포크를 유지 관리 중이라면, 지금 바로 자체 CI에도 cargo audit을 추가하세요. WASM 런타임의 의존성 변화는 빠르게 진행되므로 보안 권고를 조기에 파악하는 것이 중요합니다.

  • breaking오퍼레이터 readiness 동작 변경 — 헬스체크 및 배포 타임아웃 검토 필요

    오퍼레이터가 이제 레플리카가 실제로 준비된 경우에만 WorkloadDeployment를 Ready로 표시합니다. 기존에 낙관적 Ready 상태에 의존하던 CI/CD 파이프라인이나 모니터링 도구에서 배포가 더 오래 '진행 중'으로 보일 수 있습니다. 업그레이드 후 롤아웃 타임아웃 설정을 반드시 재검토하세요.

  • enhancement서비스 플러그인 지원 — 코어 컴포넌트 수정 없이 서비스 확장 가능

    서비스 레이어에서 플러그인을 지원하게 되어, 코어 컴포넌트를 포크하지 않고도 커스텀 동작을 추가할 수 있습니다. 유지보수 가능한 방식으로 서비스 동작을 확장하려 했다면 이번 릴리스가 실험해볼 적기입니다. 새 통합을 설계하기 전에 서비스 플러그인 API 문서부터 살펴보세요.

주요 변경 (5)
  • WorkloadDeployment Ready 상태가 실제 레플리카 가용성 기준으로 변경 — 오퍼레이터의 오탐 Ready 상태 수정
  • NATS 구독 워크로드 readiness 버그 수정 — 구독 완료 전 Ready로 표시되던 문제 해결
  • 서비스에 플러그인 지원 추가로 서비스 레이어 확장성 강화
  • wasmtime 업그레이드 및 cargo audit 도입으로 공급망 보안 강화
  • OpenSSF Scorecard, CodeQL, zizmor 기반 CI 워크플로 하드닝 적용
원문

wasmCloud

Orchestration & Management2026년 5월 5일

NATS 워크로드 준비 상태 오류 수정, Kubernetes 오퍼레이터 배포 상태 정확도 개선, 보안 강화에 집중한 유지보수 릴리스입니다.

  • securitywasmtime 업그레이드 및 cargo audit 추가 — 자체 Wasm 공급망 점검 필요

    이번 릴리스에서 wasmtime을 올리고 rustls-pemfile을 제거했으며, CI에 cargo audit가 추가됐습니다. Rust로 커스텀 wasmCloud 컴포넌트나 프로바이더를 빌드한다면 자체 파이프라인에도 cargo audit를 추가하세요. rustls-pemfile이 제거됐으므로, 코드에서 직접 이 크레이트를 임포트하고 있다면 의존성을 업데이트해야 합니다.

  • breaking오퍼레이터 WorkloadDeployment 준비 상태 판단 기준 변경

    WorkloadDeployment의 Ready 조건이 이제 배포 객체 생성 시점이 아니라 실제 레플리카 가용성을 기준으로 바뀌었습니다. 배포 직후 Ready=True를 기대하는 CD 파이프라인이나 헬스체크 자동화가 있다면 반드시 검토하세요. 동작이 더 정확해졌지만, Ready 도달 시간이 이전보다 길어 보일 수 있습니다.

  • enhancementNATS 구독 준비 상태 수정으로 오탐 방지

    기존에는 NATS 구독이 실제로 연결되기 전에 호스트가 Ready 상태를 보고하는 경우가 있었습니다. 이번 수정으로 준비 상태가 실제 구독 가용성과 연동됩니다. Kubernetes에서 호스트 헬스 기반으로 트래픽 라우팅이나 준비 게이트를 사용한다면 업그레이드 후 정확한 준비 신호를 받을 수 있습니다.

주요 변경 (5)
  • NATS 구독 기반 워크로드 준비 상태 확인 버그 수정 — 실제 구독 연결 여부를 기반으로 Ready 상태 보고
  • Kubernetes 오퍼레이터의 WorkloadDeployment Ready 조건이 실제 레플리카 가용성 기준으로 변경
  • wasmtime 버전 업, rustls-pemfile 제거, cargo audit 빌드 파이프라인 추가로 공급망 보안 강화
  • HTTP 라우터에서 정확한 HTTP 상태 코드를 담은 타입화된 RouteError 반환
  • async-nats 0.47, Go 1.26으로 업그레이드
원문

wasmCloud

Orchestration & Management2026년 5월 1일

오퍼레이터 안정성, NATS 구독 준비 상태 감지, 보안 의존성 업그레이드에 집중한 유지보수 릴리즈입니다. API 변경은 없지만 프로덕션에서 주의할 수정 사항이 있습니다.

  • securitywasmtime 보안 업그레이드 및 cargo audit 도입 — 즉시 업그레이드 권장

    이번 릴리즈에서 wasmtime이 업그레이드되고 rustls-pemfile 의존성이 제거됐습니다. 또한 cargo audit이 CI에 통합되어 이후 의존성 취약점을 조기에 탐지할 수 있게 됐습니다. Wasm 런타임에서 구버전 wasmtime을 유지할 이유가 없으므로, 2.0.5 이하를 사용 중이라면 즉시 업그레이드하세요.

  • breaking오퍼레이터 준비 상태 판단 기준 변경 — 헬스체크 및 롤아웃 전략 검토 필요

    WorkloadDeployment의 Ready 조건이 이제 디플로이먼트 오브젝트 생성 시점이 아닌 실제 레플리카 가용성 기준으로 평가됩니다. CI/CD 파이프라인이나 모니터링에서 Ready 조건을 트래픽 전환이나 다음 단계 진행의 게이트로 사용하고 있다면, 정상 시작 중에도 '준비 안 됨' 구간이 길어질 수 있습니다. 롤아웃 대기 조건과 알림 임계값을 점검하세요.

  • enhancementNATS 구독 준비 상태 버그 수정 — 시작 시 레이스 컨디션 겪었다면 확인 필요

    호스트가 이제 NATS 구독 워크로드가 실제로 준비된 후에 ready를 보고합니다. 시작 시 NATS 연결이 완전히 맺어지기 전에 컴포넌트가 구독을 시도하는 레이스 컨디션을 겪은 적 있다면, 이번 수정으로 해결됩니다. 별도 설정 변경 없이 업그레이드 후 시작 시퀀스가 예상대로 동작하는지 확인하면 됩니다.

주요 변경 (5)
  • HTTP 라우팅이 이제 정확한 HTTP 상태 코드를 담은 타입화된 RouteError를 반환
  • 오퍼레이터 WorkloadDeployment 준비 상태가 실제 레플리카 가용성 기준으로 변경됨
  • NATS 구독 워크로드의 준비 상태 감지 버그 수정 — 이전에는 준비 완료를 조기 보고할 수 있었음
  • wasmtime 버전 업, rustls-pemfile 제거, CI 파이프라인에 cargo audit 추가
  • async-nats 0.47 및 Go 런타임 1.26으로 업그레이드
원문

Karmada

Orchestration & Management2026년 4월 30일

v1.17.2는 스케줄러 큐 오라우팅 버그, 오퍼레이터 초기화 실패, Job 레플리카 할당 오류를 수정한 패치 릴리스입니다. Alpine 베이스 이미지도 보안 목적으로 업그레이드됐습니다.

  • security에어갭/미러 환경이라면 Alpine 3.23.4 기반 이미지를 새로 동기화해야 합니다

    베이스 이미지가 Alpine 3.23.3에서 3.23.4로 올라갔습니다. 미러링된 프라이빗 레지스트리를 쓰는 환경이라면 v1.17.2 이미지를 다시 풀하고 동기화하세요. 컴플라이언스 절차상 필요하다면 Alpine 변경 이력에서 수정된 CVE 목록을 확인하세요.

  • breaking스케줄러 backoffQ 오분류로 숨겨졌던 스케줄링 실패가 표면화될 수 있음

    레플리카 부족 상태의 바인딩이 unschedulableBindings가 아닌 backoffQ로 잘못 라우팅되고 있었습니다. 즉, 실제로는 스케줄 불가 상태인 워크로드가 지수 백오프로 재시도되며 조용히 지연되고 있었을 수 있습니다. 업그레이드 후에는 이런 워크로드들이 unschedulableBindings에서 보이기 시작할 수 있으니, 기존에 스케줄이 느리거나 멈춰 있던 워크로드를 점검하세요.

  • enhancementkarmada-operator로 tolerations/affinity를 쓰거나 멀티클러스터 Job을 운영 중이라면 즉시 패치 권장

    오퍼레이터 관리 디플로이먼트가 tolerations와 affinity 설정을 조용히 무시하고 있었는데, 의도치 않은 노드에 파드가 배치될 수 있는 문제입니다. Job completions 오할당도 분산 워크로드의 Job 완료 시맨틱을 망가뜨릴 수 있는 버그입니다. 두 기능 중 하나라도 쓰고 있다면 바로 업그레이드하세요.

주요 변경 (6)
  • karmada-operator가 tolerations/affinity 설정을 aggregated-apiserver와 search 디플로이먼트에 올바르게 적용
  • 시크릿 비멱등 생성 방식으로 인한 오퍼레이터 초기화 조정 실패 수정
  • 레플리카 부족 바인딩이 backoffQ 대신 unschedulableBindings로 올바르게 분류
  • ClusterAffinities 스케줄링 시 성공 이벤트에 클러스터 정보가 누락되던 문제 수정
  • Job completions가 잘못된 클러스터에 할당되던 문제 수정
  • Alpine 베이스 이미지 3.23.3 → 3.23.4 업그레이드
원문

Karmada

Orchestration & Management2026년 4월 30일

Karmada v1.16.5는 스케줄러 큐 오라우팅, Job 레플리카 할당 오류, 오퍼레이터 조정 실패를 수정하고 Alpine 베이스 이미지를 업데이트한 패치 릴리스입니다.

