RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Rook

Storage & Data오늘2026년 7월 8일

Rook v1.20.2는 Ceph 오퍼레이터의 버그 수정과 소소한 개선에 집중한 통상적인 패치 릴리스입니다. mgr NetworkPolicy를 ingress 전용으로 강화했고 Ceph는 v20.2.2, ceph-csi-operator는 v1.0.4로 올라갔으며, 별도의 CVE나 API 제거는 없습니다.

  • securitymgr NetworkPolicy를 ingress 전용으로 강화

    mgr용 NetworkPolicy가 ingress 전용으로 제한됩니다. 기존에 mgr로부터 나가는 트래픽을 별도 정책으로 열어둔 경우 영향을 받을 수 있으니, 업그레이드 후 mgr 관련 통신이 정상 동작하는지 확인하세요.

주요 변경 (7)
  • mgr NetworkPolicy를 ingress 전용으로 제한하는 보안 강화
  • Ceph 버전을 v20.2.2로, ceph-csi-operator를 v1.0.4로 업데이트
  • 노드 라벨/어노테이션 변경 시 재조정을 트리거하도록 노드 워처 개선, 초기 캐시 동기화 중에는 스킵하도록 수정
  • 외부 클러스터에서 언마운트 시 VolumeAttachment 리소스가 제대로 삭제되도록 수정
  • 떠 있는 mon의 재스케줄 대기 시간을 단축해 페일오버 응답성 개선
  • Ceph 오퍼랜드 파드용 예시 NetworkPolicy CR 추가 및 Rook 오퍼레이터에서 Ceph 경고를 뮤트하는 API 추가
  • 그 외 소소한 수정 다수: 설정 오버라이드 줄바꿈 처리, OSD 활성화 시 raw activate 폴백 경로에서 불필요한 rbd 디바이스 스캔 제거, 오브젝트 스토어 realm 액세스 키를 URL-safe 문자열로 생성
원문

Harbor

Storage & Data2026년 7월 2일

Harbor v2.15.2는 2.15.0의 수정 사항을 백포트한 유지보수 패치입니다. 운영 관점에서 가장 영향이 큰 변경은 캐시 백엔드의 Redis to Valkey 교체이며, 기존 배포 설정을 검토해야 합니다. blob 마운트 토큰 검증 강화, 암호화 정비, Angular 21과 Clarity v18 업그레이드 이후 쌓인 UI/UX 수정도 함께 포함되었습니다.

  • securityblob 마운트 토큰 검증 강화 (medium)

    blob 마운트 시 토큰 검증이 강화되어, iat 클레임이 없는 토큰과 유효하지 않은 소스 프로젝트 참조가 거부됩니다. 모든 환경에 적용됩니다.

  • breaking캐시 백엔드가 Valkey로 교체됨

    캐시 백엔드가 Redis에서 Valkey로 교체되었습니다. Redis를 참조하는 배포 설정이 있다면 Valkey로 변경해야 합니다.

주요 변경 (7)
  • 캐시 백엔드를 Redis에서 Valkey로 교체 (배포 설정 변경 필요)
  • 보안: blob 마운트 토큰 검증 강화, iat 누락 토큰 및 소스 프로젝트 검증 추가 (medium)
  • 보안: 암호화 사용 방식 정비 및 미사용 SMTP 패키지 제거 (low)
  • UI를 Angular 21, Clarity v18, Node.js v22로 업그레이드하고 체크박스, 다크 테마, i18n, 폼 스타일, 태그 선택 등 다수의 UI/UX 수정 적용
  • YAML 라이브러리를 gopkg.in/yaml.v2에서 github.com/goccy/go-yaml로 교체
  • 레지스트리 이미지를 rc.5에서 안정 태그 v2.8.3-harbor.1로 고정
  • 태그 및 아티팩트 변경 시 repository의 update_time이 올바르게 갱신되도록 수정, Cosign tlog 검증 옵션 조정
원문

Longhorn

Storage & Data2026년 7월 1일

Longhorn v1.11.3은 볼륨 동작, 백업, 인스턴스 관리 전반에 걸친 10여 건의 안정성 문제를 해결한 버그픽스 롤업입니다. CSI external provisioner가 v6.3.0으로 올라가, v1.10.x 또는 v1.11.0에서 업그레이드하려면 Kubernetes v1.34 이상이 선행되어야 합니다.

  • breakingv1.10.x 또는 v1.11.0에서 업그레이드 시 Kubernetes v1.34+ 필요

    CSI external provisioner가 v6.3.0으로 올라가면서 Kubernetes v1.34 이상이 필요합니다. Longhorn v1.10.x 또는 v1.11.0에서 업그레이드할 경우, Longhorn을 먼저 올리기 전에 클러스터의 Kubernetes 버전을 v1.34+로 맞춰야 합니다.

주요 변경 (7)
  • CSI external provisioner v6.3.0으로 상향: v1.10.x 또는 v1.11.0에서 업그레이드 전 Kubernetes v1.34+ 확인 필수
  • iscsid 재시작 후 V1 볼륨이 동작 불가 상태로 남는 문제(PVC 리사이즈 실패 포함) 수정
  • 레플리카 리빌드 중 longhorn-instance-manager에서 nil 포인터 역참조 패닉 수정
  • 반복 trim 작업 실패를 유발하던 데드락, 그리고 볼륨 확장이 멈추는 문제 각각 수정
  • 대상 노드가 ready 상태로 전환 중일 때 마이그레이션 엔진이 삭제되던 문제 수정
  • NetApp 어플라이언스에서 S3 백업 실패, System Backup RecurringJob이 최신 CR을 잘못 삭제하던 문제 수정
  • BackupController 백업 삭제 중 longhorn-manager 패닉, 서포트 번들·웹훅 폴링의 HTTP 응답 바디 누수, 스케일 환경에서 webhook TLS Secret 경합 수정
원문

Dragonfly

Storage & Data2026년 6월 25일

Dragonfly v2.5.0은 Hugging Face/ModelScope 모델 다운로드, P2P 인젝터 웹훅, 다운로드 블록리스트, 전면적인 속도 제한을 추가하는 기능 릴리스이며, 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트 제거와 헬스체크의 /healthy 통합이라는 주요 변경도 포함합니다. 다수의 버그 수정과 Nydus 서브프로젝트 개선도 함께 담겼습니다.

  • breakingV1 프리히트 API 엔드포인트 제거

    v2.5.0부터 조건 없이 적용됩니다: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되었습니다. 이 경로를 호출하던 자동화나 연동은 업그레이드 전에 현재 프리히트 API로 옮겨야 합니다.

  • breaking헬스체크 /healthy로 통합

    v2.5.0부터 조건 없이 적용됩니다: 헬스체크가 /healthy 엔드포인트 하나로 통합되었습니다. 기존 헬스체크 경로를 참조하던 로드밸런서, 쿠버네티스 프로브, 모니터링 설정을 수정해야 합니다.

  • enhancement긴급 다운로드 블록리스트

    현재 Manager 콘솔에서 사용 가능합니다: 특정 다운로드를 긴급 차단할 수 있는 블록리스트를 설정할 수 있습니다. 차단된 gRPC 요청은 PermissionDenied, HTTP 프록시 요청은 FORBIDDEN을 반환하며 장애 대응에 활용할 수 있습니다.

  • enhancementgRPC 및 클라이언트 전반 속도 제한

    현재 Manager/Scheduler gRPC 서버와 클라이언트 전반에 적용됩니다: 대역폭, 업/다운로드 요청, 적응형 제한을 포함한 속도 제한이 추가되었습니다. 배포 전에 제한값을 검토해 정상 트래픽이 의도치 않게 제한되지 않도록 확인하세요.

주요 변경 (8)
  • 주요 변경: 더 이상 사용되지 않던 V1 프리히트 API 엔드포인트가 제거되고 헬스체크가 /healthy 하나로 통합되었습니다.
  • 신규: Dragonfly 클라이언트가 Hugging Face와 ModelScope에서 모델 저장소를 직접 내려받을 수 있게 되었습니다. Git LFS 데이터는 P2P로 가속하고 메타데이터는 Git 프로토콜로 가져옵니다.
  • 신규: dragonfly-injector Mutating Admission Webhook이 어노테이션 기반 정책으로 Pod에 P2P 기능을 자동 주입하며, Helm 차트도 이를 지원합니다.
  • 신규: Manager 콘솔에서 블록리스트를 설정해 특정 다운로드를 긴급 차단할 수 있습니다(gRPC는 PermissionDenied, HTTP 프록시는 FORBIDDEN 반환).
  • 신규: Manager/Scheduler gRPC 서버와 클라이언트 측 대역폭·요청 처리 전반에 속도 제한이 추가되어 소스 서비스를 보호합니다.
  • 신규: 로컬 스토리지 작업(목록 조회, 삭제, 프리히트)을 Scheduler와 함께 관리하는 dfctl CLI가 추가되었고, dfdaemon은 containerd의 ns 쿼리 파라미터로 업스트림 레지스트리를 추론할 수 있습니다.
  • 성능 및 안정성 개선: 스케줄링 전 부모 피어 선택 로직 개선, 파일 내보내기/다운로드의 버퍼링 처리, 대용량 전송을 위한 gRPC 스트림 버퍼 튜닝, HTTP 백엔드 개선(HTTP/1.1 적용, HEAD 재시도 로직, 크로스오리진 리다이렉트 시 인증 헤더 제거, 상대경로 307 리다이렉트 캐싱 오류 수정).
  • 그 외 다수의 소소한 수정: 피어 TTL과 concurrent_piece_count 관련 Redis Lua 스크립트 인자 순서 수정, 기본 클러스터 시딩 후 PostgreSQL SERIAL 시퀀스 처리 개선, ExternalRedis TLS 지원 추가, Nydus 서브프로젝트 업데이트(프리페치 최적화 블롭, DAX 백엔드 지원, 빌더/이미지 감지 관련 버그 수정 다수).
원문

Dragonfly

Storage & Data2026년 6월 25일

v2.4.4는 Dragonfly의 일상적인 유지보수 릴리스로, 피어 동시성·메모리 누수·등록 지연 관련 스케줄러 버그 세 가지를 수정하고 의존성을 함께 갱신했습니다. 보안 수정이나 운영자에게 영향을 주는 breaking change는 포함되어 있지 않습니다.

