OpenFeature flagd/v0.15.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗릴리즈
CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.
Flux v2.8.5는 Kustomization을 멈추게 하던 캐시 경쟁 조건 버그와 Azure Blob 접두사 미적용 문제를 수정하고, GCR Receiver 검증 필드를 추가한 패치 릴리스입니다.
breakingKustomization이 멈춰 있다면 이 패치로 해결되겠습니다
조정 타임아웃이나 취소 이후 Kustomization이 stuck 상태로 남아 수동으로 flux reconcile을 실행하거나 파드를 재시작해야 했다면, kustomize-controller v1.8.3의 경쟁 조건 수정이 바로 이 문제를 해결합니다. v2.8.5로 업그레이드한 뒤 조정 루프를 모니터링하세요. 별도 설정 변경은 없으며, 기존에 멈춰 있던 Kustomization이 자동으로 복구되는지 확인하면 됩니다.
breaking업그레이드 후 Azure Blob prefix 필터링 동작을 반드시 검증하세요
Azure Blob Storage 기반 Bucket 소스에 prefix를 설정했다면, 기존에는 해당 옵션이 실제로 적용되지 않아 의도보다 더 많은 오브젝트를 동기화하고 있었습니다. v2.8.5 업그레이드 후 prefix 필터가 실제로 작동하므로, 예상한 블롭 범위만 동기화되는지 확인하고 기존에 무시되던 경로가 배포에 영향을 주지 않는지 검증해야 합니다.
enhancementGCR 웹훅 보안을 email/audience 필드로 강화하세요
GCR Receiver에 선택적 'email'과 'audience' 필드가 추가됐습니다. GCR 이미지 푸시 웹훅으로 Flux 조정을 트리거하고 있다면, Receiver 스펙에 이 필드를 추가해 서비스 계정 ID와 토큰 대상을 검증하도록 설정하세요. 위조된 웹훅 요청의 위험을 낮출 수 있습니다. 선택 사항이므로 기존 설정은 그대로 동작하지만, 보안 요구사항이 높은 환경에서는 적용을 권장합니다.
주요 변경 (5)
- kustomize-controller 경쟁 조건 수정: 취소된 조정 작업이 남긴 스테일 캐시로 Kustomization이 멈추던 문제 해결
- Azure Blob Storage 소스 수정: prefix 옵션이 스토리지 클라이언트에 전달되지 않던 버그 수정 (기존에는 조용히 무시됨)
- source-controller에서 비밀번호 없는 암호화 SSH 키 사용 시 오류 메시지 개선
- notification-controller GCR Receiver에 'email' 및 'audience' 선택 필드 추가로 웹훅 검증 강화
- notification-controller에 Azure Event Hub 관리 ID 인증 예시 매니페스트 추가
Flux v2.8.4는 CLI 전용 패치 릴리스로, Windows에서의 'flux build/diff ks' 오류와 'create kustomization'의 --source 플래그 유효성 검사 문제를 수정했습니다.
breaking'create kustomization' 스크립트의 --source 값 점검 필요
--source 플래그 유효성 검사가 추가되면서, 기존에 잘못된 source 참조를 넘겨도 통과되던 스크립트가 이제 명시적으로 실패합니다. CI/CD 파이프라인에 새 CLI를 배포하기 전에 자동화 스크립트를 먼저 테스트해 두세요.
enhancementWindows 사용자라면 즉시 CLI 업그레이드 필요
Windows 워크스테이션이나 CI 러너에서 flux build ks / flux diff ks를 쓰고 있다면 해당 명령이 제대로 동작하지 않았을 겁니다. CLI를 v2.8.4로 업그레이드하면 되고, 클러스터 측 변경은 필요 없습니다.
주요 변경 (3)
- Windows에서 'flux build ks' 및 'flux diff ks' 명령 동작 복구
- 'flux create kustomization'의 --source 플래그 유효성 검사 추가로 잘못된 입력 조기 차단
- fluxcd/pkg 의존성 패키지 업데이트
v1.14.0은 ListObjects의 잠재적 데드락을 수정하고, 교집합 알고리즘 성능을 개선하며, BatchCheck 캐싱을 추가합니다. PostgreSQL 사용자에게 영향을 주는 SQL 직렬화 버그도 함께 수정됩니다.
securityPostgreSQL 사용자: SQL 직렬화 수정 적용 필수
TupleOperation 직렬화 버그와 pgx.ErrNoRows 오류 처리 문제는 PostgreSQL 환경에서 데이터 불일치나 잘못된 오류 처리로 이어질 수 있습니다. Postgres 기반으로 OpenFGA를 운영 중이라면 이 수정 사항만으로도 업그레이드 이유가 충분합니다. 업그레이드 후 튜플 쓰기/읽기 동작을 반드시 검증하세요.
breakingCVE-2026-33729 검토 후 즉시 업그레이드
릴리스 노트에 CVE-2026-33729가 명시적으로 언급됩니다. 마이너 릴리스에 CVE 업데이트가 포함된 경우 즉각 대응이 필요합니다. CVE 세부 내용이 공개되기 전에 v1.14.0으로 업그레이드하고, 배포 환경의 노출 범위를 점검하세요.
enhancement고동시성 환경에서 ListObjects 데드락 수정이 핵심
ListObjects 파이프라인의 데드락은 실제 프로덕션 부하에서만 나타나는 유형의 버그입니다. ListObjects를 대량으로, 특히 동시 호출 환경에서 사용하고 있다면 이 수정이 필수적입니다. 업그레이드 후 실제 동시성 패턴으로 ListObjects 스트레스 테스트를 실행해 안정성을 확인하세요.
enhancementBatchCheck 캐싱으로 대규모 권한 검사 레이턴시 절감
튜플이나 조건이 겹치는 BatchCheck를 반복 호출하는 경우, 새 캐싱 레이어가 레이턴시와 백엔드 부하를 낮춰줄 겁니다. 별도 설정 변경 없이 자동 적용되는 것으로 보이지만, 새로 추가된 튜플 이터레이터 쿼리 통계를 활용해 실제 환경에서 개선 효과를 모니터링하세요.
주요 변경 (5)
- ListObjects 파이프라인 알고리즘의 잠재적 데드락 수정으로 동시 부하 환경에서의 안정성 향상
- 교집합(intersection) 알고리즘 개선으로 레이턴시 감소 및 메모리 사용량 절감
- BatchCheck 결과 캐싱 추가로 중복 권한 검사 요청 감소
- PostgreSQL 백엔드의 TupleOperation 직렬화 버그 및 pgx.ErrNoRows 오류 처리 수정
- 튜플 이터레이터 쿼리 통계 추가로 DB 쿼리 동작 관찰 가능성 개선
Lima v2.1.1은 Windows 바이너리 아티팩트 추가와 소수의 엣지 케이스 버그 수정에 집중한 패치 릴리스이며, nerdctl 보안 업데이트가 포함되어 있습니다.
securitynerdctl 배포판 업데이트로 BuildKit·CNI 보안 패치 적용
번들된 nerdctl이 v2.2.1에서 v2.2.2로 올라가면서 BuildKit 0.28.1과 CNI plugins 1.9.1이 함께 업데이트됐습니다. 두 업스트림 모두 보안 수정이 포함되어 있습니다. Lima의 nerdctl 템플릿으로 컨테이너 워크로드를 운영 중이라면 v2.1.1로 빠르게 업그레이드하고, BuildKit 및 CNI plugins 릴리스 노트에서 본인 환경에 해당하는 CVE를 직접 확인하세요.
enhancementWindows 사용자는 공식 바이너리로 전환
v2.1.1부터 Lima의 Windows 바이너리가 공식 릴리스에 포함됩니다. 팀 내 Windows 개발자(예: WSL2 기반 Lima 사용자)가 있다면 커스텀 빌드 대신 공식 릴리스 바이너리를 사용하도록 안내하세요. 온보딩이 간소화되고 검증된 빌드를 일관되게 유지할 수 있습니다.
enhancement기업 환경 Mac 사용자의 UID 범위 오류 해결
macOS 게스트가 이제 관례적인 UID 범위 밖의 값도 수용합니다. LDAP이나 Active Directory로 관리되는 기업 Mac에서 Lima를 사용하다 원인 불명의 오류를 겪었던 경우라면 이번 수정으로 해결됩니다. 별도 설정 변경 없이 업그레이드만 하면 됩니다.