  • securityAlpine 3.23.4 베이스 이미지 — Karmada 컴포넌트 재빌드 및 재배포

    Alpine 3.23.3에서 3.23.4로의 업데이트는 업스트림 보안 이슈를 반영한 것입니다. 공식 이미지는 이미 반영되어 있으므로, 커스텀 빌드 이미지를 사용 중이라면 베이스 이미지를 동일하게 업데이트하고 이미지 스캔 파이프라인도 함께 점검하세요.

  • breaking스케줄러 큐 오라우팅으로 워크로드가 멈출 수 있음 — 즉시 패치 권장

    클러스터 레플리카가 부족한 바인딩이 unschedulableBindings 대신 backoffQ로 잘못 들어가던 버그입니다. 충분한 클러스터 자원이 생겼는데도 바인딩이 계속 Pending 상태로 남아 있었다면 이 버그의 영향을 받은 것입니다. v1.16.5로 업그레이드하면 영향받은 바인딩은 자동으로 재스케줄됩니다.

  • breakingJob completions 클러스터 배분 오류 — 기존 Job 결과 검토 필요

    v1.16.4에서 실행된 멀티클러스터 Job은 클러스터별 completion 수가 의도치 않게 치우쳐 있을 수 있습니다. 업그레이드 후, 해당 버전에서 실행된 Job의 완료 결과를 확인해 프로덕션 환경의 작업 분배에 이상이 없는지 점검하세요.

주요 변경 (5)
  • karmada-operator: Secret 생성 방식을 멱등적으로 변경해 초기화 재조정 실패 수정
  • karmada-scheduler: 클러스터 레플리카 부족 시 바인딩이 backoffQ 대신 unschedulableBindings 큐로 올바르게 이동
  • karmada-scheduler: ClusterAffinities 사용 시 스케줄 성공 이벤트에 클러스터 정보 누락 수정
  • Job completions가 잘못된 클러스터에 할당되던 버그 수정
  • 베이스 이미지 alpine:3.23.3 → alpine:3.23.4 보안 업데이트
원문

Karmada

Orchestration & Management2026년 4월 30일

v1.15.8은 스케줄러 큐 오분류, ClusterAffinities 이벤트 누락, 오퍼레이터 초기화 실패를 수정한 버그픽스 패치입니다. Alpine 기반 이미지도 보안 업데이트됐습니다.

  • securityalpine:3.23.4 반영을 위해 이미지 재빌드 또는 공식 이미지 교체

    alpine 3.23.4에는 보안 패치가 포함되어 있습니다. 업스트림 기반 이미지로 커스텀 빌드를 운영 중이라면 새 베이스 이미지로 재빌드가 필요하고, 공식 이미지를 사용 중이라면 v1.15.8 이미지로 교체하면 충분합니다.

  • breaking스케줄러 큐 오분류로 워크로드 지연 — 즉시 패치 필요

    레플리카 부족 상태의 바인딩이 unschedulableBindings가 아닌 backoffQ로 들어가면, 지수 백오프 방식으로 재시도가 반복되어 워크로드 재스케줄링이 예상보다 훨씬 오래 걸립니다. ClusterAffinities와 레플리카 제약을 함께 사용 중이라면 v1.15.8로 즉시 업그레이드해야 합니다.

  • enhancement오퍼레이터 초기화 멱등성 확보 — 재시작 시 실패 반복 해소

    기존에는 오퍼레이터가 초기화 도중 재시작되면 시크릿 중복 생성으로 재조정이 실패했습니다. 이제 멱등한 방식으로 수정되어, 파드 재시작이나 롤링 업데이트 중 발생하던 init 실패가 더 이상 재현되지 않습니다. 오퍼레이터 초기화 실패를 반복적으로 겪었다면 이번 패치로 해결됩니다.

주요 변경 (4)
  • karmada-operator: 비멱등 시크릿 생성 로직을 멱등 방식으로 교체해 초기화 재조정 실패 해결
  • karmada-scheduler: ClusterAffinities 스케줄링 시 성공 이벤트에 클러스터 정보가 누락되던 버그 수정
  • karmada-scheduler: 클러스터 레플리카 부족 시 backoffQ 대신 unschedulableBindings로 올바르게 라우팅
  • 기반 이미지 alpine:3.23.3 → alpine:3.23.4 보안 업데이트
원문

Knative

Orchestration & Management2026년 4월 28일

Knative v1.22.0은 EndpointSlices 전환을 마무리하고, 전 컴포넌트 TLS 설정을 통합하며, 오토스케일링 가시성을 위한 새 메트릭을 추가했습니다.

  • enhancement신규 큐/활성 요청 메트릭을 오토스케일링 튜닝에 활용하세요

    queue-proxy에서 kn.revision.request.queued와 kn.revision.request.active를 이제 수집할 수 있습니다. 동시성 목표치를 조정하거나 콜드 스타트 문제를 디버깅한다면, Prometheus 스크레이프 설정과 대시보드에 이 메트릭을 추가하세요. 리비전별 큐 깊이를 직접 확인할 수 있어, 기존에 집계 메트릭으로 추측해야 했던 부분이 훨씬 명확해집니다.

  • enhancement최소 권한 환경에서 RBAC 변경 사항을 반드시 확인하세요

    ClusterRole에 EndpointSlices 전환을 위한 endpointslices/restricted 권한이 추가됐습니다. OPA나 Kyverno 등 정책 엔진으로 ClusterRole 변경을 감사하는 클러스터라면, 업그레이드 전에 변경된 역할을 검토하고 승인해야 합니다. 이 권한이 누락되면 오토스케일러의 stat forwarding이 중단됩니다.

  • enhancementWebSocket 트래픽을 처리하는 서비스라면 스케일 다운 시 연결 끊김이 줄어듭니다

    queue-proxy가 WebSocket 연결을 이제 graceful하게 종료합니다. 롤링 업데이트나 scale-to-zero 이벤트 때 연결이 강제로 끊기는 문제가 자동으로 개선됩니다. 별도 설정 변경 없이 업그레이드만으로 효과가 적용됩니다.

주요 변경 (5)
  • 오토스케일러 stat forwarder와 e2e 테스트가 EndpointSlices로 완전 전환 — Endpoints API 의존도 지속 감소
  • reconciler, activator, queue-proxy의 TLS 설정이 knative.dev/pkg/network/tls로 통합
  • kn.revision.request.queued, kn.revision.request.active 메트릭 신규 추가
  • 오토스케일러가 레플리카 수 조정 시 Deployment를 직접 패치하지 않고 /scale 서브리소스 사용으로 전환
  • Deployment 조정 로직 개선 — 실제 레이블·어노테이션·스펙 변경이 있을 때만 업데이트 실행
원문

Dapr

Orchestration & Management2026년 4월 28일

단일 버그 수정: 정상 종료(graceful shutdown) 또는 pub/sub 컴포넌트 핫리로드 중 수신된 메시지가 데드레터 큐로 유실되던 문제가 해결됐습니다.

  • breaking기존 데드레터 큐에서 유실된 메시지 확인 필요

    데드레터 큐를 사용하는 pub/sub 환경이라면, 이전 롤링 배포나 재시작 과정에서 DLQ로 빠진 메시지들이 재처리되지 않은 채 남아 있을 수 있습니다. 업그레이드 전에 DLQ를 점검하고, 실제로 처리됐어야 할 메시지를 식별해 재처리 계획을 세우세요. 업그레이드 후에는 배포 중 DLQ 깊이를 지표로 모니터링하세요. 이제 DLQ 급증은 실제 처리 실패를 의미하므로 신뢰할 수 있는 알림 기준이 됩니다.

  • enhancement롤링 배포나 잦은 재시작 환경이라면 즉시 패치 적용을 권장

    Kubernetes 롤링 업데이트나 빈번한 파드 재시작을 운영하는 팀은 이 패치를 우선순위 높게 적용하세요. 기존 문제는 앱에 오류가 전혀 노출되지 않아 발견이 어려웠습니다. 수정 범위가 종료 경로에 한정되어 있어 1.17.x에서의 업그레이드 위험도는 낮습니다.

주요 변경 (4)
  • 구독 종료 중 수신된 메시지를 즉시 NACK 처리하는 대신 브로커 연결이 끊길 때까지 보류하도록 변경
  • 선언적, 프로그래밍 방식(HTTP·gRPC), 스트리밍 등 모든 구독 유형에 적용
  • 롤링 배포, 재시작, pub/sub 컴포넌트 핫리로드 등 정상 종료가 발생하는 모든 시나리오에 해당
  • 이미 처리 중인 메시지는 구독이 완전히 닫히기 전에 정상적으로 완료됨
원문

wasmCloud

Orchestration & Management2026년 4월 24일

Wasmtime 44 업그레이드, 풀링 할당자 충돌 수정, Linux GPU 지원을 위한 glibc 빌드 추가가 포함된 패치 릴리스입니다.

  • security풀링 할당자 충돌이 있었다면 즉시 업그레이드하세요

    기존에는 호스트 하드웨어의 지원 여부 확인 없이 풀링 할당자가 활성화되었고, 이로 인해 런타임 충돌이나 예측 불가한 메모리 동작이 발생할 수 있었습니다. 특정 호스트 유형에서 wash-runtime 불안정 증상이 있었다면 이번 수정이 원인을 해결한 겁니다. 업그레이드 후 메모리 할당 동작을 모니터링하세요.

  • breakingWasmtime 44 업그레이드 전 스테이징 환경에서 반드시 검증하세요

    Wasmtime 44는 하위 런타임의 메이저 버전 변경입니다. wasmCloud가 감싸고 있긴 하지만, Wasmtime은 버전마다 메모리 처리, WASI 인터페이스, 컴포넌트 모델 동작에 변화가 생기는 경우가 있습니다. 프로덕션 클러스터 업그레이드 전에 반드시 비프로덕션 환경에서 컴포넌트 워크로드를 검증하세요.