주요 변경 (5)
  • 스케줄러에서 AnnouncePeer 스트림 참조가 정리되지 않아 발생하던 트랜스포트 메모리 누수 수정
  • 프리히트(preheat) 작업 중 피어 동시성 제한이 정상적으로 적용되도록 수정
  • 슈퍼 시드 피어 등록 시 불필요한 지수 백오프 지연을 건너뛰도록 수정
  • containerd 1.7.32→1.7.33, go-redis/v9 9.19.0→9.21.0, mongo-driver 1.17.0→1.17.7, golang.org/x/crypto 0.53.0, retry-go v5 업그레이드 등 의존성 다수 갱신 (actions/checkout, gomega 등 부수 업데이트 포함)
  • 내부 헬퍼 함수 MustParseRange, ParseOneRange, ParseURLMetaRange 제거 (외부 API에는 영향 없는 리팩터링)
원문

Vitess

Storage & Data2026년 6월 25일

Vitess v24.0.2는 gRPC 인증 타이밍과 twopcz 값 이스케이프 관련 보안 강화 수정 2건에, 백업/복구, VReplication, vtgate, VTOrc, 커넥션 풀링 전반의 버그 수정을 더한 패치 릴리스입니다. 브레이킹 API나 설정 변경은 명시되지 않았습니다.

  • security보안 강화 수정 2건: gRPC 인증 타이밍, twopcz 반사값 처리

    static gRPC 인증 플러그인의 비밀번호 비교에서 발생하던 타이밍 사이드채널과 twopcz 핸들러의 반사값 이스케이프 누락을 수정했습니다. 두 건 모두 조건 없이 적용되므로, gRPC static auth를 쓰거나 twopcz 엔드포인트를 노출하는 환경이라면 v24.0.2로 업그레이드를 권장합니다.

주요 변경 (7)
  • servenv: static gRPC 인증 플러그인이 이제 상수 시간 비밀번호 비교를 사용해 타이밍 사이드채널을 막았습니다.
  • tabletserver: twopcz 핸들러가 반사되는 폼 값을 이스케이프 처리해 반사형 인젝션 가능성을 제거했습니다.
  • smartconnpool 다건 수정: MaxLifetime 지터, reopen 후 refresh worker 유지, idle reopen 정지, close 데드락, Setting 보존, closed pool에서의 SetCapacity 거부 처리.
  • VTOrc: PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 사이의 데드락을 해결했고, errant GTID 해소 시 게이지 값을 초기화합니다.
  • VReplication/vtgate: reshard 수렴 시 vstream StopOnReshard가 멈추는 문제, 교체된 태블릿의 취소된 연결 확인에서 오는 오래된 healthcheck 업데이트, binlog 디코딩 시 DECIMAL JSON 선행 0 처리를 수정했습니다.
  • vtgate: Filter 스트리밍 경로가 ToBoolean()을 사용해 정확한 결과를 내도록 고쳤고, OLAP/스트리밍 모드의 prepared statement에 전용 플랜을 적용합니다.
  • 그 외 소소한 수정 6건 정도: mysqlctl 원격 종료 타임아웃 전파, 백업 중 lastErr 초기화, discovery의 keyspaceState 누수, etcd2topo 락 정리 RPC 범위 제한, vttablet Stream의 스키마 덮어쓰기 문제.
원문

Vitess

Storage & Data2026년 6월 25일

v23.0.5는 버그 수정 중심의 패치 릴리스로, 보안 수준 강화 2건(심각도 medium)이 포함됩니다. 연결 풀링, 쿼리 플래닝, VReplication, VTOrc, 토폴로지, 백업/복구 전반에 걸쳐 수정이 이뤄졌으며 API, 설정, 기본값 변경은 없습니다.

  • security정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교

    정적 gRPC 인증 플러그인이 이제 비밀번호 비교에 일정 시간(constant-time) 알고리즘을 사용합니다. 정적 gRPC 인증을 쓰는 모든 배포에 적용됩니다.

  • securitytwopcz 핸들러의 반사 입력 이스케이프 처리

    twopcz 디버그 핸들러가 폼 입력값을 이스케이프 처리하여 반사형 입력 삽입을 차단합니다. twopcz 핸들러 엔드포인트에 접근 가능한 배포에 적용됩니다.

주요 변경 (7)
  • 보안 수정 2건(심각도 medium): 정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교, twopcz 핸들러의 반사 입력 이스케이프.
  • smartconnpool 연결 생명주기 버그 다수 수정: 만료된 대기자에 반환된 연결이 전달되는 문제, MaxLifetime 지터, reopen 후 refresh 워커 소실, 유휴 reopen 중단, close 데드락, 닫힌 풀에서 SetCapacity 거부 처리.
  • VTOrc의 forgetAliases 캐시 초기화 데이터 레이스, PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 간 데드락, errant GTID 해소 후 CurrentErrantGTIDCount 게이지가 초기화되지 않는 버그를 각각 수정.
  • VReplication 바이너리로그에서 DECIMAL JSON 값(예: 0.1)의 선행 0 보존 및 불필요한 선행 0 제거 처리가 이전 수정에서 누락된 케이스까지 완전히 적용.
  • VTGate 플래너가 DML IN/NOT IN 서브쿼리를 ListArg 플레이스홀더로 올바르게 대체하도록 수정; Filter 스트리밍 경로의 ToBoolean() 오류 수정 및 OLAP/스트리밍 모드 prepared statement 전용 플랜 생성 추가.
  • vstream StopOnReshard의 reshard 수렴 시 행 현상 수정, 교체된 태블릿의 취소된 연결 확인에서 발생하는 오래된 헬스체크 업데이트 제거.
  • 그 외: mysqlctl 원격 종료 타임아웃 전파 오류, Discovery keyspaceState 누수, etcd2topo 잠금 획득 정리 RPC 무한 증가, vttablet Stream의 비-키스페이스 필드 스키마 덮어쓰기 버그 수정.
원문

Rook

Storage & Data2026년 6월 17일

Rook v1.20.1은 Ceph 연산자 안정성에 중점을 둔 패치 릴리스입니다. Ceph CSI 드라이버 호환성, OSD 메이저 버전 관리, CSI-addons 기본 비활성화로 예기치 않은 동작을 줄였습니다.

  • breakingCSI-addons 기본 비활성화 — 클러스터 종속성 확인 필수

    v1.20.1에서 CSI-addons(스냅샷, 클론, 확장 기능)이 기본적으로 비활성화됩니다. 워크로드가 이 기능에 의존 중이면 Ceph 클러스터 spec에서 명시적으로 활성화해야 합니다. 활성화하지 않으면 RWX 볼륨 스냅샷과 클론이 실패합니다. 업그레이드 전에 Helm 값과 연산자 설정을 검토하고 필요시 addons를 활성화하세요.

  • enhancement노드 라벨로 OSD 디바이스 클래스 할당 — 수동 맵핑 대체

    각 노드마다 디바이스 클래스를 하드코딩하는 대신 Kubernetes 노드 라벨(예: `disk-type: ssd`)을 사용하여 OSD를 자동으로 분류할 수 있습니다. 혼합 하드웨어 클러스터 확장이 간단해집니다. 노드 라벨을 적용한 후 Ceph 클러스터 spec에서 참조하여 노드별 설정 편차를 피하세요.

  • enhancementCeph 메이저 업그레이드 후 require-osd-release 자동 설정

    Ceph 메이저 버전 업그레이드(예: Quincy에서 Reef로) 후 Rook이 `require-osd-release`를 자동으로 설정하여 구 OSD가 클러스터 준비 전에 다시 합류하는 것을 방지합니다. 업그레이드 전에 모든 OSD를 함께 업데이트할 수 있는지 확인하세요. 일부 OSD를 구 버전으로 고정했다면 고정을 해제할 때까지 합류가 차단됩니다.

주요 변경 (5)
  • Helm 차트에 Rook 호환 Ceph CSI 드라이버 값 추가됨
  • Ceph 메이저 업그레이드 후 OSD require-osd-release 자동 설정으로 버전 불일치 방지
  • CSI-addons는 기본적으로 비활성화되어 의도하지 않은 기능 활성화 방지
  • 노드 라벨을 이용한 OSD 디바이스 클래스 할당 지원으로 수동 설정 단순화
  • 사용하지 않는 MDS, RGW pod disruption budget 자동 삭제로 클러스터 운영 차단 회피
원문

Rook

Storage & Data2026년 6월 17일

Rook v1.19.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Rook

Storage & Data2026년 6월 3일

Rook v1.20은 CSI 드라이버 관리를 Ceph CSI 오퍼레이터로 이관하는 breaking change를 포함하며, 암호화 OSD 자동 리사이즈, Vault Agent SSE-S3 지원, 동시 클러스터 조정 안정화도 함께 제공됩니다.

  • breaking업그레이드 전에 CSI 설정 마이그레이션 경로를 먼저 정리하세요

    기존 클러스터는 업그레이드 후에도 이전 CSI 설정이 그대로 유지되지만, 이후 변경은 반드시 Ceph-CSI OperatorConfig와 Driver CR로 처리해야 합니다. Helm 사용자는 ceph-csi-drivers 차트가 오퍼레이터 설정을 담당하고, 커스텀 이미지는 rook-ceph 차트 values에 남습니다. 업그레이드 전에 현재 CSI 커스터마이징 항목을 미리 정리해두지 않으면, 나중에 설정 변경이 필요할 때 당황하게 됩니다.

