릴리즈
CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.
OpenKruise v1.9.0은 워크로드 기능을 여럿 추가하고, ImagePullJob CPU 급등·SidecarSet 패닉 등 프로덕션에서 실제로 문제가 됐던 버그들을 다수 수정했습니다.
breakingmaxUnavailable/maxSurge 문자열 값, 이제 webhook에서 거부됨
maxUnavailable: '5'처럼 정수를 따옴표로 감싼 문자열 형식은 이제 admission webhook에서 거부됩니다. CloneSet 스펙이나 Helm 차트에서 이런 방식으로 값을 지정하고 있다면 업그레이드 후 배포가 막힙니다. v1.9.0 업그레이드 전에 관련 매니페스트를 미리 점검하세요.
enhancementImagePullJob CPU 스파이크 수정 — 대규모 클러스터라면 업그레이드 우선 검토
reconcile이 연쇄적으로 증폭되면서 controller-manager CPU가 급등하는 버그가 있었습니다. 원인 불명의 CPU 압박을 겪고 있었다면 이 버그일 가능성이 높습니다. v1.9.0으로 올리면 별도 설정 변경 없이 해결됩니다.
enhancementCloneSet progressDeadlineSeconds·OnDelete 전략 활용 검토
CloneSet에 progressDeadlineSeconds가 추가되어 롤아웃이 멈췄을 때 자동으로 감지할 수 있습니다. 지금까지는 외부 모니터링 없이는 stuck 상태를 잡기 어려웠는데 이 필드로 해결됩니다. OnDelete 전략은 수동 업그레이드 제어가 필요한 팀에 유용합니다. CloneSet으로 카나리·단계적 배포를 운영 중이라면 두 옵션 모두 검토해 볼 만합니다.
주요 변경 (5)
- ImagePullJob: 연쇄 reconcile 증폭으로 인한 CPU 스파이크 수정, 노드별 동시성 제어 추가 — 대규모 이미지 풀 환경에서 특히 중요
- SidecarSet: Pod 삭제 시 패닉 및 null pointer 접근 버그 수정, 컨테이너 순서 주입·shareVolumeDevicePolicy 지원 추가
- CloneSet: progressDeadlineSeconds·OnDelete 업데이트 전략 추가, CloneSetEventHandlerOptimization 활성 시 라이프사이클 훅 누락 버그 수정
- UnitedDeployment: ReserveUnschedulablePods 기능 추가 — 스케줄 불가 Pod를 교체하지 않고 유지
- PodUnavailableBudget이 Pod RESIZE 액션을 보호 — in-place 수직 스케일링 사용 시 유용
Helm v3.21.2는 Kubernetes v1.36 클라이언트 라이브러리를 업데이트합니다. Kubernetes v1.36 클러스터와의 호환성을 유지하기 위한 정기 패치이므로 업그레이드하세요.
enhancementKubernetes v1.36을 운영 중이면 v3.21.2로 업그레이드
Helm v3.21.2는 Kubernetes 클라이언트 라이브러리(client-go)를 v1.36 API에 맞춰 업데이트했습니다. 이미 Kubernetes v1.36 클러스터를 운영한다면 Helm을 v3.21.2로 업그레이드해 완전한 호환성을 확보하고 클라이언트-서버 버전 차이로 인한 문제를 피하세요. 이전 Kubernetes 버전을 사용 중인 팀은 즉시 업그레이드할 필요는 없지만, 일관성 유지 차원에서 권장합니다.
주요 변경 (3)
- Kubernetes 클라이언트 라이브러리를 v1.36으로 업데이트
- Helm 3.22.0이 Helm 3의 마지막 기능 릴리스가 될 예정
- 3.21.3은 버그 수정만 포함
Lima v2.1.3은 보안 패치 중심 릴리스입니다. QEMU VM 내 권한 상승(CVE-2026-53657)과 containerd 다수 CVE를 수정했으니 즉시 업그레이드해야 합니다.
securityQEMU 권한 상승(CVE-2026-53657) 즉시 패치
QEMU 기반 Lima VM에서 비특권 사용자가 게스트 에이전트 소켓을 통해 VM 내 root를 획득할 수 있는 취약점입니다. 여러 사용자가 VM을 공유하거나 신뢰할 수 없는 워크로드를 실행 중이라면 우선순위가 높습니다. v2.1.3으로 업그레이드하고 영향받는 VM을 재시작하세요.
securitynerdctl v2.3.3에 포함된 containerd CVE 5건 패치 필요
containerd v2.3.2에서 CVE 5건이 수정됐고, 이번 Lima 릴리스에 nerdctl v2.3.3으로 번들됩니다. Lima VM에서 컨테이너 워크로드를 실행 중이라면 기존 버전의 containerd가 노출된 상태입니다. Lima를 업그레이드한 뒤 VM을 재시작하거나 재생성해 새 nerdctl 바이너리가 반영되도록 하세요.
breaking비Linux 게스트에서 containerd.user 기본값 변경 확인 필요
macOS, Windows 게스트에서 containerd.user=true가 더 이상 자동으로 설정되지 않습니다. 명시적 설정 없이 rootless containerd를 사용하던 환경이라면 업그레이드 후 VM 설정을 확인하고, 필요하면 containerd.user=true를 명시적으로 지정하세요.
주요 변경 (5)
- CVE-2026-53657 수정: QEMU 게스트 에이전트 소켓을 통해 VM 내 임의 사용자가 root 권한 획득 가능했던 문제 해결
- nerdctl을 v2.3.3으로 업데이트, 내부적으로 containerd v2.3.2를 포함해 CVE-2026-50195 등 5개 CVE 패치
- 기본 템플릿 이미지가 ubuntu-25.10에서 ubuntu-26.04로 변경
- 비Linux 게스트(macOS, Windows)에서 containerd.user가 더 이상 기본값 true로 설정되지 않음
- copytool auto 모드에서 원본과 대상이 모두 원격일 경우 scp로 폴백
containerd v2.1.9은 CVE 5건을 수정한 보안 패치 릴리스입니다. containerd 2.1.x를 운영 중이라면 즉시 업그레이드 계획을 세우세요.
securityCVE 5건 패치 — containerd 2.1.x 즉시 업그레이드
이번 릴리스에서 containerd 자체 CVE 5건을 수정했습니다. 어드바이저리가 아직 공개되지 않아 심각도를 확인할 수 없지만, 패치 릴리스 하나에 CVE가 5건이면 빠르게 대응해야 합니다. Kubernetes 노드 이미지, 관리형 노드 그룹, bare-metal CRI 환경 모두 이번 주 안에 업그레이드 일정을 잡으세요.
securityrunc v1.3.6 확인 — containerd 업그레이드만으로는 부족할 수 있음
이번 릴리스에 포함된 runc 바이너리는 v1.3.6입니다. runc를 containerd와 별도로 관리하는 환경(Kubernetes 노드에서 흔한 구성)이라면, containerd를 올려도 runc는 그대로입니다. 별도 설치된 runc가 v1.3.6 이상인지 직접 확인하세요.
enhancement체크포인트 복원 로직 강화 — CRIU 사용 환경은 복원 동작 검증 필요
CRI 체크포인트/복원과 관련해 세 가지가 바뀌었습니다. 예상치 못한 아카이브 내용을 거부하고, 복원된 체크포인트의 재태깅을 건너뛰며, CDI 어노테이션을 필터링합니다. CRIU 기반 라이브 마이그레이션을 쓰는 팀은 업그레이드 후 복원 워크플로우를 반드시 테스트해 기존 동작에 영향이 없는지 확인하세요.
주요 변경 (5)
- CVE 5건 패치: CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262
- runc v1.3.6으로 업데이트
- Go 런타임 1.26.4 / 1.25.11로 업데이트
- CRI 체크포인트 복원 시 CDI 어노테이션 필터링 추가
- openBoundedUserFile에서 사용자 DB 파일 읽기 크기 제한 적용
containerd 1.7.33은 containerd 자체 CVE 2건과 go-jose CVE 1건을 패치하고, runc를 v1.3.6으로, Go 런타임을 업데이트했습니다. 업그레이드 이유는 보안 패치가 전부입니다.
securityCVE 3건 수정 — 1.7.33으로 바로 업그레이드
containerd 본체에서 CVE-2026-53488과 CVE-2026-47262, go-jose에서 CVE-2026-34986이 수정됐습니다. 세부 내용은 GitHub 보안 어드바이저리를 확인하세요. containerd 1.7.x를 운영 중이라면 이전 패치 버전에 머물 이유가 없으므로 즉시 업그레이드하는 것이 좋습니다.
security이미지 config에서 예약 레이블 전파 차단
이미지 config에 포함된 reserved label이 외부로 전파되지 않도록 수정됐습니다. 레이블 기반 접근 제어나 정책 적용을 운영 중이라면 업그레이드 후 동작을 검증하고, CVE-2026-47262 어드바이저리에서 영향 범위를 확인하세요.
enhancementrunc v1.3.6 반영 확인 필요
containerd에 번들된 runc가 v1.3.6으로 올라갔습니다. runc를 별도로 관리하는 환경이라면 설치된 버전이 v1.3.6 이상인지 확인해 containerd와 버전을 맞추세요.