주요 변경 (5)
- 공식 릴리스에 Windows 바이너리 아티팩트 추가 — Windows에서 소스 빌드 불필요
- macOS 게스트: 비표준 UID 범위 허용 — 기업 디렉토리(LDAP 등) 환경에서 발생하던 오류 해결
- Virtualization Framework(vz): `audio.device=none` 설정이 무시되던 버그 수정
- nerdctl v2.2.2로 업그레이드 — BuildKit 0.28.1, CNI plugins 1.9.1 보안 패치 포함
- AlmaLinux Kitten 10 템플릿에 riscv64 아키텍처 지원 추가
프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.
security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지
openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.
breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수
admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.
enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토
멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.
주요 변경 (5)
- 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
- 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
- Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
- openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
- @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.
security즉시 패치 — 복수의 고위험 CVE 포함
이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.
security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요
CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.
enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장
Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.
주요 변경 (5)
- CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
- CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
- CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
- CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
- CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능
v3.11.0은 새로운 서비스 디스커버리 기능과 TSDB 실험적 기능을 대거 추가했습니다. 특히 보존 기간이 설정값보다 100만 배 길어지는 심각한 버그가 수정되었으니 즉시 업그레이드해야 합니다.
breakingTSDB 보존 기간 버그 수정 — 디스크 폭증 전에 업그레이드
config 파일에서 `storage.tsdb.retention.time`을 설정할 때 단위 파싱 오류로 인해 실제 보존 기간이 설정값의 100만 배로 동작했습니다. CLI 플래그 대신 config 파일로 retention을 지정하고 있다면 디스크가 예상보다 훨씬 많은 데이터를 보유하고 있을 수 있습니다. 3.11.0으로 업그레이드 후 디스크 사용량을 반드시 확인하세요. 아울러 config에서 retention 설정을 제거하면 CLI 플래그 값으로 폴백되도록 동작이 바뀌었으니 설정을 재검토하세요.
breakingHetzner hcloud SD 레이블 2026년 7월 전에 마이그레이션
`__meta_hetzner_datacenter`, `__meta_hetzner_hcloud_datacenter_location*` 레이블은 hcloud 역할에서 2026년 7월 1일부터 동작하지 않습니다. relabeling 설정과 recording rule을 전수 점검해 `__meta_hetzner_hcloud_location`, `__meta_hetzner_hcloud_location_network_zone`으로 교체하세요. robot 역할의 기존 레이블은 하위 호환성을 위해 유지됩니다.
enhancementretention.percentage로 TSDB 디스크 사용량 상한 설정
새로 추가된 `storage.tsdb.retention.percentage` 설정을 사용하면 TSDB가 사용할 수 있는 디스크 비율의 상한을 지정할 수 있습니다. 데이터 수집량이 가변적인 환경에서 바이트 기반 상한을 추정하는 것보다 훨씬 관리하기 쉽습니다. 기존 시간 기반 retention을 대체하기보다는 함께 설정해 두 조건 모두 적용되도록 운영하는 것을 권장합니다.
주요 변경 (6)
- 긴급 버그: TSDB retention time 단위 오류로 보존 기간이 설정값의 1e6배로 동작 — 즉시 패치 필요
- Hetzner hcloud SD 레이블 `__meta_hetzner_datacenter` 등 2026년 7월 1일부로 삭제 예정
- AWS SD에 Elasticache·RDS 역할 추가, Azure Workload Identity 인증 지원
- 새 `storage.tsdb.retention.percentage` 설정으로 디스크 사용량 비율 상한 지정 가능
- 실험적 `fast-startup` 플래그: WAL 디렉토리에 시리즈 상태 저장해 재시작 시간 단축
- OTLP ErrTooOldSample 응답 코드 500→400 수정으로 클라이언트 무한 재시도 루프 해소
v1.33.11은 코드 변경이나 의존성 업데이트가 전혀 없는 유지보수 재빌드 릴리스입니다.
enhancementv1.33.10 운영 중이라면 이번 업그레이드는 건너뛰어도 됩니다
기능 변경도, 보안 수정도 없습니다. v1.33.10을 안정적으로 운영 중이라면 굳이 유지보수 창을 잡을 이유가 없습니다. 실질적인 수정이 포함된 v1.33.12 이상을 기다렸다가 업그레이드하는 편이 낫습니다.
enhancementSBOM·cosign 검증 파이프라인 테스트 기회로 활용하세요
모든 빌드에 SPDX SBOM과 cosign 번들 파일이 포함됩니다. 소프트웨어 공급망 보안 요건이 있다면, 영향도가 낮은 이번 릴리스를 활용해 cosign 검증 워크플로를 파이프라인에 통합하고 테스트해두는 게 좋습니다.
주요 변경 (4)
- v1.33.10 대비 코드 변경 없음
- 의존성 추가·변경·삭제 없음
- amd64, arm64, ppc64le, s390x 아키텍처용 아티팩트 제공
- 모든 아티팩트에 SPDX SBOM 및 cosign 서명 파일 포함
CRI-O v1.35.2는 이미지 풀 자격증명 검증, 메트릭 누락, OCI 아티팩트 스토어 오염 문제를 수정한 버그픽스 패치입니다.
breaking업그레이드 후 자격증명 프로바이더 동작 검증 필요
PullImage 수정으로 이미지 풀 시 반환값이 달라졌습니다. Kubernetes 자격증명 프로바이더 플러그인을 쓰거나 이미지 풀 동작을 검증하는 자동화가 있다면, 프로덕션 적용 전 반드시 테스트하세요. 기존 동작은 엣지 케이스에서 자격증명 검증을 조용히 건너뛸 수 있었습니다.
enhancement메트릭 파이프라인 점검 — 데이터가 누락됐을 수 있음
이번 패치 이전 v1.35.x를 운영 중이었다면, 'all' 설정 시 메트릭이 불완전하게 수집됐을 겁니다. 업그레이드 후 메트릭 수가 늘어날 수 있는데, 이는 정상입니다. 대시보드와 알림 임계값을 미리 확인해두세요.
enhancement에어갭·미러 환경에서 additional_artifact_stores 활용
에어갭 클러스터나 내부 아티팩트 미러를 운영한다면, 새로운 'additional_artifact_stores' 옵션으로 읽기 전용 소스를 여러 개 깔끔하게 설정할 수 있습니다. pinned_images 수정과 함께 쓰면 고정 이미지가 의도한 스토어에서 일관되게 풀리는지 보장할 수 있습니다.
주요 변경 (5)
- PullImage가 이미지 ID를 직접 반환하도록 수정 — Kubernetes 자격증명 검증 호환성 문제 해결
- 'all' 설정 시 메트릭이 누락되던 버그 수정
- 일반 컨테이너 이미지가 OCI 아티팩트 스토어에 잘못 저장되던 문제 수정
- pinned_images 설정이 아티팩트 스토어 이미지에도 일관되게 적용되도록 개선
- 읽기 전용 아티팩트 스토어 추가 설정을 위한 'additional_artifact_stores' 옵션 신규 지원
CRI-O v1.34.7은 v1.34.6 대비 코드 변경이나 의존성 업데이트가 전혀 없는 패치 릴리스입니다. 사실상 재빌드 수준의 릴리스입니다.
enhancementv1.34.6 사용 중이라면 업그레이드 급하지 않습니다
기능 변경도, 보안 패치도 없습니다. v1.34.6을 운영 중이라면 당장 올릴 이유가 없습니다. 다만 컴플라이언스 정책상 최신 패치 태그가 필요하거나, 아티팩트 출처 추적이 요구되는 환경이라면 SPDX SBOM과 cosign 번들이 모두 갖춰져 있으므로 그 목적으로는 활용 가능합니다.