  • enhancement커스텀 CRUSH 룰이 있다면 업그레이드 전에 반드시 확인하세요

    이제 mgr 시작 시 미사용 CRUSH 룰이 자동으로 삭제됩니다. 페일오버나 수동 배치용으로 의도적으로 남겨둔 CRUSH 룰이 있다면, 업그레이드 전에 오퍼레이터 configmap에 ROOK_DELETE_UNUSED_CRUSH_RULES=false를 설정하세요. 필요한 순간에 CRUSH 룰이 사라져 있는 상황은 최악의 타이밍에 터집니다.

  • enhancement다중 CephCluster 운영 환경이라면 동시 조정 기능을 활성화하세요

    ROOK_RECONCILE_CONCURRENT_CLUSTERS가 stable로 승격됐습니다. 단일 오퍼레이터로 여러 CephCluster를 관리하는 환경에서는 이 설정을 켜면 조정 병목이 해소됩니다. 기존에는 느린 클러스터 하나가 전체 조정을 막는 문제가 있었는데, 멀티테넌트나 멀티클러스터 구성에서 특히 체감 차이가 큽니다.

주요 변경 (5)
  • Breaking: CSI 설정이 Rook 오퍼레이터 configmap 및 Helm 차트에서 제거됨 — 신규 설치 시 Ceph-CSI OperatorConfig/Driver CR 사용 필수
  • encryptedDevice: true 설정의 호스트 기반 OSD, 디스크 리사이즈 시 자동 확장 지원 (non-PVC 클러스터 한정)
  • CephObjectStore에서 HashiCorp Vault Agent 인증 기반 SSE-S3 서버 측 암호화 지원 추가
  • ROOK_RECONCILE_CONCURRENT_CLUSTERS(다중 클러스터 동시 조정) 기능이 안정(stable) 상태로 승격
  • 미사용 CRUSH 룰이 mgr 시작 후 기본적으로 삭제됨 — 유지하려면 ROOK_DELETE_UNUSED_CRUSH_RULES=false 설정 필요
원문

Longhorn

Storage & Data2026년 6월 2일

Longhorn v1.12.0은 V2 Data Engine을 GA로 승격하고, 듀얼스택·IPv6 지원을 추가하며, 연쇄 볼륨 분리를 유발하던 instance-manager 패닉과 복제본 스케줄링 버그를 수정했습니다.

  • breaking업그레이드 전 V2 Backing Image 볼륨 반드시 마이그레이션

    Backing Image로 생성된 V2 볼륨은 인플레이스 업그레이드가 불가합니다. v1.12.0으로 업그레이드하기 전, 해당 볼륨을 백업하고 삭제한 뒤 백업에서 복원하세요. 복원된 볼륨은 backing image 의존성이 없습니다. 이 과정을 건너뛰면 업그레이드 후 볼륨 연결이 실패합니다. 향후 VM 디스크 이미지 임포트는 CDI를 사용하세요.

  • breakingV2 볼륨은 패치 업그레이드 전 반드시 분리 필요

    V2 볼륨은 v1.12.x 패치 릴리스 간 라이브 업그레이드를 지원하지 않습니다. 패치 업그레이드 적용 전 모든 V2 볼륨을 분리할 유지보수 시간을 확보하세요. v1.12에서 v1.13으로의 마이너 버전 라이브 업그레이드는 계획 중이지만 아직 지원되지 않습니다.

  • breaking암호화 볼륨 라이브 마이그레이션 전 엔진 이미지 업그레이드 필요

    암호화 볼륨의 LUKS2 헤더 사전 할당 수정으로 제약이 생겼습니다. 암호화된 마이그레이터블 볼륨의 라이브 마이그레이션은 CLI API 버전 12 이상의 엔진 이미지가 필요합니다. 라이브 마이그레이션 시도 전 엔진 이미지를 v1.12.0 이상으로 업그레이드하세요.

  • enhancement기존 V2 배포의 SPDK CPU 할당량 검토 권장

    기본 CPU 마스크가 1코어에서 2코어로 변경됐습니다. 수동으로 단일 코어를 설정해 V2 볼륨을 운영 중인 클러스터는 코어 수 증가를 검토하세요. 단일 코어 환경에서 고부하 I/O가 발생하면 RPC 기아와 운영 불안정이 생깁니다. ARM64에서 NVMe 백엔드 노드 디스크를 쓰는 경우, I/O 멈춤 버그가 해결될 때까지 멀티코어 SPDK 설정을 피하고 AIO 백엔드 디스크를 사용하세요.

  • enhancement듀얼스택 활성화 전 노드 IP 패밀리 순서 반드시 확인

    듀얼스택 Kubernetes 클러스터를 지원하지만, 모든 노드의 IP 패밀리 순서가 동일해야 합니다(전체 IPv4 우선 또는 전체 IPv6 우선). 활성화 전 노드 네트워크 설정을 점검하세요. 노드 간 순서가 혼재하면 복제본-엔진 간 연결 장애가 발생하는데, 오류 메시지만 봐서는 원인을 파악하기 어렵습니다.

주요 변경 (6)
  • V2 Data Engine GA 승격 — 단, v1.12 패치 릴리스 간 라이브 업그레이드는 볼륨 분리 후 진행해야 하며 라이브 업그레이드는 v1.13부터 지원 예정
  • V2 Backing Image 제거 — 업그레이드 전 백업/복원으로 마이그레이션 필요, 미이행 시 볼륨 연결 실패 발생
  • SPDK 기본 CPU 마스크가 1코어(0x1)에서 2코어(0x3)로 변경 — 고부하 I/O 환경에서의 RPC 기아 현상 방지 목적
  • csi-allowed-topology-keys 설정과 strictTopology StorageClass 파라미터로 토폴로지 인식 PV 프로비저닝 지원 추가
  • CSIStorageCapacity 버그 수정 — 컴퓨트 전용 노드가 0 용량을 보고해 WaitForFirstConsumer 스케줄링을 차단하던 문제 해결
  • 복제본 리빌드 폭주 시 instance-manager 패닉 수정 — 다수 PVC에 걸친 연쇄 볼륨 분리 현상 제거
원문

Rook

Storage & Data2026년 5월 28일

Rook v1.19.6은 OSD 디바이스 클래스 처리, Prometheus 메트릭 라벨링, 네트워크 계층 의존성 취약점을 다루는 제한된 범위의 패치 릴리스입니다. 이미 운영 중인 Ceph 클러스터의 운영 안정성 개선에 중점을 두었습니다.

  • securitygolang.org/x/net 취약점 패치

    Rook v1.19.6은 golang.org/x/net을 두 번 업데이트합니다(govulncheck CI 실패 및 GO-2026-5026 해결). 높은 트래픽 환경이나 신뢰할 수 없는 네트워크 입력을 처리하는 Rook을 운영 중이라면, golang.org/x/net 권고사항에서 구체적 취약점을 확인하세요. 1.19.6으로 업그레이드하면 패치된 의존성을 상속받습니다. Rook 인스턴스가 신뢰할 수 없는 소스에 네트워킹 로직을 노출한다면 지연하지 말고 업그레이드하세요.

  • enhancementraw-mode에서 OSD 디바이스 클래스 감지 수정

    OSD 디바이스 클래스 처리가 raw-mode prepare 및 reconcile 작업에서 올바르게 작동합니다(#17407). 빠른 스토리지(NVMe)와 느린 스토리지(HDD)를 분리하기 위해 디바이스 클래스를 사용 중이라면, 업그레이드 후 OSD 토폴로지가 올바른 디바이스 클래스를 반영하는지 확인하세요. `ceph osd crush tree`를 확인하고 OSD 가중치 분배를 검토하여 배치 규칙이 의도대로 작동하는지 확인하세요.

  • enhancementPrometheus 메트릭에 cluster 라벨 추가

    Prometheus 스크레이프 메트릭에 upstream Ceph 규칙의 `cluster` 라벨이 포함됩니다(#17544). 여러 Ceph 클러스터에서 Rook 메트릭을 수집한다면, 이 라벨 추가로 메트릭 카디널리티가 개선되고 충돌이 방지됩니다. 기존 라벨 세트에 의존하는 Prometheus 규칙, 대시보드, 알림을 업데이트하세요. 프로덕션 외 환경에서 먼저 테스트하여 PromQL 쿼리 오류를 잡으세요.

주요 변경 (8)
  • upstream Ceph 변경사항에 맞춰 Prometheus 규칙 업데이트; 모든 스크레이프 메트릭에 cluster 라벨 추가
  • OSD 디바이스 클래스가 raw-mode prepare 및 reconcile에서 인식됨
  • golang.org/x/net 패치로 네트워크 계층 취약점 해결(GO-2026-5026)
  • 래핑된 컨텍스트 deadline 오류 발생 시 자체 서명 인증서 생성 재시도 로직 추가
  • 모니터 상태 확인 반복마다 노드 존재 여부 확인
  • cmd-reporter 파드에 기본 ResourceRequirements 추가
  • dmcrypt 경로에 대한 암호화 라벨 감지 개선
  • rook-ceph-exporter의 DNS 정책 수정
원문

Rook

Storage & Data2026년 5월 28일

Rook v1.18.11은 liveness probe 안정성, OSD 디스크 처리, CSI priority class 할당을 개선합니다. 주요 breaking change는 없지만 CSI 컴포넌트 수정으로 포드 스케줄링이 바뀔 수 있습니다.

  • breakingCSI priority class 이름 수정

    CSI provisioner와 plugin priority class 이름이 이전 v1.18.x 릴리스에서 바뀌어 있었습니다(PR #17361). CSI priority class를 커스텀으로 설정했다면 업그레이드 후 PVC와 plugin pod를 확인하세요. 이제 올바른 priority class가 올바른 컴포넌트에 적용되므로 스토리지 워크로드의 스케줄링 동작이 바뀔 수 있습니다.