주요 변경 (5)
- containerd 코어 CVE-2026-53488, CVE-2026-47262 패치
- go-jose CVE-2026-34986 대응으로 go-jose/v3 v3.0.5로 업그레이드
- runc 바이너리 v1.3.6으로 업데이트
- Go 런타임 1.26.4 / 1.25.11로 업데이트
- openBoundedUserFile에서 사용자 DB 파일 읽기 크기 제한 추가(하드닝)
containerd v2.0.10은 CVE-2026-53488, CVE-2026-47262 두 건의 취약점을 수정하고 runc를 v1.3.6으로 올렸습니다. 2.0.x를 운영 중이라면 즉시 업그레이드하세요.
securityCVE 두 건 수정 — 즉시 업그레이드
CVE-2026-53488과 CVE-2026-47262가 이번 릴리스에서 함께 수정됐습니다. 각 어드바이저리(GHSA-xhf5-7wjv-pqxp, GHSA-jpcc-p29g-p8mq)에서 영향 범위를 확인하세요. containerd 2.0.x를 운영 중인 노드는 노출 여부를 따지기 전에 v2.0.10으로 먼저 올리는 것이 맞습니다. 런타임 레벨 취약점이라 영향 범위가 넓을 수 있습니다.
securityrunc v1.3.6으로 업데이트
containerd에 포함된 runc 바이너리가 v1.3.6으로 올라갔습니다. v1.3.4, v1.3.5의 수정 사항도 포함됩니다. runc를 패키지 매니저 등으로 별도 관리하는 경우, containerd 업그레이드와 별개로 runc 버전도 v1.3.6에 맞춰 확인하세요.
enhancement이미지 config의 reserved 레이블 전파 차단
컨테이너 실행 시 containerd의 reserved 레이블이 이미지 config에서 더 이상 전파되지 않습니다. 실행 중인 컨테이너의 레이블을 읽는 자동화 도구를 운영 중이라면, 업그레이드 후 동작을 확인하세요. 조용한 동작 변경이라 레이블 기반 로직에 영향을 줄 수 있습니다.
주요 변경 (5)
- CVE-2026-53488 패치 (GHSA-xhf5-7wjv-pqxp 참고)
- CVE-2026-47262 패치 (GHSA-jpcc-p29g-p8mq 참고)
- runc v1.3.6으로 업데이트
- Go 런타임 1.26.4/1.25.11로 업데이트
- 사용자 DB 파일 읽기에 상한 적용, 이미지 config의 reserved 레이블 전파 차단
containerd 2.3.2는 CVE 5건을 포함한 보안 패치와 런타임 안정성 수정이 핵심입니다. 2.3.x를 운영 중이라면 즉시 업그레이드하세요.
securityCVE 5건 패치 — 2.3.x 노드 즉시 업그레이드 필요
이번 릴리스에서 containerd 코어 관련 CVE가 한 번에 5건 패치됐습니다. 어드바이저리가 아직 전부 공개되지 않았지만, 한 패치 릴리스에 5건이 몰린 만큼 노출 범위가 작지 않습니다. 2.3.x를 운영 중인 팀은 다음 정기 점검을 기다리지 말고 containerd 바이너리를 2.3.2로, runc는 v1.4.3으로 함께 업그레이드하세요. 노드 프로비저닝 파이프라인도 버전을 맞춰 업데이트하세요.
enhancement이미지 풀 시 일시적 네트워크 오류 재시도 지원
마지막으로 설정된 레지스트리 호스트에서 일시적 네트워크 오류가 발생할 때 자동으로 재시도하도록 resolver가 수정됐습니다. 별도 설정 변경 없이 적용되며, 네트워크 불안정 환경에서 간헐적 이미지 풀 실패를 겪었다면 이 패치로 개선될 수 있습니다.
enhancement느린 컨테이너 생성 시 RPC 타임아웃 실패 수정
runc shim이 runc create 호출 전체를 서비스 락을 잡은 채로 실행하면서, 컨테이너 생성이 느릴 때 동시 RPC 타임아웃이 발생해 시작에 실패하는 문제가 있었습니다. 부하가 걸린 상태에서 컨테이너가 시작되지 않거나 멈추는 증상을 겪었다면 이번 패치로 해결될 가능성이 높습니다.
주요 변경 (5)
- CVE 5건 패치 (CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262) — 상세 내용은 GitHub Security Advisories 참고
- runc v1.4.3, Go 1.26.4로 업데이트
- golang.org/x/crypto v0.49.0 → v0.53.0 및 기타 golang.org/x 의존성 일괄 업데이트
- Windows 환경에서 shim 로그 읽기 시 발생하던 데이터 레이스 수정
- 컨테이너 생성이 느릴 때 동시 RPC 타임아웃으로 시작 실패하던 문제 수정
containerd 2.2.5는 5개의 CVE를 수정하고 runc를 v1.3.6, Go를 1.26.4/1.25.11로 올린 보안 중심 패치 릴리스입니다. 2.2.x를 운영 중이라면 빠른 업그레이드가 필요합니다.
securityCVE 5건 패치 — 2.2.x 노드 즉시 업그레이드 필요
이번 릴리스는 containerd 자체에서 발견된 CVE 5건을 수정합니다. 각 취약점 상세 내용은 공개된 보안 어드바이저리를 참고하세요. 2.2.x를 운영 중인 클러스터는 2.2.5로 업그레이드해야 합니다. runc도 v1.3.6으로 올라갔으므로, 배포 전에 runc 릴리스 노트도 함께 확인하세요.
securitygolang.org/x/crypto 등 x/ 라이브러리 대폭 업데이트 — 커스텀 플러그인 빌드 시 재빌드 필요
golang.org/x/crypto가 v0.45.0에서 v0.53.0으로, golang.org/x/net이 v0.47.0에서 v0.55.0으로 올라갔습니다. containerd를 벤더링하거나 라이브러리를 직접 참조해 플러그인을 빌드하고 있다면, 의존성을 다시 vendor하고 재빌드하세요. crypto 범위 내에는 여러 보안 수정이 포함되어 있습니다.
enhancement체크포인트/복원 사용 시 이번 릴리스 우선 적용 권장
CRI 체크포인트 복원 관련 버그 3건이 한꺼번에 수정됐습니다. CDI 어노테이션이 복원 시 제대로 필터링되고, 복원된 체크포인트가 잘못 재태깅되는 문제가 없어졌으며, 비정상적인 아카이브 콘텐츠에 대한 처리도 강화됐습니다. 프로덕션에서 컨테이너 체크포인트/복원을 쓰고 있다면 업그레이드 우선순위를 높이세요.
주요 변경 (5)
- CVE 5건 패치: CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262
- runc 바이너리를 v1.3.6으로 업데이트
- Go 런타임을 1.26.4/1.25.11로 업데이트
- golang.org/x/crypto v0.45.0 → v0.53.0 등 x/ 계열 의존성 전체 업데이트
- CRI 체크포인트 복원 안정성 개선: CDI 어노테이션 필터링, 재태깅 버그 수정, 비정상 아카이브 처리 강화
Argo CD 3.4.4는 헬스 체크, RBAC, diff, 템플릿 렌더링 안정성 개선에 초점을 맞춘 패치 릴리스입니다. 다중 네임스페이스 구성이나 Dex 인증을 사용한다면 업그레이드하세요.
breaking다중 네임스페이스 RBAC 회귀 수정
이전 릴리스에서 다중 네임스페이스 아키텍처의 프로젝트 범위 리소스에 대한 RBAC 제어가 깨졌습니다. 이 패치가 정상 동작을 복구합니다. 여러 네임스페이스에 걸쳐 프로젝트 수준 RBAC 제한을 사용 중이라면 업그레이드 후 접근 제어가 올바르게 작동하는지 확인하세요. 특히 프로젝트 범위 리소스 가시성을 점검하세요.
enhancement헬스 체크 안정성 개선
PromotionStrategy 헬스 체크가 no-op 재생성 후 잘못된 Progressing 상태를 보고하여 배포를 차단했습니다. 이제 고쳐졌습니다. PromotionStrategy를 사용 중이면 업그레이드하여 수동 개입이 필요한 고착 상태를 피하세요.
enhancement서버측 diff 회귀 복구
최근 변경으로 새 객체에 대한 서버측 diff가 깨져 에러가 발생했습니다. 이 패치가 diff 기능을 복구합니다. 배포 파이프라인에서 서버측 diff를 의존 중이라면(특히 새 리소스의 경우) 이 업데이트를 적용하여 정상 동작을 되돌리세요.
주요 변경 (5)
- PromotionStrategy 헬스 체크 회귀 수정 - Progressing 상태에 갇히던 리소스 복구
- 다중 네임스페이스 배포에서 프로젝트 범위 RBAC 회귀 수정
- 새 객체에 대한 diff 에러 수정
- 달러 기호가 포함된 Dex 비밀번호 파싱 수정
- ApplicationSet RenderGeneratorParams의 cross-generator Values 템플릿 해석 수정
Argo CD v3.3.12는 동기화 상태 추적, 클러스터 옵저버 락, 설정 파싱, Git 저장소 깊이 처리를 수정한 유지보수 릴리스입니다. Breaking 변경은 없습니다.
securityDex 인증에서 특수문자를 포함한 암호 처리
Dex 암호 파싱 시 달러 기호가 포함된 암호를 처리하지 못해 사용자 로그인이 차단될 수 있었습니다. Dex OIDC를 사용하고 최근 특수문자가 포함된 암호를 설정했거나 변경했다면 v3.3.12로 즉시 업그레이드하여 접근을 복구하세요. 업그레이드 후 Dex 로그인을 테스트하세요.
enhancementArgo Rollouts 사용 시 PromotionStrategy 상태 고정 해결
Argo Rollouts를 사용하고 PromotionStrategy를 쓰는 경우, 설정 리로드 후 변경이 없더라도 애플리케이션이 Progressing 상태에 남아 있을 수 있었습니다. v3.3.12로 업데이트하여 이 문제를 해결하세요. 업그레이드 후 애플리케이션 상태가 정상화되었는지 확인하세요.