주요 변경 (4)
- v1.34.6 대비 코드 변경 없음
- 의존성 추가·변경·제거 없음
- amd64, arm64, ppc64le, s390x 아키텍처 아티팩트 제공
- 전 아키텍처에 SPDX 형식 SBOM 및 cosign 서명 번들 포함
v2.0.2는 wasmtime v43 업그레이드, Kubernetes Host 파드 리콘실러 추가, 설치 스크립트 개선을 담은 패치 릴리스입니다.
enhancementwasmtime 43 런타임 개선 적용을 위한 업그레이드 권장
wasmtime 43은 업스트림 버그 수정과 성능 개선을 포함합니다. v2.0.1을 운영 중이라면 위험 부담이 낮은 업그레이드입니다. wasmCloud API 변경은 없으므로 호스트만 재배포하면 됩니다.
enhancementKubernetes 운영자: 새 Host 파드 리콘실러 검증 필요
Host 파드 리콘실러는 Kubernetes에서 동작하는 wasmCloud 호스트 파드의 생명주기를 더 정교하게 처리합니다. wasmCloud 오퍼레이터를 사용 중이라면 프로덕션 적용 전에 스테이징 클러스터에서 파드 재시작과 스케줄링 동작을 먼저 검증하세요.
enhancementWindows 사용자: winget으로 wash 설치 가능
wash가 winget 패키지 레지스트리에 등록됐습니다. Windows 환경의 팀은 바이너리를 수동으로 받는 대신 winget으로 표준화된 설치가 가능해졌으며, Windows 러너 기반 CI 파이프라인 구성에도 활용할 수 있습니다.
주요 변경 (5)
- wasmtime v43으로 업그레이드 — 최신 런타임 버그 수정 및 성능 개선 반영
- Kubernetes Host 파드 리콘실러 추가로 wasmCloud 호스트 파드 생명주기 관리 강화
- 원스텝 설치 스크립트 개선으로 초기 설치 경험 향상
- Windows에서 winget으로 wash CLI 설치 지원 추가
- Helm values.local.yaml을 현재 기본값에 맞게 업데이트
etcd v3.6.10은 3.6 시리즈의 패치 릴리스입니다. 릴리스 노트가 간략하므로, 업그레이드 전 전체 CHANGELOG를 반드시 확인하세요.
breaking업그레이드 전 공식 가이드 필독
v3.6 릴리스는 브레이킹 체인지가 포함될 수 있다고 명시하고 있습니다. 클러스터 업그레이드 전에 v3.6 공식 업그레이드 가이드와 CHANGELOG-3.6.md 전문을 검토하세요. 일반 패치처럼 무심코 적용하면 운영 장애로 이어질 수 있습니다.
enhancement컨테이너 이미지 소스를 gcr.io로 전환
etcd는 gcr.io/etcd-development/etcd를 기본 레지스트리로, quay.io/coreos/etcd를 보조로 지정했습니다. 이미지 풀 설정이나 에어갭 미러 구성이 여전히 quay.io를 우선하고 있다면 gcr.io 기준으로 업데이트하는 것이 좋습니다.
주요 변경 (4)
- 3.6 시리즈 패치 릴리스 — 세부 변경사항은 전체 CHANGELOG 참조
- 브레이킹 체인지 가능성이 있으므로 업그레이드 가이드 사전 검토 필수
- 컨테이너 이미지는 gcr.io(기본)와 quay.io(보조)에서 제공
- 지원 플랫폼 매트릭스 업데이트 — 사용 중인 아키텍처/OS 지원 여부 재확인 권장
etcd v3.5.29는 3.5 브랜치의 유지보수 릴리스입니다. 릴리스 노트 자체에는 세부 변경 사항이 없어 CHANGELOG를 직접 확인해야 합니다.
security컨테이너 이미지 레지스트리 출처 검증
CI/CD 파이프라인에서 etcd 이미지를 사용한다면, 기본 레지스트리인 gcr.io/etcd-development/etcd를 사용하는지 확인하세요. quay.io 미러는 보조 레지스트리라 최신 이미지 반영이 늦을 수 있습니다. 플로팅 태그 대신 이미지 다이제스트를 고정해 공급망 위험을 줄이세요.
breaking패치 릴리스라도 공식 업그레이드 가이드를 건너뛰지 마세요
릴리스 노트가 명시적으로 3.5.x 패치 버전에도 브레이킹 체인지가 있을 수 있다고 경고합니다. 특히 Kubernetes 컨트롤 플레인 백엔드로 etcd를 운영 중이라면 스테이징 환경에서 먼저 검증하세요. etcd 업그레이드 실패는 클러스터 전체 장애로 이어질 수 있습니다.
enhancement업그레이드 전 CHANGELOG-3.5.md 확인
이번 릴리스 노트에는 구체적인 변경 내용이 없습니다. etcd GitHub 저장소의 CHANGELOG-3.5.md에서 v3.5.29 항목을 직접 확인하세요. 3.5 브랜치 패치 릴리스에는 버그 픽스나 CVE 패치가 포함되는 경우가 많은데, 버전 번호만 보고 넘어가기 쉽습니다.
주요 변경 (4)
- 3.5 안정 브랜치의 패치 릴리스
- 구체적인 변경 내용은 CHANGELOG-3.5.md에서 직접 확인 필요
- 컨테이너 이미지: 기본 레지스트리 gcr.io/etcd-development/etcd, 보조 레지스트리 quay.io/coreos/etcd
- 패치 버전에도 브레이킹 체인지가 포함될 수 있으므로 업그레이드 가이드 사전 검토 필수
etcd v3.4.43은 3.4 브랜치의 유지보수 릴리스입니다. 릴리스 노트에 변경 내역이 없으므로, 업그레이드 전 CHANGELOG를 직접 확인해야 합니다.
breaking패치 버전 업그레이드에도 업그레이드 가이드 확인 필요
패치 릴리스라도 etcd 팀은 간헐적으로 동작 변경이나 기능 폐기를 포함시킵니다. etcd는 컨트롤 플레인의 데이터 저장소인 만큼, 패치 버전이라고 무조건 안전하다고 가정하지 말고 v3.4 공식 업그레이드 가이드를 반드시 점검하세요.
enhancement업그레이드 전 CHANGELOG 직접 확인
릴리스 노트에 변경 내역이 기재되어 있지 않습니다. 업그레이드 전에 CHANGELOG-3.4.md를 열어 현재 버전과 차이를 직접 비교하세요. 3.4.x 패치는 버그 수정과 CVE 백포트를 포함하는 경우가 많아, 검토를 건너뛰면 중요한 수정 사항을 놓칠 수 있습니다.
주요 변경 (4)
- 3.4.x 안정 브랜치의 유지보수 릴리스
- 변경 세부 내역은 CHANGELOG-3.4.md에서만 확인 가능
- 기본 컨테이너 이미지는 gcr.io/etcd-development/etcd, quay.io/coreos/etcd는 보조 레지스트리
- 배포 전 공식 업그레이드 가이드 검토 필수
OpenFeature core/v0.15.0이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.0이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗Karmada v1.17.1은 무중단 축출 실패, 인증서 갱신 루프, Helm 차트 렌더링 오류, OpenAPI 스키마 오류 등 4가지 버그를 수정한 패치 릴리스입니다.
breakinggraceful eviction 사용 중이라면 즉시 패치 필요
이 경쟁 조건의 문제는 실패가 무음으로 처리된다는 점입니다. 테인트가 걸리거나 장애 중인 멤버 클러스터에서 워크로드가 축출되지 않아도 아무런 오류가 발생하지 않습니다. 멀티 클러스터 HA 환경이라면 v1.17.1로 즉시 업그레이드하고, 업그레이드 후 보류 중인 eviction 작업이 정상 완료됐는지 반드시 확인하세요.
breakingkarmada-agent 인증서 만료 여부 점검 필요
SignerName 불일치로 인해 v1.17.0에서 인증서 갱신 CSR이 한 건도 승인되지 않았습니다. v1.17.0을 운영 중이었다면 에이전트 인증서가 갱신되지 않은 채 만료 기한이 가까워졌을 수 있습니다. 업그레이드 후 에이전트 인증서 만료일을 확인하고, 필요하면 수동으로 갱신을 트리거하세요.
enhancementHelm 차트 업그레이드 후 TLS 설정 재확인 필요
v1.17.0에서 karmada-chart를 업그레이드했을 때 설정에 '{{ ca_crt }}'가 문자 그대로 남아 있었다면, CA 인증서가 주입되지 않은 상태입니다. v1.17.1로 업그레이드한 뒤 Helm upgrade를 다시 실행해 CA 인증서가 올바르게 렌더링됐는지, TLS 설정이 정상인지 확인하세요.