  • enhancementLiveness probe 스크립트 형식 개선

    Rook v1.18.11은 liveness probe 스크립트에서 줄바꿈을 제거했습니다(PR #17420). Ceph 클러스터의 liveness probe가 불안정하거나 포드가 자주 재시작된다면 즉시 업그레이드하세요. 공백 문제가 probe 출력 파싱을 방해할 수 있습니다. breaking change는 없지만 운영 중 노이즈를 제거할 수 있습니다.

  • enhancement강제 OSD 설치를 위한 디스크 zapping

    디스크 zapping 기능(PR #17533)을 통해 강제 OSD 설치 시 디바이스를 명시적으로 제어할 수 있습니다. 기존 노드에 스토리지를 추가하거나 실패한 OSD 슬롯을 복구 중이라면 v1.18.11로 업데이트한 후 OSD 검색 워크플로우를 검토하세요. 이제 이전에 사용된 디스크에 수동 개입 없이 강제 설치할 수 있습니다.

주요 변경 (5)
  • 강제 OSD 설치를 위한 디스크 zapping으로 스토리지 복구 단순화
  • Liveness probe 스크립트 줄바꿈 제거로 포드 재시작 감소
  • CSI provisioner와 plugin priority class 이름 정정
  • Go-jose 라이브러리 4.1.3에서 4.1.4로 업데이트
  • 오래된 PgHealthyRegex 문서 참조 수정
원문

Harbor

Storage & Data2026년 5월 11일

Harbor v2.14.4는 세션 관리 버그, 스캐너 API 오류, DockerHub 토큰 인증 문제를 수정한 패치 릴리스로, Go 1.25.9 업그레이드와 보안 의존성 패치가 포함됩니다.

  • securitygo-jose 및 OTel SDK 보안 패치 포함 — 즉시 업그레이드 권장

    go-jose/go-jose와 go.opentelemetry.io/otel/sdk 패키지가 명시적으로 업데이트됐는데, 이런 경우 대부분 CVE 대응입니다. 외부 트래픽에 노출된 Harbor 인스턴스나 민감한 레지스트리 자격증명을 다루는 환경이라면 우선 적용하세요. v2.14.3에서 v2.14.4는 패치 버전 업그레이드라 호환성 위험이 낮습니다.

  • breaking세션 동작 변경 — 운영 배포 전 SSO 및 장기 세션 테스트 필수

    백그라운드 탭을 열어둔 상태에서 세션이 자동 유지되던 동작이 이번 수정으로 사라집니다. 설정된 세션 타임아웃대로 만료되므로, Harbor config의 세션 만료 시간을 재확인하고 사용자에게 변경된 동작을 사전 공지한 뒤 운영 환경에 적용하세요.

  • enhancementDockerHub 복제가 실패 중이라면 이 패치로 해결됩니다

    DockerHub API 변경 이후 복제 실패가 발생했다면 /v2/auth/token 엔드포인트 수정으로 해결됩니다. 업그레이드 후 DockerHub 복제 규칙을 수동으로 실행해 복제 작업 로그를 확인하세요. 자격증명 없이 배포 인스턴스를 편집할 때 발생하던 버그도 함께 수정됐으니 관련 설정도 재검증하세요.

주요 변경 (5)
  • 백그라운드 폴링이 세션 TTL을 갱신하지 않도록 수정 — 의도치 않은 세션 연장 방지
  • SessionRegenerate의 저장 인자 및 유효기간 처리 오류 수정
  • DockerHub 복제 어댑터가 /v2/auth/token 엔드포인트를 사용하도록 변경 — 허브 이미지 복제 실패 해결
  • 스캐너 API 버그 수정 — Trivy 등 Harbor API 연동 스캐너에 영향
  • Go 1.25.9 업그레이드, photon:5.0 베이스 이미지 적용, go-jose 및 OpenTelemetry SDK 의존성 버전 업
원문

Vitess

Storage & Data2026년 5월 8일

Vitess v24.0.1은 VTGate 쿼리 플래너의 DML 서브쿼리 버그 수정, 문제가 있던 VTOrc 플래그 되돌리기, VTTablet 불안정 테스트 해결에 집중한 패치 릴리스입니다.

  • breakingVTOrc --cells-to-watch 플래그 설정에서 제거하세요

    #19354에서 추가된 'cells to watch' 플래그가 이번 릴리스에서 완전히 롤백됐습니다. v24.0.0 업그레이드 후 VTOrc 설정이나 시작 스크립트에 해당 플래그를 추가했다면, v24.0.1로 올리기 전에 반드시 제거해야 합니다. 그렇지 않으면 VTOrc가 알 수 없는 플래그 오류로 기동에 실패합니다.

  • enhancementVTGate를 통해 DML 서브쿼리를 쓴다면 즉시 업그레이드하세요

    DML 문(INSERT/UPDATE/DELETE) 안의 IN/NOT IN 서브쿼리에서 플래너 버그가 있었습니다. 병합된 서브쿼리가 ListArg 플레이스홀더로 정상 치환되지 않아 잘못된 쿼리 결과가 나올 수 있었는데, 이번 패치로 수정됐습니다. VTGate를 통해 서브쿼리가 포함된 DML을 실행하는 환경이라면 빠른 업그레이드를 권장합니다.

주요 변경 (4)
  • VTGate 플래너 수정: DML IN/NOT IN 서브쿼리가 병합 후 ListArg 플레이스홀더를 올바르게 사용하도록 수정 — 쿼리 결과 오류 가능성 차단
  • VTOrc의 'cells to watch' 플래그(#19354) 롤백 — v24.0.0에서 해당 플래그를 적용했다면 설정에서 제거 필요
  • go/mysql 및 vreplication의 불안정 단위 테스트 공통 원인 수정 — CI 안정성 향상
  • vtcombo 시작 중 종료 시 최대 10분간 멈추던 문제 해결
원문

Vitess

Storage & Data2026년 5월 7일

v23.0.4는 VTOrc·VTGate·ERS의 패닉 및 데드락, VReplication과 라우팅 규칙의 무결성 버그를 집중적으로 수정한 패치 릴리스입니다.

  • securityGo 1.25.9 업그레이드 — 커스텀 빌드 환경 확인 필요

    이번 릴리스 사이클에서 Go 런타임이 1.25.8에서 1.25.9로 올라갔습니다. 소스 빌드나 커스텀 이미지를 유지하고 있다면 go1.25.9로 재빌드해서 Go 패치 레벨의 런타임 수정사항을 반영하세요.

  • breakingERS 또는 세미싱크 복제를 사용 중이라면 즉시 업그레이드 필요

    ERS 관련 버그 세 건이 한꺼번에 수정됐습니다. errant GTID 감지 중 nil 포인터 패닉, 취소 로직 오류, 그리고 ERS 실패 후 레플리카 IO 스레드가 재시작되지 않는 문제입니다. 어느 하나라도 발생하면 페일오버 후 클러스터가 비정상 상태로 남을 수 있습니다. VTOrc로 세미싱크를 운영 중이라면 ReplicationStopped + PrimarySemiSyncBlocked 데드락 수정도 동일하게 중요합니다. 복구 자체가 완전히 멈출 수 있거든요. 늦어도 다음 유지보수 창 전에 업그레이드하세요.

  • enhancement멀티 키스페이스 환경에서 라우팅 규칙 동작 재검증 권장

    VTGate가 스키마 트래커 업데이트 후 라우팅 규칙을 재빌드하지 않고, 라우팅 규칙 AST 재작성 시 타깃 키스페이스를 유실하는 버그가 수정됐습니다. 두 버그 모두 쿼리는 성공처럼 보이지만 실제로는 엉뚱한 키스페이스로 라우팅될 수 있습니다. 멀티 키스페이스에서 라우팅 규칙을 쓰고 있다면 업그레이드 후 트래픽 경로를 반드시 검증하세요.

주요 변경 (5)
  • VTOrc: ReplicationStopped + PrimarySemiSyncBlocked 동시 복구 시 발생하던 데드락 수정
  • EmergencyReparentShard(ERS): errant GTID 감지 시 nil 포인터 패닉, reparentReplicas() 취소 로직 오류, ERS 실패 후 레플리카 IO 스레드 미재시작 수정
  • VTGate: 스키마 트래커 업데이트 후 라우팅 규칙이 재빌드되지 않던 버그, AST 재작성 시 타깃 키스페이스가 유실되던 버그 수정 — 둘 다 쿼리가 잘못된 키스페이스로 라우팅될 수 있는 조용한 결함
  • VTGate: 셧다운 이후 버퍼가 재시작되지 않도록 수정, 제어된 재시작 시 커넥션 폭증 방지
  • Go 런타임 go1.25.9로 업그레이드, vitessdriver의 바이너리 결과값 문자열 반환 회귀 수정
원문

Harbor

Storage & Data2026년 5월 6일

Harbor v2.15.1은 CVE 패치, GC 작업의 Redis 자격증명 노출 수정, 세션 TTL 갱신 버그 등 보안 및 동작 오류 수정에 집중한 패치 릴리스입니다.

  • securityGC 작업에서 Redis 자격증명 노출 — 즉시 업그레이드 및 비밀번호 교체 필요

    이전 버전에서는 GC 작업이 Redis URL(인증 정보 포함)을 extra attributes에 평문으로 저장했습니다. 이 데이터는 Harbor API를 통해 조회 가능하며 로그에도 남을 수 있습니다. Redis 인증을 사용 중이라면 기존에 수집된 GC 작업 메타데이터에 자격증명이 포함됐을 수 있으니, v2.15.1로 업그레이드한 뒤 Redis 비밀번호를 교체하세요.

  • security베이스 이미지 CVE 패치 — 다음 스캔 주기 전에 업그레이드 권장

    Photon 베이스 이미지가 CVE 수정을 위해 업데이트됐습니다. v2.15.0을 운영 중인 환경에서는 취약점 스캐너가 기존 이미지를 계속 플래그할 겁니다. 감사 이슈로 번지기 전에 v2.15.1로 업그레이드해 두세요.