주요 변경 (5)
- 공(no-op) 리하이드레이션 이후 PromotionStrategy 상태가 Progressing에서 해제됨
- 클러스터 인포머에 락 추가로 동시 접근 문제 방지
- 달러 기호를 포함한 Dex 암호 파싱 수정
- 변경 감지 및 fetch 작업에서 Git 저장소 깊이 설정 반영
- 정규화에서 실시간 상태 제외로 정확도 개선
Helm v4.2.2는 WaitForDelete의 조기 종료 수정사항을 되돌렸습니다. 상태 감시 레이스 컨디션을 해결하기 위한 한 줄짜리 패치입니다.
breakingWaitForDelete 레이스 컨디션 재도입—테스트 스위트 행(hang) 현상 복귀 가능성
이전에 수정된 WaitForDelete의 레이스 컨디션(상태 감시자가 워치를 조기에 취소하는 문제)이 v4.2.2에서 되돌려졌습니다. Helm 테스트 스위트를 광범위하게 실행하거나 WaitForDelete 동작에 의존 중이라면 업그레이드 후 간헐적인 행(hang) 또는 타임아웃이 다시 나타날 수 있습니다. 업그레이드 후 테스트 실행에서 불안정성을 모니터링하세요. 향후 패치에서 적절한 수정이 나올 가능성이 높으므로, v4.2.2에 오래 머물지 마세요.
주요 변경 (2)
- WaitForDelete의 조기 종료 수정사항을 되돌림—전체 테스트 스위트 실행 중 간헐적 실패 유발
- 상태 감시자가 워치를 조기에 취소하는 레이스 컨디션 재도입
Prometheus v3.5.4는 보안 패치 릴리스입니다. STACKIT SD의 시크릿 노출 버그를 고쳤고, Go 및 UI 의존성 여러 개에서 CVE를 패치했습니다. 빠른 업그레이드가 필요합니다.
securitySTACKIT SD 사용 중이라면 자격증명 즉시 교체
/-/config 엔드포인트가 STACKIT SD 시크릿을 평문으로 노출하고 있었습니다. STACKIT SD를 쓰는 인스턴스에서 /-/config가 관리자 외에 접근 가능했다면 해당 자격증명이 유출됐다고 보고 즉시 교체해야 합니다. v3.5.4로 업그레이드한 뒤 /-/config 엔드포인트에 인증을 적용하세요.
securityGo CVE 세 건 패치 — 노출된 인스턴스라면 즉시 업그레이드
GO-2026-5026, GO-2026-4918, GO-2026-4985가 golang.org/x/net v0.55.0, OpenTelemetry v1.43.0 업그레이드로 수정됩니다. 외부 트래픽을 받는 Prometheus 인스턴스를 운영 중이라면 다음 정기 점검 때까지 미루지 말고 이번 패치를 먼저 적용하세요.
enhancementghcr.io에서도 이미지 직접 pull 가능
Prometheus 컨테이너 이미지가 이제 ghcr.io/prometheus/prometheus에도 게시됩니다. Docker Hub 속도 제한이나 접근 문제가 있는 환경이라면 이미지 소스를 ghcr.io로 전환하는 것을 검토하세요.
주요 변경 (4)
- STACKIT SD가 /-/config 엔드포인트를 통해 시크릿을 평문으로 노출하던 문제 수정 (GHSA-39j6-789q-qxvh)
- golang.org/x/net 및 OpenTelemetry 버전 업그레이드로 GO-2026-5026, GO-2026-4918, GO-2026-4985 패치
- react-router-dom, vite, vitest, postcss 등 UI 의존성 보안 업데이트
- 컨테이너 이미지가 ghcr.io에도 게시되기 시작
Strimzi 1.0.1은 CVE 두 건을 패치하고, Entity Operator의 cross-namespace 감시 기능을 기본 비활성화로 변경했습니다. v1 CRD만 지원하는 정책은 1.0.0에서 이어집니다.
securityCVE 두 건 수정 — 빠른 업그레이드 권장
CVE-2026-55225와 CVE-2026-55226이 1.0.1에서 수정됐습니다. 패치 릴리스 한 번에 CVE 두 건이 포함된 만큼, 정기 유지보수 시점을 기다리지 말고 업그레이드를 우선시하는 게 낫습니다. 세부 내용은 Strimzi 보안 어드바이저리를 확인하세요.
breakingwatchedNamespace 사용 중이라면 환경 변수 설정 필수
Kafka CR의 Entity Operator 섹션에 watchedNamespace를 Kafka 클러스터와 다른 네임스페이스로 설정해 두었다면, 업그레이드 후 Topic/User Operator가 해당 네임스페이스를 감시하지 않습니다. Cluster Operator 디플로이먼트에 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED=true를 추가해야 합니다. 설정 누락 시 토픽·유저 reconciliation이 조용히 멈추므로, 모든 네임스페이스의 Kafka CR을 미리 확인하세요.
breaking업그레이드 전 CRD를 반드시 v1로 변환
1.0.1은 v1 CRD만 인식합니다. 1.0.0으로의 마이그레이션 때 변환을 건너뛰었거나 구버전에서 직접 올린다면, 오퍼레이터 매니페스트를 적용하기 전에 Strimzi 1.0.1 배포 가이드의 CRD 변환 절차를 먼저 실행하세요. 변환 없이 오퍼레이터를 배포하면 reconciliation이 실패합니다.
주요 변경 (4)
- v1beta2, v1beta1, v1alpha1 CRD API 버전이 모두 제거됨 — 업그레이드 전 CRD 변환 필수
- CVE-2026-55225, CVE-2026-55226 두 건 패치
- Entity Operator cross-namespace 감시 기능이 기본 비활성화로 변경됨
- 새 환경 변수 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED로 해당 기능을 명시적으로 켜야 함
wasmCloud 2.4.0은 WorkloadDeployments 자동 스케일링을 추가하고, 아키텍처 지원을 확대하며(s390x), wash CLI와 호스트 플러그인 API를 개선합니다. 대체로 운영상 이점이 있는 점진적 개선입니다.
enhancement변동 트래픽을 다루는 WorkloadDeployment는 자동 스케일링 활성화하기
wasmCloud 2.4.0에서 WorkloadDeployments 자동 스케일링을 지원합니다. 현재 고정 레플리카 개수로 운영하면서 피크 시간이나 배치 처리 윈도우처럼 수요가 변동한다면, 자동 스케일링을 활성화하여 수동 조정과 유휴 비용을 줄일 수 있습니다. Helm 차트나 YAML 매니페스트에서 자동 스케일링 설정을 검토하고, 프로덕션 배포 전에 스테이징 환경에서 임계값을 테스트하세요.
enhancements390x나 다른 비x86 시스템에 배포하는 경우 wash CLI 업데이트하기
wash가 이제 s390x-unknown-linux-gnu용으로 빌드됩니다. IBM 메인프레임이나 s390x 시스템을 운영 중이라면, 에뮬레이션이나 우회책 없이 wash를 네이티브로 빌드하고 실행할 수 있습니다. 릴리스 애셋에서 새 바이너리를 받아 호스트 설정과 호환되는지 확인하세요.
enhancement컨테이너 헬스 체크 설정을 검토하여 NATS 연결 상태 활용하기
컨테이너 헬스 체크가 이제 별도 프로브 대신 NATS 연결 상태를 사용합니다. 장애 감지가 단순해집니다. 컨테이너가 NATS 연결을 잃으면 더 빠르게 unhealthy로 표시됩니다. 특히 지연 시간이 크거나 네트워크가 혼잡하여 NATS 재연결이 오래 걸릴 수 있는 환경에서는 헬스 체크 임계값과 타임아웃을 확인하세요.
주요 변경 (5)
- WorkloadDeployments 자동 스케일링으로 수동 크기 조정 대신 수요 기반 스케일링 가능.
- wash CLI가 s390x-unknown-linux-gnu 빌드를 지원하여 하드웨어 플랫폼 범위 확대.
- wash-runtime 리팩터링으로 호스트 플러그인 API 사용성 개선.
- 컨테이너 헬스 체크가 NATS 연결 상태 기반으로 작동하여 더 정확한 장애 감지.
- 단일 워크로드가 여러 주제에서 수신할 수 있는 다중 구독 워크로드 지원.
v1.18.0은 OIDC 인증 우회와 preshared key 타이밍 취약점 두 가지 보안 버그를 수정합니다. MySQL 사용자는 스키마 마이그레이션으로 인해 업그레이드 전 유지보수 시간을 반드시 확보해야 합니다.
securityOIDC audience 우회 취약점 — 업그레이드 전 설정 확인 필수
authn.oidc.audience를 설정하지 않으면 JWT audience 검증이 무음으로 건너뛰어졌고, 신뢰된 issuer가 발급한 모든 토큰이 수락됐습니다. 업그레이드 후에는 issuer와 audience가 모두 없으면 서버가 기동하지 않습니다. 배포 설정에 authn.oidc.audience가 명시돼 있는지 미리 확인하세요.
securityPreshared key 타이밍 사이드채널 수정 — 키 교체 고려
기존 map lookup 기반 preshared key 검증은 응답 시간 차이로 유효한 키 바이트를 추측할 수 있었습니다. 이제 constant-time 비교로 수정됐습니다. 즉각적인 조치는 불필요하지만, 이 키가 신뢰할 수 없는 네트워크 경로에 오랫동안 노출됐다면 키를 교체하는 것이 좋습니다.
breakingMySQL 사용자: 서버 기동 시 auto-migration 실행 금지
마이그레이션 008은 tuple 및 changelog 테이블에 공유 락을 획득합니다. 데이터가 많은 프로덕션 환경에서는 Write 작업이 장시간 차단될 수 있습니다. collation_migrations.md 운영 가이드를 먼저 읽고, 유지보수 시간을 잡아 마이그레이션을 수동으로 실행하세요. auto-migration 옵션은 반드시 끄세요.