주요 변경 (4)
- 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 무음으로 누락되던 경쟁 조건 수정
- cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 CSR 자동 승인이 전혀 이뤄지지 않던 인증서 갱신 버그 수정
- karmada-chart 업그레이드 시 '{{ ca_crt }}'가 렌더링되지 않고 그대로 남던 Helm 차트 문제 수정
- Go 타입명 대신 완전 수식 모델명(fully qualified name) 사용으로 OpenAPI 스키마 unknown model 오류 해결
v1.16.4는 인증서 자동 갱신 중단, Helm 업그레이드 시 ca_crt 미렌더링, 그리고 무중단 축출 작업이 조용히 누락되는 레이스 컨디션 세 가지 버그를 수정합니다.
security인증서 자동 갱신이 조용히 멈춰 있었음 — 업그레이드 후 즉시 인증서 유효기간 점검
SignerName 불일치로 인해 karmada-agent의 인증서 갱신 CSR이 한 번도 승인되지 않았습니다. 즉, 에이전트 인증서가 갱신 없이 만료되고 있었던 셈입니다. v1.16.4로 업그레이드한 뒤, 모든 멤버 클러스터의 karmada-agent 인증서 만료일을 확인하고 만료가 임박한 것은 수동으로 갱신을 트리거하세요. 이 수정 이전에 자동 갱신이 정상 동작했다고 가정하지 마세요.
breaking축출 레이스 컨디션으로 워크로드가 장애 클러스터에 방치됐을 수 있음
컨트롤러 레플리카를 여러 개 운영하거나 ResourceBinding 변경이 잦은 환경이라면, 이번 수정 전에 taint된 클러스터나 비정상 클러스터에서 워크로드 축출이 조용히 실패했을 가능성이 있습니다. v1.16.4로 즉시 업그레이드한 뒤, 현재 클러스터 taint 상태와 ResourceBinding 상태를 점검해 누락된 축출 작업이 없는지 확인하세요.
breakingHelm 업그레이드로 ca_crt가 제대로 적용되지 않았다면 TLS 설정 재확인 필요
{{ ca_crt }} 템플릿 변수가 Helm 업그레이드 시 렌더링되지 않아 TLS 설정이 잘못 배포됐을 수 있습니다. v1.16.3에서 Helm으로 업그레이드한 이력이 있다면, 배포된 시크릿과 차트 값에서 ca_crt가 올바르게 채워져 있는지 확인하세요. 문제가 의심된다면 v1.16.4로 다시 업그레이드해 재적용하세요.
주요 변경 (3)
- karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
- karmada-chart: Helm 업그레이드 시 {{ ca_crt }} 변수가 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
- karmada-controller-manager: 여러 컨트롤러가 동일한 ResourceBinding/ClusterResourceBinding을 동시에 수정할 때 graceful eviction 작업이 조용히 누락되던 레이스 컨디션 수정
Karmada v1.15.7은 에이전트 인증서 갱신 교착 상태, Helm 차트 업그레이드 렌더링 오류, 그리고 무증상으로 eviction 작업을 누락시키던 경쟁 조건 버그 세 가지를 수정한 패치 릴리스입니다.
breaking에이전트 인증서 만료 여부를 즉시 점검하세요
SignerName 불일치 버그로 인해 CSR이 승인되지 못했다면, karmada-agent의 인증서가 이미 만료됐거나 만료 임박 상태일 수 있습니다. v1.15.7로 업그레이드 전에 각 에이전트 인증서의 NotAfter 필드를 확인하고, 만료된 경우 수동 갱신을 먼저 진행하세요. 인증서 TTL이 짧은 환경일수록 긴급도가 높습니다.
breakingeviction 누락으로 문제 클러스터에 워크로드가 남아있을 수 있습니다
graceful eviction의 경쟁 조건 버그로 인해, 클러스터에 taint가 추가되거나 장애 상태가 됐을 때 복수의 컨트롤러가 동시에 동작 중이었다면 eviction 작업이 무증상으로 누락됐을 가능성이 있습니다. 업그레이드 전에 ResourceBinding 및 ClusterResourceBinding 오브젝트에서 미처리된 eviction 조건을 점검하고, 영향받은 바인딩에 대해 업그레이드 후 eviction을 재트리거하세요.
breakingHelm 업그레이드 시 ca_crt 렌더링 결과를 반드시 검증하세요
{{ ca_crt }}가 렌더링되지 않으면 TLS 설정이 리터럴 문자열로 남아 연결 오류로 이어집니다. v1.15.7로 Helm 업그레이드 후 배포된 Secret 또는 ConfigMap에서 ca_crt 값이 실제 인증서 데이터로 채워졌는지 확인하세요. 이전 업그레이드에서 문제가 발생했다면 해당 리소스를 재배포해야 합니다.
주요 변경 (4)
- karmada-agent: cert_rotation_controller와 agent_csr_approving 간 SignerName 불일치로 인증서 갱신 CSR이 자동 승인되지 않던 문제 수정
- karmada-chart: Helm 업그레이드 시 {{ ca_crt }}가 그대로 렌더링되지 않아 TLS 설정이 깨지던 문제 수정
- karmada-controller-manager: 여러 컨트롤러가 동일 ResourceBinding/ClusterResourceBinding을 동시 수정할 때 graceful eviction 작업이 조용히 누락되던 경쟁 조건 수정
- 위 세 버그 모두 운영 환경에서 무증상으로 진행될 수 있어 즉각적인 업그레이드 및 상태 점검 필요
v2.17.0은 UI의 XSS 보안 취약점 수정, 사이드 패널 스팬 상세 보기·트레이스 로그 집계 등 주요 UI 기능 추가, 그리고 패닉 방지 및 클럭 스큐 수정 등 백엔드 안정성 개선을 포함합니다.
securityXSS 취약점 수정을 위해 UI를 즉시 업데이트하세요
기존 UI는 트레이스 속성 값을 innerHTML로 렌더링해서, 스팬 데이터에 악성 HTML이 포함될 경우 XSS 공격에 노출될 수 있었습니다. v2.17.0에서 textContent로 교체하여 수정됐습니다. Jaeger UI를 여러 팀이 공유하거나 스팬 데이터를 외부 입력으로부터 받는 환경이라면 우선순위를 높여 v2.17.0 이미지로 재배포하세요.
breaking클럭 스큐 수정으로 스팬 종료 타임스탬프가 달라집니다 — 트레이스 데이터 검증이 필요합니다
기존 클럭 스큐 조정기는 시작 시간만 보정하고 종료 시간은 그대로 뒀습니다. 이제 둘 다 보정되므로, 조정된 트레이스 데이터를 기반으로 SLO나 레이턴시 계산을 하는 팀은 업그레이드 후 대시보드와 알림 규칙을 실제 트레이스로 재검증해야 합니다.
enhancement사이드 패널 스팬 뷰로 트레이스 분석이 편해집니다
기존에는 스팬 상세 정보가 인라인으로 펼쳐져서 타임라인 맥락이 사라졌습니다. 새 사이드 패널 모드에서는 타임라인을 유지하면서 스팬을 검사할 수 있습니다. 별도 설정 없이 UI에서 스팬을 클릭하면 바로 사용 가능하니, 팀의 디버깅 워크플로우 개선 사례로 공유해볼 만합니다.