  • enhancement세션 만료 동작 변경 — 유휴 사용자 로그아웃 가능성 사전 공지 필요

    UI 백그라운드 폴링이 매번 세션 TTL을 초기화하면서 실질적으로 세션이 만료되지 않는 문제가 있었습니다. 이제 설정된 유휴 시간이 지나면 세션이 정상적으로 만료됩니다. 컴플라이언스 목적으로 세션 타임아웃을 설정한 조직에는 반가운 수정이지만, 사용자들이 갑자기 로그아웃되는 상황을 겪을 수 있으니 사전에 공지하는 것이 좋습니다.

주요 변경 (5)
  • CVE 수정을 위해 Photon 베이스 이미지 업데이트, 최종적으로 goharbor/photon:5.0으로 고정
  • GC 작업의 extra attributes에서 Redis URL(자격증명 포함)이 노출되던 문제 수정
  • UI 백그라운드 폴링이 세션 TTL을 자동 갱신하던 동작 차단 — 유휴 세션이 이제 실제로 만료됨
  • DockerHub 어댑터가 bearer 토큰 획득 시 올바른 /v2/auth/token API를 호출하도록 수정
  • go-jose 및 OpenTelemetry SDK 의존성 업그레이드, Go 런타임 1.23.9로 갱신
원문

Longhorn

Storage & Data2026년 5월 5일

Longhorn v1.11.2는 컴퓨트/스토리지 분리 아키텍처에서의 CSI 스케줄링 오류, 레플리카 무한 루프, longhorn-manager 메모리 증가 문제를 수정한 안정성 패치입니다.

  • breaking컴퓨트/스토리지 분리 클러스터라면 CSI 스케줄링 설정 확인 필수

    컴퓨트 노드와 스토리지 노드를 분리 운영 중이고 WaitForFirstConsumer PVC를 사용한다면, 컴퓨트 노드가 CSI 용량을 0으로 보고하면서 Pod가 Pending 상태로 멈추는 문제가 발생했을 수 있습니다. v1.11.2로 업그레이드 후 새로 추가된 CSIStorageCapacity 설정을 조정해 비스토리지 노드에서 용량 리포팅이 발생하지 않도록 하고, 기존에 Pending 상태였던 PVC가 정상 스케줄링되는지 확인하세요.

  • breakingAuto-Balance 사용 중이라면 이번 패치 우선 적용 권장

    Replica Auto-Balance가 무한 스케줄링 루프에 진입하는 버그가 수정됐습니다. 이 문제는 CPU를 과도하게 소모하고 볼륨 운영을 불안정하게 만들 수 있습니다. Auto-Balance를 활성화한 클러스터라면 이번 릴리스를 우선 적용하세요. 업그레이드 후 별도 설정 변경은 필요 없습니다.

  • enhancement대규모 클러스터라면 longhorn-manager 메모리 개선 효과 확인

    인포머 캐싱 최적화로 longhorn-manager Pod의 메모리 사용량이 줄었습니다. 노드와 볼륨이 많은 환경일수록 체감 효과가 큽니다. 업그레이드 외에 추가 설정은 필요 없지만, 업그레이드 전후 메모리 사용량을 비교해두면 개선 효과를 수치로 확인할 수 있습니다.

주요 변경 (5)
  • CSIStorageCapacity 리포팅 제어 설정 추가 — Longhorn 디스크가 없는 컴퓨트 노드의 WaitForFirstConsumer 스케줄링 실패 해결
  • Replica Auto-Balance가 무한 스케줄링 루프에 빠지던 버그 수정
  • 불안정한 네트워크 환경에서 레플리카 리빌드 진행률이 100%를 초과하던 문제 수정
  • 클러스터 전체 인포머 캐싱 최적화로 longhorn-manager 메모리 사용량 감소
  • NFS 지연 환경에서 backup inspect 누적으로 인한 노드 리소스 고갈 문제 해결
원문

Vitess

Storage & Data2026년 4월 30일

Vitess v24는 구조화 JSON 로깅을 기본 채택하고, 샤드 키스페이스에서 윈도우 함수 푸시다운을 지원하며, 백업 MANIFEST 명령 주입 취약점을 차단합니다. 총 460개 PR이 병합됐습니다.

  • security백업 MANIFEST 명령 주입 취약점 기본 차단

    v24 이전에는 백업 스토리지 쓰기 권한을 가진 공격자가 MANIFEST 파일을 수정해 VTTablet 복구 시 임의 셸 명령을 실행할 수 있었습니다. v24부터 --external-decompressor-use-manifest 플래그 없이는 MANIFEST의 압축 해제 명령이 무시됩니다. v23 이하를 운영 중이라면 백업 스토리지 접근 제어를 보안 경계로 간주하고 쓰기 권한 보유자를 즉시 감사하세요.

  • breaking백업 복구 설정에서 MANIFEST 압축 해제 동작 확인 필요

    --external-decompressor 플래그 없이 MANIFEST에 저장된 명령으로 압축 해제에 의존하던 환경이라면, v24에서 복구 시 압축 해제가 묵시적으로 건너뛰어져 복구 자체가 실패할 수 있습니다. 기존 동작을 유지하려면 VTTablet 설정에 --external-decompressor-use-manifest를 추가하세요. 다만 보안 고려가 필요합니다 — 백업 스토리지 쓰기 권한이 있는 공격자가 임의 명령을 실행할 수 있는 경로가 됩니다. --external-decompressor로 명시적으로 전달하는 방식으로 전환하는 것이 더 안전합니다.

  • breakingVTOrc API 엔드포인트와 메트릭 참조 즉시 교체

    /api/replication-analysis는 v24에서 404를 반환합니다. 해당 URL을 호출하는 모니터링 스크립트, Grafana 대시보드, 알림 규칙이 있다면 프로덕션 배포 전에 /api/detection-analysis로 전환하세요 (파라미터와 응답 형식 동일). DiscoverInstanceTimings를 사용하는 대시보드도 DiscoveryInstanceTimings로 교체해야 합니다.

  • enhancementOpenTelemetry 트레이싱 마이그레이션은 지금 하세요

    opentracing-jaeger와 opentracing-datadog는 v24에서 지원 중단 경고가 나오고 v25에서 완전히 제거됩니다. 마이그레이션 자체는 간단합니다. --tracer opentracing-jaeger를 --tracer opentelemetry로, --jaeger-agent-host host:port를 --otel-endpoint host:4317로 바꾸면 됩니다. Jaeger v1.35 이상은 기본적으로 4317 포트에서 OTLP를 수신하고, Datadog는 Agent의 OTLP 수집 엔드포인트를 사용하면 됩니다. 이번 업그레이드 주기에 처리하는 편이 낫습니다.

  • enhancementVTOrc에 --cell 플래그 지금 추가하세요

    v24에서는 선택 사항이지만 v25부터 필수가 됩니다. 멀티셀 환경이라면 지금 추가하는 것이 좋습니다. 기동 시 토폴로지 검증으로 설정 오류를 조기에 잡을 수 있고, 향후 VTOrc의 크로스셀 복구 로직도 이 플래그를 기반으로 동작할 예정입니다. 다운타임 없이 플래그 하나로 v25 강제 변경을 미리 피할 수 있습니다.

주요 변경 (6)
  • 구조화 JSON 로깅이 기본값으로 변경 (사람이 읽기 쉬운 형식은 --log-format=text; glog는 v25에서 제거)
  • PARTITION BY 절이 유니크 vindex와 일치할 때 윈도우 함수를 샤드별로 푸시다운 가능 — 단일 샤드 라우팅 강제 해제
  • 백업 MANIFEST의 외부 압축 해제 명령을 기본적으로 무시 (보안 수정); --external-decompressor-use-manifest 플래그로 명시적 opt-in 필요
  • OpenTracing 백엔드(jaeger, datadog) 지원 중단 예고 — v25 이전에 --tracer opentelemetry로 마이그레이션 필요
  • VTOrc /api/replication-analysis 엔드포인트와 DiscoverInstanceTimings 메트릭 제거 — 대시보드 및 스크립트 즉시 업데이트 필요
  • VTGate의 --grpc-send-session-in-streaming 플래그 제거 — 스트리밍 응답에서 세션이 항상 전송됨
원문

Rook

Storage & Data2026년 4월 29일

Rook v1.19.5는 CSI 우선순위 클래스 스왑 버그, OSD CRUSH 장치 클래스 미적용, MON 드레인 안정성 등 주요 운영 버그를 수정한 패치 릴리스입니다.

  • breaking업그레이드 후 CSI 우선순위 클래스 배정 반드시 확인

    프로비저너와 플러그인 컴포넌트에 우선순위 클래스가 반대로 적용되어 왔습니다. 커스텀 우선순위 클래스를 사용 중이라면 업그레이드 후 CSI 파드에 실제로 어떤 우선순위가 적용되는지 확인하고, Helm values 파일도 의도에 맞게 재검토하세요. 스토리지 I/O 지연에 민감한 워크로드를 운영 중인 환경은 특히 주의가 필요합니다.

  • enhancementOSD 재탐색 후 CRUSH 장치 클래스 누락 문제 해결

    노드 교체나 OSD 재생성 후 장치 클래스(hdd/ssd/nvme)가 재적용되지 않아 OSD가 잘못된 CRUSH 버킷에 배치되는 문제가 있었습니다. 장치 클래스 기반 풀이나 배치 룰을 사용 중이라면 업그레이드 후 OSD 트리를 점검해 클래스 배정이 올바른지 확인하세요.

  • enhancementROOK_UNREACHABLE_NODE_TOLERATION_SECONDS를 Helm values로 관리

    기존에는 오퍼레이터 디플로이먼트를 직접 수정해야 했던 설정입니다. 이제 Helm values에서 공식적으로 지원되므로, 기존에 post-install 패치나 커스텀 매니페스트로 우회했다면 해당 설정을 values 파일로 이전하고 임시 방편을 정리하세요.