주요 변경 (4)
- MySQL 스키마 마이그레이션 008: 식별자 비교를 대소문자 구분(case-sensitive)으로 변경, tuple·changelog 테이블에 공유 락(shared lock) 획득
- Preshared key 인증에 constant-time 비교 도입 — 이전 map lookup 방식의 타이밍 사이드채널 차단
- OIDC 설정 검증 강화: authn.oidc.issuer 또는 authn.oidc.audience 누락 시 서버 기동 거부, 기존의 JWT audience 조용한 우회 방지
- MySQL 식별자 비교 동작이 Postgres·SQLite와 동일하게 대소문자 구분으로 통일
Rook v1.20.1은 Ceph 연산자 안정성에 중점을 둔 패치 릴리스입니다. Ceph CSI 드라이버 호환성, OSD 메이저 버전 관리, CSI-addons 기본 비활성화로 예기치 않은 동작을 줄였습니다.
breakingCSI-addons 기본 비활성화 — 클러스터 종속성 확인 필수
v1.20.1에서 CSI-addons(스냅샷, 클론, 확장 기능)이 기본적으로 비활성화됩니다. 워크로드가 이 기능에 의존 중이면 Ceph 클러스터 spec에서 명시적으로 활성화해야 합니다. 활성화하지 않으면 RWX 볼륨 스냅샷과 클론이 실패합니다. 업그레이드 전에 Helm 값과 연산자 설정을 검토하고 필요시 addons를 활성화하세요.
enhancement노드 라벨로 OSD 디바이스 클래스 할당 — 수동 맵핑 대체
각 노드마다 디바이스 클래스를 하드코딩하는 대신 Kubernetes 노드 라벨(예: `disk-type: ssd`)을 사용하여 OSD를 자동으로 분류할 수 있습니다. 혼합 하드웨어 클러스터 확장이 간단해집니다. 노드 라벨을 적용한 후 Ceph 클러스터 spec에서 참조하여 노드별 설정 편차를 피하세요.
enhancementCeph 메이저 업그레이드 후 require-osd-release 자동 설정
Ceph 메이저 버전 업그레이드(예: Quincy에서 Reef로) 후 Rook이 `require-osd-release`를 자동으로 설정하여 구 OSD가 클러스터 준비 전에 다시 합류하는 것을 방지합니다. 업그레이드 전에 모든 OSD를 함께 업데이트할 수 있는지 확인하세요. 일부 OSD를 구 버전으로 고정했다면 고정을 해제할 때까지 합류가 차단됩니다.
주요 변경 (5)
- Helm 차트에 Rook 호환 Ceph CSI 드라이버 값 추가됨
- Ceph 메이저 업그레이드 후 OSD require-osd-release 자동 설정으로 버전 불일치 방지
- CSI-addons는 기본적으로 비활성화되어 의도하지 않은 기능 활성화 방지
- 노드 라벨을 이용한 OSD 디바이스 클래스 할당 지원으로 수동 설정 단순화
- 사용하지 않는 MDS, RGW pod disruption budget 자동 삭제로 클러스터 운영 차단 회피
v1.52.0은 discovery API 기본값 변경, immediate stitching 제거, BUI union 타입 변경 등 세 가지 breaking change와 함께 PostgreSQL 카탈로그 성능 개선 및 다수의 안정성 수정이 포함됩니다.
breakingdiscovery.endpoints 마이그레이션 및 immediate stitching 설정 제거
업그레이드 전에 두 가지 설정을 점검하세요. 첫째, `discovery.endpoints`에 내부 전용 문자열 타겟을 쓰고 있다면 객체 형태로 바꾸고 내부 URL은 `target.internal`에, 브라우저가 접근 가능한 URL은 `target.external`에 넣어야 합니다. 그렇지 않으면 프론트엔드가 내부 주소에 직접 요청을 보냅니다. 둘째, 설정 파일에서 `catalog.stitchingStrategy.mode: 'immediate'`를 삭제하세요. 이미 무시되지만 deprecation 경고가 발생합니다. 둘 다 설정 파일 수정으로 해결됩니다.
breakingComboboxProps / SelectProps 타입 확장 코드 업그레이드 전 수정 필요
`ComboboxProps`와 `SelectProps`가 union 타입으로 바뀌었습니다. 두 타입을 `extends`로 확장한 인터페이스가 있으면 타입 에러가 납니다 — 타입 교차(intersection)로 바꾸세요. `.bui-SelectPopover`의 직계 자식으로 리스트 내용을 선택하던 CSS 셀렉터도 확인이 필요합니다. 런타임 폴백 없이 컴파일 단계에서 바로 실패합니다.
enhancementPostgreSQL 카탈로그 쿼리 성능 개선 — 마이그레이션만 실행하면 적용
이번 릴리즈에 PostgreSQL 전용 쿼리 플래너 개선이 여러 건 포함됩니다. search 테이블에 다중 컬럼 통계 추가, 불필요한 레거시 인덱스 제거, vacuum 임계값 조정, count/list 쿼리 분리가 마이그레이션으로 자동 적용됩니다. 엔티티 수가 많은 환경에서 카탈로그 목록 조회가 10~40배 느렸다면 이 업그레이드가 직접적인 해결책입니다. 별도 설정 변경 없이 마이그레이션 실행만으로 적용됩니다. MySQL/SQLite 환경에는 해당되지 않습니다.
주요 변경 (7)
- @backstage/plugin-app의 기본 discovery API가 FrontendHostDiscovery로 변경 — discovery.endpoints의 내부 전용 문자열 타겟을 객체 형태로 마이그레이션 필요
- catalog.stitchingStrategy.mode: 'immediate' 제거 — 설정이 남아 있으면 경고 로그가 출력됨
- ComboboxProps·SelectProps가 union 타입으로 변경 — 인터페이스 상속 코드 수정 필요
- PostgreSQL 대상 카탈로그 백엔드 쿼리 플래너 개선 다수 포함 (다중 컬럼 통계, 레거시 인덱스 제거, count 쿼리 분리)
- @backstage/connections 실험적 패키지 추가 — 기존 integrations의 장기 대체제 예정, 현재는 프로덕션 사용 금지
- react-syntax-highlighter·@dagrejs/dagre 지연 로딩 전환으로 @backstage/core-components 초기 모듈 로드 약 10 MB 절감
- 새로 생성되는 앱에 Yarn 4.13.0 및 npmMinimalAgeGate: 3d 설정이 기본 적용
KubeVirt v1.8.4는 virt-handler의 gRPC 연결 누수 버그 수정, CVE-2026-35469 패치, 누락된 메트릭·알림 추가를 담은 패치 릴리스입니다.
securityCVE-2026-35469 패치: v1.8.4로 즉시 업그레이드
moby/spdystream 의존성에서 CVE-2026-35469(GHSA-pc3f-x583-g7j2)가 발견됐습니다. v1.8.4 이전 버전을 운영 중이라면 바로 업그레이드하세요. 내부 취약점 스캐너 결과에서 해당 CVE를 확인하고, 업그레이드 전후로 탐지 여부를 비교해두면 좋습니다.
breakinggRPC 연결 누수 수정 후 virt-handler 리소스 사용량 변화 확인
GetLauncherClient의 연결 누수로 VMI 생성이 빈번한 클러스터에서는 메모리와 고루틴이 계속 쌓였습니다. 업그레이드 후 virt-handler 메모리 사용량이 눈에 띄게 줄어들 수 있으니, 누수 상태를 기준으로 설정했던 메모리 제한이나 알림 임계값이 있다면 재검토하세요.
enhancement새 메트릭·알림 추가 — 대시보드와 runbook 업데이트 필요
virt 컴포넌트에서 빠져 있던 메트릭, recording rule, 알림이 추가됐습니다. 기존 Prometheus·Alertmanager 설정과 비교해 새로 추가된 항목을 확인하고, 필요한 알림을 runbook에 반영하세요.
주요 변경 (4)
- CVE-2026-35469 대응: moby/spdystream v0.5.0 → v0.5.1 업그레이드 (GHSA-pc3f-x583-g7j2)
- virt-handler GetLauncherClient의 gRPC 연결 누수 수정 — 동일 VMI에 여러 컨트롤러가 경쟁할 때 메모리·소켓·고루틴이 무제한 증가하던 문제
- virt 컴포넌트의 누락된 메트릭, recording rule, 알림 추가
- node-labeller에 --expand-cpu-features 및 --supported-cpu-features 플래그 적용
Cilium v1.19.5는 정책 적용 버그, Gateway API 패닉, 로드밸런서 오동작 등을 수정한 버그픽스 중심 패치입니다. CVE는 없지만 업그레이드 전 확인이 필요한 항목이 있습니다.
breaking업그레이드 전 `l2podAnnouncements.interface` Helm 값 교체 필수
`l2podAnnouncements.interface` Helm 키가 제거되었습니다. 이 키는 에이전트가 더 이상 읽지 않는 configmap 항목을 써서, L2 pod announcements가 활성화된 클러스터에서 crash-loop를 유발합니다. 업그레이드 전에 Helm values 파일에서 이 키를 찾아 `l2podAnnouncements.interfacePattern`으로 교체하세요. 교체하지 않으면 업그레이드 후 에이전트가 기동되지 않습니다.
breakingNamespaceSelector를 쓰는 CiliumEgressGatewayPolicy 동작 재확인 필요
CiliumEgressGatewayPolicy의 NamespaceSelector 필드가 손상되어 해당 규칙이 실제로 적용되지 않는 버그가 있었습니다. 1.19.5로 업그레이드한 후에는 NamespaceSelector를 사용하는 이그레스 정책이 실제로 트래픽을 차단하는지 확인하세요. 이전까지 허용되던 트래픽이 수정 후 차단될 수 있습니다.
enhancementselectorless ipBlock 정책 사용 중이라면 동작 변화 확인
와일드카드 네임스페이스 셀렉터가 pod selector 없는 ipBlock 규칙을 우회하던 버그가 수정되었습니다. 명시적 네임스페이스 셀렉터 없이 ipBlock만 쓰는 CiliumNetworkPolicy가 있다면 업그레이드 후 정책 적용 결과가 바뀔 수 있으니 실제 트래픽 패턴을 점검하세요.