주요 변경 (6)
- 보안: UI에서 innerHTML을 textContent로 교체하여 XSS 공격 벡터 제거
- 신규 UI 기능: 스팬 상세 정보를 인라인 대신 사이드 패널에서 열 수 있어 트레이스 분석 시 맥락 유지 가능
- 신규 UI 기능: 트레이스 로그 뷰에서 모든 스팬 이벤트를 한 곳에 집계하여 디버깅 편의성 향상
- 백엔드 수정: 클럭 스큐 조정기가 시작 타임스탬프뿐 아니라 종료 타임스탬프도 올바르게 보정
- 백엔드 수정: jitter 계산 시 0 또는 서브 나노초 Duration으로 인한 패닉 방지 처리 추가 (프로덕션 크래시 #8149 수정)
- 실험적 ClickHouse 백엔드: 쿼리 최적화 및 트레이스 ID 중복 제거 스키마 수정
Dapr v1.16.12는 gRPC 인증 우회 CVE 패치, Pulsar Avro/JSON 스키마 처리 버그 수정, 그리고 파드 재시작 후 최대 20분간 지속되던 Scheduler 클러스터 스톨 문제를 해결합니다.
securitygRPC 인증 우회(CVE-2026-33186) 패치를 위해 즉시 업그레이드
CVE-2026-33186은 특정 조건에서 gRPC 인증을 우회해 비인가 요청을 허용합니다. Dapr 1.16.12 이전 모든 1.16.x 버전이 영향을 받으며, 의존성 패치 없이는 우회 방법이 없습니다. 즉시 업그레이드하세요.
breakingPulsar Avro + CloudEvents 스키마 등록 방식 변경 — 기존 토픽 점검 필요
Dapr 1.16.0~1.16.11에서 Avro 스키마와 CloudEvents 래핑(기본값)을 함께 사용하는 Pulsar 토픽은 Schema Registry에 잘못된 스키마가 등록되어 있었습니다. 업그레이드 후에는 올바른 CloudEvents 엔벨로프 Avro 스키마로 등록됩니다. 기존 토픽의 Schema Registry 상태와 비-Dapr 컨슈머의 영향 여부를 확인하세요. 새로 추가된 rawSchema 메타데이터 옵션은 순수 raw 페이로드 전용 토픽에만 사용해야 합니다.
enhancementScheduler HA 환경에서 파드 재시작 후 20분 스톨 문제 해소
Scheduler 3개 인스턴스 HA 구성에서 워크플로우나 액터 리마인더가 실행 중일 때 파드가 재시작되면 클러스터 전체가 최대 20분간 멈추는 문제가 있었습니다. 롤링 업데이트나 노드 유지보수 후 워크플로우나 리마인더가 설명 없이 지연됐다면 이 버그가 원인입니다. 이번 수정으로 트리거 전달이 컨텍스트 취소를 즉시 반영해 수초 내 쿼럼을 재확립합니다. 참고로 Dapr v1.17은 트리거 전달 경로 자체를 비동기 방식으로 재설계해 이 문제 유형 자체를 없앴습니다.
주요 변경 (5)
- CVE-2026-33186 패치: gRPC 인증 우회를 허용하던 업스트림 의존성 업그레이드
- Pulsar Avro 구독자가 바이너리 페이로드를 정상 디코딩하도록 수정 — 기존에는 JSON 언마샬 실패로 영구 재시도 루프에 빠졌음
- Pulsar CloudEvents + Avro 스키마 등록 시 CloudEvents 엔벨로프 스키마로 올바르게 래핑, 브로커 측 불일치 해소
- Pulsar JSON 스키마 토픽에서 발행 시 단순 JSON 파싱이 아닌 실제 구조적 유효성 검사 수행
- Scheduler 파드 재시작 후 복구 시간이 최대 20분에서 5초 미만으로 단축 — 블로킹 트리거 전달 경로 수정
Volcano v1.13.2는 패치 릴리스로, NUMA 리소스 처리 패닉, GPU 리소스 오류, 스케줄러 스냅샷 상태 오염, Job 내 Terminating Pod 처리 오류 등 5건의 버그를 수정했습니다.
securityNUMA 스냅샷 패닉으로 스케줄러 프로세스가 중단될 수 있음 — NUMA 워크로드 확장 전 패치 적용
스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 nil 포인터 또는 동시 쓰기 패닉이 발생하면 volcano-scheduler 프로세스 전체가 내려갑니다. NUMA 인식 클러스터에서는 Pod가 재시작될 때까지 스케줄링이 완전히 멈춥니다. 토폴로지 인식 워크로드를 운영 중이라면 워크로드 확장 전에 v1.13.2로 패치를 적용하세요.
breaking스케줄러 스냅샷 변이 버그, 스케줄링 결정 오염 가능 — 즉시 업그레이드 필요
스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그(PR #5093)가 이번 릴리스에서 가장 심각한 수정 사항입니다. 여러 스케줄링 사이클이 상태를 공유하면 비결정적 스케줄링 동작이 발생하고, 원인 추적도 매우 어렵습니다. GPU나 멀티태스크 배치 워크로드를 부하 상태에서 운영 중이라면 v1.13.2로 즉시 업그레이드해야 합니다.
enhancementGPU 리소스 오류 수정으로 유령 할당 문제 해결
GPU 리소스 집계 오류가 수정되어 노드가 과다 할당되거나 실제보다 낮은 활용률로 표시되던 문제가 해결됩니다. GPU Pod가 실제 용량이 있음에도 Pending 상태에 머물거나, GPU 노드에서 예기치 않은 스케줄링 실패가 반복되었다면 이번 패치로 해결될 가능성이 높습니다. 업그레이드 후 스케줄러 Pod를 재시작해 남아 있을 수 있는 낡은 리소스 상태를 초기화하세요.
주요 변경 (5)
- Terminating 상태 Pod가 Job에서 조기에 제거되지 않고 올바르게 유지됨
- 스케줄러 스냅샷 생성 중 NUMA 리소스 정보 업데이트 시 발생 가능한 패닉 수정
- GPU 리소스 집계 오류 수정 — 과다/과소 스케줄링으로 이어질 수 있던 문제
- Prometheus 메트릭 클라이언트 업데이트로 지표 보고 오류 수정
- 스케줄러 스냅샷 복제본이 가변 객체를 공유하던 버그 수정 — 스케줄링 사이클 간 상태 오염 방지
KubeVirt v1.8.1은 virt-handler domain-notify 서버 비정상 종료 및 PVC 이름이 긴 경우 VMExport 실패, 두 가지 버그를 수정한 패치 릴리스입니다.
breakingvirt-handler 충돌로 VM 라이프사이클 이벤트가 먹통이 된다면 즉시 업그레이드하세요
domain-notify 서버는 virt-handler와 실행 중인 VM 간 통신을 담당합니다. 비정상 종료 후 재시작되지 않으면 VM 시작·중지·마이그레이션 같은 라이프사이클 작업이 눈에 띄는 오류 없이 그냥 실패합니다. v1.8.0에서 원인 불명의 VM 관리 실패를 경험했다면 이 패치가 해결책입니다. v1.8.0 클러스터라면 가능한 빨리 적용하세요.
enhancement긴 PVC 이름을 쓰는 VMExport 파이프라인을 업그레이드 후 반드시 검증하세요
동적 프로비저너나 네임스페이스 접두사 방식으로 PVC 이름이 길어지는 환경에서 VMExport를 백업·마이그레이션 워크플로에 활용 중이라면, 업그레이드 후 익스포트가 정상 동작하는지 확인해야 합니다. 기존 실패가 조용히 넘어가는 경우가 많아 파이프라인 이상을 놓치기 쉬웠던 만큼, 업그레이드 직후 검증을 권장합니다.