주요 변경 (5)
  • CSI: provisionerPriorityClassName과 pluginPriorityClassName이 서로 바뀌어 적용되던 버그 수정 — 커스텀 우선순위 클래스를 사용 중인 클러스터는 즉시 확인 필요
  • OSD: OSD 재탐색 시 CRUSH 장치 클래스가 무시되던 버그 수정, 데이터 배치 정책 정상 적용
  • MON: 모니터가 이미 다운된 상태에서 드레인 방지 로직 개선, 유지보수 중 스플릿 브레인 위험 감소
  • Helm: ROOK_UNREACHABLE_NODE_TOLERATION_SECONDS를 차트 values로 설정 가능해짐
  • 보안: rook-ceph-nvmeof 서비스 어카운트에 SCC 권한 부여, CSI 리소스에 Helm 소유권 어노테이션 추가
원문

Rook

Storage & Data2026년 4월 15일

Rook v1.19.4는 CephObjectStoreUser 권한 설정 버그 수정, 멀티 클러스터 RBAC 누락 패치, OSD 강제 설치 시 디스크 zap 지원을 포함한 패치 릴리스입니다.

  • breaking멀티 클러스터 환경: RBAC 수정 즉시 적용 필요

    보조 클러스터에서 ceph-mgr RBAC 역할이 누락되면 권한 오류가 조용히 발생해 진단하기 어렵습니다. 멀티 클러스터 구성을 운영 중이라면 v1.19.4로 즉시 업그레이드한 뒤 ceph-mgr 동작 상태를 확인하세요. 미루지 마세요.

  • enhancementOSD 강제 교체 시 디스크 zap 자동화

    기존에는 장애 OSD 교체 시 디스크를 수동으로 정리해야 했는데, 이제 오퍼레이터가 직접 처리합니다. OSD 교체 절차를 스크립트로 자동화해 둔 경우, 관련 런북을 검토해 중복 작업을 제거하세요.

  • enhancementRGW 서비스 레이블로 트래픽 라우팅 세밀화

    CephObjectStore RGW 서비스에 커스텀 레이블을 붙일 수 있어 서비스 메시, 로드 밸런서, 네트워크 정책 타겟팅이 정밀해집니다. 오브젝트 스토어를 여러 개 운영하거나 트래픽 제어가 필요한 환경이라면 적극 활용할 만합니다.

주요 변경 (5)
  • CephObjectStoreUser 권한(Capabilities) 설정 버그 수정
  • 보조 클러스터에서 ceph-mgr RBAC 역할 누락 문제 해결 — 멀티 클러스터 환경에서 조용히 실패하던 문제
  • OSD 강제 설치 시 디스크 zap 추가로 OSD 교체 작업 흐름 개선
  • CephObjectStore RGW 서비스에 커스텀 레이블 지원 추가
  • CSI 오퍼레이터 v0.6.0 업그레이드 및 COSI 사이드카 이미지 최신화
원문

TiKV

Storage & Data2026년 4월 14일

TiKV v8.5.6은 컬럼 수준 권한 관리, 다차원 슬로우 쿼리 규칙, FK 체크 공유 잠금 지원과 함께 crossbeam skiplist 메모리 누수, 비관적 트랜잭션 데이터 불일치 등 주요 버그 13건을 수정했습니다.

  • security컬럼 수준 권한으로 민감 데이터 격리 — 기존 권한 설정을 재검토하세요

    TiDB가 MySQL 호환 컬럼 수준 GRANT/REVOKE를 지원합니다. 지금까지 뷰(View) 기반으로 특정 컬럼(PII, 금융 데이터 등) 접근을 제한했다면 이제 권한 레이어에서 직접 제어할 수 있습니다. 민감 컬럼이 포함된 테이블을 감사하고 최소 권한 원칙에 따라 컬럼 수준 GRANT를 적용하세요. 기존 권한 감사 결과가 컬럼 수준 제어를 반영하지 못했을 수 있으므로 사용자 권한 목록을 전면 재검토할 필요가 있습니다.

  • breaking통계 Version 1 지금 바로 마이그레이션 — 다음 릴리스에서 제거됩니다

    이번 릴리스에서 tidb_analyze_version=1이 공식 deprecated 처리됐고, 향후 버전에서 제거됩니다. 모든 인스턴스에서 SHOW VARIABLES LIKE 'tidb_analyze_version'으로 현황을 확인하세요. v1을 사용 중인 경우 v2로 전환하고 해당 테이블에 ANALYZE를 다시 실행해야 합니다. Version 2는 히스토그램 정확도가 더 높고 앞으로 유일하게 지원되는 방식입니다. 제거 시점에 쫓기기 전에 미리 전환하는 게 낫습니다.

  • enhancementFK 체크 공유 잠금 활성화로 쓰기 집중 워크로드 경합 해소

    소수의 부모 테이블 행을 참조하는 자식 테이블에 고동시 INSERT/UPDATE가 발생한다면 현재 배타적 잠금 경합이 심할 겁니다. tidb_foreign_key_check_in_shared_lock=ON으로 설정하고 스테이징에서 벤치마크해 보세요. 부모 테이블에 공유 잠금을 사용하면 FK 체크가 서로를 블록하지 않습니다. 잠금 의미 구조가 바뀌는 만큼 운영 적용 전 반드시 검증이 필요합니다. 비관적 트랜잭션 환경이라면 prewrite 재시도 불일치 버그(#11187) 수정도 포함됐으므로 TiKV 노드 패치 버전을 확인하세요.

주요 변경 (6)
  • 컬럼 수준 GRANT/REVOKE 지원 — MySQL과의 오랜 권한 호환성 격차 해소
  • tidb_slow_log_rules로 인스턴스/세션/SQL 단위에서 Query_time, Digest, Mem_max, KV_total 등 복합 조건 기반 슬로우 쿼리 로그 세밀 제어 가능
  • tidb_foreign_key_check_in_shared_lock=ON 설정 시 FK 체크에 공유 잠금 사용 — 대용량 자식 테이블 동시 쓰기 경합 완화
  • TiKV에 부하 기반 컴팩션 도입 — MVCC 읽기 오버헤드를 감지해 핫 Region을 자동으로 우선 컴팩션
  • 통계 Version 1(tidb_analyze_version=1) 및 TiDB Lightning 웹 UI 지원 중단(v8.5.7에서 제거 예정)
  • crossbeam skiplist 메모리 누수, 비관적 트랜잭션 prewrite 재시도 시 데이터 불일치, 디스크 가득 찬 노드에서 팔로워 읽기 차단 등 핵심 버그 수정
원문

Rook

Storage & Data2026년 3월 25일

Rook v1.19.3은 CSI 배포 방식 변경, EC 풀 관리 개선, OSD 암호화 수정, RGW IPv6 버그 수정 등 실무에 직접 영향을 미치는 패치들을 담고 있습니다.

  • breakingCSI 배포 방식이 ceph-csi-operator로 전환 — 기존 커스터마이징 확인 필수

    이번 변경으로 Ceph-CSI/NVMe-oF 배포가 ceph-csi-operator를 통해 관리됩니다. ceph-csi-operator는 자체 CRD와 reconcile 루프를 갖기 때문에, 기존에 CSI DaemonSet이나 Deployment에 직접 적용한 커스텀 설정이 업그레이드 후 덮어써질 수 있습니다. 업그레이드 전에 CSI 관련 설정을 검토하고, 필요한 커스터마이징은 operator 방식에 맞게 재적용 계획을 세우세요.

  • enhancement암호화 OSD 운영 중이라면 lockbox 키 로테이션 수정 즉시 적용을

    암호화 OSD의 lockbox 키 로테이션 버그는 시간이 지남에 따라 암호화 상태가 불일치할 수 있는 문제였습니다. 암호화 OSD를 사용 중이라면 v1.19.3으로 업그레이드한 뒤 키 로테이션이 정상 동작하는지 확인하세요. OSD 교체나 키 로테이션 작업 중 이상 동작을 경험했다면 더욱 서둘러 적용할 필요가 있습니다.

  • enhancementIPv6 환경의 RGW 사용자라면 시크릿 재생성 필요

    오브젝트 스토어 사용자 시크릿에 IPv6 주소가 잘못된 형식으로 저장되는 버그가 수정되었습니다. IPv6 전용 또는 dual-stack 환경에서 RGW를 운영 중이라면, 업그레이드 후 영향받는 오브젝트 스토어 사용자를 재생성하거나 reconcile하여 올바른 형식의 시크릿이 적용되도록 하세요.

주요 변경 (5)
  • CSI 배포가 직접 관리 방식에서 ceph-csi-operator 방식으로 전환, ceph-csi 이미지 v3.16.2로 업데이트
  • Erasure-coded 풀 처리 개선: 삭제 시 EC 프로파일 정리, reconcile 후 ready 상태 정확히 반영, EC 데이터 풀 미러링 스킵
  • ceph-exporter에 포트 설정 기능 추가 및 reconcile 시 orphaned 배포 자동 정리
  • OSD 디스크 정리 시 devlinks 확인 추가, 암호화 OSD의 lockbox 키 로테이션 버그 수정
  • RGW: IPv6 시크릿 형식 오류 수정, shared pools zone JSON 지원, zone/sharedPools reconcile 순서 보장
원문

Rook

Storage & Data2026년 3월 25일

Rook v1.18.10은 OSD 안정성 버그 수정, RBAC 권한 축소, Ceph 익스포터 및 NFS 운영 개선에 집중한 패치 릴리스입니다.

  • security업그레이드 후 Rook RBAC 확인 필요 — nodes/proxy 권한 삭제됨

    오퍼레이터의 nodes/proxy RBAC 권한이 제거됐습니다. Rook 오퍼레이터 ServiceAccount에 해당 권한이 있다고 가정하는 커스텀 모니터링 도구나 파이프라인이 있다면 업그레이드 후 조용히 깨질 수 있습니다. 프로덕션 적용 전에 오퍼레이터 ServiceAccount를 사용하는 도구와 대시보드를 먼저 점검하세요.