  • enhancementLinux GPU 워크로드 운영 중이라면 glibc 빌드로 전환을 검토하세요

    Linux에서 GPU 기능을 사용하는 wasmCloud 워크로드를 운영 중이거나 계획하고 있다면, 새로운 glibc 빌드가 동적 링크 런타임을 기대하는 표준 Linux 배포판과의 호환성 문제를 해결합니다. 새 아티팩트를 받아 GPU 호스트 환경에서 검증해 보세요.

주요 변경 (4)
  • Wasmtime 런타임을 버전 44로 업그레이드
  • 풀링 할당자 활성화 전 하드웨어 지원 여부를 사전 점검하도록 수정 — 미지원 시스템에서의 충돌 방지
  • Linux에서 GPU 기능을 사용하는 워크로드를 위한 glibc 빌드 추가
  • API 및 설정 변경 없는 순수 패치 릴리스
원문

KubeVirt

Orchestration & Management2026년 4월 24일

KubeVirt v1.7.3은 라이브 마이그레이션, ARM64/s390x 게스트, VMExport, virt-handler 안정성 등 11개 버그를 수정한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 기존 VM 영향 확인 필요

    백엔드 스토리지를 사용하는 VM의 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정됩니다. 기존 볼륨 이름 패턴을 참조하는 모니터링, 자동화 스크립트, 운영 도구가 있다면 업그레이드 전에 반드시 수정하세요. 환경 내 백엔드 스토리지 사용 VM을 먼저 파악한 뒤 롤아웃 계획을 세우는 게 좋습니다.

  • enhancementARM64·s390x 게스트 운영 또는 분산 라이브 마이그레이션 사용 시 우선 적용 권장

    ARM64 SMBIOS 미표시, s390x PCIe 컨트롤러 오류, 분산 라이브 마이그레이션 후 Hyper-V enlightenment VM 마이그레이션 실패 등 세 가지 아키텍처·마이그레이션 관련 버그가 수정됐습니다. 해당 환경을 운영 중이라면 v1.7.2 유지보다 이번 패치를 먼저 적용하는 편이 낫습니다.

  • enhancementvirt-handler 소켓 장애 자동 복구 — 수동 파드 재시작 불필요

    domain-notify 소켓 삭제 및 비정상 종료에 대한 두 가지 수정이 포함됩니다. 기존에는 소켓 문제가 발생하면 virt-handler가 broken 상태로 남아 수동 개입이 필요했지만, 이제는 자동으로 복구됩니다. 노드에서 원인 불명의 VM 통신 장애가 반복됐다면 이 문제일 가능성이 높습니다.

주요 변경 (5)
  • virt-handler가 domain-notify 소켓 삭제 또는 비정상 종료 시 자동으로 서버를 재시작 — 기존에는 조용히 실패하던 문제
  • 분산 라이브 마이그레이션 이후 마이그레이션 성공 보고 누락 및 Hyper-V enlightenment VM 마이그레이션 실패 수정
  • ARM64 게스트의 SMBIOS 정보 미표시 수정, s390x VM의 PCIe root-port 컨트롤러 오류(v3 PCI 토폴로지 변경으로 인한 회귀) 수정
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 고정값 'persistent-state-for-this-vm'으로 변경 — 이름 잘림 문제 해소
  • 긴 PVC 이름으로 인한 VMExport 실패 수정, 메모리 덤프 PVC 레이블 누락으로 CDI WebhookPvcRendering 미작동 문제 수정
원문

KubeVirt

Orchestration & Management2026년 4월 24일

KubeVirt v1.6.5는 분산 라이브 마이그레이션 안정성, virt-handler 복구, 모니터링 정확도 개선에 집중한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 기존 스크립트 점검 필요

    백엔드 스토리지를 사용하는 VM의 볼륨 이름이 VM 이름 기반 형식에서 'persistent-state-for-this-vm'으로 바뀝니다. PVC 이름 패턴에 의존하는 스크립트, 대시보드, 알림 규칙이 있다면 업그레이드 전에 반드시 수정하세요.

  • enhancement분산 라이브 마이그레이션 사용 중이라면 즉시 업그레이드

    이번 패치에서 분산 라이브 마이그레이션 관련 버그 3건이 한꺼번에 수정됐습니다. Windows VM(Hyper-V enlightenment)을 운영하거나 서로 다른 volumeMode 간 마이그레이션을 시도했던 클러스터라면 v1.6.4보다 이 버전을 우선 적용하세요.

  • enhancement모니터링 알림 기준 변경 — 임계값 재검토

    KubeVirt 컴포넌트 낮은 수 알림이 이제 배포에 설정된 레플리카 수를 기준으로 발생하고, 스케줄 불가 노드는 allocatable_nodes 지표에서 제외됩니다. 업그레이드 후 기존 알림 규칙이 예상과 다르게 동작할 수 있으니, 비스케줄 노드가 있거나 레플리카 수를 커스텀으로 설정한 환경에서는 임계값을 재검토하세요.

주요 변경 (5)
  • domain-notify.sock 삭제 시 virt-handler가 자동으로 복구되어 VM 통신 장애를 방지
  • 분산 라이브 마이그레이션 버그 3건 수정: 다른 volumeMode 간 마이그레이션 완료, enlightened VM 마이그레이션 복구, 컴퓨트 마이그레이션 후 상태가 'succeeded'로 정상 보고
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정됨
  • 모니터링 개선: kubevirt_allocatable_nodes에서 스케줄 불가 노드 제외, 낮은 수 알림이 배포 설정 레플리카 수 기준으로 동작
  • spec에서 기본 NIC가 보조 NIC 뒤에 나열될 때 발생하던 VMI 상태 무한 업데이트 루프 수정
원문

Crossplane

Orchestration & Management2026년 4월 24일

Crossplane v1.20.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

wasmCloud

Orchestration & Management2026년 4월 21일

v2.0.4는 wash dev/host TLS 지원 확장, Helm 차트 게이트웨이 라우팅 수정, 거버넌스 문서 업데이트를 담은 유지보수 릴리스입니다.

  • breaking로컬 Helm 게이트웨이 라우팅 설정 반드시 확인

    values.local.yaml에서 gateway가 기본 비활성화로 바뀌었고, hello-world 예제는 Kubernetes Service를 통해 라우팅됩니다. 로컬 Helm values를 직접 커스터마이징해 게이트웨이 기반 라우팅을 쓰고 있었다면, 업그레이드 전에 변경된 기본값과 비교해 충돌 여부를 점검해야 합니다.

  • enhancement로컬·프로덕션 환경 모두 TLS 설정 적용 검토

    이제 wash dev와 wash host 모두 TLS를 지원합니다. 그동안 로컬 개발에서 TLS를 건너뛰었다면, 이번 기회에 설정을 맞춰보세요. 로컬 단계에서 인증서·연결 문제를 미리 잡아야 프로덕션 장애를 예방할 수 있습니다.

주요 변경 (5)
  • wash dev와 wash host 모두 TLS 지원
  • Helm 차트 수정: values.local.yaml에서 gateway 비활성화, hello-world가 Service 경유로 라우팅
  • wasmCloud v2 기준 거버넌스 문서 갱신 및 새 wash 메인테이너(Pavel Agafonov) 추가
  • 테스트용 공유 WIT 의존성 인프라 추가
  • WASI Preview 2 문서 링크 오류 수정
원문

KubeVirt

Orchestration & Management2026년 4월 20일

KubeVirt v1.8.2는 핫플러그 볼륨, 라이브 마이그레이션, TLS 설정, qcow2 디스크 처리, 멀티아치 VM 안정성 등 12개 버그를 수정한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 자동화 스크립트 점검 필요

    백엔드 스토리지 볼륨 이름이 VM 이름을 포함한 형식에서 'persistent-state-for-this-vm'으로 바뀝니다. 이 볼륨 이름을 기준으로 동작하는 모니터링 알림, 스크립트, 도구가 있다면 업그레이드 전에 반드시 점검하세요. 실패 없이 조용히 오동작할 수 있는 유형의 변경입니다.

  • enhancements390x·ARM64 클러스터라면 v1.8.2로 업그레이드 권장

    ARM64 게스트의 SMBIOS 시스템 정보 미노출 문제와, v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패 문제가 함께 수정됐습니다. 멀티아치 클러스터에서 v1.8.x 적용을 보류하고 있었다면 이 버전에서 해결됩니다.

  • enhancementKubeVirt CR의 TLS 설정이 이제 실제로 적용됨 — 설정값 재확인 필요

    sync-controller healthz 서버와 virt-exportserver가 KubeVirt CR의 TLSConfiguration을 무시하던 문제가 수정됐습니다. 업그레이드 후 CR에 설정된 TLS 옵션이 실제로 활성화되므로, 특히 특정 암호화 알고리즘이나 TLS 버전을 강제하는 클러스터에서는 CR 설정값이 의도한 대로 되어 있는지 미리 확인하세요.

주요 변경 (6)
  • domain-notify.sock 삭제 시 virt-handler가 알림 서버를 자동 재시작 — VM 통신 장애 자동 복구
  • 'Detaching' 상태에 stuck되던 핫플러그 볼륨 문제 수정
  • 분산 라이브 마이그레이션 후 컴퓨트 마이그레이션 시 'succeeded' 상태가 보고되지 않던 버그 수정
  • qcow2 오버레이 디스크의 소스 해석 오류 수정 — 잘못된 디스크 확장 및 캐시/IO 모드 감지 오류 방지
  • v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패(미지원 PCIe root-port 컨트롤러) 수정
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정
원문

Crossplane

Orchestration & Management2026년 4월 20일

Crossplane v2.2.1은 ImageConfig 접두사 재작성 시 의존성 업그레이드 누락과 ResourceSelector 처리 버그를 수정하고, 보안 관련 의존성을 일괄 업데이트한 패치 릴리스입니다.

  • security보안 패치 적용을 위해 v2.2.1로 즉시 업그레이드

    이번 릴리스에는 cosign, go-git, go-jose, cloudflare/circl 등 8개 이상의 업스트림 라이브러리 보안 패치가 포함됩니다. go-git은 이번 릴리스에서만 v5.17.1과 v5.18.0으로 두 차례 보안 업데이트가 이뤄졌습니다. v2.2.0을 사용 중이라면 지금 바로 업그레이드 일정을 잡으세요. 호환성을 깨는 변경 사항은 없으므로 드롭인 교체가 가능합니다.