주요 변경 (5)
- selectorless ipBlock 규칙에서 와일드카드 네임스페이스가 정책을 우회하던 버그 수정
- `l2podAnnouncements.interface` Helm 값 제거 — `interfacePattern`으로 마이그레이션하지 않으면 업그레이드 후 crash-loop 발생
- CiliumEgressGatewayPolicy의 NamespaceSelector가 손상되어 이그레스 정책이 조용히 무력화되던 버그 수정
- ClusterIP/LoadBalancer VIP가 노드 로컬 IP와 겹칠 때 노드 연결이 끊기던 버그 수정
- 수천 개 서비스가 백엔드를 공유하는 환경에서 성능 저하 없이 동작하도록 로드밸런싱 내부 구조 리팩터링
Cilium 1.18.11은 메모리 누수, 소켓 처리 충돌, Gateway API 라우팅 버그를 고치는 패치 릴리스입니다. 호환성을 깨는 변경이 없으므로 1.18.x를 운영 중인 팀이 안전하게 적용할 수 있습니다.
security소켓 처리 에이전트 크래시가 보이면 패치 적용
Cilium 1.18.11은 filterAndDestroySockets의 nil 포인터 역참조를 고칩니다. 에이전트 파드가 갑자기 재시작되거나 소켓 필터링 관련 panic 로그가 보이면 즉시 업그레이드하세요. 1.18.10 이하를 운영 중이라면 이 안정성 문제를 만날 수 있습니다.
breaking업그레이드 후 Cilium 관리 대상이 아닌 인터페이스의 MTU 설정 검증
1.18.11은 MTU 처리를 변경해 Cilium이 관리하지 않는 인터페이스를 건너뜁니다. 인프라가 Cilium으로 외부 인터페이스(예: 호스트 관리 veth 쌍)의 MTU를 조정하는 데 의존한다면 스테이징 환경에서 먼저 테스트하세요. Cilium 소유 인터페이스를 altname으로 표시해야 MTU가 수정됩니다.
enhancementKubernetes Gateway API에 TLS 라우트를 사용하면 적용 권장
이 패치는 Gateway API 지원의 두 가지 버그를 고칩니다: TLSRoute passthrough의 가중치 백엔드 라우팅과 혼합 리스너 처리. Gateway API를 TLS 종료 또는 passthrough로 운영하면 이 업그레이드로 조용한 라우팅 실패를 없앨 수 있습니다. 설정 변경은 필요 없으며 기존 Gateway API 리소스를 스테이징 클러스터에서 먼저 테스트하세요.
주요 변경 (5)
- 큰 StateDB 트랜잭션에서 watch 채널 해시맵 재사용 시 발생하는 메모리 누수 해결
- Gateway API TLSRoute passthrough 리스너에서 가중치가 있는 백엔드 트래픽 분할 수정
- 소켓 필터링 코드의 nil 포인터 역참조 수정으로 에이전트 크래시 방지
- MTU 변경 동작을 Cilium이 관리하는 인터페이스에만 적용하도록 수정
- troubleshoot 명령어의 kvstore 및 clustermesh 진단 정보 확대
Cilium v1.17.17은 멀티풀 환경에서 CiliumNode 재시도 로직을 고치고 troubleshoot 명령어 출력을 개선한 패치 릴리스입니다. 호환성을 깨는 변경은 없습니다.
enhancement멀티풀 배포 환경에서 업그레이드 후 테스트
Cilium v1.17.17에서는 CiliumNode 조회 재시도 메커니즘을 고쳤습니다. 멀티풀 IP 할당(클러스터당 여러 리소스 풀)을 운영 중이면, 업그레이드 후 파드 스케줄링과 IP 할당을 점검하세요.
enhancement개선된 troubleshoot 출력으로 클러스터 진단하기
Troubleshoot kvstore와 clustermesh 명령어가 이제 더 자세한 진단 정보를 표시합니다. kvstore나 clustermesh 연결 문제를 조사할 때, 업그레이드 후 이 명령어들을 다시 실행해 더 풍부한 출력으로 원인을 빠르게 파악하세요.
enhancementEnvoy v1.37.x 업데이트 후 동작 확인
번들된 Envoy 프록시가 v1.37.x로 올라갔습니다. Envoy v1.37.x 릴리스 노트에서 HTTP/2, 로드 밸런싱, 관찰성 영역의 동작 변화를 검토하세요. Envoy 1.36.x의 특정 동작에 의존 중이 아니면 조치 불필요합니다.
주요 변경 (4)
- 멀티풀 환경에서 CiliumNode Get 에러 재시도가 정상 작동하도록 수정
- Troubleshoot kvstore와 clustermesh 명령어에서 진단 정보 추가 제공
- Envoy 프록시를 v1.37.x로 업데이트, Helm 차트의 레지스트리 접두사 오버라이드 지원
- Go 패키지, Kubernetes 유틸리티, Ubuntu 기본 이미지 의존성 갱신
Flatcar stable-4593.2.3은 Linux 6.12.93으로 업데이트하면서 커널 CVE 8개를 패치하고 NVMe/TCP 지원을 추가했습니다.
security커널 CVE 8개 — 노드 교체 일정 잡으세요
이번 릴리스에서 Linux 커널 CVE 8개를 한꺼번에 수정했습니다. 2026- 접두사 CVE ID라 NVD에 아직 상세 정보가 없지만, 커널 CVE가 여러 개 묶인 경우 다음 정기 점검까지 기다리지 않는 편이 좋습니다. Flatcar 노드를 베어메탈이나 클라우드 VM으로 운영 중이라면 노드 drain → 교체 사이클을 조기에 진행하세요.
enhancementNVMe/TCP 지원 추가 — NVMe-oF 스토리지 연결 가능
nvme-tcp 커널 모듈이 기본 포함되어 NVMe over Fabrics TCP 연결을 별도 커널 빌드 없이 쓸 수 있습니다. SPDK 기반 백엔드나 분리형 스토리지 어레이를 사용하는 팀이라면 스테이징에서 nvme-tcp 모듈 로드를 먼저 확인한 뒤 프로덕션에 적용하세요.
주요 변경 (3)
- Linux 커널 CVE 8개 패치 (CVE-2026-46323, -46315, -46275, -46244, -46243, -46322, -46321, -46316)
- 커널 버전 6.12.93으로 업데이트 (6.12.92 변경 사항 포함)
- NVMe over Fabrics(NVMe-oF) 스토리지 연결을 위한 NVMe/TCP 지원 추가
Dapr v1.18.1은 워크플로우 엔진 버그 수정에 집중된 패치 릴리스로, 타이머 리마인더 누수, 설정 리로드 후 사이드카 불능 상태, 워크플로우 영구 중단 등 5가지 문제를 수정합니다.
breakingHelm 설치 사용자: 워크플로우 동시성 제한이 이전까지 무시됐습니다
Helm으로 Dapr을 설치하면서 Configuration 리소스에 globalMaxConcurrentWorkflowInvocations, globalMaxConcurrentActivityInvocations 또는 per-name 제한 필드를 설정했다면, 해당 설정이 실제로는 적용되지 않았습니다. 1.18.1로 업그레이드하면 CRD 스키마가 올바르게 수정되어 제한이 실제로 적용되기 시작합니다. 값이 지나치게 보수적으로 설정돼 있으면 처리량이 갑자기 줄어들 수 있으므로, 프로덕션 업그레이드 전에 설정값을 반드시 검토하세요.
enhancement에이전트형·루프 워크플로우를 운영한다면 업그레이드 필수
이번 릴리스에서 수정된 버그 3개가 ContinueAsNew 루프나 동일 이벤트 이름을 반복 대기하는 패턴에 직접 영향을 줍니다. 이런 패턴은 에이전트형 워크플로우에서 흔히 쓰입니다. 리마인더 누수는 워크플로우 수명 동안 계속 쌓이고, ContinueAsNew 교착 상태는 타임아웃 없이 영구 중단을 유발합니다. 루프 워크플로우가 RUNNING에서 멈추거나 이유 없이 깨어나는 현상이 관측된다면 1.18.1로 업그레이드하세요.
enhancement워크플로우 사이드카의 설정 핫 리로드가 이제 정상 동작합니다
이 수정 이전에는 워크플로우 워커를 호스팅하는 사이드카에서 SIGHUP으로 설정 리로드를 수행하면 사이드카가 영구적으로 망가질 수 있었습니다 — 포트 50001이 연결을 거부하고 파드를 재시작하는 것 외에 복구 방법이 없었습니다. 워크플로우를 호스팅하는 배포에서 설정 핫 리로드를 사용한다면 1.18.1 업그레이드를 필수로 처리하세요.