  • breaking암호화 OSD 사용 클러스터는 업그레이드 후 키 로테이션 검증 필요

    암호화 OSD의 lockbox 키 로테이션 로직이 변경됐습니다. 비프로덕션 환경에서 먼저 업그레이드한 뒤 키 로테이션이 정상 동작하는지 직접 확인하세요. CephX 키 초기화 시 실패해도 기존 키를 보존하는 동작 변경도 에러 복구 시나리오에 영향을 줄 수 있으므로, 기존에 문서화된 장애 복구 절차도 함께 재검증하는 것이 좋습니다.

  • enhancementCephNFS에서 커스텀 이미지 지정 가능 — 매니페스트 업데이트 고려

    spec.server.image와 spec.server.imagePullPolicy 필드가 새로 생겨서 CephNFS 리소스별로 NFS Ganesha 이미지를 직접 지정할 수 있습니다. 규정 준수 목적으로 이미지를 고정하거나 패치된 이미지를 테스트해야 할 때 유용합니다. 기존에 우회 방법을 쓰고 있었다면 CephNFS 매니페스트를 정리할 좋은 시점입니다.

주요 변경 (5)
  • reconcile 시 고아 상태의 ceph-exporter 디플로이먼트 자동 정리
  • RBAC에서 nodes/proxy 권한 제거 — 오퍼레이터의 클러스터 권한 범위 축소
  • 암호화 OSD의 lockbox 키 로테이션 로직 수정
  • CephX 키 초기화 시 실패해도 기존 키를 덮어쓰지 않도록 변경
  • CephNFS에 spec.server.image 및 spec.server.imagePullPolicy 필드 추가
원문

Harbor

Storage & Data2026년 3월 20일

Harbor v2.15.0은 프록시 캐시 연결 제한, 엔드포인트별 CA 인증서, Cosign v3 지원과 함께 베어러 토큰 보안 취약점 수정 및 Trivy 공급망 사고 대응 업데이트를 포함합니다.

  • security즉시 업그레이드 필요: Trivy 공급망 사고 및 베어러 토큰 우회 취약점

    이번 릴리스에 보안 이슈 두 건이 포함되어 있습니다. Trivy 공급망 사고로 인해 v0.69.3으로 긴급 업데이트됐으므로, 다음 스캔 실행 전에 반드시 적용해야 합니다. 베어러 토큰 수정은 프로젝트 생성 이전에 발급된 토큰을 거부하는 인가 우회 패치입니다. 두 이슈 모두 정기 유지보수를 기다리지 말고 빠르게 업그레이드하는 것을 권장합니다.

  • breakingGCR 복제 어댑터 제거 — 업그레이드 전 기존 복제 규칙 마이그레이션 필수

    Google Container Registry 어댑터가 완전히 제거됐습니다. GCR을 대상으로 하는 복제 규칙이 있다면 업그레이드 후 조용히 실패하게 됩니다. v2.15.0 업그레이드 전에 해당 규칙을 Artifact Registry(GAR) 엔드포인트로 전환하세요. GCR을 바라보는 프록시 캐시 프로젝트도 동일하게 재구성이 필요합니다.

  • enhancement프록시 캐시 업스트림 연결 수 제한으로 레이트 리밋 충돌 방지

    새로운 `max_upstream_conn` 파라미터로 프록시 캐시 프로젝트별 아웃바운드 연결 수를 조절할 수 있습니다. Docker Hub처럼 레이트 리밋이 있는 레지스트리나 자체 호스팅 레지스트리를 풀스루 캐시로 사용 중이라면, 업그레이드 후 UI나 API로 프로젝트별 연결 수를 적절히 설정하세요.

주요 변경 (7)
  • 프록시 캐시 프로젝트에 `max_upstream_conn` 파라미터 추가 — UI에서 업스트림 연결 수를 제한할 수 있음
  • 레지스트리 엔드포인트별 CA 인증서 지원 추가 — 커스텀 PKI를 사용하는 사설 레지스트리 환경에 유용
  • 프로젝트 생성 이전에 발급된 베어러 토큰을 거부하도록 수정 — 인가 우회 취약점 패치
  • Trivy 공급망 사고 이후 v0.69.3으로 긴급 업데이트
  • Cosign v3 Bundle 서명 형식 지원 추가, Harbor 릴리스 아티팩트에 Cosign 키리스 서명 적용
  • GCR 복제 어댑터 제거 — Google Cloud Registry 계정 종료에 따른 조치
  • 초기화 시 감사 로그 DB 저장 비활성화 옵션 추가 — 고부하 환경에서 DB 쓰기 부담 감소
원문

Longhorn

Storage & Data2026년 3월 13일

Longhorn v1.11.1은 인스턴스 매니저 파드의 심각한 메모리 누수와 S3 호환 스토리지 백업 실패 문제를 해결한 중요한 패치 릴리스로, v1.11.0 사용자에게는 긴급 업그레이드가 필요합니다.

  • security백업 복원 기능 손상

    AWS SDK v2 인증 문제로 S3 호환 백업 대상(Storj, GCS)이 실패했습니다. 업그레이드 후 백업 및 복원 워크플로를 테스트하세요. 특히 비 AWS S3 엔드포인트를 사용하는 경우 큰 백업 전송이 성공적으로 완료되는지 확인하세요.

  • breakingv1.11.0 사용자 긴급 업그레이드 필요

    인스턴스 매니저 파드에서 높은 메모리 사용량을 경험하는 v1.11.0 사용자는 즉시 업그레이드해야 합니다. 메모리 누수는 클러스터 불안정성과 파드 축출을 야기할 수 있습니다. 업그레이드 점검 시간을 계획하고 롤아웃 중 메모리 사용량을 모니터링하세요.

  • enhancement토폴로지 인식으로 스케줄링 개선

    새로운 CSI 토폴로지 인식 nodeAffinity 제어로 더 나은 볼륨 배치가 가능합니다. 멀티존 배포와 특정 노드 스케줄링 요구사항에 맞춰 allowedTopologies와 strictTopology 설정을 활용하도록 스토리지 클래스 구성을 검토하세요.

주요 변경 (5)
  • 프록시 연결 누수로 인한 longhorn-instance-manager 파드의 심각한 메모리 누수 문제 해결
  • Storj, GCS 등 S3 호환 스토리지 백업 실패를 야기한 AWS SDK v2 호환성 문제 해결
  • V2 데이터 엔진의 빠른 레플리카 리빌드 및 클론 기능 개선
  • 더 나은 스케줄링을 위한 CSI 토폴로지 인식 PV nodeAffinity 제어 기능 추가
  • 동일 노드의 다중 레플리카로 인한 스토리지 중복 계산 및 스케줄링 실패 문제 해결
원문

Dragonfly

Storage & Data2026년 3월 12일

Dragonfly v2.4.3은 의존성 업데이트와 보안 패치에 집중한 순수 유지보수 릴리스로, 사용자 기능 변경사항은 없습니다.

  • security정기 보안 업데이트 적용

    이번 패치 릴리스에는 보안 수정사항이 포함될 수 있는 의존성 업데이트가 들어있습니다. 다음 유지보수 시간에 Dragonfly 배포를 v2.4.3으로 업데이트하세요. 호환성을 깨뜨리는 변경이나 설정 업데이트 없이 원활한 업그레이드가 가능합니다.

  • enhancementOpenTelemetry 업데이트로 관찰 가능성 향상

    OpenTelemetry 라이브러리가 v0.63.0에서 v0.67.0로 업데이트되면서 더 나은 트레이싱 기능을 제공합니다. Dragonfly와 함께 분산 트레이싱을 사용하고 있다면 업그레이드 후 개선된 트레이스 수집과 오버헤드 감소를 경험할 수 있습니다.

주요 변경 (5)
  • 관찰 가능성 개선을 위해 OpenTelemetry 라이브러리를 v0.63.0에서 v0.67.0로 업데이트
  • GitHub CI/CD 워크플로우용 Docker 액션을 v4.0.0로 업그레이드
  • oauth2 및 sys 패키지를 포함한 Golang 시스템 의존성 업그레이드
  • 최신 API 호환성을 위해 d7y.io/api를 v2.2.24로 업데이트
  • 오래된 이슈 관리를 위한 GitHub Actions 의존성 갱신
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.13.5는 더 엄격한 bearer 토큰 검증과 감사 로그에서 민감한 설정 데이터 제거를 통해 보안을 강화했습니다.

  • securityBearer 토큰 보안 강화로 인한 기존 통합 검토 필요

    프로젝트 생성 이전에 발급된 bearer 토큰을 거부하게 되어 기존 통합에서 문제가 발생할 수 있습니다. Harbor를 인증하는 CI/CD 파이프라인과 자동화 스크립트를 점검하여 업그레이드 후 토큰을 재생성하도록 설정하세요.

  • enhancement감사 로그 정리로 보안 태세 개선

    설정 payload가 더 이상 감사 로그에 기록되지 않아 민감한 설정 노출이 줄어들었습니다. 로그 모니터링과 컴플라이언스 프로세스를 검토하여 로그의 설정 데이터에 의존하지 않고도 필요한 보안 이벤트를 계속 포착할 수 있는지 확인하세요.

  • enhancement업데이트된 Trivy로 최신 취약점 정의 제공

    Trivy v0.69.3에는 새로운 취약점 데이터베이스와 탐지 규칙이 포함되어 있습니다. 컨테이너 이미지를 다시 스캔하여 이전 스캔에서 감지되지 않은 새로 발견된 취약점을 식별하세요.