  • breaking업그레이드 후 ImageConfig 접두사 재작성 설정 검증 필요

    프라이빗 레지스트리 미러 등으로 패키지 풀을 우회하는 ImageConfig 접두사 재작성을 사용 중이었다면, 이전까지 의존성 패키지가 오래된 버전에 고정된 채로 방치됐을 수 있습니다. v2.2.1로 업그레이드하면 Crossplane이 그동안 멈춰 있던 의존성 패키지를 재조정하며 업그레이드할 수 있으니, 업그레이드 후 설치된 패키지 버전을 반드시 확인하세요.

  • enhancement컴포지션 함수에서 광범위한 ResourceSelector 안전하게 사용 가능

    특정 kind의 모든 리소스를 선택해야 하는 컴포지션 함수에서 더 이상 우회책이 필요하지 않습니다. apiVersion과 kind만 설정한 ResourceSelector가 유효하게 처리됩니다. matchLabels나 matchName 와일드카드로 이 문제를 우회했다면, 함수 로직에서 해당 셀렉터를 단순화할 수 있습니다.

주요 변경 (5)
  • ImageConfig 접두사 재작성으로 설치된 패키지가 의존성 업그레이드를 무시하던 버그 수정
  • apiVersion/kind만 지정한 ResourceSelector가 거부되던 문제 수정 — 이제 해당 종류의 모든 리소스를 선택하는 것으로 올바르게 처리됨
  • Go 런타임을 보안 태그와 함께 1.25.9로 업그레이드
  • cosign, go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTel OTLP HTTP 추적 익스포터 보안 패치 적용
  • CI 워크플로우 보강: promote 워크플로우의 스크립트 인젝션 위험 완화 및 작업 수준 권한 추가
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.1.5는 ImageConfig 업그레이드 누락, ResourceSelector 매칭 오류, XR 삭제 시 서킷 브레이커 초기화 실패 등 세 가지 동작 버그를 수정하고, Go 1.25.9를 포함한 광범위한 보안 의존성 업데이트를 반영한 패치 릴리스입니다.

  • security핵심 의존성 다수에 CVE 패치 포함 — 빠른 업그레이드 권장

    grpc, go-git(두 번 패치), go-jose, cloudflare/circl, moby/spdystream, docker/cli, OTel OTLP 트레이스 익스포터에 걸쳐 보안 업데이트가 포함됐고, Go 자체도 1.25.9로 올라갔습니다. 단순한 의존성 정리 수준이 아닙니다. v2.1.4에 머무를 이유가 없으니, 가능한 한 빨리 이 버전으로 전환하세요.

  • breakingImageConfig 프리픽스 재작성 사용 시 패키지 버전 누락 여부 확인 필수

    ImageConfig로 레지스트리 프리픽스를 재작성하는 환경이라면, 버그가 존재하던 기간 동안 의존 패키지가 조용히 구버전에 고정됐을 수 있습니다. v2.1.5로 업그레이드한 뒤 패키지 의존성 그래프를 직접 확인하세요. 오래된 패키지는 자동으로 재설치되지 않으므로, 버전 범프나 수동 재설치를 통해 명시적으로 갱신해야 합니다.

  • enhancementkind 전체 선택 ResourceSelector로 컴포지션 함수 로직 단순화 가능

    이전에 bare apiVersion/kind 셀렉터가 거부되어 dummy matchLabels를 추가하거나 로직을 우회하는 방식으로 작성한 컴포지션 함수가 있다면 정리할 때가 됐습니다. 매치 필드 없이 apiVersion과 kind만 지정하면 '해당 종류의 모든 리소스'로 올바르게 해석됩니다. 업그레이드 후 기존 워크어라운드를 검토하고 제거하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 재작성 환경에서 의존 패키지가 오래된 버전에 묶여 있던 문제 수정
  • 컴포지션 함수에서 matchName/matchLabels 없이 apiVersion과 kind만으로 특정 종류의 전체 리소스를 선택할 수 있게 됨
  • XR 삭제 후 재생성 시 이전 서킷 브레이커 상태가 남아 조정을 막던 버그 수정
  • grpc, go-git(두 차례), go-jose, cloudflare/circl, moby/spdystream, docker/cli, sigstore, OTel OTLP HTTP 익스포터 보안 패치
  • Go 런타임을 1.25.9로 업그레이드
원문

Crossplane

Orchestration & Management2026년 4월 20일

v2.0.8은 ImageConfig 프리픽스 리라이트 의존성 업그레이드 오류와 ResourceSelector 처리 버그를 수정하고, 다수의 업스트림 보안 취약점을 패치한 릴리스입니다.

  • security보안 패치를 위해 즉시 v2.0.8로 업그레이드

    이번 릴리스에서 보안 태그가 붙은 의존성 업데이트가 다수 포함됐습니다. go-git은 v5.17.1에 이어 v5.18.0까지 두 차례 올라갔고, go-jose, cloudflare/circl 등도 CVE 관련 수정입니다. v2.0.x를 사용 중이라면 지금 바로 업그레이드하세요. API 변경이 없어 업그레이드 경로는 단순합니다.

  • breakingImageConfig 프리픽스 리라이트 환경에서 패키지 의존성 버전 점검 필수

    사설 레지스트리 리다이렉션 등을 위해 ImageConfig 프리픽스 리라이트를 사용해왔다면, 의존 패키지들이 오래된 버전에 조용히 고착됐을 수 있습니다. v2.0.8 업그레이드 후 강제 reconciliation을 실행하고, 모든 패키지 의존성이 기대 버전인지 확인하세요. 업그레이드만으로 이미 고착된 상태가 자동 해소된다고 가정하지 마세요.

  • enhancement컴포지션 함수에서 'kind 전체 선택' 시 빈 ResourceSelector 활용 가능

    기존에는 ResourceSelector에 matchName과 matchLabels를 생략하면 요청 자체가 거부됐습니다. 이제는 빈 셀렉터가 '해당 kind의 모든 리소스'를 의미하도록 올바르게 처리됩니다. 이 제한을 피하려고 리소스를 일일이 열거하거나 더미 조건을 추가했다면, 업그레이드 후 해당 워크어라운드를 정리하세요.

주요 변경 (5)
  • ImageConfig 프리픽스 리라이트 환경에서 의존 패키지가 구버전에 고착되던 버그 수정
  • apiVersion과 kind만 설정된 ResourceSelector(matchName/matchLabels 없음)가 올바르게 '해당 kind의 모든 리소스'로 해석되도록 수정
  • Go 런타임을 1.25.9로 업그레이드(보안 패치 포함)
  • go-git, go-jose, cloudflare/circl, moby/spdystream, sigstore/timestamp-authority, docker/cli, OTLP HTTP trace exporter 보안 패치
  • promote 워크플로우의 스크립트 인젝션 취약점 완화
원문

Crossplane

Orchestration & Management2026년 4월 20일

v1.20.6은 여러 의존성 CVE를 수정하고 CI 워크플로우의 스크립트 인젝션 취약점을 보강한 보안 중심 패치 릴리스입니다.

  • security의존성 CVE 다수 패치 — 즉시 v1.20.6으로 업그레이드

    이번 릴리스에서 암호화(circl), git 처리(go-git), HTTP/2 스트리밍(spdystream), 텔레메트리(otelhttp) 등 다섯 개 보안 의존성이 한꺼번에 업데이트됐습니다. go-git은 단 하나의 패치 릴리스 안에서 두 번 연속 보안 수정이 들어갔는데, 이는 실제 악용 가능성이 높다는 신호로 읽어야 합니다. v1.20.x를 운영 중이라면 지금 바로 업그레이드하세요.

  • securityCI/CD 공급망 보안 강화 — 자체 파이프라인도 점검 필요

    Crossplane 팀은 릴리스 프로모션 워크플로우의 스크립트 인젝션을 차단하고 GitHub Actions 잡 권한을 최소화했습니다. Crossplane 포크나 커스텀 자동화를 운영 중이라면 자체 워크플로우도 같은 패턴으로 점검해야 합니다. 확인 포인트는 두 가지입니다: run 스텝에 신뢰할 수 없는 입력값이 들어가는 곳, 그리고 GITHUB_TOKEN 권한이 과도하게 넓은 잡.

  • enhancementTrivy 스캔 CI에서 제거 — 자체 스캔 체계 확인 필요

    이번 릴리스에서 Crossplane은 자체 CI 파이프라인에서 Trivy 스캔을 제거했습니다. Crossplane 업스트림의 스캔 결과를 보안 신호로 참고하고 있었다면, 그 정보는 더 이상 제공되지 않습니다. Crossplane 이미지와 프로바이더 이미지에 대한 취약점 스캔을 자체 파이프라인에서 독립적으로 운영하고 있는지 지금 확인하세요.

주요 변경 (5)
  • go-git/go-git 두 차례 업데이트(v5.17.1 → v5.18.0)로 git 관련 보안 취약점 수정
  • cloudflare/circl v1.6.3으로 업그레이드하여 암호화 라이브러리 보안 결함 해소
  • moby/spdystream v0.5.1 업데이트로 HTTP/2 스트림 처리 보안 이슈 패치
  • OpenTelemetry OTLP 트레이스 익스포터 v1.43.0으로 보안 수정 반영
  • CI 워크플로우 스크립트 인젝션 및 권한 상승 취약점 보강
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 ACL을 완전히 우회할 수 있는 경로 순회 취약점 패치. 액세스 제어 정책을 사용하는 모든 Dapr 배포는 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    이론상의 취약점이 아닙니다. 서비스 호출에 액세스 제어 정책을 적용 중이고 Dapr API에 신뢰할 수 없는 호출자가 접근 가능한 환경이라면, 현재 취약한 상태입니다. 특히 gRPC 경로는 메서드 문자열을 raw로 그대로 전달하기 때문에 위험도가 더 높습니다. 지금 바로 v1.15.14로 업그레이드하세요. 서비스 호출 비활성화나 API 완전 격리 외에는 별도의 임시 대응책이 없습니다.