주요 변경 (5)
- 동일한 외부 이벤트 이름을 루프에서 반복 대기할 때 타이머 리마인더가 누수되던 문제 수정
- 설정 핫 리로드(SIGHUP) 시 워크플로우 사이드카가 영구적으로 불능 상태에 빠지던 문제 수정 — 스트리밍 워커가 종료 시 정상적으로 닫힘
- 실제 변경이 없는 Kubernetes 오퍼레이터 리싱크 이벤트에 사이드카가 불필요하게 재시작하던 문제 수정
- ContinueAsNew 경계를 넘어 완료된 차일드 워크플로우 때문에 부모 워크플로우가 RUNNING 상태로 영구 중단되던 문제 수정
- Helm 차트의 Configuration CRD에 v1.18.0에서 추가된 워크플로우/액티비티 동시성 제한 필드 누락 수정
Linkerd edge-26.6.2는 정책 및 프로필 검증 버그를 고치고, 외부 워크로드에 네임스페이스 제한을 강화하며, Envoy 프록시 v2.357.0으로 업그레이드합니다.
security프로필 검증이 이제 nil 설정 거부
프로필 검증의 nil 체크는 잘못된 설정으로 인한 크래시 경로를 닫습니다. 즉시 조치는 필요 없지만, 프로필을 프로그래밍 방식으로 생성한다면 적용 전에 항상 유효한 구조임을 확인하세요.
breaking네임스페이스 제한 외부 워크로드가 라우팅에 영향
외부 워크로드와 엔드포인트가 이제 네임스페이스 경계를 준수합니다. Linkerd 설정에서 외부 워크로드 간 네임스페이스 호출을 하고 있다면, 업그레이드 후 라우팅이 정상 작동하는지 확인하세요. 기존 크로스 네임스페이스 접근에 의존하는 정책을 수정하세요.
enhancement통합 failure accrual로 로드 밸런싱 세부 조정
통합 failure accrual 및 response-penalty 로드 biasing으로 프록시가 느리거나 실패한 엔드포인트를 처리하는 방식을 더 세밀하게 제어할 수 있습니다. 먼저 카나리 네임스페이스에서 테스트한 후 failure 임계값과 penalty 가중치를 SLO에 맞게 조정하세요. Linkerd 문서에서 새 정책 옵션을 확인하세요.
주요 변경 (5)
- 정책 검증: 부적절한 AuthN 정책 체크 제거; 아웃바운드 인덱스 규칙 오타 수정.
- 프로필 검증: nil 체크 추가로 검증 중 크래시 방지.
- 네임스페이스 격리: 외부 워크로드와 엔드포인트가 네임스페이스 경계 준수하여 크로스 네임스페이스 누출 방지.
- 로드 밸런싱: 정책 엔진에서 통합 failure accrual 및 response-penalty biasing 구현.
- 프록시 업그레이드: Envoy v2.357.0, Go 1.25.11 빌드 사용.
Dapr 1.17.10은 pubsub publish 작업에서 resiliency retry policy의 `matching` 규칙이 무시되던 버그를 수정합니다. pubsub와 resiliency retry를 함께 사용 중이면 업그레이드해 의도한 재시도 동작을 강제하세요.
breakingPubsub publish 오류의 재시도 동작 변경
pubsub outbound retry 대상으로 `matching` 규칙이 있는 resiliency policy를 설정했다면, publish 오류가 올바르게 분류되어 terminal 오류(예: 401 Unauthorized, 404 Not Found)는 더 이상 maxRetries를 소진하지 않고 즉시 멈춥니다. resiliency 정책 설정을 검토하세요. 기존 동작(항상 publish 재시도)에 의존했다면 retry policy를 조정하거나 `matching` 제약을 제거하세요.
enhancementPubsub에 resiliency policy 의도 강제 적용
pubsub publish 대상으로 명시적인 `matching` 코드를 가진 resiliency policy를 설정했다면 1.17.10으로 업그레이드하세요. 정책이 의도한 대로 작동합니다. Service invocation, output binding 등 다른 작업과 같은 수준으로 pubsub publish가 retry `matching`을 존중하게 됩니다. 코드 변경은 불필요하며 투명한 수정입니다.
주요 변경 (3)
- Pubsub Publish와 BulkPublish 작업에서 resiliency retry `matching` (httpStatusCodes/gRPCStatusCodes)이 이제 적용됨
- Publish 오류가 gRPC status를 포함하면 resiliency.CodeError로 감싸져 다른 policy runner와 같은 동작 수행
- Terminal pubsub 오류(유효하지 않은 topic, 권한 거부)가 maxRetries를 모두 소진하지 않고 즉시 실패하도록 변경
Dapr 1.16.16은 1.18→1.16 다운그레이드 후 발생하는 Sentry 인증서 서명 실패와 Helm StatefulSet 스토리지 충돌 두 가지 버그를 수정합니다.
breaking1.16.16으로 다운그레이드할 때 Helm 플래그를 반드시 확인하세요
helm upgrade 시 --reset-values를 사용하고 원래 설치 때 넣었던 값을 명시적으로 다시 전달하세요. --reuse-values는 절대 사용하지 마세요. 1.17/1.18 차트의 computed default가 그대로 넘어오는데, 특히 placement의 disseminateTimeout=8s가 1.16 바이너리에서 허용 범위(1s~3s)를 벗어나 시작 시 실패합니다. 스케줄러 StatefulSet을 미리 삭제하지 않은 경우, --set dapr_scheduler.cluster.storageSize=<현재 값>을 추가하거나 --cascade=orphan으로 StatefulSet을 삭제한 뒤 진행하세요.
breaking1.18에서 1.16으로 롤백한 클러스터는 Sentry 크래시를 겪고 있을 가능성이 높습니다
Dapr 1.18에서 1.16.x 초기 버전으로 롤백했다면, trust bundle의 Ed25519 키와 ECDSA CSR 타입 불일치로 Sentry가 시작 시 크래시되고 있을 겁니다. 1.16.16으로 업그레이드하면 해결되며, 인증서를 수동으로 교체할 필요는 없습니다.
주요 변경 (4)
- 신뢰 번들이 신버전(Ed25519)으로 생성된 경우에도 Sentry가 ECDSA CSR을 정상적으로 서명하도록 수정
- 인증서 템플릿에서 CSR의 SignatureAlgorithm을 복사하던 로직 제거 — 이제 Go x509 라이브러리가 발급자 키에서 알고리즘을 자동 추론
- Helm 차트에 storageSize 템플릿 헬퍼를 백포팅하여, 다운그레이드 시 실제 StatefulSet 값을 읽어 immutable 필드 충돌 방지
- 신규 설치는 기존과 동일하게 .Values.cluster.storageSize(기본 1Gi)로 폴백
Kubeflow 26.03.1은 Pipelines, Kserve, Trainer, Notebooks, Dashboard, Istio, Knative 등 다수 컴포넌트를 한꺼번에 올리는 대규모 정기 릴리스이며, model-registry가 hub로 이름이 바뀌고 배포 네임스페이스와 모델 카탈로그 구조가 달라지는 등 운영자가 직접 대응해야 하는 변경을 포함합니다.
breakingmodel-registry 패키지, hub로 이름 변경
kubeflow/model-registry 패키지가 kubeflow/hub로 이름이 바뀌었습니다. 매니페스트, Kustomize 오버레이, CI 파이프라인에서 참조 경로를 hub 기준으로 갱신하세요.
breaking모델 레지스트리 배포 위치, 프로필 네임스페이스로 이동
모델 레지스트리가 기본 네임스페이스가 아닌 사용자 프로필 네임스페이스에 배포되도록 바뀌었습니다. 기존 배포 스크립트나 RBAC 설정이 default 네임스페이스를 가정하고 있다면 수정이 필요합니다.
breaking모델 카탈로그, 클러스터 전역 싱글턴으로 재편
모델 카탈로그가 네임스페이스별 구성에서 kubeflow 네임스페이스의 클러스터 전역 단일 인스턴스로 분리되었습니다. 네임스페이스마다 카탈로그를 운영하던 환경은 구조 변경에 맞춰 재구성해야 합니다.
breakingmodel-registry UI 기본 활성화로 전환
model-registry와 그 UI가 기본적으로 활성화되도록 바뀌었습니다. 별도로 비활성화하지 않았다면 업그레이드 후 추가 컴포넌트가 자동으로 노출됩니다.