주요 변경 (3)
- virt-handler의 domain-notify 서버가 비정상 종료 시 자동 재시작되도록 수정
- PVC 이름이 길 때 VMExport가 실패하는 문제 해결
- 7명의 기여자, 17개 파일 변경으로 구성된 소규모 집중 패치
v1.20.1은 OpenShift 업그레이드 차단 버그, Gateway API의 parentRef 중복 문제, gRPC 의존성 버전 업을 처리한 패치 릴리스입니다.
securitygRPC 버전 업은 스캐너 대응 수준 — 실제 위험 없음
보고된 CVE는 cert-manager의 실제 코드 경로에 영향을 주지 않습니다. 다만 Trivy, Grype 같은 스캐너가 v1.20.0을 플래그하고 있었다면 v1.20.1로 업그레이드하면 해소됩니다. 긴급성은 낮지만, 파이프라인 노이즈를 줄이고 싶다면 업그레이드할 이유는 충분합니다.
breakingOpenShift 사용자: v1.20.0 건너뛰고 v1.20.1로 바로 업그레이드
v1.20.0에서 order 컨트롤러의 ClusterRole에 issuer finalizer 권한이 빠진 채로 릴리스됐습니다. OpenShift는 RBAC 검증이 엄격해 이 문제가 업그레이드 자체를 막았습니다. v1.20.0 적용을 보류 중이었다면 v1.20.1로 직행하세요. 이미 v1.20.0을 적용했다면 업그레이드 후 order 컨트롤러의 ClusterRole에 finalizer 권한이 정상 포함됐는지 확인하세요.
enhancementGateway API 사용자: parentRef 중복으로 인한 라우팅 이상 여부 점검
issuer config와 어노테이션 양쪽에 parentRef를 지정한 설정에서 v1.20.0은 중복된 parentRef 항목을 생성했습니다. 게이트웨이 구현체에 따라 예측 불가한 동작이 발생할 수 있습니다. v1.20.1로 업그레이드한 뒤, 두 방식을 동시에 쓰던 Certificate 리소스들을 점검해 중복이 제거됐는지 확인하세요.
주요 변경 (3)
- order 컨트롤러에 누락된 issuer finalizer RBAC 추가 — OpenShift 사용자의 v1.20.0 업그레이드 차단 문제 해결
- issuer config과 어노테이션 양쪽에 parentRef가 지정된 경우 Gateway API에서 중복 항목이 생성되던 버그 수정
- 스캐너 경보 해소를 위한 google.golang.org/grpc 버전 업 (cert-manager에 실제 영향 없음)
Argo CD v3.3.6은 앱 정규화 중 잘못된 diff 감지와 캐시에서 잘못된 설치 ID가 반환되는 두 가지 버그를 수정한 패치 릴리스입니다.
breaking불필요한 동기화 루프 발생 시 즉시 업그레이드
변경사항이 없는 앱에서 phantom diff가 감지되거나 동기화가 반복적으로 트리거되고 있다면, 이번 패치가 해당 문제의 원인인 정규화 버그를 수정합니다. 알림 노이즈와 불필요한 리소스 낭비로 이어질 수 있는 문제이므로 3.3.x 사용 중이라면 빠르게 3.3.6으로 업그레이드하세요.
enhancement스키마·API 변경 없음 — 즉시 적용 가능
마이그레이션 작업이나 설정 변경 없이 기존 배포 프로세스대로 업그레이드하면 됩니다. 3.3.x 버전을 사용 중이라면 별도의 주의사항 없이 바로 적용하세요.
주요 변경 (3)
- 앱 정규화 과정에서 컨트롤러가 diff를 잘못 감지해 불필요한 동기화가 트리거되던 문제 수정
- 캐시에서 잘못된 설치 ID가 반환되던 문제 수정 — 텔레메트리나 ID 추적에 영향을 줄 수 있었던 버그
- 컨테이너 이미지 cosign 서명 및 SLSA Level 3 Provenance 유지
Emissary v4.0.1은 distroless 이미지와 순정 Envoy 1.36.2 기반으로 새로 구성된 Emissary 4의 실질적 첫 릴리스로, 업그레이드 전 반드시 확인해야 할 호환성 변경 사항이 다섯 가지입니다.
securityCVE 패치 포함 — 보안 목적만으로도 업그레이드할 이유 충분
의존성 다수와 Python 인터프리터를 CVE 해소 목적으로 업데이트했습니다. 릴리스 노트에 CVE 번호가 명시되어 있지 않으므로, 구체적인 내용은 CHANGELOG를 직접 확인하세요. 이전 버전을 운영 중이라면 보안 패치만을 위해서라도 4.0.1로 올릴 이유가 충분합니다. 다만 호환성 변경 사항 대응 작업을 같은 유지보수 창에 묶어서 처리하는 게 효율적입니다.
breaking업그레이드 전 다섯 가지 호환성 변경 사항 전수 점검
메이저 버전 변경인 만큼 호환성 변경 사항이 다섯 가지나 됩니다. 업그레이드 전 체크리스트: (1) Helm 저장소 URL을 GHCR로 변경하고 차트 버전을 4.0.1로 고정합니다. (2) v1 또는 v2 CRD를 사용 중이라면 values 파일에 enableLegacyVersions: true를 반드시 추가하세요. (3) diagd 설정에서 --metrics-endpoint 플래그를 제거합니다. (4) 배너 엔드포인트 설정을 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 이전합니다. (5) Edge Stack의 커스텀 에러 응답이나 헤더 케이스 기능에 의존하는 부분이 없는지 확인하세요. 순수 Emissary 사용자라면 대부분 문제없지만, 확인은 필요합니다.
enhancementARM64 클러스터에서 멀티아치 이미지 바로 활용 가능
Emissary 4는 amd64와 arm64를 모두 지원하는 멀티아치 Docker 이미지를 제공합니다. Graviton이나 Ampere 기반 노드가 포함된 혼합 아키텍처 클러스터를 운영 중이라면, 커스텀 빌드나 nodeAffinity 설정 없이 그대로 배포할 수 있습니다.
주요 변경 (5)
- distroless 이미지와 수정 없는 순정 Envoy 1.36.2로 전환 — Ambassador Edge Stack 전용 기능(커스텀 에러 응답, 헤더 케이스 변환) 완전 제거
- Helm 차트 저장소가 GHCR(ghcr.io/emissary-ingress/)로 일원화되고, 차트 버전이 Emissary 릴리스 버전과 일치하도록 변경
- 레거시 CRD 변환 웹훅(v1/v2 CRD) 기본 비활성화 — 사용하려면 enableLegacyVersions: true 및 enableV1: true를 명시적으로 설정해야 함
- --metrics-endpoint 옵션 및 기본 배너 엔드포인트 제거 — 배너 기능은 AMBASSADOR_DIAGD_BANNER_ENDPOINT 환경 변수로 대체
- 멀티아치 Docker 이미지로 ARM64 지원 추가, Helm 차트의 CPU 제한 기본값 제거
OPA v1.15.0은 파일 로테이션을 지원하는 플러그인 로깅 시스템을 추가하고, 커스텀 HTTPAuthPlugin 동작 방식을 변경하며, AWS Web Identity 자격 증명 지원을 확장했습니다.
breaking업그레이드 전 커스텀 HTTPAuthPlugin 구현 코드 반드시 점검
커스텀 HTTPAuthPlugin을 구현한 경우, NewClient()는 이제 Client 인스턴스당 한 번만 호출됩니다. 요청 카운터, 트랜스포트 래핑, 로깅 등 요청별 로직이 NewClient()에 있다면 조용히 오동작하게 됩니다. 업그레이드 전에 플러그인 코드를 검토하고 모든 요청별 로직을 Prepare()로 옮겨야 합니다. OPA 내장 플러그인은 이미 수정되었으므로 커스텀 플러그인을 운영하는 팀만 영향을 받습니다.
enhancementfile_logger 플러그인으로 OPA 로그 관리 통합
새로운 file_logger 플러그인은 구조화된 JSON 로그를 자동 로테이션과 함께 기록하며, server.logger_plugin 하나의 설정 블록으로 런타임 로그와 결정 로그를 모두 처리합니다. 현재 OPA stdout을 tailing하거나 외부 로그 shipper로 파이핑하고 있다면, 파일 로거로 전환해 운영 복잡도를 낮출 수 있습니다. HTTP 번들 엔드포인트 없이도 결정 로그를 안정적으로 수집할 수 있어 저지연 환경에 적합합니다.
enhancementEKS 환경에서 IRSA 기반 AWS 자격 증명 네이티브 설정 가능
EKS에서 IRSA(IAM Roles for Service Accounts)를 사용하는 경우, Web Identity 토큰을 Assume Role 자격 증명 플로우에 직접 쓸 수 있게 됐습니다. 기존에 인스턴스 프로파일 자격 증명이나 수동 토큰 주입으로 우회하던 방식을 정리하고, REST 플러그인 AWS 서명 설정에서 web identity 프로바이더를 사용하도록 업데이트하면 됩니다.