  • securityDapr API 엔드포인트 접근 경로 전면 감사

    이 취약점은 API 접근을 전제로 하므로, 실제 피해 범위는 네트워크 구성에 달려 있습니다. 업그레이드 후 어떤 워크로드와 네트워크 경로가 Dapr HTTP/gRPC API에 접근 가능한지 점검하세요. 사이드카 localhost 접근만 허용하는 구성이 가장 안전합니다. API를 더 넓은 범위에 노출하고 있다면, 이번 패치와 무관하게 접근 범위를 좁혀두는 것이 바람직합니다.

  • breaking업그레이드 후 서비스 호출 메서드 경로 라우팅 검증 필요

    이번 수정으로 모든 메서드 경로에 path.Clean 정규화가 적용되고, #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부됩니다. 특히 gRPC에서 %2F를 경로 구분자로 사용하던 서비스가 있다면 동작이 달라질 수 있습니다. 프로덕션 배포 전에 서비스 간 호출 패턴을 반드시 테스트하세요.

주요 변경 (5)
  • admin%2F..%2Fpublic 같은 경로 순회 시퀀스로 서비스 호출 ACL 완전 우회 가능
  • %23(#), %3F(?) 인코딩 문자로 ACL이 평가하는 경로와 실제 앱이 받는 경로가 달라지는 불일치 발생
  • 단독 % 문자로 ACL 정규화 로직을 크래시시켜 정책 자체를 건너뛸 수 있었던 문제 수정
  • path.Clean을 호출 진입점에서 적용하고 #, ?, 널 바이트, 제어 문자가 포함된 경로는 거부하도록 변경
  • Go v1.25.9로 업데이트(1.24 라인 CVE 대응), ACL 경로에서 purell 의존성 제거
원문

Dapr

Orchestration & Management2026년 4월 16일

v1.17.5는 인코딩된 URL 문자를 이용한 경로 순회 공격으로 서비스 호출 ACL 정책을 우회할 수 있던 보안 취약점을 수정한 패치입니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출에 접근 제어 정책을 쓰는 모든 배포 환경이 영향을 받습니다. Dapr API(HTTP·gRPC)에 접근할 수 있는 공격자가 경로를 인코딩하는 것만으로 차단된 엔드포인트에 도달할 수 있었습니다. gRPC는 메서드 문자열을 raw로 전달하기 때문에 특히 위험했습니다. 별도의 완화 방법은 없으며, v1.17.5로 즉시 업그레이드하세요. 업그레이드 후에는 ACL 정책을 검토해 의도한 경로가 실제로 적용되는지 확인하세요.

  • breaking#, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    이번 수정으로 #, ?, null 바이트, 제어 문자가 포함된 메서드 경로는 호출 진입점에서 즉시 거부됩니다. gRPC에서 이런 문자를 메서드 경로에 사용하는 서비스가 있다면(드물지만 가능) 업그레이드 후 해당 호출이 실패합니다. 운영 환경 적용 전에 스테이징에서 서비스 호출 경로를 반드시 테스트하세요.

주요 변경 (5)
  • 서비스 호출 메서드 경로의 경로 순회 시퀀스(%2F, ../ 등)로 ACL 우회 가능 — 수정됨
  • 인코딩된 프래그먼트(%23)·쿼리(%3F) 문자로 ACL이 실제 앱에 전달된 경로와 다른 경로를 평가하는 문제 수정
  • 단독 % 문자로 ACL 정규화 크래시 유발 → 정책 전체 우회 가능성 존재했음
  • gRPC는 메서드 문자열을 클라이언트 측 정제 없이 raw로 전달해 더 위험한 공격 경로였음
  • 수정: path.Clean을 호출 진입점에서 적용, purell 의존성 ACL 경로에서 제거
원문

Dapr

Orchestration & Management2026년 4월 16일

서비스 호출 메서드 경로의 경로 순회 및 인코딩 문자가 ACL 정책을 우회할 수 있는 치명적 보안 취약점 수정. 접근 제어 정책을 사용 중이라면 즉시 업그레이드해야 합니다.

  • security서비스 호출 ACL 사용 중이라면 즉시 업그레이드

    서비스 호출 접근 제어 정책을 사용하는 모든 배포 환경이 취약합니다. Dapr HTTP 또는 gRPC API에 접근할 수 있는 공격자가 ACL이 허용하는 것처럼 보이지만 실제로는 차단된 엔드포인트로 라우팅되는 메서드 경로를 만들어낼 수 있습니다. gRPC 경로가 특히 위험합니다. 별도의 현실적인 완화 방법이 없으므로 v1.16.14로 즉시 업그레이드하세요. 업그레이드 후에는 기존 ACL 정책 규칙이 정규화된 경로 형식(../ 해소, 인코딩된 구분자 없음)과 일치하는지 검토하십시오.

  • breaking#, ?, 널 바이트, 제어 문자가 포함된 메서드 경로는 이제 거부됨

    수정 후에는 프래그먼트(#), 쿼리(?), 널 바이트, 제어 문자가 포함된 메서드 경로를 자동으로 거부합니다. 가능성은 낮지만, 프로그래밍 방식으로 gRPC 메서드 경로를 동적으로 구성하는 코드가 있다면 업그레이드 후 해당 호출이 실패할 수 있습니다. 프로덕션 적용 전에 메서드 경로를 동적으로 생성하는 서비스 호출 코드를 미리 점검하십시오.

주요 변경 (5)
  • 경로 순회 시퀀스(../), 인코딩된 슬래시(%2F), 프래그먼트(%23), 쿼리(%3F), 불완전한 % 문자로 ACL 우회 가능
  • gRPC가 더 위험한 공격 경로 — 메서드 문자열이 클라이언트 측 정규화 없이 그대로 전달됨
  • 근본 원인: ACL은 디코딩·정리된 경로를 평가하고, 대상 앱은 원본 문자열을 그대로 수신하는 불일치
  • 호출 진입점에서 path.Clean 적용 후 ACL 검사와 디스패치 모두 동일한 경로 사용하도록 수정
  • ACL 경로에서 purell 라이브러리 제거, gRPC는 퍼센트 인코딩을 경로 구분자가 아닌 리터럴 문자로 처리
원문

Dapr

Orchestration & Management2026년 4월 15일

Dapr v1.16.13은 다중 레플리카 환경에서 스케줄러 재시작 시 job 트리거가 멈추는 심각한 버그를 수정하고, Pulsar 설정 무시 문제와 OOM 위험을 해결하며, Go 1.25.9 보안 패치를 포함합니다.

  • securityGo 1.25.9 보안 패치 적용을 위해 즉시 업그레이드

    Go의 crypto/x509, crypto/tls, archive/tar, html/template 패키지 취약점이 패치됐습니다. 1.16.12 이하를 사용 중이라면 지금 바로 1.16.13으로 올려야 합니다. 소스에서 직접 Go 1.25.9로 재빌드하지 않는 한 다른 우회책은 없습니다.

  • breakingPulsar 사용자: processMode가 이제 실제로 적용됩니다 — 설정 검토 필수

    컴포넌트 YAML에 processMode를 설정해 뒀다면, 이전까지는 조용히 무시됐습니다. 업그레이드 후에는 해당 설정이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 비동기로 동작하고 있었다면, 업그레이드 시 동작이 바뀝니다. 프로덕션 배포 전에 Pulsar 컴포넌트 메타데이터와 구독 동작을 반드시 검토하세요. maxConcurrentHandlers를 0으로 설정했다면 기존에는 데드락이 발생했는데, 이제는 기본값 100으로 폴백됩니다.

  • breaking다중 레플리카 스케줄러 운영 중이라면 즉시 패치 적용

    스케줄러 버그는 실제 운영에서 매우 치명적입니다. 롤링 업데이트, OOM 킬, 노드 축출 등 일상적인 파드 재시작만으로도 전체 배포의 job 트리거가 조용히 멈춥니다. 오류 알림이나 명시적인 실패도 없이 job이 그냥 동작을 멈추는 것입니다. HA 구성으로 스케줄러를 여러 레플리카로 운영 중이라면 이 수정은 필수입니다. 업그레이드 후 스케줄러 파드 재시작 시 예약 작업이 정상 실행되는지 반드시 확인하세요.

주요 변경 (5)
  • Go 1.25.9 재빌드: crypto/x509, crypto/tls, archive/tar, html/template 패키지 보안 취약점 패치
  • 스케줄러 버그 수정: 단일 파드 재시작이 전체 스케줄러 연결의 job 트리거를 중단시키던 문제 해결
  • 각 스케줄러 스트리밍 커넥터가 이제 500ms 백오프로 독립적으로 재시도 — 하나의 연결 실패가 나머지에 영향 없음
  • Pulsar processMode가 컴포넌트 YAML에서 올바르게 읽힘 — 기존에는 조용히 무시되어 항상 기본 모드로 동작
  • Pulsar 비동기 모드에 동시성 제한(기본 100) 적용, maxConcurrentHandlers=0 데드락 및 고루틴 데이터 레이스 수정
원문

wasmCloud

Orchestration & Management2026년 4월 14일

v2.0.3은 NATS 구독자 초기화 경쟁 조건 버그 수정, Kubernetes EndpointSlice 지원 추가, 컨테이너 비루트 소유권 설정, Helm 차트 확장 구성을 포함합니다.

  • security즉시 업그레이드: 컨테이너가 기본적으로 비루트로 실행됩니다

    이전 릴리스는 루트 소유권으로 실행되어 컨테이너 보안 관점에서 문제가 있었습니다. 이번 릴리스부터 비루트 소유권이 기본값으로 변경됐습니다. 볼륨 마운트나 루트 권한에 의존하는 init 컨테이너가 있다면 프로덕션 적용 전 반드시 테스트하고, 필요하면 파드 스펙의 fsGroup 또는 runAsUser 설정을 조정하세요.