주요 변경 (7)
- kubeflow/model-registry가 kubeflow/hub로 이름이 바뀌고, 배포 네임스페이스가 default에서 사용자 프로필 네임스페이스로, 모델 카탈로그는 kubeflow 네임스페이스의 클러스터 전역 싱글턴으로 재구성됨 (모두 운영자가 대응해야 하는 변경)
- model-registry와 UI가 기본 활성화로 전환
- Kubeflow Pipelines 2.16.1, Kserve/Web App v0.18.0, Trainer v2.2.0, Notebooks v1.11.0(Workspaces v2.0.0-alpha.3), Dashboard v2.0.0 방향으로 대규모 컴포넌트 버전 업그레이드
- Istio 1.30.1(hostUsers: false 지원), Knative 1.22.0(eventing 보안 오버레이 추가), cert-manager 1.20.2(오버레이 base 분리), oauth2-proxy v7.15.2, Dex 2.45.1(2 레플리카, sticky service 제거) 등 인프라 스택 업데이트
- CI에 knative-eventing용 PSS restricted 및 네트워크 정책 추가, Kind 0.32+/Kubernetes 1.36으로 전환, dependabot 및 SHA 고정 GitHub Actions 도입
- trivy 스캔이 CI에서 일시적으로 제거됨 (차후 재도입 예정)
- Kserve v0.16.x에서 v0.17.0 마이그레이션 가이드를 포함해 업그레이드 문서 섹션 재구성
KServe v0.19.0은 LLMInferenceService의 관측 가능성, 오토스케일링, 라우팅 기능을 크게 강화한 릴리스입니다. CVE 패치 2건도 포함됩니다.
securityCVE 두 건, 업그레이드 전 반드시 확인
v0.19.0은 vLLM/Pillow CVE와 CVE-2026-21226(azure-core)을 수정합니다. vLLM 런타임이나 azure-core 의존성이 있는 환경이라면 v0.19.0으로 업그레이드하거나, 당장 업그레이드가 어렵다면 azure-core>=1.38.0을 수동으로 고정하세요. 커스텀 서버 이미지에 포함된 Pillow 버전도 확인하세요.
breaking라우터 splitter off-by-one 수정으로 트래픽 분배 비율 변경
pickupRoute의 난수 범위 계산에 off-by-one 오류가 있었고 이번에 수정됐습니다. 업그레이드 후 splitter 가중치가 올바르게 계산되므로, 기존 버그에 맞춰 가중치를 조정해두었다면 실제 트래픽 분배가 달라질 수 있습니다. 운영 환경 적용 전에 스테이징에서 분할 설정을 검증하세요.
enhancementLLMISvc 오토스케일링 상태 모니터링 연동 권장
HPA/KEDA 스케일링 조건이 LLMISvc status에 노출되고, 준비 상태 전환 시 k8s 이벤트가 발생합니다. LLMInferenceService를 운영 중이라면 이 조건들을 모니터링 대시보드와 알람에 추가하세요. kserve-install.sh의 --scaling 플래그를 쓰면 신규 설치 시 오토스케일링 설정이 간단해집니다.
주요 변경 (7)
- CVE 패치: vLLM/Pillow 취약점 수정, azure-core>=1.38.0 고정으로 CVE-2026-21226 대응
- LLMISvc에 HPA/KEDA 스케일링 상태를 서비스 조건으로 노출, kserve-install.sh에 --scaling 플래그 추가
- LLMISvc 관측 가능성 강화: 준비 상태 전환 시 k8s 이벤트 발생, 라우팅 토폴로지와 워크로드 참조를 status에 기록
- InferenceService Standard 모드에 REST/gRPC 이중 프로토콜 라우팅 추가
- 라우터 splitter의 pickupRoute 범위 계산 off-by-one 버그 수정 — 트래픽 분할 정확도에 직접 영향
- LLMInferenceService에 LocalModelCache 지원 추가, PVC 접근 문제 해결을 위한 NodeSelector 수정
- llm-d v0.6 컴포넌트 업그레이드를 위한 마이그레이션 로직 추가
Helm v4.2.1는 동시 작업 중 발생하는 데이터 경쟁 상태를 고치고, 명령 출력 경로를 수정하며, 버전 범위 제약 파싱 문제를 해결합니다.
breaking업그레이드 후 출력 파싱 로직 검토하기
Helm 명령 성공 메시지가 stderr 대신 stdout으로 출력되도록 바뀌었습니다. CI/CD 파이프라인, 모니터링, 셸 스크립트에서 Helm 출력을 스트림별로 리다이렉트하거나 필터링한다면 예상 외로 동작할 수 있습니다. grep, tee, 출력 캡처 로직을 확인하세요. 대부분의 스크립트는 그대로 작동하지만, 스트림 의존도가 높은 로직은 재검토가 필요합니다.
enhancement버전 범위 제약을 제약 없이 사용하기
Helm 4에서 프리릴리스 버전이나 공백이 없는 범위 제약(예: 'v1.0.0||v1.1.0')을 거부하거나 경고하던 문제가 해결됐습니다. 범위 제약을 피하거나 고정 버전으로 대체한 팀이라면 이제 제약 기반 선택을 도입할 수 있고, 이는 대규모 배포에서 의존성 관리를 단순화합니다.
enhancement동시 작업 안정성을 위해 업그레이드하기
동시 goroutine 실행 중 여러 경쟁 상태(upgrade+rollback, install+uninstall이 같은 클라이언트 대상, WaitForDelete 타이밍)가 모두 고쳐졌습니다. 고속 동시 Helm 작업(멀티 차트 배포, 병렬 재조정 루프, 대규모 테스트 스위트)을 운영한다면 업그레이드해서 간헐적 실패를 제거하세요. CI 파이프라인에서 불안정한 테스트 결과를 보고 있다면 특히 중요합니다.
주요 변경 (5)
- 같은 FailingKubeClient 인스턴스에서 동시에 upgrade+rollback, install+uninstall을 실행할 때 GetWaiterWithOptions의 데이터 경쟁 상태 제거
- Helm 명령 출력 경로 수정: 성공 메시지가 stderr이 아니라 stdout으로 출력됨
- Helm 4에서 버전 범위 제약 파싱 오류 해결 (프리릴리스 버전, || 연산자의 공백 누락 등)
- WaitForDelete 경쟁 상태 패치: 상태 감시자가 watch를 너무 일찍 취소하던 문제 제거
- 의존성 업데이트: cli-utils 1.2.1, controller-runtime 0.24.1, k8s 1.36.1, golang.org/x/net v0.55.0 (GO-2026-5026)
Helm v3.21.1은 템플릿 작업 중 nil 포인터 패닉을 고치고 의존성을 업데이트합니다. 안정성 개선 패치입니다.
securityGo 보안 패치 GO-2026-5026 적용
golang.org/x/net이 v0.55.0으로 올라가 GO-2026-5026을 고칩니다. 이는 공급망 의존성이며 Helm API에 직접 노출되지 않습니다. 보안 검사 도구가 net 취약점을 플래그하면 업그레이드하세요. Helm을 정상적으로 사용하는 경우라면 별도 조치는 필요하지 않습니다.
breakingClientOnly 템플릿 작업이 이제 정상 에러를 반환합니다
클러스터 없이 helm template 명령을 실행하는 환경(ClientOnly 모드)에서 nil 포인터 패닉이 발생하던 문제가 고쳐졌습니다. 이제 올바른 템플릿 에러를 반환합니다. 패닉을 잡아서 처리하는 자동화가 있다면 에러 처리를 타입이 있는 템플릿 에러로 업데이트하고 템플릿 워크플로를 테스트하세요.
enhancement레지스트리 인증이 HTTP 폴백 시 유지됩니다
oras-go v2.6.1 덕분에 레지스트리 작업이 HTTPS에서 plain HTTP로 폴백할 때 인증 정보를 유지합니다. HTTP 전용 엔드포인트를 가진 프라이빗 레지스트리를 사용한다면 안정성이 개선됩니다. 설정 변경은 필요 없으며 자동으로 적용됩니다.
주요 변경 (3)
- ClientOnly 모드에서 helm template 실행 시 nil 포인터 패닉 수정
- oras-go v2.6.1 업데이트로 plain-HTTP 폴백 시 레지스트리 인증 정보 유지
- Go 1.26 및 golang.org/x/net v0.55.0으로 업그레이드하여 GO-2026-5026 대응
Kubernetes v1.36.2는 Dynamic Resource Allocation 스케줄러, CSI 볼륨 재퍼블리싱, 엔드포인트 컨트롤러의 치명적 버그를 고치고 Go 1.26.4로 빌드한 패치 릴리스입니다.
security바이너리 non-UTF8 Secret 데이터가 컨테이너 환경 변수에서 정상 처리됨
Kubernetes 1.34 이상에서 바이너리 non-UTF8 데이터를 포함하는 Secret API 객체로부터 환경 변수를 설정하는 컨테이너가 제대로 읽을 수 없는 리그레션이 있었습니다. 1.36.2에서 수정되었습니다. 환경 변수에 텍스트가 아닌 Secret 데이터를 사용하는 워크로드가 있다면 업그레이드하여 디코딩 오류나 묵시적 실패를 예방하세요.
breakingDRA 디바이스 할당 버그, 멀티 디바이스 워크로드 영향
Kubernetes 1.36.0–1.36.1에서 스케줄러가 SharedCounters를 사용하는 드라이버와 멀티 할당 가능 디바이스를 함께 쓸 때 상호 배타적 디바이스 파티션을 여러 Pod에 할당하는 버그가 있습니다. 워크로드 실패, 디바이스 충돌, 크래시, 데이터 손실을 초래할 수 있습니다. DRA를 멀티 할당 가능 디바이스(특히 GPU나 공유 카운터를 사용하는 커스텀 액셀러레이터)로 운영 중이면 1.36.2로 즉시 업그레이드하세요. 최근 Pod 스케줄링 결정을 검토하여 충돌이 없는지 확인하세요.
enhancementCSI 볼륨 재퍼블리싱 실패가 마운트 상태를 손상시키지 않음
Kubelet이 주기적 NodePublishVolume 호출(requiresRepublish=true로 트리거됨)이 실패할 때 CSI 마운트 디렉터리를 잘못 삭제하여 Pod에 레거시 볼륨 콘텐츠가 남는 문제가 있었습니다. 1.36.2에서 수정됩니다. requiresRepublish=true인 CSI 드라이버를 운영 중이면 이 패치가 일시적 네트워크 또는 스토리지 오류로 인한 데이터 일관성 위험을 제거합니다. 업그레이드하여 잠재적 데이터 문제를 예방하세요.