주요 변경 (5)
- Go의 slog.Handler 기반 로거 플러그인 인터페이스 추가 — 런타임 로그와 결정 로그를 커스텀 목적지로 라우팅 가능하며, lumberjack 기반 파일 로테이션 내장
- 파괴적 변경: HTTPAuthPlugin.NewClient()가 이제 요청마다 호출되지 않고 한 번만 호출됨 — 요청별 로직은 반드시 Prepare()로 이전 필요
- AWS Signing에서 Assume Role 플로우에 Web Identity(서비스 어카운트) 자격 증명 지원 추가
- TLS 클라이언트 인증서 재읽기 주기를 cert_reread_interval_seconds로 설정 가능해졌으며, 콘텐츠 해싱으로 불필요한 파싱 방지
- 모든 TLS 설정이 서버 수준의 최소 버전 및 암호화 스위트 설정을 상속 — 이전에는 클라이언트별 TLS 설정이 서버 설정과 달라질 수 있었음
Dapr v1.17.3은 gRPC 인증 우회(CVE-2026-33186)와 TIFF OOM DoS(CVE-2026-33809) 두 CVE를 패치하고, h2c 액터 응답 데이터 유실, Placement 연쇄 장애, Scheduler 무음 중단 등 고영향 버그를 수정했습니다.
security활성 CVE 두 건, 즉시 업그레이드 필요
CVE-2026-33186은 gRPC 인증을 우회해 허가되지 않은 요청이 서비스에 도달할 수 있는 취약점입니다. CVE-2026-33809는 8바이트짜리 악성 TIFF 파일 하나로 사이드카가 약 4GB 메모리를 할당하다 OOM으로 크래시될 수 있습니다. 두 취약점 모두 v1.17.3에서만 수정됩니다. 우회 방법은 없으므로 긴급 패치로 처리하세요. 특히 이미지 데이터를 처리하는 Dapr 컴포넌트가 있거나 gRPC 엔드포인트를 외부에 노출하는 경우 즉각 대응이 필요합니다.
breakingh2c + 액터 사용 환경은 v1.17.2 이후 응답 데이터 유실 여부 확인 필수
--app-protocol h2c로 액터를 운영 중이었다면, v1.17.2부터 액터 메서드 호출이 HTTP 200을 반환하면서도 본문이 비어 있었을 수 있습니다. 오류 없이 데이터만 사라지는 방식이라 발견이 어렵습니다. v1.17.3으로 업그레이드한 뒤, v1.17.2 도입 이후 처리된 액터 응답 데이터를 감사하고 캐시나 로그에 저장된 응답이 있다면 재검증하세요.
enhancementHA Scheduler 배포 환경: 업그레이드 후 전체 Scheduler 파드 재시작 권장
Scheduler 무음 중단 버그는 etcd에 오래된 리더십 키를 남겨 쿼럼 수렴을 막습니다. 업그레이드 후 모든 Scheduler 파드를 동시에 재시작해 깨끗한 리더십 선출을 유도하세요. 이후 롤링 업데이트 과정에서 워크플로우 타이머, 예약 잡, 액터 리마인더가 무작위로 멈추는 현상은 더 이상 발생하지 않습니다.
주요 변경 (7)
- CVE-2026-33186: 업스트림 의존성 업그레이드로 gRPC 인증 우회 취약점 수정
- CVE-2026-33809: golang.org/x/image를 v0.38.0으로 업그레이드해 TIFF OOM DoS 취약점 수정
- h2c(HTTP/2 cleartext) 환경에서 액터 메서드 응답 본문이 빈 채로 반환되던 문제 수정 — 컨텍스트 분리 및 파이프 오류 전파 방식으로 해결
- 서비스 호출 및 액터 응답에서 오래된 Content-Length 헤더가 그대로 전달되어 unexpected EOF가 발생하던 문제 수정
- 단일 느린 사이드카로 인해 전체 Placement 테이블이 초기화되던 연쇄 장애 수정 — 선택적 타임아웃 및 단계 진행 로직 적용
- 클러스터 스케일업 후 Scheduler 인스턴스가 조용히 동작을 멈추던 채널 경쟁 조건 수정 — 논블로킹 이벤트 루프로 교체
- v1.16.9부터 AKS Windows 노드에서 daprd가 시작 불가하던 문제 수정 — docker manifest 툴체인으로 복원
gRPC v1.80.0은 TLS 개인 키 오프로드, Python EventEngine 기본 활성화, 그리고 운영 안정성에 영향을 주는 Python AsyncIO 버그 수정을 중심으로 한 릴리스입니다.
security프로세스 메모리 내 개인 키 노출 제거 가능
개인 키 오프로드 기능 덕분에 TLS 서명 연산을 외부에 위임할 수 있게 됐습니다. 규제 환경에서 운영 중이라면 v1.80.0으로 업그레이드하고, Python 서명자 구현 및 C++ 오프로드 경로를 활용해 인프로세스 키 저장 방식을 제거하세요.
breakingPython EventEngine 기본 활성화 — 반드시 스테이징에서 검증 필요
EventEngine이 기본 I/O 백엔드로 전환되면서 Python gRPC의 I/O 처리, 스레딩, fork 동작 방식이 바뀝니다. 같은 릴리스에서 fork 지원 환경 변수 기본값이 한 차례 revert(PR #41769)된 점도 눈여겨봐야 합니다. 아직 안정화 중인 영역입니다. gunicorn pre-fork 같은 패턴을 쓰는 서버라면 프로덕션 배포 전 반드시 스테이징에서 충분히 검증하세요.
enhancementTLS 개인 키 오프로드로 보안 강화
개인 키 오프로드 기능과 InMemoryCertificateProvider를 활용하면 개인 키를 HSM이나 KMS에 두고, 런타임 중 인증서를 교체할 수 있습니다. 컴플라이언스 요건이 있는 환경이라면 파일 기반 자격증명 로딩 방식을 새 서명자 인터페이스로 교체하는 것을 우선순위에 두세요.
주요 변경 (5)
- TLS 개인 키 오프로드: 서명 연산을 외부 제공자(HSM, KMS 등)에 위임할 수 있어 프로세스 메모리에 개인 키를 노출하지 않아도 됨
- InMemoryCertificateProvider 추가 — 서버 재시작 없이 런타임 중 인증서 동적 교체 가능
- Python에서 EventEngine이 기본값으로 활성화되고, Python과 Ruby에서 fork 지원 추가
- Python AsyncIO 버그 3건 수정: 비동기 클라이언트 멀티스레드 예외 처리, active_rpcs 음수 카운터, AIO Metadata 이터레이터 크래시
- Ruby 4.0 네이티브 젬 빌드 지원 추가, C# Grpc.Tools의 ARM64 회귀 버그 수정
Scheduler HA 환경의 치명적 버그 3건(연쇄 충돌, 파티션 무응답, Windows AKS 기동 실패)이 수정되었으며, Go 1.25.8 보안 패치도 포함됩니다.
securityGo 1.25.8 보안 패치 — 업그레이드로 반영
Go 1.25.8은 html/template, net/url, os 패키지의 취약점을 수정했습니다. v1.16.10 이하를 사용 중이라면 해당 취약점이 있는 바이너리를 그대로 실행하는 셈입니다. v1.16.11로 업그레이드하면 수정된 런타임이 자동으로 반영됩니다. Go 1.25.7로 빌드한 커스텀 서비스가 별도로 있다면 그쪽도 함께 재빌드하세요.
breakingHA 모드 Scheduler 운영 중이라면 즉시 업그레이드
v1.16.0~v1.16.10의 멀티 인스턴스 Scheduler 배포는 두 가지 장애 패턴에 노출되어 있습니다. 첫째, 높은 잡 부하에서 연쇄 충돌이 발생합니다. 둘째, 인스턴스가 파티션 리스를 유지하면서도 잡을 실행하지 않는 무음 실패가 생깁니다. 두 경우 모두 전체 Scheduler 파드 재시작 없이는 복구가 안 됩니다. Dapr Workflows나 Actor Reminder, 예약 잡을 HA로 운영 중이라면 일반적인 파드 축출이나 롤링 업데이트만으로도 워크플로우가 멈출 수 있으니 긴급 업그레이드를 권장합니다.
breakingAKS Windows 사용자: v1.16.9부터 broken, 이번 릴리스에서 수정
v1.16.9~v1.16.10 사이에 AKS Windows 노드에 Dapr를 배포했다면, daprd 사이드카가 계속 CrashLoopBackOff 상태였을 겁니다. Docker 매니페스트 생성 도구 변경으로 os.version 필드가 누락되면서 Windows 컨테이너 런타임이 잘못된 이미지 변형을 가져왔기 때문입니다. v1.16.11로 업그레이드하면 별도 설정 변경 없이 정상 동작이 복원됩니다.