  • breakingHelm 차트 이미지 태그 기본값 변경 — values 파일을 점검하세요

    기본 이미지 태그가 더 이상 하드코딩된 값을 사용하지 않고 chart.yaml의 appVersion을 따릅니다. values 파일에서 태그를 명시적으로 오버라이드하고 있다면 대부분 그대로 동작하겠지만, 기존 기본값 방식으로 이미지 버전을 고정했던 경우라면 차트 업그레이드 후 배포된 이미지 버전을 반드시 확인하세요.

  • enhancementKubernetes 1.21 이상이라면 EndpointSlice를 활성화하세요

    EndpointSlice는 기존 Endpoints API를 대체하는 방식으로, 백엔드 수가 많을 때 확장성이 훨씬 뛰어납니다. kube-apiserver 부하를 줄이고 기존 Endpoints API의 스케일 한계를 피하려면 Helm values에서 EndpointSlice 옵션을 활성화하세요. Kubernetes 1.21 이상 환경이라면 지금 바로 적용할 수 있습니다.

주요 변경 (6)
  • NATS 구독자 초기화 시 발생하는 경쟁 조건(race condition) 수정
  • Kubernetes EndpointSlice 지원 추가 — 백엔드 수가 많은 서비스 환경에서 필수
  • 컨테이너 소유권을 비루트(non-root)로 변경해 기본 보안 강화
  • Helm 차트에 TLS 설정, 커스텀 어노테이션, 레이블 옵션 추가
  • Helm 차트 기본 이미지 태그가 하드코딩된 값 대신 chart.yaml의 appVersion을 따르도록 변경
  • WASIp3 지원이 피처 플래그 뒤에 추가됨 — 실험적 기능으로 프로덕션 사용 불가
원문

Dapr

Orchestration & Management2026년 4월 10일

Dapr 1.17.4는 워크플로우 정확성, Pulsar OOM 위험, Placement 지연으로 인한 Actor 동결, Go 표준 라이브러리 보안 취약점 등 7개 버그를 수정했습니다.

  • securityGo 표준 라이브러리 CVE 패치 — 즉시 업그레이드 권장

    Go 1.25.9는 archive/tar, crypto/tls, crypto/x509, html/template, 컴파일러에서 발견된 취약점을 수정합니다. Dapr의 모든 바이너리와 Docker 이미지가 패치된 툴체인으로 재빌드됐습니다. 설정 변경 없이 버전만 1.17.4로 올리면 됩니다.

  • breakingPulsar processMode 동작 변경 — 컴포넌트 설정 검토 필수

    기존에 Pulsar 컴포넌트 YAML에 processMode를 설정했다면 그 값은 사실상 무시되고 있었습니다. 업그레이드 후에는 설정값이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 async 모드로 돌고 있었다면, 업그레이드 후 동작이 달라집니다. async 모드는 이제 maxConcurrentHandlers(기본값 100)로 동시성이 제한됩니다. 운영 배포 전 Pulsar 컴포넌트 메타데이터를 반드시 점검하고 처리량 동작을 테스트하세요.

  • enhancementPlacement 지연으로 인한 Actor·워크플로우 동결 위험 해소

    Placement 전파 동결 버그는 롤링 업데이트 중 연쇄적인 헬스 체크 실패를 유발할 수 있었고, Kubernetes가 Pod를 비정상으로 판단해 재시작하면서 상황이 더 악화되는 패턴이었습니다. 1.17.4부터는 느린 피어 감지 시 치명적 종료 대신 재연결을 시도합니다. 롤링 업데이트 중 Actor 행(hang)이나 zombie daprd 프로세스를 경험한 적 있다면 이 버그가 원인이었을 가능성이 큽니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • Pulsar pub/sub가 컴포넌트 YAML의 processMode를 올바르게 읽고 async 모드에서 동시성 한도를 적용 — 기존에는 고부하 시 Pod OOM 가능성 있었음
  • 원격 앱이 오프라인 상태일 때 크로스 앱 워크플로우가 PENDING으로 무한 대기하던 문제 수정 — 디스패치별 2초 타임아웃과 사전 저장 로직 적용
  • ContinueAsNew 고이벤트량 환경에서 이벤트 유실·중복 처리 수정 — 상태 스냅샷/복원과 inbox 교체로 두 가지 근본 원인 해결
  • 느린 사이드카 하나가 전체 네임스페이스의 Actor·워크플로우 작업을 동결시키던 문제 수정 — Placement 타임아웃 시 재연결 로직으로 전환
  • 멀티노드 클러스터에서 스케줄러 Pod 재시작 후 잡 트리거가 무관한 클러스터 이벤트 전까지 멈추던 문제 수정 — 커넥터별 독립 재시도 방식으로 변경
원문

wasmCloud

Orchestration & Management2026년 4월 2일

v2.0.2는 wasmtime v43 업그레이드, Kubernetes Host 파드 리콘실러 추가, 설치 스크립트 개선을 담은 패치 릴리스입니다.

  • enhancementwasmtime 43 런타임 개선 적용을 위한 업그레이드 권장

    wasmtime 43은 업스트림 버그 수정과 성능 개선을 포함합니다. v2.0.1을 운영 중이라면 위험 부담이 낮은 업그레이드입니다. wasmCloud API 변경은 없으므로 호스트만 재배포하면 됩니다.

  • enhancementKubernetes 운영자: 새 Host 파드 리콘실러 검증 필요

    Host 파드 리콘실러는 Kubernetes에서 동작하는 wasmCloud 호스트 파드의 생명주기를 더 정교하게 처리합니다. wasmCloud 오퍼레이터를 사용 중이라면 프로덕션 적용 전에 스테이징 클러스터에서 파드 재시작과 스케줄링 동작을 먼저 검증하세요.

  • enhancementWindows 사용자: winget으로 wash 설치 가능

    wash가 winget 패키지 레지스트리에 등록됐습니다. Windows 환경의 팀은 바이너리를 수동으로 받는 대신 winget으로 표준화된 설치가 가능해졌으며, Windows 러너 기반 CI 파이프라인 구성에도 활용할 수 있습니다.

주요 변경 (5)
  • wasmtime v43으로 업그레이드 — 최신 런타임 버그 수정 및 성능 개선 반영
  • Kubernetes Host 파드 리콘실러 추가로 wasmCloud 호스트 파드 생명주기 관리 강화
  • 원스텝 설치 스크립트 개선으로 초기 설치 경험 향상
  • Windows에서 winget으로 wash CLI 설치 지원 추가
  • Helm values.local.yaml을 현재 기본값에 맞게 업데이트
원문

Karmada

Orchestration & Management2026년 3월 31일

Karmada v1.17.1은 무중단 축출 실패, 인증서 갱신 루프, Helm 차트 렌더링 오류, OpenAPI 스키마 오류 등 4가지 버그를 수정한 패치 릴리스입니다.

  • breakinggraceful eviction 사용 중이라면 즉시 패치 필요

    이 경쟁 조건의 문제는 실패가 무음으로 처리된다는 점입니다. 테인트가 걸리거나 장애 중인 멤버 클러스터에서 워크로드가 축출되지 않아도 아무런 오류가 발생하지 않습니다. 멀티 클러스터 HA 환경이라면 v1.17.1로 즉시 업그레이드하고, 업그레이드 후 보류 중인 eviction 작업이 정상 완료됐는지 반드시 확인하세요.

  • breakingkarmada-agent 인증서 만료 여부 점검 필요

    SignerName 불일치로 인해 v1.17.0에서 인증서 갱신 CSR이 한 건도 승인되지 않았습니다. v1.17.0을 운영 중이었다면 에이전트 인증서가 갱신되지 않은 채 만료 기한이 가까워졌을 수 있습니다. 업그레이드 후 에이전트 인증서 만료일을 확인하고, 필요하면 수동으로 갱신을 트리거하세요.

  • enhancementHelm 차트 업그레이드 후 TLS 설정 재확인 필요

    v1.17.0에서 karmada-chart를 업그레이드했을 때 설정에 '{{ ca_crt }}'가 문자 그대로 남아 있었다면, CA 인증서가 주입되지 않은 상태입니다. v1.17.1로 업그레이드한 뒤 Helm upgrade를 다시 실행해 CA 인증서가 올바르게 렌더링됐는지, TLS 설정이 정상인지 확인하세요.

주요 변경 (4)
  • 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 무음으로 누락되던 경쟁 조건 수정
  • cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 CSR 자동 승인이 전혀 이뤄지지 않던 인증서 갱신 버그 수정
  • karmada-chart 업그레이드 시 '{{ ca_crt }}'가 렌더링되지 않고 그대로 남던 Helm 차트 문제 수정
  • Go 타입명 대신 완전 수식 모델명(fully qualified name) 사용으로 OpenAPI 스키마 unknown model 오류 해결
원문

Karmada

Orchestration & Management2026년 3월 31일

v1.16.4는 인증서 자동 갱신 중단, Helm 업그레이드 시 ca_crt 미렌더링, 그리고 무중단 축출 작업이 조용히 누락되는 레이스 컨디션 세 가지 버그를 수정합니다.

  • security인증서 자동 갱신이 조용히 멈춰 있었음 — 업그레이드 후 즉시 인증서 유효기간 점검

    SignerName 불일치로 인해 karmada-agent의 인증서 갱신 CSR이 한 번도 승인되지 않았습니다. 즉, 에이전트 인증서가 갱신 없이 만료되고 있었던 셈입니다. v1.16.4로 업그레이드한 뒤, 모든 멤버 클러스터의 karmada-agent 인증서 만료일을 확인하고 만료가 임박한 것은 수동으로 갱신을 트리거하세요. 이 수정 이전에 자동 갱신이 정상 동작했다고 가정하지 마세요.