주요 변경 (5)
  • 민감한 데이터 노출 방지를 위해 설정 감사 로그에서 payload 제거
  • 프로젝트 생성 이전에 발급된 bearer 토큰을 거부하여 토큰 보안 강화
  • 최신 취약점 탐지를 위해 Trivy 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 보안 패치를 위해 Go 런타임 및 베이스 컨테이너 이미지 업그레이드
  • 새로운 Docker 버전과의 호환성을 위해 CI 파이프라인 수정
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.14.3은 bearer 토큰 검증 관련 중요한 보안 수정사항과 Trivy 스캐너 0.69.3 버전 업데이트를 제공하여 인증 메커니즘을 강화하고 취약점 탐지 기능을 최신 상태로 유지합니다.

  • securitybearer 토큰 수정을 위해 즉시 업데이트

    Harbor가 프로젝트 생성 전에 발급된 bearer 토큰을 허용하는 보안 결함을 수정했습니다. 토큰 기반 인증을 사용한다면 무단 프로젝트 접근을 막기 위해 v2.14.3을 즉시 배포하세요.

  • enhancement업데이트된 Trivy 스캐닝 활용

    Trivy v0.69.3에는 최신 취약점 데이터베이스와 탐지 기능이 포함되어 있습니다. 업그레이드 후 중요한 이미지들을 재스캔하여 이전 버전에서 놓쳤던 새로운 취약점을 찾아보세요.

  • enhancement감사 로그 구성 검토 필요

    자격 증명 노출을 막기 위해 구성 감사 로그에서 민감한 페이로드 데이터가 제거되었습니다. 이 변경 후에도 로그 모니터링 도구가 필요한 보안 이벤트를 여전히 캡처하는지 확인하세요.

주요 변경 (5)
  • 프로젝트 생성 전에 발급된 bearer 토큰 거부하는 보안 수정
  • Trivy 취약점 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 구성 감사 로그에서 민감한 페이로드 데이터 제거
  • 보안 강화를 위한 베이스 이미지 새로고침 및 Go 의존성 업데이트
  • GitHub Actions 워크플로를 ubuntu-latest 러너로 마이그레이션
원문

Dragonfly

Storage & Data2026년 3월 9일

Dragonfly v2.4.2는 gRPC 속도 제한과 스케줄러 클러스터 구성 기능을 추가하면서 보안 점수를 개선하고 여러 구성 불일치 문제를 수정했습니다.

  • breaking필드명 변경에 따른 구성 파일 업데이트

    rateLimit 구성 필드가 bandwidthLimit으로 변경되었습니다. 구성 파일을 확인하고 새로운 명명 규칙을 사용하도록 모든 참조를 업데이트해서 구성 파싱 오류를 방지하세요.

  • enhancement프로덕션 환경에서 gRPC 속도 제한 구성

    새로운 gRPC 속도 제한 기능은 리소스 고갈 공격으로부터 보호해줍니다. 현재 트래픽 패턴을 검토하고 Dragonfly 구성에서 적절한 속도 제한을 설정해서 부하 상황에서 서비스 성능 저하를 방지하세요.

  • enhancement새로운 스케줄러 클러스터 관리 활용

    스케줄러 클러스터 해제 등록 지원으로 배포 스크립트에서 적절한 클러스터 생명주기 관리를 구현하세요. 이를 통해 클러스터 상태를 유지하고 고아 스케줄러가 성능에 영향을 주는 것을 방지할 수 있습니다.

주요 변경 (5)
  • 리소스 고갈 방지를 위한 gRPC 서버 요청 속도 제한 추가
  • 더 나은 클러스터 관리를 위한 스케줄러 클러스터 해제 등록 지원 도입
  • 향상된 피어 연결성을 위한 시드 클라이언트 구성 지원 추가
  • 일관성을 위한 구성 명명 리팩터링 (rateLimit → bandwidthLimit)
  • 보안 패치를 위한 API v2.2.14 업그레이드 및 다양한 종속성 업데이트
원문

Vitess

Storage & Data2026년 2월 27일

백업 MANIFEST 파일 취약점과 관련된 두 개의 중요한 CVE를 해결한 보안 중심 릴리스로, 임의 명령 실행 및 경로 순회 공격을 방지합니다.

  • securityCVE-2026-27965 및 CVE-2026-27969에 대한 즉시 업그레이드 필요

    두 개의 중요한 CVE로 인해 백업 저장소 쓰기 권한을 가진 공격자가 임의 명령을 실행하고 경로 순회 공격을 수행할 수 있습니다. 즉시 v22.0.4로 업그레이드하고 신뢰할 수 있는 주체만 쓰기 권한을 갖도록 백업 저장소 접근 제어를 검토하세요.

  • security백업 저장소 접근 권한 감사 및 보안 강화

    이러한 취약점은 백업 저장소에 대한 쓰기 권한이 필요하므로, 백업 위치에 대한 쓰기 권한을 가진 주체를 검토하세요. 적절한 접근 제어를 구현하고 가능한 경우 변조를 방지하기 위해 불변 백업 저장소 사용을 고려하세요.

  • breakingMANIFEST 기반 압축 해제기 사용 시 VTTablet 구성 업데이트

    MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 무시됩니다. 복원 프로세스가 이 동작에 의존하는 경우 VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가하되, 이로 인해 보안 위험이 다시 발생할 수 있음을 이해하세요.

주요 변경 (4)
  • 백업 MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 더 이상 사용되지 않음
  • MANIFEST 파일 수정을 통한 경로 순회 공격 방지
  • MANIFEST 기반 압축 해제기에 대한 명시적 선택을 위한 --external-decompressor-use-manifest 플래그 추가
  • 보안 중심 개선사항이 포함된 37개의 병합된 풀 리퀘스트
원문

Vitess

Storage & Data2026년 2월 27일

Vitess v23.0.3은 백업 복원 취약점과 관련된 두 개의 CVE를 해결하는 중요한 보안 릴리스이며, 외부 압축 해제기 처리에 중단 변경사항이 포함되어 있습니다.

  • security백업 보안을 위한 즉시 업그레이드 필요

    이번 릴리스는 백업 스토리지에 쓰기 권한을 가진 공격자가 임의 명령어를 실행하거나 경로 탐색 공격을 수행할 수 있는 중요한 취약점(CVE-2026-27965, CVE-2026-27969)을 수정합니다. Vitess 백업을 사용하는 경우, 특히 백업 스토리지가 침해될 수 있는 환경에서는 즉시 업그레이드하시기 바랍니다. 백업 스토리지 액세스 제어를 검토하고 최근 백업 작업에서 의심스러운 활동이 있는지 감사하시기 바랍니다.

  • breaking외부 압축 해제기를 위한 VTTablet 구성 업데이트 필요

    백업/복원 프로세스가 MANIFEST 파일에 정의된 외부 압축 해제기에 의존하는 경우, VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가해야 합니다. 이 플래그 없이는 MANIFEST에서 지정된 압축 해제기에 의존하는 복원이 실패할 수 있습니다. 백업 전략을 검토하고 더 나은 보안을 위해 MANIFEST 파일에 의존하는 대신 압축 해제기 명령어를 명시적으로 구성하시기 바랍니다.

  • enhancement백업 보안 체계 강화

    이번 기회에 백업 보안 관행을 검토하고 강화하시기 바랍니다. 백업 스토리지에 엄격한 액세스 제어를 구현하고, 최소 권한을 가진 전용 서비스 계정을 사용하며, 백업 스토리지 암호화를 고려하시기 바랍니다. 새로운 보안 모델은 더 나은 격리를 제공하지만 백업 메타데이터를 신뢰하는 대신 압축 해제 도구의 명시적 구성이 필요합니다.

주요 변경 (5)
  • 백업 MANIFEST 파일의 외부 압축 해제기 명령어가 복원 시 기본적으로 사용되지 않음
  • MANIFEST 기반 압축 해제기 사용을 명시적으로 선택할 수 있는 --external-decompressor-use-manifest 플래그 추가
  • 백업 복원 중 임의 파일 쓰기를 방지하는 경로 탐색 공격 보호 기능 구현
  • 백업 보안 취약점과 관련된 CVE-2026-27965 및 CVE-2026-27969 수정
  • 보안 개선에 중점을 둔 22개의 병합된 풀 리퀘스트
원문

Rook

Storage & Data2026년 2월 25일

Rook v1.19.2는 Ceph 운영자에 대한 버그 수정 및 기능 추가에 중점을 둔 패치 릴리스로, CSI 이미지 업데이트, OSD 멀티패스 수정, NVMeOF 개선사항이 포함되었습니다.

  • enhancement버그 수정을 위한 CSI 컴포넌트 업데이트

    Ceph CSI 3.16.1 업데이트에는 중요한 수정사항이 포함되어 있습니다. 향상된 스토리지 프로비저닝 안정성과 버그 수정의 혜택을 받기 위해 유지보수 시간을 계획하여 Rook 배포를 업데이트하십시오.

  • enhancement멀티패스 스토리지 구성 검토

    OSD에 메타데이터 장치가 있는 멀티패스 장치를 사용하는 경우, 이번 릴리스에서 배포 문제가 수정되었습니다. OSD 변경은 민감할 수 있으므로 먼저 스테이징 환경에서 업그레이드를 테스트하십시오.

  • enhancement새로운 ObjectStore 사용자 관리 활용

    ObjectStoreUserSpec의 새로운 OpMask 필드는 RADOS Gateway 사용자에 대한 더 세분화된 권한 제어를 허용합니다. 현재 사용자 구성을 검토하고 적절한 곳에 더 제한적인 권한 구현을 고려하십시오.

주요 변경 (5)
  • 스토리지 프로비저닝 개선을 위한 Ceph CSI 이미지 3.16.1 버전 업데이트
  • 메타데이터 장치가 있는 멀티패스 장치에서 OSD 배포 문제 수정
  • 더 나은 RADOS Gateway 사용자 관리를 위한 ObjectStoreUserSpec OpMask 필드 추가
  • 토폴로지 분산 제약 조건 및 확장 필드 업데이트를 통한 NVMeOF 게이트웨이 개선
  • Ceph 익스포터 파드의 로그 수집 기능 향상
원문