주요 변경 (5)
- Go 런타임 1.25.7 → 1.25.8 업그레이드: html/template, net/url, os 패키지 보안 취약점 패치
- 높은 잡 처리량 중 리더십 변경 시 발생하던 'catastrophic state machine error' 충돌 수정 — 오래된 CloseJob 이벤트를 no-op으로 처리
- 클러스터 스케일업 후 Scheduler 인스턴스가 파티션을 점유한 채 잡을 실행하지 않는 레이스 컨디션 수정
- v1.16.9부터 AKS Windows 노드에서 daprd 사이드카가 CrashLoopBackOff로 기동 실패하던 문제 수정 — 이미지 매니페스트의 os.version 필드 복원
- 두 Scheduler 버그 모두 v1.16.0~v1.16.10의 모든 HA 배포에 해당
gRPC CVE 보안 취약점 패치, 앱 정규화 시 잘못된 diff 감지 버그 수정, RollingSync UI 오류 수정이 포함된 패치 릴리스입니다. 보안 픽스만으로도 즉시 업그레이드할 이유가 충분합니다.
securityCVE-2026-33186 패치를 위해 v3.2.8로 즉시 업그레이드하세요
이번 릴리스에서 가장 시급한 부분은 grpc-go CVE-2026-33186 완화 패치입니다. 3.2.x 버전을 운영 중이라면 지금 바로 3.2.8로 올리세요. 업그레이드 후에는 Argo CD 공식 문서의 절차에 따라 cosign으로 컨테이너 이미지 서명을 검증하는 것도 잊지 마세요.
breaking업그레이드 전후로 불필요한 Sync 이력을 점검하세요
정규화 diff 버그로 인해 실제로는 동기화 상태였던 앱이 불필요하게 Sync되었을 수 있습니다. 업그레이드 후 변경사항 없이 자주 Sync된 앱의 이력을 확인해보세요. 오탐이었을 가능성이 높으며, Sync 빈도 기반으로 구성된 자동화나 알림이 있다면 기준값을 재조정해야 할 수도 있습니다.
enhancementRollingSync UI 개선으로 Progressive Delivery 가시성이 향상됩니다
ApplicationSet의 RollingSync를 사용 중이고 특정 스텝이 UI에서 빈 칸으로 표시되는 문제를 겪었다면, 이번 패치로 해결됩니다. 별도 조치 없이 업그레이드만 하면 되며, 이후 UI에서 RollingSync 스텝 구성이 올바르게 표시되는지 한 번 확인해보는 것이 좋습니다.
주요 변경 (4)
- Argo CD가 사용하는 gRPC 라이브러리의 보안 취약점 CVE-2026-33186 완화
- 앱 정규화 과정에서 컨트롤러가 불필요한 diff를 감지하던 버그 수정
- 레이블이 어떤 스텝에도 매칭되지 않을 때 RollingSync 스텝이 UI에 제대로 표시되지 않던 문제 수정
- 컨테이너 이미지 cosign 서명 및 SLSA Level 3 프로버넌스 유지
gRPC CVE 패치와 RollingSync UI 버그 수정이 포함된 패치 릴리스입니다. 보안 수정 사항으로 인해 신속한 업그레이드가 권장됩니다.
securityCVE-2026-33186 대응을 위해 즉시 업그레이드하세요
CVE-2026-33186은 Argo CD 내부 및 외부 gRPC 통신에 사용되는 grpc-go 라이브러리에서 발견된 취약점입니다. 3.1 브랜치에 완화 패치가 백포트되었으며, 3.1.13 미만의 모든 3.1.x 인스턴스가 영향을 받습니다. 정기 업데이트가 아닌 우선 패치로 취급하여 신속히 업그레이드하세요. 공급망 보안 정책을 운영 중이라면 업그레이드 후 cosign으로 이미지 서명을 검증하는 것도 잊지 마세요.
securitylodash 버전을 직접 고정한 경우 별도 점검이 필요합니다
이번 lodash 4.17.23 업그레이드는 Argo CD UI 번들에만 적용됩니다. 팀 내 애플리케이션 코드나 CI 파이프라인에서 lodash를 별도로 고정하고 있다면, 해당 버전도 독립적으로 감사하세요.
enhancementRollingSync UI 수정으로 싱크 웨이브 오설정을 더 쉽게 발견할 수 있습니다
기존에는 레이블이 일치하는 클러스터나 앱이 없는 RollingSync 스텝이 UI에서 그냥 숨겨졌습니다. 이번 수정으로 해당 스텝이 명시적으로 표시되어 잘못된 롤아웃 웨이브 설정을 바로 파악할 수 있습니다. 업그레이드 후 RollingSync를 적극 활용 중인 ApplicationSet을 점검하여 스텝 레이블이 의도한 클러스터 또는 앱과 실제로 매칭되는지 확인하세요.
주요 변경 (4)
- grpc-go의 CVE-2026-33186 완화 — gRPC 통신을 사용하는 모든 배포에 영향
- RollingSync에서 레이블이 일치하는 스텝이 없을 때 UI에 표시되지 않던 버그 수정
- lodash 4.17.21 → 4.17.23 업그레이드로 프론트엔드 의존성 취약점 해소
- 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 출처 증명 유지
Argo CD v3.3.5는 순환 ownerRef 스택 오버플로우, 훅 실행 누락, UI 개선 등을 수정한 패치 릴리스로, 업그레이드 위험은 낮고 실익은 큽니다.
breaking순환 ownerRef로 인한 크래시, 즉시 패치 권장
일부 오퍼레이터나 잘못 구성된 CRD 환경에서는 리소스 간 순환 소유 참조가 생길 수 있는데, 이 경우 application-controller가 스택 오버플로우로 비정상 종료됩니다. 원인 불명의 컨트롤러 크래시를 겪었다면 이 버그가 원인일 가능성이 높습니다. 즉시 업그레이드하세요.
breakingPostSync 훅 누락 문제 확인 후 파이프라인 검증 필요
같은 앱에 PreDelete 또는 PostDelete 훅과 PostSync 훅이 함께 설정된 경우, PostSync 훅이 조용히 실행되지 않는 버그가 있었습니다. 알림, 정리 작업, 검증 등을 PostSync 훅으로 처리하는 파이프라인이 있다면 업그레이드 후 정상 실행 여부를 반드시 확인하세요.
enhancementgrpc 1.79.3 업그레이드 — 보안 민감 환경에서는 변경 내역 확인
grpc가 1.77.0에서 1.79.3으로 올라갔습니다. 업그레이드 자체로 별도 조치는 불필요하지만, 보안 요구사항이 엄격한 환경이라면 해당 버전 범위의 grpc 릴리스 노트에서 CVE 수정 여부를 검토하는 게 좋습니다.
주요 변경 (5)
- 리소스 그래프에서 순환 ownerRef 처리 시 발생하는 스택 오버플로우 크래시 수정
- PreDelete/PostDelete 훅이 설정된 경우 PostSync 훅이 생성되지 않던 버그 수정
- 서버의 터미널 컨테이너 탐색 로직 수정
- RollingSync 단계 표시 개선 및 자동 치유 비활성화 안내 메시지 개선
- grpc 의존성 1.77.0 → 1.79.3 업그레이드