  • breaking축출 레이스 컨디션으로 워크로드가 장애 클러스터에 방치됐을 수 있음

    컨트롤러 레플리카를 여러 개 운영하거나 ResourceBinding 변경이 잦은 환경이라면, 이번 수정 전에 taint된 클러스터나 비정상 클러스터에서 워크로드 축출이 조용히 실패했을 가능성이 있습니다. v1.16.4로 즉시 업그레이드한 뒤, 현재 클러스터 taint 상태와 ResourceBinding 상태를 점검해 누락된 축출 작업이 없는지 확인하세요.

  • breakingHelm 업그레이드로 ca_crt가 제대로 적용되지 않았다면 TLS 설정 재확인 필요

    {{ ca_crt }} 템플릿 변수가 Helm 업그레이드 시 렌더링되지 않아 TLS 설정이 잘못 배포됐을 수 있습니다. v1.16.3에서 Helm으로 업그레이드한 이력이 있다면, 배포된 시크릿과 차트 값에서 ca_crt가 올바르게 채워져 있는지 확인하세요. 문제가 의심된다면 v1.16.4로 다시 업그레이드해 재적용하세요.

주요 변경 (3)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }} 변수가 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시에 수정할 때 graceful eviction 작업이 조용히 누락되던 레이스 컨디션 수정
원문

Karmada

Orchestration & Management2026년 3월 31일

Karmada v1.15.7은 에이전트 인증서 갱신 교착 상태, Helm 차트 업그레이드 렌더링 오류, 그리고 무증상으로 eviction 작업을 누락시키던 경쟁 조건 버그 세 가지를 수정한 패치 릴리스입니다.

  • breaking에이전트 인증서 만료 여부를 즉시 점검하세요

    SignerName 불일치 버그로 인해 CSR이 승인되지 못했다면, karmada-agent의 인증서가 이미 만료됐거나 만료 임박 상태일 수 있습니다. v1.15.7로 업그레이드 전에 각 에이전트 인증서의 NotAfter 필드를 확인하고, 만료된 경우 수동 갱신을 먼저 진행하세요. 인증서 TTL이 짧은 환경일수록 긴급도가 높습니다.

  • breakingeviction 누락으로 문제 클러스터에 워크로드가 남아있을 수 있습니다

    graceful eviction의 경쟁 조건 버그로 인해, 클러스터에 taint가 추가되거나 장애 상태가 됐을 때 복수의 컨트롤러가 동시에 동작 중이었다면 eviction 작업이 무증상으로 누락됐을 가능성이 있습니다. 업그레이드 전에 ResourceBinding 및 ClusterResourceBinding 오브젝트에서 미처리된 eviction 조건을 점검하고, 영향받은 바인딩에 대해 업그레이드 후 eviction을 재트리거하세요.

  • breakingHelm 업그레이드 시 ca_crt 렌더링 결과를 반드시 검증하세요

    {{ ca_crt }}가 렌더링되지 않으면 TLS 설정이 리터럴 문자열로 남아 연결 오류로 이어집니다. v1.15.7로 Helm 업그레이드 후 배포된 Secret 또는 ConfigMap에서 ca_crt 값이 실제 인증서 데이터로 채워졌는지 확인하세요. 이전 업그레이드에서 문제가 발생했다면 해당 리소스를 재배포해야 합니다.

주요 변경 (4)
  • karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
  • karmada-chart: Helm 업그레이드 시 {{ ca_crt }}가 그대로 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
  • karmada-controller-manager: 여러 컨트롤러가 동일 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 조용히 누락되던 경쟁 조건 수정
  • 위 세 버그 모두 운영 환경에서 무증상으로 진행될 수 있어 즉각적인 업그레이드 및 상태 점검 필요
원문

Dapr

Orchestration & Management2026년 3월 30일

Dapr v1.16.12는 gRPC 인증 우회 CVE 패치, Pulsar Avro/JSON 스키마 처리 버그 수정, 그리고 파드 재시작 후 최대 20분간 지속되던 Scheduler 클러스터 스톨 문제를 해결합니다.

  • securitygRPC 인증 우회(CVE-2026-33186) 패치를 위해 즉시 업그레이드

    CVE-2026-33186은 특정 조건에서 gRPC 인증을 우회해 비인가 요청을 허용합니다. Dapr 1.16.12 이전 모든 1.16.x 버전이 영향을 받으며, 의존성 패치 없이는 우회 방법이 없습니다. 즉시 업그레이드하세요.

  • breakingPulsar Avro + CloudEvents 스키마 등록 방식 변경 — 기존 토픽 점검 필요

    Dapr 1.16.0~1.16.11에서 Avro 스키마와 CloudEvents 래핑(기본값)을 함께 사용하는 Pulsar 토픽은 Schema Registry에 잘못된 스키마가 등록되어 있었습니다. 업그레이드 후에는 올바른 CloudEvents 엔벨로프 Avro 스키마로 등록됩니다. 기존 토픽의 Schema Registry 상태와 비-Dapr 컨슈머의 영향 여부를 확인하세요. 새로 추가된 rawSchema 메타데이터 옵션은 순수 raw 페이로드 전용 토픽에만 사용해야 합니다.

  • enhancementScheduler HA 환경에서 파드 재시작 후 20분 스톨 문제 해소

    Scheduler 3개 인스턴스 HA 구성에서 워크플로우나 액터 리마인더가 실행 중일 때 파드가 재시작되면 클러스터 전체가 최대 20분간 멈추는 문제가 있었습니다. 롤링 업데이트나 노드 유지보수 후 워크플로우나 리마인더가 설명 없이 지연됐다면 이 버그가 원인입니다. 이번 수정으로 트리거 전달이 컨텍스트 취소를 즉시 반영해 수초 내 쿼럼을 재확립합니다. 참고로 Dapr v1.17은 트리거 전달 경로 자체를 비동기 방식으로 재설계해 이 문제 유형 자체를 없앴습니다.

주요 변경 (5)
  • CVE-2026-33186 패치: gRPC 인증 우회를 허용하던 업스트림 의존성 업그레이드
  • Pulsar Avro 구독자가 바이너리 페이로드를 정상 디코딩하도록 수정 — 기존에는 JSON 언마샬 실패로 영구 재시도 루프에 빠졌음
  • Pulsar CloudEvents + Avro 스키마 등록 시 CloudEvents 엔벨로프 스키마로 올바르게 래핑, 브로커 측 불일치 해소
  • Pulsar JSON 스키마 토픽에서 발행 시 단순 JSON 파싱이 아닌 실제 구조적 유효성 검사 수행
  • Scheduler 파드 재시작 후 복구 시간이 최대 20분에서 5초 미만으로 단축 — 블로킹 트리거 전달 경로 수정
원문

Volcano

Orchestration & Management2026년 3월 30일

Volcano v1.13.2는 패치 릴리스로, NUMA 리소스 처리 패닉, GPU 리소스 오류, 스케줄러 스냅샷 상태 오염, Job 내 Terminating Pod 처리 오류 등 5건의 버그를 수정했습니다.

  • securityNUMA 스냅샷 패닉으로 스케줄러 프로세스가 중단될 수 있음 — NUMA 워크로드 확장 전 패치 적용

    스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 nil 포인터 또는 동시 쓰기 패닉이 발생하면 volcano-scheduler 프로세스 전체가 내려갑니다. NUMA 인식 클러스터에서는 Pod가 재시작될 때까지 스케줄링이 완전히 멈춥니다. 토폴로지 인식 워크로드를 운영 중이라면 워크로드 확장 전에 v1.13.2로 패치를 적용하세요.

  • breaking스케줄러 스냅샷 변이 버그, 스케줄링 결정 오염 가능 — 즉시 업그레이드 필요

    스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그(PR #5093)가 이번 릴리스에서 가장 심각한 수정 사항입니다. 여러 스케줄링 사이클이 상태를 공유하면 비결정적 스케줄링 동작이 발생하고, 원인 추적도 매우 어렵습니다. GPU나 멀티태스크 배치 워크로드를 부하 상태에서 운영 중이라면 v1.13.2로 즉시 업그레이드해야 합니다.

  • enhancementGPU 리소스 오류 수정으로 유령 할당 문제 해결

    GPU 리소스 집계 오류가 수정되어 노드가 과다 할당되거나 실제보다 낮은 활용률로 표시되던 문제가 해결됩니다. GPU Pod가 실제 용량이 있음에도 Pending 상태에 머물거나, GPU 노드에서 예기치 않은 스케줄링 실패가 반복되었다면 이번 패치로 해결될 가능성이 높습니다. 업그레이드 후 스케줄러 Pod를 재시작해 남아 있을 수 있는 낡은 리소스 상태를 초기화하세요.

주요 변경 (5)
  • Terminating 상태 Pod가 Job에서 조기에 제거되지 않고 올바르게 유지됨
  • 스케줄러 스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 발생 가능한 패닉 수정
  • GPU 리소스 집계 오류 수정 — 과다/과소 스케줄링으로 이어질 수 있던 문제
  • Prometheus 메트릭 클라이언트 업데이트로 지표 보고 오류 수정
  • 스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그 수정 — 스케줄링 사이클 간 상태 오염 방지
원문

KubeVirt

Orchestration & Management2026년 3월 30일

KubeVirt v1.8.1은 virt-handler domain-notify 서버 비정상 종료 및 PVC 이름이 긴 경우 VMExport 실패, 두 가지 버그를 수정한 패치 릴리스입니다.

  • breakingvirt-handler 충돌로 VM 라이프사이클 이벤트가 먹통이 된다면 즉시 업그레이드하세요

    domain-notify 서버는 virt-handler와 실행 중인 VM 간 통신을 담당합니다. 비정상 종료 후 재시작되지 않으면 VM 시작·중지·마이그레이션 같은 라이프사이클 작업이 눈에 띄는 오류 없이 그냥 실패합니다. v1.8.0에서 원인 불명의 VM 관리 실패를 경험했다면 이 패치가 해결책입니다. v1.8.0 클러스터라면 가능한 빨리 적용하세요.