주요 변경 (7)
- Go 1.26.4로 빌드하여 런타임 안정성 개선
- DRA 스케줄러에서 상호 배타적 디바이스 파티션을 여러 Pod에 할당하는 버그 수정 (워크로드 실패 또는 데이터 손실 위험)
- DRA ResourceClaim의 allocationMode: All이 공유 카운터 디바이스를 선택할 때 kube-scheduler 패닉 수정
- CSI NodePublishVolume 주기적 호출 실패 시 kubelet이 마운트 디렉터리를 잘못 삭제하는 버그 수정 (레거시 볼륨 콘텐츠 남음)
- 중단된(suspended) Job의 spec 수정이 JobSuspended 조건 미설정 시 거부되는 리그레션 수정
- IPFamilies 필드가 비어있는 서비스에서 엔드포인트 컨트롤러 패닉 수정
- Secret API 객체의 바이너리 non-UTF8 데이터로부터 설정된 컨테이너 환경 변수 처리 수정
Kubernetes v1.35.6은 다중 노드 DRA 클레임 스케줄링, CSI 볼륨 재발행, 엔드포인트 처리의 심각한 버그를 수정하고 Go 1.25.11로 업그레이드했습니다.
securitySecret 바이너리 데이터의 환경 변수 처리 버그 수정
1.34+ 버전의 바이너리 데이터(인증서, base64 인코딩된 키 등)를 포함한 Secret에서 환경 변수를 주입하지 못하는 버그가 있었습니다. Secret을 환경 변수로 주입 중이고 그 Secret에 바이너리 데이터가 있다면 v1.35.6으로 업그레이드하세요. 데이터베이스 자격증명이나 키를 Secret 환경 변수로 실행 중이면 버그가 조용히 주입을 깨뜨렸을 수 있으니 빨리 테스트하세요.
breaking빌드 파이프라인의 Go 런타임을 1.25.11로 업그레이드
Kubernetes v1.35.6은 Go 1.25.11로 빌드됩니다. 커스텀 컨트롤러나 오퍼레이터를 같은 Go 버전에서 실행 중이면 호환성을 확인하고 다시 빌드하세요. CI/CD에서 Go 버전을 고정 중이면 빌드 설정을 업데이트해야 합니다.
enhancementDRA 스케줄링과 CSI 재발행이 안정화됨
세 가지 버그가 해결되었습니다. (1) 공유 카운터를 사용하는 DRA ResourceClaim AllocationMode All에서 스케줄러 패닉 제거. (2) 다중 노드와 노드별 클레임을 함께 사용하는 파드가 더 이상 Pending에서 교착되지 않음. (3) NodePublishVolume 오류 시 kubelet이 마운트 디렉터리를 삭제하지 않아 오래된 볼륨 데이터 손상 방지. DRA나 CSI 재발행을 사용 중이면 이전에 교착 상태가 되던 상황이 제거됩니다. 업그레이드하여 막힌 파드를 정리하고 향후 장애를 방지하세요.
주요 변경 (6)
- Go 1.25.11로 런타임 업그레이드
- 다중 노드와 노드별 DRA 클레임을 함께 사용할 때 파드 스케줄링 교착 상태 해결
- 공유 카운터를 사용하는 DRA ResourceClaim으로 인한 kube-scheduler 패닉 수정
- NodePublishVolume 주기적 실패 시 kubelet이 CSI 마운트 디렉터리를 삭제하던 문제 해결
- 빈 IPFamilies 필드를 가진 서비스 처리 시 엔드포인트 컨트롤러 패닉 수정
- Secret의 바이너리 비UTF8 데이터를 포함한 환경 변수 처리 개선
쿠버네티스 v1.34.9는 CSI 마운트 볼륨 처리, 바이너리 Secret 데이터 처리, 엔드포인트 컨트롤러 패닉, kubeadm 인증서 처리를 수정합니다. Go 1.25.11 빌드로 런타임 성능이 향상됩니다.
breakingrequiresRepublish가 활성화된 CSI 드라이버 운영 중이면 kubelet 업그레이드
v1.34 회귀로 인해 kubelet이 republish 실패 시 CSI 마운트 디렉터리를 삭제해 포드에 오래된 볼륨 데이터가 남아있었습니다. spec.requiresRepublish=true로 설정된 CSI 드라이버를 운영 중이면 즉시 업그레이드하세요. kubelet 로그에서 실패한 republish 시도를 확인한 후 업그레이드하면 이 버그를 맞고 있었는지 파악할 수 있습니다.
breaking바이너리 Secret을 환경 변수로 주입하는 워크로드 테스트
v1.34에서 바이너리(non-UTF8) 데이터가 포함된 Secret을 참조하는 환경 변수 파싱이 깨졌습니다. 워크로드에서 Secret을 환경 변수로 주입한다면 업그레이드 후 테스트하세요. 애플리케이션 시작 로그에서 파싱 오류를 확인하고, 필요하면 바이너리 Secret 값을 base64로 인코딩해야 할 수도 있습니다.
enhancementGo 런타임 업데이트로 성능과 보안 강화
v1.34.9는 Go 1.25.11을 사용하며, 런타임 최적화와 보안 패치를 포함합니다. 제어 플레인과 워커 노드를 다음에 순환 업그레이드할 때 반영하세요. 애플리케이션 코드 수정은 불필요하지만, Go 업데이트로 인해 클러스터 지연 시간이 감소하고 메모리 사용량이 줄어들 수 있습니다.
주요 변경 (5)
- Go 1.25.11로 빌드되어 성능 및 보안 패치 개선
- CSI republish 오류 후 마운트 디렉터리를 삭제하던 kubelet 버그 수정
- 빈 IPFamilies 필드를 가진 서비스 처리 시 엔드포인트 컨트롤러 패닉 수정
- 바이너리 non-UTF8 데이터를 포함한 Secret을 참조하는 컨테이너 환경 변수 파싱 회귀 버그 수정
- kubeadm 인증서 dry-run 모드에서 기존 CA 파일을 올바르게 복사하도록 수정
Dapr 1.16.15는 발급자 키가 Ed25519 또는 RSA일 때 dapr-sentry가 기동 직후 crash-loop에 빠지는 버그를 수정합니다. 1.18에서 다운그레이드했거나 발급자 키를 교체한 경우 즉시 확인이 필요합니다.
breaking1.18 다운그레이드 또는 발급자 키 교체 환경은 1.16.15로 업그레이드하세요
1.18에서 1.16으로 다운그레이드하면 dapr-trust-bundle 시크릿에 Ed25519 발급자 키가 그대로 남습니다. 이 상태에서 dapr-sentry는 crash-loop에 빠지고 새로운 mTLS 인증서 발급이 전면 중단됩니다. 기존 사이드카는 인증서가 만료되기 전까지는 동작하지만, 파드 재시작이나 인증서 만료 시점에 identity 취득에 실패합니다. 1.16.15로 즉시 업그레이드하세요. 당장 업그레이드가 어렵다면, dapr-trust-bundle의 발급자 키를 ECDSA P-256으로 교체하는 방법이 유일한 임시 해결책입니다.
주요 변경 (5)
- dapr-trust-bundle에 Ed25519 또는 RSA 발급자 키가 있으면 dapr-sentry가 'unsupported key type' 오류로 기동 실패
- 원인: dapr/kit의 EncodePrivateKey가 *ecdsa.PrivateKey와 포인터형 *ed25519.PrivateKey만 처리하고, 값 타입 ed25519.PrivateKey와 RSA는 누락
- 수정: dapr/kit v0.16.3에서 세 가지 키 타입 모두 PKCS#8로 정상 처리하도록 개선
- 1.18에서 1.16으로 다운그레이드한 클러스터, 또는 발급자 키를 Ed25519/RSA로 교체한 1.16 배포 환경이 영향권
- sentry가 crash-loop 중이어도 인증서가 아직 유효한 사이드카는 동작하지만, 새로 뜨거나 인증서가 만료된 사이드카는 ID 발급 실패
Falco 0.44.1은 BPF 반복자 제어 옵션을 추가하고 libs 버전 업을 통해 여러 BPF 관련 버그를 수정합니다. 커널 레벨 추적을 사용하는 배포 환경의 안정성에 중점을 둔 최소한의 릴리스입니다.
breakinglibs와 커널 드라이버를 함께 업데이트하세요
이번 릴리스에서 libs는 0.25.4로, 드라이버는 10.2.0+driver로 업그레이드됩니다. 커널 드라이버 버전을 Falco와 분리해서 관리한다면 같은 유지보수 기간에 둘 다 업데이트해야 합니다. 버전이 맞지 않으면 시스템 호출 캡처 실패나 무음 데이터 손실이 발생할 수 있습니다.
enhancementBPF 반복자로 인한 성능 또는 호환성 문제가 있으면 비활성화 옵션 활용
Falco 0.44.1에서 BPF 반복자를 비활성화하는 설정 옵션이 추가되었습니다. 커널의 BPF 반복자 구현이 불안정하거나 반복자 오버헤드로 인한 높은 CPU 사용량을 관찰하고 있다면 비활성화를 테스트해보세요. 업그레이드 후 Falco 로그와 메트릭을 확인하여 0.44.0에서 겪던 BPF 관련 불안정성이 해결되었는지 검증하세요.
주요 변경 (3)
- Falco 설정에서 BPF 반복자 비활성화 옵션 추가
- libs 0.25.4, 드라이버 10.2.0+driver로 업그레이드하여 BPF 반복자 버그 해결
- x86_64 및 aarch64 플랫폼에 대해 rpm, deb, tgz 형식으로 패키지 제공