  • enhancement긴 PVC 이름을 쓰는 VMExport 파이프라인을 업그레이드 후 반드시 검증하세요

    동적 프로비저너나 네임스페이스 접두사 방식으로 PVC 이름이 길어지는 환경에서 VMExport를 백업·마이그레이션 워크플로에 활용 중이라면, 업그레이드 후 익스포트가 정상 동작하는지 확인해야 합니다. 기존 실패가 조용히 넘어가는 경우가 많아 파이프라인 이상을 놓치기 쉬웠던 만큼, 업그레이드 직후 검증을 권장합니다.

주요 변경 (3)
  • virt-handler의 domain-notify 서버가 비정상 종료 시 자동 재시작되도록 수정
  • PVC 이름이 길 때 VMExport가 실패하는 문제 해결
  • 7명의 기여자, 17개 파일 변경으로 구성된 소규모 집중 패치
원문

Dapr

Orchestration & Management2026년 3월 26일

Dapr v1.17.3은 gRPC 인증 우회(CVE-2026-33186)와 TIFF OOM DoS(CVE-2026-33809) 두 CVE를 패치하고, h2c 액터 응답 데이터 유실, Placement 연쇄 장애, Scheduler 무음 중단 등 고영향 버그를 수정했습니다.

  • security활성 CVE 두 건, 즉시 업그레이드 필요

    CVE-2026-33186은 gRPC 인증을 우회해 허가되지 않은 요청이 서비스에 도달할 수 있는 취약점입니다. CVE-2026-33809는 8바이트짜리 악성 TIFF 파일 하나로 사이드카가 약 4GB 메모리를 할당하다 OOM으로 크래시될 수 있습니다. 두 취약점 모두 v1.17.3에서만 수정됩니다. 우회 방법은 없으므로 긴급 패치로 처리하세요. 특히 이미지 데이터를 처리하는 Dapr 컴포넌트가 있거나 gRPC 엔드포인트를 외부에 노출하는 경우 즉각 대응이 필요합니다.

  • breakingh2c + 액터 사용 환경은 v1.17.2 이후 응답 데이터 유실 여부 확인 필수

    --app-protocol h2c로 액터를 운영 중이었다면, v1.17.2부터 액터 메서드 호출이 HTTP 200을 반환하면서도 본문이 비어 있었을 수 있습니다. 오류 없이 데이터만 사라지는 방식이라 발견이 어렵습니다. v1.17.3으로 업그레이드한 뒤, v1.17.2 도입 이후 처리된 액터 응답 데이터를 감사하고 캐시나 로그에 저장된 응답이 있다면 재검증하세요.

  • enhancementHA Scheduler 배포 환경: 업그레이드 후 전체 Scheduler 파드 재시작 권장

    Scheduler 무음 중단 버그는 etcd에 오래된 리더십 키를 남겨 쿼럼 수렴을 막습니다. 업그레이드 후 모든 Scheduler 파드를 동시에 재시작해 깨끗한 리더십 선출을 유도하세요. 이후 롤링 업데이트 과정에서 워크플로우 타이머, 예약 잡, 액터 리마인더가 무작위로 멈추는 현상은 더 이상 발생하지 않습니다.

주요 변경 (7)
  • CVE-2026-33186: 업스트림 의존성 업그레이드로 gRPC 인증 우회 취약점 수정
  • CVE-2026-33809: golang.org/x/image를 v0.38.0으로 업그레이드해 TIFF OOM DoS 취약점 수정
  • h2c(HTTP/2 cleartext) 환경에서 액터 메서드 응답 본문이 빈 채로 반환되던 문제 수정 — 컨텍스트 분리 및 파이프 오류 전파 방식으로 해결
  • 서비스 호출 및 액터 응답에서 오래된 Content-Length 헤더가 그대로 전달되어 unexpected EOF가 발생하던 문제 수정
  • 단일 느린 사이드카로 인해 전체 Placement 테이블이 초기화되던 연쇄 장애 수정 — 선택적 타임아웃 및 단계 진행 로직 적용
  • 클러스터 스케일업 후 Scheduler 인스턴스가 조용히 동작을 멈추던 채널 경쟁 조건 수정 — 논블로킹 이벤트 루프로 교체
  • v1.16.9부터 AKS Windows 노드에서 daprd가 시작 불가하던 문제 수정 — docker manifest 툴체인으로 복원
원문

Dapr

Orchestration & Management2026년 3월 26일

Scheduler HA 환경의 치명적 버그 3건(연쇄 충돌, 파티션 무응답, Windows AKS 기동 실패)이 수정되었으며, Go 1.25.8 보안 패치도 포함됩니다.

  • securityGo 1.25.8 보안 패치 — 업그레이드로 반영

    Go 1.25.8은 html/template, net/url, os 패키지의 취약점을 수정했습니다. v1.16.10 이하를 사용 중이라면 해당 취약점이 있는 바이너리를 그대로 실행하는 셈입니다. v1.16.11로 업그레이드하면 수정된 런타임이 자동으로 반영됩니다. Go 1.25.7로 빌드한 커스텀 서비스가 별도로 있다면 그쪽도 함께 재빌드하세요.

  • breakingHA 모드 Scheduler 운영 중이라면 즉시 업그레이드

    v1.16.0~v1.16.10의 멀티 인스턴스 Scheduler 배포는 두 가지 장애 패턴에 노출되어 있습니다. 첫째, 높은 잡 부하에서 연쇄 충돌이 발생합니다. 둘째, 인스턴스가 파티션 리스를 유지하면서도 잡을 실행하지 않는 무음 실패가 생깁니다. 두 경우 모두 전체 Scheduler 파드 재시작 없이는 복구가 안 됩니다. Dapr Workflows나 Actor Reminder, 예약 잡을 HA로 운영 중이라면 일반적인 파드 축출이나 롤링 업데이트만으로도 워크플로우가 멈출 수 있으니 긴급 업그레이드를 권장합니다.

  • breakingAKS Windows 사용자: v1.16.9부터 broken, 이번 릴리스에서 수정

    v1.16.9~v1.16.10 사이에 AKS Windows 노드에 Dapr를 배포했다면, daprd 사이드카가 계속 CrashLoopBackOff 상태였을 겁니다. Docker 매니페스트 생성 도구 변경으로 os.version 필드가 누락되면서 Windows 컨테이너 런타임이 잘못된 이미지 변형을 가져왔기 때문입니다. v1.16.11로 업그레이드하면 별도 설정 변경 없이 정상 동작이 복원됩니다.

주요 변경 (5)
  • Go 런타임 1.25.7 → 1.25.8 업그레이드: html/template, net/url, os 패키지 보안 취약점 패치
  • 높은 잡 처리량 중 리더십 변경 시 발생하던 'catastrophic state machine error' 충돌 수정 — 오래된 CloseJob 이벤트를 no-op으로 처리
  • 클러스터 스케일업 후 Scheduler 인스턴스가 파티션을 점유한 채 잡을 실행하지 않는 레이스 컨디션 수정
  • v1.16.9부터 AKS Windows 노드에서 daprd 사이드카가 CrashLoopBackOff로 기동 실패하던 문제 수정 — 이미지 매니페스트의 os.version 필드 복원
  • 두 Scheduler 버그 모두 v1.16.0~v1.16.10의 모든 HA 배포에 해당
원문

KubeVirt

Orchestration & Management2026년 3월 24일

KubeVirt v1.8.0은 1,242개의 변경사항을 담은 대형 릴리스로, 새로운 VM 백업 API, VMPool 자동복구, 컨테이너패스 볼륨 등을 추가하고 일부 네트워크 바인딩을 완전 제거했습니다.

  • breaking업그레이드 전 SLIRP·Macvtap 바인딩 사용 VM 확인 및 전환

    SLIRP와 Macvtap 코어 바인딩이 v1.8.0에서 완전히 삭제됐습니다. 클러스터 내 해당 바인딩을 사용하는 VM이 있으면 업그레이드 후 즉시 장애가 발생합니다. 지금 VM 스펙을 전수 조사해 passt 또는 bridge 바인딩으로 전환하고, 프로덕션 적용 전 비프로덕션 환경에서 반드시 검증하세요.

  • breaking마이그레이션 및 vCPU 메트릭명 변경 — 대시보드 일괄 수정 필요

    kubevirt_vmi_migration_data_total_bytes는 deprecated 처리됐고, vCPU 레코딩 룰도 kubevirt_vmi_vcpu_count에서 vmi:kubevirt_vmi_vcpu:count로 바뀌었습니다. Grafana 대시보드, Prometheus 알림 규칙, 레코딩 룰에서 두 메트릭을 함께 찾아 교체하세요. 업그레이드 후에 고치면 모니터링 공백이 생깁니다.

  • enhancementdisabledFeatureGates로 피처 게이트 명시적 잠금 적용

    이제 피처 게이트를 단순히 설정하지 않는 방식이 아니라, disabledFeatureGates 목록에 명시해 강제로 비활성화할 수 있습니다. 규제 환경이나 GitOps로 KubeVirt 설정을 관리하는 팀이라면, 허용하지 않을 알파·베타 피처를 이 목록에 추가해 감사 추적이 가능한 형태로 관리하세요.

주요 변경 (6)
  • SLIRP 및 Macvtap 코어 네트워크 바인딩 완전 삭제 — 업그레이드 전 대체 바인딩으로 전환 필수
  • 증분 백업 및 CBT(Changed Block Tracking)를 지원하는 새 VMBackup API 도입
  • VMPool v1beta1 정식 승격 — 자동복구 전략 및 스케일인 제어(상태 보존 포함) 지원
  • kv.spec.configuration.developerConfiguration.disabledFeatureGates로 피처 게이트 명시적 비활성화 가능
  • 마이그레이션 메트릭명 변경: kubevirt_vmi_migration_data_total_bytes → kubevirt_vmi_migration_data_bytes_total — 대시보드 및 알림 규칙 업데이트 필요
  • virt-operator의 VIRT_*_IMAGE 환경변수 오버라이드가 하위 컴포넌트에 정상 전파되도록 버그 수정
원문
← 최신이전 →